Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Wojciech Jakimowicz (sprawozdawca) Sędziowie: Sędzia NSA Sławomir Wojciechowski Sędzia del. WSA Arkadiusz Windak Protokolant: starszy asystent sędziego Aleksandra Kraus po rozpoznaniu w dniu 6 lutego 2026 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Prezesa Urzędu Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 10 października 2022 r., sygn. akt II SA/Wa 567/22 w sprawie ze skarg P. sp. z o.o. z siedzibą w G. oraz F. S.A. z siedzibą w G. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 19 stycznia 2022 r., nr DKN.5130.2215.2020 w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżony wyrok i przekazuje sprawę do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie; 2. zasądza od zarządcy masy sanacyjnej P. sp. z o.o. w restrukturyzacji z siedzibą w G. oraz F. S.A. z siedzibą w G. solidarnie na rzecz Prezesa Urzędu Ochrony Danych Osobowych kwotę 26 171 (dwadzieścia sześć tysięcy sto siedemdziesiąt jeden) złotych tytułem zwrotu kosztów postępowania kasacyjnego.

Wojewódzki Sąd Administracyjny w Warszawie, po rozpoznaniu sprawy ze skarg P. sp. z o.o. z siedzibą w G. (dalej także jako: podmiot przetwarzający) oraz F. S.A. z siedzibą w G. (dalej także jako: administrator) na decyzję Prezesa Urzędu Ochrony Danych Osobowych (dalej także jako: organ) z dnia 19 stycznia 2022 r., nr DKN.5130.2215.2020 w przedmiocie przetwarzania danych osobowych, w punkcie 1 wyroku z dnia 10 października 2022 r., sygn. akt II SA/Wa 567/22 uchylił zaskarżoną decyzję, w punkcie 2 zasądził od organu na rzecz Podmiotu przetwarzającego kwotę 680 złotych tytułem zwrotu kosztów postępowania, w punkcie 3 zasądził od organu na rzecz administratora kwotę 680 złotych tytułem zwrotu kosztów postępowania.

Wyrok ten zapadł w następującym stanie faktycznym i prawnym sprawy:

Decyzją z dnia 19 stycznia 2022 r., nr DKN.5130.2215.2020 Prezes Urzędu Ochrony Danych Osobowych, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez F. S. A. z siedzibą w G. oraz P. sp. z o.o. z siedzibą w G.:

1) w punkcie 1 decyzji stwierdzając naruszenie przez F. S.A. z siedzibą w G. art. 5 ust. 1 lit. f, art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych); dalej jako: "RODO", polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, skutkującym naruszeniem ich poufności, oraz na braku weryfikacji podmiotu przetwarzającego, czy zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą, nałożył na administratora, za naruszenie art. 5 ust. 1 lit. f, art. 25 ust. 1, art. 28 ust. 1 oraz art. 32 ust. 1 i 2 RODO, administracyjną karę pieniężną w wysokości 4 911 732 PLN;

2) w punkcie 2 decyzji stwierdzając naruszenie przez podmiot przetwarzający art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c i f RODO, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, w tym zapewnienie ich poufności, nałożył na podmiot przetwarzający administracyjną karę pieniężną w wysokości 250 135 PLN;

3) w punkcie 3 umorzył postępowanie w pozostałym zakresie.

W uzasadnieniu decyzji organ wyjaśnił, że administrator prowadzi działalność gospodarczą w zakresie obrotu energią elektryczną i paliwem gazowym, w tym w zakresie sprzedaży energii elektrycznej oraz gazu odbiorcom końcowym, zarówno z sektora biznesowego, jak i gospodarstwom domowym. W ramach prowadzonej działalności gospodarczej administrator współpracuje z podmiotem przetwarzającym, który świadczy na jego rzecz usługę prowadzenia archiwum, w tym archiwum cyfrowego. Strony są związane umową powierzenia przetwarzania danych osobowych z dnia 14 maja 2018 r. oraz umową przechowywania (archiwum dokumentów) wraz z usługami towarzyszącymi z dnia 22 lutego 2016 r. z późniejszymi aneksami.

W dniu 18 kwietnia 2020 r. administrator zgłosił organowi naruszenie ochrony danych osobowych wskazując, że doszło do "skopiowania danych" klientów administratora, a zdarzenie jest związane z faktem wprowadzenia zmiany w środowisku teleinformatycznym dla usługi F. (systemu spełniającego rolę archiwum cyfrowego dokumentów i informacji na temat klientów, pochodzących z procesu przetwarzania nośników papierowych na elektroniczne) w celu zwiększenia wydajności działania całości repozytorium. Jak wyjaśnił administrator, zmiana dokonywana była przez podmiot przetwarzający w następstwie zgłoszenia do niego przez administratora faktu powolnego działania usługi F., której podmiot przetwarzający był dostawcą. Zmiana polegała na utworzeniu i instalacji dodatkowej bazy danych klientów administratora (która następnie została skopiowana przez nieuprawnione podmioty), działającej w oparciu o rozwiązanie ElasticSearch (oprogramowanie komputerowe służące do wyszukiwania informacji; aplikacji, której można użyć do zbierania i analizy logów, zbierania, łączenia i analizy danych dostępnych publicznie, pełnotekstowego wyszukiwania tekstu, zbierania i analizy danych z pomiarów, wizualizacji danych). Naruszenie poufności dotyczyło nowoutworzonej bazy danych zawierającej informacje o klientach administratora w zakresie: imię i nazwisko, adres zamieszkania lub pobytu, nr PESEL, rodzaj, seria i numer dokumentu tożsamości, adres e-mail, numer telefonu, numer i adres punktu poboru oraz dane dotyczące umowy (np. data i nr umowy, rodzaj paliwa, nr licznika), określonej przez administratora w zgłoszeniu jako "dodatkowa, wtórna, pomocnicza bazy metadanych o nazwie "ElasticSearch". W zgłoszeniu wskazano, że naruszenie dotyczyło danych osobowych 137 314 osób klientów administratora.

Administrator zrezygnował z powiadomienia osób, których dane dotyczą, o naruszeniu ochrony danych osobowych, gdyż w jego ocenie nie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

W dniu 27 kwietnia 2020 r. administrator przesłał do wiadomości organu złożone przez niego w Prokuraturze Okręgowej w Gdańsku zawiadomienie o możliwości popełnienia przestępstwa. W uzasadnieniu zawiadomienia administrator wskazał na możliwość popełnienia czynu zabronionego określonego w art. 267 Kodeksu karnego, tj. uzyskania bezprawnego dostępu do informacji w związku z nieuprawnionym skopiowaniem bazy danych klientów.

W związku z faktem, że administrator nie zawiadomił o naruszeniu osób, których dotyczyło naruszenie, zaś w ocenie organu z uwagi na szeroki zakres ujawnionych danych klientów administratora wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Prezes Urzędu Ochrony Danych Osobowych w dniu 29 kwietnia 2020 r. skierował do administratora wystąpienie, w którym zwrócił się o podjęcie stosownych działań mających na celu: niezwłoczne zawiadomienie osób, których dane dotyczą, o naruszeniu ich danych osobowych, przekazanie tym osobom zaleceń odnośnie do zminimalizowania potencjalnych negatywnych skutków zaistniałego naruszenia, wyeliminowanie podobnych nieprawidłowości w przyszłości.

W odpowiedzi na powyższe administrator pismem z dnia 28 maja 2020 r. poinformował organ o zawiadomieniu osób, których dotyczyło naruszenie, przedstawiając jednocześnie treść komunikacji przesyłanej do klientów przed otrzymaniem wystąpienia organu, jak również treść uzupełnionego zawiadomienia o naruszeniu przesłanego do klientów w związku z wystąpieniem organu. W piśmie tym administrator przedstawił również wyniki analizy, w której ostatecznie ustalono liczbę osób, które należy zawiadomić o naruszeniu ochrony danych osobowych, w związku z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. W wyjaśnieniach tych wskazano, że ujawnione zostały dane łącznie 120 428 osób, z czego o naruszeniu należało zawiadomić 95 711 osób. Pozostała liczba to klienci biznesowi oraz osoby zmarłe.

W dniu 29 kwietnia 2020 r. organ wszczął z urzędu postępowanie administracyjne w zakresie możliwości naruszenia przez administratora art. 5 ust. 1 lit. f, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i ust. 2 oraz art. 34 ust. 1 RODO.

Wszczynając postępowanie administracyjne Prezes Urzędu Ochrony Danych Osobowych wezwał administratora do wskazania m.in. ostatecznych kategorii danych osobowych i kategorii osób, których dane dotyczą oraz wskazania szczegółowego, w tym technicznego, opisu naruszenia. Organ wezwał również administratora do wskazania, czy i jakie administrator oraz podmiot przetwarzający przyjęły środki zabezpieczenia technicznego i organizacyjnego zgodnie z art. 24 RODO (polityki ochrony danych), art. 25 RODO (uwzględnianie ochrony danych w fazie projektowania oraz domyślną ochronę danych) oraz art. 32 RODO, jak również wskazania czy, a jeśli tak, to kiedy i w jaki sposób administrator oraz podmiot przetwarzający dokonywały regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych, których naruszenie dotyczy.

W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego administrator pismem z dnia 13 maja 2020 r. przesłał dodatkowe wyjaśnienia, w których wskazał m.in. że: kategorie danych, których dotyczy naruszenie, wskazane w zgłoszeniu obejmują: imię i nazwisko, adres zamieszkania lub pobytu, nr PESEL, rodzaj, serię i numer dokumentu tożsamości, adres e-mail, numer telefonu, numer i adres punktu poboru oraz dane dotyczące umowy (np. data i nr umowy, rodzaj paliwa, nr licznika). Zgodnie z wyjaśnieniami administratora, powyższy zakres danych wynika ze struktury bazy, której dotyczyło naruszenie. Jednocześnie administrator oświadczył, że nie wszystkie pola zawierały wartości (były wypełniane). Tak więc, dla jednej osoby dane osobowe zawarte w bazie mogą być ograniczone do imienia i nazwiska, numeru umowy oraz nr PESEL, a dla innej obejmować wszystkie ww. kategorie danych osobowych.

Do wykrycia podatności, która doprowadziła do nieuprawnionego dostępu do dodatkowej bazy danych utworzonej w oparciu o rozwiązanie ElasticSearch, doszło po przekazaniu przez dwóch niezależnych internautów informacji, iż posiadają oni dostęp do bazy klientów administratora. Do naruszenia doszło w wyniku działania podmiotu przetwarzającego realizującego na rzecz administratora usługę F. Administrator wyjaśnił, że w momencie zidentyfikowania systemu, którego dane były narażone, poinformował dostawcę usługi (tj. podmiot przetwarzający), który od razu wyłączył system oraz zablokował dostępy.

Opisując, w jaki sposób doszło do naruszenia, administrator wskazał m.in., że związane to było z faktem wprowadzenia zmiany programistycznej w środowisku informatycznym dla usługi F. Zmiana polegała na dodaniu do środowiska N. dodatkowego komputera (serwera bazodanowego) dla bazy danych działającej w oparciu o rozwiązanie ElasticSearch w celu poprawienia wydajności wyszukiwania dokumentów. Miało to zdecydowanie skrócić czas, w którym informacje z systemu N. są dostępne dla użytkownika końcowego. Administrator wskazał, że rozwiązanie takie znacznie przyśpiesza wyszukiwanie dokumentów i jest popularnym rozwiązaniem w tego typu usługach.

Wprowadzone modyfikacje i sposób ich wprowadzenia nie zostały jednak skonsultowane z nim przez podmiot przetwarzający. W swych wyjaśnieniach administrator wskazał, że współpracuje z podmiotem przetwarzającym na podstawie umowy przechowywania (archiwum dokumentów) wraz z usługami towarzyszącymi zawartej w 2016 roku (z późniejszymi aneksami) oraz umowy powierzenia przetwarzania danych osobowych zawartej w dniu 14 maja 2018 r., gdzie określono wymogi w zakresie bezpieczeństwa danych osobowych, które ma zastosować podmiot przetwarzający, m.in. pseudonimizację i szyfrowanie danych osobowych. Według oceny administratora wymogi te nie zostały spełnione przez podmiot przetwarzający w przypadku wdrożonej modyfikacji w usłudze F.

W związku z ww. wyjaśnieniami złożonymi przez administratora w odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego, pismem z dnia 25 maja 2020 r. Prezes Urzędu Ochrony Danych Osobowych zwrócił się do administratora o przedstawienie dodatkowych informacji i wskazanie m.in. czy, a jeśli tak, to kiedy i jakie postępowania weryfikacyjne podmiotu przetwarzającego, pod kątem spełnienia przez niego wymogów RODO, przeprowadził przed zawarciem umowy powierzenia przetwarzania danych z tym podmiotem oraz czy poza planowaną kontrolą wszystkich podmiotów przetwarzających, czy realizowała prawo kontroli, o którym mowa w art. 28 ust. 3 lit. h RODO, pod kątem zapewnienia przez podmiot przetwarzający środków wymaganych na mocy art. 32 RODO. Organ zwrócił się również o wyjaśnienie, jak w ocenie administratora powinna zostać przeprowadzona modyfikacja mająca na celu przyspieszenie wyszukiwania dokumentów w systemie F.

W odpowiedzi na powyższe wezwanie pismem z dnia 1 czerwca 2020 r. administrator wyjaśnił, że przed zawarciem umowy powierzenia przetwarzania danych osobowych nie przeprowadził dodatkowej weryfikacji podmiotu przetwarzającego, bowiem współpracuje z podmiotem przetwarzającym od wielu lat i nie dochodziło dotychczas do incydentów bezpieczeństwa. Dodatkowo podmiot przetwarzający jest liderem rynkowym w dziedzinie świadczonych usług i reprezentuje wysoki standard w zakresie archiwizacji i digitalizacji. Administrator uznał za wystarczające podpisanie umowy powierzenia przetwarzania danych osobowych wraz z ustaleniami wskazanymi w jej załączniku. Wskazał także, że dotychczas nie realizował jeszcze prawa kontroli, o którym mowa w art. 28 ust. 3 lit. h RODO, pod kątem zapewnienia przez podmiot przetwarzający środków wymaganych na mocy art. 32 RODO. Administrator poinformował, że po stwierdzeniu naruszenia bezpieczeństwa danych osobowych, w dniu 7 maja 2020 r. wysłał jednak do podmiotu przetwarzającego wcześniej przygotowaną dla niego ankietę stanowiącą pierwszy element procesu weryfikacji podmiotów przetwarzających.

Administrator przedstawił również wyjaśnienia jak powinien wyglądać w jego ocenie proces wdrożenia przez podmiot przetwarzający zmian w systemie mających na celu usprawnienie działania usługi F. Zdaniem administratora zastosowanie konkretnego rozwiązania mającego na celu przyspieszenie wyszukiwania dokumentacji w systemie F. powinno zostać poprzedzone analizą uwzględniającą zarówno korzyści, jak i potencjalne zagrożenia wynikające z konkretnego, zaplanowanego rozwiązania. Analizując potencjalne zagrożenia, dostawca usługi powinien przeprowadzić analizę ryzyka wdrożenia takiego rozwiązania i przygotować szczegółowy plan zabezpieczenia wykonywanych operacji. Administrator wskazał, że nie otrzymał wyników analizy ryzyka oraz alternatywnych rozwiązań do wyboru. Jednostronną decyzję o zastosowaniu wdrażanego rozwiązania podjął sam podmiot przetwarzający, a ponadto nie przedstawił on żadnej szczegółowej analizy uzasadniającej wybrane rozwiązanie techniczne. Administrator podniósł także, że w dotychczasowej praktyce wprowadzania przez podmiot przetwarzający zmian w systemach administratora, zmiany takie wprowadzane były według wcześniej ustalonego planu prac, przetestowane przez administratora na środowisku testowym i dopiero następnie wdrożone produkcyjnie.

Administrator przedstawił również kopię procedur wdrożonych w podmiocie przetwarzającym, na które powoływał się w odpowiedzi z dnia 13 maja 2020 r., tj. "Politykę bezpieczeństwa", "Instrukcję zarządzania systemami informatycznymi", "Analizę zagrożeń i ryzyk naruszenia ochrony danych osobowych w podmiocie przetwarzającym" oraz "Zasady przetwarzania danych osobowych". Przedstawione zostało również zestawienie przeglądów wewnętrznych wykonanych przez podmiot przetwarzający i zewnętrznych, wykonanych w podmiocie przetwarzającym przez jego kontrahentów innych niż administrator, które stanowi załącznik nr 5 do pisma administratora z dnia 1 czerwca 2020 r. oraz raporty z dwóch ostatnich przeglądów bezpieczeństwa i ochrony danych osobowych wykonanych przez podmiot przetwarzający przed wystąpieniem naruszenia, które stanowią załącznik nr 6 do ww. pisma administratora.

Następnie pismem z dnia 9 czerwca 2020 r. organ zwrócił się do administratora o złożenie kolejnych wyjaśnień m.in. w zakresie wskazania, od kiedy administrator współpracuje z podmiotem przetwarzającym oraz wskazania, czy (a jeśli tak, to kiedy i jakiej treści) podmiot przetwarzający, od momentu zawarcia umowy z administratorem, w ramach pkt 3, 4, 3 umowy powierzenia przetwarzania danych z dnia 14 maja 2018 r., kierował powiadomienia do administratora o wszelkich zmianach, które mogą mieć wpływ na ochronę lub bezpieczeństwo danych w odniesieniu do danych osobowych przetwarzanych przez administratora. Ponadto, organ zwrócił się o przesłanie dodatkowych informacji mających na celu potwierdzenie zarówno liczby, jak i skuteczności dokonanego przez administratora zawiadomienia o naruszeniu osób, których dane dotyczyły.

Pismem z dnia 22 czerwca 2020 r. administrator złożył dodatkowe wyjaśnienia dotyczące ustalenia sposobu i liczby osób zawiadomionych o naruszeniu ich danych osobowych, a także przedstawił treść korespondencji z dnia 3 kwietnia 2020 r., w której została zgłoszona potrzeba dokonania zmian w systemie F. w związku z jego powolnym działaniem. Administrator wskazał także w swych wyjaśnieniach, że potrzeba dokonania zmian zgłaszana była podmiotowi przetwarzającemu wielokrotnie wcześniej, w związku z wolnym działaniem systemu F. Dodał również, że w załączniku nr 2 "Utrzymanie Archiwum Cyfrowego" do umowy przechowywania wraz z usługami towarzyszącym z dnia 22 lutego 2016 r., w punkcie 1.3. opisano procedurę wdrażania zmian w systemie. Jak wskazał administrator w opisywanym przypadku wspomniana procedura nie została zastosowana przez podmiot przetwarzający, bowiem nie przedstawił on administratorowi koncepcji zmian ani projektów funkcjonalnych i technicznych. Zgodnie z oświadczeniem administratora, gdyby otrzymał on odpowiednio wcześniej wytyczne od podmiotu przetwarzającego, to istniałaby możliwość zareagowania na potencjalne zagrożenie związane z wykorzystaniem konkretnego rozwiązania mającego rozwiązać problem z powolnym działaniem systemu F.

Następnie Prezes Urzędu Ochrony Danych Osobowych wyjaśnił, że w związku z faktem, że z dotychczasowych ustaleń dokonanych w toku postępowania wynikało, że w proces przetwarzania danych osobowych objętych naruszeniem ochrony danych osobowych, zgłoszonym przez administratora, zaangażowany jest również podmiot przetwarzający, organ uznał, że niniejsze postępowanie dotyczy również obowiązków podmiotu przetwarzającego, któremu administrator powierzył przetwarzanie danych osobowych osób, których dotyczyło naruszenie.

W związku z powyższym pismem z dnia 21 lipca 2020 r. organ zawiadomił podmiot przetwarzający o uznaniu go zgodnie z art. 28 Kodeksu postępowania administracyjnego za stronę postępowania, wskazując jednocześnie, że postępowanie dotyczy możliwości naruszenia także art. 28 ust. 1 i 3 RODO.

Prezes Urzędu Ochrony Danych Osobowych, na podstawie art. 58 ust. 1 lit. a i e RODO wezwał podmiot przetwarzający do złożenia wyjaśnień i wskazania m.in.: kto, kiedy i jakie czynności podjął w celu wdrożenia zmian w systemie informatycznym F. (instalacja rozwiązania ElasticSearch) w odpowiedzi na sygnalizowane przez administratora problemy dotyczące wydajności tego systemu. Ponadto, do podania jakie procedury przyjął podmiot przetwarzający, dotyczące wprowadzania zmian w systemach informatycznych dostarczanych administratorom danych w odpowiedzi na sygnalizowane przez nich zapotrzebowanie, a także czy podmiot przetwarzający podjął działania weryfikacyjne pod kątem bezpieczeństwa środowiska informatycznego, które zostało poddane modyfikacji, jeśli tak, to jakie to były działania i kiedy zostały podjęte, a jeśli nie, to dlaczego. Organ wezwał także do wskazania, czy, a jeśli tak, to kiedy i w jaki sposób podmiot przetwarzający dokonywał regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych, których naruszenie dotyczy, a w szczególności, czy i jakie środki techniczne i organizacyjne zaplanował dla procesu modyfikacji systemu informatycznego F. oraz czy dokonał oceny skuteczności tych środków.

W odpowiedzi na powyższe wezwanie w piśmie z dnia 3 sierpnia 2020 r. podmiot przetwarzający wskazał, że działania podjęte zostały w związku ze zgłoszeniem administratora dotyczącym konieczności rozwiązania słabej wydajności repozytorium F. powodującej wydłużony czas obsługi operacyjnej klientów administratora. Zgodnie z wyjaśnieniami podmiotu przetwarzającego, po przeprowadzeniu wewnętrznej analizy zgłoszenia powstała rekomendacja wraz z propozycją rozwiązania problemu wydajności F., która została przekazana do administratora w celu akceptacji. Po otrzymaniu akceptacji ze strony administratora Dział Rozwoju Systemów IT podmiotu przetwarzającego rozpoczął realizację zmian. Pierwszym etapem realizacji zmian na rzecz administratora było utworzenie i skonfigurowanie nowego wirtualnego serwera oraz zainstalowanie na nim oprogramowania ElasticSearch. Jak wskazał podmiot przetwarzający w wyjaśnieniach, zadanie to przekazane zostało osobie o odpowiednich kwalifikacjach, a jednym z technicznych aspektów realizacji zadania było ustanowienie bezpiecznej komunikacji nowego serwera z pozostałymi elementami teleinformatycznymi całego środowiska administratora w taki sposób, aby transmisja/dostęp do danych posiadała tylko odpowiednia aplikacja. Zgodnie z wyjaśnieniami podmiotu przetwarzającego, po utworzeniu i skonfigurowaniu serwera oraz zainstalowaniu na nim oprogramowania ElasticSearch przystąpiono do realizacji kolejnego zadania w ramach wdrożenia zmiany dla administratora, tj. rozpoczęto zasilanie danymi klientów administratora nowoutworzonej bazy działającej w oparciu o rozwiązanie ElasticSearch. W dniu 14 kwietnia 2020 r. administrator otrzymał informację mailową od Kierownika Działu Projektów i Wdrożeń podmiotu przetwarzającego o przetestowaniu nowej funkcjonalności oraz możliwości dokonania finalnej walidacji przed uruchomieniem produkcyjnym ww. zmian.

W odpowiedzi na pytanie, jakie zostały przyjęte procedury dotyczące wprowadzania zmian w systemach informatycznych dostarczanych administratorowi danych w odpowiedzi na sygnalizowane przez nich zapotrzebowanie, podmiot przetwarzający wskazał, że podstawowym, a tym samym obowiązującym, dokumentem regulującym obszary IT jest "Instrukcja zarządzania systemami informatycznymi". Natomiast jeśli chodzi o wprowadzanie zmian w systemach podmiotu przetwarzającego poszczególne Działy Pionu IT są zobowiązane do ewidencjonowania wszelkich zmian wprowadzanych w systemach w wewnętrznych systemach wspomagania zarządzania projektami i ich kontroli. Główne narzędzia to: a) zarządzanie projektem oraz zmianą Atlassian Jira, b) system dokumentowania (baza wiedzy) Atlassian Confluence, c) system zarządzania repozytorium Atlassian Bitbucket. W systemach tych rejestrowane są zadania do wykonania, które następnie są przydzielane do realizacji przez konkretnych inżynierów zatrudnionych przez podmiot przetwarzający. Dostęp do systemów oraz serwerów, na których te systemy pracują, odbywa się na ogólnych zasadach ujętych w "Instrukcji zarządzania systemami informatycznymi".

Wyjaśniając, czy podjęte zostały działania weryfikacyjne pod kątem bezpieczeństwa środowiska informatycznego, które zostało poddane modyfikacji, podmiot przetwarzający wskazał, że wdrażana zmiana dla administratora była na etapie kończenia testów – przed finalną walidacją przez administratora, a tym samym przed wdrożeniem na produkcję oraz finalnym wdrożeniem zabezpieczeń systemowych i nowej bazy danych utworzonej w oparciu o rozwiązanie ElasticSearch. Podmiot przetwarzający wskazał, że etap wdrożenia produkcyjnego i zakończenie wdrożenia zabezpieczeń był planowany na okres 15-16 kwietnia 2020 r. Na moment stwierdzenia naruszenia ochrony danych osobowych klientów administratora, na podstawie informacji przekazanej przez administratora w dniu 16 kwietnia 2020 r., zmiany mające na celu usprawnienie działania systemu F. były jeszcze w trakcie wdrażania (tj. realizacji etapu synchronizacji podsystemu opartego o rozwiązanie ElasticSearch z aktualnym środowiskiem N.). Tym samym prace wykonywane przez podmiot przetwarzający nie były w pełni zakończone - trwał proces testów i zasilania nowoutworzonej bazy danymi.

W piśmie z dnia 7 kwietnia 2021 r., stanowiącym odpowiedź na wezwanie organu z dnia 22 marca 2021 r. w zakresie wskazania m.in. dowodów na konsultowanie pomiędzy administratorem a podmiotem przetwarzającym wdrożenia zmian w oprogramowaniu, które było przedmiotem naruszenia, podmiot przetwarzający wskazał m.in., że administrator nie konsultował z nim wdrożenia zmian w oprogramowaniu. Podmiot przetwarzający podniósł ponadto, że administrator zgłosił problem w działaniu oprogramowania F. i oczekiwał jego rozwiązania. Podmiot przetwarzający znając techniczną przyczynę przystąpił do rozwiązania problemu, a administrator nie "konsultował w tym przypadku technicznego sposobu i detali zmian w oprogramowaniu".

W dniu 15 lipca 2021 r. organ poinformował zarówno administratora, jak i podmiot przetwarzający, że postępowanie zostało rozszerzone o możliwość naruszenia przez administratora obowiązków wynikających z przepisów art. 28 ust. 1 i art. 28 ust. 3 RODO.

Natomiast pismem z dnia 30 września 2021 r. administrator uzupełnił przedstawione wcześniej materiały o dodatkowe wyjaśnienia, zgodnie z którymi zlecił podmiotowi zewnętrznemu analizę "incydentu" oraz przedstawienie rekomendacji w celu zminimalizowania ryzyka powtórnego wystąpienia incydentu o podobnym charakterze. Zgodnie z wyjaśnieniami administratora przedstawionymi w ww. piśmie na podstawie przedstawionych rekomendacji dokonano modyfikacji zarówno w infrastrukturze technicznej, jak i wprowadzono dodatkowe elementy akceptacji i potwierdzania prowadzonych "prac modernizacyjnych w środowisku produkcyjnym aplikacji". Do pisma dołączono również raport z monitoringu wycieku danych prowadzonego za okres od dnia 1 czerwca 2020 r. do dnia 31 sierpnia 2020 r., zgodnie z którym w sieci Internet oraz Darknet nie pojawiły się dane dotyczące klientów administratora, których poufność została naruszona w wyniku zdarzenia z dnia 16 kwietnia 2020 r.

W tym stanie faktycznym organ, po zapoznaniu się ze zgromadzonym w sprawie materiałem dowodowym, przeszedł do etapu rozważań i po przywołaniu treści przepisów RODO wskazał, że podstawowym środkiem bezpieczeństwa mającym na celu ochronę przed nieuprawnionym dostępem do danych osobowych jest ustanowienie odpowiednich zabezpieczeń baz danych i systemów informatycznych wykorzystywanych do przetwarzania danych osobowych. Zapewnienie dostępu uprawnionym użytkownikom i zapobieganie nieuprawnionemu dostępowi do systemów i usług to jeden z wzorcowych elementów bezpieczeństwa, na który wskazuje m.in. norma 11 PN-EN ISO/IEC 27001:2017-06. Jak wynika z art. 32 ust. 1 RODO, jednym z czynników, jakie należy brać pod uwagę przy doborze właściwych środków technicznych i organizacyjnych, jest stan wiedzy technicznej, który powinno się oceniać z uwzględnieniem warunków rynkowych, w szczególności dostępności i akceptowalności rynkowej danego rozwiązania technicznego. Wskazówek konkretyzujących w tym przedmiocie dostarczają obowiązujące standardy i normy, w szczególności normy ISO, które ulegają również ciągłym przeglądom i zmianom warunkowanym postępem technologicznym.

Organ podkreślił, że zgodnie z normą PN-EN ISO/IEC 27002:2017-06 zaleca się unikania stosowania danych zawierających dane identyfikujące osobę lub inne poufne dane w charakterze danych testowych. Jeżeli dane identyfikujące osobę są wykorzystywane podczas testów, zaleca się ochronienie wszystkich wrażliwych szczegółów i kontekstu poprzez ich usunięcie lub modyfikację. Ww. norma dopuszcza możliwość wykorzystania danych rzeczywistych do celów testowych, niemniej dane te powinny podlegać szczególnej ochronie. Przede wszystkim w przypadku, gdy do celów testowych wykorzystywane są dane rzeczywiste, w testowanych aplikacjach powinny być zastosowane takie same procedury kontroli dostępu, jak te stosowane w systemach produkcyjnych.

Organ wskazał, że art. 32 ust. 1 lit. a RODO wskazuje na pseudonimizację danych osobowych jako mechanizm, który może zagwarantować odpowiedni poziom bezpieczeństwa danych, zaś z motywu 29 RODO wynika, że pseudonimizacja danych osobowych może ograniczyć ryzyko dla osób, których dane dotyczą oraz pomóc administratorom i podmiotom przetwarzającym wywiązać się z obowiązku ochrony danych. Organ zaznaczył przy tym, że wprowadzenie pseudonimizacji nie służy wykluczeniu innych środków ochrony danych. Prezes Urzędu Ochrony Danych Osobowych dodał, że pseudonimizację wymienia również art. 25 ust. 1 RODO, z którego wynika dla administratora danych obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych zarówno na etapie określania sposobów przetwarzania, jak i w czasie samego przetwarzania.

Organ stwierdził, że zarówno zatem RODO, jak i dobre praktyki określone w normach ISO, wskazują administratorom i podmiotom przetwarzającym możliwe rozwiązania, jakie mogą być zastosowane przez nich w trakcie dokonywania zmian w systemach informatycznych, w których przetwarzane są dane osobowe. Podkreślił, że pseudonimizacja danych jest skutecznym środkiem bezpieczeństwa w celu zapewnienia poufności danych. Osoba nieuprawniona, która weszła w posiadanie poddanych pseudonimizacji danych np. w wyniku wystąpienia naruszenia ochrony danych osobowych, nie jest w stanie bowiem ich przypisać do konkretnej osoby bez dysponowania dodatkowymi informacjami o tej osobie. Z tego rozwiązania, jak zauważył organ, ani administrator ani podmiot przetwarzający jednak nie skorzystali decydując się, w ramach wprowadzania zmian w usłudze F., na zasilenie nowoutworzonej bazy opartej o rozwiązanie ElasticSearch rzeczywistymi danymi osobowymi klientów administratora, co w połączeniu z brakiem zastosowania innych skutecznych zabezpieczeń, doprowadziło do wystąpienia naruszenia ochrony danych osobowych, w wyniku którego doszło do naruszenia poufności danych ponad 95 tysięcy osób.

Organ przypomniał, że podmiot przetwarzający w złożonych wyjaśnieniach wskazał, że "każdy powoływany do życia system bazujący na systemach LINUX, na których budowane są rozwiązania podmiotu przetwarzającego, jest poddawany w procesie wdrożenia tzw. "utwardzaniu" polegającemu m.in. na implementowaniu wewnątrz hasła aplikacji klasy IDS/IPS, skanerów antywirusowych i antymalware, implementacji antywirusa, rozszerzaniu poziomów logowania incydentów, zabezpieczaniu nieautoryzowanego dostępu do aplikacji, np. poprzez stosowanie metod szyfrowanego dostępu, odpowiedniej polityce haseł, implementowaniu reguł firewall ograniczających podatność systemów na ekspozycję z nieautoryzowanych źródeł, opracowanie bezpiecznego i dedykowanego kanału komunikacji pomiędzy aplikacją a bazą ElasticSearch, wpięciu systemu do centralnego systemu monitoringu. Systemu podmiotu przetwarzającego są monitorowane 24h/7 za pomocą narzędzi do monitoringu hostów i sieci (...). Maszyna z aplikacją ES (ElasticSearch) była w trakcie wdrożenia, więc nie wszystkie ww. funkcjonalności zostały zaimplementowane na moment zdarzenia". Jak wskazał podmiot przetwarzający na moment stwierdzenia naruszenia ochrony danych osobowych klientów administratora, na podstawie przekazanej przez niego informacji w dniu 16 kwietnia 2020 r., zmiany mające na celu poprawę działania systemu F. były jeszcze w trakcie wdrażania (tj. realizacji etapu synchronizacji), tym samym prace wykonywane przez podmiot przetwarzający nie były w pełni zakończone – trwał proces testów i zasilania bazy danymi.

Organ przypomniał, że podmiot przetwarzający w wyjaśnieniach z dnia 3 sierpnia 2020 r. poinformował ponadto, że zlecenie utworzenia serwera dla bazy działającej w oparciu o rozwiązanie ElasticSearch przekazane zostało osobie o odpowiednich kwalifikacjach, w zleceniu wskazano również, ze realizacja postulatu zabezpieczenia transmisji jest wykonywana przez odpowiednią konfigurację reguł firewall, co zostało także wskazane w treści zlecenia wewnętrznego. W ocenie organu analiza treści wskazanego zlecenia nie potwierdza jednak wyjaśnień podmiotu przetwarzającego. Przedstawiona dokumentacja nie zawiera dowodu na to, że została zlecona konfiguracja firewalla. Jest to zlecenie utworzenia wirtualnego serwera z aplikacją ElasticSearch. Zlecenie nie zawiera jednak wprost zobowiązania do skonfigurowania go jako firewall. Podmiot przetwarzający, zdaniem organu, nie przedstawił dowodów na to, że sprawdził poprawność wykonania zlecenia. Sprawdzenie wykonania tego zlecenia nie było także weryfikowane przez administratora. Organ zaznaczył przy tym, że jako przyczynę zaistnienia naruszenia ochrony danych osobowych podmiot przetwarzający wskazał na błąd w pierwotnej konfiguracji nowego serwera polegający na nieuruchomieniu reguł firewall.

Organ powołał się także na normę PN-EN ISO/IEC 27001:2017-06, zgodnie z którą funkcje bezpieczeństwa należy testować w czasie prac rozwojowych. W stanie faktycznym przedmiotowej sprawy podmiot przetwarzający otrzymał zgłoszenie nieprawidłowego (powolnego) działania systemu F. W związku z ww. zgłoszeniem rozpoczął pracę nad wdrożeniem zmian. Powierzył utworzenie nowego serwera działającego w oparciu o rozwiązanie ElasticSearch jednej osobie, a następnie rozpoczął zasilanie bazy danych rzeczywistymi danymi klientów administratora. Pomimo tego, że nowoutworzona baza danych zasilona została rzeczywistymi danymi osobowymi, na etapie prac rozwojowych podmiot przetwarzający nie przetestował funkcji bezpieczeństwa, co w konsekwencji doprowadziło do naruszenia poufności danych osobowych ponad 95 tysięcy klientów administratora, w przypadku których, z uwagi na zakres ujawnionych danych, ryzyko naruszenia praw lub wolności osób fizycznych w związku z naruszeniem ochrony danych osobowych było wysokie.

Wyjaśniając w toku postępowania, jakie funkcjonują procedury dotyczące wprowadzania zmian w systemach informatycznych dostarczanych administratorowi danych w odpowiedzi na sygnalizowane przez nich zapotrzebowanie, podmiot przetwarzający wskazał, że posiada określone polityki oraz procedury dotyczące działań w ramach wprowadzania zmian w systemach informatycznych, zaś podstawowym dokumentami w tym zakresie są: "Instrukcja zarządzania systemami informatycznymi", "Polityka bezpieczeństwa", "Zasady bezpiecznego funkcjonowania systemów IT" oraz "Zasady realizacji praw podmiotów danych osobowych". W przypadku zmian w systemach, zgodnie z wyjaśnieniami podmiotu przetwarzającego, poszczególne działy pionu IT są zobowiązane do ewidencjonowania wszelkich zmian wprowadzanych w systemach w wewnętrznych systemach wspomagania zarządzania projektami i ich kontroli. Główne narzędzia to: a) system zarządzania projektem oraz zmianą Atlassian Jira, b) system dokumentowania (baza wiedzy) Atlassian Confluence, c) system zarządzania repozytorium Atlassian Bitbucket. Zlecenie na rzecz administratora zostało zgłoszone w systemie Jira, na dowód czego podmiot przetwarzający przedstawił odpowiednie wydruki z tego systemu.

Organ wskazał jednak, że analiza "Instrukcji zarządzania systemami informatycznymi", jak i "Polityki bezpieczeństwa" wykazała, że dokumenty te nie zawierają jednak szczegółowych zapisów dotyczących sposobu dokonywania zmian w systemach informatycznych służących do przetwarzania danych osobowych, np. konieczności utworzenia środowiska testowego, czy odpowiedniego zabezpieczenia rzeczywistych danych klientów administratora, w przypadku ich wykorzystania do testowania wprowadzanych zmian, czy też zasad kontroli poprawności realizacji poszczególnych etapów projektu. Natomiast przedstawione wydruki z systemu Jira są w rzeczywistości zleceniami wykonania poszczególnych czynności. W ocenie organu na ich podstawie niemożliwe jest potwierdzenie, że wdrażane zmiany realizowane były według określonych z góry zasad zapewniających bezpieczeństwo danych osobowych.

W związku z powyższym organ stwierdził, że ewidencjonowanie realizowanych na rzecz kontrahentów podmiotu przetwarzającego prac w wewnętrznych systemach wspomagania zarządzania projektami nie może być uznane za wystarczający środek zapewniający bezpieczeństwo przetwarzania danych osobowych, gdyż poszczególne etapy realizacji zmian nie są wystarczająco udokumentowane. Zdaniem organu prowadzić to może do dowolności wyboru stosowanych rozwiązań, czy, jak w przedmiotowej sprawie, nie zdefiniowania wszystkich wymaganych zabezpieczeń, co w konsekwencji doprowadziło do naruszenia ochrony danych osobowych. Jak podkreślił organ, w treści powoływanej przez podmiot przetwarzający "Polityki bezpieczeństwa" wskazano jednak, że jako wymagania uzupełniające zastosowanie mają opracowania normatywne: ISO/IEC 27001 - Technika informatyczna – Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji informatyczna — Techniki bezpieczeństwa. W związku z powyższym, w przypadku braku szczegółowych zapisów w wewnętrznych procedurach podmiotu przetwarzającego dotyczących sposobu przeprowadzania zmian w systemach informatycznych, zmiany te dokonywane powinny być zgodnie z dobrymi praktykami określonymi w ww. normach ISO, co, jak zostało wyżej wykazane, nie zostało przeprowadzone w przypadku dokonywania zmian w systemie F., prowadząc w konsekwencji do umożliwienia nieuprawnionym podmiotom pobrania danych osobowych, których administratorem jest F. S.A. z siedzibą w G.

W związku z powyższym organ stwierdził, że w stanie faktycznym przedmiotowej sprawy do naruszenia ochrony danych osobowych (wycieku danych) doszło w wyniku błędu jednego pracownika podmiotu przetwarzającego posiadającego według podmiotu przetwarzającego odpowiednie kwalifikacje do wykonania tego zadania, który konfigurując nowy serwer działający w oparciu o rozwiązanie ElasticSearch, nie uruchomił reguł firewall, w konsekwencji czego nie został zapewniony bezpieczny kanał komunikacji pomiędzy serwerami środowiska administratora, wykorzystywanymi do przetwarzania danych osobowych.

W ocenie Prezesa Urzędu Ochrony Danych Osobowych zastosowane przez podmiot przetwarzający środki techniczne i organizacyjne jedynie w bardzo ograniczonym stopniu odpowiadały wymogom określonym w art. 32 ust. 1 i 2 RODO. Poszczególne etapy realizacji zmian dla zgłoszonego przez administratora problemu z wydajnością usługi F. nie odbywały się na podstawie ściśle określonych procedur. W trakcie procesu dokonywania zmian w systemie użyte zostały rzeczywiste dane osobowe klientów administratora, a skuteczność zastosowanych zabezpieczeń nie została zweryfikowana przed przekazaniem do administratora zmian w ww. systemie mających rozwiązać problem z jego wydajnością. Funkcje bezpieczeństwa nie były bowiem testowane w trakcie prowadzonych w tym celu prac. Zdaniem organu naruszając w ww. zakresie obowiązki wynikające z art. 32 ust. 1 i 2 RODO oraz działając niezgodnie z ww. normami ISO, podmiot przetwarzający działał jednocześnie wbrew postanowieniom własnej "Polityki bezpieczeństwa", która do tych norm się odwołuje. Podmiot przetwarzający działał również wbrew umowie powierzenia przetwarzania danych osobowych, w której zobowiązał się m.in. do wdrożenia pseudonimizacji danych. Określając bowiem środki bezpieczeństwa, jakie zastosuje w celu ochrony danych osobowych, podmiot przetwarzający pominął wynikający z ww. przepisu RODO obowiązek uwzględnienia przy ich określaniu stanu wiedzy technicznej czyli stosowania rozwiązań uznawanych obecnie za skuteczne, natomiast niestosowania rozwiązań przestarzałych, ocenianych powszechnie jako niezapewniające bezpieczeństwa. Aktualne standardy bezpieczeństwa, jak przypomniał organ, wyznaczają m.in. normy ISO.

W konsekwencji Prezes Urzędu Ochrony Danych Osobowych uznał, że podmiot przetwarzający nie zastosował odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych klientów administratora, w szczególności wobec użycia rzeczywistych danych ww. osób na potrzeby dokonania zmian w systemie F. bez poddania ich pseudonimizacji i wbrew zasadom wynikającym z norm ISO, do których w swojej wewnętrznej dokumentacji dotyczącej ochrony danych osobowych się odwołuje.

Organ stwierdził, że podmiot przetwarzający nie realizując wymogów określonych przepisami art. 32 ust. 1 i 2 RODO nie podejmował jednocześnie działań wynikających z art. 28 ust. 3 lit. c i f RODO, stosownie do których podmiot przetwarzający podejmuje wszelkie środki wymagane na mocy art. 32 oraz uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36.

W ocenie organu z materiału zebranego w toku przeprowadzonego postępowania administracyjnego wynika, że podmiot przetwarzający rozpoczął swoje działania w wyniku zgłoszenia administratora dotyczącego powolnego działania archiwum cyfrowego. Po przeprowadzeniu wewnętrznej analizy zwiększenia wydajności działania systemu zlecił utworzenie nowego serwera dla bazy danych działającej w oparciu o rozwiązanie ElasticSearch dla administratora. Po utworzeniu wskazanego rozwiązania nie zweryfikował, czy wykonana została odpowiednia konfiguracja reguł firewall, co miało zapewnić zabezpieczenie transmisji danych nowego serwera z pozostałymi elementami teleinformatycznymi całego środowiska administratora wykorzystywanego do przetwarzania danych osobowych. Następnie zasilił rzeczywistymi danymi osobowymi klientów administratora nowoutworzoną bazę danych. W związku z tym, że realizowana dla administratora zmiana była w trakcie wdrożenia, nie wszystkie stosowane przez podmiot przetwarzający zabezpieczenia mające na celu zapewnienie bezpieczeństwa przewarzania danych zostały zaimplementowane na moment zdarzenia powodującego naruszenie ochrony danych osobowych. Zdaniem organu nie ulega zatem wątpliwości, że podmiot przetwarzający nie dochował należytej staranności w swoim postępowaniu w tym zakresie, co w konsekwencji świadczy o tym, że realizując zlecenie na rzecz administratora nie podejmował wszelkich środków wymaganych na mocy art. 32 RODO oraz nie pomógł administratorowi wywiązać się z obowiązku określonego w tym przepisie.

Organ wskazał, że administrator z kolei w ramach stosowanych środków bezpieczeństwa wskazał na łączącą go z podmiotem przetwarzającym umowę przechowywania wraz z usługami towarzyszącym z dnia 22 lutego 2016 r., gdzie zgodnie z jego wyjaśnieniami, w załączniku nr 2 "Utrzymanie Archiwum Cyfrowego" do ww. umowy, w punkcie 1.3., opisano procedurę wdrażania zmian w systemie. Jednocześnie administrator podniósł, że w przedmiotowej sprawie procedura ta nie została przez podmiot przetwarzający zastosowana, bowiem nie przedstawił on administratorowi koncepcji zmian ani projektów funkcjonalnych i technicznych. Organ zaważył jednak, że zgodnie z powoływanym przez administratora pkt 1.3 załącznika nr 2 do umowy, opracowanie ww. dokumentacji dotyczącej zmian w systemach wykonywane jest przez podmiot przetwarzający na życzenie administratora. Administrator nie przedstawił natomiast dokumentacji, z której wynikałoby, że wymagał od podmiotu przetwarzającego przedstawienia takiej dokumentacji w związku z wprowadzanymi zmianami w usłudze F., w wyniku których doszło do naruszenia ochrony danych osobowych.

Administrator wskazał dodatkowo, że praktyka obszaru IT [...] (oparta o Corporate [...] dla IT), dla wprowadzanych wdrożeń zakłada konieczność zaangażowania w takie konsultacje także inżyniera systemowego aplikacji, który propozycje akceptuje w ramach swoich uprawnień albo kieruje do sprawdzenia do odpowiednich wewnętrznych służb IT. Administrator podał, że przynajmniej dla zabezpieczenia interesów administratora i podmiotu przetwarzającego powinno się zatwierdzić plan prac, przedstawiony w ramach wdrożenia, a następnie postępować według niego doprowadzając do zatwierdzenia testów akceptacyjnych. Dopiero po ich zatwierdzeniu przez inżyniera systemowego, jakakolwiek modyfikacja może być wprowadzana produkcyjnie, a tym samym udostępniona dla pracowników administratora.

Organ podkreślił jednak, że administrator pomimo posiadanych procedur oraz posiadanej wiedzy, jak zgodnie z powszechnie stosowanymi praktykami powinno przebiegać wdrożenie zmian w systemach informatycznych, na żadnym etapie wdrożenia nie prowadził nadzoru nad tym, czy wdrożenie faktycznie przebiega zgodnie z powszechnie obowiązującymi standardami, umową powierzenia przetwarzania danych osobowych czy też umową przechowywania (archiwum dokumentów) wraz z usługami towarzyszącymi. Organ zauważył, że z przedstawionej dokumentacji wynika, że administrator w dniu 3 kwietnia 2020 r. zgłosił do podmiotu przetwarzającego potrzebę poprawienia działania archiwum cyfrowego F. Po otrzymaniu w dniu 14 kwietnia 2020 r. informacji o wdrożeniu nowego rozwiązania administrator poinformował, że aktualnie system działa prawidłowo, a ewentualne uwagi zostaną przekazane do podmiotu przetwarzającego po "dłuższym testowaniu".

Natomiast odpowiadając na zapytanie organu dotyczące regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych, których naruszenie dotyczy, administrator wskazał, że "mając na względzie przyczynę i charakter incydentu, zdaniem administratora, regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych, nie zapobiegłoby naruszeniu, które miało miejsce i było wynikiem wdrożenia jednorazowej modyfikacji".

W związku z powyższym organ podkreślił, że z art. 32 ust. 1 lit. d RODO wynika obowiązek regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Dokonywanie przeglądów i aktualizacja wdrożonych rozwiązań są także wymogiem sformułowanym wprost w art. 24 ust. 1 RODO, a także wynikającym z art. 25 ust. 1 RODO, kreującego obowiązek zapewnienia ochrony prywatności w fazie projektowania (privacy by design) i nakładającego na administratora zobowiązanie do wdrożenia odpowiednich środków technicznych zarówno w fazie określania sposobów przetwarzania, jak i w fazie samego przetwarzania. Wdrożenie przez administratora środków technicznych i organizacyjnych nie jest działaniem jednorazowym, ale powinno przybrać postać procesu, w ramach którego administrator dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia. W konsekwencji, organ nie zgodził się ze stwierdzeniem administratora, że testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych, nie zapobiegłoby naruszeniu w tym przypadku, ponieważ takiej ocenie powinny podlegać nie tylko środki techniczne, ale również organizacyjne, czyli wdrożone przez administratora procedury dotyczące przetwarzania danych osobowych, w tym procedury dokonywania zmian w systemach informatycznych wykorzystywanych do przetwarzania danych osobowych. Regularna ocena ww. procedury, stosownie do wymogu wynikającego z art. 32 ust. 1 lit. d RODO, pozwoliłaby - zdaniem organu - administratorowi na weryfikację, czy taka procedura jest skuteczna, tzn. czy zapewnia, że podejmowane są właściwe działania w celu zapewnienia ochrony danych osobowych w trakcie procesu dokonywania zmian w systemie informatycznym, czy jest w ogóle przestrzegana przez osoby odpowiedzialne za przeprowadzenie tych zmian, a także wychwycić ewentualne w niej braki.

Organ uznał, że w stanie faktycznym przedmiotowej sprawy, weryfikacja przez administratora sposobu realizacji przez podmiot przetwarzający zmian mających na celu usprawnienie działania systemu przetwarzającego dane osobowe (F.), zgodnie z przyjętą przez administratora procedurą, znacząco obniżyłoby ryzyko uzyskania dostępu przez osoby nieuprawnione do danych przetwarzanych w tym systemie, a tym samym zminimalizowałoby ryzyko naruszenia praw lub wolności osób fizycznych, których dane są przez administratora przetwarzane, gdyż do naruszenia ochrony danych osobowych doszło w wyniku prostego błędu polegającego na niezastosowaniu podstawowego środka bezpieczeństwa, jakim jest ustanowienie reguł firewall dla zapewnienia bezpiecznej komunikacji, co powinno zostać przetestowane i wykryte w toku procesu wdrażania zmian w systemie informatycznym przetwarzającym dane osobowe. Zdaniem organu zastosowanie się przez administratora do tej procedury pozwoliłoby mu niewątpliwie także stwierdzić, że w procesie dokonywania zmian w systemie F. użyte zostały przez podmiot przetwarzający rzeczywiste dane osobowe klientów administratora (bez poddania ich pseudonimizacji), co wobec niezastosowania innych skutecznych środków bezpieczeństwa, o czym wyżej mowa, oznaczać może wysokie ryzyko naruszenia praw lub wolności tych osób w przypadku wystąpienia naruszenia ochrony danych osobowych (które w rzeczywistości miało miejsce). Efektem powyższego był brak działań administratora w celu zapewnienia bezpieczeństwa danych osobowych swoich klientów, do czego był zobowiązany zgodnie z przepisami RODO. W ocenie organu z realizacji tych obowiązków nie zwalnia administratora fakt korzystania z usług podmiotu przetwarzającego. Organ podkreślił, że obowiązki w tym zakresie spoczywają bowiem przede wszystkim na administratorze danych.

Organ uznał, że analiza działań administratora w tym zakresie, a właściwie w ocenie organu braku działań, prowadzi do wniosku, że ważniejsze było dla niego jak najszybsze zwiększenie wydajności systemu F., niż zapewnienie odpowiedniego poziomu bezpieczeństwa danych osobowych przetwarzanych przy użyciu tego systemu. Organ przypomniał, że administrator w toku postępowania wskazał, iż w dotychczasowej praktyce wprowadzania przez podmiot przetwarzający zmian w systemach administratora, zmiany takie wprowadzane były według wcześniej ustalonego planu prac, przetestowane przez administratora na środowisku testowym i dopiero następnie wdrożone produkcyjnie. Organ zauważył, że w łączącej strony umowie przechowywania wraz z usługami towarzyszącym z dnia 22 lutego 2016 r. administrator zapewnił sobie również możliwość żądania w trakcie dokonywania zmian w systemach informatycznych, przedstawienia przez podmiot przetwarzający koncepcji tych zmian oraz projektów funkcjonalnych i technicznych. W przypadku dokonywania zmian w systemie, które doprowadziły do naruszenia będącego przedmiotem postępowania, administrator poprzestał jednak tylko na zgłoszeniu podmiotowi przetwarzającemu potrzeby dokonania modyfikacji, nie żądając jednocześnie przedstawienia jakichkolwiek projektów tych zmian ani nie podejmując jakichkolwiek działań w zakresie zweryfikowania, czy w procesie dokonywania zmian w systemie zapewnione zostało bezpieczeństwo przetwarzania danych osobowych swoich klientów.

W ocenie organu zebrany w sprawie materiał również potwierdza, że przed wszczęciem postępowania administracyjnego administrator nie przeprowadzał w podmiocie przetwarzającym audytów, w tym inspekcji, w celu sprawdzenia, czy podmiot przetwarzający w sposób prawidłowy realizuje swoje obowiązki wynikające z RODO. Jak wskazał organ, możliwość przeprowadzenia takich audytów, w tym inspekcji, wynika z art. 28 ust. 3 lit. h RODO. Zdaniem organu, przepis ten daje administratorowi pewne narzędzia, z których korzystanie może zapewnić, że proces przetwarzania danych podlegających powierzeniu będzie zgodny z przepisami RODO, a sam administrator uniknie odpowiedzialności za ich naruszenie. Zdaniem Prezesa Urzędu Ochrony Danych Osobowych przeprowadzanie przez administratora w podmiocie przetwarzającym audytów, w tym inspekcji, należy traktować jako jeden z istotniejszych środków bezpieczeństwa, jakie powinien zastosować administrator w celu prawidłowego wywiązania się ze swoich obowiązków wynikających z art. 32 ust. 1 RODO. Administrator powinien bowiem w czasie korzystania przez niego z usług podmiotu przetwarzającego dysponować wiedzą, czy i w jaki sposób podmiot, któremu powierzył przetwarzanie danych osobowych, spełnia wymogi określone w RODO. Takich środków bezpieczeństwa administrator jednak nie zastosował, co w konsekwencji przyczyniło się do wystąpienia naruszenia ochrony danych osobowych. Co więcej, organ podkreślił, że stosowanie ww. środków jest powiązane z obowiązkiem administratora wynikającym z art. 28 ust. 1 RODO, co oznacza, iż jego wykonanie ma także potwierdzić, czy podmiot przetwarzający w dalszym ciągu daje gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

W ocenie organu brak realizacji audytów, w tym inspekcji, w podmiocie przetwarzającym oznacza również naruszenie przepisu art. 25 ust. 1 RODO. Przepis ten obliguje do wdrażania odpowiednich środków technicznych i organizacyjnych, nie tylko przy określaniu sposobów przetwarzania, ale także w czasie samego przetwarzania. Ciągłość wpisana w analizowany obowiązek może więc w praktyce przejawiać się m.in. w konieczności zapewnienia regularnego monitoringu zastosowanych zabezpieczeń oraz prowadzenia stałego nadzoru nad podmiotem przetwarzającym poprzez np. audyty i inspekcje, o których mowa w art. 28 ust. 3 lit. h RODO.

Prezes Urzędu Ochrony Danych Osobowych uznał, że zastosowane przez administratora środki techniczne i organizacyjne jedynie w bardzo ograniczonym stopniu odpowiadały wymogom określonym w art. 32 RODO, w związku z faktem, że administrator nie egzekwował od podmiotu przetwarzającego realizacji postanowień łączących ich umów, nie stosował się do własnej praktyki wdrażania zmian w środowisku IT opartej o wewnętrzne regulacje oraz nie weryfikował podmiotu przetwarzającego w zakresie prowadzonych działań mających na celu usprawnienie funkcjonowania usługi F.

Prezes Urzędu Ochrony Danych Osobowych uznał, że zarówno administrator, jak i podmiot przetwarzający nie wdrożyli odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych znajdujących się w systemie informatycznym podlegającemu modyfikacjom, co stanowi naruszenie art. 32 ust. 1 i 2 RODO. Organ dodał, że obowiązki w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z RODO oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak aby spełniać wymogi RODO, zostały nałożone na administratora danych (i tylko na administratora danych) przepisami art. 24 ust. 1 i art. 25 ust. 1 RODO. Wobec braku zastosowania przez administratora adekwatnych środków bezpieczeństwa organ uznał, iż administrator naruszył także i te przepisy RODO. Następnie organ wskazał, że konsekwencją zaś powyższego naruszenia jest konieczność stwierdzenia, że naruszona została również zasada poufności wyrażona w art. 5 ust. 1 lit. f RODO, zgodnie z którym dane powinny być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem za pomocą odpowiednich środków technicznych lub organizacyjnych. Prezes Urzędu Ochrony Danych Osobowych podkreślił, że prawidłowe i skuteczne zabezpieczenie danych podniesione zostało w RODO do rangi ogólnej zasady, co świadczy o tym, że kwestia zapewnienia poufności danych powinna być traktowana w sposób szczególny i priorytetowy przez administratora danych. Tymczasem, jak podkreślił organ, zarówno administrator, jak i podmiot przetwarzający nie wdrożyli odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych, co doprowadziło do naruszenia przez administratora ich poufności w związku z wystąpieniem naruszenia ochrony danych osobowych, czyli naruszenia zasady, o której mowa w art. 5 ust. 1 lit. f RODO.

Organ podkreślił, że zgodnie z art. 28 ust. 1 RODO jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. W przedmiotowej sprawie administrator wskazał, że przed zawarciem umowy powierzenia przetwarzania danych nie przeprowadził weryfikacji podmiotu przetwarzającego, bowiem współpracuje z nim od wielu lat i dotychczas nie dochodziło do incydentów bezpieczeństwa. Dodatkowo, jak wskazał administrator, podmiot przetwarzający jest liderem rynkowym w dziedzinie świadczonych usług i reprezentuje wysoki standard w zakresie archiwizacji i digitalizacji. Administrator uznał wobec powyższego za wystarczające podpisanie umowy powierzenia przetwarzania danych osobowych wraz z ustaleniami wskazanymi w załączniku do tej umowy.

Organ wskazał także, że przed wszczęciem przedmiotowego postępowania administracyjnego administrator nie realizował również prawa kontroli, o którym mowa w art. 28 ust. 3 lit. h RODO, pod kątem zapewnienia przez podmiot przetwarzający środków wymaganych na mocy art. 32 RODO. Dopiero po stwierdzeniu naruszenia bezpieczeństwa danych osobowych i po wszczęciu powstępowania administracyjnego w przedmiotowej sprawie administrator wysłał do podmiotu przetwarzającego ankietę dla podmiotu przetwarzającego stanowiącą pierwszy element procesu weryfikacji podmiotów przetwarzających.

Zdaniem Prezesa Urzędu Ochrony Danych Osobowych skoro przetwarzanie ma być dokonywane w imieniu administratora, to zgodnie z brzmieniem art. 28 ust. 1 RODO, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Organ podkreślił, że długotrwała współpraca stron, niepoparta okresowym, systematycznym przeprowadzaniem audytów bądź inspekcji nie gwarantuje, iż podmiot przetwarzający zrealizuje w sposób prawidłowy zadania wymagane przepisami prawa oraz wynikające z zawartej umowy powierzenia. Dotychczasowa, pozytywnie oceniana, współpraca stanowić może jedynie punkt wyjścia przy dokonywaniu weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Wymóg określony art. 28 ust. 1 RODO bezwzględnie obowiązuje bowiem każdego administratora danych, który w ramach prowadzonej działalności korzysta z zasobów lub usług podmiotu przetwarzającego podczas przetwarzania danych osobowych. Organ podkreślił, że samo podpisanie umowy powierzenia przetwarzania danych osobowych bez dokonania odpowiedniej oceny podmiotu przetwarzającego nie może być uznane jako realizacja obowiązku przeprowadzenia postępowania weryfikującego podmiot przetwarzający pod kątem spełnienia przez niego wymogów RODO. Dodał także, że z obowiązku przeprowadzenia takiej oceny nie zwalnia również fakt wieloletniej współpracy i korzystania z usług danego podmiotu przetwarzającego przed 25 maja 2018 r., tj. przed rozpoczęciem stosowania RODO.

Biorąc powyższe pod uwagę organ wskazał, że w przedmiotowej sprawie administrator takiej weryfikacji nie przeprowadził, poprzestał jedynie na pozytywnej ocenie podmiotu przetwarzającego, będącej efektem dotychczasowej współpracy, podczas której, jak wyjaśnił, nie dochodziło do incydentów bezpieczeństwa. Konsekwencją braku dokonania tej oceny było zdaniem organu naruszenie przez administratora wymogu określonego w art. 28 ust. 1 RODO.

Mając na uwadze powyższe ustalenia. Prezes Urzędu Ochrony Danych Osobowych stwierdził, iż w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na administratora oraz podmiot przetwarzający administracyjnych kar pieniężnych.

Organ wyjaśnił, że w niniejszej sprawie administracyjna kara pieniężna wobec administratora nałożona została za naruszenie art. 25 ust. 1, art. 28 ust. 1, art. 32 ust. 1 i 2 RODO. Jako podstawę nałożenia administracyjnej kary pieniężnej w ww. zakresie organ podał art. 83 ust. 4 lit. a RODO. Natomiast za naruszenie art. 5 ust. 1 lit. f RODO, administracyjną karę pieniężna wymierzono administratorowi na podstawie art. 83 ust. 5 lit. a RODO. Jednocześnie organ wskazał, że kara w wysokości stanowiącej równowartość 1 080 tys. EU nałożona na administratora łącznie za naruszenie wszystkich powyższych przepisów - stosownie do przepisu art. 83 ust. 3 RODO - nie przekracza wysokości kary za najpoważniejsze stwierdzone w niniejszej sprawie naruszenie, tj. naruszenie art. 5 ust. 1 lit. f RODO, które stosownie do art. 83 ust. 5 lit. a RODO podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Z kolei administracyjna kara pieniężna nałożona na podmiot przetwarzający za naruszenie art. 32 ust. 1 i 2 RODO została wymierzona, jak wskazał organ, na podstawie art. 83 ust. 4 lit. a RODO.

Organ wyjaśnił, że decydując o nałożeniu na administratora administracyjnej kary pieniężnej, uwzględnił zarówno okoliczności obciążające i mające wpływ na wymiar nałożonej kary finansowej, jak i okoliczność łagodzące.

Jako przesłanki obciążające organ wskazał:

1. charakter i wagę naruszenia (art. 83 ust. 2 lit. RODO) i wyjaśnił, że przy wymierzaniu kary istotne znaczenie miała okoliczność, że naruszenie przepisów RODO, nakładających na administratora obowiązki w zakresie zastosowania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych, miało wpływ na naruszenie poufności ponad 95 tys. klientów administratora. W ocenie organu stwierdzone w niniejszej sprawie naruszenie ochrony danych osobowych, polegające na umożliwieniu osobom nieuprawnionym dostępu do danych osobowych, ma znaczną wagę i poważny charakter, ponieważ może doprowadzić do szkód majątkowych lub niemajątkowych dla osoby, której dane zostały naruszone, a prawdopodobieństwo ich wystąpienia jest wysokie. Ponadto, organ wziął pod uwagę ryzyko wynikające z szerokiego zakresu danych objętych naruszeniem, dużej liczby podmiotów danych, a także dużą skalę i profesjonalny charakter przetwarzania danych. Podkreślił, że w stosunku do osób, których dane zostały naruszone w dalszym ciągu istnieje wysokie ryzyko niezgodnego z prawem posłużenia się ich danymi osobowymi, albowiem nieznany jest cel, dla którego osoby nieuprawnione podjęły działania skutkujące wystąpieniem przedmiotowego naruszenia ochrony danych osobowych. Osoby, których dane dotyczą, mogą więc w dalszym ciągu doznać szkody majątkowej, a już samo naruszenie poufności danych stanowi również szkodę niemajątkową (krzywdę). Podmiot danych może bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową;

2. stopień odpowiedzialności administratora z uwzględnieniem wdrożonych środków technicznych i organizacyjnych (art. 83 ust. 2 lit. d RODO) i wyjaśnił, że administrator pomimo zawartej umowy z podmiotem przetwarzającym, przyjęcia odpowiednich wewnętrznych regulacji oraz wiedzy w zakresie sposobu realizacji zmian w systemach informatycznych, nie realizował swoich obowiązków w zakresie nadzoru nad podmiotem przetwarzającym w trakcie realizacji zmian w systemie informatycznym wykorzystywanym do przetwarzania danych osobowych, co w konsekwencji prowadziło do swobody w działaniu przez podmiot przetwarzający, tj. dokonywania wdrożenia zmian w systemie informatycznym bez uprzedniego odpowiedniego przetestowania zastosowanych zabezpieczeń oraz zasilenia rzeczywistymi danymi osobowymi klientów administratora dodatkowej bazy danych, w fazie testowej wdrażanego rozwiązania. Brak jakiegokolwiek nadzoru nad procesem wdrażania zmian w systemie informatycznym, w którym przetwarzane były dane osobowe, skutkuje wysokim stopniem odpowiedzialności administratora za naruszenie poufności danych osobowych;

3. stosowne wcześniejsze naruszenia przepisów RODO (art. 83 ust. 2 lit. e RODO) i wskazał, że stwierdzono wcześniejsze naruszenia przepisów RODO przez administratora w zakresie art. 6 RODO, (sygn. sprawy: DS.523.3241.2020; data wydania decyzji: 30 grudnia 2020 r., sygn. sprawy: DS.523.3072.2020; data wydania decyzji: 30 grudnia 2020 r., sygn. sprawy: DS.523.3067.2020; data wydania decyzji: 30 grudnia 2020 r., sygn. sprawy: DS.523.3144.2020; data wydania decyzji: 30 grudnia 2020 r., sygn. sprawy: DS.523.3331.2020; data wydania decyzji: 30 grudnia 2020 r., sygn. sprawy: DS.523.3626.2020; data wydania decyzji: 31 grudnia 2020 r., sygn. sprawy: DS.523.3208.2020; data wydania decyzji: 28 grudnia 2020 r. ) - w tych przypadkach Prezes Urzędu Ochrony Danych Osobowych udzielił administratorowi upomnienia. Organ wyjaśnił, że w Wytycznych WP253 Grupa Robocza Art. 29 wskazuje, iż to kryterium ma na celu ocenę dotychczasowego przebiegu działalności podmiotu dopuszczającego się naruszenia, w związku z czym "Organy nadzorcze powinny wziąć pod uwagę fakt, że zakres takiej oceny może być dość szeroki, gdyż każdy rodzaj naruszenia rozporządzenia, nawet jeśli jest inny niż ten, który jest obecnie badany przez organ nadzorczy, może być "istotny" dla oceny, ponieważ mógłby wskazywać na ogólny poziom niewystarczającej wiedzy lub lekceważenie zasad ochrony danych";

4. kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g RODO) i wyjaśnił, że kategorie danych osobowych, których dotyczyło naruszenie, podkreślając w szczególności, że dane osobowe, do których dostęp uzyskała nieznana i nieuprawniona osoba trzecia, nie należą wprawdzie do szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO, jednakże ich szeroki zakres, tj. imię i nazwisko, adres zamieszkania lub pobytu, nr PESEL, rodzaj, seria i numer dokumentu tożsamości, adres e-mail, numer telefonu oraz numer i adres punktu poboru oraz dane dotyczące umowy (np. data i nr umowy, rodzaj paliwa, nr licznika) wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem. Zdaniem Prezesa UODO nieuprawnione ujawnienie takiej kategorii danych jak nr PESEL (w połączeniu z imieniem i nazwiskiem), może realnie i negatywnie wpływać na ochronę praw lub wolności osób fizycznych. Nr PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający datę urodzenia, numer porządkowy, oznaczenie płci oraz liczbę kontrolną, a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 RODO, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga.

Natomiast jako okoliczności łagodzące Prezes Urzędu Ochrony Danych Osobowych uwzględnił:

1. czas trwania naruszenia (art. 83 ust. 2 lit. a RODO) i wskazał, że nowoutworzona baza zasilona rzeczywistymi danymi klientów F. pozostawała niezabezpieczona przed dostępem osób nieuprawnionych od 12 do 16 kwietnia 2020 r., tj. przez 5 dni;

2. nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b RODO) i podkreślił, że nie stwierdził w niniejszej sprawie celowych działań administratora prowadzących do stanu naruszenia przepisów RODO;

3. działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c RODO) i wyjaśnił, że bezpośrednio po ujawnieniu naruszenia ochrony danych osobowych, jeszcze przed wszczęciem postępowania administracyjnego, F. podjął czynności, w wyniku których szybko ustalono powód wystąpienia naruszenia i zabezpieczono dane przed kolejnymi naruszeniami, tj. przed pobraniem ich przez kolejne nieuprawnione podmioty. W decyzji jako okoliczność obciążającą wskazano, że osoby, których dane dotyczą, mogą w dalszym ciągu doznać szkody majątkowej, a już samo naruszenie poufności danych stanowi również szkodę niemajątkową (krzywdę), jednak podjęcie szybkich działań mających na celu zabezpieczenie danych przed pobraniem ich przez inne nieuprawnione podmioty organ ocenił jako okoliczność łagodzącą, ponieważ zawężenie kręgu podmiotów mogących w sposób nieuprawniony pobrać dane klientów administratora to działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;

4. stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f RODO) i wyjaśnił, że w toku postępowania administrator skierował do osób, których dane dotyczą, zawiadomienia o naruszeniu ich danych osobowych, zawierające wszystkie wymagane zgodnie z art. 34 ust. 2 RODO informacje;

5. wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k RODO), organ nie stwierdził w toku niniejszego postępowania, że administrator, dopuszczając się naruszenia podlegającego karze, osiągnął jakiekolwiek korzyści finansowe lub uniknął jakichkolwiek strat finansowych. W toku postępowania administrator przedstawił szerokie wyjaśnienia dokładnie wskazujące, na jakim etapie procesu wdrażania zmian w systemie informatycznym doszło do błędu, w wyniku którego nastąpiło naruszenie ochrony danych osobowych.

Jednocześnie Prezes Urzędu Ochrony Danych Osobowych stwierdził, że na zastosowanie wobec administratora w niniejszej sprawie sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały wpływu inne, wskazane w art. 83 ust. 2 RODO okoliczności, tj.:

1. sposób w jaki organ dowiedział się o naruszeniu (art. 83 ust 2 lit. h RODO) wskazując, że stwierdził naruszenie w wyniku zgłoszenia naruszenia ochrony danych osobowych dokonanego przez administratora, jednakże w związku z tym, że administrator dokonując tego zgłoszenia realizował jedynie ciążący na nim obowiązek prawny, brak jest w ocenie organu podstaw do uznania, że okoliczność ta stanowi dla niego okoliczność łagodzącą;

2. przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 RODO (zgodnie z art. 83 ust. 2 lit. i RODO) wskazując, że w niniejszej sprawie nie zastosowano wcześniej wobec administratora środków, o których mowa w art. 58 ust. 2 RODO;

3. stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 RODO lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 RODO (zgodnie z art. 83 ust. 2 lit. j RODO) wskazując, że administrator nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach RODO.

Natomiast decydując o nałożeniu na podmiot przetwarzający administracyjnej kary pieniężnej organ wziął pod uwagę następujące okoliczności obciążające i mające wpływ na wymiar nałożonej kary finansowej:

1. charakter i waga naruszenia ( art. 83 ust. 2 lit. a RODO) podkreślając w szczególności, że naruszenie przepisów RODO, nakładających na podmiot przetwarzający obowiązki w zakresie zastosowania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzanym danym osobowym, miało wpływ na naruszenie poufności danych ponad 95 tys. klientów administratora. Organ zaznaczył, że naruszenie wynikało z niezastosowania przez podmiot przetwarzający podstawowych zasad bezpieczeństwa polegających na niezabezpieczeniu danych osobowych przed dostępem osób nieuprawnionych. Podmiot przetwarzający świadcząc profesjonalne usługi m.in. w zakresie dostarczania systemów informatycznych oraz posiadając odpowiednią wiedzę w tym zakresie nie zastosował zasad bezpieczeństwa, zasilając rzeczywistymi danymi klientów administratora niezabezpieczoną przed dostępem osób nieuprawnionych bazę danych. W ocenie organu stwierdzone w niniejszej sprawie naruszenie ochrony danych osobowych, polegające na umożliwieniu osobom nieuprawnionym dostępu do danych osobowych, w wyniku czego doszło do pobrania bazy danych klientów adnministratora ma znaczną wagę i poważny charakter, ponieważ może doprowadzić do szkód majątkowych lub niemajątkowych dla osoby, której dane zostały naruszone, a prawdopodobieństwo ich wystąpienia jest wysokie. Ponadto organ zwrócił uwagę na ryzyko wynikające z szerokiego zakresu danych objętych naruszeniem, dużej liczby podmiotów danych, a także dużą skalę i profesjonalny charakter przetwarzania danych. Podkreślił, że w stosunku do osób, których dane zostały naruszone w dalszym ciągu istnieje wysokie ryzyko niezgodnego z prawem posłużenia się ich danymi osobowymi, albowiem nieznany jest cel, dla którego osoby nieuprawnione podjęły działania skutkujące wystąpieniem przedmiotowego naruszenia ochrony danych osobowych. Osoby, których dane dotyczą, mogą więc w dalszym ciągu doznać szkody majątkowej, a już samo naruszenie poufności danych stanowi również szkodę niemajątkową (krzywdę). Podmiot danych może bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową;

2. stopień odpowiedzialności z uwzględnieniem wdrożonych środków technicznych i organizacyjnych (art. 83 ust. 2 lit. d RODO) podkreślając w szczególności, że podmiot przetwarzający pomimo przyjęcia odpowiednich wewnętrznych regulacji, nie realizował swoich obowiązków w zakresie wdrażania zmian w systemach informatycznych, co w konsekwencji doprowadziło do dokonywania wdrożenia zmian w systemie informatycznym bez uprzedniego przetestowania zastosowanych zabezpieczeń, zasilenia rzeczywistymi danymi osobowymi klientów administratora dodatkowej bazy danych, w fazie testowej wdrażanego rozwiązania. Zdaniem organu podmiot przetwarzający ponosi bezpośrednią odpowiedzialność za naruszenie, a tak rażące zaniedbanie w procesie przetwarzania danych osobowych, w przypadku profesjonalnego podmiotu, musi stanowić okoliczność obciążającą;

3. kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g RODO) podkreślając w szczególności, że dane osobowe, do których dostęp uzyskała nieznana i nieuprawniona osoba trzecia, nie należą wprawdzie do szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO, jednakże ich szeroki zakres tj. imię i nazwisko, adres zamieszkania lub pobytu, nr PESEL, rodzaj, seria i numer dokumentu tożsamości, adres e-mail, numer telefonu oraz numer i adres punktu poboru oraz dane dotyczące umowy (np. data i nr umowy, rodzaj paliwa, nr licznika) wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem.

Ustalając wysokość administracyjnej kary pieniężnej nałożonej na podmiot przetwarzający, Prezes Urzędu Ochrony Danych Osobowych jako przesłanki łagodzące uwzględnił:

1. czas trwania naruszenia (art. 83 ust. 2 lit. a RODO) wskazując, że z informacji uzyskanych przez organ nadzorczy w toku prowadzonego postępowania administracyjnego wynika, że nowoutworzona baza zasilana rzeczywistymi danymi klientów pozostawała niezabezpieczona przed dostępem osób nieuprawnionych od 12 do 16 kwietnia 2020 r., tj. przez 5 dni;

2. nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b RODO) wskazując, że nie stwierdził w niniejszej sprawie celowych działań podmiotu przetwarzającego prowadzących do stanu naruszenia przepisów RODO;

3. działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c RODO) wskazując, że w niniejszej sprawie administrator nie stwierdził powstania szkód materialnych po stronie osób dotkniętych naruszeniem i że bezpośrednio po ujawnieniu naruszenia ochrony danych osobowych, jeszcze przed wszczęciem postępowania administracyjnego, podmiot przetwarzający podjął czynności, w wyniku których szybko ustalono powód wystąpienia naruszenia i zabezpieczono dane przed kolejnymi naruszeniami tj. przed pobraniem ich przez kolejne nieuprawnione podmioty. W decyzji jako okoliczność obciążającą wskazano, że osoby, których dane dotyczą, mogą w dalszym ciągu doznać szkody majątkowej, a już samo naruszenie poufności danych stanowi również szkodę niemajątkową (krzywdę), jednak podjęcie szybkich działań mających na celu zabezpieczenie danych przed pobraniem ich przez inne nieuprawnione podmioty należało ocenić jako okoliczność łagodzącą, ponieważ w ocenie organu zawężenie kręgu podmiotów mogących w sposób nieuprawniony pobrać dane klientów administratora należy uznać jako działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;

4. stosowane wcześniejsze naruszenia przepisów RODO (art. 83 ust. 2 lit. e RODO) wskazując, że nie stwierdzono wobec podmiotu przetwarzającego stosownych wcześniejszych naruszeń RODO;

5. wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k RODO) wskazując, że nie stwierdził w toku niniejszego postępowania, że dopuszczając się naruszenia podlegającego karze podmiot przetwarzający osiągnął jakiekolwiek korzyści finansowe lub uniknął jakichkolwiek strat finansowych. Ponadto, bezpośrednio po ujawnieniu naruszenia ochrony danych osobowych podmiot przetwarzający podjął czynności, w wyniku których szybko ustalono powód wystąpienia naruszenia i zabezpieczono dane przed kolejnymi naruszeniami. W toku postępowania podmiot przetwarzający przedstawił szerokie wyjaśnienia dokładnie wskazujące, na jakim etapie procesu wdrażania zmian w systemie informatycznym doszło do błędu, w wyniku którego nastąpiło naruszenie ochrony danych osobowych.

Jednocześnie Prezes Urzędu Ochrony Danych Osobowych wyjaśnił, że na zastosowanie administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały wpływu inne, wskazane w art. 83 ust. 2 RODO, okoliczności, tj.:

1. stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f RODO) wskazując, że w toku postępowania podmiot przetwarzający nie podejmował dodatkowych czynności w związku z wystąpieniami organu. Natomiast przed wszczęciem postępowania podjęte zostały przez podmiot przetwarzający samodzielne, spontaniczne działania mające na celu usunięcie naruszenia. Działania te miały jednakże charakter autonomiczny; organ nie może ich potraktować jako podjęte we współpracy z organem nadzorczym i nie może ocenić w związku z tym "stopnia" tej współpracy. Działania te zostały jednak uwzględnione powyżej jako okoliczność łagodząca określona w art. 83 ust. 2 lit. c RODO;

2. sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h RODO) wskazując, że stwierdził naruszenie w wyniku zgłoszenia naruszenia ochrony danych osobowych dokonanego przez administrators. Jednakże F. dokonując tego zgłoszenia realizował jedynie ciążący na nim obowiązek prawny, brak jest podstaw do uznania, że okoliczność ta stanowi okoliczność łagodzącą dla podmiotu przetwarzającego;

3. przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 RODO (art. 83 ust. 2 lit. i RODO) wskazując, że w niniejszej sprawie nie zastosowano wcześniej wobec podmiotu przetwarzającego środków, o których mowa w art. 58 ust. 2 RODO;

4. stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 RODO lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 RODO (art. 83 ust. 2 lit. j RODO) wskazując, że podmiot przetwarzający nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach RODO.

Organ uwzględniając wszystkie wskazane powyżej okoliczności uznał, że nałożenie administracyjnej kary pieniężnej zarówno na administratora, jak i na podmiot przetwarzający jest konieczne i uzasadnione wagą oraz charakterem i zakresem zarzucanych tym podmiotom naruszeń przepisów RODO. W ocenie organu zastosowanie wobec tych podmiotów jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 RODO, w szczególności zaś poprzestanie na upomnieniu, nie byłoby proporcjonalne wobec stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że ww. podmiotu w przyszłości nie dopuszczą do podobnych, co w niniejszej sprawie, zaniedbań.

W ocenie organu nałożona na administratora kara pieniężna w wysokości 4 911 732 zł, co stanowi równowartość 1 080000 euro (średni kurs euro z 28 stycznia 2021 r.) spełnia w okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 RODO, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

Organ dodał, że w toku postępowania administrator przedstawił sprawozdanie finansowe za 2020 rok, zgodnie z którym jego przychody netto ze sprzedaży wyniosły [...] zł, co stanowi równowartość [...] euro według średniego kursu euro z 28 stycznia 2021 r. W związku z powyższym w ocenie organu orzeczona administracyjna kara pieniężna nie będzie dla administratora nadmiernie dotkliwa, bowiem stanowi jedynie [...] % jego obrotu osiągniętego w 2020 roku.

Zdaniem organu również administracyjna kara pieniężna wymierzona podmiotowi przetwarzającemu jest proporcjonalna, skuteczna i odstraszająca. Tu organ wskazał, że ze sprawozdania finansowego podmiotu przetwarzającego za 2020 rok wynika, że jego przychody netto ze sprzedaży wyniosły w tym roku obrotowym [...] zł, co stanowi równowartość [...] euro według średniego kursu euro z 28 stycznia 2021 r., co także świadczy w ocenie organu o tym, że orzeczona wobec podmiotu przetwarzającego kara pieniężna nie będzie dla tej spółki nadmiernie dotkliwa. Stanowi bowiem jedynie [...] % obrotu osiągniętego przed podmiot przetwarzający w 2020 roku oraz [...] % maksymalnie możliwej do nałożenia kary.

Organ wskazał, że kara orzeczona wobec podmiotu przetwarzającego może być bardziej dolegliwa niż kara nałożona w niniejszej sprawie na administratora, niemniej jego zdaniem jest to uzasadnione okolicznością, że to działanie podmiotu przetwarzającego cechuje się rażącym zaniedbaniem swoich obowiązków i obowiązujących standardów, co bezpośrednio doprowadziło do naruszenia ochrony danych osobowych, a w konsekwencji do naruszenia ich poufności.

Podsumowując powyższe organ wskazał, że obie orzeczone w niniejszej sprawie administracyjne kary pieniężne spełniają w świetle całokształtu indywidualnych okoliczności sprawy przesłanki (funkcje kar), o których mowa w art. 83 ust. 1 RODO, ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad RODO.

Jednocześnie na podstawie zgromadzonego w toku postępowania materiału dowodowego organ stwierdził, że nie doszło do naruszenia pozostałych, stanowiących przedmiot niniejszego postępowania przepisów RODO. Ponadto, wyjaśnił, że w zakresie możliwości naruszenia art. 34 ust. 1 RODO postępowanie stało się bezprzedmiotowe ze względu na to, że administrator w toku postępowania skierował do osób, których dane dotyczą, zawiadomienia o naruszeniu ich danych osobowych, zawierające wszystkie wymagane zgodnie z art. 34 ust. 2 RODO informacje.

W piśmie z dnia 21 lutego 2022 r. podmiot przetwarzający wywiódł do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na punkt 2 powyższej decyzji Prezesa Urzędu Ochrony Danych Osobowych i wnosząc o jej uchylenie w zaskarżonym zakresie i przekazanie sprawy do ponownego rozpoznania oraz o zasądzenie od organu na rzecz podmiotu przetwarzającego kosztów postępowania, w tym kosztów zastępstwa procesowego, według norm przepisanych, zarzucił organowi naruszenie:

1. art. 83 ust. 1 i ust. 2 RODO, poprzez niewłaściwą wykładnię i niewłaściwe zastosowanie polegające na niedocenieniu przy wymierzeniu kary pieniężnej okoliczności łagodzących i przecenieniu okoliczności obciążających;

2. art. 83 ust. 1 i ust. 2 i art. 83 ust. 4 lit. a RODO, poprzez niewłaściwą wykładnię i niewłaściwe zastosowanie polegające na niedostatecznej indywidualizacji wymiaru kary pieniężnej i nieodstąpienie od jej wymierzenia;

3. art. 83 ust 1 i ust. 2 i art. 83 ust. 4 lit. a RODO, poprzez niewłaściwą wykładnię i niewłaściwe zastosowanie polegające na wymierzeniu podmiotowi przetwarzającemu kary pieniężnej w kwocie 250 135 zł, co jest kwotą rażąco wygórowaną, zamiast odstąpienia od jej wymierzenia;

4. art. 83 ust. 1 i ust. 2 oraz art. 83 ust. 4 lit. a RODO, poprzez niewłaściwą wykładnię i niewłaściwe zastosowanie polegające na wymierzenie podmiotowi przetwarzającemu kary pieniężnej w wysokości 250 135 zł, poprzez niewzięcie pod uwagę, że do wypłynięcia danych doszło wskutek działań przestępczych osoby trzeciej i że podmiot przetwarzający jest w istocie podmiotem pokrzywdzonym przestępstwem.

Z kolei pismem z dnia 23 lutego 2022 r. skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie na punkt 1 powyższej decyzji Prezesa Urzędu Ochrony Danych Osobowych wywiódł administrator i wnosząc o uchylenie decyzji w zaskarżonej części oraz zasądzenie od organu na rzecz administratora kosztów postępowania, w tym kosztów zastępstwa prawnego, według norm przepisanych oraz o przeprowadzenie dowodów uzupełniających z dokumentów wskazanych w skardze na okoliczność m.in. charakteru i wagi naruszenia oraz braku negatywnych skutków dla osób fizycznych, których dotyczy naruszenie, zarzucił organowi:

I. naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj.:

1. art. 6, art. 7, art. 8 § 1 i 2, art. 77 § 1, art. 80 oraz art. 107 § 3 Kodeksu postępowania administracyjnego w związku z art. 7 ust. 1 ustawy o ochronie danych osobowych, polegające na niezastosowaniu zasad ogólnych postępowania administracyjnego: praworządności, prawdy obiektywnej i pogłębiania zaufania do władzy publicznej oraz przekroczeniu granic swobodnej oceny dowodów, a w konsekwencji:

a) błędne przyjęcie przez Prezesa Urzędu Ochrony Danych Osobowych, że administrator nie prowadził nadzoru nad zmianami w systemie informatycznym elektronicznego archiwum oraz że "ważniejsze było dla niego jak najszybsze zwiększenie wydajności systemu F., niż zapewnienie odpowiedniego poziomu bezpieczeństwa danych osobowych przetwarzanych przy użyciu tego sytemu", podczas gdy administrator zgłosił do podmiotu przetwarzającego potrzebę wprowadzenia prostego usprawnienia informatycznego (w związku z powolnym działaniem archiwum cyfrowego), które nie wymagało operacji na danych osobowych; podmiot przetwarzający nie informował administratora o sposobie realizacji otrzymanego zlecenia (w tym nie informował o potrzebie dokonania w ramach zlecenia operacji na danych osobowych), a następnie jednostronnie i bez uzgodnienia z administratorem implementował określone modyfikacje, używając przy tym prawdziwych danych osobowych, zamiast danych testowych;

b) błędne przyjęcie przez organ, że w przedmiotowej sprawie doszło do "wycieku danych", podczas gdy w rozpatrywanej sprawie pojawiła się jedynie krótkotrwała możliwość uzyskania dostępu do danych osobowych przez osoby nieuprawnione;

c) błędne przyjęcie przez organ, że nieznany jest cel, dla którego osoby nieuprawnione podjęły działania skutkujące wystąpieniem naruszenia ochrony danych osobowych, podczas gdy dostęp do danych miała osoba zajmująca się wykrywaniem i zgłaszaniem do zagrożonych firm potencjalnych wycieków dotyczących danych osobowych, która poinformowała administratora o podatności bazy danych w ramach tzw. "odpowiedzialnego ujawnienia";

d) nieprawidłowe ustalenie faktów, w zakresie, w jakim mowa o rezygnacji przez administratora z powiadomienia osób, których dane zostały objęte naruszeniem na podstawie art. 34 RODO, podczas gdy administrator podjął z własnej inicjatywy i prowadziła stosowną komunikacje już od dnia 21 kwietnia 2020 r. - na swojej stronie internetowej, drogą telefoniczną oraz pocztą elektroniczną i tradycyjną;

e) odstąpienie przez organ od utrwalonej praktyki rozstrzygania spraw w zbliżonym stanie faktycznym i tożsamym stanie prawnym, poprzez orzeczenie nieproporcjonalnie wysokiej i dotkliwej kary pieniężnej;

2. art. 7, art. 77 § 1, art. 80 oraz art. 107 § 3 Kodeksu postępowania administracyjnego polegające - w odniesieniu do spełnienia przez administratora wymogów administratora w zakresie ochrony i bezpieczeństwa danych osobowych - na braku wszechstronnej oraz merytorycznej oceny zgromadzonego materiału dowodowego, przede wszystkim w zakresie okoliczności mających wpływ na spełnienie przez administratora przesłanki z art. 24 ust. 1 RODO oraz z art. 32 ust. 1 RODO, podczas gdy ocena materiału dowodowego spełniająca wymogi art. 80 Kodeksu postępowania administracyjnego powinna doprowadzić organ do ustalenia, że administrator należycie wdrożył środki techniczne i organizacyjne służące ochronie przetwarzanych danych osobowych;

3. art. 7, art. 77 § 1, art. 80 oraz art. 107 § 3 Kodeksu postępowania administracyjnego polegające na niedostatecznie dokładnym wyjaśnieniu stanu faktycznego sprawy oraz wadliwej ocenie zebranego w sprawie materiału dowodowego poprzez bezzasadne przyjęcie, że:

a) administrator nie przeprowadził należytej weryfikacji podmiotu przetwarzającego, podczas gdy administratora i podmiot przetwarzający łączyła wieloletnia bezproblemowa współpraca, podmiot przetwarzający posiada renomę i ugruntowaną pozycję na rynku, strony łączyła umowa precyzyjnie określająca procedurę wprowadzania zmian w systemie elektronicznego archiwum oraz umowa powierzenia przetwarzania spełniająca wymogi RODO, a podmiot przetwarzający przyjął dokumenty i polityki w zakresie bezpieczeństwa informacji i ochrony danych osobowych;

b) nieprzeprowadzenie przez administratora audytów lub inspekcji przyczyniło się do wystąpienia naruszenia ochrony danych osobowych, podczas gdy do naruszenia doszło poprzez błąd należycie wykwalifikowanego pracownika podmiotu przetwarzającego, czyli błąd jednostkowy, który nastąpiłby niezależnie od przeprowadzania audytów czy inspekcji;

II. naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj.:

1. art. 5 ust. 1 lit. f oraz art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 w związku z art. 5 ust. 1 lit. f RODO poprzez ich błędną wykładnię – polegającą na przypisaniu obowiązków wynikających z tych przepisów administratorowi, podczas gdy w przypadku powierzenia przetwarzania danych osobowych, obowiązki wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia ochrony i bezpieczeństwa danych, odpowiadających ryzyku naruszenia praw lub wolności osób fizycznych, spoczywają na podmiocie przetwarzającym, zawodowo zajmującym się świadczeniem usług danego rodzaju - skutkującą nieuzasadnionym przyjęciem:

a) że to administrator odpowiadał za zastosowanie środków technicznych w procesie implementacji rozwiązań informatycznych, których nieprawidłowe uruchomienie doprowadziło do naruszenia ochrony danych, podczas gdy odpowiedzialność w tym zakresie ciąży wyłącznie na podmiocie przetwarzającym

b) istnienia związku przyczynowego pomiędzy błędem pracownika podmiotu przetwarzającego będącym przyczyną naruszenia, a zarzucanym administratorowi naruszeniem obowiązków administratora wynikających z RODO, podczas gdy taki związek nie istnieje;

2. art. 28 ust. 1 w związku z art. 5 ust. 1 lit. f RODO poprzez błędną wykładnię wymogów co do sposobu realizacji obowiązku korzystania wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą, skutkującą nieuzasadnionym przyjęciem, że jedynym właściwym sposobem realizacji tych wymogów jest przeprowadzenie w podmiocie przetwarzającym audytów i inspekcji, podczas gdy z przepisów RODO nie wynika konieczność przeprowadzenia zorganizowanego postępowania weryfikacyjnego podmiotu przetwarzającego, a wystarczające gwarancje, o których mowa w art. 28 ust. 1 RODO mogą wynikać m.in. z wieloletniej harmonijnej współpracy, która nie była naznaczona jakimikolwiek incydentami bezpieczeństwa;

3. art. 28 ust. 3 lit. c i f RODO poprzez ich niezastosowanie, skutkujące nieuwzględnieniem, że obowiązek ustanowienia odpowiednich zabezpieczeń danych osobowych jest samodzielnym obowiązkiem podmiotu przetwarzającego, a także, że podmiot przetwarzający - uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36 RODO, czego podmiot przetwarzający w niniejszej sprawie nie uczynił;

4. art. 83 ust. 1 RODO poprzez błędną wykładnię pojęcia "proporcjonalności kary", skutkującą przyjęciem, że kara skuteczna i odstraszająca jest jednocześnie proporcjonalna, podczas gdy nałożona na administratora kara - przez to, że nie jest karą niezbędną, odpowiednią, współmierną, a także przekracza próg dolegliwości - nie może być uznana za karę proporcjonalną;

5. art. 83 ust. 2 lit. a, d, e, g RODO poprzez ich niezastosowanie i jedynie pozorne wzięcie pod uwagę okoliczności łagodzących wymienionych w decyzji, bez rzeczywistej oceny ich wpływu na wysokość kary nałożonej na administratora;

6. art. 83 ust. 4 lit. a i art. 83 ust. 5 lit. a oraz art. 83 ust. 8 RODO, poprzez ich niewłaściwe zastosowanie, skutkujące ustaleniem wysokości administracyjnej kary pieniężnej w sposób całkowicie arbitralny i niemożliwy do weryfikacji w postępowaniu sądowoadministracyjnym, a tym samym pozbawienie administratora "skutecznego sądowego środka ochrony prawnej" w rozumieniu art. 83 ust. 8 RODO;

7. art. 83 ust. 3 w związku z art. 83 ust. 1 i 2 oraz art. 83 ust. 4 lit. a i art. 83 ust. 5 lit. a RODO poprzez ich błędną wykładnię i niewłaściwe zastosowanie, a to:

a) ustalenie "najpoważniejszego naruszenia" w rozumieniu art. 83 ust. 3 RODO wyłącznie w oparciu o porównanie określonych w przepisach prawa maksymalnych poziomów administracyjnych kar pieniężnych za dane naruszenie (art. 83 ust. 4 lit. a i art. 84 ust. 5 lit. a RODO), bez uwzględnienia okoliczności "każdego indywidualnego przypadku" w rozumieniu art. 83 ust. 1 i ust. 2 RODO;

b) ustalenie "całkowitej wysokości administracyjnej kary pieniężnej" w odniesieniu do administratora bez ustalenia wysokości kar pieniężnych za każde stwierdzone w decyzji naruszenie.

Powyższa skarga została zarejestrowana w Wojewódzkim Sądzie Administracyjnym w Warszawie pod sygn. akt II SA/Wa 568/22.

W odpowiedziach na skargi Prezes Urzędu Ochrony Danych Osobowych wniósł o ich oddalenie w całości podtrzymując stanowisko wyrażone w zaskarżonej decyzji.

Sąd I instancji, na podstawie art. 111 § 2 ustawy Prawo o postępowaniu przed sądami administracyjnymi zarządził połączenie do wspólnego rozpoznania i rozstrzygnięcia spraw o sygn. akt II SA/Wa 567/22 i II SA/Wa 568/22 i prowadzenie dalej postępowania pod sygnaturą akt II SA/Wa 567/22.

Wojewódzki Sąd Administracyjny w Warszawie, po rozpoznaniu skarg podmiotu przetwarzającego oraz administratora na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 19 stycznia 2022 r., nr DKN.5130.2215.2020 w przedmiocie przetwarzania danych osobowych, w punkcie 1 wyroku z dnia 10 października 2022 r., sygn. akt II SA/Wa 567/22 uchylił zaskarżoną decyzję, w punkcie 2 zasądził od organu na rzecz podmiotu przetwarzającego kwotę 680 złotych tytułem zwrotu kosztów postępowania, w punkcie 3 zasądził od organu na rzecz administratora kwotę 680 złotych tytułem zwrotu kosztów postępowania.

W uzasadnieniu wyroku Sąd I instancji stwierdził, że zaskarżona decyzja podlega uchyleniu, albowiem organ nie wyjaśnił wszystkich istotnych dla prawidłowego rozstrzygnięcia okoliczności, co miało wpływ na wynik sprawy.

W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie uzasadnienie zaskarżonej w sprawie decyzji (mimo jego objętości) nie odpowiada wymaganiom określonym w art. 107 § 3 Kodeksu postępowania administracyjnego. Sąd I instancji wskazał, że przede wszystkim nie wynika z niego to, aby organ ustalił w ogóle stan faktyczny sprawy. Prezes Urzędu Ochrony Danych Osobowych konstruując uzasadnienie decyzji, ograniczył się bowiem w ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie wyłącznie do przywołania oświadczeń stron, złożonych w trakcie trwania postępowania administracyjnego (i to oświadczeń nie zawsze zbieżnych ze sobą). Nie dokonał jednakże żadnej oceny wiarygodności owych oświadczeń. Pominął milczeniem to, w jakiej części (i którym wyjaśnieniom-której strony) dał wiarę. Nie sprecyzował też tego, jakim wyjaśnieniom i z jakich powodów odmówił wiarygodności.

Sąd I instancji uznał, że powyższych zaniechań nie konwaliduje fakt przywołania wszystkich wyjaśnień stron postępowania. Wyjaśnienia te, stanowią wyłącznie materiał dowodowy sprawy, który następnie powinien zostać poddany analizie przez organ. Z ocenionego przez organ materiału dowodowego sprawy, wyłonić dopiero powinien się stan faktyczny, jaki został przyjęty za podstawę rozstrzygnięcia.

Powyższe uchybienie organu, polegające na braku ustalenia stanu faktycznego sprawy powoduje zdaniem Wojewódzkiego Sądu Administracyjnego w Warszawie, iż został on pozbawiony możliwości oceny nie tylko poprawności analizy materiału dowodowego przez organ, ale również prawidłowości samego rozstrzygnięcia. Stąd wypowiadanie się na obecnym etapie postępowania w zakresie meritum sprawy, jawiło się w ocenie Sądu I instancji jako przedwczesne, a wręcz niemożliwe.

Wojewódzki Sąd Administracyjny w Warszawie dodał, że zarówno z uzasadnienia zaskarżonej decyzji, jak też z jej sentencji wynika, że zarzucane administratorowi, jak i podmiotowi przetwarzającemu przez organ naruszenia, stanowiące podstawę do nałożenia kary pieniężnej, zostały przypisane administratorowi w ramach współpracy z podmiotem przetwarzającym. W związku z powyższym Sąd I instancji zaznaczył, że - jak słusznie wskazuje administrator – podstawowym obowiązkiem organu było wyjaśnienie tego, czy administrator istotnie nie prowadził nadzoru nad zmianami w systemie informatycznym elektronicznego archiwum oraz czy w przedmiotowej sprawie doszło do "wycieku danych", czy też w rozpatrywanej sprawie pojawiła się jedynie krótkotrwała możliwość uzyskania dostępu do danych osobowych przez osoby nieuprawnione. Wojewódzki Sąd Administracyjny w Warszawie uznał, że takich ustaleń faktycznych w sprawie zabrakło. Sąd I instancji wskazał, że organ nie przeprowadził żadnych własnych badań skutków naruszenia, skupiając się jedynie na ocenie oświadczeń i dokumentacji administratora oraz podmiotu przetwarzającego. Wojewódzki Sąd Administracyjny w Warszawie uznał, że brak jest w sprawie jasnego i przekonującego wyjaśniania kwestii kompletności zgromadzonego w sprawie materiału dowodowego. Zdaniem Sądu I instancji z rozważań organu można wysnuć wniosek, że przyjął on, bez potwierdzających ocen w tym zakresie w ramach toczących się innych postępowań, w wyniku dokonania ekspertyz technicznych, czy nawet wobec przeczących temu raportów KPMG przedstawionych przez administratora, że do "wycieku danych" doszło. Powyższe oznacza w ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie, że organ nie zrealizował obowiązku ustalenia prawdy obiektywnej, wobec czego swym postępowaniem naruszył art. 7 Kodeksu postępowania administracyjnego.

Reasumując, Sąd I instancji wskazał, że niewykonanie wskazanych powyżej obowiązków stanowi naruszenie prawa procesowego w stopniu mającym istotny wpływ na wynik sprawy, a to z kolei skutkuje koniecznością uchylenia wadliwego w tym zakresie rozstrzygnięcia organu. Wojewódzki Sąd Administracyjny w Warszawie podkreślił, że jedynie przeprowadzenie postępowania w sposób odpowiadający wymogom określonym w powyższych przepisach, wyjaśnienie w sposób jasny przesłanek określonego sposobu rozpatrzenia twierdzeń strony skarżącej oraz prawidłowe sporządzenie uzasadnienia podjętego rozstrzygnięcia, w ramach którego organ odniesie się do całego zgromadzonego w sprawie materiału dowodowego, wskaże na fakty, które organ uznał za udowodnione, dowody, na których się oparł oraz przyczyny, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej – stanowi o możliwości kwalifikacji działania organu w postępowaniu administracyjnym jako opartego na przepisach prawa, praworządnego, przekonywującego i budzącego zaufanie uczestników postępowania do władzy publicznej. Sąd I instancji wskazał, że ponownie rozpoznając sprawę, organ będzie więc zobligowany do usunięcia powyższych braków.

Mając na uwadze powyższe Wojewódzki Sąd Administracyjny w Warszawie uznając że zaskarżona decyzja Prezesa Urzędu Ochrony Danych Osobowych wydana została z naruszeniem przepisów postępowania w stopniu mogącym mieć istotny wpływ na wynik sprawy, orzekł o jej uchyleniu. Sąd I instancji wskazał, że w ponownie prowadzonym postępowaniu organ uzupełni materiał dowodowy m.in. o ustalenia tego, co było technicznie możliwe do wykonania po stronie administratora danych, a także jak wyglądają standardy i praktyki w zakresie wykonywania zmian w systemach informatycznych i ustali czy administrator należycie wdrożył środki techniczne i organizacyjne służące ochronie przetwarzania danych osobowych, czy w przedmiotowej sprawie doszło do wycieku danych, czy nieprzeprowadzenie przez administratora audytów lub inspekcji przyczyniło się do wystąpienia naruszenia danych osobowych, a następnie zebrany materiał dowodowy podda analizie i ustali stan faktyczny sprawy. Po przeprowadzeniu wyczerpującego postępowania wyjaśniającego, organ dokona kwalifikacji ewentualnie stwierdzonych nieprawidłowości, według właściwego reżimu prawnego, co znajdzie wyraz w uzasadnieniu podjętego rozstrzygnięcia, sporządzonego zgodnie z wymogami określonymi w art. 107 § 3 Kodeksu postępowania administracyjnego, w którym wskaże w szczególności fakty, które uznał za udowodnione, konkretne dowody, na których się oparł wraz z ich oceną i omówieniem, oraz przyczyny, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej.

Skargę kasacyjną od powyższego wyroku wywiódł organ i zaskarżając ten wyrok w całości oraz wnosząc o uchylenie zaskarżonego orzeczenia w całości i rozpoznanie skargi, ewentualnie uchylenie zaskarżonego wyroku w całości i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie, rozpoznanie skargi kasacyjnej na rozprawie oraz zasądzenie kosztów postępowania sądowego według norm przepisanych, w tym kosztów zastępstwa procesowego, zaskarżonemu rozstrzygnięciu zarzucono:

1) naruszenie przepisów postępowania, tj. art. 145 § 1 pkt 1 lit. c ustawy Prawo o postępowaniu przed sądami administracyjnymi w związku z art. 7, art. 77 § 1 i art. 80 w związku z art. 8, art. 11 i art. 107 § 3 Kodeksu postępowania administracyjnego, wobec błędnego uznania, iż Prezes Urzędu Ochrony Danych Osobowych nie dokonał ustalenia stanu faktycznego sprawy, nie dokonał oceny wiarygodności oświadczeń stron, nie sprecyzował, jakim dowodom i z jakich powodów odmówił wiarygodności, podczas gdy uzasadnienie decyzji spełniało wymogi prawa, co miało wpływ na wynik postępowania;

2) naruszenie art. 5 ust. 2 RODO w związku z art. 5 ust. 1 lit. f, art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 oraz art. 32 ust. 1 i ust. 2 RODO, poprzez przeniesienie wyłącznie na organ obowiązku oceny przestrzegania zasad wyrażonych w ww. przepisach, a w konsekwencji naruszenie zasady rozliczalności.

W uzasadnieniu skargi kasacyjnej organ skarżący kasacyjnie podkreślił, że ustalając stan faktyczny rozpatrywanej sprawy opierał się na obszernym materiale dowodowym, zawierającym m. in. dokonane przez administratora zgłoszenie naruszenia ochrony danych osobowych, dokumenty przedstawione przez administratora w toku postępowania wyjaśniającego, jak również wyjaśnienia i dokumenty złożone przez administratora i podmiot przetwarzający w trakcie postępowania administracyjnego. W ocenie organu skarżącego kasacyjnie zebrany w sprawie materiał dowodowy był spójny i wyczerpujący. W treści uzasadnienia decyzji organ skarżący kasacyjnie wykazał z którymi wyjaśnieniami się nie zgadza oraz szczegółowo uzasadnił swoje stanowisko, które było odmienne od stanowisk stron.

Organ skarżący kasacyjnie wskazał, że wziął pod uwagę te oświadczenia stron, które były ze sobą zbieżne, wzajemnie się uzupełniały i były poparte odpowiednimi dowodami, zaś odmienne stanowisko organu co do składanych w toku postępowania wyjaśnień stron zostało szczegółowo przedstawione w treści decyzji. W ocenie organu skarżącego kasacyjnie zrozumiały jest fakt, że składane w toku postępowania przez strony oświadczenia nie zawsze będą ze sobą zbieżne, bowiem każda ze stron w takich postępowaniach stara się przedstawić swój punkt widzenia, aby zdjąć z siebie odpowiedzialność za naruszenie przepisów RODO. Organ skarżący kasacyjnie wskazał, że w toku postępowania, tam gdzie było to możliwe, pozyskał dodatkowy materiał dowodowy i na tej podstawie zweryfikował każde z oświadczeń złożonych przez strony i ustalił stan faktyczny sprawy. Analiza uzasadnienia decyzji nie pozostawia zresztą wątpliwości, że stan faktyczny sprawy został ustalony w sposób wyczerpujący, a każde oświadczenie stron postępowania zweryfikowane i ocenione. W ocenie organu skarżącego kasacyjnie z obrazu popartego dowodami, w tym wyjaśnieniami stron, wyłania się jasno określony stan faktyczny sprawy, który został przedstawiony w treści decyzji organu. Organ skarżący kasacyjnie podkreślił przy tym, że art. 107 Kodeksu postępowania administracyjnego nie precyzuje, w którym miejscu uzasadnienia organ ma przedstawić stan faktyczny. Uzasadnienie decyzji winno być sporządzone w taki sposób, by możliwym było poznanie toku rozumowania organu i kontrola prawidłowości rozstrzygnięcia.

Organ skarżący kasacyjnie podkreślił, że w toku postępowania ustalił, że doszło do naruszenia poufności danych, w wyniku wprowadzania zmian w systemie informatycznym przez podmiot przetwarzający, którego łączy z administratorem umowa powierzenia przetwarzania danych osobowych. Z treści decyzji jednoznacznie wynika również zakres odpowiedzialności zarówno administratora danych, jak i podmiotu przetwarzającego. Zdaniem organu skarżącego kasacyjnie, zarówno poczynione w toku postępowania ustalenia, jak i zgromadzony w sprawie materiał dowodowy, umożliwiają pełną kontrolę prawidłowości zaskarżonej decyzji. Ustalony w rozpoznawanej sprawie stan faktyczny znajduje odzwierciedlenie w zebranych w aktach sprawy dowodach, które zostały wskazane i omówione w uzasadnieniu zaskarżonej decyzji, a ocena ich wiarygodności nie nasuwa zastrzeżeń, ponieważ jako podstawę rozstrzygnięcia sprawy przyjęto wyjaśnienia administratora i podmiotu przetwarzającego, na potwierdzenie których przedstawione zostały, stanowiące akta sprawy, dodatkowe dowody. W treści decyzji organ skarżący kasacyjnie wskazał natomiast którym wyjaśnieniom stron odmówił wiarygodności i dlaczego. Przytoczenie w treści decyzji całości materiału dowodowego byłoby w ocenie organu skarżącego kasacyjnie niecelowe z uwagi na objętość jego całości.

Organ skarżący kasacyjnie zaznaczył przy tym, że niezrozumiałe jest jego zdaniem stanowisko Sądu I instancji jakoby podstawowym obowiązkiem organu było ustalenie, czy "w przedmiotowej sprawie doszło do wycieku danych, czy też w rozpatrywanej sprawie pojawiła się jedynie krótkotrwała możliwość uzyskania dostępu do danych osobowych przez osoby nieuprawnione". Organ skarżący kasacyjnie wskazał bowiem, że ustalił, że doszło do naruszenia poufności danych osobowych, a kwestia ta w świetle zebranych dowodów jest bezsporna i niebudząca wątpliwości stron postępowania, tj. administratora i podmiotu przetwarzającego, które w toku postępowania wielokrotnie (np. zgłoszenie naruszenia ochrony danych osobowych, zawiadomienie o możliwości popełnienia przestępstwa, wyjaśnienia składane w toku postępowania) potwierdziły ten fakt.

Organ skarżący kasacyjnie podkreślił zresztą, że administracyjna kara pieniężna nie jest nakładana za sam fakt wystąpienia naruszenia ochrony danych osobowych. Naruszenie ochrony danych osobowych (w rozumieniu art. 4 pkt 12 RODO) było jedynie przyczyną do zbadania, w jakim stopniu administrator i podmiot przetwarzający realizują obowiązki wynikające z przepisów RODO, w szczególności w zakresie zabezpieczania danych, dokonywania zmian w systemach informatycznych służących do przetwarzania danych osobowych i nadzoru nad takimi zmianami. W powyższym zakresie przeprowadzone postępowanie administracyjne wykazało naruszenia przepisów RODO. Organ skarżący kasacyjnie wskazał przy tym, że brak naruszenia ochrony danych osobowych nie oznaczałby braku możliwości zbadania tych kwestii przez Prezesa Urzędu Ochrony Danych Osobowych. Reasumując, organ skarżący kasacyjnie podkreślił, że stwierdzanie przez organ naruszeń przepisów RODO jest niezależne od tego, czy doszło, czy nie doszło do naruszenia ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO.

Odnosząc się z kolei do twierdzeń Wojewódzkiego Sądu Administracyjnego w Warszawie dotyczących obowiązku ustalenia, "czy administrator danych, istotnie nie prowadził nadzoru nad zmianami w systemie informatycznym elektronicznego archiwum" organ skarżący kasacyjnie nie zgodził się ze stanowiskiem Sądu I instancji, że takich ustaleń nie było i wskazał, że kwestia braku nadzoru administratora nad podmiotem przetwarzającym dane osobowe została szczegółowo opisana na str. 17-20 decyzji. Organ skarżący kasacyjnie w pełni podtrzymuje zresztą swoje stanowisko wyrażone w tym zakresie w uzasadnieniu decyzji i stoi na stanowisku, że dokonał wystarczających ustaleń dotyczących tego, że administrator nie prowadził odpowiedniego nadzoru nad podmiotem przetwarzającym zarówno przed wystąpieniem naruszenia ochrony danych osobowych, jak również w trakcie wdrażania zmian informatycznych, w wyniku których do tego naruszenia doszło. W zaskarżonej decyzji wskazano, że pomimo posiadanych procedur oraz wiedzy, jak zgodnie z powszechnie stosowanymi praktykami powinno przebiegać wdrożenie zmian w systemach informatycznych, administrator na żadnym etapie wdrożenia nie prowadził nadzoru nad tym, czy wdrożenie faktycznie przebiega zgodnie z powszechnie obowiązującymi standardami, umową powierzenia przetwarzania danych osobowych czy też umową przechowywania (archiwum dokumentów) wraz z usługami towarzyszącymi.

Organ skarżący kasacyjnie powtórzył, że fakt, że doszło do utraty poufności danych osobowych ustalony został na podstawie materiału dowodowego zgromadzonego w sprawie. W ocenie organu skarżącego kasacyjnie wskazuje na to jednoznacznie m.in. zgłoszenie naruszenia ochrony danych osobowych z dnia 18 kwietnia 2020 r., gdzie wskazano, że baza zawierająca rzeczywiste dane klientów administratora pozostawała niezabezpieczona od 12 kwietnia 2020 r. godz. 13 (początek zasilania rzeczywistymi danymi klientów) do 16 kwietnia 2020 r. do godz. 11. Sam administrator podał, że do skopiowania danych doszło w nocy z 15 na 16 kwietnia 2020 r., a dokładniej pomiędzy 15 kwietnia 2020 r., godz. 23:00 a 16 kwietnia 2020 r. godzina 4:00. Ponadto, w aktach sprawy znajduje się przesłane 27 kwietnia 2020 r. przez administratora do wiadomości organu zawiadomienie o możliwości popełnienia przestępstwa, które zostało złożone przez administratora w Prokuraturze Okręgowej w Gdańsku. W ww. zawiadomienia administrator wskazał na możliwość popełnienia czynu zabronionego określonego w art. 267 Kodeksu karnego, tj. uzyskania bezprawnego dostępu do informacji w związku z nieuprawnionym skopiowaniem bazy danych klientów. W uzasadnieniu tego zawiadomienia administrator zawarł informacje dotyczące udostępnienia niezabezpieczonej bazy danych i jej skopiowaniu. Z treści zawiadomienia jednoznacznie zatem wynika, że doszło do skopiowania bazy danych klientów administratora. Ponadto, administrator przekazał ustaloną przez nią listę adresów IP, które łączyły się z bazą danych osobowych klientów administratora w czasie, gdy dostęp do tej bazy był możliwy przez niezabezpieczony port (lista zawiera ponad 50 adresów IP i znajduje się w aktach sprawy). W związku z powyższym organ skarżący kasacyjnie zaznaczył, że wbrew twierdzeniu Sądu I instancji, w toku przeprowadzonego postępowania ustalono, że do takiego "wycieku danych" doszło. Jednocześnie organ skarżący kasacyjnie powtórzył, że nawet gdyby w toku postępowania ustalono, że nastąpiła "jedynie krótkotrwała możliwość uzyskania dostępu do danych osobowych przez osoby nieuprawnione", to i tak świadczyłoby to o naruszeniu przez administratora i podmiot przetwarzający przepisów RODO, gdyż obowiązek zabezpieczenia danych osobowych przed dostępem do nich osób nieuprawnionych jest jednym z podstawowych obowiązków spoczywających na administratorze i podmiocie przetwarzającym, wynikających z tego aktu prawnego, a nie ulega wątpliwości, że "jedynie krótkotrwała możliwość uzyskania dostępu do danych osobowych przez osoby nieuprawnione" nie świadczy o prawidłowej jego realizacji.

Organ skarżący kasacyjnie podkreślił także, że nie miał obowiązku potwierdzania za pomocą dodatkowych postępowań czy ekspertyz technicznych, czy w przedmiotowej sprawie faktycznie doszło - jak wskazuje Sąd I instancji - do wycieku danych, tj. do ich pobrania. Jak już wskazano, w toku postępowania został zgromadzony dostateczny materiał dowodowy potwierdzający, że do pobrania danych osobowych klientów administratora doszło, zatem fakt, że w toku postępowania organ nie przeprowadził własnych ekspertyz technicznych nie stanowi w ocenie organu skarżącego kasacyjnie o naruszeniu art. 7 Kodeksu postępowania administracyjnego.

Odnosząc się do fragmentu uzasadnienia zaskarżonego wyroku, w którym Wojewódzki Sąd Administracyjny w Warszawie stwierdza, że organ "wobec przeczących temu raportów KPMG przedstawionych przez administratora, przyjął, że do "wycieku danych" doszło", organ skarżący kasacyjnie podkreślił, że z treści uzasadnienia zaskarżonej decyzji jednoznacznie wynika, że organ poddał analizie ten dowód pod kątem oceny, czy może on świadczyć o prawidłowej realizacji przez administratora obowiązków wynikających z RODO z zakresu zabezpieczania danych osobowych. Jednocześnie organ skarżący kasacyjnie zauważył, że Sąd I instancji nie wskazał dlaczego uznał, że raporty KPMG przeczą temu, że do "wycieku danych" doszło. W ocenie organu skarżącego kasacyjnie powołane w uzasadnieniu wyroku raporty KPMG potwierdzają jedynie, że w okresie poddanym monitoringowi w sieci Internet i Darknet nie ujawniono danych osobowych, które można byłoby zidentyfikować jako dane osobowe klientów administratora. Nie stanowią natomiast żadnego dowodu na to czy, a jak tak, to w jakim zakresie, doszło bądź nie doszło do naruszenia poufności danych osobowych w związku ze zgłoszonym organowi naruszeniem ochrony danych osobowych. Niezależnie od powyższego organ skarżący kasacyjnie powtórzył, że w zgłoszeniu naruszenia ochrony danych osobowych administrator wskazał, że doszło do naruszenia poufności danych osobowych, a przeprowadzone postępowanie to potwierdziło.

Organ skarżący kasacyjnie dodał, że wbrew twierdzeniom Sądu I instancji, nie ma obowiązku badać związku przyczynowo-skutkowego pomiędzy naruszeniem a powstaniem straty materialnej dla przyjęcia kary. W Wytycznych w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 WP253 Grupa Robocza Art. 29 wskazuje, że nałożenie kary pieniężnej nie zależy od zdolności organu nadzorczego do ustalenia związku przyczynowo-skutkowego pomiędzy naruszeniem a stratą materialną.

Organ skarżący kasacyjnie podkreślił, że fakt, że aktualnie nie ma dowodów na bezprawne wykorzystanie danych osobowych klientów administratora nie może świadczyć o tym, że nie doszło do naruszenia ochrony danych osobowych, czy też, że nie naruszono tych przepisów RODO, które nakładają określone obowiązki z zakresu właściwego zabezpieczenia danych osobowych. Ewentualne ponowne rozpatrzenie sprawy uwzględniające wytyczne Sądu I instancji w tym zakresie są zatem w ocenie organu skarżącego kasacyjnie bezprzedmiotowe, ponieważ powyższe okoliczności zostały już ocenione i opisane w wydanej w sprawie decyzji.

Ponadto, organ skarżący kasacyjnie wskazał, że oddalenie skargi kasacyjnej i podtrzymanie stanowiska Sądu I instancji co do wskazania konieczności przeprowadzania przez organ własnych ekspertyz technicznych potwierdzających, czy doszło do pobrania danych osobowych przez nieuprawnione podmioty doprowadzi w ocenie organu do odwrócenia jednej z podstawowych zasad przetwarzania danych osobowych wynikających z RODO, tj. zasady rozliczalności. Zgodnie bowiem z art. 5 ust. 2 RODO to administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie ("rozliczalność"). Organ skarżący kasacyjnie podkreślił, że w związku z powołaną wyżej zasadą rozliczalności Prezes Urzędu Ochrony Danych Osobowych prowadzi postępowania na bazie dowodów i oświadczeń przedstawianych przez podmioty odpowiedzialne za przestrzeganie przepisów RODO.

Odnosząc się zaś do zobowiązania przez Sąd I instancji do ustalenia "czy nieprzeprowadzenie przez administratora audytów lub inspekcji przyczyniło się do wystąpienia naruszeni danych osobowych", organ skarżący kasacyjnie wskazał, że jest ono całkowicie bezpodstawne, bowiem w wydanej w sprawie decyzji wskazał na nieprzeprowadzanie inspekcji, w tym audytów, jako na jeden z elementów uzasadniających ostateczną ocenę, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych, co stanowi naruszenie art. 32 ust. 1 i 2 RODO. Uzasadniając naruszenie przez administratora obowiązków wynikających z art. 32 ust. 1 RODO wskazano na możliwość przeprowadzenia audytów, w tym inspekcji, wynikającą z art. 28 ust. 3 lit. h RODO. Zebrany w sprawie materiał dowodowy potwierdził natomiast, że przed wszczęciem postępowania administracyjnego administrator nie przeprowadzał w podmiocie przetwarzającym audytów, w tym inspekcji, w celu sprawdzenia, czy podmiot przetwarzający w sposób prawidłowy realizuje swoje obowiązki wynikające RODO, co w ocenie organu skarżącego kasacyjnie przesądza o naruszeniu obowiązków administratora wynikających z RODO. W związku z powyższym wskazanie Sądu I instancji do konieczności ustalenia czy nieprzeprowadzenie przez administratora audytów lub inspekcji przyczyniło się do wystąpienia naruszenia ochrony danych osobowych jest w ocenie organu skarżącego kasacyjnie bezprzedmiotowe i nie ma znaczenia dla ustalenia naruszenia przez administratora przepisów RODO w tym zakresie. Zdaniem organu skarżącego kasacyjnie ustalenia w tym zakresie dokonane zostały prawidłowo oraz odpowiednio przedstawione w uzasadnieniu wydanej w sprawie decyzji. W jego ocenie przedstawione w uzasadnieniu decyzji stanowisko w zakresie stosowanych standardów i praktyk jest prawidłowe i zostało dostatecznie wyjaśnione, a szczegółowe wyjaśnienia w tym zakresie zostały zawarte na str. 13-17 uzasadnienia decyzji. Organ skarżący kasacyjnie wskazał, że powołał się tam zarówno na normy ISO, jak również wewnętrzne standardy stron postępowania, które w przedmiotowej sprawie nie zostały zachowane.

W odpowiedzi na skargę kasacyjną wniesionej przez administratora zażądał on oddalenia skargi kasacyjnej w całości, zasądzenia zwrotu kosztów postępowania, w tym kosztów zastępstwa prawnego według norm przepisanych oraz przeprowadzenia rozprawy. Administrator podzielił stanowisko Wojewódzkiego Sądu Administracyjnego w Warszawie, że organ nie ustalił wielu istotnych okoliczności sprawy, w tym także kwestii kluczowych takich jak pominięcie, że incydent będący przedmiotem postępowania związany był z faktem wprowadzenia niewielkiej zmiany w środowisku informatycznym dla usługi archiwum cyfrowego prowadzonego dla administratora przez podmiot przetwarzający, bowiem zmiana polegała jedynie na przyspieszeniu działania systemu, co nie wykracza poza standardowe aktualizacje w systemach informatycznych. Organ pominął także to, że podmiot przetwarzający nie poinformował administratora o podjętych działaniach, które mogłyby wykraczać ponad to, o co wnioskowali przedstawiciele administratora, jak i to że administrator nie zlecał żadnych działań związanych z przetwarzaniem danych, a jedynie potrzebę przyspieszenia działania serwerów. Administrator zaznaczył, że operacja taka nie miała związku z danymi, a jedynie z wydajnością sprzętu i oprogramowania bazy danych. W ocenie administratora w sprawie pominięto także to, że do naruszenia ochrony danych osobowych klientów administratora doszło w wyniku tzw. "błędu ludzkiego" odpowiednio wykwalifikowanego pracownika podmiotu przetwarzającego. Nie był to zatem błąd systemowy, wynikający z niewłaściwej organizacji współpracy, braku procedur lub technicznych zabezpieczeń, ale sytuacja jednostkowa polegająca na braku uruchomienia firewalla.

Administrator podkreślił, że ww. okoliczności stanowią tylko część z tych, które nie zostały ustalone przez organ, co jego zdaniem potwierdza to, że w sprawie nie ustalono stanu faktycznego niezbędnego do wydania merytorycznej decyzji.

Jednocześnie administrator wskazał, że nie powinno budzić w sprawie wątpliwości, że wywiązał się z zasady rozliczalności przedstawiając organowi obszerny materiał dowodowy obejmujący wszelkie dokumenty wskazujące na stosowanie przez administratora wymaganych środków ochrony danych osobowych.

Z kolei w odpowiedzi na skargę kasacyjną wniesionej przez podmiot przetwarzający zażądał on oddalenia skargi kasacyjnej, przeprowadzenia rozprawy oraz zasądzenia od organu na jego rzecz kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przepisanych. Podmiot przetwarzający wskazał, że w istocie skarga kasacyjna wywiedziona przez organ ogranicza się do polemiki z trafnymi ustaleniami Wojewódzkiego Sądu Administracyjnego w Warszawie w zakresie stanu faktycznego sprawy oraz przepisów prawa. Podmiot przetwarzający zgodził się z Sądem I instancji, że pomimo obszerności uzasadnienia wydanej w sprawie decyzji, na próżno szukać w nim jasno ustalonego stanu faktycznego sprawy. Ponadto, podmiot przetwarzający podkreślił, że art. 5 ust. 2 RODO nie zdejmuje z organu szeregu powinności proceduralnych przewidzianych w Kodeksie postępowania administracyjnego. Gdyby bowiem podążać za tokiem rozumowania organu, w ocenie podmiotu przetwarzającego byłby on zwolniony z wszelkich powinności dowodowych określonych przepisami Kodeksu postępowania administracyjnego i mógłby poprzestać na komfortowym oczekiwaniu, że to administrator lub podmiot przetwarzający wykażą, że postępowali w pełnej zgodzie z licznymi wymogami wynikającymi z art. 5 ust. 1 RODO.

Naczelny Sąd Administracyjny zważył, co następuje:

Zgodnie z treścią art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (tj.: Dz.U. z 2024 r., poz. 935) - zwanej dalej p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, bierze jednak z urzędu pod rozwagę nieważność postępowania. W sprawie nie występują, enumeratywnie wyliczone w art. 183 § 2 p.p.s.a., przesłanki nieważności postępowania sądowoadministracyjnego. Z tego względu, przy rozpoznaniu sprawy, Naczelny Sąd Administracyjny związany był granicami skargi kasacyjnej.

Skargę kasacyjną można oprzeć na następujących podstawach:

1) naruszeniu prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie,

2) naruszeniu przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy (art. 174 p.p.s.a.).

Granice skargi kasacyjnej wyznaczają wskazane w niej podstawy.

Rozpoznając skargę kasacyjną Prezesa Urzędu Ochrony Danych Osobowych w zakreślonych w niej granicach, stwierdzić należy, że skarga ta częściowo zawiera usprawiedliwione podstawy.

Pierwszy zarzut organ skarżący kasacyjnie sformułował w ramach drugiej podstawy kasacyjnej i zarzucił Wojewódzkiemu Sądowi Administracyjnemu w Warszawie na jego podstawie naruszenie przepisów postępowania, tj. art. 145 § 1 pkt 1 lit. c p.p.s.a. w związku z art. 7, art. 77 § 1 i art. 80 oraz art. 8, art. 11 i art. 107 § 3 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2025 r., poz. 1691 ze zm.) – dalej zwanej: k.p.a., którego upatruje w błędnym uznaniu, że Prezes Urzędu Ochrony Danych Osobowych nie dokonał ustalenia stanu faktycznego sprawy, nie dokonał oceny wiarygodności oświadczeń stron, nie sprecyzował jakim dowodom i z jakich powodów odmówił wiarygodności, podczas gdy uzasadnienie decyzji spełniało wymogi prawa, co miało wpływ na wynik postępowania. Zarzut ten zawiera usprawiedliwione podstawy.

W pierwszej kolejności podkreślenia wymaga to, że w orzecznictwie Naczelnego Sądu Administracyjnego ugruntowane jest stanowisko, że przepis art. 145 § 1 pkt 1 lit. c p.p.s.a., którego naruszenie zarzuca organ skarżący kasacyjnie, podobnie zresztą jak art. 146 § 1, art. 147, art. 149 § 1, czy też art. 151 lub art. 161 § 1 p.p.s.a. ma charakter ogólny (blankietowy) i określa kompetencje sądu administracyjnego w fazie orzekania. Tego typu przepis nie może zatem stanowić samodzielnej podstawy kasacyjnej. Strona skarżąca kasacyjnie chcąc powołać się na zarzut naruszenia art. 145 § 1 pkt 1 lit. c p.p.s.a. zobowiązana jest więc bezpośrednio powiązać omawiany zarzut z zarzutem naruszenia konkretnych przepisów, którym – jej zdaniem – Sąd I instancji uchybił w toku rozpoznania sprawy. Naruszenie ww. przepisów jest zawsze następstwem uchybienia innym przepisom, czy to procesowym, czy też materialnym (por. wyroki NSA: z dnia 30 kwietnia 2015 r., I OSK 1701/14, z dnia 29 kwietnia 2015 r., I OSK 1595/14, z dnia 29 kwietnia 2015 r., I OSK 1596/14, z dnia 24 kwietnia 2015 r., I OSK 1088/14, z dnia 8 kwietnia 2015 r., I OSK 71/15, z dnia 9 stycznia 2015 r., I OSK 638/14).

Na podstawie omawianego zarzutu organ skarżący kasacyjnie powiązał zarzut naruszenia art. 145 § 1 pkt 1 lit. c p.p.s.a. z zarzutem naruszenia przez Wojewódzki Sąd Administracyjny w Warszawie przepisów k.p.a., tj. art. 7, art. 77 § 1 i art. 80 oraz art. 8, art. 11 i art. 107 § 3 k.p.a., upatrując ww. naruszenia w niezasadnym w ocenie organu skarżącego kasacyjnie uznaniu przez Sąd I instancji, że Prezes Urzędu Ochrony Danych Osobowych wydając decyzję naruszył ww. przepisy postępowania, co w konsekwencji doprowadziło do uchylenia zaskarżonej decyzji. Argumentacja organu skarżącego kasacyjnie przedstawiona w tym zakresie w uzasadnieniu skargi kasacyjnej jest zasadna.

Wbrew stanowisku Sądu I instancji, w rozpoznawanej sprawie wszystkie istotne okoliczności z punktu widzenia przedmiotu postępowania dotyczącego naruszenia przez F. S.A. z siedzibą w G. – jako administratora danych, jak i P. sp. z o.o. z siedzibą w G. – jako podmiotu przetwarzającego, wskazywanych przez organ przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z dnia 4 maja 2016 r., str. 1, Dz. Urz. UE L 127 z dnia 23 maja 2018 r., str. 2 oraz Dz. Urz. UE L 74 z dnia 4 marca 2021 r., str. 35), dalej jako: "RODO" zostały wyjaśnione, a zgromadzony w sprawie obszerny materiał dowodowy, w tym przede wszystkim skierowane do organu zgłoszenie administratora naruszenia ochrony danych osobowych, jak również dokumenty i wyjaśnienia przedstawiane zarówno przez administratora, jak i przez podmiot przetwarzający, zostały poddane wszechstronnej i odpowiadającej prawu ocenie. Organ prowadząc postępowanie w niniejszej sprawie, powziął wszelkie niezbędne kroki do dokładnego wyjaśnienia stanu faktycznego sprawy. Zebrał i rozpatrzył cały materiał dowodowy, wskazując podstawy podjętego rozstrzygnięcia, a ocena ta nie narusza zasady swobodnej oceny dowodów. Organ ustosunkował się przy tym do wszelkich istotnych okoliczności wskazywanych zarówno przez administratora, jak i podmiot przetwarzający. Wbrew twierdzeniom Wojewódzkiego Sądu Administracyjnego, przywołał i ocenił wszelkie istotne dla sprawy wyjaśnienia - udzielone zarówno przez administratora, jak i podmiot przetwarzający. Z kolei Sąd I instancji zarzucając organowi brak dokładnego i wyczerpującego ustalenia i wyjaśnienia stanu faktycznego sprawy, sam ograniczył się do lakonicznego stwierdzenia, że organ "Nie dokonał jednakże żadnej oceny wiarygodności owych oświadczeń. Pominął milczeniem to, w jakiej części (i którym wyjaśnieniom-której strony) dał wiarę. Nie sprecyzował też tego, jakim wyjaśnieniom i z jakich powodów odmówił wiarygodności", nie precyzując przy tym które wyjaśnienia i oświadczenia administratora lub podmiotu przetwarzającego zawarte w zgromadzonym w sprawie materiale dowodowym zostały w jego ocenie przez organ pominięte lub też którym z nich, jego zdaniem, bezpodstawnie odmówiono wiarygodności i – co najistotniejsze – dlaczego miało to na tyle istotny wpływ na wynik niniejszego postępowania, że uniemożliwiało wydanie decyzji merytorycznej w sprawie.

Jako zupełnie niezrozumiałe należy uznać stanowisko Wojewódzkiego Sądu Administracyjnego w Warszawie w zakresie stwierdzenia braku ustaleń faktycznych organu dotyczących przeprowadzanego w sprawie przez administratora nadzoru nad dokonywanymi i wdrażanymi przez podmiot przetwarzający zmianami w systemie informatycznym, jak i co do tego czy w sprawie doszło w ogóle do "wycieku danych", czy też w rozpatrywanej sprawie pojawiła się "jedynie krótkotrwała możliwość uzyskania dostępu do danych osobowych przez osoby nieuprawnione". Analiza zarówno uzasadnienia zaskarżonej decyzji, jak i zgromadzonego przez organ materiału dowodowego prowadzi do wniosku, że kwestia nadzoru administratora nad czynnościami podejmowanymi przez podmiot przetwarzający zarówno przed wystąpieniem naruszenia ochrony danych osobowych, jak i w trakcie wdrażania zmian informatycznych, w wyniku których do naruszenia ochrony danych osobowych doszło, została bardzo szczegółowo i wyczerpująco opisana, a następnie przeanalizowana przez organ w uzasadnieniu skarżonej w sprawie decyzji. Z kolei kwestia, że w sprawie doszło do utraty poufności danych osobowych determinowała zakres rozpoznania niniejszej sprawy i nie była nawet przedmiotem sporu pomiędzy stronami. Co istotne, utrata poufności danych osobowych jednoznacznie wynikała ze zgłoszenia naruszenia danych osobowych dokonanego przez samego administratora, a następnie ze złożonego przez niego zawiadomienia o możliwości popełnienia przestępstwa, a także ze składanych przez administratora oraz podmiot przetwarzający wyjaśnień w sprawie. Stąd zupełnie niezrozumiałe pozostaje stanowisko Wojewódzkiego Sądu Administracyjnego w Warszawie, zgodnie z którym w sprawie konieczne jest ustalenie czy w rozpoznawanej sprawie doszło do "wycieku danych", czy też pojawiła się tu "jedynie krótkotrwała możliwość uzyskania dostępu do danych osobowych przez osoby nieuprawnione". Brak jest podstaw do uznania za prawidłowe rozważań Sądu I instancji w zakresie rzekomych braków w zakresie ustaleń faktycznych dokonanych w sprawie przez organ. Przywołane przez Wojewódzki Sąd Administracyjny w Warszawie uchybienia nie znajdują potwierdzenia w zgromadzonym w sprawie materiale dowodowym sprawy, czy też w treści uzasadnienia zaskarżonej decyzji i nie mogą świadczyć o naruszeniu przepisów postępowania, w tym art. 7, art. 77 § 1 i art. 80 oraz art. 8, art. 11 i art. 107 § 3 k.p.a.

Z tego względu słusznie wskazuje organ skarżący kasacyjnie, że dokonanie kolejnych ustaleń co do okoliczności, które albo nie były przedmiotem sporu pomiędzy stronami, albo zostały już kompleksowo przez organ wyjaśnione i nie budziły jakichkolwiek jego wątpliwości, a do czego Prezes Urzędu Ochrony Danych Osobowych został zobowiązany przez Sąd I instancji w zaskarżonym wyroku, jest zbędne, a rzekome braki w ustaleniach faktycznych wskazywane przez Wojewódzki Sąd Administracyjny w Warszawie nie świadczą o naruszeniu w sprawie przepisów postępowania, w tym art. 7, art. 77 § 1 i art. 80 oraz art. 8, art. 11 i art. 107 § 3 k.p.a.

Tym samym uznać należy, że Wojewódzki Sąd Administracyjny w Warszawie bezpodstawnie stwierdził naruszenie przez organ przepisów procedury administracyjnej w niniejszej sprawie, uchybiając w ten sposób art. 7, art. 77 § 1 i art. 80 oraz art. 8, art. 11 i art. 107 § 3 k.p.a., a w konsekwencji powyższego Sąd I instancji bezpodstawnie uchylił na podstawie art. 145 § 1 pkt 1 lit. a i c p.p.s.a. wydaną w sprawie przez organ decyzję. Z powołanych względów Naczelny Sąd Administracyjny uznał, że omawiany zarzut skargi kasacyjnej ma usprawiedliwione podstawy, co skutkowało koniecznością uchylenia zaskarżonego wyroku i przekazania sprawy do ponownego rozpoznania Sądowi I instancji, w oparciu o art. 185 § 1 p.p.s.a. Przy ponownym rozpoznaniu sprawy Wojewódzki Sąd Administracyjny w Warszawie uzna przy tym kompletność dokonanych przez organ ustaleń faktycznych w sprawie, znajdujących odzwierciedlenie w zgromadzonym materiale dowodowym.

Nieskuteczny okazał się natomiast drugi ze sformułowanych w skardze kasacyjnej zarzutów, na podstawie którego organ skarżący kasacyjnie zarzucił Sądowi I instancji naruszenie art. 5 ust. 2 w związku z art. 5 ust. 1 lit. f, art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 oraz art. 32 ust. 1 i ust. 2 RODO, poprzez przeniesienie wyłącznie na organ obowiązku oceny przestrzegania zasad wyrażonych w ww. przepisach, a w konsekwencji naruszenie zasady rozliczalności.

Przede wszystkim omawiany zarzut został sporządzony niestarannie, a zwłaszcza nie sprecyzowano w nim podstaw kasacyjnych, o jakich stanowi art. 174 p.p.s.a. ze wskazaniem, czy w ocenie organu wnoszącego skargę kasacyjną miało miejsce naruszenie prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie, czy naruszenie przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy, czy też naruszenie zarówno prawa materialnego, jak i przepisów postępowania. Skarga kasacyjna w zakresie omawianego zarzutu nie przyporządkowuje go zatem do konkretnego punktu art. 174 p.p.s.a. W świetle orzecznictwa Naczelnego Sądu Administracyjnego brak ten nie uzasadnia wprawdzie stwierdzenia, że skarga kasacyjna nie spełnia ustawowych wymogów określonych w art. 176 p.p.s.a. i podlega odrzuceniu (por. wyrok NSA z dnia 11 maja 2006 r., II FSK 684/05, LEX nr 273665), nie stanowi jednak wypełnienia koniecznego wymogu profesjonalizmu we wnoszeniu skargi kasacyjnej przez profesjonalnego pełnomocnika i w znacznym stopniu determinuje wynik kontroli instancyjnej.

Niezależnie od powyższego, abstrahując od nieprecyzyjnego sformułowania zarzutu naruszenia przez Wojewódzki Sąd Administracyjny w Warszawie art. 5 ust. 2 w związku z art. 5 ust. 1 lit. f, art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 oraz art. 32 ust. 1 i ust. 2 RODO, wskazać należy, że zarzut ten nie mógł odnieść skutku przede wszystkim z uwagi na to, że na jego podstawie organ skarżący kasacyjnie próbuje przypisać Sądowi I instancji stanowisko, którego nie wyrażono w uzasadnieniu zaskarżonego wyroku, bowiem Wojewódzki Sąd Administracyjny w Warszawie w przedstawionych przez niego rozważaniach prawnych nie wyraził poglądu o wyłącznym obowiązku organu oceny przestrzegania zasad wyrażonych we wskazanych w zarzucie przepisach RODO, czym w ocenie organu skarżącego kasacyjnie miał naruszyć wyrażoną w RODO zasadę rozliczalności. Choć Sąd I instancji bezpodstawnie i nieprawidłowo stwierdził w sprawie braki w zakresie ustaleń faktycznych poczynionych przez organ, to w żadnym miejscu uzasadnienia zaskarżonego wyroku nie wyraził poglądu o wyłącznym obowiązku organu oceny przestrzegania zasad wyrażonych w art. 5 ust. 1 lit. f, art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 oraz art. 32 ust. 1 i ust. 2 RODO. Tym samym organ skarżący kasacyjnie na podstawie omawianego zarzutu próbuje przypisać Sądowi I instancji stanowisko, którego Sąd ten nie wyraził w uzasadnieniu zaskarżonego wyroku, a zatem skoro Wojewódzki Sąd Administracyjny w Warszawie poglądu takiego nie wyraził, to nie mógł w ten sposób naruszyć jakiegokolwiek przepisu prawa, w tym i art. 5 ust. 1 lit. f, art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 oraz art. 32 ust. 1 i ust. 2 RODO.

Jednak z uwagi na skuteczność pierwszego z zarzutów skargi kasacyjnej Naczelny Sąd Administracyjny uznał, że zaszły podstawy do uchylenia wyroku i przekazania sprawy do ponownego rozpoznania Sądowi I instancji w oparciu o art. 185 § 1 p.p.s.a.

O kosztach postępowania kasacyjnego orzeczono na podstawie art. 203 pkt 2 p.p.s.a.