II SA/Wa 1684/23

WyrokWSA w Warszawie2024-03-27

Skład orzekający: Sławomir Fularski, Iwona Maciejuk, Arkadiusz Koziarski

Analiza orzeczenia

Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.

Zagadnienie prawne
Czy udostępnienie danych osobowych podmiotom nieupoważnionym w wyniku niezabezpieczenia serwera przez podmiot przetwarzający stanowi naruszenie przepisów RODO przez administratora danych, uzasadniające udzielenie upomnienia?
Ratio decidendi
Administrator danych ponosi odpowiedzialność za naruszenie przepisów RODO, w tym zasad poufności i integralności danych, nawet jeśli naruszenie nastąpiło w środowisku podmiotu przetwarzającego. Niezabezpieczenie serwera, które doprowadziło do ujawnienia danych osobowych osobom nieupoważnionym, stanowi przetwarzanie bez podstawy prawnej i uzasadnia zastosowanie środka naprawczego w postaci upomnienia.
Stan faktyczny
Prezes Urzędu Ochrony Danych Osobowych (PUODO) nałożył upomnienie na F. S.A. za udostępnienie danych osobowych klienta (Z.W.) podmiotom nieupoważnionym w wyniku naruszenia bezpieczeństwa danych na serwerze zewnętrznego dostawcy usług cyfrowego archiwum. Naruszenie polegało na niezabezpieczeniu hasłem jednego z portów bazy danych, co umożliwiło nieuprawniony dostęp i kopiowanie danych. F. S.A. zaskarżyła decyzję PUODO, argumentując, że nie doszło do udostępnienia danych w rozumieniu RODO, a jedynie do naruszenia poufności, za które nie ponosi wyłącznej odpowiedzialności. Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę.
Rozstrzygnięcie
Oddalił skargę F. S.A. na punkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych.

Pełny tekst orzeczenia

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Sławomir Fularski, Sędzia WSA Iwona Maciejuk (spr.), Asesor WSA Arkadiusz Koziarski, po rozpoznaniu w trybie uproszczonym w dniu 27 marca 2024 r. sprawy ze skargi F. S.A. z siedzibą w G. na punkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę Prezes Urzędu Ochrony Danych Osobowych decyzją z dnia [...] czerwca 2023 r. nr [...], wydaną na podstawie art. 104 § 1 oraz ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2023 r. poz. 775), zwanej dalej k.p.a. w zw. z art. 7 ust. 1 i ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), i art. 5 ust. 1 lit. f, art. 6 ust. 1, art. 28 ust. 1 oraz art. 58 ust. 2 lit. b i c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. L 127 z 23.05.2018, str. 2 ze zm. oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej RODO, w punkcie 1 udzielił F. S.A. z siedzibą w [...], zwanej dalej także Spółką, upomnienia za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO, polegające na udostępnieniu danych osobowych Z.W. podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz Spółki. W punkcie 2 odmówił uwzględnienia wniosku w pozostałym zakresie. W uzasadnieniu organ wyjaśnił, że do Urzędu wpłynęła skarga Z.W., zwanej dalej również wnioskodawczynią, na nieprawidłowości w procesie przetwarzania jej danych osobowych przez F. S.A. z siedzibą w [...] polegające na naruszeniu ochrony danych osobowych poprzez ich udostępnienie w zakresie imienia, nazwiska, adresu, numeru telefonu i numeru PESEL podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz F. S.A. Skarżąca wniosła o przeprowadzenie postępowania w sprawie ww. udostępnienia danych i nakazanie ich usunięcia. PUODO wskazał, że w toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie, ustalił następujący stan faktyczny: 1. Wnioskodawczyni była klientką Spółki, która prowadzi działalność w zakresie sprzedaży i dostawy [...] od [...].04.2019 r. do [...].03.2020 r.; 2. Dnia [...].04.2020 r. Spółka wysłała wnioskodawczyni pismo informujące o możliwym naruszeniu jej danych osobowych; 3. Dnia [...] maja 2018 r. Spółka zawarła umowę powierzenia przetwarzania danych z P. sp. z o.o., z którą łączy ją również wcześniej zawarta umowa o współpracy; 4. Na podstawie ww. umów P. sp. z o.o. przetwarza w imieniu Spółki dane osobowe jej klientów w celu ich przechowywania wraz z usługami towarzyszącymi, archiwizacji cyfrowej dokumentów oraz skanowania dokumentacji wraz z indeksacją opisową na rzecz Spółki; 5. Dnia [...] kwietnia 2020 r. Spółka powzięła informację o możliwym naruszeniu bezpieczeństwa danych osobowych. Spółka ustaliła, że do naruszenia poufności danych osobowych doszło w środowisku informatycznym podmiotu przetwarzającego, tj. P. sp. z o.o. oraz że naruszenie to obejmowało pomocniczą bazę archiwum cyfrowego zawierającą indeksy wyszukiwania. Jeden z portów ww. bazy znajdującej się w chmurze nie został zabezpieczony hasłem, co umożliwiało osobom nieupoważnionym dostęp do tej bazy w okresie od [...] kwietnia 2020 r. do [...] kwietnia 2020 r.; 6. Po stwierdzeniu naruszenia bezpieczeństwa danych osobowych dostęp do bazy został zablokowany poprzez wdrożenie zabezpieczeń przez P. sp. z o.o.; 7. Dnia [...] kwietnia 2020 r. Spółka zgłosiła ww. naruszenie do PUODO; 8. Spółka wskazała, że wnioskodawczyni nie zwracała się z żądaniem usunięcia jej danych osobowych. 9. Spółka ustaliła, że w przypadku skarżącej doszło do naruszenia poufności danych osobowych w zakresie imienia, nazwiska, numeru PESEL, numeru kontaktowego/adresu e-mail (jeśli podano), danych dotyczących Umowy (numer umowy) oraz numeru punktu poboru; 10. W związku z powyższym wyciekiem Spółka zawiadomiła o możliwości popełnienia czynu zabronionego Prokuraturę Okręgową w [...] - Wydział [...] Komendę Wojewódzką Policji w [...] - Wydział do Walki z Cyberprzestępczością oraz NASK/CERT Polska. Postępowanie w tej sprawie prowadzone jest pod sygnaturą [...]; 11. W prowadzonym przez Departament Kontroli i Naruszeń Urzędu Ochrony Danych Osobowych postępowaniu pod sygnaturą [...] ustalono, że w wyniku pozostawienia bazy danych klientów Spółki na niezabezpieczonym serwerze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Pierwsze połączenie nastąpiło z adresu IP [...] dnia [...] kwietnia 2020 r. pomiędzy godz. 19:22 a godz. 20:58. Aktywność ta może wskazywać na skopiowanie danych o rozmiarze ok. 5 MB. Natomiast drugie połączenie trwało od [...] kwietnia 2020 r. godz. 23:00 do 16.04.2020 r. godz. 04:06 i nastąpiło za pośrednictwem komputera lub serwera zdefiniowanego numerem IP [...]. W jego wyniku mogło dojść do pobrania danych o wolumenie ok. 11 GB. Następnie organ wskazał, że RODO określa obowiązki administratora danych, do których należy m.in. przetwarzanie danych osobowych z zachowaniem przesłanek określonych w tym rozporządzeniu. Przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 rozporządzenia 2016/679, zgodnie z którym przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest co najmniej jedna z przesłanek wskazanych w tym przepisie. Prezes UODO wyjaśnił, że zebrany w sprawie materiał dowodowy wykazał, że skarżąca była klientką Spółki do [...].03.2020 r., wobec czego podstawę prawną uprawniającą Spółkę do przetwarzania jej danych osobowych stanowił art. 6 ust. 1 lit. b RODO, zgodnie z którym przetwarzanie jest zgodne z prawem, gdy jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Organ podkreślił, że przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (art. 4 pkt 2 RODO). PUODO stwierdził, że Spółka była uprawniona do przetwarzania danych osobowych skarżącego, ale nie w kwestionowanym zakresie, tj. do ujawnienia poprzez ich udostępnienie. Organ podniósł również, że proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO. Do zasad tych zalicza się między innymi zasadę poufności (lit. f). Wspomniana zasada wymaga, aby proces przetwarzania danych osobowych odbywał się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem danych osobowych oraz przypadkową ich utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. W motywie 39 RODO wyjaśniono, że dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym między innymi ochronę przed nieuprawnionym dostępem do nich. W przedmiotowej sprawie należało oczekiwać od Spółki określonego działania, tj. odpowiedniego zabezpieczenia danych, co zniwelowałoby ryzyko ich utraty. To jednak brak działania był przyczyną ujawnienia poprzez udostępnienie danych osobowych prowadząc do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie jej zawartości. Dalej Prezes UODO podał, że [...] maja 2018 r. Spółka zawarła umowę powierzenia przetwarzania danych z P. sp. z o.o., z którą łączy ją również wcześniej zawarta umowa o współpracy. Na podstawie ww. umowy P. sp. z o.o. przetwarza w imieniu Spółki dane osobowe jej klientów w celu ich przechowywania (archiwum dokumentów) wraz z usługami towarzyszącymi, archiwizacji cyfrowej dokumentów oraz skanowania dokumentacji wraz z indeksacją opisową na rzecz Spółki. W relacji tej Spółka jest administratorem danych a P. sp. z o.o. podmiotem przetwarzającym. Organ wskazał, że zgodnie z art. 4 pkt 7 i 8 RODO "administrator" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Natomiast "podmiot przetwarzający" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. PUODO wyjaśnił, że przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora (art. 28 ust. 3 rozporządzenia 2016/679). Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą (art. 28 ust. 1 RODO). Następnie organ zwrócił uwagę na treść art. 32 RODO, zgodnie z którym uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym m.in. w stosownym przypadku: a) pseudonimizację i szyfrowanie danych osobowych, b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się, w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (art. 32 ust.2 RODO). W ocenie organu ze zgromadzonego w niniejszej sprawie materiału dowodowego wynika, że w okresie od [...] kwietnia 2020 r. do [...] kwietnia 2020 r. doszło do naruszenia ochrony danych osobowych klientów Spółki, w tym danych osobowych wnioskodawczyni, poprzez ich udostępnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy, tj. P. sp. z o.o., świadczącego usługi cyfrowego archiwum na rzecz Spółki. W wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Pierwsze połączenie nastąpiło z adresu IP [...] dnia [...] kwietnia 2020 r. pomiędzy godz. 19:22 a godz. 20:58. Aktywność ta może wskazywać na skopiowanie danych o rozmiarze ok. 5 MB. Natomiast drugie połączenie trwało od [...] kwietnia 2020 r. godz. 23:00 do [...].04.2020 r. godz. 04:06 i nastąpiło za pośrednictwem komputera lub serwera zdefiniowanego numerem IP [...]. W jego wyniku mogło dojść do pobrania danych o wolumenie ok. 11 GB. Powyższy incydent doprowadził do naruszenia poufności danych osobowych skarżącego w zakresie imienia, nazwiska oraz numeru PESEL. Organ zwrócił uwagę, że do naruszenia bezpieczeństwa danych osobowych doszło w środowisku informatycznym podmiotu P. sp. z o.o., jednak w procesie przetwarzania danych osobowych działał on jako podmiot przetwarzający, a zatem w imieniu i na rzecz Spółki. W związku z tym, to Spółka ponosi odpowiedzialność za wskazane naruszenie. Udostępnienie danych osobowych wnioskodawczyni podmiotom i osobom do tego nieupoważnionym, odbyło się z naruszeniem przez Spółkę, jako administratora danych, przepisów ochrony danych osobowych (art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO). Zdaniem organu Spółka naruszyła również zasadę poufności poprzez przetwarzanie danych wnioskodawczyni w sposób niezapewniający im odpowiedniego bezpieczeństwa, gdyż port bazy danych, z której nastąpiło udostępnienie danych wnioskodawczyni nie był w żaden sposób zabezpieczony, co stanowi bezsprzecznie o niezastosowaniu właściwego poziomu bezpieczeństwa, a co za tym idzie, o odpowiedzialności Spółki za udostępnienie (w tym przypadku przetworzenie) danych osobowych. Prezes UODO następnie wyjaśnił, że prowadzone przez niego postępowanie administracyjne służy kontroli zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej. Decyzje PUODO służą zastosowaniu uprawnień naprawczych, o których mowa w art. 58 ust. 2 RODO, m.in. poprzez udzielenie upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operację przetwarzania (art. 58 ust. 2 lit. b RODO). Organ stwierdził, że Spółka dopuściła się naruszenia art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO poprzez udostępnienie danych osobowych wnioskodawczyni podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum. W związku z powyższym, Prezes UODO korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. b RODO udzielił Spółce w punkcie 1 decyzji upomnienia. Uzasadniając rozstrzygnięcie z punktu 2 decyzji organ, odnosząc się do żądania wnioskodawczyni zakresie usunięcia jej danych osobowych z zasobów Spółki podniósł, że z dniem [...].03.2020 r. umowa łącząca wnioskodawczynię ze Spółką uległa rozwiązaniu, zatem odpadła podstawa prawna uprawniająca do ich przetwarzania (tj. art. 6 ust. 1 lit. b RODO). Prezes UODO nie może jednak uznać za zasadne nakazanie Spółce usunięcia danych osobowych wnioskodawczyni w zakresie jej imienia, nazwiska, adresu, numeru telefonu i numeru PESEL na podstawie uprawnienia z art. 58 ust. 2 lit. c RODO. Baza, w której znajdują się dane osobowe wnioskodawczyni może być bowiem zachowana w celach dowodowych do czasu zakończenia postępowania prowadzonego przez Prokuraturę Okręgową w [...] oraz prowadzonego przez Prezesa Urzędu Ochrony Danych Osobowych postępowania administracyjnego. Wnioskodawczyni po odstąpieniu od umowy nie wyrażała zgody na przetwarzanie jej danych osobowych przez Spółkę. Zgodnie z art. 17 ust. 1 lit. a RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane. Prezes UODO wskazuje jednak, że Spółka legitymuje się podstawą prawną do dalszego przetwarzania danych wnioskodawczyni w celach dowodowych. Baza danych, w której znajdują się dane osobowe wnioskodawczyni, może stanowić dowód zarówno w postępowaniu karnym jak i w postępowaniu prowadzonym z urzędu przez Prezesa UODO. Spółka ma obowiązek prawny w przetwarzaniu tych danych (art. 6 ust. 1 lit. c rozporządzenia 2016/679), wynikający z art. 167 ustawy z dnia 6 czerwca 1997 r. Kodeks postępowania karnego (Dz. U. z 2021 r. poz. 534 ze zm.), zgodnie z którym dowody przeprowadza się na wniosek stron albo z urzędu, a także obowiązek wynikający z art. 5 ust. 2 RODO, zgodnie z którym administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie. W Spółce prowadzono przez Prezesa UODO postępowanie kontrolne, a dane osobowe, będące przedmiotem wycieku są niezbędne do ustalenia okoliczności faktycznych sprawy i dalszego procedowania tak przed Prezesem UODO jak i sądem administracyjnym. Dlatego zdaniem organu nakazania usunięcia danych należało odmówić, jak w punkcie 2 decyzji. Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2023 r. nr [...] w części dotyczącej punktu 1 stała się przedmiotem skargi F. S.A. z siedzibą w [...], reprezentowanej przez radcę prawnego, do Wojewódzkiego Sądu Administracyjnego w Warszawie. Wnosząc o uchylenie decyzji w części dotyczącej punktu 1 i zasądzenie zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przepisanych, zaskarżonej w punkcie 1 decyzji pełnomocnik zarzucił: - naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 7, art. 8, art. 11 w zw. z art. 107 § 3 oraz art. 77 § 1 k.p.a. w zw. z art. 7 ust. 1 u.o.d.o., polegające na niezastosowaniu zasad ogólnych postępowania administracyjnego: prawdy obiektywnej, pogłębiania zaufania obywateli do organów administracji publicznej, wyjaśnienia zasadności przesłanek (zasady przekonywania) oraz obowiązku zebrania i rozpatrzenia całego materiału dowodowego w sposób wyczerpujący, co doprowadziło do wydania wadliwej i przedwczesnej decyzji; - naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 80 k.p.a. w zw. z art. 7 ust. 1 u.o.d.o. polegające na przekroczeniu granic swobodnej oceny dowodów i - w konsekwencji - błędnym przyjęciu, że Spółka przetwarzała dane osobowe uczestniczki postępowania bez podstawy prawnej, podczas gdy podstawa ta istniała w postaci art. 6 ust. 1 lit c RODO, a ewentualne naruszenie poufności danych osobowych uczestnika postępowania nie może zostać zakwalifikowane jako udostępnienie danych poprzez ich udostępnienie przez administratora; - naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 RODO, polegające na błędnej jego wykładni skutkującej przyjęciem, że Spółka przetwarzała dane osobowe uczestniczki postępowania poprzez ich udostępnienie osobom nieupoważnionym, a zatem bez podstawy prawnej, podczas gdy w stanie faktycznym sprawy należało rozważyć jedynie możliwość naruszenia poufności danych osobowych, w rozumieniu art. 5 ust. 1 lit f RODO w zw. z 32 RODO. Pełnomocnik wniósł o rozpoznanie sprawy w trybie uproszczonym, na podstawie art. 119 pkt 2 ustawy – Prawo o postępowaniu przed sądami administracyjnymi. W uzasadnieniu skargi pełnomocnik wskazał, że w zakresie ustalenia stanu faktycznego sprawy organ oparł się w całości na oświadczeniu F. oraz swoich własnych ustaleniach poczynionych w sprawie o sygnaturze [...], dotyczącej zgłoszenia naruszenia bezpieczeństwa ochrony danych przez F. z dnia [...] kwietnia 2020 r. Pełnomocnik zwrócił uwagę, że organ błędnie powołał przepisy RODO, które rzekomo naruszyła Spółka, czym sam naruszył art. 7, 8 i art. 11 w zw. z art. 107 § 3 k.p.a. Prezes UODO w uzasadnieniu zaskarżonej decyzji wskazał, iż Spółka dopuściła się naruszenia przepisów RODO przez udostępnienie danych osobowych skarżącego podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum. W sentencji decyzji zaś PUODO orzekł, że udziela upomnienia za naruszenie przepisów art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO polegające na udostępnieniu danych osobowych uczestniczki postępowania podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz Spółki. Sentencja decyzji w żadnym razie zatem nie odpowiada jej uzasadnieniu. Z uzasadnienia wnioskować bowiem można, że kara upomnienia została nałożona za naruszenie poufności danych (art. 5 ust. 1 lit. f RODO), ale już z samej sentencji wynika, że dotyczy ona przetwarzania bez podstawy prawnej (art. 6 ust. 1 RODO), polegającego na udostępnieniu danych osobom nieupoważnionym. Zdaniem Spółki stanowisko organu wyrażone w uzasadnieniu zaskarżonej decyzji jest niekonsekwentne. Z jednej strony organ wydaje się całkowicie pomijać stan faktyczny sprawy oraz działania, które zostały podjęte przez Spółkę, z drugiej strony sam przywołuje działania podjęte przez nią. Spółka podniosła, że decyzja wydana przez PUODO w sprawie o sygnaturze [...], której ustalenia faktyczne stanowiły podstawę wydania zaskarżonej decyzji w sprawie niniejszej została uchylona w wyniku kontroli sądowej przez Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 10 października 2022 r. (sygn. akt. II SA/Wa 567/22) ze względu na istniejące poważne nieprawidłowości po stronie organu w zakresie ustalenia stanu faktycznego. Tym samym oznacza to, że zaskarżona decyzja narusza art. 77 i 80 k.p.a., gdyż nie została oparta na prawidłowo ustalonym stanie faktycznym. Organ nie ustalił w szczególności, czy rzeczywiście i w jakim zakresie doszło do naruszenia przez Spółkę zasady poufności z art. 5 ust. 1 lit f RODO w zw. z art. 32 i nast. RODO. Spółka zarzuciła również, że zastosowany środek naprawczy w postaci upomnienia jest nieadekwatny i oderwany od realiów sprawy. Prezes UODO wskazał wprawdzie stan, który uznał za niepożądany, udzielając Spółce upomnienia (organ określił go błędnie jako brak uprawnienia Spółki do przetwarzania danych osobowych uczestniczki w zakresie ujawnienia poprzez ich udostępnienie); nie wskazał jednak czy i w jakim zakresie Spółka uchybiła swoim obowiązkom - poza "udostępnieniem danych", czego w istocie nie uczyniła. Jak wskazał PUODO "do naruszenia bezpieczeństwa danych osobowych doszło w środowisku informatycznym podmiotu P. sp. z o.o." Spółka podniosła, że nie można jednak zgodzić się z dalszą częścią wywodu PUODO, wedle której "jednak w procesie przetwarzania danych osobowych działał on [P. sp. z o.o.] jako podmiot przetwarzający, a zatem w imieniu i na rzecz spółki [F.]. W związku z tym to Spółka [F.] ponosi odpowiedzialność za wskazane naruszenie". Zdaniem Spółki organ w płynny sposób przeszedł od "udostępnienia" danych do przypisania F. odpowiedzialności za "naruszenie bezpieczeństwa danych osobowych", nie dokonując w tym zakresie żadnych ustaleń faktycznych. Tymczasem kwestia naruszenia przez Spółkę poufności danych jest przedmiotem oceny w odrębnym postępowaniu, w którym decyzja PUODO [...] została uchylona przez WSA w Warszawie. Pełnomocnik wskazał m.in., że nie sposób przypisać prawodawcy intencji ustanowienia reguły odpowiedzialności administratora za utratę czy też ujawnienie danych na zasadzie ryzyka. Następnie Spółka wskazała, iż zarzuca zaskarżonej decyzji także naruszenie przepisów prawa materialnego, tj. art. 6 ust. 1 RODO, polegające na błędnej jego wykładni skutkującej przyjęciem, że przetwarzała dane osobowe uczestniczki postępowania poprzez ich udostępnienie osobom nieupoważnionym, a zatem, że nastąpiło to bez podstawy prawnej, podczas gdy w stanie faktycznym sprawy należało rozważyć jedynie możliwość naruszenia poufności danych osobowych, w rozumieniu art. 5 ust. 1 lit f RODO. Spółka nie zgodziła się z zarzutem organu wskazującym, iż dopuściła się naruszenia art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO. Zdaniem Spółki w żadnym wypadku w rozpatrywanej sprawie nie doszło do przetwarzania przez nią danych osobowych bez podstawy prawnej poprzez ich udostępnienie podmiotom nieupoważnionym. Pełnomocnik wskazał, że w czasie naruszenia bezpieczeństwa danych osobowych uczestniczki, tj. w okresie od [...] do [...] kwietnia 2020 r. Spółka skarżąca przetwarzała dane osobowe uczestniczki wyłącznie na podstawie art. 6 ust. 1 lit. f RODO przez czas przedawnienia roszczeń oraz na podstawie art. 6 ust. 1 lit. c RODO, czyli obowiązku przechowywania niektórych danych na podstawie przepisów prawa i nie dokonywała ich udostępnienia innym administratorom. Spółka zwróciła uwagę, że w orzecznictwie: pojęcie "przetwarzania" opisuje czynność. Ze swej natury musi mieć ona swojego sprawcę. Spółka przytoczyła fragmenty uzasadnienia wyroku wyrok WSA w Warszawie z dnia 23 czerwca 2022 r., sygn. akt II SA/Wa 3752/21 i wskazała, że w niniejszej sprawie celem przetwarzania danych uczestniczki postępowania przez Spółkę nigdy nie było udostępnienie jej danych. Zdaniem Spółki dostęp do danych przez osoby nieupoważnione należałoby rozważać wyłącznie w kategoriach naruszenia art. 5 ust. 1 lit. f w zw. z art. 32 RODO, jednakże w tym zakresie organ nie ustalił stanu faktycznego w zakresie pozwalającym na stwierdzenie, że wyżej wymienione przepisy mogą mieć zastosowanie. Jednocześnie nawet uznanie, że w rozpatrywanym stanie faktycznym mogło dojść do naruszenia bezpieczeństwa danych osobowych, nie oznacza, że Spółka dokonała czynności przetwarzania poprzez ujawnienie danych osobom nieupoważnionym. Kwestię ujawnienia (w tym również udostępnienia) danych bez podstawy prawnej odróżnić należy od przypadków, gdy osoba trzecia uzyskuje dostęp do danych bez działania osoby je przetwarzającej. Spółka przywołała wyrażony w doktrynie pogląd, z godnie z którym "Jeżeli zatem osoba trzecia złamie zabezpieczenia techniczne chroniące dane osobowe przed dostępem do nich lub ukradnie dokumenty zawierające dane osobowe, to nie będzie to udostępnienie danych osobowych. Takie sytuacje trzeba bowiem kwalifikować jako uzyskanie, niezgodnie z prawem, dostępu do danych osobowych." [D. Lubasz, W. Chomiczewski, M. Czerniawski, P. Drobek, U. Góral, M. Kuba, P. Makowski, K. Witkowska-Nowakowska, art. 4 (w:) RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, Warszawa 2018, pkt 16). Zdaniem Spółki w niniejszej sprawie za takie przełamanie zabezpieczeń należy właśnie uznać dwa połączenia z jej bazą danych, w ramach której były przetwarzane dane osobowe uczestniczki postępowania. W odpowiedzi na skargę Prezes UODO wniósł o oddalenie skargi, podtrzymując argumentację zawartą w zaskarżonej decyzji. Organ odniósł się do zarzutów skargi wskazując na ich niezasadność. Organ nie wnosił o przeprowadzenie rozprawy. Prezes UODO podniósł nadto m.in., że niezrozumiałe jest na jakiej podstawie Spółka stwierdziła, że z uzasadnienia zaskarżonej decyzji można było wywnioskować, że nałożone na Spółkę upomnienie było konsekwencją naruszenia jedynie zasady poufności. PUODO ustalił, iż doszło do naruszenia poufności danych osobowych. Kwestia ta w świetle zebranych dowodów jest bezsporna i nie budząca wątpliwości. Organ wskazał, że przedmiotowej sprawie należało oczekiwać od Spółki określonego działania (co zostało wskazane w skarżonej decyzji), tj. odpowiedniego zabezpieczenia danych, co zniwelowałoby ryzyko ich utraty. To jednak brak działania był przyczyną udostępnienia danych osobowych prowadząc do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie jej zawartości. W myśl motywu 39 RODO, dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym między innymi ochronę przed nieuprawnionym dostępem do nich. W związku z tym należało się do ww. naruszenia odnieść w treści uzasadnienia decyzji, gdyż ten fakt spowodował przetworzenie danych osobowych uczestnika postępowania, tj. ich udostępnienie i to ono było przedmiotem postępowania. Podstawą badania udostępnienia było zaś znalezienie podstawy prawnej takiego przetworzenia, której - zgodnie z ustaleniami PUODO - nie było. W związku z powyższym, organ był zobligowany do odniesienia się do naruszenia zasady poufności przez Spółkę, której skutkiem było kwestionowane przetworzenie, tj. udostępnienie danych osobowych skarżącego i tak też określił podstawę prawną zarówno w sentencji, jak i uzasadnieniu decyzji (art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f). Organ ustosunkowując się do treści skargi zwrócił również uwagę, że w sprawie nie doszło do złamania zabezpieczeń, lecz do ich niezastosowania polegającego na niezabezpieczeniu hasłem dostępu do bazy danych osobowych, tym samym zaś na umożliwieniu dostępu do nich i finalnie ich udostępnieniu, a więc przetworzeniu. Odnosząc się do wyroku wydanego w sprawie II SA/Wa 567/22 organ wskazał, że Sąd w tym wyroku orzekł o naruszeniu przez PUODO art. 11 k.p.a. polegającym na niewystarczającym uzasadnieniu ww. decyzji poprzez brak oceny wiarygodności oświadczeń stron skutkującym brakiem ustalenia stanu faktycznego sprawy w aspekcie niewdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, w wyniku którego doszło do naruszenia ich poufności, oraz polegającym na braku weryfikacji, czy zapewnione zostały wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Sąd nie uchylił ww. decyzji z powodu zakwestionowania faktu, że do samego udostępnienia doszło. Kwestionował jedynie ustalenia organu dotyczące zabezpieczeń bazy danych i mechanizmów ich kontroli przyjętych pomiędzy administratorem danych a podmiotem przetwarzającym. Przyczyną zaś zaistnienia przedmiotu sprawy, w której wydano zaskarżoną decyzję było udostępnienie danych osobowych prowadzące do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie jej zawartości. Takie zdarzenie zostało stwierdzone przez kontrolerów PUODO i dla Sądu orzekającego w sprawie sygn. akt. II SA/Wa 567/22 było ono bezsporne. Prezes UODO odnosząc się do skargi stwierdził nadto m.in., że w zaskarżonej decyzji stwierdził, że Spółka miała podstawę prawną do przetwarzania danych osobowych uczestniczki, jednak nie była uprawniona do ich przetwarzania poprzez udostępnienie tychże danych. W piśmie procesowym z dnia [...] września 2023 r. Spółka podtrzymała zarzuty skargi. Spółka wniosła również o dopuszczenie i przeprowadzenie dowodu z dokumentu, tj. postanowienia Prokuratury Okręgowej w [...] o umorzeniu dochodzenia z dnia [...] kwietnia 2021 r. w sprawie o sygn. akt [...]. Zdaniem pełnomocnika przeprowadzenie tego dowodu jest niezbędne do wyjaśnienia istotnych wątpliwości. Spółka podniosła, że w postanowieniu tym Prokuratura Okręgowa w [...] postanowieniem umorzyła dochodzenie: I. w sprawie uzyskania bez uprawnień w okresie od [...] kwietnia 2020 roku do [...] kwietnia 2020 roku w nieustalonym miejscu za pośrednictwem sieci Internet poprzez niezabezpieczony port serwera informacji dla niego nieprzeznaczonej w postaci bazy danych klientów firmy F. S.A. , tj. o czyn z art. 267 § 1 k.k. - wobec stwierdzenia, że czyn nie zawiera znamion czynu zabronionego; II. w sprawie przetwarzania, w nieustalonym okresie od [...] kwietnia 2020 roku do [...] kwietnia 2020 roku w [...], danych osobowych klientów firmy F. S.A. chociaż ich przetwarzanie nie jest dopuszczalne lub bez uprawnienia, tj. o czyń z art. 107 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych - wobec stwierdzenia, że czyn nie zawiera znamion czynu zabronionego. Spółka zwróciła uwagę, że w treści uzasadnienia powyższego postanowienia wskazano: "Dane personalne klientów F. S.A. poprzez błąd ludzki zostały pozostawione na niezabezpieczonym serwerze danych, skąd zostały dwukrotnie skutecznie pobrane przez M.B. i V.D.. Niezwłoczna reakcja tychże dwóch osób i powiadomienie właściciela danych o ich wycieku, uchroniło wskazane informacje przed dalszym skutecznym pobieraniem z serwera i następczym rozpowszechnianiem". Zdaniem Spółki bezzasadny jest zatem zarzut PUODO jakoby Spółka nie podjęła określonego działania, bowiem niezwłocznie po uzyskaniu informacji od wyżej wskazanych osób dostęp do danych został zabezpieczony. Nie zaistniało wobec tego żadnego rodzaju udostępnianie danych klientów Spółki osobom nieupoważnionym. Z.W. uczestniczka postępowania w piśmie procesowym z dnia [...] października 2023 r. przychyliła się do stanowiska organu w zakresie oddalenia skargi. Podniosła, że organ rzetelnie i obiektywnie przeprowadził postępowanie, które potwierdziło podnoszone przez nią zarzuty. Uczestniczka nie wnosiła o przeprowadzenie rozprawy. Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje. Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (t.j. Dz. U. z 2022 r., poz. 2492), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. W świetle powołanych przepisów, Wojewódzki Sąd Administracyjny w Warszawie, w zakresie swojej właściwości, ocenia zaskarżoną decyzję administracyjną, postanowienie, czy też inny akt lub czynność z zakresu administracji publicznej dotyczącą uprawnień lub obowiązków wynikających z przepisów prawa, z punktu widzenia ich zgodności z prawem materialnym i przepisami postępowania administracyjnego, według stanu faktycznego i prawnego obowiązującego w dacie wydania tego aktu lub podjęcia spornej czynności. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej dokonywaną wyłącznie pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności, czy też zgodności z zasadami współżycia społecznego. Sprawa rozpoznana została w trybie uproszczonym. Zgodnie z art. 119 pkt 2 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi Dz. U. z 2023 r., poz. 1634 ze zm.), zwanej dalej p.p.s.a., sprawa może być rozpoznana w trybie uproszczonym, jeżeli strona zgłosi wniosek o skierowanie sprawy do rozpoznania w trybie uproszczonym, a żadna z pozostałych stron w terminie czternastu dni od zawiadomienia o złożeniu wniosku nie zażąda przeprowadzenia rozprawy. Stosownie do treści art. 134 § 1 p.p.s.a., sąd rozstrzyga w granicach danej sprawy nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną. Sąd nie może wydać orzeczenia na niekorzyść skarżącego, chyba że stwierdzi naruszenie prawa skutkujące stwierdzeniem nieważności zaskarżonego aktu lub czynności (§ 2). Skarga oceniana w świetle powyższych kryteriów nie podlegała uwzględnieniu. W sprawie tej Sąd dokonując oceny legalności decyzji Prezesa UODO w zaskarżonym zakresie dotyczącym jej punktu 1, zobowiązany był – co do zasady – zbadać jej zgodność przede wszystkim z przepisami prawa europejskiego, w tym w szczególności z regulacjami RODO. W ocenie Sądu, analizowana pod tym kątem skarga nie zasługuje na uwzględnienie, albowiem decyzja Prezesa UODO z dnia [...] czerwca 2023 r. w kwestionowanym zakresie dotyczącym punktu 1 – nie narusza obowiązujących przepisów prawa. Sąd uznał, że Prezes UODO, wydając decyzję w kwestionowanym zakresie nie dopuścił się naruszenia zarówno wiążących Polskę przepisów prawa europejskiego, jak i regulacji prawa krajowego, w tym k.p.a., w stopniu mającym istotny wpływ na końcowy wynik sprawy zakończonej wydaniem zaskarżonej decyzji. Prezes Urzędu Ochrony Danych Osobowych jest organem właściwym w sprawie ochrony danych osobowych (art. 34 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych) i jednocześnie organem nadzorczym, w rozumieniu RODO (art. 34 ust. 2 u.o.d.o.). Jak stanowi art. 57 ust. 1 lit. a i lit. f RODO, bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia, a także rozpatruje skargi wniesione przez osobę, której dane dotyczą. W wyniku przeprowadzonej analizy stanowiska Prezesa UODO przedstawionego w uzasadnieniu zaskarżonej decyzji w kwestionowanym zakresie, Sąd stwierdził, że - wbrew zarzutom skargi – organ ochrony danych osobowych, rozstrzygając w punkcie 1 decyzji, nie dopuścił się - mogącego mieć wpływ na wynik sprawy - naruszenia przepisów procedury administracyjnej, a w szczególności art. 7 k.p.a., art. 8 k.p.a. art. 11 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a., czy art. 107 § 3 k.p.a., albowiem organ wyjaśnił wszystkie okoliczności istotne dla prawidłowego i pełnego rozstrzygnięcia niniejszej sprawy, w granicach prowadzonego postępowania, wyznaczonych skargą uczestniczki niniejszego postępowania. Prezes UODO dokonał także zdaniem Sądu właściwej oceny zebranego w sprawie materiału dowodowego, dokonując tej oceny w kontekście prawidłowo zastosowanych przepisów RODO. W działaniach Prezesa Urzędu Ochrony Danych Osobowych, jako organu administracji publicznej, w tej sprawie Sąd nie stwierdził jakichkolwiek istotnych nieprawidłowości, zarówno w zakresie dokonanych ustaleń stanu faktycznego, jak i zastosowania do jego oceny przepisów prawa materialnego. Uzasadnienie zaskarżonej decyzji odpowiada wymogom art. 107 § 3 k.p.a., Prezes UODO wyjaśnił motywy podjętego w punkcie 1 rozstrzygnięcia i powody, jakie legły u jego podstaw. Argumentacja organu jest w tym zakresie wyczerpująca i wyjaśnia dlaczego zapadło takie a nie inne rozstrzygnięcie. Podkreślenia wymaga, że celem postępowania administracyjnego jest rozstrzygnięcie sprawy administracyjnej dotyczącej konkretnej osoby (podmiotu danych). W wyniku postępowania wyjaśniającego organ administracji publicznej ma dojść do wskazanej w art. 7 k.p.a. prawdy obiektywnej, co czyni za pomocą środków dowodowych. W sprawie tej organ dokonał niezbędnych ustaleń faktycznych, opartych na oświadczeniu Spółki i własnych ustaleniach. W sprawie jest bezsporne, że uczestniczka postępowania była klientką Spółki skarżącej do [...] marca 2020 r. Spółka w dniu [...] kwietnia 2020 r. powzięła ona informację o możliwym naruszeniu bezpieczeństwa danych osobowych. Spółka ustaliła, że do naruszenia poufności danych osobowych doszło w środowisku informatycznym podmiotu przetwarzającego, tj. P. sp. z o.o. oraz że naruszenie to obejmowało pomocniczą bazę archiwum cyfrowego zawierającą indeksy wyszukiwania. Jeden z portów ww. bazy znajdującej się w chmurze nie został zabezpieczony hasłem, co umożliwiało osobom nieupoważnionym dostęp do tej bazy w okresie od [...] kwietnia 2020 r. do [...] kwietnia 2020 r. Okoliczności te potwierdza również treść załączonego przez Spółkę do pisma procesowego z dnia [...] września 2023 r., uzasadnienia postanowienia Prokuratury Okręgowej w [...] o umorzeniu dochodzenia z dnia [...] kwietnia 2021 r. w sprawie sygn. akt [...]. Spółka samodzielnie ustaliła, że w przypadku uczestniczki postępowania doszło do naruszenia poufności danych osobowych w zakresie imienia, nazwiska, numeru PESEL, numeru kontaktowego/adresu e-mail (jeśli podano), danych dotyczących Umowy (numer umowy) oraz numeru punktu poboru. Zgodnie z art. 4 pkt 1 RODO, dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Z motywu 26 RODO wynika, że zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Pseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej. Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. [...] Rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych. W sprawie nie ma zatem wątpliwości, że wymienione wyżej dane stanowią dane osobowe. Uczestniczka postępowania była klientem Spółki do [...] marca 2020 r., stąd też zasadnie organ wskazał, że przetwarzanie jej danych osobowych przez Spółkę znajdowało oparcie w art. 6 ust. 1 lit b RODO. Zgodnie z tym przepisem przetwarzanie jest zgodne z prawem, gdy jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Wprawdzie organ nie rozważył w decyzji podstaw dalszego przetwarzania danych osobowych uczestniczki po dniu [...] marca 2020 r. (Spółka wskazała w tym zakresie w skardze do Sądu na przetwarzanie danych w związku z okresem przedawnienia roszczeń byłego klienta, czy obowiązek przechowywania tych danych na podstawie przepisów prawa), to podkreślenia wymaga, że samo przechowywanie danych osobowych uczestniczki w badanym okresie nie było przez Prezesa UODO kwestionowane w decyzji. W niniejszej sprawie Prezes UODO udzielił bowiem Spółce w punkcie 1 decyzji upomnienia za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO, polegające na udostępnieniu danych osobowych uczestniczki postępowania, podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz Spółki. Istota sprawy sprowadzała się zatem do oceny legalności udostępnienia (ujawnienia) danych osobom nieuprawnionym. Z ustaleń organu, dokonanych m.in. w oparciu o wyjaśnienia Spółki, wynika, że w okresie od [...] kwietnia 2020 r. do [...] kwietnia 2020 r. doszło do naruszenia ochrony danych osobowych klientów Spółki, w tym danych osobowych uczestniczki postepowania, poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy, tj. P. sp. z o.o., świadczącego usługi cyfrowego archiwum na rzecz Spółki. W wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Pierwsze połączenie nastąpiło z adresu IP [...] dnia [...].04.2020 r. pomiędzy godz. 19:22 a godz. 20:58. Aktywność ta może wskazywać na skopiowanie danych o rozmiarze ok. 5 MB. Natomiast drugie połączenie trwało od [...].04.2020 r. godz. 23:00 do [...].04.2020 r. godz. 04:06 i nastąpiło za pośrednictwem komputera lub serwera zdefiniowanego numerem IP [...]. W jego wyniku mogło dojść do pobrania danych o wolumenie ok. 11 GB. Kwestię pobrania danych potwierdza załączone przez Spółkę do pisma procesowego postanowienie o umorzeniu dochodzenia z dnia [...] kwietnia 2021 r. W sprawie jest bezsporne, że powyższy incydent doprowadził do naruszenia poufności danych osobowych uczestniczki postępowania we wskazanym już wyżej zakresie. Słusznie organ podnosi, iż choć do naruszenia bezpieczeństwa danych osobowych doszło w środowisku informatycznym podmiotu P. sp. z o.o., to jednak w procesie przetwarzania danych osobowych działał on jako podmiot przetwarzający, a zatem w imieniu i na rzecz Spółki. W związku z tym, to Spółka ponosi odpowiedzialność za wskazane naruszenie. Zauważyć bowiem należy, że zgodnie z art. 28 ust. 1 RODO jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. W niniejszej sprawie Spółka skorzystała z usług podmiotu, który nie zapewniał wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO. Trafnie Prezes UODO podniósł, że proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO. Do zasad tych zalicza się między innymi zasadę poufności (lit. f). Wspomniana zasada wymaga, aby proces przetwarzania danych osobowych odbywał się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem danych osobowych oraz przypadkową ich utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. W motywie 39 RODO wyjaśniono, że dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym między innymi ochronę przed nieuprawnionym dostępem do nich. Zdaniem Sądu prawidłowo Prezes UODO zakwalifikował ujawnienie danych osobowych uczestniczki postępowania podmiotom i osobom nieupoważnionym – podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum – jako udostępnienie danych osobowych. Stosownie do art. 4 pkt 2 RODO, przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Spółka podnosi w skardze, że nie dokonywała udostępnienia danych osobowych uczestniczki innym administratorom. Nieuprawnione udostępnienie (ujawnienie) nie odnosi się tylko do udostępnienia danych na rzecz konkretnego innego administratora, czy podmiotu przetwarzającego. Nieuprawnione udostępnienie (ujawnienie) danych dotyczy każdej sytuacji, gdy z danymi miała możliwość zapoznać się jakakolwiek osoba nieuprawniona, co w tej sprawie jest bezsporne (potwierdza to przedłożone przez skarżącą Spółkę postanowienie o umorzeniu dochodzenia). Podkreślenia wymaga, że istotą sprawy administracyjnej dotyczącej ochrony danych osobowych ze skargi uczestniczki postępowania nie jest ustalenie kwestii odpowiedzialności osoby trzeciej nieupoważnionej, nieuprawnionej do pozyskania danych (zapoznania się z nimi), ale kwestia odpowiedzialności administratora za zgodność z RODO przetwarzania danych osobowych. Okoliczność, że to nie Spółka skarżąca dokonała bezpośrednio udostępnienia danych uczestniczki postępowania a podmiot przetwarzający nie wyłącza odpowiedzialności Spółki w zakresie oceny zgodności z prawem tego przetwarzania – udostępnienia danych, zwłaszcza w sytuacji gdy do tego udostępnienia (ujawnienia danych) doszło w wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze. Zgodnie z art. 5 ust. 1 lit. f RODO dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność"). Poufność danych należy rozumieć w ten sposób, że nie będą one udostępniane osobom i podmiotom nieuprawnionym. Dane osobowe powinny być również odpowiednio chronione przed przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (zasada integralności danych). Integralność chroni dane przed ich nieuprawnionym zniszczeniem lub uszkodzeniem. W celu wypełnienia zasady poufności i integralności danych administrator (a także podmiot przetwarzający) wdraża odpowiednie środki techniczne i organizacyjne. Wdrożenie środków technicznych i organizacyjnych nie może mieć charakteru jednorazowego. Środki te powinny podlegać okresowemu przeglądowi i ewentualnej aktualizacji. Art. 5 ust. 2 RODO stanowi, że administrator jest odpowiedzialny za przestrzeganie omówionych powyżej zasad i powinien być w stanie wykazać ich przestrzeganie, co zostało w rozporządzeniu nazwane "rozliczalnością". Powyższe przepisy nakładają zatem na administratora obowiązki w zakresie przestrzegania zasad i obarczają go odpowiedzialnością za ich naruszenie. Na gruncie RODO pojęcie rozliczalności oznacza odpowiedzialność za przestrzeganie przepisów rozporządzenia i możność wykazania ich przestrzegania. Stwierdzenie, że administrator powinien być w stanie wykazać przestrzeganie zasad, odczytywać można jako nałożenie na administratora ciężaru dowodowego w zakresie przestrzegania zasad przetwarzania danych. W razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym, administrator powinien być w stanie przedstawić dowody na to, że przestrzega zasad. W przypadku naruszenia, do którego doszło (jak w niniejszej sprawie), to na administratorze spoczywał obowiązek wykazania, iż zasady określone w RODO były przestrzegane. Okolicznością niesporną w sprawie jest zaś to, że miało miejsce naruszenie ochrony danych osobowych uczestniczki postępowania, poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy, tj. P. sp. z o.o., świadczącego usługi cyfrowego archiwum na rzecz Spółki. W wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze, co umożliwiło dostęp osobom nieupoważnionym. Tak wskazywała sama Spółka w toku postępowania przed PUODO. Potwierdza to również treść uzasadnienia postanowienia Prokuratury Okręgowej w [...] o umorzeniu dochodzenia z dnia [...] kwietnia 2021 r. Poza sporem pozostaje fakt, że w wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. W świetle powyższego nie budzi wątpliwości poprawność konkluzji organu, że skarżąca Spółka jako administrator danych osobowych nie zastosowała właściwego poziomu bezpieczeństwa, co doprowadziło do nieuprawnionego udostępnienia danych osobowych uczestniczki postępowania i w sytuacji złożenia indywidualnej skargi, skutkuje odpowiedzialnością administratora na gruncie RODO. Podkreślenia wymaga, że w sprawie będącej przedmiotem rozpoznania przez Sąd nie chodziło o ustalenie stopnia wadliwości zabezpieczeń technicznych stosowanych przez P. sp. z o.o. Zwrócić trzeba uwagę, że innym postępowaniem jest postępowanie w ramach którego dokonywana jest ocena prawidłowości stosowania przepisów sekcji 1 (Obowiązki ogólne) czy sekcji 2 (Bezpieczeństwo danych osobowych) rozdziału IV RODO, czego w tej sprawie organ nie dokonywał, a innym rozpatrywanie przez organ indywidualnej skargi wniesionej przez osobę, której dane dotyczą w zakresie zgodności przetwarzania jej danych z przepisami RODO. Zgodnie z art. 77 ust. 1 RODO, bez uszczerbku dla innych administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie. Uczestniczka postępowania miała zatem prawo wystąpić do Prezesa UODO z indywidualną skargą podnosząc kwestię niezgodnego z przepisami RODO przetwarzania (tj. ujawnienia) podmiotom nieuprawnionym jej danych osobowych przez administratora. Zasadnie zatem organ prowadził to postępowanie i rozstrzygnął je decyzją udzielając upomnienia Spółce za naruszenie RODO polegające na udostępnieniu bez podstawy prawnej danych osobowych uczestniczki postępowania podmiotom nieuprawnionym. Należy podzielić stanowisko PUODO, iż zgodnie z motywem 39 RODO, dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym między innymi ochronę przed nieuprawnionym dostępem do nich. Opisana wyżej okoliczność polegająca na niezabezpieczeniu hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze spowodowała, że dane osobowe uczestniczki postepowania zostały ujawnione podmiotom do tego nieuprawnionym. W przedmiotowej sprawie nie doszło do złamania zabezpieczeń technicznych, lecz do ich niezastosowania polegającego na niezabezpieczeniu hasłem dostępu do bazy danych osobowych, tym samym zaś na umożliwieniu dostępu do nich i finalnie ich ujawnieniu, a więc przetworzeniu. Raz jeszcze wskazania wymaga, że niezasadne jest twierdzenie Spółki, iż w tym przypadku nie mamy do czynienia z przetwarzaniem (udostępnieniem) danych osobowych uczestniczki postępowania. Ujawnienie danych osobowych, o którym mowa w powołanym wyżej art. art. 4 pkt 2 RODO, nie musi być wynikiem zaplanowanej operacji i nie musi być równoznaczne z działaniem (aktywnością) takim jak zamierzone przesłanie, czy rozpowszechnienie (aktywne dzielenie się danymi). Może ono polegać także na innego rodzaju udostępnieniu poprzez umożliwienie dostępu do danych. Do takiej sytuacji niewątpliwie doszło w realiach rozpoznanej sprawy. Poprzez opisane wyżej ujawnienie danych osobowych uczestniczki postępowania doszło do ich przetworzenia i to ono było przedmiotem postępowania prowadzonego przez Prezesa UODO. Kluczowe dla oceny takiego przetwarzania było zaś znalezienie dającej do tego podstawy prawnej, której - zgodnie z ustaleniami PUODO - nie było. Sąd taką ocenę podziela. Pamiętać należy, że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Przepis art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej oraz art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących. W świetle przepisów RODO przetwarzanie (a zatem także ujawnienie, udostępnienie) danych osobowych uważa się bowiem za legalne, jeśli ich administrator spełni co najmniej jedną z przesłanek wskazanych w art. 6 ust. 1 RODO, a mianowicie: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów, b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Żadna z powyższych przesłanek nie została w niniejszej sprawie spełniona w odniesieniu do udostępnienia danych osobowych uczestniczki postępowania podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy. Prawidłowo zatem organ uznał, że Spółka dopuściła się naruszenia art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO poprzez ujawnienie danych osobowych uczestniczki postępowania podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum. W związku z powyższym. PUODO korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. b RODO udzielił Spółce upomnienia. Wskazać należy, że jest to jeden z najłagodniejszych środków stosowanych przez Prezesa UODO. Organ pomimo tego, że nie poświęcił więcej uwagi w uzasadnieniu decyzji wyjaśnieniu proporcjonalności zastosowanego środka do stwierdzonej nieprawidłowości w przetwarzaniu danych osobowych nie przekroczył zasad proporcjonalności. Zdaniem Sądu zastosowany środek jest adekwatny do stwierdzonego w decyzji naruszenia RODO. Waga stwierdzonego naruszenia i jego charakter dawały podstawę do zastosowania upomnienia. Decyzja Prezesa UODO w zakwestionowanym zakresie (dotyczącym punktu 1) nie narusza norm prawa materialnego czy procesowego, w stopniu który miałby wpływ na wynik sprawy. Organ prawidło ustalił stan faktyczny sprawy, w wystarczający sposób zebrał i ocenił materiał dowodowy, a następnie w przekonywujący sposób uzasadnił swoje rozstrzygnięcie. Postępowanie administracyjne zostało przeprowadzone zgodnie z zasadami ogólnymi k.p.a., a w szczególności art. 7, art. 8, art. 11 k.p.a., a także innymi normami, zwłaszcza art. 77 i art. 80 k.p.a., a zaskarżone rozstrzygnięcie zostało oparte na prawidłowej interpretacji norm prawa materialnego. Mając powyższe na uwadze Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 w zw. z art. 119 pkt 2 i art. 120 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2023 r., poz. 1634 ze zm.), orzekł jak w wyroku.

Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 14.07.2026. · Źródło