II SA/Wa 1459/23
WyrokWSA w Warszawie2024-03-13
Skład orzekający: Joanna Kube, Izabela Głowacka-Klimas, Ewa Radziszewska-Krupa
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy naruszenie poufności danych osobowych, polegające na ujawnieniu ich podmiotom nieupoważnionym w wyniku niezabezpieczenia serwera zewnętrznego dostawcy usług, stanowi przetwarzanie danych osobowych bez podstawy prawnej w rozumieniu art. 6 ust. 1 RODO, czy też naruszenie zasady poufności danych z art. 5 ust. 1 lit. f RODO?Ratio decidendi
Naruszenie poufności danych osobowych, polegające na ujawnieniu ich podmiotom nieupoważnionym w wyniku niezabezpieczenia serwera zewnętrznego dostawcy usług, stanowi naruszenie zasady poufności danych z art. 5 ust. 1 lit. f RODO, a nie przetwarzanie danych bez podstawy prawnej w rozumieniu art. 6 ust. 1 RODO. Administrator danych ponosi odpowiedzialność za wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych, a brak takich środków, prowadzący do ujawnienia danych, jest naruszeniem przepisów ochrony danych osobowych.Stan faktyczny
Spółka F. S.A. została ukarana upomnieniem przez Prezesa Urzędu Ochrony Danych Osobowych za naruszenie ochrony danych osobowych klienta, polegające na ujawnieniu jego danych (imię, nazwisko, adres, PESEL, dane umowy) podmiotom nieupoważnionym w wyniku niezabezpieczenia serwera zewnętrznego dostawcy usług archiwizacji. Spółka wniosła skargę do WSA, zarzucając organowi naruszenie przepisów postępowania i prawa materialnego, w tym błędną kwalifikację czynu jako przetwarzania danych bez podstawy prawnej, zamiast naruszenia poufności. Spółka argumentowała, że celem przetwarzania nie było ujawnienie danych, a incydent był wynikiem działania podmiotu trzeciego.Rozstrzygnięcie
Oddalono skargę F. S.A. na decyzję Prezesa Urzędu Ochrony Danych Osobowych.Pełny tekst orzeczenia
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kube, Sędzia WSA Izabela Głowacka-Klimas (spr.), Sędzia WSA Ewa Radziszewska-Krupa, po rozpoznaniu w trybie uproszczonym w dniu 13 marca 2024 r. sprawy ze skargi F. S.A. z siedzibą w G. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] maja 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Prezes Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO, organ) decyzją z [...] maja 2023 r. nr [...] , na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
(t.j. Dz.U. z 2023 r. poz. 775; dalej "Kpa.") w zw. z art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781; dalej "u.o.d.o."), art. 5 ust. 1 lit. f, art. 6 ust. 1, art. 28 ust. 1 oraz art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych
i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119
z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74
z 4.03.2021, str. 35, dalej "RODO"), po przeprowadzeniu postępowania administracyjnego w sprawie skargi J. K. (uczestnik), zamieszkałego w P. przy ul.[...], na nieprawidłowości w procesie przetwarzania jego danych osobowych przez F. S.A. z siedzibą w G. przy ul. [...] (dalej: F., spółka, skarżąca) polegające na naruszeniu ochrony danych osobowych w zakresie imienia, nazwiska, adresu, numeru telefonu, numeru PESEL i/lub numeru dowodu osobistego, numeru kontaktowego/adresu email (jeśli podano) oraz danych dotyczących umowy (takich jak numer umowy oraz numer poboru), poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz spółki, udzielił spółce upomnienia za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO, polegające na ujawnieniu powyżej wymienionych danych podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz spółki.
Wydaniu powyższej decyzji towarzyszył następujący stan sprawy.
Do Urzędu Ochrony Danych Osobowych wpłynęła skarga uczestnika
na nieprawidłowości w procesie przetwarzania jego danych osobowych przez spółkę, polegające na naruszeniu ochrony jego danych w zakresie imienia, nazwiska, adresu, numeru telefonu, numeru PESEL i/lub numeru dowodu osobistego, poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz spółki.
W toku postępowania zainicjowanego powyższą skargą wyjaśniono, że uczestnik jest klientem spółki od [...] października 2018 r. Spółka prowadzi działalność w zakresie sprzedaży i dostawy energii elektrycznej i paliwa gazowego. Spółka [...] kwietnia 2020 r. wysłała uczestnikowi wiadomość elektroniczną informującą o możliwym naruszeniu jego danych osobowych. [...] maja 2018 r. spółka zawarła umowę powierzenia przetwarzania danych z P. sp. z o.o., z którą łączy ją również wcześniej zawarta umowa o współpracy.
Na podstawie umów spółka P. przetwarza w imieniu F. dane osobowe jej klientów w celu ich przechowywania wraz z usługami towarzyszącymi, archiwizacji cyfrowej dokumentów oraz skanowania dokumentacji wraz z indeksacją opisową
na rzecz spółki (tak: załącznik pisma Dyrektora Departamentu Kontroli i Naruszeń Urzędu Ochrony Danych Osobowych z dnia 22 czerwca 2021 r. w postaci załącznika nr 1 do umowy powierzenia przetwarzania danych z [...] maja 2018 r.).
Spółka 16 kwietnia 2020 r. powzięła informację o możliwym naruszeniu bezpieczeństwa danych osobowych. Ustaliła, że do naruszenia poufności danych osobowych doszło w środowisku informatycznym podmiotu przetwarzającego – spółki P. oraz ustaliła, że naruszenie to obejmowało pomocniczą bazę archiwum cyfrowego zawierającą indeksy wyszukiwania. Jeden z portów ww. bazy znajdującej się w chmurze nie został zabezpieczony hasłem, co umożliwiało osobom nieupoważnionym dostęp do tej bazy w okresie od [...] kwietnia 2020 r. do [...] kwietnia 2020 r. Po stwierdzeniu naruszenia bezpieczeństwa danych osobowych dostęp do bazy został zablokowany poprzez wdrożenie zabezpieczeń przez spółkę P
(tak: wyjaśnienia Spółki z [...] lipca 2020 r.).
W dniu [...] kwietnia 2020 r. F. zgłosiła powyższe naruszenie do Prezesa UODO. Spółka ustaliła, że w przypadku uczestnika doszło do naruszenia poufności danych osobowych w zakresie imienia, nazwiska, adresu, numeru PESEL, numeru dowodu osobistego, numeru kontaktowego/adresu e-mail (jeśli podano) oraz danych dotyczących umowy (numer umowy oraz numer punktu poboru).
W związku z powyższym wyciekiem spółka zawiadomiła o możliwości popełnienia czynu zabronionego Prokuraturę Okręgową w G. - Wydział [...] Śledczy Dział do Prowadzenia i Nadzorowania Spraw o Przestępstwa
z Wykorzystaniem Internetu oraz Zaawansowanych Technologii i Systemów Informatycznych, Komendę Wojewódzką Policji w [...] - Wydział do Walki
z Cyberprzestępczością oraz N.
W prowadzonym przez Departament Kontroli i Naruszeń Urzędu Ochrony Danych Osobowych postępowaniu pod sygn. [...] ustalono, że
w wyniku pozostawienia bazy danych klientów spółki na niezabezpieczonym serwerze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Pierwsze połączenie nastąpiło z adresu [...] dnia [...] kwietnia 2020 r. pomiędzy godz. 19:22 a godz. 20:58. Aktywność ta może wskazywać na skopiowanie danych
o rozmiarze ok. 5 MB. Natomiast drugie połączenie trwało od 15 kwietnia 2020 r. godz. 23:00 do 16 kwietnia 2020 r. godz. 04:06 i nastąpiło za pośrednictwem komputera lub serwera zdefiniowanego numerem [...]. W jego wyniku mogło dojść do pobrania danych o wolumenie ok. 11 GB (tak: pismo Dyrektora Departamentu Kontroli i Naruszeń Urzędu Ochrony Danych Osobowych
z [...] czerwca 2021 r.).
Prezes UODO w uzasadnieniu wymienionej na wstępie decyzji podał,
że RODO określa obowiązki administratora danych, do których należy m.in. przetwarzanie danych osobowych z zachowaniem przesłanek określonych w tym rozporządzeniu. Przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 RODO, zgodnie z którym przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna
z przesłanek wskazanych w tym przepisie.
Organ wyjaśnił, że uczestnik jest klientem spółki, wobec czego podstawę prawną uprawniającą spółkę do przetwarzania jego danych osobowych stanowi art. 6 ust. 1 lit. b RODO, zgodnie z którym przetwarzanie jest zgodne z prawem, gdy jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
W momencie naruszenia, strony były związane umową. Przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (art. 4 pkt 2 RODO). Spółka jest uprawniona do przetwarzania danych osobowych uczestnika, ale nie
w kwestionowanym zakresie, tj. do ujawnienia poprzez ich udostępnienie. Dodatkowo organ wskazał, że proces przetwarzania danych osobowych musi być zgodny
z zasadami ustanowionymi w art. 5 ust. 1 RODO. W przedmiotowej sprawie należało oczekiwać od spółki określonego działania, tj. odpowiedniego zabezpieczenia danych, co zniwelowałoby ryzyko ich utraty. To jednak brak działania był przyczyną ujawnienia poprzez udostępnienie danych osobowych prowadząc do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała
na kopiowanie jej zawartości.
Odnosząc się do zapisów umowy powierzenia przetwarzania danych z [...] maja 2018 r., zawartej pomiędzy spółka a spółką P, organ wskazał, że spółka jest administratorem danych a spółka P. podmiotem przetwarzającym. Zwrócił przy tym uwagę na treść art. 32 ust. 2 RODO.
Jak podał Prezes UODO, ze zgromadzonego w niniejszej sprawie materiału dowodowego wynika, że w okresie od [...] kwietnia 2020 r. do [...] kwietnia 2020 r. doszło do naruszenia ochrony danych osobowych klientów spółki, w tym danych osobowych uczestnika, poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy (spółki P.), świadczącego usługi cyfrowego archiwum
na rzecz spółki. W wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Pierwsze połączenie nastąpiło z adresu [...] dnia [...] kwietnia 2020 r. pomiędzy godz. 19:22 a godz. 20:58. Aktywność ta może wskazywać na skopiowanie danych o rozmiarze ok. 5 MB. Natomiast drugie połączenie trwało od [...] kwietnia 2020 r. godz. 23:00 do [...] kwietnia 2020 r. godz. 04:06 i nastąpiło za pośrednictwem komputera lub serwera zdefiniowanego numerem [...]. W jego wyniku mogło dojść do pobrania danych o wolumenie
ok. 11 GB. Powyższy incydent doprowadził do naruszenia poufności danych osobowych uczestnika w zakresie imienia, nazwiska, adresu, numeru PESEL, numeru dowodu osobistego, numeru kontaktowego/adresu e-mail (jeśli podano) oraz danych dotyczących umowy (numer umowy oraz numer punktu poboru).
Prezes UODO stwierdził, że do naruszenia bezpieczeństwa danych osobowych doszło w środowisku informatycznym spółki P., jednak w procesie przetwarzania danych osobowych działała ona jako podmiot przetwarzający, a zatem w imieniu i na rzecz spółki. W związku z tym, to spółka ponosi odpowiedzialność
za wskazane naruszenie. Ujawnienie danych osobowych uczestnika podmiotom
i osobom do tego nieupoważnionym, odbyło się z naruszeniem przez spółkę, jako administratora danych, przepisów ochrony danych osobowych (art. 6 ust. 1 w zw.
z art. 5 ust. 1 lit. f RODO). Spółka naruszyła również zasadę poufności poprzez przetwarzanie danych uczestnika w sposób niezapewniający im odpowiedniego bezpieczeństwa.
W konkluzji organ stwierdził, że spółka dopuściła się naruszenia art. 6 ust. 1
w zw. z art. 5 ust. 1 lit. f RODO poprzez ujawnienie danych osobowych uczestnika podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum. W związku z powyższym, korzystając z przysługującego organowi uprawnienia określonego w art. 58 ust. 2 lit. b RODO udzielono spółce upomnienia.
Spółka, reprezentowana przez radcę prawnego, wywiodła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na wskazaną na wstępie decyzję Prezesa UODO z [...] maja 2023 r., zarzucając:
1) naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 7, art. 8, art. 11 w zw. z art. 107 § 3 oraz art. 77 § 1 Kpa. w zw. z art. 7 ust. 1 u.o.d.o., polegające na niezastosowaniu zasad ogólnych postępowania administracyjnego, prawdy obiektywnej, pogłębiania zaufania obywateli do organów administracji publicznej, wyjaśnienia zasadności przesłanek (zasady przekonywania) oraz obowiązku zebrania i rozpatrzenia całego materiału dowodowego w sposób wyczerpujący, co doprowadziło do wydania wadliwej i przedwczesnej decyzji,
2) naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 80 Kpa. w zw. z art. 7 ust. 1 u.o.d.o. polegające na przekroczeniu granic swobodnej oceny dowodów i - w konsekwencji - błędnym przyjęciu, że skarżąca przetwarzała dane osobowe uczestnika bez podstawy prawnej, podczas gdy podstawa ta istniała w postaci art. 6 ust. 1 lit. b RODO, a ewentualne naruszenie poufności danych osobowych uczestnika nie może zostać zakwalifikowane jako ujawnienie danych przez administratora,
3) naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 RODO, polegające na błędnej jego wykładni skutkującej przyjęciem, że skarżąca przetwarzała dane osobowe uczestnika poprzez ich ujawnienie osobom nieupoważnionym, a zatem bez podstawy prawnej, podczas gdy w stanie faktycznym sprawy należało rozważyć jedynie możliwość naruszenia poufności danych osobowych, w rozumieniu art. 5 ust. 1 lit. f RODO w zw. z 32 RODO.
Wobec tak sformułowanych zarzutów skarżąca wniosła o uchylenie zaskarżonej decyzji w całości.
W obszernym uzasadnieniu skargi skarżąca rozwinęła argumentację sformułowaną na rzecz postawionych w niej zarzutów.
Skarżąca stwierdziła między innymi, że sentencja decyzji w żadnym razie nie odpowiada jej uzasadnieniu. Z uzasadnienia wnioskować bowiem można, że kara upomnienia została nałożona za naruszenie poufności danych (art. 5 ust. 1 lit. f RODO), ale już z samej sentencji wynika, że dotyczy ona przetwarzania bez podstawy prawnej (art. 6 ust. 1 RODO), polegającego na ujawnieniu danych osobom nieupoważnionym.
Podkreśliła, że jak wskazał organ, cyt. "w przedmiotowej sprawie należało oczekiwać od Spółki określonego działania, tj. odpowiedniego zabezpieczenia danych, co zniwelowałoby ryzyko ich utraty. To jednak brak działania był przyczyną ujawnienia poprzez udostępnienie danych osobowych prowadzących do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie jej zawartości" (str. 4 skarżonej decyzji). Zdaniem skarżącej stanowisko Prezesa UODO jest niekonsekwentne - z jednej strony organ wydaje się całkowicie pomijać stan faktyczny sprawy oraz działania, które zostały podjęte przez skarżącą,
z drugiej strony sam przywołuje działania przez nią podjęte (str. 3 skarżonej decyzji). Co do ustalenia stanu faktycznego sprawy, skarżąca wskazała, że decyzja wydana przez Prezesa UODO w sprawie o sygn. [...], której ustalenia faktyczne stanowiły podstawę wydania decyzji w sprawie niniejszej, została uchylona w wyniku kontroli sądowej przez Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 10 października 2022 r. (sygn. akt. II SA/Wa 567/22) ze względu na istniejące poważne nieprawidłowości po stronie organu w zakresie ustalenia stanu faktycznego. Tym samym oznacza to, że zaskarżona decyzja z [...] maja 2023 r. narusza art. 77 i 80 Kpa., gdyż nie została oparta na prawidłowo ustalonym stanie faktycznym. Organ nie ustalił w szczególności, czy rzeczywiście i w jakim zakresie doszło do naruszenia przez skarżącą zasady poufności z art. 5 ust. 1 lit. f RODO
w zw. z art. 32 i nast. RODO.
Zdaniem skarżącej zastosowany przez organ środek prawny w postaci upomnienia jest nieadekwatny i oderwany od realiów niniejszej sprawy. Organ
w płynny sposób przeszedł od "ujawnienia" danych do przypisania skarżącej odpowiedzialności za "naruszenie bezpieczeństwa danych osobowych", nie dokonując w tym zakresie żadnych ustaleń faktycznych. Tymczasem kwestia naruszenia przez spółkę poufności danych jest przedmiotem oceny w odrębnym postępowaniu, w którym decyzja Prezesa UODO nr [...] została uchylona przez WSA w Warszawie.
Jako zasadne uznała stanowisko, zgodnie z którym incydent - w postaci utraty danych - nie stanowi żadnej operacji na tychże przeprowadzonej przez samego administratora. Przetworzenie danych - w postaci ich nielegalnego pozyskania - dokonał podmiot trzeci. Wyklucza to przyjęcie, jakoby doszło do przetworzenia danych przez skarżącą jako administratora bez podstawy prawnej, jak kwalifikował
to zdarzenie organ. Prawidłowość odczytania znaczenia pojęcia "przetwarzania danych osobowych przez administratora" jako zdarzenia, które musi pozostawać
w bezpośrednim związku z działaniami samego administratora, potwierdza normatywne znaczenie samego określenia "administrator", jakie przypisał
mu prawodawca unijny.
Zdaniem skarżącej w niniejszej sprawie celem przetwarzania danych uczestnika przez spółkę nigdy nie było ujawnienie jego danych. Osoby lub podmioty, które potencjalnie mogły uzyskać dostęp do jego danych osobowych nie są zaś
w żadnym razie odrębnymi administratorami danych, na rzecz których ujawnienie nastąpiło. Podkreśliła, że w czasie naruszenia bezpieczeństwa danych osobowych uczestnika, w okresie od [...] do [...] kwietnia 2020 r., skarżąca przetwarzała jego dane osobowe wyłącznie na podstawie art. 6 ust. 1 lit. b) RODO i nie dokonywała ich ujawnienia innym administratorom.
W odpowiedzi na skargę Prezes UODO wniósł o jej oddalenie i odniósł się
do postawionych w niej zarzutów.
Wojewódzki Sąd Administracyjny zważył, co następuje:
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz.U. z 2022 r., poz. 2492 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, sprawowaną pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Na podstawie art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2023 r., poz. 1634 ze zm., zwanej dalej p.p.s.a.), Sąd przy rozstrzyganiu sprawy nie jest związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną.
Oceniając zaskarżoną decyzję według powyższych kryteriów, uznać należy, iż była ona zgodna z prawem. Istota przedmiotowej sprawy sprowadza się do ustalenia tego, czy F. podjęło właściwe środki zaradcze celem zabezpieczenia przed możliwością "wycieku" danych (Administrator powinien wykazać prowadzenie dokumentacji przetwarzania danych, obejmującej wskazanie działań, jakie zostały podjęte dla zapewnienia zgodności przetwarzania i ochrony danych z wymogami określonymi w rozporządzeniu np. przeprowadzonej analizy ryzyka i doboru odpowiednich zabezpieczeń).
W ocenie tut. Sądu na wyżej postawione pytanie należało udzielić negatywnej odpowiedzi. Zgodnie z art. 5 ust. 1 lit. f RODO dane osobowe powinny być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem (zasada poufności danych).
Poufność danych należy rozumieć w ten sposób, że nie będą one udostępniane osobom i podmiotom nieuprawnionym. Dane osobowe powinny być również odpowiednio chronione przed przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (zasada integralności danych). Integralność chroni dane przed ich nieuprawnionym zniszczeniem lub uszkodzeniem. W celu wypełnienia zasady poufności i integralności danych administrator (a także podmiot przetwarzający) wdraża odpowiednie środki techniczne i organizacyjne. Wdrożenie środków technicznych i organizacyjnych nie może mieć charakteru jednorazowego. Środki te powinny podlegać okresowemu przeglądowi i ewentualnej aktualizacji. Ustęp 2 komentowanego artykułu stanowi, że administrator jest odpowiedzialny za przestrzeganie omówionych powyżej zasad
i powinien być w stanie wykazać ich przestrzeganie, co zostało w rozporządzeniu nazwane "rozliczalnością". Przepisy nakładają bowiem na administratora obowiązki w zakresie przestrzegania zasad i obarczają go odpowiedzialnością za ich naruszenie.
Na gruncie komentowanego unijnego rozporządzenia znaczenie pojęcia rozliczalności jest odmienne, oznacza ono odpowiedzialność za przestrzeganie przepisów rozporządzenia i możność wykazania ich przestrzegania. W literaturze przedmiotu wskazuje się, że określenie "rozliczalność" (ang. accountability) powinno być rozumiane odmiennie od dotychczas przypisywanego mu znaczenia, jako synonim ponoszenia odpowiedzialności przez administratora, co prowadzi do wniosku, że polska wersja językowa komentowanego przepisu nie odpowiada
w istocie jego zamierzonej treści (P. Litwiński, P. Barta, M. Kawecki, Rozporządzenie UE w sprawie ochrony..., red. P. Litwiński, s. 268). Stwierdzenie, że administrator powinien być w stanie wykazać przestrzeganie zasad, odczytywać można jako nałożenie na administratora ciężaru dowodowego w zakresie przestrzegania zasad przetwarzania danych. W razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym, administrator powinien być w stanie przedstawić dowody na to, że przestrzega zasad. Dowodami takimi mogą być przede wszystkim dokumenty dotyczące przetwarzania i ochrony danych. Dlatego też, pomimo braku wyraźnego wymogu wynikającego z przepisów komentowanego rozporządzenia, zasadne wydaje się prowadzenie dokumentacji przetwarzania danych, obejmującej wskazanie działań, jakie zostały podjęte dla zapewnienia zgodności przetwarzania i ochrony danych z wymogami określonymi w rozporządzeniu (np. przeprowadzonej analizy ryzyka i doboru odpowiednich zabezpieczeń). Wymóg taki wynikał z krajowych przepisów wykonawczych (rozporządzenia wykonawczego do u.o.d.o.1997), jednak utrata ich mocy obowiązującej sprawiła, że wymóg taki nie jest zasadniczo obowiązkiem wyraźnie wskazanym w przepisach o ochronie danych osobowych. Informacje pozwalające wykazać przestrzeganie przepisów mogą być zawarte
np. w polityce bezpieczeństwa lub w innym dokumencie, natomiast przewidziany
w art. 30 obowiązek prowadzenia rejestru czynności przetwarzania ograniczony jest w tym zakresie jedynie do ogólnego opisu technicznych i organizacyjnych środków bezpieczeństwa (tak np., P.Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie
o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 5.).
Wojewódzki Sąd Administracyjny rozpoznający sprawę podziela powyższe stanowisko. W przypadku naruszenia, do którego doszło, to na Administratorze spoczywa obowiązek wykazania, iż omówione wyżej zasady były przestrzegane. Okolicznością niesporną w sprawie jest zaś to, że miało miejsce naruszenie ochrony danych osobowych klientów Spółki, w tym danych osobowych inicjatora postępowania, poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy, tj. P. sp. z o.o., świadczącego usługi przechowywania danych klientów F. wraz z usługami towarzyszącymi cyfrowego archiwum na rzecz Spółki oraz skanowania dokumentacji wraz z indeksacją opisową na rzecz skarżącej. Naruszenie obejmowało pomocniczą bazę archiwum cyfrowego zawierającą indeksy wyszukiwania.
Poza sporem pozostaje także fakt, że w wyniku niezabezpieczenia hasłem jednego z portów bazy znajdującej się w chmurze doszło do dwóch nieuprawnionych połączeń z bazą co umożliwiło dostęp do pomocniczej bazy archiwum cyfrowego zawierającej indeksy wyszukiwania, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Spółka ustaliła, że w przypadku uczestnika doszło do naruszenia poufności danych osobowych w zakresie imienia, nazwiska, adresu, numeru PESEL, numeru dowodu osobistego, numeru kontaktowego/adresu e-mail (jeśli podano) oraz danych dotyczących umowy (numer umowy oraz numer punktu poboru).
W świetle powyższego nie budzi wątpliwości poprawność konkluzji organu, iż administrator danych osobowych i podmiot zewnętrzny, którym posługiwał się przy przetwarzaniu danych, nie wdrożyli należytego zabezpieczenia przetwarzanych danych.
Całokształt materiału dowodowego świadczy też o tym, że administrator danych nie wykazał, by w sposób poprawny przeprowadził analizę ryzyka. Omawiając ową problematykę należy podzielić stanowisko zawarte w wyroku WSA
w Warszawie z dnia 1 lipca 2022 r., sygn. akt II SA/Wa 3211/21, że RODO wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są do zapewnienia wdrażania organizacyjnych i technicznych środków bezpieczeństwa, jak również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych.
W niniejszej sprawie próżno jednakże szukać przekonujących dowodów na adekwatność zabezpieczeń istniejących u administratora danych i firmy zewnętrznej, którą się posługiwał, do istniejącego poziomu ryzyka. Sam fakt dojścia
do omawianego "wycieku danych" świadczy zaś o czymś wprost odwrotnym. Na moment stwierdzenia naruszenia ochrony danych osobowych klientów F., zmiany mające na celu usprawnienie działania systemu [...] były bowiem jeszcze w trakcie wdrażania (tj. realizacji etapu synchronizacji podsystemu opartego o rozwiązanie [...] z aktualnym środowiskiem [...]), tym samym prace wykonywane przez P. sp. z o.o. nie były w pełni zakończone - trwał proces testów
i zasilania nowoutworzonej bazy danymi.
Do naruszenia bezpieczeństwa danych osobowych doszło w środowisku informatycznym podmiotu P. sp. z o.o., jednak w procesie przetwarzania danych osobowych działał on jako podmiot przetwarzający, a zatem w imieniu i na rzecz Spółki. W związku z tym, to Spółka ponosi odpowiedzialność za wskazane naruszenie. Biorąc pod uwagę powyższe uznać bowiem należy, że ujawnienie danych osobowych uczestnika podmiotom i osobom do tego nieupoważnionym, odbyło się z naruszeniem przez Spółkę, jako administratora danych, przepisów ochrony danych osobowych (art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f rozporządzenia 2016/679). Spółka naruszyła również zasadę poufności poprzez przetwarzanie danych uczestnika w sposób niezapewniający im odpowiedniego bezpieczeństwa.
W świetle powyższego, rozpoznając skargę wniesioną w niniejszej sprawie
w ramach przysługującej kognicji, Sąd uznał zatem, że skarga nie jest zasadna, gdyż zaskarżona decyzja nie narusza norm prawa materialnego czy procesowego,
a postępowanie administracyjne zostało przeprowadzone zgodnie z zasadami ogólnymi Kpa., a w szczególności art. 7, art. 8, art. 11 Kpa., a także innymi normami, zwłaszcza art. 77 i art. 80 Kpa., zaś zaskarżone rozstrzygnięcie zostało oparte
na prawidłowej interpretacji norm prawa materialnego.
Mając powyższe na względzie, Wojewódzki Sąd Administracyjny
w Warszawie, działając na podstawie art. 151 p.p.s.a., oddalił skargę.
-----------------------
4
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 13.07.2026. · Źródło