Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Izabela Głowacka-Klimas, Sędzia WSA Łukasz Krzycki, Asesor WSA Mateusz Rogala (spr.), Protokolant starszy specjalista Ewa Kielak-Niedźwiedzka po rozpoznaniu na rozprawie w dniu 18 czerwca 2024 r. sprawy ze skargi E. S.A. z siedzibą w P. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] listopada 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych i nałożenia kary pieniężnej 1. uchyla zaskarżoną decyzję; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz E. S.A. z siedzibą w P. kwotę 13.630 (słownie: trzynaście tysięcy sześćset trzydzieści) złotych tytułem zwrotu kosztów postępowania.

Zaskarżoną do Wojewódzkiego Sądu Administracyjnego w Warszawie decyzją z dnia [...] listopada 2023 r. nr [...], wydaną na podstawie art. 7 ust. 1, art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z

2019 r., poz. 1781) oraz art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. e) oraz i), art. 83 ust. 1 i ust. 2, art. 83 ust. 4 lit. a) w związku z art. 33 ust. 1 oraz art. 34 ust. 1, 2 i 4 rozporządzenia Parlamentu Europejskiego i Rady UE nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm., powoływanego dalej jako rozporządzenie nr 2016/679), Prezes Urzędu Ochrony Danych Osobowych, w pkt 1 nałożył na [...] S.A. z siedzibą w [...] administracyjną karę pieniężną w wysokości 282.960 zł z uwagi na stwierdzenie naruszenia przez [...] S.A. przepisów:

a) art. 33 ust. 1 rozporządzenia nr 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia,

b) art. 34 ust. 1 rozporządzenia nr 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osoby, której dane dotyczą,

a w pkt 2 nakazał [...] S.A. zawiadomienie - w terminie 3 dni od dnia doręczenia decyzji - osoby, której dane zostały ujawnione w związku z przesłaniem umowy nr [...] niewłaściwemu odbiorcy, o naruszeniu ochrony danych osobowych w celu przekazania jej informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia nr 2016/679, tj.: a) opisu charakteru naruszenia ochrony danych osobowych; b) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisu możliwych konsekwencji naruszenia ochrony danych osobowych; d) opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

W uzasadnieniu swojego rozstrzygnięcia organ podał, że postępowanie administracyjne w tej sprawie zostało wszczęte w związku z pismem Sądu Okręgowego w [...], które wpłynęło do organu w dniu [...] stycznia 2023 r., w którym sąd poinformował o toczącej się przed nim sprawie z powództwa osoby fizycznej przeciwko [...] S.A. o roszczenie z tytułu naruszenia przepisów o ochronie danych osobowych.

W toku postępowania organ ustalił, że doszło do naruszenia ochrony danych osobowych polegającego na skierowaniu w dniu [...] lipca 2020 r. przesyłki zawierającej podpisaną przez klientkę spółki umowę nr [...] na adres innego klienta spółki. W wyniku tego doszło do naruszenia poufności danych jednej osoby w zakresie: imienia, nazwiska, nr PESEL, danych teleadresowych oraz adresu e-mail. Osobą, która omyłkowo wysłała korespondencję zawierającą dane osobowe klientki spółki na niewłaściwy adres (jak wynika z wyjaśnień spółki), był pracownik podmiotu przetwarzającego, tj. [...] [...] Sp. z o.o., która świadczy na rzecz [...] S.A. usługę wysyłki umów. Informację o wystąpieniu tego zdarzenia spółka powzięła [...] listopada 2020 r., kiedy to zostało jej doręczone pismo pełnomocnika klientki, w którym wskazano, że nieuprawniony odbiorca poinformował klientkę o odebraniu przesyłki zawierającej umowę, jak również przekazał jej otrzymany egzemplarz umowy.

W udzielonych organowi wyjaśnieniach spółka wskazała, że na podstawie informacji zebranych w toku czynności wyjaśniających została dokonana ocena pod kątem ryzyka naruszenia praw i wolności osób fizycznych. Na jej podstawie spółka zakwalifikowała ww. zdarzenie jako cechujące się małym prawdopodobieństwem wystąpienia skutków w postaci ryzyka naruszenia praw lub wolności osób fizycznych, w związku z czym odstąpiono od zgłoszenia naruszenia ochrony danych osobowych do organu. Dodatkowo spółka zaznaczyła, że podjęła wszelkie możliwe działania w celu wykluczenia narażenia klientki na jakiekolwiek niebezpieczeństwo, tj. skontaktowała się z nieuprawnionym odbiorcą przesyłki i podjęła czynności, które miały zapobiec wykorzystaniu lub przekazaniu danych osobowych klientki zawartych w umowie. [...] S.A. oświadczyła ponadto, że dysponuje kopią nagrania rozmowy, w trakcie której nieuprawniony odbiorca złożył oświadczenie o zachowaniu w poufności danych, które omyłkowo zostały mu udostępnione oraz że nie przekazał tych danych innym osobom ani nie posiada kopii dokumentów zawierających dane osobowe klientki.

W dalszej części uzasadnienia swojego rozstrzygnięcia organ przytoczył przepisy art. 33 ust. 1 i 3 oraz art. 34 ust. 1, 2 i 3 rozporządzenia nr 2016/679 statuujące obowiązek administratora, odpowiednio zgłoszenia naruszenia danych osobowych organowi oraz zawiadomienia o naruszeniu osobę, której dane dotyczą. Organ zwrócił uwagę, że z analizy tych przepisów wynika, iż obowiązki administratora w stosunku do organu nadzorczego, a także osób, których dane dotyczą, są zależne od poziomu ryzyka naruszenia praw lub wolności osób fizycznych.

Jeżeli w wyniku analizy administrator stwierdził, że prawdopodobieństwo zaistnienia ryzyka naruszenia praw lub wolności osób fizycznych jest małe, nie jest on zobligowany do zgłoszenia naruszenia Prezesowi Urzędu Ochrony Danych Osobowych. Wskazane naruszenie musi jedynie wpisać do wewnętrznej ewidencji naruszeń. W przypadku stwierdzenia ryzyka naruszenia praw lub wolności osób fizycznych, obowiązkiem administratora jest zgłoszenie naruszenia ochrony danych Prezesowi UODO, jak również umieszczenie wpisu w wewnętrznej ewidencji naruszeń. Wystąpienie wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, oprócz wpisu w ewidencji naruszeń, wymaga od administratora podjęcia odpowiednich działań, zarówno wobec organu nadzorczego (zgłoszenie naruszenia ochrony danych), ale także wobec osób, których dane dotyczą. W przypadku naruszeń ochrony danych osobowych, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, rozporządzenie nr 2016/679 wprowadza bowiem dodatkowy obowiązek niezwłocznego zawiadomienia podmiotu danych przez administratora, chyba że ten podjął działania prewencyjne przed zaistnieniem naruszenia albo działania zaradcze po wystąpieniu naruszenia.

Organ podkreślił, że oceny ryzyka naruszenia praw lub wolności osoby fizycznej powinno się dokonać przez pryzmat osoby zagrożonej, a nie interesów administratora. Brak zawiadomienia o naruszeniu ochrony danych osobowych osoby fizycznej, w przypadku wystąpienia wysokiego ryzyka naruszenia jej praw lub wolności, pozbawia ją nie tylko możliwości odpowiedniej reakcji na naruszenie, ale również możliwości dokonania samodzielnej oceny naruszenia, które przecież dotyczy jej danych osobowych i może powodować dla niej poważne konsekwencje. Natomiast brak zgłoszenia naruszenia ochrony danych osobowych pozbawia organ nadzorczy możliwości odpowiedniej reakcji na naruszenie, która polega nie tylko na ocenie ryzyka naruszenia dla praw lub wolności osoby fizycznej, ale również w szczególności na weryfikacji, czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą, jak również, czy zastosował odpowiednie środki bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia.

Organ zwrócił uwagę, że w niniejszej sprawie z danymi osobowymi klientki spółki zawartymi w umowie łączącej strony, tj.: numerem PESEL, imieniem i nazwiskiem, danymi teleadresowymi oraz adresem e-mail, zapoznała się osoba nieuprawniona. Nie ulega więc wątpliwości, że w oparciu o ujawnione dane można łatwo zidentyfikować podmiot danych. Ponadto, ujawnione zostały dane związane z faktem zawarcia umowy i jej treścią. Przypadkowe ujawnienie danych osobowych nawet jednej zidentyfikowanej osobie może prowadzić do zwiększenia skali naruszenia i tym samym ryzyka naruszenia praw lub wolności osoby, której dane dotyczą.

Odnosząc się do wyjaśnień spółki, że dokonaną ocenę ryzyka oparła na przekonaniu, że osoba, która weszła w posiadanie umowy, jest tzw. "uczciwym znalazcą", gdyż "wykazała się świadomością ochrony danych osobowych, inicjatywą w celu skontaktowania się z klientką, a także podała swoją tożsamość i dane kontaktowe", organ stwierdził, powołując się na Wytyczne 9/2022 Europejskiej Rady Ochrony Danych Osobowych, że inny klient spółki, do którego omyłkowo została skierowana korespondencja z umową zawierającą dane osobowe podmiotu danych, nie pozostaje ze spółką w relacjach pozwalających na przyjęcie, że jest on zaufanym odbiorcą, w rozumieniu przedstawionym w tych Wytycznych. W sytuacji dostarczenia omyłkowej korespondencji osobie znanej administratorowi, np. innemu klientowi, który poinformował podmiot danych o pomyłce spółki, brak jest gwarancji, że intencje tej osoby nie ulegną zmianie. Nie bez znaczenia jest również czas, jaki upłynął od dnia, w którym miało miejsce zdarzenie, do momentu stwierdzenia naruszenia. Między datą wysyłki umowy z danymi osobowymi klientki na adres nieuprawnionej osoby ([...] lipca 2020 r.) a zawiadomieniem otrzymanym od pełnomocnika klientki ([...] listopada 2020 r.) upłynęły ponad 4 miesiące, w trakcie których możliwe było bezprawne użycie tych danych osobowych w celach naruszających jej prawa i interesy.

Zdaniem organu, na powyższą ocenę nie ma także wpływu fakt uzyskania oświadczenia niewłaściwego odbiorcy o zachowaniu w poufności danych klientki oraz że nie przekazał ich osobom trzecim, ani nie posiada kopii tych danych. Nie ma bowiem pewności, czy przed nagraniem oświadczenia osoba ta nie wykonała kopii lub też nie utrwaliła zawartych w treści umowy danych osobowych w inny sposób, np. poprzez ich spisanie. Spółka nie ma również możliwości faktycznej weryfikacji oświadczenia, że nieuprawniony odbiorca nie przekazał danych klientki osobom trzecim ani nie posiada kopii tych danych.

Organ podniósł, że z pisma Sądu Okręgowego w [...] wynika, iż klientka spółki wystąpiła z roszczeniem odszkodowawczym z tytułu naruszenia przepisów o ochronie danych osobowych przez spółkę. Wystąpienie podmiotu danych z roszczeniem zapłaty odszkodowania za poniesioną szkodę w opinii organu potwierdza, że przedstawiona w pismach spółki ocena ryzyka dokonana w tej sprawie nie uwzględnia perspektywy klientki spółki, która w wyniku naruszenia ochrony jej danych osobowych, z wysokim prawdopodobieństwem, poniosła szkodę niemajątkową.

Prezes UODO podkreślił, że zaistniałe naruszenie dotyczyło numeru ewidencyjnego PESEL, czyli jedenastocyfrowego symbolu numerycznego, który jednoznacznie identyfikuje osobę fizyczną, zawierającego m.in.: datę urodzenia oraz oznaczenie płci, a więc ściśle powiązanego ze sferą prywatną osoby fizycznej oraz podlegającego również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia nr 2016/679 - będącego daną o szczególnym charakterze i takiej szczególnej ochrony wymagającą. Numer PESEL służy jako dana identyfikująca każdą osobę i jest powszechnie używany w kontaktach z różnymi instytucjami oraz w obiegu prawnym. Wraz z imieniem i nazwiskiem w sposób jednoznaczny identyfikuje on osobę fizyczną, w sposób pozwalający przypisać negatywne skutki naruszenia (np. kradzież tożsamości, wyłudzenie pożyczki) tej konkretnej osobie. Ponadto należy wziąć pod uwagę, że w wyniku naruszenia doszło do udostępnienia osobie nieuprawnionej tego numeru ewidencyjnego wraz z imieniem i nazwiskiem klientki spółki, które to zestawienie danych bywa wystarczające do "podszycia się" pod podmiot tych danych i zaciągnięcia w imieniu i na szkodę takiego podmiotu np. zobowiązań pieniężnych. Organ w tym zakresie powołał się na poradnik przygotowany przez [...].

Ponadto, powołując się na Wytyczne 9/2022, organ stwierdził, że zbiór różnych danych osobowych ma zazwyczaj bardziej wrażliwy charakter niż pojedyncze dane. Tymczasem w niniejszej sprawie naruszenie dotyczyło także danych teleadresowych, które obejmują adres zamieszkania lub pobytu i numer telefonu klientki oraz jej adres e-mail.

Na poparcie stanowiska, że w sprawie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych organ powołał Wytyczne Europejskiej Rady Ochrony Danych 01/2021, a także orzecznictwo sądów administracyjnych. Organ zauważył, że z ostatniego raportu infoDOK (który przygotowywany jest w ramach prowadzenia społecznej Kampanii Informacyjnej Systemu DOKUMENTY ZASTRZEŻONE, organizowanej przez Związek Banków Polskich i niektóre banki, pod patronatem Ministerstwa Spraw Wewnętrznych i Administracji i we współpracy m.in. z Policją oraz Federacją Konsumentów), wynika, że w III kwartale 2022 r. odnotowano 2089 prób wyłudzeń kredytów i pożyczek. W całym

2020 r. odnotowano 6884 próby wyłudzeń na kwotę 253,8 mln zł, zaś w całym 2021 r. odnotowano 8096 prób wyłudzeń kredytów na łączną kwotę 336,6 mln zł.

Organ przywołał wyrok Sądu Rejonowego w [...] z dnia [...] lipca 2016 r. (sygn. akt [...]), w którym oszuści biorący pożyczkę na cudze dane posłużyli się nr PESEL, zmyślonym adresem oraz niewłaściwym numerem dowodu (nieważnym).

W konsekwencji organ uznał, że ze względu na zakres ujawnionych danych osobowych w analizowanym przypadku wystąpiła możliwość zmaterializowania się poważnych negatywnych konsekwencji dla osoby, której dane dotyczą, a więc wagę potencjalnego wpływu na prawa lub wolności osoby fizycznej należy uznać za wysoką. Jednocześnie prawdopodobieństwo wystąpienia wysokiego ryzyka w następstwie przedmiotowego naruszenia nie jest małe i nie zostało wyeliminowane. Tym samym organ stwierdził, że w związku z przedmiotowym naruszeniem wystąpiło wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, co w konsekwencji determinuje obowiązek dokonania zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 ust. 1 rozporządzenia nr 2016/679, oraz zawiadomienia o naruszeniu podmiotu danych, zgodnie z art. 34 ust. 1 rozporządzenia nr 2016/679. Niewykonanie tych obowiązków oznacza zaś naruszenie przez administratora powyższych przepisów.

Z tych powodów organ uznał, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na spółkę administracyjnej kary pieniężnej na podstawie art. 83 ust. 4 lit. a) rozporządzenia nr 2016/679, który stanowi m.in., że naruszenie obowiązków administratora, o których mowa w art. 33 i 34 rozporządzenia nr 2016/679, podlega administracyjnej karze pieniężnej w wysokości do 10.000.000 EURO, a w przypadku przedsiębiorstwa - w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Organ następnie przeanalizował szczegółowo przesłanki mające wpływ na wysokość nałożonej kary pieniężnej, tj. charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody; umyślny charakter naruszenia; wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego; stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków; kategorie danych osobowych, których dotyczyło naruszenie; działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą; stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32; sposób w jaki organ nadzorczy dowiedział się o naruszeniu; przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia nr 2016/679; stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia nr 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia nr 2016/679; osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

W ocenie organu, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia nr 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

[...] S.A. wniosła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na powyższą decyzję, zaskarżając ją w całości. Spółka zarzuciła zaskarżonej decyzji naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy, tj.

1. art. 7, art. 77, art. 75 § 1 i art. 80 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2023 r., poz. 775, powoływanej dalej jako k.p.a.), poprzez nieprzeprowadzenie dowodu z przesłuchania w charakterze świadka J. S. będącego jedynym nieuprawnionym adresatem omyłkowo przesłanej mu korespondencji, celem ustalenia okoliczności związanych z brakiem powielenia przez niego korespondencji oraz przekazania przez niego korespondencji osobie, której dotyczyła, pomimo powzięcia przez organ wiadomości o tym, iż skarżąca uzyskała zapewnienie o powyższym od wskazanego adresata, a tym samym wydanie decyzji w oparciu o niepełny materiał dowodowy i błędne przyjęcie, iż zachodziło wysokie ryzyko dla naruszenia praw i wolności osoby fizycznej;

2. art. 7, art. 77, art. 80, art. 81a § 1 k.p.a. poprzez naruszenie zasad swobodnej oceny dowodów polegające na:

a. naruszeniu zasady bezstronności i założeniu z góry, że oświadczenie nieuprawnionego adresata utrwalone w postaci nagrania nie ma wpływu na ocenę ryzyka dla naruszenia praw i wolności osoby fizycznej, jak również uznanie wskazanego oświadczenia za niezasługujące na wiarę i przyjęcie, że nie ma bowiem pewności, czy przed nagraniem oświadczenia osoba ta nie wykonała kopii lub też nie utrwaliła zawartych w treści umowy danych osobowych w inny sposób, np. poprzez ich spisanie, pomimo braku dokonania przesłuchania wskazanej osoby w charakterze świadka;

b. przyjęciu, że wystąpienie przez klientkę spółki z roszczeniem zapłaty odszkodowania za poniesioną szkodę potwierdza, że ocena ryzyka dokonana przez spółkę nie uwzględnia perspektywy klientki spółki, która w wyniku naruszenia ochrony jej danych osobowych, z wysokim prawdopodobieństwem, poniosła szkodę niemajątkową, w sytuacji w której postępowanie w sprawie cywilnej nie jest jeszcze zakończone, a zatem nie doszło do przesądzenia wystąpienia szkody, zaś samo wniesienie powództwa nie generuje "wysokiego prawdopodobieństwa" poniesienia przez klientkę spółki szkody, a dopóki postępowanie w sprawie cywilnej nie zostanie prawomocnie zakończone nie można twierdzić, iż doszło do powstania szkody po stronie klientki spółki;

c. nieuwzględnieniu, że naruszenie ochrony danych osobowych dotyczyło wyłącznie jednej osoby, w sytuacji gdy okoliczność ta w związku ze skalą działalności spółki przetwarzającej dane osobowe bardzo dużej liczby klientów stanowi niewielką ilość, a co powinno mieć przełożenie na treść decyzji;

d. błędnym ustaleniu, iż za czas trwania naruszenia, stanowiący okoliczność obciążającą w ocenie organu, należy uznać czas od powzięcia przez spółkę wiadomości o naruszeniu do dnia wydania zaskarżonej decyzji, z uwagi na fakt, iż klientka spółki nie mogła przeciwdziałać naruszeniu praw i wolności ze względu na niewywiązywanie się przez spółkę z obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi oraz obowiązku powiadomienia klientki spółki, podczas gdy czas trwania naruszenia powinien być zakończony z momentem, w którym klientka spółki dowiedziała się o naruszeniu, a dowiedziała się o nim od osoby, do której dane dotarły w sposób nieuprawniony i to nawet przed momentem, w którym [...] powzięła informacje o naruszeniu;

e. naruszeniu zasady obiektywizmu i rozstrzygnięciu wątpliwości co do stanu faktycznego na niekorzyść spółki, tj. w sposób prowadzący do przypisania spółce intencji naruszenia przepisów o ochronie danych osobowych oraz celowego (umyślnego) zaniżenia oceny ryzyka, pomimo sprzeczności takiej oceny ze zgromadzonym w sprawie materiałem dowodowym oraz zasadami logiki i doświadczenia życiowego, podczas gdy umyślność dotyczy samego naruszenia związanego z nieuprawnionym udostępnieniem danych osobowych, a zatem działania spółki nie można nazwać działaniem umyślnym, gdyż byłoby tak tylko wtedy, gdyby doszło do umyślnego naruszenia ochrony danych osobowych, a ponadto spółka przeprowadzając analizę doszłaby do przekonania, że ryzyko jest wysokie, lecz mimo to podjęłaby decyzję o braku zgłoszenia i zawiadomienia o naruszeniu, co nie miało miejsca w niniejszej sprawie;

f. naruszeniu zasady obiektywizmu i uznaniu za niezadowalającą współpracę spółki z organem, w tym w związku z reakcją na pisma i brakiem podjęcia działań przez spółkę już po wszczęciu postępowania w sprawie, tymczasem z okoliczności sprawy wynika, iż spółka odpowiedziała na wszelką korespondencję kierowaną przez organ oraz na każdym etapie deklarowała gotowość do współpracy z organem, a zatem brak było podstaw do uznania współpracy za niezadowalającą;

g. błędnym uznaniu, że brak było działań podjętych przez spółkę w celu zminimalizowania ewentualnej szkody poniesionej przez osobę, której dane dotyczą, podczas gdy za takie działanie należy uznać skontaktowanie się z osobą, której w sposób nieuprawniony udostępniono dane i upewnienie się, że dane te wróciły do klientki spółki bez ich dalszego kopiowania i przetwarzania przez osobę nieuprawnioną;

h. naruszeniu zasady obiektywizmu i uznaniu, że brak jest jakichkolwiek podstaw do uwzględnienia okoliczności łagodzących mających wpływ na ostateczny wymiar administracyjnej kary pieniężnej, podczas gdy należało wziąć pod uwagę zarówno fakt, iż naruszenie dotyczyło danych jednej osoby, jak i fakt, że dane zostały udostępnione wyłącznie jednej osobie i uzyskano od niej zapewnienie o dalszym nieprzekazaniu wskazanych danych, jak również brak umyślności naruszenia, które wynikało z błędu ludzkiego;

i. dokonaniu błędnej oceny naruszenia i stopnia ryzyka dla praw lub wolności podmiotu danych i na ustaleniu, że zachodziło ryzyko skutkujące koniecznością zgłoszenia naruszenia ochrony danych organowi oraz zawiadomienia osoby, której dane dotyczą, w sytuacji, gdy ocena ryzyka przeprowadzona przez spółkę była prawidłowa i ryzyko to nie powodowało konieczności podjęcia przez spółkę wskazanych działań;

3. art. 107 § 3 k.p.a. poprzez brak dostatecznego uzasadnienia decyzji o nałożeniu administracyjnej kary pieniężnej w związku z art. 33 oraz 34 ust. 1 rozporządzenia nr 2016/679 oraz brak wykazania, iż naruszenie ochrony danych osobowych przez spółkę mogło spowodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a w szczególności brak przekonywającego wykazania, iż w praktyce jest możliwe np. legalne zaciąganie zobowiązań wyłącznie na podstawie danych obejmujących imię, nazwisko, nr PESEL oraz miejscowość i kod pocztowy, ani że na podstawie takich danych można również zawrzeć umowy pożyczki, nawet w instytucjach pozabankowych czy parabankowych, tymczasem gdyby rzeczywiście udostępnienie danych osobowych, o których mowa w tej sprawie rodziło obiektywnie wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczyły, udostępnienie wskazanych danych w otwartych rejestrach publicznych, np. KRS mogłoby narażać posiadaczy danych na poważne konsekwencje, także wówczas, gdy zostały udostępnione za zgodą tych osób;

4. art. 83 ust. 1 i art. 83 ust. 2 lit. a), b), f), g) rozporządzenia nr 2016/679 w zw. z art. 8 § 1 k.p.a. poprzez nałożenie administracyjnej kary pieniężnej rażąco niewspółmiernej do stwierdzonego naruszenia, w sytuacji, gdy korespondencja obejmująca dane osobowe została przesłana wyłącznie do jednego adresata, który przekazał je osobie, której dane dotyczyły i zapewnił o dalszym nieprzesłaniu wskazanych danych, a w sprawie zaistniał szereg okoliczności uzasadniających przyjęcie przez spółkę braku wysokiego ryzyka dla naruszenia praw i wolności osób fizycznych.

Skarżąca postawiła także zarzut naruszenia przepisów prawa materialnego, tj. art. 33 ust. 1 oraz art. 34 ust. 1 rozporządzenia nr 2016/679 poprzez ich błędną wykładnię i przyjęcie, że w sprawie zachodziły przesłanki do zgłoszenia naruszenia organowi oraz zawiadomienia osoby, której dane dotyczą, podczas gdy ryzyko dla praw i wolności osób fizycznych zostało zidentyfikowane przez spółkę w sposób prawidłowy, co nie pociągało za sobą konieczności dokonywania zgłoszenia i zawiadomienia.

Skarżąca wniosła o uchylenie zaskarżonej decyzji w całości oraz o umorzenie postępowania administracyjnego, ewentualnie o uchylenie zaskarżonej decyzji w całości; a także o zasądzenie kosztów postępowania.

Ponadto na podstawie art. 106 § 3 ustawy – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r., poz. 1634 ze zm., powoływanej dalej jako p.p.s.a.) skarżąca wniosła o o dopuszczenie i przeprowadzenie dowodu w postaci:

1. listy praktyk i zasad wdrożonych w spółce potwierdzających przestrzeganie przez [...] oraz [...] [...] sp. z o.o. zasad związanych z przetwarzaniem danych osobowych oraz Kodeksu dobrych praktyk w zakresie przetwarzania danych osobowych w obszarze sprzedaży;

2. nagrania oświadczenia osoby nieuprawnionej, której udostępniono dane, dla wykazania, iż osoba ta zapewniła o dalszym nieudostępnianiu danych i ich niepowielaniu, jak również o przekazaniu korespondencji osobie, której dane dotyczyły;

3. kopii pisma z dnia [...] stycznia 2021 r. wysłanego do klientki spółki, w którym spółka przeprosiła klientkę na naruszenie, celem wykazania, iż spółka podjęła działania w celu zminimalizowania potencjalnej szkody.

W uzasadnieniu skargi skarżąca przedstawiła szczegółową argumentację na poparcie postawionych zarzutów i podkreśliła, że jej zdaniem organ nie wykazał, iż naruszenie ochrony danych osobowych mogło spowodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a w szczególności nie wykazał, iż w praktyce jest możliwe np. legalne zaciąganie zobowiązań wyłącznie na podstawie danych obejmujących imię, nazwisko, nr PESEL oraz miejscowość i kod pocztowy, ani że na podstawie takich danych można również zawrzeć umowy pożyczki, nawet w instytucjach pozabankowych czy parabankowych. Przytoczenie w tym zakresie jednego internetowego artykułu trudno uznać za wykazanie wskazanej okoliczności. Gdyby rzeczywiście udostępnienie danych osobowych, o których mowa w tej sprawie rodziło obiektywnie wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczyły, udostępnienie wskazanych danych w otwartych rejestrach publicznych, np. KRS mogłoby narażać posiadaczy danych na poważne konsekwencje, także wówczas, gdy zostały udostępnione za zgodą tych osób.

W odpowiedzi na skargę organ wniósł o jej oddalenie.

W piśmie procesowym z dnia 2 kwietnia 2024 r. skarżąca podtrzymała zarzuty argumenty i wnioski skargi.

Na rozprawie w dniu 18 czerwca 2024 r. Sąd postanowił nie uwzględnić zwartych w skardze wniosków dowodowych.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Skarga zasługuje na uwzględnienie, choć nie wszystkie powołane w niej argumenty są trafne.

Przedmiotem kontroli Sądu w rozpoznawanej sprawie jest decyzja Prezesa Urzędu Ochrony Danych Osobowych nakładająca na [...] S.A. karę pieniężną w wysokości 282.960 zł w związku ze stwierdzonymi naruszeniami obowiązków wynikających po pierwsze z art. 33 ust. 1 i po drugie z art. 34 ust. 1 rozporządzenia nr 2016/679 oraz nakazująca tej spółce wykonanie obowiązku określonego w art. 34 ust. 1 tego rozporządzenia.

Podstawę materialnoprawną zaskarżonej decyzji stanowił przede wszystkim art. 84 ust. 4 lit. a) rozporządzenia nr 2016/679. Zgodnie z tym przepisem, naruszenia przepisów dotyczących kwestii obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25-39 oraz 42 i 43 podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10.000.000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Dla wymierzenia kary pieniężnej na podstawie tego przepisu w rozpoznawanej sprawie konieczne było zatem niebudzące wątpliwości ustalenie przez organ, że administrator nie wykonał obowiązków określonych w art. 33 ust. 1 oraz art. 34 ust. 1 ww. rozporządzenia.

Jak stanowi art. 33 ust. 1 rozporządzenia nr 2016/679, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Z kolei w myśl art. 34 ust. 1 tego rozporządzenia, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

Jak wynika z powyższego, obydwa przywołane przepisy uzależniają uaktualnienie się obowiązku podjęcia przez administratora działań w nich określonych od stopnia ryzyka naruszenia praw lub wolności osób fizycznych. Jeżeli po dokonaniu przez administratora oceny stopnia tego ryzyka dojdzie on do uzasadnionego przekonania, że wystąpienie ryzyka jest mało prawdopodobne jest on zwolniony z obowiązku zgłoszenia organowi naruszenia. Jeżeli zaś uzna, że zaistniałe ryzyko jest wysokie, będzie zobowiązany zawiadomić o naruszeniu osobę, której dane dotyczą.

Wypada podkreślić, że w tej sprawie kara pieniężna została nałożona za niedopełnienie wskazanych wyżej obowiązków, nie zaś za sam fakt wystąpienia naruszenia ochrony danych osobowych. W istocie okoliczności faktyczne dotyczące zaistniałego naruszenia danych osobowych nie są sporne. Wskutek omyłkowego działania pracownika spółki, która świadczy na rzecz skarżącej usługi wysyłki umów, doszło w dniu [...] lipca 2020 r. do przesłania osobie trzeciej umowy zawierającej dane uczestniczki postępowania, tj. numer PESEL, imię, nazwisko, dane teleadresowe oraz adres e-mail. Osoba, która otrzymała błędnie zaadresowaną przesyłkę, po zapoznaniu się z treścią korespondencji, odesłała ją klientce spółki. Skarżąca dowiedziała się o zaistniałym naruszeniu w dniu [...] listopada 2020 r. Co wymaga podkreślenia, skarżąca nie kwestionuje, że doszło do tak opisanego zdarzenia. Odmiennie jednak niż organ ocenia stopnień powstałego wskutek tego zdarzenia ryzyka naruszenia praw i wolności osoby, której dane osobowe zostały w sposób nieuprawniony udostępnione osobie trzeciej.

Sąd w składzie rozpoznającym niniejszą sprawę podziela stanowisko organu, że nie można zaakceptować oceny dokonanej przez skarżącą spółkę, jakoby wystąpiło małe prawdopodobieństwo wystąpienia ryzyka naruszenia praw i wolności osoby fizycznej.

Skoro osoba trzecia faktycznie zapoznała się z danymi osobowymi klientki spółki, to należy przyjąć, że w wyniku naruszenia ochrony danych osobowych administrator utracił kontrolę nad przetwarzanymi danymi osobowymi, natomiast nieuprawniony odbiorca uzyskał do nich dostęp, stał się dysponentem tych danych, co prowadzi do wniosku, że nie może być mowy o incydencie bezpieczeństwa, lecz o naruszeniu ochrony danych osobowych (dotyczącemu poufności danych osobowych).

Jak podkreśla się w orzecznictwie sądów administracyjnych (por. wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 19 kwietnia 2022 r. sygn. akt II SA/Wa 3024/21, dostępny w internetowej bazie orzeczeń sądów administracyjnych), ocena prawdopodobieństwa powstania ryzyka naruszenia praw lub wolności osób fizycznych wskutek naruszenia ochrony danych osobowych oraz ocena stopnia tego ryzyka wymaga odniesienia się do charakteru, zakresu, kontekstu i celów przetwarzania danych (pkt 76 Preambuły Rozporządzenia). Ryzyko to istnieje w przypadku, gdy naruszenie może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone. Przykłady takich szkód obejmują; dyskryminację, kradzież lub sfałszowanie tożsamości, straty finansowe i naruszenie dobrego imienia (pkt 75 Preambuły Rozporządzenia).

W rozpatrywanej sprawie, mimo że dane udostępniono innemu klientowi skarżącej spółki, który podjął czynności w celu przekazania korespondencji właściwemu adresatowi, nie można tej osoby uznać za pozostającą z administratorem w stałych stosunkach, zaufaną w tym sensie, że pozwalającą przyjąć, że rzeczywiście nie uczyni użytku z danych omyłkowo jej przesłanych. Istotnym czynnikiem przy ocenie prawdopodobieństwa ryzyka naruszenia praw lub wolności osoby, której dane zostały ujawnione jest również łatwość, z jaką strona, która ma dostęp do ujawnionych danych osobowych, będzie w stanie zidentyfikować konkretne osoby fizyczne lub dopasować dane do innych informacji służących identyfikacji osób fizycznych (Wytyczne Grupy Roboczej Art. 29 dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679, s. 29).

W rozpatrywanym przypadku charakter i rodzaj udostępnionych danych w dużym stopniu umożliwiał ustalenie tożsamości konkretnej osoby bezpośrednio w oparciu o dane osobowe, których dotyczy naruszenie, bez szczególnej potrzeby gromadzenia dodatkowych informacji pozwalających określić tę tożsamość. W tych okolicznościach osoba, której dane zostały udostępnione utraciła możliwość sprawowania kontroli nad swoimi danymi osobowymi i tym samym doznała naruszenia jej prawa do ochrony danych osobowych (art. 51 ust. 1 Konstytucji RP).

Te okoliczności pozwalają zdaniem Sądu przyjąć, że nie została spełniona określona w art. 33 ust. 1 rozporządzenia nr 2016/679 przesłanka zwalniająca administratora danych z obowiązku zgłoszenia organowi nadzoru faktu naruszenia danych osobowych. Należy zatem podzielić stanowisko Prezesa UODO co do tego, że prawdopodobieństwo, by stwierdzone naruszenie ochrony danych osobowych rodziło ryzyko naruszenia praw lub wolności osoby, której dane zostały ujawnione, nie jest małe. Skarżąca miała zatem obowiązek zgłoszenia tego naruszenia organowi nadzoru.

Zdaniem Sądu, jako nieistotne w tym kontekście jawią się okoliczności związane z oświadczeniem osoby trzeciej o nieprzekazaniu danych innej osobie, a także związane z wprowadzonymi przez skarżącą spółkę procedurami bezpieczeństwa, a także podjętymi działaniami mającymi zmniejszyć zaistniałą szkodę. Ocenie w rozpoznawanej sprawie – jak już wskazano – nie podlegało samo wystąpienie szkody, lecz zaistnienie ryzyka naruszenia praw i wolności danej osoby. Takie ryzyko niewątpliwie wystąpiło w związku z zapoznaniem się przez osobę niepowołaną z takimi danymi osobowymi skarżącej jak numer PESEL, imię i nazwisko, adres oraz adres e-mail. To, że osoba, która uzyskała dane, faktycznie nie uczyniła z nich niezgodnego z prawem użytku, nie oznacza, że takie ryzyko nie wystąpiło. Również działania podjęte przez skarżącą nie powodują, że w sprawie wystąpiło małe prawdopodobieństwo ryzyka naruszenia praw i wolności, a zatem nie mają wpływu na ocenę zaistnienia przesłanki relewantnej z punktu widzenia zastosowania art. 33 ust. 1 rozporządzenia nr 2016/679. Z tych przyczyn Sąd nie uwzględnił zgłaszanych przez skarżącą w toku postępowania wniosków dowodowych.

Sąd uchylił jednak zaskarżoną decyzję w całości, biorąc pod uwagę, że organ nadzoru wymierzył skarżącej karę pieniężną również za naruszenie art. 34 ust. 1 rozporządzenia nr 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osoby, której dane dotyczą. Organ uznał bowiem, że w rozpatrywanym przypadku stwierdzone naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą.

Według organu, ujawnienie danych osobowych, w szczególności takich jak numer ewidencyjny PESEL wraz z imieniem i nazwiskiem może zostać wykorzystane lub powodować takie negatywne konsekwencje jak kradzież tożsamości czy wyłudzenie pożyczki. Skarżąca zarzuciła, że podane przez organ możliwości naruszenia praw czy wyrządzenia szkody osobie, której dane osobowe znalazły się w nieuprawnionym posiadaniu osoby trzeciej, mające świadczyć o wysokim ryzyku takich naruszeń, w rzeczywistości nie istnieją. Podane przez organ przykłady zagrożeń dla praw i interesów osoby, której dane dotyczą, nie są wiarygodne. Skarżąca podniosła bowiem, że gdyby rzeczywiście udostępnienie danych osobowych, o których mowa w tej sprawie rodziło obiektywnie wysokie ryzyko naruszenia praw lub wolności osób, których te dane dotyczą, udostępnienie takich danych w otwartych rejestrach publicznych, np. rejestr przedsiębiorców w Krajowym Rejestrze Sądowym, mogłoby narażać posiadaczy danych na poważne konsekwencje, również wówczas, gdy dane zostały udostępnione za ich zgodą.

Zdaniem Sądu, organ nie wykazał przekonywująco, że w praktyce jest możliwe, np. legalne zaciąganie zobowiązań wyłącznie na podstawie danych obejmujących imię i nazwisko oraz numer PESEL oraz miejscowość i kod pocztowy, ani że na podstawie takich danych można również zawrzeć umowy pożyczki, nawet w instytucjach pozabankowych czy parabankowych, za pośrednictwem Internetu lub telefonicznie. Powoływany szeroko w uzasadnieniu zaskarżonej decyzji wyrok Sądu Rejonowego w [...] dotyczył sytuacji podjęcia próby wyłudzenia kredytu, w której posłużono się nie tylko numerem PESEL, ale także numerem dowodu osobistego, który był wprawdzie nieważny, jednak był wydany danej osobie. Powyższe w żaden sposób nie potwierdza zatem, że możliwe jest uzyskanie kredytu jedynie na podstawie numeru PESEL oraz imienia i nazwiska. Podawane przez organ dane liczbowe dotyczące rosnącej liczby wyłudzeń kredytów, również nie potwierdzają, że w tych przypadkach doszło do skutecznego wyłudzenia kredytu na podstawie jedynie numeru PESEL i imienia i nazwiska. Argumentacja organu nie potwierdza zatem tak przyjętej tezy.

Jak wskazuje się w wytycznych Europejskiej Rady Ochrony Danych, z wysokim ryzykiem naruszenia praw i wolności osoby fizycznej możemy mieć do czynienia, gdy np. ujawnione zostaną informacje dotyczące stanu zdrowia danej osoby lub jej sytuacji rodzinnej (por. Wytyczne 9/2022 pkt 106 i 107). Ocena ryzyka musi zatem uwzględniać stopień wrażliwości danych i możliwość ich użycia w sposób wyrządzający znaczną szkodę majątkową lub niemajątkową. Zdaniem Sądu, w uzasadnieniu zaskarżonej decyzji organ nie wykazał, by tego rodzaju naruszenie ochrony danych wystąpiło w rozpoznawanej sprawie.

Jak wskazał Wojewódzki Sąd Administracyjny w przywoływanym wyroku z dnia 19 kwietnia 2022 r., uzasadnienie rozstrzygnięcia mającego charakter decyzji administracyjnej stanowi istotną gwarancję realizacji podstawowych zasad postępowania administracyjnego: zasady zaufania (art. 8 § 1 i 2 k.p.a.) i zasady przekonywania (art. 11 k.p.a.) oraz konstytucyjnej zasady prawa do sądu (art. 45 ust. 1 i art. 78 Konstytucji RP). Obowiązek sporządzenia uzasadnienia decyzji odpowiadającego wymogom określonym w art. 107 § 3 k.p.a. stanowi realizację tych zasad. Prawidłowo sporządzone uzasadnienie daje również możliwość pełnej i merytorycznej weryfikacji decyzji w postępowaniu sądowym, w toku którego nie jest możliwe uzupełnienie przeprowadzonego postępowania administracyjnego o stosowną argumentację prawną i wyręczanie w ten sposób organów administracji w dokonaniu oceny w kwestii spełnienia przesłanek ustawowych, uzasadniających wydanie konkretnej decyzji.

Zdaniem Sądu, z przedstawionych wyżej powodów uzasadnienie zaskarżonej decyzji (mimo jego objętości) nie odpowiada wymaganiom art. 107 § 3 p.p.s.a. i to uchybienie mogło mieć istotny wpływ na wynik sprawy.

Konkludując, postawione w skardze zarzuty naruszenia przepisów dotyczących ustalenia i oceny okoliczności faktycznych sprawy oraz naruszenia przepisów prawa materialnego w zakresie dotyczącym stwierdzenia naruszenia obowiązku, o którym mowa w art. 33 ust. 1 rozporządzenia nr 2016/679, nie zasługują w ocenie Sądu na uwzględnienie. Sąd uznał natomiast, że organ nie wyjaśnił dostatecznie w uzasadnieniu decyzji dlaczego przyjął, że w sprawie wystąpiło wysokie ryzyko naruszenia praw i wolności osoby fizycznej, a zatem że w konsekwencji spółka naruszyła art. 34 ust. 1 rozporządzenia nr 2016/679. Ponieważ w zaskarżonej decyzji administracyjna kara pieniężna została wymierzona w związku ze stwierdzeniem dwóch naruszeń, a Sąd stwierdził, że ustalenia organu co do jednego z tych naruszeń są niewystarczające, konieczne było uchylenie pkt 1 zaskarżonej decyzji w całości. Sąd uchylił również pkt 2 zaskarżonej decyzji, bowiem dotyczył on realizacji obowiązku określonego w art. 34 ust. 1 rozporządzenia nr 2026/679, a aktualizacji tego obowiązku wobec skarżącej organ – jak już wyjaśniono – nie wykazał w sposób przekonujący.

Sąd nie odnosił się do zarzutów skargi dotyczących ustalenia przez organ wysokości kary pieniężnej z uwzględnieniem kryteriów określonych w art. 83 ust. 2 rozporządzenia nr 2016/679, bowiem na obecnym etapie postępowania zarzuty te są przedwczesne. Rozpatrując sprawę ponownie, organ będzie bowiem zobowiązany do uwzględnienia wyżej poczynionych rozważań Sądu w zakresie wykazania wystąpienia w tej sprawie wysokiego ryzyka naruszenia praw i wolności osoby fizycznej, a w konsekwencji do ustalenia na nowo wysokości ewentualnej kary, biorąc pod uwagę jedynie prawidłowo stwierdzone naruszenia przepisów rozporządzenia nr 2016/679.

Biorąc wszystkie powyższe okoliczności pod uwagę, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. c) p.p.s.a., orzekł jak w pkt 1 sentencji.

O kosztach postępowania sądowego w pkt 2 sentencji Sąd orzekł na podstawie art. 200 i art. 205 § 2 p.p.s.a. w zw. z § 14 ust. 1 pkt 1 lit. a) w zw. z § 2 pkt 7 rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 r. w sprawie opłat za czynności radców prawnych (Dz. U. z 2023 r., poz. 1935). Do kosztów tych Sąd zaliczył uiszczony przez skarżącą wpis od skargi w wysokości 2830 zł oraz wynagrodzenie radcy prawnego reprezentującego skarżącą (10800 zł).