II SA/Wa 2720/21

WyrokWSA w Warszawie2022-04-20

Skład orzekający: Karolina Kisielewicz, Iwona Maciejuk, Michał Sułkowski

Analiza orzeczenia

Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.

Zagadnienie prawne
Czy udostępnienie danych osobowych osobie nieuprawnionej w wyniku błędu pracownika podmiotu, któremu powierzono przetwarzanie danych, stanowi naruszenie przepisów RODO, w szczególności art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO, uzasadniające udzielenie upomnienia?
Ratio decidendi
Udostępnienie danych osobowych osobie nieuprawnionej, nawet w wyniku błędu pracownika podmiotu przetwarzającego, stanowi operację przetwarzania danych w rozumieniu RODO. Jeśli brak jest podstawy prawnej do takiego udostępnienia (art. 6 ust. 1 RODO), dochodzi do naruszenia przepisów o ochronie danych osobowych, co uzasadnia zastosowanie środków naprawczych, takich jak upomnienie, zgodnie z art. 58 ust. 2 lit. b RODO. Postępowanie w sprawie skargi osoby, której dane dotyczą, koncentruje się na ocenie legalności przetwarzania jej danych, a nie na kontroli stosowanych środków bezpieczeństwa.
Stan faktyczny
Spółka udostępniła dane osobowe klientki nieuprawnionej osobie w wyniku błędu pracownika podmiotu, któremu powierzono przetwarzanie danych. Prezes Urzędu Ochrony Danych Osobowych (UODO) uznał to za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO i udzielił spółce upomnienia. Spółka zaskarżyła decyzję, argumentując, że nie doszło do aktywnego udostępnienia danych przez nią, a jedynie do nieuprawnionego dostępu w wyniku cyberataku, co nie stanowi przetwarzania danych w rozumieniu RODO i nie powinno być oceniane w kontekście podstawy prawnej przetwarzania, lecz bezpieczeństwa danych.
Rozstrzygnięcie
Oddalono skargę.

Pełny tekst orzeczenia

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Karolina Kisielewicz, Sędzia WSA Iwona Maciejuk (spr.), Asesor WSA Michał Sułkowski, , Protokolant starszy referent Magdalena Frąckiewicz, po rozpoznaniu na rozprawie w dniu 20 kwietnia 2022 r. sprawy ze skargi I. Sp. z o.o. w likwidacji z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę Prezes Urzędu Ochrony Danych Osobowych decyzją z dnia [...] czerwca 2021 r. nr [...], na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735), zwanej dalej k.p.a., w zw. z art. 7 ust. 1 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz na podstawie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. fi art. 58 ust. 2 lit. b Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej RODO, po przeprowadzeniu postępowania administracyjnego w sprawie skargi D. W. na nieprawidłowości w procesie przetwarzania jej danych osobowych przez [...] Sp. z o.o. w likwidacji z siedzibą w [...] polegające na udostępnieniu przez Spółkę danych osobowych wymienionej podmiotom nieuprawnionym, udzielił upomnienia [...] Sp. z o.o. w likwidacji z siedzibą w [...] za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO, polegające na udostępnieniu bez podstawy prawnej danych osobowych D. W. podmiotom nieuprawnionym. W uzasadnieniu Prezes UODO wskazał, że ustalił następujący stan faktyczny: 1. Wnioskodawczyni w treści skargi wskazała, że Spółka bez jej wiedzy i zgody udostępniła jej dane osobowe podmiotom nieuprawnionym. 2. Spółka wyjaśniła, że przetwarzała dane osobowe wnioskodawczyni od dnia [...] marca 2018 r., tj. od dnia, w którym Skarżąca dokonała rejestracji na stronie [...] oraz zawarła ze Spółką Ramową Umowę Pożyczki. Zakres przetwarzanych danych osobowych wnioskodawczyni obejmował: imię, nazwisko, PESEL, serię i numer dokumentu tożsamości, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres zamieszkania/korespondencyjny, adres zameldowania, adres e-mail, numer telefonu komórkowego, numer telefonu pracodawcy, nazwę pracodawcy, zatrudnienie (rodzaj umowy), przychód miesięczny netto, źródło przychodu, ilość osób pozostających na utrzymaniu, stan cywilny, wykształcenie, hasło do profilu klienta na [...]. 3. Spółka wskazała, że przetwarza dane osobowe wnioskodawczyni w następujących celach: a) podjęcia na żądanie klienta działań zmierzających do zawarcia umowy ze Spółką w tym podjęcia czynności przygotowawczych poprzedzających zawarcie umowy (podstawa prawna: art. 6 ust. 1 lit. b) RODO) oraz dokonania oceny zdolności kredytowej i analizy ryzyka kredytowego (podstawa prawna: art. 6 ust. 1 lit. c) RODO); b) wykonania umowy zawartej ze Spółką (podstawa prawna: art. 6 ust. 1 lit. b) RODO), w tym dokonania oceny zdolności kredytowej i analizy ryzyka kredytowego w trakcie trwania umowy (podstawa prawna: art. 6 ust. 1 lit. c) RODO); c) zarzadzania ryzykiem kredytowym i analizy ryzyka kredytowego, po wygaśnięciu umowy zawartej ze Spółką (podstawa prawna: art. 6 ust. 1 lit. a) RODO); d) wypełniania obowiązków prawnych nałożonych na Spółkę zgodnie z przepisami prawa dotyczącymi prowadzenia działalności przez instytucje pożyczkowe, a także w celu wykonania obowiązków wynikających z decyzji lub orzeczeń wydawanych przez uprawione organy, instytucje lub sądy, a także zaleceń lub rekomendacji wydawanych przez organy lub instytucje publiczne (podstawa prawna: art. 6 ust. 1 lit. c) RODO); e) prowadzenia marketingu bezpośredniego usług świadczonych przez Spółkę poprzez ich promowanie, reklamowanie i oferowanie (podstawa prawna: art. 6 ust. 1 lit. a) RODO) - w zakresie, w jakim klient wyraził odpowiednie zgody, f) wewnętrznych celach administracyjnych Spółki, w tym prowadzenia analizy zarządczej, analiz statystycznych, badania tendencji rynkowych i raportowania na potrzeby wewnętrzne Spółki (podstawa prawna: art. 6 ust. 1 lit. f) RODO); g) przekazywania danych osobowych klienta innym podmiotom z grupy kapitałowej, do której należy Spółka, gdy byłoby to niezbędne w celu realizacji usprawiedliwionego interesu Spółki (podstawa prawna: art. 6 ust. 1 lit. a) lub f) RODO); h) przekazywania danych osobowych klienta podmiotom prowadzącym systemy wymiany informacji o klientach lub potencjalnych klientach instytucji pożyczkowych, banków, instytucji kredytowych, innych instytucji ustawowo upoważnionym do udzielania kredytów oraz podmiotów, o których mowa w art. 59 d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim (Dz.U. z 2016 r., poz. 1528) , w przypadku udzielenia przez klienta zgody (upoważnienia) na takie przekazanie danych osobowych (podstawa prawna: art. 6 ust, 1 lit. a) RODO) a w przypadkach określonych przepisami prawa także pomimo braku udzielenia takiej zgody (podstawa prawna: art. 6 ust. 1 lit. c) RODO). Poza ww. celami wskazanymi powyżej, Spółka przetwarza dane osobowe wnioskodawczyni w innych prawnie dopuszczalnych celach (cel drugorzędny), gdy cel pierwszorzędny i drugorzędny były ze sobą ściśle powiązane. W ramach takiego przetwarzania, działając na podstawie art. 6 ust. 1 lit. f) RODO, Spółka przetwarzała dane wnioskodawczyni także w następujących celach drugorzędnych: (a) audyty lub postępowania wyjaśniające, lub (b) wdrożenie mechanizmów kontroli zarządczej, lub (c) prowadzenie badań statystycznych, (d) doradztwo biznesowe, ekonomiczne lub prawne Przetwarzanie danych osobowych wnioskodawczyni w ww. celach następuje jedynie w zakresie niezbędnym do realizacji przez Spółkę wyżej wymienionych celów przetwarzania. 4. Spółka na podstawie umowy z dnia [...] marca 2018 r. w przedmiocie powierzenia przetwarzania danych osobowych udostępniła dane osobowe wnioskodawczyni [...] Sp. z o. o. z siedzibą w [...] (dalej jako [...]) podmiotowi należącemu do tej samej grupy kapitałowej co Spółka, odpowiedzialnej m.in. za obsługę strony internetowej [...], w tym aplikacji służącej do składania wniosków o pożyczkę oraz systemu obsługi klienta (CRM) oraz na podstawie umowy z [...] S.A. z siedzibą w [...] jako podmiotowi, od którego Spółka dzierżawi wirtualną powierzchnię dyskową. 5. W wyniku błędu pracownika, któremu Spółka powierzyła przetwarzanie danych osobowych wnioskodawczyni polegającego na braku zabezpieczenia w dniach [...] marca 2020 r. danych osobowych wnioskodawczyni doszło do udostępnienia danych osobowych wnioskodawczyni w zakresie: imię, nazwisko, PESEL, serię i numer dokumentu tożsamości, NIP, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres korespondencyjny, adres zameldowania, adres e-mail, numer telefonu stacjonarnego, numer telefonu komórkowego, poprzedni numer telefonu komórkowego (jeśli uległ zmianie), numer telefonu pracodawcy, adres e-mail osoby, której klient rekomendował pożyczkę (jeśli rekomendował), nazwę pracodawcy, zatrudnienie (rodzaj umowy), przychód miesięczny netto, źródło przychodu, ilość osób na pozostających utrzymaniu, stan cywilny, wykształcenie, hasło do profilu klienta na [...]. 6. Jak wskazała Spółka wnioskodawczyni została poinformowana o naruszeniu polegającym na ujawnieniu danych wnioskodawczyni osobie trzeciej na skutek błędu pracownika podmiotu, któremu Spółka powierzyła przetwarzanie tych danych za pośrednictwem: wiadomości SMS ze zmienionym hasłem wysyłanej w dniach [...] marca 2020 r., wiadomości e-mail w dniu [...] marca 2020 r., wiadomości e-mail w dniu [...] marca 2020 r., wiadomości SMS z dodatkowymi informacjami o zmianie hasła wysłanej w dniu [...] marca 2020 r., poprzez zamieszczenie w dniu [...] marca 2020 r., informacji na stronie internetowej Spółki [...] w zakładce "Oświadczenie [...] na temat bezpieczeństwa danych osobowych" oraz poprzez zamieszczenie w dniu [...] marca 2020 r. informacji na stronie internetowej Spółki [...] w zakładce "Oświadczenie [...] na temat bezpieczeństwa danych osobowych". Prezes UODO, mając na uwadze ten stan faktyczny, wskazał, że przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 RODO. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Organ wskazał, że na administratorze danych osobowych, którym w rozumieniu art. 4 pkt 7 RODO jest Spółka, ciąży obowiązek prawny przetwarzania danych osobowych zgodnie z obowiązującymi przepisami, a w szczególności obowiązek zapewnienia by przetwarzanie odbywało się na podstawie co najmniej jednej z enumeratywnie wymienionych przesłanek art. 6 ust. 1 RODO. Organ wskazał też, że art. 5 ust. 1 lit. f RODO nakłada na administratora danych obowiązek przetwarzania danych osobowych zgodnie z zasadą integralności i poufności. Oznacza to, że administrator powinien zapewnić odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Podał, że zgodnie z art. 28 ust. 1 RODO to na administratorze spoczywa obowiązek wyboru takiego podmiotu przetwarzającego który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi ww. rozporządzenia i chroniło prawa osób, których dane dotyczą. Organ podał, że w złożonych wyjaśnieniach Spółka przyznała, że w wyniku błędu pracownika podmiotu, z którym Spółka zawarła umowę powierzenia przetwarzania danych osobowych, polegającego na braku zabezpieczenia w dniach 3-14 marca 2020 r. danych osobowych wnioskodawczyni doszło do udostępnienia jej danych osobowych w zakresie: imię, nazwisko, PESEL, serię i numer dokumentu tożsamości, NIP, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres korespondencyjny, adres zameldowania, adres e-mail, numer telefonu stacjonarnego, numer telefonu komórkowego, poprzedni numer telefonu komórkowego (jeśli uległ zmianie), numer telefonu pracodawcy, adres e-mail osoby, której klient rekomendował pożyczkę (jeśli rekomendował), nazwę pracodawcy, zatrudnienie (rodzaj umowy), przychód miesięczny netto, źródło przychodu, ilość osób pozostających na utrzymaniu, stan cywilny, wykształcenie, hasło do profilu klienta na [...] osobie nieuprawnionej. W zakresie powyższego udostępnienia nie została spełniona żadna z przesłanek legalizujących proces przetwarzania danych osobowych określonych w art. 6 ust. 1 RODO. Ustalone powyżej okoliczności potwierdzają, że w przedmiotowej sprawie doszło do udostępnienia danych osobowych wnioskodawczyni na rzecz nieznanego nieuprawnionego odbiorcy, co nie znajdowało oparcia w żadnej z przesłanek legalizujących proces przetwarzania danych osobowych, wyrażonych w art. 6 ust. 1 RODO. Niezależnie od powyższego, organ wskazał również, że w niniejszym postępowaniu zainicjowanym indywidualną skargą organ właściwy do spraw ochrony danych osobowych może dokonać wyłącznie oceny legalności przetwarzania danych. Natomiast ogólne, stosowane przez administratora danych w procesach ich przetwarzania praktyki, w tym sposoby zabezpieczeń, jak również ich adekwatność oraz skuteczność mogą być jedynie przedmiotem postępowania wszczętego przez organ z urzędu. Powołał się na wyrok WSA w Warszawie z dnia 7 stycznia 2016 r. sygn. akt II SA/Wa 1238/15. Organ zaznaczył, że skarga do Prezesa UODO nie służy dokonywaniu kontroli zabezpieczenia danych na wniosek osoby, której dane dotyczą. Funkcją skargi jest egzekwowanie przestrzegania przepisów o ochronie danych osobowych w operacjach przetwarzania danych, które bezpośrednio wpływają na osobę, której przetwarzane dane dotyczą. Ocena prawidłowości zabezpieczeń następuje zatem wyłącznie w postępowaniu wszczętym przez organ z urzędu. Przyjęcie przeciwnego stanowiska oznaczałoby de facto możliwość zapoznania się przez wnioskodawcę, w ramach postępowania przed organem, ze sposobem zabezpieczenia danych (w tym danych innych osób) przez administratora danych osobowych, co samo w sobie zmniejsza poziom ochrony danych oraz może zwiększyć ryzyko naruszenia ochrony danych osobowych. Postępowanie prowadzone przez Prezesa UODO nie jest zatem ukierunkowane na pozyskanie informacji na temat stosowanych przez administratora danych zabezpieczeń oraz na przekazanie tychże informacji na rzecz osób fizycznych, zainteresowanych sprawą. Organ wskazał, że ocena dokonywana przez Prezesa UODO w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu decyzji odpowiadającej dyspozycji art. 58 ust. 2 RODO w celu przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych - jest więc ona uzasadniona i potrzebna tylko o tyle, o ile nieprawidłowości w procesie przetwarzania danych osobowych istnieją. Organ wskazał, że na podstawie art. 58 ust. 2 RODO przysługują mu uprawnienia naprawcze, w tym udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów RODO przez operacje przetwarzania (lit. b). Mając powyższe na uwadze Prezes Urzędu uznał, że w realiach niniejszej sprawy, z uwagi na charakter przedmiotowego udostępnienia, właściwe jest zastosowanie wobec Spółki upomnienia za stwierdzone naruszenie przepisów o ochronie danych osobowych, tj. art. 6 ust. 1 RODO w zw. z art. 5 ust. 1 lit. f, gdyż przetwarzanie danych osobowych wnioskodawczyni, polegające na udostępnieniu w dniach [...] marca 2020 roku danych osobowych wnioskodawczyni na rzecz nieznanej i nieuprawnionej osoby stanowiło naruszenie norm z zakresu ochrony danych osobowych. Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2021 r. nr [...] stała się przedmiotem skargi [...] Sp. z o.o. w likwidacji z siedzibą w [...], reprezentowanej przez adwokata, do Wojewódzkiego Sądu Administracyjnego w Warszawie. Pełnomocnik wnosząc o uchylenie zaskarżonej decyzji i zasądzenie, na podstawie art. 200 P.p.s.a., zwrotu kosztów postępowania według norm przepisanych zarzucił: 1) naruszenie przepisów prawa materialnego, mające istotny wpływ na wynik sprawy, tj. art. 6 ust. 1 RODO, polegające na błędnym przyjęciu, że art. 6 ust 1 RODO miał w niniejszej sprawie zastosowanie w zakresie podstawy prawnej udostępnienia danych, podczas gdy incydent polegający na cyberataku na bazę danych oraz uzyskanie dostępu do niej przez nieznaną osobę trzecią nie oznacza, że Skarżąca udostępniła dane osobowe na rzecz nieznanej osoby trzeciej. 2) naruszenie przepisów prawa materialnego, mające wpływ na wynik sprawy, tj. art. 6 ust. 1 oraz art. 5 ust. 1 lit. f RODO, polegające na błędnym przyjęciu, że ważność podstawy prawnej przetwarzania danych zależy od odpowiedniego zabezpieczenia danych osobowych, podczas gdy zasada zgodności z prawem (art. 5 ust. 1 lit. a RODO) jest niezależna od zasady integralności i poufności (art. 5 ust. 1 lit. f RODO), zaś ewentualne naruszenie wymogów bezpieczeństwa, np. art. 32 RODO nie oznacza automatycznie, że dane były przetwarzane bez ważnej podstawy prawnej. 3) naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 6, 7, 8 § 1, art. 77 § 1 oraz art. 80 k.p.a. polegające na braku zgromadzenia materiału dowodowego pozwalającego uznać naruszenie zasady integralności i poufności oraz niezgodne z prawem przetwarzanie danych osobowych przez Skarżącą za udowodnione. 4) naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 8 ust. 1 i 2, art. 77 § 1 i 4 i art. 110 § 1 k.p.a. poprzez całkowity brak uwzględnienia znanego z urzędu faktu, że działanie Skarżącej będące w istocie przedmiotem skargi D. W. do Prezesa UODO, tzn. rzekome nieadekwatne zabezpieczenie przez Skarżącą bazy danych osobowych użytkowników portalu [...], było już przedmiotem decyzji Prezesa UODO z dnia [...] grudnia 2020 r., sygn. akt [...], do którego to postępowania Skarżąca odwoływała się w swoich pismach procesowych (sprawa na etapie WSA w Warszawie, sygn. II SA/Wa 528/21), jak również jest przedmiotem szeregu podobnych postępowań w sprawach indywidualnych, co prowadzi do wielokrotnej oceny tego działania lub zaniechania, wielokrotnego nakładania sankcji w rożnych postępowaniach, jak również wprowadzenie do obrotu prawnego sytuacji, w których jeden i ten sam incydent w części spraw jest uznany za naruszenie przez Skarżącą przepisów prawa, a w innych nie. W uzasadnieniu pełnomocnik rozszerzył argumentację w zakresie podniesionych zarzutów. Wskazał m.in., że udostępnianie danych osobowych jest z definicji działaniem aktywnym, tzn. polega na czynnym umożliwieniu dostępu do danych osobowych na rzecz odbiorcy. O nieuprawnionym udostępnieniu danych osobowych, można byłoby mówić, gdyby Skarżąca aktywnie przesłała dane osobowe będące przedmiotem postępowania stronom trzecim, nie posiadając w tym zakresie ważnej podstawy prawnej. Podobnie, nie można mówić o nieuprawnionym ujawnieniu danych osobowych przez Skarżącą. Zdaniem pełnomocnika zdarzenie ocenione przez Prezesa UODO jako naruszenie art. 6 ust. 1 RODO (tzn. uzyskanie przez nieznaną osobę nieuprawnionego dostępu do bazy danych użytkowników portalu [...] w drodze cyberataku) nie stanowiło przetwarzania danych osobowych przez Skarżącą, a zatem art. 6 ust. 1 RODO w ogóle nie miał w tej sprawie zastosowania. Podał, że istnieje zasadnicza różnica między udostępnieniem danych osobowych bez podstawy prawnej (przez Skarżącą), a nieuprawnionym dostępem do danych osobowych (przez cyberprzestępców) - w niniejszej sprawie miał miejsce ten drugi przypadek. Pełnomocnik podniósł, że zdarzenie ocenione przez Prezesa UODO jako naruszenie art. 6 ust. 1 RODO stanowiło naruszenie bezpieczeństwa prowadzące do nieuprawnionego dostępu do danych osobowych, a zatem należało je zakwalifikować jako naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO. Z tej perspektywy Prezes UODO mógł co najwyżej, zdaniem pełnomocnika, rozważyć poziom zabezpieczenia danych osobowych w świetle art. 5 ust. 1 lit. f lub art. 32 RODO, nie zaś oceniać podstawy prawne przetwarzania danych osobowych. Z kolei jak sam Prezes UODO wskazał w swojej decyzji, "(...) sposoby zabezpieczeń, jak również ich adekwatność oraz skuteczność mogą być jedynie przedmiotem postępowania wszczętego przez organ z urzędu''. Pełnomocnik wskazał też m.in., że Prezes UODO nie uzasadnił w swojej decyzji, dlaczego jego zdaniem istnieje możliwość zastosowania art. 6 ust. 1 RODO w zw. z art. 5 ust. 1 lit. f RODO. Ewentualny brak ważnych podstaw prawnych przetwarzania danych osobowych w rozumieniu art. 6 lub art. 9 RODO może skutkować co najwyżej naruszeniem zasady zgodności z prawem, tzn. art. 5 ust. 1 lit. a RODO. Nie ma to żadnego związku z zasadą integralności i poufności - jej naruszenie można stwierdzić w powiązaniu z art. 32 RODO, który ustanawia obowiązek stosowania odpowiednich środków bezpieczeństwa. Prezes Urzędu Ochrony Danych Osobowych w odpowiedzi na skargę wniósł o jej oddalenie, podtrzymując stanowisko zawarte w zaskarżonej decyzji. Organ odniósł się do zarzutów skargi. Wskazał m.in., że zgodnie z definicją przetwarzania, zawartą w art. 4 pkt 2 RODO, jako udostępnienie należy traktować nie tylko fizyczne przekazanie danych w wyniku działania administratora (np. ujawnianie poprzez przesłanie), ale także rozpowszechnianie lub innego rodzaju udostępnianie (ang. "otherwise making available"). Podał, iż udostępnienie to także umożliwienie dostępu do danych, co w przypadku niniejszej sprawy bezspornie miało miejsce i zostało ustalone m.in. w oparciu o wyjaśnienia i dowody przedłożone zarówno przez wnioskodawczynię, jak i przez Spółkę. Organ wskazał, że przeprowadzone postępowanie dowodowe jednoznacznie wykazało, również na podstawie przedłożonych przez Spółkę w toku postępowania wyjaśnień, że doszło do udostępnienia podmiotom nieuprawnionym, tj. podmiotom w stosunku do których Spółka nie legitymowała się przesłanką wynikającą z art. 6 ust. 1 RODO, danych osobowych Skarżącej w dniach [...] marca 2020 r. w wyniku błędu pracownika [...] polegającego na braku ich prawidłowego zabezpieczenia. Odnosząc się do zarzutów naruszenia prawa procesowego organ wskazał, że w niniejszym postępowaniu rozpatrywał indywidualną skargę D. W., zaś zebrany w sprawie materiał dowodowy odnosił się wyłącznie do okoliczności związanych z nieprawidłowościami w procesie przetwarzania danych osobowych ww. wnioskodawczyni. Postępowanie zaś o sygn. akt [...] było postępowaniem wszczętym z urzędu, w wyniku zgłoszenia przez Spółkę do Prezesa Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych klientów Spółki, zatem wyłącznie Spółka mogła być stroną takiego postępowania. Organ przywołał art. 77 ust. 1 RODO. Postępowanie administracyjne zainicjowane skargą osoby, której dane dotyczą jest odrębnym postępowaniem, wynikającym z ustanowionego w art. 77 ust. 1 RODO prawa osoby, której dane dotyczą. W postępowaniu takim badany jest wyłącznie skarżony proces przetwarzania danych osoby, która złożyła skargę. Zgłoszenie przez Spółkę do Prezesa Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych klientów Spółki, nie wyłącza wbrew temu, co twierdzi Spółka, prawa osoby, której dane dotyczą do wniesienia skargi, o której mowa w art. 77 ust. 1 RODO. Wskazać należy, że postępowanie dotyczące zgłoszenia przez administratora naruszenia ochrony danych osobowych nie jest zatem tożsame z postępowaniem prowadzonym w wyniku wniesienia do organu nadzorczego skargi przez osobę, której dane dotyczą. Postępowania określone powyżej regulowane są w odrębnych przepisach RODO i różnią się przedmiotem postępowania. Organ podniósł m.in., że sama Spółka wskazuje na różnice pomiędzy powyższymi postępowaniami i fakt, że w sprawie o sygnaturze [...] badane były zabezpieczenia stosowane przez Spółkę w procesie przetwarzania danych osobowych, natomiast w niniejszym postępowaniu, co jednoznacznie wynika także z treści decyzji, powyższe nie miało (i nie mogło mieć) miejsca. W piśmie procesowym z dnia [...] sierpnia 2021 r. stanowiącym replikę na odpowiedź na skargę pełnomocnik skarżącej podtrzymał skargę. Wskazał m.in., że przedmiotem niniejszego postępowania i złożonej przez Skarżącą skargi jest decyzja Prezesa UODO, w treści której, zostało wskazane, że w toku postępowania nie dokonano zbadania środków bezpieczeństwa stosowanych przez Skarżącą. Jeżeli zatem nie dokonano oceny adekwatności zastosowanych przez Skarżącą środków technicznych i organizacyjnych mających na celu ochronę przetwarzanych przez nią danych osobowych, nie można uznać, że zgromadzony materiał dowodowy jest wystarczający do stwierdzenia naruszenia zasady integralności i poufności, wyrażonej w art. 5 ust. 1 lit. f RODO. Pełnomocnik podtrzymał także podniesiony w skardze zarzut niewłaściwego zastosowania art. 6 ust. 1 RODO, jako niemającego zastosowania w niniejszej sprawie. Odnosząc się do argumentacji Prezesa UODO wskazał, iż nieuprawniony dostęp do danych osobowych stanowi naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO, a nie przetwarzanie danych przez administratora w rozumieniu art. 4 pkt 2 RODO. Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje. Skarga nie podlegała uwzględnieniu. Zaskarżona decyzja Prezesa UODO nie narusza przepisów postępowania, w tym powołanych w skardze przepisów art. 6, art. 7, art. 8, art. 77 § 1, § 4, art. 80, jak również art. 110 § 1 k.p.a. Organ w sposób wyczerpujący i wystarczający dla rozstrzygnięcia niniejszej sprawy (zainicjowanej wnioskiem D. W.) zebrał niezbędny materiał dowodowy. Dokonana przez organ ocena tego materiału dowodowego nie była dowolna. Także uzasadnienie zaskarżonej decyzji spełnia wymogi art. 107 § 3 k.p.a. i nie pozostawia wątpliwości dlaczego organ rozstrzygnął sprawę w sposób w określony w decyzji. Sąd nie stwierdził w tej sprawie również naruszenia przepisu art. 6 ust. 1 RODO, który to przepis organ prawidłowo zastosował, zasadnie kwalifikując ujawnienie jako udostępnienie bez podstawy prawnej danych osobowych D. W. podmiotom nieuprawnionym, dające podstawę do udzielenia upomnienia. W sprawie jest bezsporne, że doszło do udostępnienia osobie nieuprawnionej danych osobowych D. W. w zakresie: imię, nazwisko, PESEL, serię i numer dokumentu tożsamości, NIP, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres korespondencyjny, adres zameldowania, adres e-mail, numer telefonu stacjonarnego, numer telefonu komórkowego, poprzedni numer telefonu komórkowego (jeśli uległ zmianie), numer telefonu pracodawcy, adres e-mail osoby, której klient rekomendował pożyczkę (jeśli rekomendował), nazwę pracodawcy, zatrudnienie (rodzaj umowy), przychód miesięczny netto, źródło przychodu, ilość osób pozostających na utrzymaniu, stan cywilny, wykształcenie, hasło do profilu klienta na [...]. Spółka przyznała też w złożonych wyjaśnieniach, że do udostępnienia doszło w wyniku błędu pracownika podmiotu, z którym Spółka zawarła umowę powierzenia przetwarzania danych osobowych. Wskazała na czym ten błąd polegał (brak zabezpieczenia w dniach [...] marca 2020 r. danych osobowych wnioskodawczyni). W stanie faktycznym tej sprawy nie ma wątpliwości co do tego, że nastąpiło ujawnienie danych osobowych D. W. osobie nieuprawnionej. Wbrew twierdzeniom skargi złożonej do Sądu, ujawnienie danych osobowych konkretnej osoby fizycznej podmiotowi trzeciemu zasadnie potraktowane zostało przez Prezesa UODO jak udostępnienie danych osobowych w rozumieniu RODO. Trafnie Prezes UODO potraktował to ujawnienie danych osobowych wnioskodawczyni jako jeden z rodzajów "operacji" wykonywanych na danych osobowych. Zgodnie z art. 4 pkt 2 RODO, "przetwarzanie" oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Ujawnienie danych osobowych może mieć miejsce nie tylko poprzez zaplanowane działanie administratora, tj. zamierzone przesłanie ich do innego podmiotu (gdy istnieje nadto do tego podstawa prawna), ale również poprzez innego rodzaju ich udostępnienie. Każde ujawnienie (udostępnienie) danych osobowych stanowi ich przetwarzanie w rozumieniu RODO. Argumentacja skargi zmierzająca do wykazania, że ujawnienie danych osobowych D. W., o którym mowa w zaskarżonej decyzji, nie stanowi ich udostępnienia, nie jest trafna na gruncie RODO. Podkreślenia wymaga jednocześnie, że aby można było mówić o zgodnym z prawem przetwarzaniu danych osobowych, w tym ich udostępnieniu (ujawnieniu), konieczne jest istnienie jednej z przesłanek legalizujących proces przetwarzania (a zatem ujawniania, udostępniania) danych osobowych, o których mowa w art. 6 ust. 1 RODO. Zgodnie z powołanym przepisem, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań. Trafnie Prezes UODO wskazał w decyzji, że ustalone w sprawie okoliczności faktyczne potwierdzają, iż w sprawie doszło do udostępnienia danych osobowych D. W. na rzecz nieznanego nieuprawnionego odbiorcy, co nie znajdowało oparcia w żadnej z przesłanek legalizujących proces przetwarzania danych osobowych, określonych w art. 6 ust. 1 RODO. Odnosząc się do skargi Spółki podkreślenia wymaga, że sprawa niniejsza nie dotyczy stosowanych przez skarżącą Spółkę sposobów zabezpieczeń danych osobowych i ich skuteczności. Postępowanie prowadzone przez Prezesa UODO w niniejszej sprawie dotyczyło wyłącznie oceny zgodności z prawem przetwarzania (ujawnienia) danych osobowych D. W. podmiotowi nieuprawnionemu i z jej inicjatywy było prowadzone. Wbrew twierdzeniom skargi, zaskarżona do Sądu decyzja z dnia [...] czerwca 2021 r. nie rozstrzyga sprawy już poprzednio rozstrzygniętej inną decyzją administracyjną, tj. decyzją z dnia [...] grudnia 2020 r., na którą to decyzję powołuje się Spółka. Sądowi z urzędu znany jest wyrok WSA w Warszawie z dnia 5 października 2021 r. sygn. akt II SA/Wa 528/21 (nieprawomocny). Podnieść jednocześnie należy, że za nietrafne Sąd uznał powołanie się przez organ w zaskarżonej decyzji z dnia [...] czerwca 2021 r. na art. 5 ust. 1 lit f RODO, albowiem kwestia oceny bezpieczeństwa danych, w tym ich ochrony, w aspekcie, o jakim mowa w tym przepisie nie była przedmiotem niniejszej sprawy. Jednakże to błędne powołanie się na art. 5 ust. 1 lit f w zaskarżonej decyzji nie waży na wyniku sprawy, jak również nie daje podstaw do stwierdzenia, iż organ wielokrotnie stosuje sankcję za jedno naruszenie. Stwierdzenie organu w decyzji, że nastąpiło naruszenie RODO (w tym przypadku art. 6 ust. 1 RODO) polegające na udostępnieniu bez podstawy prawnej danych osobowych D. W. podmiotom nieuprawnionym jest – w stanie faktycznym tej sprawy – trafne i wystarczające do zastosowania art. 58 ust. 2 lit. b RODO. Ustalenie naruszenia art. 6 ust. 1 RODO pozostaje w związku z zasadą wyrażoną w art. 5 ust. 1 lit. a RODO, zgodnie z którym dane osobowe muszą być przetwarzane zgodnie z prawem, (...). Okoliczność niepowołania przez organ art. 5 ust. 1 lit. a RODO, a błędnego powołania art. 5 ust. 1 lit. f RODO nie daje podstaw do wyeliminowania zaskarżonej decyzji z obrotu prawnego. Zwrócić trzeba przy tym uwagę, że innym postępowaniem jest postępowanie w ramach którego dokonywana jest ocena prawidłowości stosowania przepisów sekcji 1 (Obowiązki ogólne) czy sekcji 2 (Bezpieczeństwo danych osobowych) rozdziału IV RODO, czego w tej sprawie organ nie dokonywał, a innym rozpatrywanie przez organ indywidualnej skargi wniesionej przez osobę, której dane dotyczą w zakresie zgodności przetwarzania jej danych z przepisami RODO. Zgodnie z art. 77 ust. 1 RODO, bez uszczerbku dla innych administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie. D. W. miała prawo wystąpić do Prezesa UODO z indywidualną skargą podnosząc kwestię niezgodnego z przepisami RODO przetwarzania (tj. ujawnienia) podmiotom nieuprawnionym jej danych osobowych przez administratora. Zasadnie Prezes UODO prowadził zatem to postępowanie i rozstrzygnął je decyzją udzielając Skarżącej Spółce upomnienia za naruszenie RODO polegające na udostępnieniu bez podstawy prawnej danych osobowych D. W. podmiotom nieuprawnionym. Zastosowanie przez Prezesa UODO art. 58 ust. 2 lit b) RODO, tj. udzielenie Spółce upomnienia wobec stwierdzonego naruszenia przepisów RODO przez operację przetwarzania (ujawnienia, udostępnienia) danych nie narusza prawa. Raz jeszcze wskazania wymaga, że sprawa niniejsza nie rozstrzygała o stosowanych środkach technicznych i organizacyjnych w zakresie bezpieczeństwa danych. Osoba fizyczna, której dane zostały ujawnione miała prawo domagać się od Prezesa UODO rozpatrzenia jej sprawy i stwierdzenia naruszenia przepisów RODO w zakresie przetwarzania jej danych osobowych. Z tych względów, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2022 r., poz. 329), orzekł jak w wyroku.

Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 13.07.2026. · Źródło