Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Izabela Głowacka-Klimas (spr.), Sędzia WSA Łukasz Krzycki, Asesor WSA Dorota Kozub- Marciniak, , Protokolant referent stażysta Natalia Grzelak, po rozpoznaniu na rozprawie w dniu 15 listopada 2023 r. sprawy ze skargi Sądu Rejonowego [...] w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] stycznia 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę

Prezes Urzędu Ochrony Danych Osobowych (dalej: organ, Prezes UODO) decyzją z [...] stycznia 2023 r. nr [...] (dalej decyzja

z [...] stycznia 2023 r.), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez Sąd Rejonowy [...] w [...] przy ul. [...] (dalej: Sąd Rejonowy, Administrator, Skarżący), stwierdzając naruszenie przez Sąd Rejonowy przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 i 2 oraz art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku

z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej rozporządzeniem 2016/679, polegające na niewdrożeniu przez Sąd Rejonowy odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych pamięci, które to środki zapobiegłyby utrwaleniu przez Sędziego Sądu Rejonowego danych osobowych na dwóch prywatnych i niezabezpieczonych nośnikach danych i w konsekwencji pozwoliłyby uniknąć naruszenia ochrony danych osobowych, stanowiącego naruszenie poufności w wyniku zagubienia tych nośników, nałożył na Sąd Rejonowy, za naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1 i 2 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, administracyjną karę pieniężną w kwocie 30.000 złotych, w pozostałym zakresie umorzył postępowanie.

Do wydania powyższej decyzji doszło w następującym stanie sprawy.

Do Urzędu Ochrony Danych Osobowych [...] września 2020 r. wpłynęło wstępne zgłoszenie naruszenia ochrony danych osobowych złożone przez Sąd Rejonowy, polegającego na zagubieniu przez sędziego trzech nośników danych typu pendrive (jednego służbowego - szyfrowanego oraz dwóch nieszyfrowanych - prywatnych), zawierających dane osobowe nieustalonej liczby osób.

W dniu [...] września 2020 r. wpłynęło natomiast zgłoszenie uzupełniające. Jak wskazał Administrator, na zagubionych nośnikach znajdowały się dane osobowe

w zakresie imion i nazwisk, adresów zamieszkania lub pobytu, danych dotyczących zakładu pracy oraz danych dotyczących zdrowia, zawarte w projektach orzeczeń

i uzasadnień sporządzanych przez sędziego w okresie od grudnia 2004 r. do sierpnia 2020 r.

Prezes UODO przeprowadził postępowanie wyjaśniające w sprawie zgłoszonego naruszenia, a następnie wszczął z urzędu w dniu [...] grudnia 2020 r. postępowanie administracyjne w przedmiocie możliwości naruszenia przez Sąd Rejonowy, jako administratora danych, w związku z naruszeniem ochrony danych osobowych osób uczestniczących w postępowaniach sądowych, obowiązków wynikających z art. 5 ust. 1 lit. e) i lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 i 2 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679.

Jak wynika z poczynionych przez organ ustaleń, zagubione nośniki danych (jeden służbowy szyfrowany, dwa prywatne nieszyfrowane) zawierały projekty orzeczeń, uzasadnień i zarządzeń, które zawierały dane osobowe w zakresie imion, nazwisk, adresów zamieszkania lub pobytu, informacji o stanie zdrowia, informacji dotyczących zakładów pracy oraz przedmiotów postępowań prowadzonych przez sędziego w okresie jego zatrudnienia w Sądzie Rejonowym, tj. od grudnia 2004 r.

do sierpnia 2020 r. Administrator nie był w stanie określić ilości danych, czy też personaliów osób zawartych na zaginionych nośnikach, z uwagi na to, że sprawca naruszenia nie był w stanie takiej informacji udzielić (por. oświadczenie sprawcy naruszenia z [...] września 2020 r., treść zgłoszenia).

Prezes UODO odebrał wyjaśnienia od Sądu Rejonowego (pisma z [...] października 2020 r., [...] stycznia 2021 r. oraz [...] maja 2021 r.), z których wynika, że Sąd Rejonowy:

1) określił zasady przetwarzania danych osobowych przy użyciu pamięci przenośnych pendrive, powołując się jednocześnie na pkt 6.1 Polityki Bezpieczeństwa Systemów Teleinformatycznych Sądu Rejonowego,

2) w ramach podjętych kroków, mających zapewnić skuteczność wprowadzonych rozwiązań, sukcesywnie wyposaża pracowników w służbowe nośniki danych typu pendrive, na których zastosowano szyfrowanie sprzętowe,

3) na liście autoryzowanych nośników danych przez Dział IT Sądu znajdują się następujące informacje: numer wydziału, imię i nazwisko, nazwa i model urządzenia, data, pieczęć i podpis odbierającego,

4) po wystąpieniu naruszenia Administrator przeprowadził inwentaryzację służbowych nośników (do dnia [...] października 2020 r.) oraz blokuje porty USB od października 2020 r. poprzez zakupione w grudniu 2019 r. oprogramowanie [...], dzięki czemu brak jest możliwości podłączenia innych nośników niż nośniki autoryzowane przez Dział IT Sądu (por. § 4 Zarządzenia Prezesa Sądu Rejonowego [...] w [...] z [...] września 2020 r. nr [...]),

5) korzystanie z prywatnych nośników pamięci było zabronione (Administrator powołał się jednocześnie na treść § 10 Regulaminu Użytkownika Systemów Teleinformatycznych).

Z przedłożonej przez Sąd Rejonowy analizy ryzyka, przeprowadzonej [...] grudnia 2019 r., wynika, że Administrator przewidział zagrożenie utraty poufności danych poprzez "dostęp do danych przez osoby nieupoważnione ze względu na: przechowywanie na niezabezpieczonych nośnikach wymiennych, przechowywanie danych/zdjęć na prywatnych urządzeniach" przez osoby nieupoważnione. Pierwotne ryzyko zostało ocenione na poziomie średnim, o wartości "6". Jako wniosek

z dokonanej analizy ryzyka zostało wskazane, że pomimo iż ryzyko wypada na poziomie średnim, to z uwagi na zastosowane zabezpieczenia przez Administratora spada ono do poziomu akceptowalnego. Podkreślono jednak, że "w celu jego zminimalizowania można wprowadzić blokadę używania nośników zewnętrznych lub obowiązek stosowania tylko szyfrowanych nośników danych".

W piśmie z [...] stycznia 2021 r. Sąd Rejonowy wskazał, że przed wystąpieniem naruszenia, oprócz analizy ryzyka bezpieczeństwa, która została przeprowadzona w 2019 r., podejmował także działania w zakresie weryfikacji zastosowanych środków technicznych i organizacyjnych w latach 2018 - 2020 oraz dokonywał regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzanych danych osobowych, poprzez liczne audyty.

Administrator w piśmie z [...] stycznia 2021 r. oświadczył także, że:

1) okres przechowywania danych osobowych, których dotyczy przedmiotowe naruszenie, jest uregulowany w § 19-21 rozporządzenia Ministra Sprawiedliwości

z 5 marca 2004 r. w sprawie przechowywania akt sądowych oraz ich przekazywania do archiwów państwowych lub do ich zniszczenia (Dz. U. z 2014 r. poz. 991, ze zm.),

2) zgodnie z zaleceniami Inspektora ochrony danych oraz audytora wewnętrznego, w październiku 2020 r. wprowadzono zabezpieczenia w postaci blokady używania nośników zewnętrznych innych niż wydane przez Dział IT oraz są stosowane tylko szyfrowane nośniki danych autoryzowane przez Dział IT.

Administrator, pismem z [...] października 2022 r., poinformował organ, że:

1) pracownikom (w tym sędziom) zostały wydane zaszyfrowane nośniki pamięci przenośnych (sędzia, który dopuścił się naruszenia zaszyfrowany nośnik otrzymał [...] września 2019 r.), a Oddział IT Sądu Rejonowego prowadzi ich ewidencję,

2) Oddział IT Sądu regularnie (co najmniej raz na pół roku) przypomina pracownikom o konieczności przyniesienia wydanego sprzętu służbowego celem instalacji aktualizacji oprogramowania oraz celem przeprowadzenia przeglądu

i inwentaryzacji sprzętu,

3) prowadzone są przez Administratora audyty w pomieszczeniach po godzinach pracy Sądu - taki audyt ma na celu sprawdzenie, czy pracownik poprawnie zabezpiecza przetwarzane informacje oraz powierzone aktywa (przykładowe oświadczenie pracownika z [...] listopada 2020 r. o jego zapoznaniu się z wynikami przeprowadzonego audytu znajduje się w aktach sprawy). Jak wyjaśnił Administrator, takie audyty mają na celu sprawdzenie, czy pracownik poprawnie zabezpiecza przetwarzane informacje oraz powierzone aktywa (od pracowników odbierane są oświadczenia o zapoznaniu się z wynikami takich sprawdzeń).

Sędzia, który dopuścił się naruszenia, został przeszkolony z zakresu ochrony danych osobowych oraz bezpieczeństwa informacji - kopie przykładowych certyfikatów z przeprowadzonych szkoleń z [...] listopada 2020 r., [...] listopada 2020 r., [...] grudnia 2021 r. oraz [...] marca 2021 r. znajdują się w aktach sprawy.

W uzasadnieniu wymienionej na wstępie decyzji Prezes UODO wyjaśnił, że

w prowadzonym postępowaniu dokonał oceny, czy Administrator przetwarzając dane osobowe realizuje w sposób prawidłowy obowiązki wynikające z przepisów rozporządzenia 2016/679, tj. art. 5 ust. 1 lit. e) i lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 i ust. 2 oraz art. 32 ust. 1 i ust. 2, w związku z naruszeniem ochrony danych osobowych zgłoszonym organowi nadzorczemu. Ocenił zastosowane przez Administratora środki bezpieczeństwa oraz ich skuteczność.

Wskazał, że zgłoszone przez Administratora naruszenie ochrony danych osobowych polegało na zaginięciu z pomieszczania, w którym Sędzia wykonywał pracę, saszetki zawierającej trzy nośniki danych, jeden szyfrowany i dwa nieszyfrowane. Pomimo przeprowadzonych w Sądzie Rejonowym poszukiwań nie odnaleziono nośników danych. Zawartość zagubionych nośników zawierała dane osobowe pochodzące z prowadzonych przez Sędziego spraw sądowych w latach 2004 - 2020 i wskazywała na możliwość wieloletniego korzystania z prywatnych nośników (niezabezpieczonych i niezweryfikowanych przez Dział IT Sądu) na służbowym sprzęcie komputerowym przez Sędziego. Jak wykazało postępowanie, Administrator nie zastosował adekwatnych środków technicznych i organizacyjnych, które uniemożliwiłyby powstanie przedmiotowego naruszenia, pomimo otrzymywanych zaleceń, pochodzących z trzech różnych audytów (pierwszy - [...] września 2018 r., drugi - [...] i [...] lipca 2020 r. oraz trzeci - [...] czerwca -[...] września 2020 r.). Administrator zablokował wejścia USB w komputerach służbowych dopiero w październiku 2020 r., uniemożliwiając tym samym korzystanie na służbowym sprzęcie z nieautoryzowanych przez Dział IT Sądu nośników danych.

Jak stwierdził organ, z uwagi na to, że na zaginionych nośnikach danych znajdowały się dane osobowe zawarte w projektach orzeczeń i uzasadnień przygotowanych przez Sędziego w związku z prowadzonymi przez niego postępowaniami sądowymi, uznać należy, iż administratorem tych danych stosownie do art. 175db ustawy z 27 lipca 2001 r. Prawo o ustroju sądów powszechnych (Dz. U. z 2020 r. poz. 2072), zwanej dalej Pusp, jest Sąd Rejonowy. Zgodnie zaś z treścią

art. 55 § 3 rozporządzenia 2016/679, Prezes UODO nie jest właściwy do nadzorowania operacji przetwarzania dokonywanych przez sądy w ramach sprawowania przez nie wymiaru sprawiedliwości. Podkreślił, że do działalności sądów powszechnych poza działalnością związaną stricte ze sprawowaniem wymiaru sprawiedliwości i ochroną prawną, zaliczyć należy także działalność administracyjną (art. 8 Pusp), dzięki której sądy dysponują warunkami niezbędnymi do wykonywania ich ustawowych zadań – sprawowania wymiaru sprawiedliwości. Do zadań administracyjnych zaliczyć można m.in. zapewnienie warunków techniczno-organizacyjnych, czy też zapewnienie bezpieczeństwa. Zatem do sprawowania nadzoru nad tą sferą działalności sądów nie są właściwe organy, o których mowa w art. 175dd § 1 Pusp, lecz Prezes UODO.Z uwagi na to, iż przedmiotowe naruszenie stanowi naruszenie zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, a spowodowane jest niewdrożeniem przez Administratora skutecznych środków technicznych i organizacyjnych, zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych osobowych, to Prezes UODO zachowuje pełnię swoich kompetencji w niniejszej sprawie.

Prezes UODO podkreślił, że administrator danych, podejmując operacje

na danych osobowych ma obowiązek zadbać, aby odbywało się to z poszanowaniem zasad dotyczących ochrony danych osobowych, zapewniając ich bezpieczeństwo. Przywołał przepisy rozporządzenia 2016/679 regulujące powyższe kwestie. Podał, że wspomniane rozporządzenie wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są nie tylko do zapewnienia zgodności z wytycznymi ww. rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych.

Zdaniem organu analiza ryzyka przeprowadzana przez administratora danych osobowych powinna zostać udokumentowana oraz uzasadniona na podstawie przede wszystkim określnego stanu faktycznego, istniejącego w momencie jej przeprowadzania. Należy wziąć pod uwagę w szczególności charakterystykę zachodzących procesów, aktywa, podatności, zagrożenia oraz istniejące zabezpieczenia, w ramach zachodzących procesów przetwarzania danych osobowych. Nie można również w trakcie tego procesu pominąć zakresu oraz charakteru danych osobowych przetwarzanych w toku czynności realizowanych przez administratora danych, albowiem w zależności właśnie od zakresu oraz charakteru ujawnionych danych zależeć będą potencjalne negatywne skutki dla osoby fizycznej w przypadku wystąpienia naruszenia ochrony jej danych osobowych.

Jak wskazał organ, z przedłożonej przez Sąd Rejonowy analizy ryzyka, przeprowadzonej [...] grudnia 2019 r. (przed powstaniem naruszenia) wynika, że Administrator przewidział zagrożenie utraty poufności poprzez "dostęp do danych przez osoby nieupoważnione ze względu na: przechowywanie na niezabezpieczonych nośnikach wymiennych, przechowywanie danych/zdjęć na prywatnych urządzeniach". Pierwotne ryzyko zostało ocenione na poziomie średnim, o wartości "6". Jako wniosek z dokonanej analizy ryzyka zostało wskazane, że pomimo ustalenia poziomu ryzyka na poziomie średnim, to z uwagi na zastosowane zabezpieczenia przez Administratora spada ono do poziomu akceptowalnego. W ocenie Prezesa UODO Administrator w przeprowadzonej analizie ryzyka nie przewidział jednak zagrożenia utraty poufności danych ze względu na ich przechowywanie na niezabezpieczonych lub prywatnych nośnikach pamięci, którego źródłem byłby sam pracownik sądu (w tym sędzia). W tym przypadku nie można bowiem uznać, iż sędzia był osobą nieupoważnioną do przetwarzania danych, którymi dysponował na zagubionych nośnikach danych. Nie ulega jednak wątpliwości, że realizacja wniosków z przeprowadzonej analizy poprzez wprowadzenie blokady używania nośników zewnętrznych zminimalizowałaby również ryzyko korzystania z takich urządzeń przez sędziów.

Wnioskiem z przeprowadzonej analizy była sugestia wprowadzenia blokady użytkowania prywatnych nośników pamięci lub obowiązek stosowania szyfrowanych nośników danych. Niezależnie od źródła osobowego takiego zagrożenia Administrator, jak się okazuje w związku z wystąpieniem naruszenia ochrony danych osobowych, nie wdrożył blokady portów USB celem całkowitego uniemożliwienia korzystania z prywatnych nośników danych ani nie zablokował możliwości użytkowania niezaewidencjonowanych przez Dział IT Sądu nośników pamięci, poprzestając jedynie na wprowadzeniu formalnego zakazu użytkowania "prywatnych nośników". Taki zakaz wynikał z § 10 Regulaminu Użytkowania Systemów Teleinformatycznych Sądu (aktualnie wynika z rozdziału XVI).

Prezes UODO podkreślił, że Administrator już od grudnia 2019 r. dysponował programem umożliwiającym blokowanie portów USB, tj. programem o nazwie [...]. Taka blokada została wprowadzona jednak dopiero w październiku 2020 r., właśnie za pomocą programu [...] (umożliwiającego Działowi IT kontrolowanie nośników zewnętrznych oraz blokowanie stacji roboczych przed podłączeniem nieautoryzowanego sprzętu). Po każdym z przeprowadzonych w Sądzie Rejonowym audytów, osoby je przeprowadzające artykułowały zalecenia zablokowania portów USB dla zwiększenia bezpieczeństwa danych, w celu uniemożliwienia korzystania w Sądzie z prywatnych nośników danych. W tym przypadku Administrator zastosował zatem wyłącznie środki organizacyjne, ale już nie techniczne.

W ocenie organu brak zastosowania adekwatnych do zagrożeń środków bezpieczeństwa (brak blokady portów USB w celu uniemożliwienia korzystania

z prywatnych nośników pamięci) w Sądzie Rejonowym spowodował naruszenie przez Administratora przepisów art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, w następstwie czego doszło do naruszenia zasady poufności danych - art. 5 ust. 1 lit. f) rozporządzenia 2016/679. Konsekwencją zaś naruszenia zasady poufności jest naruszenie zasady rozliczalności, o której mowa

w art. 5 ust. 2 wskazanego rozporządzenia. Administrator pomimo posiadanych procedur (zakaz użytkowania prywatnych nośników danych uregulowany

w Regulaminie Użytkowania Systemów Teleinformatycznych Sądu) oraz posiadanej wiedzy o zagrożeniach (pochodzącej przede wszystkich z przeprowadzonych audytów), nie prowadził nadzoru nad tym, czy pracownicy Sądu do uregulowań wewnętrznych w tym zakresie się stosują, co świadczy o naruszeniu art. 32 ust. 1

lit. d) rozporządzenia 2016/679. Brak reakcji Administratora na zalecenia audytorów powoduje osłabienie systemu ochrony danych i naraża na konsekwencje prawne, zarówno ze strony organów (odpowiedzialność administracyjną, karną), jak również ze strony osób, których dane zostały objęte naruszeniem (odpowiedzialność cywilną). Administrator podjął w ten sposób ryzyko, które zmaterializowało się w przedmiotowym naruszeniu. Naruszenie to natomiast ukazało nieprawidłowości w procesie zabezpieczania danych przez Administratora.

Wobec powyższego Prezes UODO stwierdził, że brak zastosowania adekwatnych środków bezpieczeństwa do zidentyfikowanych zagrożeń dla danych osobowych przetwarzanych przez Sąd Rejonowy (możliwość korzystania

z prywatnych nośników danych) spowodował naruszenia przez Administratora przepisów art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 rozporządzenia 2016/679,

w następstwie czego doszło do naruszenia zasady poufności danych - art. 5 ust. 1

lit. f) rozporządzenia 2016/679 (a w konsekwencji naruszenia wyrażonej w art. 5 ust. 2 rozporządzenia 2016/679 zasady rozliczalności), bowiem doszło najpierw do zapisania danych na nieautoryzowanych nośnikach danych (będących poza kontrolą Administratora), a następnie do ich zagubienia przez Sędziego. W ocenie Prezesa UODO niezastosowanie przez Administratora ww. środków bezpieczeństwa, pomimo jego wiedzy zarówno o zagrożeniach, jak i podatnościach w organizacji, prowadzi

do wniosku, iż w Sądzie Rejonowym nie zostały podjęte działania w celu zapewnienia domyślnej ochrony danych, co stanowi o naruszeniu art. 25 ust. 2 rozporządzenia 2016/679.

Organ nadmienił, że pomimo wezwania Administratora do wykazania, jakie szkolenia odbył Sędzia, który dopuścił się naruszenia, oraz kiedy miały one miejsce, w jakim zakresie (i czy dotyczyły zasad przetwarzania danych, w szczególności

na nośnikach danych), Sąd Rejonowy przesłał informację o szkoleniach, w których uczestniczył ten Sędzia po wystąpieniu naruszenia oraz kopie Jego oświadczeń. Administrator nie wykazał natomiast, aby Sędzia został przeszkolony z zakresu ochrony danych osobowych, czy też środków bezpieczeństwa przed wystąpieniem naruszenia. W ocenie organu samo odebranie oświadczeń od Sędziego, że znane są mu zasady obowiązujące w Sądzie, bez dodatkowych dedykowanych w tym zakresie szkoleń, nie są wystarczającym środkiem oddziaływania na świadomość danej osoby.

Jak stwierdził Prezes UODO, pomimo usunięcia przez Administratora uchybień w zakresie zapewnienia bezpieczeństwa przetwarzanych danych, w tym poprzez zablokowanie portów USB przed możliwością korzystania z nieautoryzowanych przez Dział IT nośników danych, którego brak był pośrednią przyczyną naruszenia poufności danych osobowych, zaistniały przesłanki uzasadniające zastosowanie wobec Sądu Rejonowego przysługujących Prezesowi UODO uprawnień do nałożenia administracyjnej kary pieniężnej za naruszenie zasady poufności danych (art. 5 ust. 1 lit. f) rozporządzenia 2016/679), a w konsekwencji zasady rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679) w związku z naruszeniem obowiązków Administratora przy wdrażaniu środków bezpieczeństwa w trakcie przetwarzania danych, w celu skutecznej realizacji zasad ochrony danych i zapewnienia domyślnej ochrony danych (art. 25 ust. 1 i 2 rozporządzenia 2016/679); obowiązków w zakresie zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania danych (art. 32 ust. 1 lit. b) rozporządzenia 2016/679); obowiązku regularnego testowania, mierzenia i oceniania skuteczności przyjętych środków technicznych

i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (art. 32 ust. 1 lit. d) rozporządzenia 2016/679) oraz obowiązku uwzględnienia ryzyka wiążącego się

z przetwarzaniem, wynikającego z nieuprawnionego dostępu do przetwarzanych danych osobowych (art. 32 ust. 2 rozporządzenia 2016/679).

Skorzystanie przez Prezesa UODO z przysługującego mu uprawnienia nałożenia na administratora danych kary administracyjnej wynika przede wszystkim

z faktu, iż Administrator uchybił podstawowym zasadom przetwarzania danych,

tj. zasadzie poufności, poprzez niezastosowanie skutecznych środków techniczno-organizacyjnych w Sądzie, gwarantujących ich bezpieczeństwo, a w konsekwencji zasadzie rozliczalności opisanej w art. 5 ust. 2 rozporządzenia 2016/679.

Decydując o nałożeniu na Sąd Rejonowy administracyjnej kary pieniężnej,

a także określając jej wysokość, Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a – k rozporządzenia 2016/679 – wziął pod uwagę i uznał za obciążające następujące okoliczności sprawy mające wpływ na wymiar nałożonej kary.

Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679), którego skutkiem była możliwość uzyskania nieuprawnionego dostępu do przetwarzanych przez Sąd Rejonowy danych przez osobę bądź osoby nieuprawnione, a w konsekwencji możliwość pozyskania danych osobowych osób, wobec których były przygotowywane projekty orzeczeń i wyroków, ma znaczną wagę i poważny charakter, stwarza bowiem wysokie ryzyko negatywnych skutków prawnych dla nieustalonej, potencjalnie (biorąc pod uwagę, że dokumenty znajdujące się na zagubionych prywatnych nośnikach danych pochodziły z lat 2004 - 2020) dużej liczby osób, do których danych dostęp mogła mieć osoba bądź osoby nieuprawnione.

Odnotowano długi czas trwania naruszenia przepisów rozporządzenia 2016/679, bowiem naruszenie rozpoczęło się w dniu [...] maja 2018 r., tj. w dniu rozpoczęcia stosowania rozporządzenia 2016/679, a zakończyło w październiku

2020 r. (Administrator nie podał daty dziennej, w której miało miejsce zablokowanie portów USB). Co prawda do zagubienia nośników danych doszło najprawdopodobniej w sierpniu 2020 r. (w dniu [...] sierpnia 2020 r. Administrator stwierdził naruszenie ochrony danych osobowych), co wykazało brak zastosowania adekwatnych środków bezpieczeństwa, to jednak Administrator od dnia [...] maja 2018 r. był zobowiązany dostosować procesy przetwarzania danych do wymogów tego rozporządzenia.

Dalej organ wskazał na charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679). Stwierdził, że nieuprawniony dostęp do danych osobowych osób, wobec których były podejmowane działania przez Sąd, stał się możliwy na skutek niedochowania należytej staranności przez Administratora. W ocenie organu stanowi to o nieumyślnym charakterze naruszenia, wynikającym z niedbalstwa Sądu, gdyż Administrator posiadał wiedzę na temat zagrożeń związanych z użytkowaniem prywatnych nośników pamięci i brakiem zablokowania portów USB, o czym jednoznacznie świadczą zalecenia powstałe po przeprowadzeniu audytów, czy po przeprowadzonej analizie ryzyka. Pomimo tej wiedzy Administrator podjął jednak działania mające na celu zapewnienie bezpieczeństwa danych wyłącznie w zakresie środków organizacyjnych, pomijając te o charakterze technicznym.

Organ uwzględnił także kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679). Wyjaśnił, że na zagubionych nośnikach danych znajdowały się projekty orzeczeń, uzasadnień i zarządzeń sporządzone przez Sędziego w okresie od grudnia 2004 r. do sierpnia 2020 r. w związku z prowadzonymi przez niego sprawami z zakresu ubezpieczeń społecznych. Oznacza to, że wśród danych mogły znajdować się między innymi też informacje o stanie zdrowia, dane dotyczące przebiegu zatrudnienia, informacji

o wynagrodzeniach. Administrator nie był w stanie wykazać dokładnego zakresu zaginionych danych. Jeżeli znajdowały się tam informacje o stanie zdrowia,

to oznacza, że były tam szczególne kategorie danych (art. 9 rozporządzenia 2016/679), które wiążą się z wysokim ryzykiem naruszenia praw lub wolności osób objętych naruszeniem. Nieuprawnione udostępnienie szczególnych kategorii danych w powiązaniu z imieniem, nazwiskiem oraz informacjami dotyczącymi przedmiotu

i przebiegu postępowań sądowych, może realnie i negatywnie wpływać na ochronę praw lub wolności osób fizycznych.

Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił jako okoliczność łagodzącą, mającą wpływ na obniżenie wysokości wymierzonej kary, dobrą współpracą Sądu Rejonowego z organem nadzorczym podjętą i prowadzoną w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679). Z kolei żadnego wpływu na fakt zastosowania przez Prezesa UODO w niniejszej sprawie sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały inne, wskazane w art. 83 ust. 2 rozporządzenia 2016/679, okoliczności, jak chociażby działania podjęte przez Sąd Rejonowy w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c) rozporządzenia 2016/679), czy też sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h) rozporządzenia 2016/679).

Odnosząc się do wysokości wymierzonej Sądowi Rejonowemu administracyjnej kary pieniężnej, Prezes UODO uznał, że w ustalonych okolicznościach niniejszej sprawy – wobec stwierdzenia naruszenia kilku przepisów rozporządzenia 2016/679 (zasady poufności danych, wyrażonej w art. 5 ust. 1 lit. f), a odzwierciedlonej w postaci obowiązków określonych w art. 25 ust. 1, art. 32 ust. 1 i 2 rozporządzenia 2016/679, co w konsekwencji oznacza naruszenie zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679) oraz faktu, iż Sąd jest jednostką sektora finansów publicznych – zastosowanie znajdzie również art. 102 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), z którego wynika ograniczenie wysokości (do 100.000 złotych) kary, jaka może zostać nałożona na jednostkę sektora finansów publicznych.

Jak stwierdził organ, z uwagi na okoliczność, iż w przedmiotowym stanie faktycznym doszło do naruszenia więcej niż jednego przepisu rozporządzenia 2016/679, których naruszenie wpłynęło na wysokość wymierzonej kary finansowej, stosownie do art. 83 ust. 3 rozporządzenia 2016/679, za najpoważniejsze należy uznać naruszenie przez Sąd Rejonowy zasady poufności określonej w art. 5 ust. 1

lit. f) rozporządzenia 2016/679, a w konsekwencji zasady rozliczalności określonej

art. 5 ust. 2 rozporządzenia 2016/679. Przemawia za tym poważny charakter naruszenia, zakres danych osobowych podlegających naruszeniu oraz krąg osób nim dotkniętych (nieustalona liczba osób, wobec których sporządzane były projekty orzeczeń, uzasadnień i zarządzeń od grudnia 2004 r. do sierpnia 2020 r., danych których administratorem jest Sąd Rejonowy). Co istotne, w stosunku do ww. osób

w dalszym ciągu istnieje wysokie ryzyko niezgodnego z prawem posłużenia się ich danymi osobowymi, albowiem nieznany jest cel, dla którego osoba bądź osoby nieuprawnione mogą podjąć działania zmierzające do wykorzystania tych danych.

Zdaniem organu nałożona na Sąd Rejonowy kara będzie skuteczna, albowiem doprowadzi do stanu, w którym Sąd stosował będzie takie środki techniczne

i organizacyjne, które zapewnią przetwarzanym danym stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób, których dane dotyczą oraz wadze zagrożeń towarzyszącym procesom przetwarzania tych danych osobowych. Skuteczność kary równoważna jest zatem gwarancji tego, iż Sąd od momentu zakończenia niniejszego postępowania będzie podejmował działania adekwatne

do ryzyk.

Odnosząc się natomiast do zarzutu naruszenia przez Sąd Rejonowy art. 5

ust. 2 w związku z art. 5 ust. 1 lit. e) rozporządzenia 2016/679, Prezes UODO uznał, iż z uwagi na to, że dane osobowe znajdujące się na zagubionych prywatnych nośnikach pamięci zawarte były w sporządzanych przez Sędziego projektach orzeczeń, czy też zarządzeń, tj. przetwarzane w związku z czynnościami służbowymi Sędziego, polegającymi na sprawowaniu wymiaru sprawiedliwości, nie jest właściwy do zajęcia stanowiska, lecz jeden z organów wskazanych w art. 175dd Pusp.

Prezes UODO wyjaśnił, że zgodnie z treścią art. 5 ust. 1 lit e) rozporządzenia 2016/679 dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą ("ograniczenie przechowywania"). Badanie bowiem niezbędności danych osobowych przetwarzanych przez Sąd oraz ich retencji nie leży w kompetencji Prezesa UODO. W każdym postępowaniu to sąd sam określa poprzez podejmowane decyzje, uchwały, zarządzenia przydatność dowodów zawierających m.in. dane osobowe poprzez ich dopuszczenie lub niedopuszczenie, według swojej wiedzy, doświadczenia oraz przepisów prawa (właściwej procedury - cywilnej, karnej, czy sądowoadministracyjnej). Przyjęcie odmiennego stanowiska prowadziłoby do badania legalności przez Prezesa UODO procesów przetwarzania danych osobowych związanych bezpośrednio z prowadzonymi postępowaniami sądowymi, co mogłoby doprowadzić do ingerencji organu w sprawowanie wymiaru sprawiedliwości przez sąd. Tym samym postępowanie, w ocenie Prezesa UODO, stało się w tym zakresie bezprzedmiotowe i podlega umorzeniu. W sytuacji braku kompetencji organu w sprawach należących do wymiaru sprawiedliwości, zasadnym jest umorzenie postępowania.

Sąd Rejonowy, reprezentowany przez adwokata, wywiódł do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na decyzję Prezesa UODO z [...] stycznia 2023 r. nr [...] w zakresie pkt 1 dotyczącego nałożenia na Skarżącego administracyjnej kary pieniężnej w kwocie 30.000 złotych, zarzucając jej naruszenie przez organ prawa materialnego, które miało wpływ na wynik sprawy, poprzez zastosowanie art. 83 ust. 1 w związku z art. 83 ust. 2 lit. a) rozporządzenia 2016/679, a także art. 102 ustawy o ochronie danych osobowych oraz niezastosowanie art. 58 ust. 2 lit. b) rozporządzenia 2016/679, co doprowadziło do nałożenia na Skarżącego nieproporcjonalnej kary w stosunku do charakteru

i stwierdzonych okoliczności naruszenia przepisów o ochronie danych osobowych, podczas gdy zaistniały przesłanki, co najwyżej do zastosowania 58 ust. 2 lit. b) rozporządzenia 2016/679 i poprzestaniu na udzieleniu upomnienia Skarżącemu

w przypadku stwierdzenia naruszenia przepisów rozporządzenia 2016/679.

W związku z powyższym wniósł o uchylenie w części zaskarżonej decyzji,

tj. co do pkt 1 decyzji dotyczącego nałożenia administracyjnej kary pieniężnej w kwocie 30.000 złotych, zasądzenie kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przepisanych.

Zdaniem Skarżącego rodzaj wymierzonej kary, a tym bardziej jej wysokość są nieadekwatne do charakteru i stwierdzonych okoliczności naruszenia przepisów

o ochronie danych osobowych.

Do momentu złożenia skargi nie nastąpiły skutki naruszenia przez Skarżącego przepisów o ochronie danych osobowych. Prowadzone przez organ postępowanie nie pozwoliło na wykazanie jakiejkolwiek poszkodowanej osoby, która doznała szkody w związku z dokonanym przez Skarżącego naruszeniem. Istnieje jedynie ryzyko wystąpienia negatywnych skutków naruszenia. W zaskarżonej decyzji organ utożsamia obawę wyrządzenia szkody ze szkodą. Jednocześnie z przeprowadzonego przez organ postępowania wynika, że szkoda nie wystąpiła, bądź nie ma dowodów, że wystąpiła którakolwiek z wymienionych w rozporządzeniu i utożsamianych ze szkodą sytuacji: dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, strata finansowa, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnione odwrócenie pseudonimizacji czy wszelka inna znaczna szkoda gospodarcza lub społeczna. W związku z tym, zdaniem Skarżącego, trudno jest przypisać określonej przez organ szkodzie jakikolwiek rozmiar, który przy decydowaniu o nałożeniu kary pieniężnej oraz ustalaniu jej wysokości przepisy rozporządzenia 2016/679 nakazują wziąć pod uwagę. Organ uznał za czynnik obciążający "obawę", który zdaniem Skarżącego nie wystąpił, ale gdyby nawet uznać to za szkodę, organ przyznał, że nie można określić jej rozmiaru. Z tego powodu czynnik ten nie powinien być brany pod uwagę, jako okoliczność obciążająca Skarżącego. Do dnia sporządzenia skargi nikt nie zgłosił szkód z tytułu zdarzenia, za które ukarano Skarżącego.

Organ, stosując art. 83 ust. 1 i ust. 2 lit. b) rozporządzenia 2016/679 powinien uznać, że działanie Sądu Rejonowego w ramach nieumyślności, jest okolicznością łagodzącą odpowiedzialność i skutkującą co najmniej obniżeniem wysokości kary. Nie można bowiem uznać, że celem rozsądnego prawodawcy było zrównanie umyślności i nieumyślności, jeżeli chodzi o ich wpływ na wymiar kary pieniężnej, a tak zdaje się czynić organ. Wymierzona kara pieniężna jest więc niezgodna z dyrektywą wymiaru kary, wynikającą z art. 83 ust. 2 lit. b) rozporządzenia 2016/679.

Skarżący uznał, że skoro wcześniej nie naruszał przepisów rozporządzenia 2016/679, organ miał obowiązek wziąć to pod uwagę przy decydowaniu o nałożeniu kary pieniężnej oraz przy ustalaniu jej wysokości, bo intencją unijnego prawodawcy było stosowanie tej przesłanki jako okoliczności zmniejszającej wymiar kary, co jest logiczne i oczekiwane od rozsądnego prawodawcy. W innym przypadku, art. 83 ust. 2 rozporządzenia 2016/679 miałby charakter wyłącznie represyjny w tym znaczeniu, że wystąpienie którejkolwiek z przesłanek tam wskazanych jedynie co najwyżej podnosiłoby wymiar nakładanej kary pieniężnej, natomiast nigdy nie obniżałoby tego wymiaru.

Jak stwierdził Skarżący, w niniejszym postępowaniu sam powiadomił organ

o ewentualnym naruszeniu przepisów o ochronie danych osobowych. Natychmiast po wykryciu ewentualnego naruszenia organ wprowadził również odpowiednie zabezpieczenia mające skutecznie chronić dane osobowe. Powyższe świadczy o tym, iż zamiarem Skarżącego zawsze było i jest należyte zabezpieczanie danych osobowych, czego elementem jest również prowadzenie prawidłowej współpracy

z Urzędem Ochrony Danych Osobowych. W ocenie Skarżącego niezwłoczne poinformowaniu organu o ewentualnym naruszeniu stanowić powinno w świetle art. 83 ust. 2 rozporządzenia 2016/679 okoliczność łagodzącą podczas decydowania

o nałożeniu kary pieniężnej oraz przy ustalaniu jej wysokości.

Ponadto, zdaniem Skarżącego, organ nie uznał także za okoliczność łagodzącą faktu nieosiągnięcia przez Skarżącego jakichkolwiek korzyści finansowych lub uniknięcia tego rodzaju strat. Okoliczność braku osiągnięcia jakichkolwiek korzyści finansowych łącząca się ściśle z nieumyślnym charakterem naruszenia, powinna wpłynąć na obniżenie wymiaru kary.

Jak podał Skarżący, w § 10 Regulaminu Użytkowania Systemów Teleinformatycznych określony był zakaz przyłączania i użytkowania prywatnego sprzętu, w tym używania prywatnych nośników danych. Naruszenie wystąpiło jednak pomimo obowiązującego zakazu. Wynika to z faktu, że Skarżący będący w tym przypadku administratorem danych osobowych nie był w stanie zapanować nad każdą niezgodną z obowiązującymi zasadami dokonywaną przez pracownika czynnością. Naruszenie było wynikiem nieprawidłowego zachowania jednego, konkretnego człowieka. Administrator nie był w stanie w pełni zapanować nad tzw. czynnikiem ludzkim. Do naruszenia doszło pomimo tworzenia odpowiednich zasad bezpieczeństwa danych oraz zobowiązywania użytkowników do ich przestrzegania.

Na podkreślenie zasługuje również w ocenie Skarżącego fakt natychmiastowej i skutecznej reakcji na naruszenie, które zaistniało. Wprowadzono bowiem zabezpieczenia w postaci blokady używania nośników zewnętrznych innych niż wydane przez Dział IT oraz rozpoczęto stosowanie wyłącznie szyfrowanych nośników danych autoryzowanych przez Dział IT. Skarżący wyposażył pracowników w służbowe nośniki danych typu pendrive, na których zastosowano szyfrowanie sprzętowe, przeprowadził inwentaryzację służbowych nośników oraz zablokował porty USB poprzez zakupione oprogramowanie [...] autoryzowane przez Dział IT. Skarżący stwierdził, że od momentu powzięcia informacji o zaistniałym naruszeniu, natychmiastowo zaprzestał naruszania prawa. O woli skutecznego wyeliminowania wszelkich przyczyn ewentualnych naruszeń świadczy rzetelna realizacja przez Skarżącego zaleceń Inspektora ochrony danych, audytora wewnętrznego, jak również dobra współpraca Sądu Rejonowego z organem nadzorczym podjęta i prowadzona w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych skutków.

Zdaniem Skarżącego w niniejszej sprawie przyjąć należy, że samo już wszczęcie postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej oraz realna perspektywa wymierzenia kary finansowej stanowi dla Skarżącego sankcję spełniającą funkcję represyjną jak i prewencyjną. Toczące się postępowanie było na tyle skuteczne, iż wyegzekwowane zostały przepisy rozporządzenia 2016/679. Już od momentu powzięcia informacji o naruszeniu Skarżący zaprzestał naruszania prawa i wprowadził odpowiednie zabezpieczenia, będące pełną realizacją obowiązków administratora wynikających z rozporządzenia.

Wobec powyższego Skarżący uznał, że organ powinien poprzestać na upomnieniu oraz nakazaniu administratorowi dostosowania operacji przetwarzania

do przepisów rozporządzenia 2016/679, będącymi jednymi z uprawnień naprawczych przysługującymi organowi nadzorczemu zgodnie z art. 58 ust. 2 rozporządzenia.

W ocenie Skarżącego zastosowanie powyższych instrumentów w pełni wypełniłoby przypisane do kary kryteria skuteczności, proporcjonalności i odstraszenia.

W odpowiedzi na skargę Prezes UODO wniósł o jej oddalenie, podtrzymując stanowisko zawarte w uzasadnieniu zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.

Zgodnie z treścią przepisu art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. z 2022 r. poz. 2492) sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności

z prawem skarżonej decyzji administracyjnej. Jest więc to kontrola legalności rozstrzygnięcia zapadłego w postępowaniu administracyjnym, z punktu widzenia jego zgodności z prawem materialnym i procesowym. Oceniając zaskarżoną decyzję według powyższych kryteriów, uznać należy, iż nie narusza ona prawa.

Istota sprawy w niniejszym postępowaniu sprowadzała się do oceny tego, czy Prezes UODO ustalił w sposób pełny stan faktyczny towarzyszący podjętej decyzji

i czy przy jej wydaniu poruszał się w granicach prawa.

W ocenie Sądu na wyżej postawione pytanie należało udzielić pozytywnej odpowiedzi.

Prezes UODO przeprowadził postępowanie wyjaśniające w sprawie zgłoszonego przez Sąd Rejonowy incydentu w postaci zagubienia przez sędziego trzech nośników danych typu pendrive (jednego służbowego - szyfrowanego oraz dwóch nieszyfrowanych - prywatnych), zawierających dane osobowe nieustalonej liczby osób, a następnie wszczął z urzędu w dniu [...] grudnia 2020 r. postępowanie administracyjne w przedmiocie możliwości naruszenia przez Administratora,

w związku z naruszeniem ochrony danych osobowych osób uczestniczących

w postępowaniach sądowych, obowiązków wynikających z art. 5 ust. 1 lit. e) i lit. f),

art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 i 2 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679.

Decyzja Prezesa UODO z [...] stycznia 2023 r. wskazuje za co organ nadzoru nałożył na Skarżącego karę administracyjną pieniężną i wbrew zarzutom skargi, podaje motywy wymierzenia tej kary w wysokości określonej w sentencji rozstrzygnięcia. W sentencji wskazano także przepisy rozporządzenia 2016/679, których naruszenie stwierdzono w toku postępowania. Natomiast w jej uzasadnieniu zawarto opis tych naruszeń i ich kwalifikację prawną.

Konkretyzując stan prawny przywołania wymaga art. 5 rozporządzenia 2016/679, który wskazuje zasady dotyczące przetwarzania danych osobowych jakie muszą być respektowane przez wszystkich administratorów, tj. podmioty wskazane prawem Unii lub prawem państwa członkowskiego oraz podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych.

I tak, zgodnie z art. 5 ust. 1 lit. f) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem,

za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność

i poufność").

Zgodnie z treścią art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Przepis ten określa podstawowe

i główne obowiązki administratora, którego obciąża wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających zgodność przetwarzania z wymogami rozporządzenia 2016/679. Chodzi tu w szczególności o realizację zasad wskazanych

w art. 5 ust. 1 tego rozporządzenia.

Zgodnie natomiast z art. 25 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi rozporządzenia oraz chronić prawa osób, których dane dotyczą (uwzględnianie ochrony danych w fazie projektowania).

Stosownie do art. 32 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku zdolność do ciągłego zapewnienia poufności, integralności, dostępności

i odporności systemów i usług przetwarzania (lit. b) oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (lit. d).

W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

W świetle powyższego, w ocenie Sądu, organ trafnie odkodował pojęcie "poufności danych", jako pewnego rodzaju właściwość sprawiającą, że dane nie zostaną udostępnione nieuprawnionym podmiotom. Może być ona osiągana między innymi dzięki zastosowaniu środków technicznych i organizacyjnych, adekwatnych

do zakresu danych, kontekstu przetwarzania oraz zidentyfikowanych ryzyk.

Wskazana zasada, jak zaś wynika z ustalonego stanu faktycznego, została naruszona przez Skarżącego w wyniku stwierdzonego faktu zagubienia użytkowanych przez sędziego Sądu Rejonowego dwóch nieszyfrowanych (prywatnych) nośników danych typu pendrive, na których znajdowały się dane osobowe w zakresie imion i nazwisk, adresów zamieszkania lub pobytu, danych dotyczących zakładu pracy oraz danych dotyczących zdrowia, zawarte w projektach orzeczeń i uzasadnień sporządzanych przez tego sędziego w okresie od grudnia 2004 r. do sierpnia 2020 r. Powyższe skutkowało umożliwieniem osobom nieuprawnionym dostępu do danych osobowych przetwarzanych na tych nośnikach.

Omawiając powyższą problematykę zasadnym będzie też przywołanie ugruntowanych poglądów judykatury, z którymi Sąd w pełni się zgadza – i tak – Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 3 września 2020 r.

(sygn. akt II SA/Wa 2559/19), przesądził, iż "Rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych

z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są nie tylko do zapewnienia zgodności

z wytycznymi ww. rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych

i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka".

Jak zaś wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku

z dnia 26 sierpnia 2020 r. (sygn. akt II SA/Wa 2826/19) - "Przepis ten [art. 32 rozporządzenia 2016/679] nie wymaga od administratora danych wdrożenia jakichkolwiek środków technicznych i organizacyjnych, które mają stanowić środki ochrony danych osobowych, ale wymaga wdrożenia środków adekwatnych. Taką adekwatność oceniać należy pod kątem sposobu i celu, w jakim dane osobowe są przetwarzane, ale też należy brać pod uwagę ryzyko związane z przetwarzaniem tych danych osobowych, które to ryzyko charakteryzować się może różną wysokością. (...) Przyjęte środki mają mieć charakter skuteczny, w konkretnych przypadkach niektóre środki będą musiały być środkami o charakterze niwelującym niskie ryzyko, inne - muszą niwelować ryzyko wysokie, ważne jednak jest, aby wszystkie środki (a także każdy z osobna) były adekwatne i proporcjonalne do stopnia ryzyka. (...) czynności o charakterze techniczno - organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych".

Przechodząc do poczynionych ustaleń faktycznych odnotowania wymaga, że

[...] września 2020 r. Sąd Rejonowy zgłosił Prezesowi UODO naruszenie zasady ochrony danych osobowych w wyniku odnotowanego incydentu zagubienia przez sędziego tego Sądu trzech nośników danych typu pendrive, w tym dwóch prywatnych, nieszyfrowanych, zawierających dane osobowe nieustalonej liczby osób. W zgłoszeniu uzupełniającym Sąd Rejonowy doprecyzował o jakie dane chodzi i w jakich dokumentach znajduję się te dane.

Poza sporem pozostawało też, że po wystąpieniu naruszenia Administrator przeprowadził inwentaryzację służbowych nośników (do dnia [...] października 2020 r.) oraz zablokował porty USB od października 2020 r. poprzez zakupione w grudniu

2019 r. oprogramowanie [...], dzięki czemu brak było możliwości podłączenia innych nośników niż nośniki autoryzowane przez Dział IT Sądu, zgodnie z § 4 Zarządzenia Prezesa Sądu Rejonowego [...] w [...] z [...] września 2020 r. nr [...]); korzystanie z prywatnych nośników pamięci było zabronione, tu Administrator powołał się na treść § 10 Regulaminu Użytkownika Systemów Teleinformatycznych.

Nadto przedstawiona w toku postępowania administracyjnego przez Administratora analiza ryzyka przeprowadzona [...] grudnia 2019 r. a więc przed wystąpieniem przedmiotowego naruszenia, wskazuje wynik na poziomie 6 dla zagrożenia wynikającego między innymi z przechowywania danych na prywatnych urządzeniach. Choć ryzyko określono jako średnie, to z uwagi na zastosowane zabezpieczenia przez Administratora spada ono do poziomu akceptowalnego. Podkreślono też, że "w celu jego zminimalizowania można wprowadzić blokadę używania nośników zewnętrznych lub obowiązek stosowania tylko szyfrowanych nośników danych". Z kolei trzy różne audyty (pierwszy – [...] września 2018 r., drugi – [...] i [...] lipca 2020 r. oraz trzeci – [...] czerwca – [...] września 2020 r.) wykazały odpowiednio, brak formalnych procedur szyfrowania urządzeń mobilnych, nośników wymiennych, następnie brak wykorzystywania mechanizmu kontroli nad nośnikami przenośnymi w postaci blokady portów USB w komputerach i wreszcie odnotowano

w wyniku przeprowadzonego audytu, że "(...) [w] jednostce istnieje formalny zakaz używania pendrive’ów prywatnych, wymuszone jest skanowanie nośnika przed otwarciem jego zawartości, wyłączony jest autorun. Jednakże w jednostce nie są poblokowane stacje robocze pod kątem możliwości używania prywatnych (niezarejestrowanych) nośników zewnętrznych, ma to nastąpić w najbliższym czasie" oraz zalecono by "zablokować stacje robocze służbowych komputerów stacjonarnych i laptopów pod kątem możliwości podłączenia do nich prywatnych pendrive’ów".

Administrator zablokował wejścia USB w komputerach służbowych dopiero

w października 2020 r., a więc po wystąpieniu incydentu zagubienia pendrive’ów, uniemożliwiając tym samym korzystanie na służbowym sprzęcie z nieautoryzowanych przez Dział IT Sądu nośników danych.

Mając na uwadze powyższe jako uprawniony jawi się wniosek Prezesa UODO

o dopuszczeniu się przez Sąd Rejonowy naruszenia sprecyzowanego w sentencji decyzji. Ograniczenie wdrażania zabezpieczeń przez administratora danych osobowych, wyłącznie do szkoleń sędziów, przy posiadanej wiedzy płynącej

z przeprowadzonych w Sądzie Rejonowym audytów, z pominięciem zabezpieczeń technicznych, które zmaterializowały się już po odnotowanym incydencie, jak chociażby wprowadzona w października 2020 r. blokada wejść USB w komputerach służbowych, z całą pewnością nie może być uznane jako wdrożenie odpowiednich środków technicznych czy organizacyjnych w kontekście art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 rozporządzenia 2016/679 (w szczególności w celu zapewnienia zdolności do ciągłego zapewnienia poufności danych). Pracownik nie może bowiem zastępować administratora danych w realizacji jego zadań wynikających z tych przepisów. Ponadto, pracownik (sędzia) może nie posiadać w tym zakresie odpowiedniej wiedzy, pomimo odbytych szkoleń, unikać konieczności zabezpieczenia nośnika, czy też użytkowania nośnika szyfrowanego (w niniejszej sprawie sędzia pomimo posiadania zabezpieczonego nośnika, równolegle posiadał niezabezpieczone nośniki prywatne, na których od lat zapisywał sporządzane uzasadnienia wydawanych orzeczeń) lub wdrożyć zabezpieczenie nieadekwatne do zakresu i charakteru danych oraz ryzyk występujących w tym procesie przetwarzania danych.

Należy w tym miejscu wyjaśnić, że Skarżący, pomimo wezwania do wykazania, jakie szkolenia odbył sędzia, który zgubił nośniki danych, czego one dotyczyły oraz kiedy się odbyły, nie wykazał, aby sędzia został przeszkolony z zakresu ochrony danych osobowych, czy też środków bezpieczeństwa przed wystąpieniem naruszenia. Tylko prawidłowo przeprowadzone szkolenia, we właściwym zakresie, pozwoliłyby osobom szkolnym na właściwe zrozumienie zasad przetwarzania danych osobowych określonych przez Administratora, a w konsekwencji przyczyniłyby się do ograniczenia ryzyka wystąpienia naruszeń w tym zakresie.

Poufność danych to właściwość zapewniająca w szczególności, że dane nie zostaną udostępnione nieuprawnionym podmiotom, uzyskiwana między innymi dzięki zastosowaniu środków technicznych i organizacyjnych, adekwatnych do zakresu danych, kontekstu przetwarzania oraz zidentyfikowanych ryzyk. Wskazana zasada, jak wynika z ustalonego stanu faktycznego, została naruszona przez Administratora poprzez dopuszczenie do sytuacji, w której możliwe było użytkowanie prywatnych nośników danych, nieszyfrowanych, co w następstwie zagubienia tych nośników przez sędziego skutkowało umożliwieniem osobom nieuprawnionym dostępu do danych osobowych przetwarzanych na tych nośnikach. Jak bowiem ustalono, zabezpieczeniem zastosowanym przez Sąd Rejonowy była procedura, która nie dopuszczała możliwości użytkowania prywatnych nośników danych oraz wydanie sędziemu służbowego szyfrowanego nośnika danych. Jednakże wdrożone w tym zakresie zabezpieczenia nie zapobiegły wystąpieniu naruszenia ochrony danych osobowych, a więc nie były skuteczne. Na ułomność stosowanych procedur zabezpieczających obrót danymi osobowymi szczególną uwagę zwrócono w audycie przeprowadzonym w dniach od [...] czerwca do [...] września 2020 r., w wyniku którego Administrator podjął się wdrożenia rozwiązań technicznych, blokując wejścia USB

w komputerach służbowych.

Podzielić należy stanowisko organu, że Skarżący w przeprowadzonej

[...] grudnia 2019 r. analizie ryzyka utraty poufności danych nie przewidział zagrożenia utraty tych danych ze względu na ich przechowywanie na niezabezpieczonych lub prywatnych nośnikach pamięci, którego źródłem byłby sam pracownik sądu (w tym sędzia). W tym przypadku nie można bowiem uznać, iż sędzia był osobą nieupoważnioną do przetwarzania danych, którymi dysponował na zagubionych nośnikach danych. Nie ulega jednak wątpliwości, że realizacja wniosków

z przeprowadzonej analizy poprzez wprowadzenie blokady używania nośników zewnętrznych zminimalizowałaby również ryzyko korzystania z takich urządzeń przez sędziów. Tymczasem Skarżący, jak się okazało w związku z wystąpieniem naruszenia ochrony danych osobowych, nie wdrożył blokady portów USB celem całkowitego uniemożliwienia korzystania z prywatnych nośników danych ani nie zablokował możliwości użytkowania niezaewidencjonowanych przez Dział IT Sądu nośników pamięci, poprzestając jedynie na wprowadzeniu formalnego zakazu użytkowania "prywatnych nośników". Taki zakaz wynikał z § 10 Regulaminu Użytkowania Systemów Teleinformatycznych Sądu (aktualnie wynika z rozdziału XVI). Blokady dokonał dopiero w październiku 2020 r. a zatem po odnotowanym incydencie zagubienia pendrive"ów przez sędziego. Przy czym należy mieć na uwadze, że Skarżący już od grudnia 2019 r. dysponował programem umożliwiającym blokowanie portów USB przed podłączaniem nieautoryzowanego sprzętu, jednakże z możliwości tej skorzystał dopiero po około 11 miesiącach od zakupu programu [...], umożliwiającego Działowi IT Sądu kontrolowanie nośników zewnętrznych oraz blokowanie stacji roboczych przed podłączaniem niezabezpieczonych nośników.

Biorąc powyższe pod uwagę, wskazać należy, że brak zastosowania adekwatnych do zagrożeń środków bezpieczeństwa (brak blokady portów USB w celu uniemożliwienia korzystania z prywatnych nośników pamięci) w Sądzie spowodował naruszenie przez Administratora przepisów art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, w następstwie czego doszło do naruszenia zasady poufności danych - art. 5 ust. 1 lit. f) rozporządzenia 2016/679. Konsekwencją zaś naruszenia zasady poufności jest naruszenie zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679. Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 10 lutego 2021 r., sygn. II SA/Wa 2378/20, wskazał, że "Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych.". Takich dowodów Administrator w niniejszej sprawie nie przedstawił i nie dochowując zasady stosowania adekwatnych do zagrożeń środków bezpieczeństwa, naraził się na postawienie mu zarzutu naruszenia ochrony danych osobowych.

Podkreślenia wymaga również, że Skarżący pomimo posiadanych procedur (zakaz użytkowania prywatnych nośników danych uregulowany w Regulaminie Użytkowania Systemów Teleinformatycznych Sądu) oraz posiadanej wiedzy

o zagrożeniach (pochodzącej przede wszystkich z przeprowadzonych audytów), nie prowadził nadzoru nad tym, czy pracownicy Sądu do uregulowań wewnętrznych w tym zakresie się stosują, co świadczy o naruszeniu art. 32 ust. 1 lit. d) rozporządzenia 2016/679. Dokonywanie przeglądów i aktualizacja wdrożonych środków organizacyjnych i technicznych jest również sformułowane wprost w art. 24 ust. 1 rozporządzenia 2016/697. Podkreślić także należy, że wdrożenie przez administratora środków technicznych i organizacyjnych nie jest działaniem jednorazowym, ale powinno ono przybrać postać procesu, w ramach którego administrator dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia. Regularna ocena zastosowanych środków bezpieczeństwa, stosownie do art. 32 ust. 1 lit. d) rozporządzenia 2016/679, pozwoliłaby Administratorowi na weryfikację, czy wprowadzona procedura określająca zakaz użytkowania prywatnych nośników danych jest przestrzegana, a więc i skuteczna, a w konsekwencji dała możliwość stwierdzenia, czy podejmowane są właściwe działania mające na celu zapewnienie ochrony danych przetwarzanych przez pracowników Sądu. Należy zatem podkreślić, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych, w tym skuteczności wdrożonych procedur, służy także zapewnieniu realizacji obowiązków Administratora i bezpieczeństwu przetwarzanych danych.

Za organem stwierdzić należy, że weryfikacja sposobu realizacji (stosowania) środka organizacyjnego w postaci zakazu użytkowania prywatnych nośników danych, znacząco obniżyłoby ryzyko wystąpienia naruszenia albo doprowadziłoby

do całkowitego jego wyeliminowania, np. poprzez zastosowanie środka technicznego w postaci blokady portów USB. Ponownego podkreślenia wymaga, że w wyniku przeprowadzonych w Sądzie Rejonowym audytów taka podatność została wskazana przez osoby je przeprowadzające. Brak reakcji Administratora na zalecenia audytorów spowodował osłabienie systemu ochrony danych i naraził na konsekwencje prawne, zarówno ze strony organów (odpowiedzialność administracyjną, karną), jak również ze strony osób, których dane zostały objęte naruszeniem (odpowiedzialność cywilną). Administrator podjął w ten sposób ryzyko, które zmaterializowało się w przedmiotowym naruszeniu. Naruszenie to natomiast ukazało nieprawidłowości w procesie zabezpieczania danych przez Administratora.

Sąd wskazuje, że Skarżący przed wystąpieniem naruszenia był świadomy zagrożenia wynikającego z użytkowania przez pracowników (sędziów) prywatnych nośników danych. Świadczy o tym zarówno przeprowadzona analiza ryzyka

i wynikające z niej wnioski co do sposobu minimalizowania zidentyfikowanych zagrożeń, wnioski z kolejnych audytów przeprowadzonych w Sądzie, jak również podejmowane środki organizacyjne w postaci zakazu użytkowania prywatnych nośników danych określonego w Regulaminie Użytkowania Systemów Teleinformatycznych Sądu Rejonowego [...] w [...], czy też nakazu użytkowania szyfrowanych nośników danych zawartego w Polityce Bezpieczeństwa Systemów Teleinformatycznych Sądu Rejonowego [...] w [...] oraz określenia zasad bezpiecznej pracy zdalnej. Pomimo tej świadomości Skarżący jednak nie wdrożył technicznych środków mających zapewnić bezpieczeństwo danych osobowych, poprzestając – przed wystąpieniem naruszenia ochrony danych osobowych – na wdrożeniu wyłącznie organizacyjnych środków bezpieczeństwa.

W konsekwencji, pomimo usunięcia przez Skarżącego uchybień w zakresie zapewnienia bezpieczeństwa przetwarzanych danych, w tym poprzez zablokowanie portów USB przed możliwością korzystania z nieautoryzowanych przez Dział IT nośników danych, którego brak był pośrednią przyczyną naruszenia poufności danych osobowych, zaistniały przesłanki uzasadniające nałożenie na Skarżącego administracyjnej kary pieniężnej za naruszenie zasady poufności danych (art. 5 ust. 1 lit. f) rozporządzenia 2016/679), a w konsekwencji zasady rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679) w związku z naruszeniem obowiązków administratora przy wdrażaniu środków bezpieczeństwa w trakcie przetwarzania danych, w celu skutecznej realizacji zasad ochrony danych i zapewnienia domyślnej ochrony danych (art. 25 ust. 1 i 2 rozporządzenia 2016/679); obowiązków w zakresie zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania danych (art. 32 ust. 1 lit. b) rozporządzenia 2016/679); obowiązku regularnego testowania, mierzenia i oceniania skuteczności przyjętych środków technicznych

i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (art. 32 ust. 1 lit. d) rozporządzenia 2016/679) oraz obowiązku uwzględnienia ryzyka wiążącego się

z przetwarzaniem, wynikającego z nieuprawnionego dostępu do przetwarzanych danych osobowych (art. 32 ust. 2 rozporządzenia 2016/679).

W ocenie Sądu zastosowana przez Prezesa UODO administracyjna kara pieniężna spełnia, w ustalonych okolicznościach niniejszej sprawy, funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

Organ uzasadnił nałożenie administracyjnej kary finansowej, wskazując przesłanki, na jakich się oparł, biorąc pod uwagę charakter, wagę i czas trwania naruszenia i okoliczności zarówno obciążające, jak i łagodzące wymiar tej kary.

Odnosząc się zaś do stanowiska Skarżącego, że organ nadzorczy powinien poprzestać na upomnieniu oraz nakazaniu administratorowi dostosowania operacji przetwarzania do przepisów rozporządzenia 2016/679, należy wskazać, że zgodnie

z art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy. Organ nie ma zatem obowiązku uzasadnienia dlaczego nie zastosował innego środka naprawczego. Ma natomiast obowiązek uzasadnienia nałożenia administracyjnej kary finansowej, co w zaskarżonej decyzji uczynił, wskazując przesłanki, na jakich się oparł oraz biorąc pod uwagę charakter, wagę i czas trwania naruszenia, a także okoliczności łagodzące wymiar tej kary. W przedmiotowej sprawie organ uznał, że charakter, waga, czas naruszenia, kategorie danych osobowych, których dotyczyło naruszenie, umyślny lub nieumyślny charakter naruszenia, kwalifikuje się do nałożenia przedmiotowej kary finansowej.

W uzasadnieniu zaskarżonej decyzji Prezes UODO wskazał, na podstawie

art. 83 ust. 2 lit. a – k rozporządzenia 2016/679, jakie okoliczności uznał za te, które wpływają na zaostrzenie kary i te, które przemawiają za złagodzeniem wymiaru kary oraz wypowiedział się co do nieumyślności kary (pkt 2). Nie można więc organowi orzekającemu w sprawie skutecznie postawić zarzutu dowolności podjętego rozstrzygnięcia.

Uzasadniając wymierzenie kary pieniężnej Prezes UODO podniósł też, że

w analizowanej sprawie doszło do naruszenia więcej niż jednego przepisu rozporządzenia 2016/679, co wpłynęło na wysokość wymierzonej kary finansowej, stosownie do art. 83 ust. 3 rozporządzenia 2016/679, przy czym za najpoważniejsze uznał naruszenie przez Sąd Rejonowy zasady poufności określonej w art. 5 ust 1 lit. f) rozporządzenia 2016/679, a w konsekwencji zasady rozliczalności określonej art. 5 ust. 2 rozporządzenia 2016/679. Przemawia za tym poważny charakter naruszenia, zakres danych osobowych podlegających naruszeniu oraz krąg osób nim dotkniętych (nieustalona liczba osób, wobec których sporządzane były projekty orzeczeń, uzasadnień i zarządzeń od grudnia 2004 r. do sierpnia 2020 r., danych których administratorem jest Sąd). Co istotne, jak podał organ, w stosunku

do tych osób w dalszym ciągu istnieje wysokie ryzyko niezgodnego z prawem posłużenia się ich danymi osobowymi, albowiem nieznany jest cel, dla którego osoba bądź osoby nieuprawnione mogą podjąć działania zmierzające do wykorzystania tych danych.

W konkluzji organ zasadnie stwierdził, że zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. będzie w tej sprawie skuteczna, proporcjonalna i odstraszająca.

Skoro zatem wszystkie podniesione przez Skarżącego zarzuty okazały się chybione oraz brak jest podstaw do uznania, że organ dopuścił się innych naruszeń prawa, które mogłyby stanowić o uchyleniu albo stwierdzeniu nieważności zaskarżonej decyzji, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2023 r. poz. 1634 ze zm.), orzekł jak w sentencji.