Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Góraj (spr.), Sędzia WSA Łukasz Krzycki, Sędzia WSA Waldemar Śledzik, , Protokolant starszy specjalista Ewa Kielak, po rozpoznaniu na rozprawie w dniu 15 listopada 2022 r. sprawy ze skargi [...] z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] stycznia 2022 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę

Postępowanie administracyjne przed Prezesem Urzędu Ochrony Danych Osobowych, (dalej: "Prezes UODO", "organ") zainicjowało zgłoszenie naruszenia ochrony danych dokonane przez [...] S.A. z siedzibą w [...] przy al. [...] (dalej: "Bank", "Administrator"), informujące o naruszeniu ochrony danych osobowych 10 500 osób. Naruszenie polegało na posiadaniu przez byłego pracownika Banku, któremu nie odebrano po zakończeniu stosunku pracy dostępu do Platformy Usług Elektronicznych [...] ([...]), nieuprawnionego dostępu do tejże platformy, w wyniku czego mógł on przeglądać znajdujące się na profilu płatnika [...] S.A. dane pracowników Banku w zakresie ich imion i nazwisk, nr PESEL, adresu zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowiących dane dotyczące zdrowia.

Prezes UODO prowadząc postępowanie ustalił, że ów były pracownik Banku korzystał ze swoich uprawnień i logował się pięciokrotnie do platformy [...] (w następujących terminach: 2020-06-30, godz. 21:09:54; 2020-06-30, godz. 21:00:42; 2020-06-30, godz. 21:02:37; 2020-10-26, godz. 22:01:27; 2021-02-03, godz. 20:50:14), zyskując tym samym nieuprawniony wgląd w dane osobowe pracowników Banku. Organ nie ustalał zaś obszarów, które były przeglądane przez nieuprawnioną osobę ani tego, do jakich konkretnie danych i dotyczących ilu pracowników osoba ta uzyskała dostęp w trakcie logowań na profil płatnika [...] S.A. na platformie [...].

Organ ustalił też, że Administrator zrezygnował z powiadamiania o naruszeniu osób, których dane dotyczą uznając, iż cyt.: "w trakcie zatrudnienia pracownik miał dostęp do znacznie szerszego katalogu danych pracowniczych co związane było z pełnieniem funkcji kierowniczej w Departamencie Kadr. Wyjaśniając prawidłowość dokonanej oceny ryzyka Bank podniósł, że przemawia za tym fakt, iż była pracownica Banku samodzielnie zgłosiła Administratorowi nieuprawniony dostęp do platformy [...] .

Decyzją z dnia [...] stycznia 2022 r. Prezes UODO stwierdzając naruszenie przez [...] S.A. z siedzibą w [...] przepisów art. 34 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679

z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku

z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

(Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej: "rozporządzenie 2016/679", polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą, nałożył na [...] S.A. z siedzibą w [...] administracyjną karę pieniężną w wysokości 545.748 PLN (słownie: pięćset czterdzieści pięć tysięcy siedemset czterdzieści osiem złotych) i nakazał [...] S.A. z siedzibą w [...] zawiadomienie - w terminie 3 dni od dnia doręczenia niniejszej decyzji - osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych tj. wszystkich pracowników Banku, którzy byli zatrudnieni w okresie, w którym były pracownik Banku posiadał nieuprawniony dostęp do danych zgromadzonych na Platformie Usług Elektronicznych [...] ([...]), w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, tj.; a) opisu charakteru naruszenia ochrony danych osobowych; b) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisu możliwych konsekwencji naruszenia ochrony danych osobowych; d) opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

W uzasadnieniu decyzji organ przywołał art. 4 pkt 12 rozporządzenia 2016/679, w myśl którego "naruszenie ochrony danych osobowych" oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Dalej przywołał art. 34 ust. 1 rozporządzenia 2016/679 wskazujący, że w sytuacji możliwości wystąpienia wysokiego ryzyka dla praw i wolności osób fizycznych wynikających z naruszenia ochrony danych osobowych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o naruszeniu.

Podkreślił, że obowiązek zawiadomienia osoby fizycznej o naruszeniu nie jest uzależniony od materializacji negatywnych konsekwencji dla takiej osoby, ale od samej możliwości wystąpienia takiego ryzyka. Tym samym umożliwia osobie fizycznej dokonanie samodzielnej oceny naruszenia.

Podkreślił również, że naruszenie poufności danych, jakie wystąpiło w przedmiotowej sprawie, dotyczyło naruszenia ochrony danych osobowych polegające na posiadaniu przez byłego pracownika Banku nieuprawnionego dostępu do Platformy Usług Elektronicznych [...], co skutkowało możliwością przeglądania znajdujących się na tejże platformie danych pracowników Banku w zakresie ich imion i nazwisk, numerów PESEL, adresów zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowiących dane dotyczące zdrowia, powodując w konsekwencji wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Organ przywołał tu wskazania Grupy Roboczej Art. 29 (tj. Grupa Robocza ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych, powołana na mocy art. 29 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r., zastąpiona zgodnie z art. 68 rozporządzenia 2016/679 Europejską Radą Ochrony Danych Osobowych, która podczas pierwszego posiedzenia plenarnego EROD zatwierdziła m.in. niżej przywołane wytyczne) WP250, w których podano - : "Ryzyko to istnieje w przypadku, gdy naruszenie może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone. Przykłady takich szkód obejmują dyskryminację, kradzież lub sfałszowanie tożsamości, straty finansowe i naruszenie dobrego imienia.

W ocenie organu nie ulega wątpliwości, że przywołane w wytycznych przykłady szkód, z uwagi na zakres danych objęty niniejszym naruszeniem ochrony danych osobowych, w tym nr PESEL wraz z imieniem i nazwiskiem, adresem zamieszkania lub pobytu, czy informacjami o zwolnieniach lekarskich, tj. danymi dotyczącymi zdrowia, mogą wystąpić w omawianym przypadku. W konsekwencji oznacza to, że występuje wysokie ryzyko naruszenia praw lub wolności osób objętych przedmiotowym naruszeniem, co z kolei skutkuje powstaniem po stronie Banku obowiązku zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony danych osobowych, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 34 ust. 2 rozporządzenia 2016/679.

Ustosunkowując się do wyjaśnień Banku, iż byłego pracownika potraktował jako "odbiorcę zaufanego" organ wyjaśnił, że odbiorca zaufany to odbiorca, któremu administrator może ufać na tyle, aby móc racjonalnie oczekiwać, że strona ta nie odczyta omyłkowo wysłanych danych lub nie uzyska do nich wglądu oraz że wypełni polecenie ich odesłania. Nawet jeżeli do danych uzyskano wgląd, administrator nadal może mieć zaufanie do odbiorcy, że nie podejmie on żadnych dalszych działań w kwestii tych danych oraz że niezwłocznie zwróci dane do administratora i będzie współpracować przy ich odzyskaniu. W takich przypadkach administrator może uwzględnić tę kwestię w ocenie ryzyka przeprowadzanej w następstwie naruszenia -fakt, że odbiorca jest zaufany może spowodować, że skutki naruszenia nie będą poważne, ale nie znaczy to, że naruszenie nie miało miejsca".

Podkreślono, iż status odbiorcy zaufanego posiadają podmioty, które działają w strukturach danej organizacji albo są np. dostawcą, z którego usług administrator stale korzysta. Pomiędzy podmiotami istnieje więź faktyczna, a nierzadko prawna, która pozwala na ocenę stopnia zaufania stron. W przypadku takiego odbiorcy administrator może przyjąć domniemanie, że zna on obowiązujące procedury w zakresie ochrony danych osobowych i że zachowa się w odpowiedni sposób. W przedmiotowej sprawie, zdaniem Prezesa UODO, nie występował odbiorca zaufany, wobec czego Bank powinien był zachować się w sposób bardziej ostrożny w przypadku ujawnienia danych osobie nieuprawnionej, a więc zawiadomić o naruszeniu ochrony danych osobowych osoby, których dane dotyczą, zakładając, że naruszenie może wywołać szersze skutki.

W ocenie organu o braku występowania w niniejszej sprawie odbiorcy zaufanego świadczy sam fakt pięciokrotnego zalogowania się do systemu przez byłego pracownika w przypadku braku uprawnień.

Prezes UODO podkreślił też, iż ustanie zatrudnienia jest równoznaczne z zerwaniem dotychczasowej więzi prawnej miedzy stronami stosunku pracy i zobowiązaniem strony do "rozliczenia się" z wzajemnych obowiązków wynikających z zakończonej umowy. W chwili ustania stosunku pracy przestaje obowiązywać zasada wyrażona w art. 100 § 2 Kodeksu pracy (Dz. U. z 2020 r. poz. 1320 ze zm.), tj. zasada szczególnej lojalności pracownika względem pracodawcy wyrażająca się chociażby w obowiązku dbania o dobro zakładu pracy, chronienia jego mienia oraz zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Rozumiany w ten sposób obowiązek dochowania lojalności wynika z samego faktu nawiązania stosunku pracy i wiąże strony przez cały okres jego trwania, aż do momentu, w którym ustaje. Podniesiono, że o ile fakt bycia wieloletnim pracownikiem Banku (praca w Dziale Kadr, posiadanie upoważnienia do przetwarzania danych osobowych w imieniu Banku) może wskazywać na duże doświadczenie i wiedzę podmiotu nieuprawnionego, o tyle fakt, że logowania do platformy [...] miały miejsce już po ustaniu stosunku pracy, częstotliwość tych logowań i odstępy czasu pomiędzy poszczególnymi logowaniami, wskazują według organu na działanie celowe, a nie przypadkowe byłego pracownika Banku - w żadnym razie zatem nie uzasadniają posiadanego zaufania pracodawcy do byłego pracownika.

Odnosząc się do kolejnego argumentu Banku uzasadniającego niezawiadomienie o naruszeniu osób, których dane dotyczą, tj. brak precyzyjnie określonego obszaru danych i kręgu pracowników, których dane dotyczą, co nie pozwala na identyfikację zagrożenia organ wyjaśnił, że były pracownik miał dostęp do takich samych kategorii danych przetwarzanych w ramach platformy [...], jak osoba zatrudniona, mianowicie do danych w zakresie: imię, nazwisko, adres zamieszkania lub pobytu, nr PESEL oraz informacje z zaświadczeń [...], tj. dane dotyczące zdrowia Prezes UODO stwierdził, że dostęp do danych o tak szerokim zakresie stwarza ryzyko dla praw lub wolności osób, których dane dotyczą. Zdaniem organu imię i nazwisko wraz z adresem zamieszkania lub pobytu oraz numerem ewidencyjnym PESEL mogą zostać wykorzystane przez nieuprawnione osoby m.in do uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej i wglądu do danych o stanie zdrowia, czy uzyskania przez osoby trzecie pożyczek w instytucjach pozabankowych.

Prezes UODO podkreślił także, że w przedmiotowej sprawie nie jest istotne to, czy osoba nieuprawniona faktycznie zapoznała się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko (miała możliwość zapoznania się z tymi danymi), co w konsekwencji oznacza - z uwagi na zakres danych - że wystąpiło wysokie ryzyko naruszenia praw lub wolności podmiotów danych. Organ wskazał, że z opinią taką zgodził się również Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia

22 września 2021 r. sygn. akt II SA/Wa 791/21, rozstrzygając w przedmiocie administracyjnej kary pieniężnej nałożonej na [...] Uniwersytet Medyczny w [...], w którym Sąd stwierdził, że "(...) w rozpatrywanej sprawie nie jest istotne to, czy nieuprawniony odbiorca faktycznie wszedł w posiadanie i zapoznał się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko, a w konsekwencji również potencjalnie wystąpiło ryzyko naruszenia praw lub wolności podmiotów danych. W dalszej części Sąd podkreślił również, że "możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować. W treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Zatem podnoszona przez Administratora okoliczność, że "nie wpłynęła do Uczelni żadna informacja mogąca mieć wpływ na zmianę poziomu ryzyka albo wymagająca podjęcia innych środków technicznych i organizacyjnych rozszerzających katalog podjętych działań" pozostaje irrelewantna dla stwierdzenia istnienia po stronie Administratora obowiązku zgłoszenia przedmiotowego naruszenia ochrony danych osobowych Prezesowi UODO, zgodnie z powyższym przepisem".

Stąd sam fakt braku precyzyjnie określonego kręgu pracowników, których naruszenie dotyczy, nie stanowi w ocenie organu przeszkody dla realizacji obowiązku wynikającego z art. 34 rozporządzenia 2016/679, choćby dlatego, że formą przekazania informacji o naruszeniu ochrony danych osobowych w przedmiotowej sprawie, biorąc pod uwagę brak precyzyjnie określonego kręgu podmiotów, których naruszenie dotyczyło, może być według organu komunikat publiczny, np. zamieszczony w Intranecie.

Organ uznał też, iż opublikowana w Intranecie przez Bank informacja w gruncie rzeczy nie odnosi się do przedmiotowego naruszenia ochrony danych osobowych, bowiem stanowi jedynie ogólną informację, jakich z całą pewnością wiele na platformie komunikacji wewnętrznej Banku, na temat rodzaju naruszenia ochrony danych osobowych, jakim może być dostęp osoby nieupoważnionej do danych osobowych pracowników, jego możliwych konsekwencji czy środków zaradczych, co za tym idzie - informacja ta nie jest w żadnym wypadku równoznaczna ze spełnieniem obowiązku, o którym mowa w art. 34 ust. 1 rozporządzenia 2016/679. Z treści komunikatu nie wynika bowiem, aby dotyczył on konkretnego naruszenia, a zatem osoby, których dane dotyczą, nie miały żadnych powodów, by potraktować go jako odnoszący się do nich i odpowiednio zareagować. Co więcej jak podkreślił organ, komunikat skierowany został jedynie do obecnych pracowników Banku, jako korzystających z platformy komunikacji wewnętrznej, natomiast zawiadomione o naruszeniu powinny zostać wszystkie osoby, które były zatrudnione w Banku w okresie, w którym dostęp do danych dla osoby nieuprawnionej pozostawał otwarty, a które aktualnie mogą już w nim nie pracować.

Odnosząc się do wskazanych przez Bank w piśmie z dnia [...] lipca 2021 r. wniosków dowodowych na podstawie art. 78 § 1 k.p.a., tj.:

1) przeprowadzenia dowodu z zeznań świadka J. S. na okoliczność korzystania z dostępu do platformy [...] oraz celem ustalenia, czy były pracownik Banku zapoznawał się z danymi osobowymi na platformie [...] w okresie od dnia [...] czerwca 2020 r. do dnia [...] lutego 2021 r., a jeżeli tak, to w jakim zakresie; ewentualnie: zwrócenie się przez organ do J. S. celem uzyskania informacji na piśmie, czy jako były pracownik Banku zapoznawał się z danymi osobowymi na platformie [...] w okresie od dnia [...] czerwca 2020 r. do dnia

[...] lutego 2021 r., a jeżeli tak, to w jakim zakresie;

2) zobowiązania operatora platformy [...], tj. [...], do przedstawienia logów i wszelkich zapisów sytemu informatycznego - platformy [...] - celem ustalenia, z jakimi danymi osobowymi J. S. zapoznawała się w ramach dostępu do [...] w datach od dnia ustania stosunku pracy, tj. od dnia

[...] czerwca 2020 r. do dnia odebrania pracownikowi uprawnień w [...], tj. do dnia

[...] lutego 2021 r.;

3) przeprowadzenia dowodu z opinii biegłego z dziedziny informatyki dla ustalenia, z jakimi danymi osobowymi J. S. zapoznawała się w ramach dostępu do [...] w datach od dnia ustania stosunku pracy, tj. od dnia [...] czerwca 2020 r. do dnia odebrania pracownikowi uprawnień w [...], tj. do dnia [...] lutego 2021 r. - organ uznał je za nieistotne, gdyż dotyczą okoliczności nie mających znaczenia dla sprawy, bowiem dla zaistnienia obowiązku z art. 34 ust. 1 rozporządzenia 2016/679 ważne jest już samo ryzyko nieuprawnionego dostępu, które w przedmiotowej sprawie wystąpiło, a co zostało wielokrotnie wykazane w niniejszej decyzji.

Organ zwrócił też uwagę na to, że zawiadamiając bez zbędnej zwłoki podmiot danych, administrator umożliwia osobie podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia. Art. 34 ust. 1 i 2 rozporządzenia 2016/679 ma na celu nie tylko zapewnienie możliwie najskuteczniejszej ochrony podstawowych praw lub wolności podmiotów danych, ale także realizację zasady przejrzystości, która wynika z art. 5 ust. 1 lit. a) rozporządzenia 2016/679 (por. Chomiczewski Witold [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak - Jomaa, D. Lubasz, Warszawa 2018). Właściwe wywiązanie się z obowiązku określonego w art. 34 rozporządzenia 2016/679 ma zapewnić osobom, których dane dotyczą -szybką i przejrzystą informację o naruszeniu ochrony ich danych osobowych wraz z opisem możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków, które mogą one podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków. Postępując zgodnie z prawem i wykazując dbałość o interesy osób, których dane dotyczą, administrator powinien był bez zbędnej zwłoki zapewnić osobom, których dane dotyczą, możliwość jak najlepszej ochrony danych osobowych. Dla osiągnięcia tego celu niezbędne jest przynajmniej wskazanie tych informacji, które wymienione są w art. 34 ust. 2 rozporządzenia 2016/679, z którego to obowiązku Bank nie wywiązał się. Podkreślono, że stosując przepisy rozporządzenia 2016/679, należy mieć na uwadze, że celem tego rozporządzenia (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów - nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy opracowywaniu technicznych i organizacyjnych środków bezpieczeństwa mających im zapobiegać - należy w pierwszej kolejności brać pod uwagę te wartości. Powyższe rozumowanie potwierdza wyrok WSA w Warszawie z dnia 22 września 2021 r. (sygn. akt II SA/Wa 791/21), w którym Sąd rozstrzygając w przedmiocie nałożenia administracyjnej kary pieniężnej w związku z naruszeniem przepisów o ochronie danych osobowych odniósł się do wymienionych wyżej kwestii, dodatkowo wskazując, że " W toku dokonywania oceny, czy występują ryzyka naruszenia praw lub wolności człowieka, administrator powinien brać pod uwagę wszelkie możliwe szkody, jak i krzywdy, które mogą wyniknąć z danego zdarzenia dla osób fizycznych (tak: S. Jandt[w:] DS.-GVO..., red. J. Kuhling, B. Buchner, s. 617; K Reif[w:]DS.- GVO..., red. P. Gola, s. 496). Mogą one w szczególności polegać na utracie kontroli nad własnymi danymi osobowymi, negatywnych konsekwencjach wizerunkowych, możliwości zawierania przez inną osobę umów z wykorzystaniem danych osobowych innej osoby fizycznej, stratach finansowych czy wreszcie negatywnym odbiorze społecznym, który może być konsekwencją upublicznienia niektórych danych osobowych. Do zaistnienia ryzyka nie jest przy tym konieczne, by ostatecznie doszło do wystąpienia szkody lub krzywdy wynikających z danego naruszenia ochrony danych osobowych (tak: jw., s. 616)".

Wymierzając administracyjną karę pieniężną Bankowi organ wskazał, że brał pod uwagę:

1 - Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679). Według organu stwierdzone w niniejszej sprawie naruszenie, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą, ma znaczną wagę i poważny charakter, ponieważ brak wiedzy o naruszeniu osób, których dane dotyczą, a tym samym brak możliwości podjęcia przez te osoby działań zaradczych i właściwych kroków w celu ochrony swoich praw, może doprowadzić do szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone, a prawdopodobieństwo ich wystąpienia jest wysokie. Nie bez znaczenia według organu pozostaje również długi czas trwania tego naruszenia. Od powzięcia przez Bank informacji o naruszeniu ochrony danych osobowych, generującego wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a tym samym skutkującego koniecznością zawiadomienia o naruszeniu osób, których dane dotyczą tj. [...] lutego 2021 r. do dnia wydania niniejszej decyzji upłynęło 11 miesięcy, w trakcie których ryzyko naruszenia praw lub wolności osób dotkniętych naruszeniem mogło się zrealizować, a czemu osoby te nie mogły przeciwdziałać ze względu na niewywiązanie się przez Bank z obowiązku powiadomienia osób, których dane dotyczą, o naruszeniu. Dodatkowo za okoliczność obciążającą uznać należy fakt, iż naruszenie, polegające na niezawiadomieniu osób o naruszeniu ochrony ich danych osobowych, obejmowało dane 10 500 osób.

2 - Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679) bowiem Bank podjął świadomą decyzję, by nie zawiadamiać osób, których dane dotyczą.

3 – Wcześniejsze naruszenia przez Bank przepisów RODO za które decyzją z dnia

[...] kwietnia 2021 r. udzielił Bankowi upomnienia.

4 - Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679). W niniejszej sprawie Prezes UODO uznał za niezadowalającą współpracę z nim ze strony Banku. Ocena ta dotyczy reakcji Banku na pisma Prezesa UODO informujące o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych, czy wreszcie wobec wszczęcia postępowania administracyjnego w przedmiocie obowiązku zawiadomienia o naruszeniu osób, których dane dotyczą. Prawidłowe w ocenie Prezesa UODO działania, które mogłyby spowodować brak negatywnych konsekwencji dla praw danych osób lub bardziej ograniczony wpływ tych konsekwencji niż mogłoby to mieć miejsce, nie zostały podjęte przez Bank nawet po wszczęciu przez Prezesa UODO postępowania administracyjnego w sprawie.

5 - Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679). Dane osobowe, do których możliwy dostęp uzyskała osoba nieuprawniona, a których dotyczyło zgłoszone przez Administratora naruszenie ochrony danych osobowych, (generujące wysokie ryzyko naruszenia praw lub wolności osób fizycznych, związane z koniecznością powiadomienia o naruszeniu osób, których dane dotyczą), stanowią szeroki zakres (imię i nazwisko, adres zamieszkania lub pobytu, numer PESEL), a ponadto należą do szczególnych kategorii danych osobowych, o których mowa w art. 9 rozporządzenia 2016/679, bowiem wśród nich znajdują się dane dotyczące zdrowia (informacje o zwolnieniach lekarskich), co wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych.

Konkludując powyższą część uzasadnienia Prezes UODO wskazał, że zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Bank, profesjonalnie i na skalę masową przetwarzający dane osobowe, w przyszłości będzie wywiązywał się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie zawiadamiania o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie. W ocenie Prezesa UODO administracyjna kara pieniężna spełni funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Bank przepisów rozporządzenia 2016/679. Będzie również spełniać funkcję prewencyjną.

Odnosząc się do wysokości wymierzonej Bankowi administracyjnej kary pieniężnej, Prezes UODO uznał, iż jest ona proporcjonalna do sytuacji finansowej Banku i nie będzie stanowiła dla niego nadmiernego obciążenia. Organ wyjaśnił, że z przesłanego "Raportu Rocznego [...] S.A. za 2020 rok" wynika, że przychody z działalności Banku w 2020 r. wyniosły ok. [...] mld zł, w związku z czym kwota nałożonej w niniejszej sprawie administracyjnej kary pieniężnej stanowi ok. 0,011 % całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego. Jednocześnie Prezes UODO podkreślił, że kwota nałożonej kary (545 748,00 zł) to jedynie 1,2 % maksymalnej wysokości kary, którą Prezes UODO mógł - stosując zgodnie z art. 83 ust. 4 rozporządzenia 2016/679 próg 2% liczony od całkowitego rocznego obrotu - nałożyć na Bank za stwierdzone w niniejszej sprawie naruszenia. Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność uiszczenia kary finansowej pociągnie za sobą negatywne następstwa, w postaci znaczącej redukcji zatrudnienia bądź istotnego spadku obrotów Banku. Zdaniem Prezesa UODO, Bank powinien i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, o czym świadczy chociażby sprawozdanie finansowe Banku, przesłane do Prezesa UODO w dniu [...] lipca 2021 r.

Od powyższej decyzji skargę do tut. Sądu wywiódł [...] S.A. z siedzibą w [...] wnosząc o jej uchylenie.

Rozstrzygnięciu Bank zarzucił naruszenie:

a/ art. 34 ust. 1 rozporządzenia 2016/679 poprzez niewłaściwe zastosowanie i uznanie, że Bank nie dokonał zawiadomienia osób w trybie ww. normy bez zbędnej zwłoki, w sytuacji kiedy brak jest jednoznacznie potwierdzonych okoliczności co do zakresu danych osobowych, do których miał dostęp były pracownik Banku oraz brak jest podstaw do jednoznacznego wniosku, z uwagi na nieprzeprowadzenie postępowania dowodowego że były pracownik Banku zgłaszając samodzielnie nieprawidłowość, mógłby wykorzystać w sposób bezprawny dostęp do danych osobowych pracowników skarżącego. Bank podał, że działał w oparciu o wyjątek przedstawiony w wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z RODO, WP250 rev.O1 - wydanymi przez Grupę Roboczą art. 29 - administrator w określonych sytuacjach może uznać nieuprawnionego odbiorcę danych za "zaufanego". Administrator może ufać odbiorcy na tyle, aby móc racjonalnie oczekiwać, że strona ta nie odczyta omyłkowo wysłanych danych lub nie uzyska do nich wglądu oraz że wypełni polecenie ich odesłania. Nawet jeżeli do danych uzyskano wgląd, administrator nadal może mieć zaufanie do odbiorcy, że nie podejmie on żadnych dalszych działań w kwestii tych danych oraz że niezwłocznie zwróci dane do administratora i będzie współpracować przy ich odzyskaniu. W tym kontekście Bank podniósł, że osoba nieuprawniona do dostępu do danych w okresie od dnia [...] czerwca 2020 r. do dnia

[...] lutego 2021 r. była wieloletnim pracownikiem działu kadr, której obowiązki zawodowe związane były m.in, z pracą na danych osobowych w systemie [...]. Były pracownik Banku był zobowiązany do zachowania tajemnicy i poufności danych osobowych bezterminowo;

b/ art. 34 ust.4 rozporządzenia 2016/679 poprzez uznanie, że wystarczające jest samo wystąpienie ryzyka naruszenia praw i wolności, podczas gdy niezbędne jest, aby takie prawdopodobieństwo wystąpienia dotyczyły wysokiego ryzyka;

c/ art. 83 ust. 1 w zw. z art. 83 ust. 2 rozporządzenia 2016/679 polegające na wymierzeniu Bankowi pieniężnej kary administracyjnej za naruszenie przepisów ww. rozporządzenia, uznając błędnie, że zaistniał obowiązek informacyjny, gdyż naruszenie miało znaczną wagę i poważny charakter, w sytuacji kiedy brak jest jednoznacznie potwierdzonych okoliczności co do zakresu danych osobowych, do których miał dostęp były pracownik skarżącego oraz brak jest podstaw do jednoznacznego wniosku, z uwagi na nieprzeprowadzenie postępowania dowodowego, że były pracownik zgłaszając samodzielnie nieprawidłowość, mógłby wykorzystać w sposób bezprawny dostęp do danych osobowych pracowników Banku;

d/ naruszenie art. 83 ust. 1-3, art. 83 ust. 4 lit. a w zw. z art. 58 ust. 2 lit. i rozporządzenia poprzez niewłaściwe zastosowanie i wymierzenie Bankowi pieniężnej kary administracyjnej w kwocie 545.748 zł, w sytuacji kiedy, zebrany w sprawie materiał dowodowy jest niepełny - w szczególności brak stanowiska operatora portalu [...] - [...] co do logów i wszelkich zapisów systemu informatycznego - platformy [...] - nie daje podstaw do jednoznacznego stwierdzenia, że Bank dopuścił się naruszenia art. 34 ust. 1 rozporządzenia 2016/679, których naruszenie skutkowałoby zasadnością nałożenia sankcji finansowej na Bank;

e/ art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. f) rozporządzenia 2016/679 w związku z art. 8 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j. Dz.U. 2021 poz. 735 ze zm. dalej "K.p.a.") polegające na wymierzeniu Bankowi pieniężnej kary administracyjnej za naruszenie przepisów ww. rozporządzenia, uznając błędnie, że współpraca skarżącego była "niezadowalająca", w sytuacji kiedy analiza materiału dowodowego w niniejszej sprawie prowadzi do zgoła odmiennego wniosku, przede wszystkim to Bank wykonał w terminie ciążący na nim obowiązek określony w art. 33 ust. 1 rozporządzenia 2016/679, tj. dokonał zgłoszenia organowi o stwierdzonym naruszeniu ochrony danych osobowych, nadto dołożył należytej staranności i terminowości w kontakcie z organem i nie uchybił swoim obowiązkom w tym zakresie, przyczynił się do ustalenia całokształtu okoliczności sprawy oraz przedstawił wszelkie niezbędne dokumenty i informacje;

f/ art. 7 K.p.a. oraz art. 77 § 1 K.p.a. poprzez niewyjaśnienie wszystkich okoliczności faktycznych i brak ustalenia w jakim zakresie były pracownik Banku - zobligowany do bezterminowego obowiązku zachowania tajemnicy - miał dostęp do danych pracowników skarżącego w ramach [...], i czy z niego korzystał;

g/ art. 75 § 1 K.p.a. oraz art. 77 § 1 K.p.a., a także art. 80 K.p.a. poprzez brak przeprowadzenia jakiegokolwiek postępowania dowodowego w zakresie ustalenia w jakim zakresie były pracownik Banku - zobligowany do bezterminowego obowiązku zachowania tajemnicy - miał dostęp do danych pracowników skarżącego w ramach [...], i czy z niego korzystał;

h/ art. 78 § 1 K.p.a. oraz art. 77 § 1 K.p.a., a także art. 80 K.p.a. poprzez brak uwzględnienia wniosków dowodowych skarżącego zawartych w piśmie z dnia [...] lipca 2021 r. pomimo, że zmierzały one do ustalenia okoliczności mających znaczenie dla sprawy, tj. wykazania, że w sprawie nie doszło do naruszenia ochrony danych osobowych skutkującym wysokim ryzykiem naruszenia praw i wolności podmiotów danych;

i/ art. 80 K.p.a. poprzez przekroczenie granic swobodnej oceny dowodów i dokonanie dowolnej, niezgodnej z całokształtem zebranego w sprawie materiału dowodowego oceny, a w konsekwencji uznanie, że w sprawie doszło do naruszenia ochrony danych osobowych skutkującym wysokim ryzykiem naruszenia praw i wolności podmiotów danych.

W odpowiedzi na skargę organ wniósł o jej oddalenie podtrzymując twierdzenia zawarte w uzasadnieniu skarżonej decyzji.

Pismem procesowym z dnia [...] maja 2022 r. Bank uzupełnił zarzuty skargi skupiając się na materii tego, że organ nie ma uprawnień do podważania przeprowadzonej przez Bank oceny ryzyka oraz wyjaśniając powody, dla których uznał, ze w sprawie nie zachodzi wysokie ryzyko dla praw i wolności.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

zgodnie z treścią przepisu art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo

o ustroju sądów administracyjnych (Dz. U. z 2021 r., poz. 137 ze zm.) sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem skarżonej decyzji administracyjnej. Jest więc to kontrola legalności rozstrzygnięcia zapadłego w postępowaniu administracyjnym, z punktu widzenia jego zgodności z prawem materialnym i procesowym. Oceniając przedmiotową decyzję według powyższych kryteriów, uznać należy, iż nie narusza ona prawa.

Istota sprawy w niniejszym postępowaniu sprowadzała się do oceny tego, czy organ przy wydawaniu skarżonej decyzji poruszał się w granicach prawa.

W ocenie tut. Sądu na w/postawione pytanie należało udzielić pozytywnej odpowiedzi.

W myśl art. 34 ust. 1 rozporządzenia 2016/679 w sytuacji możliwości wystąpienia wysokiego ryzyka dla praw i wolności osób fizycznych wynikających z naruszenia ochrony danych osobowych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o naruszeniu. Ustęp 2 powyższego przepisu precyzuje zaś to, jak powinno wyglądać prawidłowe zawiadomienie.

Zawiadamiając bez zbędnej zwłoki podmiot naruszonych danych, administrator umożliwia osobie podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia. Art. 34 ust. 1 i 2 rozporządzenia 2016/679 ma na celu nie tylko zapewnienie możliwie najskuteczniejszej ochrony podstawowych praw lub wolności podmiotów danych, ale także realizację zasady przejrzystości, która wynika z art. 5 ust. 1 lit. a) rozporządzenia 2016/679 (por. Chomiczewski Witold [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak - Jomaa, D. Lubasz, Warszawa 2018). Właściwe wywiązanie się z obowiązku określonego w art. 34 rozporządzenia 2016/679 ma zapewnić osobom, których dane dotyczą - szybką i przejrzystą informację o naruszeniu ochrony ich danych osobowych wraz z opisem możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków, które mogą one podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków.

Postępując zgodnie z prawem i wykazując dbałość o interesy osób, których dane dotyczą, administrator musi bez zbędnej zwłoki zapewnić osobom, których dane dotyczą, możliwość jak najlepszej ochrony danych osobowych. Dla osiągnięcia tego celu niezbędne jest przynajmniej wskazanie tych informacji, które wymienione są w art. 34 ust. 2 rozporządzenia 2016/679.

Stosując przepisy rozporządzenia 2016/679, należy mieć na uwadze, że głównym celem tego rozporządzenia (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów - nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy opracowywaniu technicznych i organizacyjnych środków bezpieczeństwa mających im zapobiegać - należy w pierwszej kolejności brać pod uwagę te wartości. Poprawność powyższego rozumowania potwierdza wyrok WSA w Warszawie z dnia 22 września 2021 r. (sygn. akt II SA/Wa 791/21), w którym Sąd rozstrzygając w przedmiocie nałożenia administracyjnej kary pieniężnej w związku z naruszeniem przepisów o ochronie danych osobowych odniósł się do wymienionych wyżej kwestii, dodatkowo wskazując, że " W toku dokonywania oceny, czy występują ryzyka naruszenia praw lub wolności człowieka, administrator powinien brać pod uwagę wszelkie możliwe szkody, jak i krzywdy, które mogą wyniknąć z danego zdarzenia dla osób fizycznych (tak: S. Jandt[w:] DS.-GVO..., red. J. Kuhling, B. Buchner, s. 617; K Reif[w:]DS.- GVO..., red. P. Gola, s. 496). Mogą one w szczególności polegać na utracie kontroli nad własnymi danymi osobowymi, negatywnych konsekwencjach wizerunkowych, możliwości zawierania przez inną osobę umów z wykorzystaniem danych osobowych innej osoby fizycznej, stratach finansowych czy wreszcie negatywnym odbiorze społecznym, który może być konsekwencją upublicznienia niektórych danych osobowych. Do zaistnienia ryzyka nie jest przy tym konieczne, by ostatecznie doszło do wystąpienia szkody lub krzywdy wynikających z danego naruszenia ochrony danych osobowych (tak:jw., s. 616)".

W realiach niniejszej sprawy przywołać należało także art. 4 pkt 12 rozporządzenia 2016/679, w myśl którego "naruszenie ochrony danych osobowych" oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Odnosząc przywołane regulacje do stanu faktycznego sprawy jako uprawniona jawiła się konkluzja, że organ poprawnie ustalił fakt naruszenia ochrony danych osobowych, o którym administrator danych powinien powiadomić osoby, których danych dotyczyło owo naruszenie. Okolicznością niesporną jest przecież to, że były pracownik Banku, po zakończeniu stosunku zatrudnienia, posiadał nadal możliwość logowania się do platformy [...] a poprzez to posiadał dostęp do danych pracowników Banku w zakresie ich imion i nazwisk, nr PESEL, adresu zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowiących dane dotyczące zdrowia.

Poza sporem była też okoliczność, że ów były pracownik Banku skorzystał z tego nieuprawnionego przywileju i logował się pięciokrotnie do platformy [...] (w następujących terminach: 2020-06-30, godz. 21:09:54; 2020-06-30, godz. 21:00:42; 2020-06-30, godz. 21:02:37; 2020-10-26, godz. 22:01:27; 2021-02-03, godz. 20:50:14), zyskując tym samym nieuprawniony wgląd w dane osobowe pracowników Banku.

Z powyższego organ w sposób uprawniony wywiódł, że sama możliwość nieograniczonego dostępu przez byłego pracownika Banku, do wielce wrażliwych danych znajdujących się na platformie [...], które to dane dotyczyły aż 10 500 osób, powoduje istnienie wysokiego ryzyka dla praw i wolności osób, których danych mógł dotyczyć ten nieuprawniony dostęp. O wysokim ryzyku świadczy bowiem nie tylko zakres danych zgromadzonych na platformie [...], ale też bardzo długi czas w jakim Bank tolerował omawiany nieuprawniony dostęp do tych danych byłemu pracownikowi, jak też oczywiście liczba osób dotkniętych potencjalnym naruszeniem ich danych osobowych.

Skoro więc zaistniało wysokie ryzyko dla praw i wolności osób, organ miał bezwzględny obowiązek dokonać zawiadomienia o jakim mowa w art. 34 RODO.

Na marginesie niejako należało dodać, że Bank w sposób niewłaściwy odwołuje się do prawno-karnego pojęcia zamiaru bezpośredniego czy ewentualnego. W realiach prawnych niniejszej sprawy nie jest bowiem konieczne ustalenie, że administrator danych umyślnie zaniechał omawianego zawiadamiania dla dokonania czynu zabronionego (czego z resztą organ nigdy nie suponował Bankowi). Dla rozstrzygnięcia skargi wystarczy ustalenie, że będąc nawet w błędzie co do braku wystąpienia wysokiego ryzyka, administrator danych nie dokonał stosownego zawiadomienia.

W ocenie składu orzekającego nie sposób było też uznać, że Bank wywiązał się z omawianego obowiązku zawiadomienia, zamieszczając informację w systemie Intranet. Z treści komunikatu Banku nie wynika bowiem to, aby dotyczył on konkretnego naruszenia. Zatem osoby, których danych dotyczyło naruszenie, nie miały żadnych powodów, by potraktować go jako odnoszący się do nich i odpowiednio zareagować. Nie może także umykać okoliczność, że komunikat ów skierowany został jedynie do obecnych pracowników Banku, jako korzystających z platformy komunikacji wewnętrznej. Właściwe zawiadomione o naruszeniu powinno natomiast dotrzeć do wszystkich osób, które były zatrudnione w Banku w okresie, w którym dostęp do danych dla osoby nieuprawnionej pozostawał otwarty, a które aktualnie mogą już w nim nie pracować.

Zdaniem Sądu nie było również uzasadnionym, uznanie przez Bank swojego byłego pracownika, za odbiorcę tzw. zaufanego. W myśl wytycznych [...] odbiorca zaufany to odbiorca, któremu administrator może ufać na tyle, aby móc racjonalnie oczekiwać, że strona ta nie odczyta omyłkowo wysłanych danych lub nie uzyska do nich wglądu oraz że wypełni polecenie ich odesłania. Nawet jeżeli do danych uzyskano wgląd, administrator nadal może mieć zaufanie do odbiorcy, że nie podejmie on żadnych dalszych działań w kwestii tych danych oraz że niezwłocznie zwróci dane do administratora i będzie współpracować przy ich odzyskaniu. W takich przypadkach administrator może uwzględnić tę kwestię w ocenie ryzyka przeprowadzanej w następstwie naruszenia - fakt, że odbiorca jest zaufany może spowodować, że skutki naruszenia nie będą poważne, ale nie znaczy to, że naruszenie nie miało miejsca".

Wobec treści powyższych wytycznych za właściwe należało uznać wywody organu, że status odbiorcy zaufanego posiadają podmioty, które działają w strukturach danej organizacji albo są np. dostawcą, z którego usług administrator stale korzysta. Pomiędzy podmiotami istnieje więź faktyczna, a nierzadko prawna, która pozwala na ocenę stopnia zaufania stron. W przypadku takiego odbiorcy administrator może przyjąć domniemanie, że zna on obowiązujące procedury w zakresie ochrony danych osobowych i że zachowa się w odpowiedni sposób. W przedmiotowej sprawie, pomiędzy byłym pracownikiem a administratorem nie istniał zaś już żaden stosunek obligacyjny, ani żadna inna więź o charakterze prawnym. Przypuszczenia Banku co do właściwego postępowania przez byłego pracownika z danymi osobowymi, nie wynikało więc z konkretnych, sprawdzalnych i weryfikowalnych okoliczności. Jako takie, nie mogły w sposób skuteczny uzasadniać domniemania o istnieniu tzw. odbiorcy zaufanego. Ustanie zatrudnienia jest przecież równoznaczne z zerwaniem dotychczasowej więzi prawnej miedzy stronami stosunku pracy i zobowiązuje strony do "rozliczenia się" z wzajemnych obowiązków wynikających z zakończonej umowy. W chwili ustania stosunku pracy przestaje obowiązywać zasada wyrażona w art. 100 § 2 Kodeksu pracy (Dz. U. z 2020 r. poz. 1320 ze zm.), tj. zasada szczególnej lojalności pracownika względem pracodawcy wyrażająca się chociażby w obowiązku dbania o dobro zakładu pracy, chronienia jego mienia oraz zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Rozumiany w ten sposób obowiązek dochowania lojalności wynika z samego faktu nawiązania stosunku pracy i wiąże strony jedynie przez cały okres jego trwania, aż do momentu, w którym ustaje.

Trafnie więc zauważył organ, że o ile fakt bycia wieloletnim pracownikiem Banku (praca w Dziale Kadr, posiadanie upoważnienia do przetwarzania danych osobowych w imieniu Banku) może wskazywać na duże doświadczenie i wiedzę podmiotu nieuprawnionego, o tyle fakt, że logowania do platformy [...] miały miejsce już po ustaniu stosunku pracy, częstotliwość tych logowań i odstępy czasu pomiędzy poszczególnymi logowaniami, wskazują na działanie celowe, a nie przypadkowe byłego pracownika Banku - w żadnym razie zatem nie uzasadniają posiadanego zaufania pracodawcy do byłego pracownika.

Wbrew twierdzeniom Banku brak ustalenia zakresu danych osobowych z jakimi faktycznie zapoznał się były pracownik podczas nieuprawnionych logowań, nie uniemożliwiał wydania skarżonej decyzji. W tym miejscu jeszcze raz podkreślić należało, że ów były pracownik miał dostęp do takich samych danych, do jakich dostęp posiadał w okresie, gdy był jeszcze zatrudniony w Banku. Miał więc de facto nieograniczony dostęp do bardzo wrażliwych danych osobowych wszystkich pracowników Banku, jakie znajdowały się na platformie [...]. Jak zaś to już wyjaśniono na wstępie niniejszego uzasadnienia nie jest istotne to, czy osoba nieuprawniona faktycznie zapoznała się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko (miała możliwość zapoznania się z tymi danymi), co w konsekwencji oznacza - z uwagi na zakres danych - że wystąpiło wysokie ryzyko naruszenia praw lub wolności podmiotów danych.

Pogląd zbieżny z w/zaprezentowanym przedstawił Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 22 września 2021 r. sygn. akt II SA/Wa 791/21, rozstrzygając w przedmiocie administracyjnej kary pieniężnej nałożonej na [...] Uniwersytet Medyczny w [...], w którym Sąd stwierdził, że "(...) w rozpatrywanej sprawie nie jest istotne to, czy nieuprawniony odbiorca faktycznie wszedł w posiadanie i zapoznał się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko, a w konsekwencji również potencjalnie wystąpiło ryzyko naruszenia praw lub wolności podmiotów danych, bowiem "możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować. W treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw łub wolności osób fizycznych. Zatem podnoszona przez Administratora okoliczność, że cyt.: " nie wpłynęła do Uczelni żadna informacja mogąca mieć wpływ na zmianę poziomu ryzyka albo wymagająca podjęcia innych środków technicznych i organizacyjnych rozszerzających katalog podjętych działań" pozostaje irrelewantna dla stwierdzenia istnienia po stronie Administratora obowiązku zgłoszenia przedmiotowego naruszenia ochrony danych osobowych Prezesowi UODO, zgodnie z powyższym przepisem ".

W świetle powyższych wywodów jako właściwe jawiło się postępowanie organu polegające na nieuwzględnieniu wskazanych przez Bank w piśmie z dnia [...] lipca

2021 r. wniosków dowodowych o :

1) przeprowadzenie dowodu z zeznań świadka J. S. na okoliczność korzystania z dostępu do platformy [...] oraz celem ustalenia, czy były pracownik Banku zapoznawał się z danymi osobowymi na platformie [...] w okresie od dnia [...] czerwca 2020 r. do dnia [...] lutego 2021 r., a jeżeli tak, to w jakim zakresie; ewentualnie: zwrócenie się przez organ do J. S. celem uzyskania informacji na piśmie, czy jako były pracownik Banku zapoznawał się z danymi osobowymi na platformie [...] w okresie od dnia [...] czerwca 2020 r. do dnia

[...] lutego 2021 r., a jeżeli tak, to w jakim zakresie;

2) zobowiązanie operatora platformy [...], tj. [...], do przedstawienia logów i wszelkich zapisów sytemu informatycznego - platformy [...] - celem ustalenia, z jakimi danymi osobowymi J. S. zapoznawała się w ramach dostępu do [...] w datach od dnia ustania stosunku pracy, tj. od dnia

[...] czerwca 2020 r. do dnia odebrania pracownikowi uprawnień w [...], tj. do dnia [...] lutego 2021 r.;

3) przeprowadzenie dowodu z opinii biegłego z dziedziny informatyki dla ustalenia, z jakimi danymi osobowymi J. S. zapoznawała się w ramach dostępu do [...] w datach od dnia ustania stosunku pracy, tj. od dnia [...] czerwca 2020 r. do dnia odebrania pracownikowi uprawnień w [...], tj. do dnia [...] lutego 2021 r.

Okoliczności na jakie miałyby zostać przeprowadzone wnioskowane dowody, pozostawały bowiem bez wpływu na rozstrzygnięcie.

Przechodząc do oceny motywów nałożenia administracyjnej kary pieniężnej wyjaśnić należało, że czynność organu w ww. zakresie należy do kategorii tzw. uznania administracyjnego. Stąd jej ocena ograniczona jest do badania, czy uzasadnienie dla zastosowania omawianego środka zostało sporządzone w sposób wyczerpujący i przekonujący.

Zdaniem składu orzekającego badane uzasadnienie skarżonej decyzji spełnia powyższe kryteria. Organ nakładając karę wziął pod uwagę kluczowe dla sprawy przesłanki tj. :

1 - Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679);

2 - Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679) bowiem Bank podjął świadomą decyzję, by nie zawiadamiać osób, których dane dotyczą;

3 – Wcześniejsze naruszenia przez Bank przepisów RODO, za które decyzją z dnia

[...] kwietnia 2021 r. udzielił Bankowi upomnienia;

4 – Niezadawalający stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679);

5 - Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).

Wnioski jakie zaś wysnuł z ich analizy Sąd potraktował jako uprawnione zarówno z punktu widzenia zgodności z prawem, jak i z zasadami logicznego rozumowania.

Organ zasadnie uznał, że naruszenie, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą, ma znaczną wagę i poważny charakter, ponieważ brak wiedzy o naruszeniu osób, których dane dotyczą, a tym samym brak możliwości podjęcia przez te osoby działań zaradczych i właściwych kroków w celu ochrony swoich praw, może doprowadzić do szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone, a prawdopodobieństwo ich wystąpienia jest wysokie. Słusznie organ przyjął, że nie bez znaczenia pozostaje również długi czas trwania tego naruszenia, oraz że dotyczyło 10 500 osób.

Trafne są też konkluzje o świadomym zrezygnowaniu przez Bank z omawianego zawiadamiania. Tej okoliczności Bank de facto przecież nie kwestionuje gdyż nie podnosi, by zaniechanie to było skutkiem np. zapomnienia tłumacząc, że było skutkiem dokonanej przez Bank analizy ryzyka.

Wcześniejsze naruszenia zasad realizacji przez Bank nakazów rozporządzenia 2016/679 również rzutują pośrednio na wymierzoną karę, gdyż świadczą o tym, że wcześniej stosowane przez organ środki dyscyplinujące administratora danych, nie przyniosły pożądanych efektów.

Zasadne były też wnioski organu o braku zadawalającej współpracy z Bankiem skoro do poprawnego zawiadomienia osób, których dotyczyło sporne naruszenie doszło dopiero po wydaniu skarżonej decyzji (pomimo uwag organu artykułowanych już na początku trwania postępowania administracyjnego).

Oczywistym też było, że organ określając wymiar kary musiał uwzględnić fakt, że naruszenie dotyczyło danych o wielkiej wrażliwości (m.in. PESEL, adres, dane o stanie zdrowia).

Konkludując niniejszą część rozważań, wymierzoną karę pieniężną należało uznać za wyważoną i spełniającą kryteria zarówno prewencyjne jak i opresyjne.

W tym stanie sprawy, nie podzielając argumentów zawartych w złożonej skardze, oraz uznając iż organ w sposób prawidłowy zebrał i ocenił materiał dowodowy, oraz iż przy wykonywaniu tych czynności nie naruszył przepisów prawa, Wojewódzki Sąd Administracyjny w Warszawie orzekł jak w sentencji wyroku na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r., poz. 329 ze zm.).