Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Karolina Kisielewicz (spr.), Sędzia WSA Joanna Kruszewska-Grońska, Sędzia WSA Tomasz Szmydt, Protokolant st. sekretarz sądowy Maryla Wiśniewska po rozpoznaniu na rozprawie w dniu 5 października 2021 r. sprawy ze skargi [...] Sp. z o.o. w likwidacji z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] grudnia 2020 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla pkt 1 zaskarżonej decyzji, 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz skarżącej [...] Sp. z o.o. w likwidacji z siedzibą w [...] kwotę 21 516 zł (słownie: dwadzieścia jeden tysięcy pięćset szesnaście złotych), tytułem zwrotu kosztów postępowania.

W dniu [...] marca 2020 r. [...] Sp. z o.o. w likwidacji z siedzibą w [...] zgłosiła Prezesowi Urzędu Ochrony Danych Osobowych naruszenie poufności danych swoich klientów. Spółka (której przedmiotem działalności jest udzielanie pożyczek finansowych z wykorzystaniem serwisu internetowego [...]) podała, że w dniu [...] marca 2020 r. miała miejsce awaria serwera i wraz z jego restartem zostały zresetowane ustawienia oprogramowania odpowiadającego za bezpieczeństwo serwera (zapory firewall), w konsekwencji czego dane osobowe 218 657 osób znajdujące się na serwerze były publicznie dostępne. Baza danych znajdująca się na tym serwerze została pobrana (skopiowana) przez nieustalony podmiot trzeci, który wystąpił do Spółki z żądaniem zapłaty wynagrodzenia w zamian za jej zwrot. Spółka wyjaśniła, że baza danych nie była główną bazą klientów (potencjalnych klientów) Spółki, obejmowała dane statystyczne, z tego powodu nie została objęta skanowaniem pod kątem zabezpieczeń po zresetowaniu serwera.

[...] Sp. z o.o. w likwidacji wyjaśniła, że restartu serwera dokonała [...] z siedzibą w [...] na [...], której na podstawie umowy z dnia [...] marca 2018 r. powierzyła przetwarzanie danych w celu realizacji usług mających charakter hostingu.

W piśmie z [...] marca 2020 r. Spółka wyjaśniła, że dane obejmowały 140 699 klientów Spółki, którzy po [...] stycznia 2018 r. w całości lub w części przeszli przez proces rejestracji w serwisie [...] i obejmowały: imię i nazwisko, wykształcenie, adres e-mail, dane dotyczące zatrudnienia, adres e-mail osoby, której klient chce polecić pożyczkę, dane dotyczące zarobków, dane dotyczące stanu cywilnego, numer telefonu (stacjonarnego, komórkowego, wcześniej używanego numeru telefonu), numer PESEL, narodowość, numer NIP, hasło, miejsce urodzenia, adres korespondencyjny, adres zameldowania, numer telefonu do miejsca pracy oraz numer rachunku bankowego.

Spółka podniosła, że w celu zminimalizowania negatywnych skutków naruszenia w dniu [...] marca 2020 r. poinformowała klientów i potencjalnych klientów (za pomocą poczty elektronicznej oraz wiadomości sms) o tym, że ich dane osobowe zapisane na koncie użytkownika założonym za pośrednictwem strony internetowej [...]. zostały ujawnione osobie trzeciej na skutek błędu pracownika podmiotu, któremu Spółka powierzyła przetwarzanie danych oraz o zresetowaniu haseł do logowania i dodała, że w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia przywrócono prawidłowe działanie zapory firewall.

W dniu [...] marca 2020 r. w odpowiedzi na wezwanie Prezesa Urzędu Ochrony Danych Osobowych do złożenia dodatkowych wyjaśnień i przedstawienia dokumentów z [...] marca 2020 r., [...] Sp. z o.o. w likwidacji przedstawiła obszerne wyjaśnienia dotyczące zdarzenia i opisała zastosowane środki techniczne i organizacyjne zarówno przez Spółkę, jak i podmiot przetwarzający ([...] z siedzibą w [...]). Podała, że w dniu [...] lutego 2020 r. pracownik podmiotu przetwarzającego po restarcie jednego z serwerów używanych przez Spółkę nie zweryfikował prawidłowości konfiguracji zabezpieczeń, w dniu [...] marca 2020 r. Spółka otrzymała pierwszą informację (od niezależnego konsultanta w zakresie cyberbezpieczeństwa) o istnieniu serwera z publicznie dostępnymi danymi klientów Spółki korzystających z witryny internetowej [...], w dniu [...] marca 2020 r. nieustalona osoba trzecia dokonała pobrania bazy danych Spółki pozostawiając informację z żądaniem uiszczenia okupu, w dniu [...] marca 2020 r. redaktor portalu [...] poinformował ją, że doszło do naruszenia ochrony danych osobowych oraz o adresie IP serwera, którego naruszenie dotyczy.

[...] Sp. z o.o. w likwidacji wyjaśniła, że początkowo sądzono, że może to być próba wyłudzenia poufnych informacji i podjęto działania w celu ustalenia jej wiarygodności oraz że w dniu [...] marca 2020 r. stwierdzono, że doszło do naruszenia poufności danych osobowych. W rezultacie Spółka zawiadomiła o naruszeniu Prezesa Urzędu Ochrony Danych Osobowych i skierowała do Prokuratury [...] w [...] zawiadomienie o podejrzeniu popełnienia przestępstwa przez nieznanego sprawcę w związku z tym zdarzeniem.

Odnosząc się do weryfikacji podmiotu przetwarzającego pod kątem spełnienia przez niego wymogów rozporządzenia 2016/679, [...] Sp. z o.o. w likwidacji wyjaśniła, że [...] jest wyspecjalizowanym podmiotem zajmującym się obsługą sektora finansowego i posiada wieloletnie doświadczenie w tej dziedzinie. W 2018 r. spółka [...] została poddana audytowi pod kątem obsługi Spółki w związku z przepisami rozporządzenia 2016/679 i zrealizowała zadania o których mowa w wynikach audytu.

Spółka dwukrotnie jeszcze składała wyjaśnienia w tej sprawie, odpowiadając na pytania Prezesa UODO w pismach z [...] czerwca i [...] września 2020 r.

Prezes Urzędu Ochrony Danych Osobowych decyzją z [...] grudnia 2020 r. (nr [...]), wydaną na podstawie art. 104 § 1 i art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm.), art. 7 ust. 1, art. 60, art. 101 i art. 103 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a, art. 58 ust. 2 lit. i, art. 83 ust. 1-3, art. 83 ust. 4 lit. a oraz art. 83 ust. 5 lit. a w związku z art. 5 ust. 1 lit. f, art. 24 ust. 1, art. 25 ust. 1, art. art. 28 ust. 1, art. 28 ust. 3 lit. h, 32 ust. 1 lit. b i lit. d, art. 32 ust. 2, art. 33 ust. 1, art. 34 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.),

1) stwierdził naruszenie przez [...] Sp. z o.o. w likwidacji z siedzibą w [...], przepisów art. 5 ust. 1 lit. f, art. 25 ust. 1, art. 32 ust. 1 lit. b, art. 32 ust. 1 lit. d oraz art. 32 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679, polegające na niewdrożeniu przez Spółkę, zarówno w fazie projektowania procesu przetwarzania jak i w czasie samego przetwarzania, odpowiednich środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemu przetwarzania danych osobowych, a także zapewniających zdolność skutecznego i szybkiego stwierdzenia naruszenia ochrony danych osobowych oraz zapewniających regularną ocenę skuteczności tych środków, co skutkowało uzyskaniem przez osoby trzecie nieuprawnionego dostępu do przetwarzanych danych osobowych oraz nałożył na [...] Sp. z o.o. w likwidacji, administracyjną karę pieniężną w wysokości 1.069.850,00 zł.,

2) w pozostałym zakresie postępowanie umorzył.

W uzasadnieniu decyzji organ podał, że zgodnie z art. 5 ust. 1 lit. f rozporządzenia 2016/679 dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("poufność i integralność") oraz że przepisy rozporządzenia 2016/679 zobowiązują administratorów do przyjęcia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych.

Z treści art. 32 ust. 1 rozporządzenia 2016/679 wynika, że uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (art. 32 ust. 1 lit b). regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (art. 32 ust. 1 lit d). W myśl art. 32 ust. 2 rozporządzenia 2016/679, oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu, chyba, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych (art. 33 ust. 1 rozporządzenia 2016/679). Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu (art. 34 ust. 1).

W uzasadnieniu decyzji Prezes Urzędu Ochrony Danych Osobowych odwołał się ponadto do motywu 87 rozporządzenia 2016/679 i wytycznych Grupy Roboczej Art. 29, dotyczących zgłaszania naruszeń i stwierdził, że obowiązek powiadomienia organu nadzorczego o naruszeniu powstaje w momencie, w którym administrator uzyskał wystarczającą dozę pewności co do tego, że doszło do wystąpienia incydentu bezpieczeństwa, który doprowadził do ujawnienia danych osobowych.

Po otrzymaniu pierwszej informacji o potencjalnym naruszeniu ochrony danych osobowych, administrator może przeprowadzić krótkotrwałe postępowanie, aby ustalić, czy faktycznie doszło do danego naruszenia, przy czym należy oczekiwać, że wstępne postępowanie powinno rozpocząć się możliwie jak najszybciej i doprowadzić do jak najszybszego ustalenia z wystarczającą dozą pewności, czy w danym przypadku faktycznie doszło do wystąpienia naruszenia. W przypadku jakichkolwiek wątpliwości, mając w szczególności na względzie charakter i zakres przetwarzanych danych oraz ryzyko wiążące się z ich, np. przypadkowym udostępnieniem, administrator powinien zgłosić naruszenie organowi nadzorczemu, nawet jeśli taka ostrożność mogłaby się okazać nadmierna.

Odnosząc te ogólne uwagi do rozpatrywanej sprawy organ przypomniał, że w dniu [...] marca 2020 r. Spółka otrzymała pierwszą informację (wiadomość e-mail) o istnieniu serwera z publicznie dostępnymi danymi klientów Spółki korzystających z witryny internetowej [...]. W wiadomości przedstawiony został fragment informacji zawierający dane osobowe użytkownika witryny [...], m.in. numer PESEL, adres e-mail i identyfikator użytkownika (nie podano natomiast adresu IP serwera, którego nieprawidłowa konfiguracja doprowadziła do naruszenia ochrony danych osobowych).

Zdaniem organu, ta informacja, powinna stanowić dla administratora danych impuls do próby uzyskania dodatkowych informacji od nadawcy z zachowaniem należytej ostrożności oraz być przyczyną do podjęcia bardziej zintensyfikowanych działań we współpracy z podmiotem przetwarzającym. Spółka powinna uzmysłowić sobie skalę potencjalnego naruszenia (obejmującego wszystkich klientów) i negatywnych dla nich konsekwencji, do jakich może dojść lub już doszło, zwłaszcza że podane informacje (dane osobowe) rzeczywiście dotyczyły jego klienta i ich ujawnienie bez wątpienia może skutkować wysokim ryzykiem naruszenia praw lub wolności osoby, której dotyczą.

Prezes Urzędu Ochrony Danych Osobowych stwierdził, że o ile słusznie Spółka niezwłocznie przekazała wiadomość podmiotowi przetwarzającemu i oparła swoje przekonanie o konieczności zawiadomienia organu nadzorczego dopiero po potwierdzeniu jej wiarygodności, o tyle ze zgromadzonego materiału dowodowego nie wynika, by administrator podejmował inne działania zmierzające do szybkiego i skutecznego stwierdzenia naruszenia. Dyrektor ds. finansowych Spółki – administratora danych osobowych, w dniu [...] marca 2020 r. po otrzymaniu wiadomości z [...] marca 2020 r. przekierował ją do dyrektora [...] z krótkim komentarzem poddającym w wątpliwość intencje nadawcy i wskazujące na tzw. "smart phishing" i w dniu [...] marca 2020 r. zwrócił się do niego z pytaniem, czy przekazana wiadomość została zweryfikowana (tego samego dnia [...] dokonała restartu serwera, jednak jego konfiguracja nadal była nieprawidłowa). Jeśli informacji tej nie można szybko i skutecznie zweryfikować, mając na względzie ryzyko dla praw i wolności osób fizycznych, Spółka powinna bez zbędnej zwłoki zgłosić naruszenie organowi nadzorczemu. Tymczasem, dopiero po przekazaniu [...] marca 2020 r. wiadomości z [...] marca 2020 r. dyrektorowi [...], w którym to wskazano na obowiązki prawne ciążące na Spółce odnośnie terminu zawiadomienia organu nadzorczego, zarówno Spółka, jak i podmiot przetwarzający podjęły zintensyfikowane działania weryfikacyjne i zaradcze i w dniu [...] marca 2020 r., zespół IT podmiotu przetwarzającego ustalił przyczyny awarii serwera oraz zweryfikował wiadomość e-mail z [...] marca 2020 r., a inspektor ochrony danych Spółki rozpoczął gromadzenie informacji o naruszeniu.

Zwłoka, której zdaniem Prezesa Urzędu Ochrony Danych Osobowych dopuściła się Spółka jako administrator danych, między [...] marca 2020 r., a [...] marca 2020 r., kiedy otrzymała kolejny sygnał o naruszeniu (redaktor portalu [...] poinformował ją, że doszło do naruszenia ochrony danych osobowych oraz o adresie IP serwera, którego naruszenie dotyczy), skutkowała pobraniem (w dniu [...] marca 2020 r.) przez nieznaną osobę bazy danych Spółki.

Organ podał, że fakt, że dotychczas tak poważne zdarzenia nie miały miejsca, nie może usypiać czujności administratora i usprawiedliwiać brak odpowiednich działań z jego strony między [...] marca 2020 r. a [...] marca 2020 r. Brak szybkiej reakcji ze strony podmiotu przetwarzającego nie zdejmuje z administratora odpowiedzialności za stwierdzenie naruszenia ochrony danych osobowych, gdyż zdolność do wykrywania naruszeń, zaradzania im oraz ich terminowego zgłaszania powinna być postrzegana jako kluczowy element środków technicznych i organizacyjnych, w tym każdej polityki w zakresie bezpieczeństwa danych. Spółka mimo niezwłocznego przekazania sygnału o nieprawidłowościach podmiotowi przetwarzającemu, zdaniem Prezesa Urzędu Ochrony Danych Osobowych, nie podjęła swoich działań w sposób odpowiedni. Okoliczności sprawy jednoznacznie wskazują na to, że administrator pobieżnie przeanalizował wiadomość z [...] marca 2020 r., nie potraktował jej z należytą powagą i nie zobligował podmiotu przetwarzającego do tego samego. Podjęcie właściwej analizy i zintensyfikowanego kontaktu z podmiotem przetwarzającym już w dniu [...] marca 2020 r., w którym to Spółka dowiedziała się o pierwszych nieprawidłowościach, w ocenie organu, pozwoliłyby stwierdzić naruszenie ochrony danych znacznie szybciej (tak jak to uczyniono po wiadomości otrzymanej od redaktora jednego z portali internetowych) i potencjalnie zminimalizować ryzyko dla praw i wolności klientów Spółki, w tym uniknąć zdarzenia, do którego doszło [...] marca 2020 r.

Prezes Urzędu Ochrony Danych Osobowych dodał, że zarówno wyjaśnienia Spółki, jak i przedstawione przez nią dokumenty, nie przedstawiają procedury stwierdzenia naruszenia. O ile procedura taka nie jest wprost wymagana przez żaden z przepisów rozporządzenia 2016/679, o tyle, jak wskazują wytyczne dotyczące naruszeń i jak wynika to z przepisów rozporządzenia 2016/679, administrator jest zobligowany do sprawnego i szybkiego stwierdzania naruszenia ochrony danych, a taka procedura może to w znaczący sposób ułatwić.

W konkluzji stwierdził, że Spółka, dokonując oceny pierwszego sygnału o nieprawidłowościach, nie uwzględniła ryzyka wiążącego się z przetwarzaniem danych osobowych wynikających z przypadkowego udostępnienia danych osobowych, co stanowi naruszenie art. 32 ust. 2 rozporządzenia 2016/679.

Zebrany w toku niniejszego postępowania materiał dowodowy stanowi również podstawę do stwierdzenia, że Spółka nie wywiązała się z obowiązku zapewnienia przetwarzania danych osobowych w sposób zapewniający ich odpowiednie bezpieczeństwo od momentu, w którym uzyskała pierwszy sygnał o nieprawidłowościach, co stanowi naruszenie zasady poufności wyrażonej w art. 5 ust. 1 lit. f rozporządzenia 2016/679. Nie wdrożyła również odpowiednich środków technicznych i organizacyjnych mających na celu skuteczną realizację zasady ochrony danych, co stanowi naruszenie art. 25 ust. 1 rozporządzenia 2016/679 oraz skuteczne i szybkie stwierdzenie naruszenia, co stanowi naruszenie art. 24 ust. 1 rozporządzenia 2016/679.

Zdaniem Prezesa Urzędu Ochrony Danych Osobowych Spółka nie dokonywała również regularnej oceny skuteczności tych środków, co stanowi naruszenie art. 32 ust. 1 lit. d rozporządzenia 2016/679. Tym samym między [...] a [...] marca 2020 r. swoim działaniem przyczyniła się do niezapewnienia zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, co stanowi naruszenie art. 32 ust. 1 lit. b rozporządzenia 2016/679.

W uzasadnieniu decyzji organ przyznał, że relacja z podmiotem przetwarzającym nie oznacza obowiązku ciągłego monitorowania stosowanych rozwiązań. Jednakże, zdaniem Prezesa Urzędu Ochrony Danych Osobowych istotnym jest by administrator w ramach realizacji obowiązków wynikających z rozporządzenia 2016/679 dokonywał cyklicznej weryfikacji, czy w używanych rozwiązaniach technicznych i organizacyjnych nie stwierdzono słabości mogących wpłynąć na ryzyko naruszenia praw lub wolności osób, których dane dotyczą, a fakt przetwarzania danych przez podmiot przetwarzający tej odpowiedzialności z administratora nie zdejmuje. Zdaniem organu stanowi to o naruszeniu przez Spółkę art. 25 ust. 1 rozporządzenia 2016/679. Nieuwzględnienie przez Spółkę ryzyka związanego z przetwarzaniem haseł użytkowników w postaci jawnej stanowi również o naruszeniu art. 24 ust. 1, art, 32 ust. 1 lit. d oraz art. 32 ust. 2 rozporządzenia 2016/679.

Z tych wszystkich względów Prezes Urzędu Ochrony Danych Osobowych stwierdził, że [...] Sp. z o.o. w likwidacji z siedzibą w [...], dopuściła się naruszenia art. 5 ust. 1 lit. f, art. 25 ust. 1, art. 32 ust. 1 lit. b, art. 32 ust. 1 lit. d oraz art. 32 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Prezes Urzędu Ochrony Danych Osobowych nie dopatrzył się naruszenia przez Spółkę art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679, które obligują administratora do zawiadomienia organu nadzorczego (bez zbędnej zwłoki) o naruszeniu ochrony danych osobowych, które skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych (art. 33 ust. 1) oraz osoby, której dane dotyczą, o takim naruszeniu (art. 34 ust. 1). Organ podał, że na gruncie tych przepisów należy przyjąć, że początkiem terminu na zawiadomienie organu nadzorczego (art. 33 ust. 1) i osób, których dane dotyczą (art. 34 ust. 1) jest dzień, w którym stwierdzono naruszenie ochrony danych osobowych. Jak już powiedziano, skarżąca Spółka z opóźnieniem stwierdziła naruszenie w dniu [...] marca 2020 r., co nie zdejmuje z niej odpowiedzialności za ryzyko naruszenia praw lub wolności osób, których dane dotyczą, powstałe w wyniku opóźnienia stwierdzenia naruszenia. Jednakże od razu po spóźnionym stwierdzeniu, Spółka z pomocą podmiotu przetwarzającego, rozpoczęła proces resetowania haseł użytkowników i podjęła wszelkie niezbędne działania mające na celu sprawne i terminowe zawiadomienie osób, których dane dotyczą, w tym wykorzystała dostępne kanały informacyjne i w sposób wyczerpujący wykazała skuteczność dostarczenia zawiadomień. Z tych powodów Prezes Urzędu Ochrony Danych Osobowych umorzył postępowanie administracyjne w zakresie naruszenia art. 34 ust. 1 rozporządzenia 2016/679, co tym samym nie stanowi podstawy wymiaru administracyjnej kary pieniężnej.

W uzasadnieniu decyzji organ podał, że Spółce należy postawić zarzuty niedopełnienia obowiązków wynikających z art. 5 ust. 1 lit. f, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b i d oraz art. 32 ust. 2 rozporządzenia 2016/679. Nie sposób jednak zgodzić się ze stanowiskiem Spółki, że jej ewentualna odpowiedzialność, jako administratora, powinna być rozpatrywana jedynie w kontekście art. 28 ust. 1 rozporządzenia 2016/679 (który stanowi, że jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą) i wynikać z odpowiedzi na pytanie, czy gwarancje udzielone administratorowi przez podmiot przetwarzający były wystarczające, aby uzasadnić skorzystanie z jego usług. Oceny tej rzecz jasna, jak wskazuje również Spółka, nie można dokonać jedynie z perspektywy samego incydentu, ale z perspektywy możliwości przewidzenia jego wystąpienia oraz możliwości rozsądnego stwierdzenia jeszcze przed wystąpieniem incydentu, że gwarancje nie są wystarczające i należy skorzystać z usług innych ekspertów IT. Słusznie również Spółka wskazuje, że art. 28 ust. 1 rozporządzenia 2016/679 wymaga korzystania z podmiotów przetwarzających, zapewniających odpowiednie gwarancje zgodności, nie zaś ciągłego monitorowania stosowanych przez ten podmiot rozwiązań. Prezes Urzędu Ochrony Danych Osobowych stwierdził, że z punktu widzenia art. 28 ust. 1 i art. 28 ust. 3 lit. h rozporządzenia 2016/679, w zgromadzonym materiale dowodowym, nie dopatrzył się okoliczności, które pozwoliłyby stwierdzić, że [...] nie zapewniał wystarczających gwarancji dla bezpieczeństwa danych osobowych oraz nie udostępniał administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 rozporządzenia 2016/679 bądź uniemożliwiał Spółce przeprowadzanie audytów, w tym inspekcji. W konsekwencji umorzył postępowanie administracyjne w zakresie naruszenia art. 28 ust. 1 i art. 28 ust. 3 lit. h rozporządzenia 2016/679.

Prezes Urzędu Ochrony Danych Osobowych w uzasadnieniu decyzji odwołał się do art. 58 ust. 2 lit. i rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a-h oraz lit. j, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679 i stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę administracyjnej kary pieniężnej. Nałożenie administracyjnej kary pieniężnej na Spółkę jest konieczne i uzasadnione wagą oraz charakterem i zakresem dokonanych przez Spółkę naruszeń.

Organ podał, że stosownie do art. 83 ust. 2 lit. a-k rozporządzenia 2016/679, wziął pod uwagę wymienione tam przesłanki mające wpływ na wymiar nałożonej kary finansowej, m. in. charakter i wagę naruszenia przy uwzględnieniu liczby poszkodowanych osób (art. 83 ust.2 lit. a rozporządzenia 2016/679). Podkreślił, że Spółka nie podejmowała odpowiednich działań mających na celu sprawne i szybkie stwierdzenie naruszenia (potwierdziła nieprawidłowości dopiero po około 10 dniach od dnia uzyskania pierwszej wiadomości w tej sprawie).

Stosownie do treści art. 83 ust. 3 rozporządzenia 2016/679, Prezes Urzędu Ochrony Danych Osobowych określił całkowitą wysokość administracyjnej kary pieniężnej w kwocie nieprzekraczającej wysokości kary za najpoważniejsze naruszenie (za które uznał naruszenie przez Spółkę zasady poufności określonej w art. 5 ust. 1 lit. rozporządzenia 2016/679) i na podstawie art. 83 ust. 4 lit. a i art. 83 ust. 5 lit. a w związku z art. 83 ust. 3 rozporządzenia 2016/679 oraz w związku z art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, za naruszenia opisane w sentencji niniejszej decyzji, nałożył na Spółkę - stosując średni kurs euro z 28 stycznia 2020 r. (1 EUR = 4,2794 PLN) - administracyjną karę pieniężną w kwocie 1.069.850,00 PLN (co stanowi równowartość 250.000 EUR).

W ocenie Prezesa Urzędu Ochrony Danych Osobowych, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. kara będzie w tym indywidualnym przypadku skuteczna, odstraszająca i proporcjonalna do stwierdzonego naruszenia, w tym zwłaszcza jego wagi, kręgu dotkniętych nim osób fizycznych oraz ryzyka, jakie w związku z naruszeniem ponoszą. W przyszłości zapobiegnie naruszeniom przepisów o ochronie danych osobowych zarówno przez Spółkę, jak i innych administratorów danych osobowych.

[...] Sp. z o.o. w likwidacji z siedzibą w [...] złożyła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na pkt 1 opisanej decyzji Prezesa Urzędu Ochrony Danych Osobowych z [...] grudnia 2020 r.

Skarżąca zarzuciła zaskarżonej decyzji przede wszystkim naruszenie art. 32 rozporządzenia 2019/679 przez jego błędną wykładnię i w konsekwencji nieuzasadnione przyjęcie, że jego adresatem może być jedynie administrator danych osobowych, podczas gdy przepis ten jest adresowany zarówno do administratora jak i podmiotu przetwarzającego dane osobowe. To oznacza, że organ oceniając konkretne naruszenie danych osobowych powinien co najmniej zadać pytanie, który z podmiotów zaangażowanych w proces przetwarzania danych nie dopełnił obowiązków wynikających z przepisów rozporządzenia. W niniejszej sprawie, zdaniem skarżącej, takie pytanie nie zostało postawione. W uzasadnieniu tego zarzutu Spółka dodała, że wykładnia art. 32 rozporządzenia dokonana przez organ w zaskarżonej decyzji stoi w sprzeczności z art. 83 ust. 4 lit. a rozporządzenia, w którym ustawodawca unijny przewidział odpowiedzialność administracyjną za naruszenie art. 32 zarówno po stronie administratora, jak i podmiotu przetwarzającego. W konsekwencji Prezes Urzędu Ochrony Danych Osobowych całkowicie pominął udział [...] w omyłkowym udostępnieniu nieuprawnionym osobom danych klientów skarżącej, a co za tym idzie przypisał jej a priori odpowiedzialność za to zdarzenie.

Skarżąca w skardze sformułowała ponadto zarzuty naruszenia przez organ przepisów prawa procesowego tj. art. 6, art. 7, art. 8 § 1 , art. 77 § 1, art. 80 k.p.a. w zw. z art. 7 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych przez pobieżne rozpatrzenie materiału dowodowego.

W uzasadnieniu tego zarzutu skarżąca podała, że Prezes Urzędu Ochrony Danych Osobowych stawiając jej zarzut naruszenia art. 32 ust. 1 lit. b oraz art. 32 ust. 2 rozporządzenia, nie wziął pod uwagę, że w celu zapewnienia bezpieczeństwa przetwarzania danych zawarła umowy powierzenia przetwarzania danych osobowych z podmiotami z branży IT (tj. [...] S.A., która udostępniła skarżącej serwer, oraz [...], która odpowiadała za konfigurację oraz monitorowanie środków serwera). Skarżąca dodała, że specjalizuje się w świadczeniu usług finansowych, nie zaś informatycznych i zdając sobie sprawę, że samodzielnie nie jest w stanie zabezpieczyć od strony technicznej posiadanych danych osobowych swoich klientów, skorzystała ze wsparcia wyspecjalizowanych podmiotów, które lepiej niż skarżąca potrafią ocenić jakie środki techniczne oraz organizacyjne zapewniają poufność, integralność, dostępność i odporność wykorzystywanych przez nią systemów.

[...] Sp. z o.o. w likwidacji podniosła również, że organ zarzucając jej naruszenie art. 32 ust. 1 lit. d rozporządzenia, pominął fakt przeprowadzenia przez skarżącą w [...] audytów bezpieczeństwa przetwarzania danych. Spółka podkreśliła, że żaden z audytów (z 2018 r. oraz [...]-[...] maja 2020 r.) nie wykazał nieprawidłowości w przetwarzaniu danych osobowych klientów skarżącej. Wynik audytu z 2018 r., a także działania, które [...] podjęła bezpośrednio po jego przeprowadzeniu (wprowadzenie oraz znowelizowanie obowiązujących ówcześnie procedur oraz polityk bezpieczeństwa), dawały skarżącej gwarancje, że powierzone przez nią dane zostały odpowiednio zabezpieczone. Do takiego samego wniosku prowadził także wynik audytu przeprowadzony w dniach [...]-[...] maja 2020 r.

Pomimo dobrych wyników [...] w przeprowadzonych audytach, doszło jednak do omyłkowego udostępnienia danych osobowych klientów skarżącej osobom nieuprawnionym. Bezpośrednią przyczyną zaistniałego zdarzenia był jednorazowy błąd pracownika [...], który polegał na pomyleniu nazwy stosowanego skryptu, co przy restarcie serwera skutkowało brakiem włączenia zapory firewall, chroniącej dane przed nieuprawnionym dostępem. Spółka podkreśliła, że nawet przy wdrożeniu najbardziej zaawansowanych środków bezpieczeństwa przetwarzania danych osobowych nie jest możliwe wyeliminowanie błędu ludzkiego oraz podała, że na niemożność zapewnienia absolutnego bezpieczeństwa danych osobowych zwraca się także uwagę w doktrynie gdzie wskazuje się, że "nie jest celem omawianej regulacji (art. 32 rozporządzenia) wyeliminowanie ryzyka w pełni, czego uczynić się nie da, a jedynie wdrożenie rozwiązań technicznych i organizacyjnych odpowiednich i proporcjonalnych, przy wzięciu pod uwagę ocenianych kryteriów".

Zdaniem Spółki, Prezes Urzędu Ochrony Danych Osobowych przekroczył granicę swobodnej oceny dowodów odnośnie "Procedury zgłaszania naruszenia ochrony danych osobowych". Organ pobieżnie zweryfikował tę procedurę i wbrew zasadom logiki uznał, że nie stanowi ona odpowiedniego środka organizacyjnego, zapewniającego bezpieczeństwo przetwarzanych danych osobowych, a w konsekwencji, że Spółka od [...] maja 2018 r. nie wdrożyła odpowiednich środków organizacyjnych i technicznych zapewniających bezpieczeństwo przetwarzanych danych osobowych.

W uzasadnieniu tego zarzutu skarżąca stwierdziła, że przyjęty przez nią dokument pozwolił jej bez zbędnej zwłoki "zarządzić przedmiotowym naruszeniem" i stanowi odpowiedni środek organizacyjny zapewniający bezpieczeństwo przetwarzania danych osobowych. Postępując zgodnie z tą Procedurą skarżąca w odpowiednim czasie (tj. bez zbędnej zwłoki) zgłosiła do organu omyłkowe udostępnienie danych klientów osobom nieuprawnionym oraz powiadomiła o tym zdarzeniu zainteresowane osoby. Powyższe znajduje potwierdzenie w umorzeniu postępowania w zakresie art. 33 ust. 1 oraz art. 34 ust. 1 rozporządzenia 2016/679.

Skarżąca zarzuciła, że zapatrywanie organu, że wdrożenie przez skarżącą dodatkowych środków bezpieczeństwa w postaci Procedury, której celem jest stworzenie mechanizmu zapewniającego terminowe zgłoszenie naruszeń ochrony danych, zgodnie z obowiązującymi przepisami w zakresie ochrony danych osobowych, stanowi naruszenie przepisów rozporządzenia, jest wbrew logice. Organ stwierdził bowiem, że okres naruszenia polegającego na braku wdrożenia odpowiednich środków organizacyjnych i technicznych mających zapewnić bezpieczeństwo przetwarzania danych, należy liczyć od momentu wprowadzenia przez skarżącą Procedury, tj. od [...] maja 2018 r.

W ocenie skarżącej Spółki, Prezes Urzędu Ochrony Danych Osobowych w zaskarżonej decyzji nieprawidłowo, z naruszeniem zasady swobodnej oceny dowodów (art. 80 k.p.a.), uznał że przetwarzanie haseł w postaci jawnej przyczyniło się do omyłkowego udostępnienia danych klientów osobom nieuprawnionym. Skarżąca podkreśliła, że do omyłkowego udostępnienia osobom nieuprawnionym danych jej klientów doszło nie na skutek przetwarzania haseł użytkowników w postaci jawnej, ale w związku z uruchomieniem przez pracownika [...] serwera, na którym były przechowywane te dane, z nieprawidłową konfiguracją (bez zapory firewall) i stwierdziła, że do omyłkowego udostępnienia danych doszłoby zarówno wtedy, gdyby hasła klientów przetwarzane były w postaci zaszyfrowanej jak i w postaci jawnej.

[...] Sp. z o.o. w likwidacji również nie zgodziła się z dokonaną przez organ oceną jej reakcji na wiadomość o omyłkowym udostępnieniu danych osobowych jej klientów osobom nieuprawnionym, na podstawie korespondencji mailowej prowadzonej od [...] marca do [...] marca 2020 r. pomiędzy pracownikami skarżącej a pracownikami [...].

Spółka stwierdziła, że wbrew zapatrywaniu Prezesa Urzędu Ochrony Danych Osobowych, uwzględniała ryzyko wiążące się z przetwarzaniem danych osobowych, W celu zapewnia poufności, integralności, dostępności i odporności jej systemów od razu (tj. [...] marca 2020 r.) przekazała [...] wiadomość, w której mowa była o udostępnieniu danych osobom nieuprawnionym. Uwzględniając ryzyko jakie może nieść za sobą korespondencja z nieznaną skarżącej osobą (B. D.), słusznie zwróciła uwagę [...], że wiadomość ta może stanowić formę smart phisingu.

Skarżąca dodała, że przekazując tę wiadomość [...] zakładała, że [...] jako podmiot specjalizujący się w zakresie bezpieczeństwa ochrony danych będzie w stanie lepiej od niej ocenić wiarygodność tej wiadomości, a także zaproponować dalszy sposób działania. Brak natychmiastowej reakcji ze strony [...], pozwalał natomiast zakładać skarżącej, że [...] uznała tę wiadomość za nieprawdziwą. Nowych podejrzeń skarżąca nabrała jednak po otrzymaniu informacji od A. H. Wtedy też zintensyfikowała korespondencję z [...], co doprowadziło do przywrócenia bezpieczeństwa danych klientów, których dane zostały omyłkowo udostępnione nieuprawnionym osobom. W ocenie skarżącej ewentualny zarzut nieprawidłowej reakcji na pierwszą wiadomość, organ powinien adresować do [...], nie zaś do skarżącej Spółki.

W konkluzji skarżąca stwierdziła, że Prezes Urzędu Ochrony Danych Osobowych błędnie przyjął, że wiadomość z [...] marca 2020 r. została potraktowana przez nią bez należytej powagi. Skarżąca prowadziła działalność na dużą skalę i w jej toku wielokrotnie otrzymywała niechciane wiadomości, w tym stanowiące smart phishing i próby wyłudzeń. W związku z tym, skierowana do [...] prośba o weryfikację, czy rzeczywiście doszło do naruszenia, z perspektywy administratora była w pełni uzasadniona i proporcjonalna na tym etapie zarządzania incydentem.

W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie [...] Sp. z o.o. w likwidacji zarzuciła ponadto, że organ oparł zaskarżoną decyzję na wykluczających się twierdzeniach. Stwierdził mianowicie, że Spółka dopuściła się naruszenia art. 32 ust. 1 lit. b i d, ust. 2, art. 5 ust. 1 lit. f oraz art. 25 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i jednocześnie umorzył postępowanie wobec skarżącej w zakresie naruszenia art. 24, 28 ust. 1 oraz art. 28 ust. h rozporządzenia.

Przepis art. 32 rozporządzenia stanowi konkretyzację wymogów dotyczących zabezpieczenia przetwarzania danych ogólnie wskazanych w art. 24. Stąd też brak naruszenia art. 24 wyklucza możliwość naruszenia art. 32 rozporządzenia. Natomiast pozytywna ocena [...] w zakresie udzielonych przez nią gwarancji bezpieczeństwa danych osobowych, a także umożliwiania skarżącej przeprowadzania audytów, a co za tym idzie umorzenie przez organ postępowania administracyjnego w zakresie naruszenia przez Skarżącą art. 28 ust. 1 i art. 28 ust. 3 lit. h rozporządzenia nie pozwala przyjąć, że skarżąca naruszyła art. 32 oraz 25 rozporządzenia. Skarżąca wdrożyła zarówno w fazie projektowania procesu przetwarzania jak i w czasie samego przetwarzania odpowiednie środki techniczne i organizacyjne odpowiadające ryzyku naruszenia zdolności do ciągłego zapewniania poufności, integralności, dostępności i odporności systemu przetwarzania danych osobowych, angażując w ten proces od samego jego początku podmioty (w tym [...]) dające gwarancje w zakresie bezpieczeństwa przetwarzania danych.

Zdaniem skarżącej, w sprawie zdumiewa również przyjęcie przez organ stanowiska, że nie wdrożyła rozwiązań umożliwiających jej skutecznie i szybko stwierdzić naruszenie ochrony danych osobowych, przy jednoczesnym umorzeniu postępowania w zakresie naruszenia art. 33 ust. 1 oraz art. 34 ust. 1 rozporządzenia 2016/679. Powołane przepisy określają właściwy czas reakcji (tj. bez zbędnej zwłoki) administratora na stwierdzone naruszenie. W zaskarżonej decyzji organ stwierdził, że skarżąca sprostała wymogom stawianym przez omawiane przepisy, tzn. bez zbędnej zwłoki zgłosiła naruszenie ochrony danych osobowych organowi nadzorczemu, a także bez zbędnej zwłoki zawiadomiła osoby, której dane dotyczą o naruszeniu ochrony danych osobowych. To zaś powinno prowadzić do wniosku, że skarżąca dysponowała środkami organizacyjno-technicznymi pozwalającymi jej na skuteczne i szybkie stwierdzenie naruszenia ochrony danych osobowych.

Mając na uwadze powyższe uznać należy, że rozstrzygnięcie zaskarżonej decyzji zostało oparte na wzajemnie wykluczających się twierdzeniach, co stoi wbrew zasadzie przekonywania ujętej w art. 11 k.p.a. i dobitnie pokazuje, że organ nie przeanalizował wnikliwie przedmiotu niniejszej sprawy.

W przypadku, gdyby Sąd uznał powyższe zarzuty za nieuzasadnione, skarżąca zarzuciła, że organ naruszył art. 83 ust. 1 rozporządzenia 2016/679, który stanowi, że administracyjne kary pieniężne mają być skuteczne, proporcjonalne i odstraszające. [...] Sp. z o.o. w likwidacji podała, że wymierzając administracyjną karę pieniężną powinien mieć na uwadze indywidualny charakter sprawy i wnikliwie zweryfikować, czy w sprawie występują okoliczności przemawiające zarówno za złagodzeniem jak i zaostrzeniem wymiaru kary.

Zdaniem skarżącej, organ nie wywiązał się z tego obowiązku w sposób należyty i w ten sposób naruszył art. 83 ust.1 i ust 2 rozporządzenia w zw. z art. 8 k.p.a. w zw. z art. 7 ustawy o ochronie danych osobowych.

Według Spółki, w zaskarżonej decyzji Prezes Urzędu Ochrony Danych Osobowych dokonał nieprawidłowej wykładni art. 83 ust. 2 lit. a rozporządzenia 2016/679, który stanowi, że decydując, czy nałożyć administracyjną karę pieniężną oraz ustalając jej wysokość, zwraca się należytą uwagę na charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody.

Zdaniem strony skarżącej, nie jest prawidłowe zapatrywanie organu, że sama możliwość poniesienia szkody przez osoby dotknięte naruszeniem ochrony danych osobowych, zła wola osoby trzeciej, która w sposób nieuprawniony uzyskała dostęp do danych osobowych, nieznajomość celu, dla którego osoba nieuprawniona podjęła działania skutkujące wystąpieniem naruszenia ochrony danych osobowych, stanowią okoliczności, które zaostrzają wymiar kary, podczas gdy okolicznością zaostrzającą wymiar kary może być poniesienie szkody przez osoby, których dane zostały udostępnione (co nie miało miejsca w niniejszej sprawie), nie zaś sama możliwość jej poniesienia.

W skardze do Sądu skarżąca zarzuciła ponadto Prezesowi Urzędu Ochrony Danych Osobowych nieprawidłową wykładnię art. 83 ust. 2 lit. b rozporządzenia 2016/679 przez przyjęcie, że nieumyślny charakter naruszenia stanowi okoliczność obciążającą. Spółka podniosła, że prawidłowa wykładnia powołanego przepisu powinna prowadzić do wniosku, że jest to okoliczność łagodząca wymiar kary.

W niniejszej sprawie nie tylko nieumyślny charakter naruszenia powinien łagodząco wpłynąć na wymiar nałożonej na skarżącą kary. Organ decydując, czy na skarżącą powinna zostać nałożona kara oraz w jakim wymiarze, zgodnie z art. 83 ust. 2 lit. k rozporządzenia powinien dodatkowo wziąć pod uwagę okoliczności wpływające na "złagodzenie" wymiaru kary administracyjnej, takie jak: pełną współpracę z organem podczas postępowania administracyjnego, podjęcie licznych działań przez skarżącą mających na celu usunięcie naruszenia oraz złagodzenia jego ewentualnych skutków, w tym zwłaszcza przesłanie do jej klientów wyczerpujących komunikatów o naruszeniu oraz zawiadomienie Prokuratury Okręgowej w [...] o podejrzeniu popełnienia przestępstwa. Tymczasem Prezes Urzędu Ochrony Danych Osobowych nie uwzględnił ich przy nakładaniu kary i w ten sposób dopuścił się naruszenia.

Skarżąca nie zgodziła się z organem również co do tego, że stopień jej odpowiedzialności za naruszenie był wysoki (s. 20 zaskarżonej decyzji) i stwierdziła, że organ nie wyjaśnił jakimi przesłankami się kierował (naruszył 6,art. 7,art. 8 § 1, art. 77 § 1, 80 i art. 107 § 3 k.p.a.). Spółka podała, że nie jest prawidłowe zapatrywanie organu, że powierzenie przez nią czynności przetwarzania danych osobowych wyspecjalizowanym firmom z branży IT, nie miało żadnego wpływu na odpowiedzialność skarżącej za naruszenie i powtórzyła, że ewentualna odpowiedzialność skarżącej powinna być rozpatrywana w kontekście art. 28 ust. 1 rozporządzenia i odpowiedzi na pytanie, czy gwarancje udzielone Spółce jako administratorowi danych przez podmioty przetwarzające były wystarczające, aby uzasadnić skorzystanie przez nią z ich usług. Skarżąca podała, że zapewniła odpowiedni stopień bezpieczeństwa danych klientów (uwzględniając przy tym ryzyko naruszenia praw lub wolności osób fizycznych) właśnie poprzez powierzenie czynności przetwarzania danych osobowych mających czysto techniczny charakter (tj. przechowywanie danych na serwerach) firmom wyspecjalizowanym w tym zakresie. Mając natomiast na uwadze, że wybrane przez skarżącą podmioty przetwarzające dawały odpowiednie gwarancje bezpiecznego przetwarzania danych osobowych, w niniejszej sprawie nie można mówić o jej odpowiedzialności za omyłkowe udostępnienie danych klientów Spółki osobom nieuprawnionym, w tym zwłaszcza w stopniu wysokim. Stąd też organ nie powinien zaostrzyć kary z uwagi na "wysoki stopień odpowiedzialności administratora".

W ostatnim zarzucie skargi Spółka stwierdziła, że organ nieobiektywnie prowadził postępowanie w niniejszej sprawie i w ten sposób naruszył art. 6, art. 7, art. 8 w zw. z art. 77 § 1 k.p.a. w zw. z art. 80 k.p.a. w zw. z art. 7 ustawy o ochronie danych osobowych. Jej zdaniem, świadczy o tym to, że "tendencyjnie interpretował stan faktyczny (...) sprawy na niekorzyść skarżącej", nie uwzględnił na korzyść Spółki żadnej okoliczności łagodzącej z art. 83 ust. 2 rozporządzenia 2016/679, mimo że sam pozytywnie ocenił sposób jej działania w związku z omyłkowym udostępnieniem danych jej klientów osobom nieuprawnionym. To zaś oznacza, że organ a priori przyjął pogląd o pełnej odpowiedzialności skarżącej za naruszenie danych osobowych.

Skarżąca podkreśliła, że przepisy dotyczące ochrony danych osobowych nie nakazują skarżącej zapobieżenia wszelkim naruszeniom ochrony danych, ale zastosowanie odpowiednich środków organizacyjnych i technicznych. Z treści zaskarżonej decyzji wynika, że karę nałożono ze względu na skalę incydentu, nie ze względu zaś na jego okoliczności i rolę poszczególnych podmiotów, jak również że bezpośrednią przyczyną naruszenia ochrony danych był błąd ludzki - (literówka) w pisowni skryptu - popełniony przez pracownika [...], nie zaś brak wdrożenia adekwatnych środków organizacyjnych i technicznych przez którykolwiek z tych podmiotów. Zastosowane środki bezpieczeństwa były szeroko opisywane i przedstawiane w ramach toczącego się postępowania administracyjnego, przy czym niezwykle istotne jest, że w toku postępowania organ zwracał się do skarżącej przede wszystkim o wyjaśnienia dotyczące środków bezpieczeństwa stosowanych przez [...], nie zaś przez samą skarżącą. Potwierdza to stanowisko skarżącej, że organ w istocie obarczył ją odpowiedzialnością za działania lub zaniechania [...], nie zwracając się o jakiekolwiek wyjaśnienia bezpośrednio do tego podmiotu. Zdaniem strony, to zaś potwierdza zarzut o nakierowaniu postępowania pod z góry założoną tezę o jej odpowiedzialności za omyłkowe udostępnienie danych klientów osobom nieuprawnionym. Rzetelne zbadanie sprawy wymagało zwrócenia się o wyjaśnienia do [...]. Mimo że podmiot przetwarzający jest spółką [...], ze względu na treść art. 3 ust. 2 lit. a i b rozporządzenia, podlega unijnym przepisom o ochronie danych.

Na zakończenie Spółka stwierdziła, że organ ukarał ją karą odstraszającą i nieproporcjonalną. Skarżąca stwierdziła, że nakładane na podstawie przepisów RODO sankcje mają przede wszystkim wymusić przestrzeganie przepisów rozporządzenia przez podmioty zaangażowane w przetwarzanie danych osobowych, nie zaś prowadzić do zaprzestania prowadzenia przez te podmioty działalności gospodarczej z uwagi na nałożenie kar zbyt wysokich, niedostosowanych do ich sytuacji finansowej. Skarżąca jest w likwidacji, stąd też nie można zgodzić się z organem, że kara nie będzie dla niej stanowić nadmiernego obciążenia, zwłaszcza że już na etapie postępowania administracyjnego wykazywała coraz niższe przychody (czego dowodem są złożone sprawozdania finansowe za 2018 r. i 2019 r.).

Skarżąca na podstawie art. 145 § 1 pkt 1 lit. a i c w zw. z art. 145 § 3 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz .U. z 2019 r., poz. 2325 ze zm.), wniosła o uchylenie w pkt 1 zaskarżonej decyzji i umorzenie postępowania w sprawie oraz zasądzenie na podstawie art. 200 tej ustawy kosztów postępowania administracyjnego według norm przepisanych.

Prezes Urzędu Ochrony Danych Osobowych w odpowiedzi na skargę wniósł o jej oddalenie.

Odnosząc się do zarzutów naruszenia prawa procesowego stwierdził, m. in. że ustalając stan faktyczny rozpatrywanej sprawy opierał się na obszernych wyjaśnieniach złożonych przez skarżącą w trakcie postępowania administracyjnego a skarżąca stawiając powyższe zarzuty w istocie próbuje zdjąć z siebie odpowiedzialność za nieprawidłowe przetwarzanie danych osobowych i przenieść ją na podmiot przetwarzający.

Zdaniem organu, nie sposób się zgodzić z twierdzeniem Spółki, że przyjęta przez nią "Procedura zgłaszania naruszenia ochrony danych osobowych" pozwoliła jej bez zbędnej zwłoki zarządzić naruszeniem. Ze złożonych przez Spółkę wyjaśnień wyraźnie zarysowuje się obraz spóźnionej reakcji administratora, który pobieżnie przeanalizował otrzymaną w dniu [...] marca 2020 r. wiadomość o istnieniu publicznie dostępnego serwera z danymi osobowymi klientów Spółki, podczas gdy podjęcie właściwej analizy i zintensyfikowanego kontaktu z podmiotem przetwarzającym już w dniu [...] marca 2020 r., w którym to Spółka dowiedziała się o pierwszych nieprawidłowościach, pozwoliłoby stwierdzić naruszenie ochrony danych osobowych znacznie szybciej, potencjalnie zminimalizować ryzyko negatywnych skutków dla praw lub wolności osób, których dane dotyczą i w rezultacie uniknąć zdarzenia z dnia [...] marca 2020 r. W tym kontekście fakt zawarcia umów powierzenia przetwarzania danych osobowych na podstawie art. 28 rozporządzenia 2016/679, na który powołuje się Spółka dla wzmocnienia swojej argumentacji, nie ma znaczenia z punktu widzenia problematyki niniejszej sprawy i należy, w ocenie Prezesa Urzędu Ochrony Danych Osobowych, traktować jako przejaw wypełnienia przez administratora obowiązku określonego w tym przepisie prawa.

Podobnie za chybiony należy też uznać argument, w którym Spółka powołuje się na "przeprowadzanie audytów u ww. podmiotów", skoro właściwa skądinąd współpraca Spółki z podmiotem przetwarzającym do czasu oraz w trakcie trwania ocenianego naruszenia nie wpłynęła na dokonanie przez nią właściwej oceny napływających do niej sygnałów o możliwym naruszeniu ochrony danych osobowych oraz podjęcie na tej kanwie w okresie od [...] do [...] marca 2020 r. adekwatnych środków zaradczych.

W kwestii zapatrywania organu odnośnie spóźnionej reakcji skarżącej na wiadomość o omyłkowym udostępnieniu osobom nieuprawnionym danych jej klientów, Prezes Urzędu Ochrony Danych Osobowych podał, że o ile słusznie Spółka niezwłocznie, tj. dnia [...] marca 2020 r. przekazała wiadomość podmiotowi przetwarzającemu i oparła swoje przekonanie o konieczności zawiadomienia organu nadzorczego dopiero po potwierdzeniu jej wiarygodności, o tyle ze zgromadzonego materiału dowodowego nie wynika, by administrator podejmował inne działania zmierzające do szybkiego i skutecznego stwierdzenia naruszenia, oprócz skierowania dnia [...] marca 2020 r. krótkiego pytania do dyrektora podmiotu przetwarzającego - [...]. Co więcej, z materiału tego wynika, że Spółka nie potraktowała poważnie otrzymanej informacji o nieprawidłowościach, o czym jednoznacznie świadczy komentarz dyrektora ds. finansów Spółki sugerujący, że może to być próba wyłudzenia poufnych informacji.

Przesądzając o odpowiedzialności Spółki za wskazane w pkt 1 skarżonej decyzji naruszenia przepisów rozporządzenia 2016/679, organ nie mógł pominąć roli, jaką w procesie przetwarzania danych osobowych odgrywał profesjonalny podmiot przetwarzający z branży IT, co znalazło swój wyraz w prowadzeniu przez Prezesa Urzędu Ochrony Danych Osobowych postępowania administracyjnego w sprawie, również wobec możliwości naruszenia art. 28 ust. 1 oraz art. 28 ust. 3 lit. h rozporządzenia 2016/679.

Korzystanie przez Spółkę w procesie przetwarzania danych osobowych ze wsparcia ze strony profesjonalnego podmiotu przetwarzającego, określany "transferem ryzyka", nie implikuje wcale stanu "przeniesienia odpowiedzialności" z administratora na podmiot przetwarzający w zakresie obowiązków ciążących na nim na mocy przepisów rozporządzenia 2016/679, a odnosi się do stanu ich kooperacji określonej na gruncie art. 28 ust. 3 lit. c) rozporządzenia 2016/679 i ponoszonej na zasadzie wzajemnej odpowiedzialności za bezpieczeństwo procesów przetwarzania danych osobowych.

W świetle art. 32 ust. 1 rozporządzenia 2016/679 odpowiedzialność administratora za zapewnienie bezpieczeństwa przetwarzania danych osobowych poprzez powierzenie ich przetwarzania podmiotowi przetwarzającemu nie zostaje wyłączona. Przyjęcie odmiennej interpretacji przepisu prowadziłoby do błędnego wniosku, że w momencie zawarcia umowy powierzenia danych osobowych, administrator staje się de facto wyłączony spod przepisów rozporządzenia 2016/679 zobowiązujących go do zapewnienia bezpieczeństwa przetwarzanych danych. Rozpatrywana sprawa jest dobitnym przykładem na to, że nawet najbardziej precyzyjna i aktualna procedura zgłaszania naruszenia ochrony danych osobowych nie odniesie zamierzonego skutku bez odpowiedniego impulsu ze strony administratora.

Prezes Urzędu Ochrony Danych Osobowych podał, że umorzył postępowanie administracyjne w zakresie naruszenia art. 33 ust. 1 oraz art. 34 ust. 1 rozporządzenia 2016/679, albowiem Spółka faktycznie dokonała zgłoszenia przedmiotowego naruszenia ochrony danych osobowych i co za tym idzie odpowiedniego zawiadomienia osób, których dane dotyczą, bez zbędnej zwłoki.

Powyższe ustalenia nie mają jednak wpływu na okoliczność, że między pierwszym - zbagatelizowanym przez administratora - sygnałem o możliwym naruszeniu ochrony danych osobowych, a jego stwierdzeniem minęło 11 dni i tego dotyczy istota skarżonej decyzji. Zatem fakt, że Spółka spełniła wymóg określony w art. 33, nie oznacza jednocześnie, że spełnia ona wymogi określone w innych przepisach rozporządzenia 2016/679. Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu w terminie określonym w powołanym przepisie rozporządzenia 2016/679 nie zwalnia bowiem administratora danych od podejmowania działań mających na celu sprawne i szybkie identyfikowanie naruszeń ochrony danych osobowych.

"Termin na zgłoszenie naruszenia danych osobowych jest liczony od chwili jego stwierdzenia. Poprzez stwierdzenie naruszenia należy rozumieć uzyskanie przez administratora wiedzy o okolicznościach faktycznych, które mogłyby zostać zakwalifikowane jako spełniające przesłanki określone w przepisie art 4 pkt 12. Nie jest natomiast decydujący moment gdy administrator dokonał takiej subsumpcji. Należy przy tym pamiętać, że zgodnie z motywem 87 administrator powinien wprowadzić takie środki technicznej ochrony, by być w stanie od razu stwierdzać naruszenia ochrony danych osobowych. Jeżeli tak się nie stanie, to administrator naruszy wymogi dotyczące wdrożenia odpowiednich środków technicznych, które służą wychwytywaniu możliwych naruszeń" (Bielak-Jomaa Edyta (red.), Lubasz Dominik (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz).

Prezes Urzędu Ochrony Danych Osobowych nie doszukał się również uchybień formalnych w łączącej administratora z firmą [...] umowie powierzenia danych osobowych, ww. podmiot dawał Spółce odpowiednie gwarancje stosownie do treści art. 28 ust. 1 rozporządzenia 2016/679, a administrator wykazywał się odpowiednią procedurą w zakresie zapewnienia bezpieczeństwa procesowi przetwarzania danych, popartych uprzednią oceną ryzyka, wskazującą m.in. na ewentualność błędnego działania systemu informatycznego, czy też możliwość wystąpienia błędu ludzkiego.

Wszystkie te przedsiębrane przez Spółkę organizacyjne oraz techniczne środki nie zdały egzaminu, wobec niedopełnienia przez Spółkę zasad należytej staranności przy obsłudze przedmiotowego naruszenia, tj. niepotraktowania pierwszych sygnałów o możliwym incydencie bezpieczeństwa z należytą powagą i w konsekwencji niepodjęcia na czas adekwatnych środków zaradczych.

Odnosząc się bezpośrednio do zarzutu dotyczącego naruszenia art. 32 rozporządzenia 2016/679 organ podał, że podtrzymuje stanowisko, zgodnie z którym fakt przetwarzania danych osobowych przez podmiot przetwarzający na podstawie umowy powierzenia przetwarzania danych osobowych nie zdejmuje z administratora odpowiedzialności za wdrożenie odpowiednich środków technicznych i organizacyjnych, odpowiadających ryzyku zaistnienia naruszenia praw lub wolności osób fizycznych. Innymi słowy, na gruncie tego przepisu rozporządzenia 2016/679 zobowiązania administratora i podmiotu przetwarzającego do zapewniania bezpieczeństwa przetwarzania danych osobowych pozostają od siebie niezależne, a ich wykonanie przez wskazane podmioty nie ma charakteru alternatywnego, co w konsekwencji prowadzić musi do konstatacji, iż nie zachodzi wyłączenie odpowiedzialności administratora za zapewnienie bezpieczeństwa przetwarzania danych osobowych poprzez powierzenie ich przetwarzania podmiotowi przetwarzającemu. W tym kontekście Prezes Urzędu Ochrony Danych Osobowych zarzut Spółki, w którym podnosi ona, że ewentualną odpowiedzialność za naruszenie ochrony danych osobowych można przypisać jedynie podmiotowi przetwarzającemu, uznaje za bezpodstawny.

Wnikliwa analiza zgromadzonego w sprawie materiału dowodowego, w szczególności w postaci kierowanych do Urzędu Ochrony Danych Osobowych pism z [...] marca, [...] czerwca oraz [...] września 2020 r., opisujących w sposób wyczerpujący zachodzącą pomiędzy Spółką a podmiotem przetwarzającym relację, nie pozwala stwierdzić, że podmiot przetwarzający nie zapewniał wystarczających gwarancji dla bezpieczeństwa danych osobowych oraz nie udostępniał administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 rozporządzenia 2016/679 bądź też uniemożliwiał Spółce w jakikolwiek sposób przeprowadzanie audytów, co znalazło odzwierciedlenie w zaskarżonej decyzji o umorzeniu postępowania administracyjnego w zakresie naruszenia art. 28 ust. 1 oraz 28 ust. 3 lit. h rozporządzenia 2016/679.

W nawiązaniu do zarzutu dotyczącego naruszenia przez Prezesa Urzędu Ochrony Danych Osobowych przepisów art. 83 ust. 1 rozporządzenia 2016/679, poprzez wymierzenie Spółce kary nieproporcjonalnej, zarzutu wskazującego na naruszenie art. 83 ust. 2 lit. a, poprzez zastosowanie przez organ błędnej wykładni przepisu; zarzutu odnoszącego się do naruszenia art. 83 ust. 2 lit. b rozporządzenia 2016/679, poprzez błędną jego wykładnię oraz przyjęcie, że nieumyślny charakter naruszenia stanowi okoliczność zaostrzającą karę; zarzutu wydania decyzji z naruszeniem art. 83 ust. 2 lit. k rozporządzenia 2016/679, poprzez jego niezastosowanie, Prezes Urzędu Ochrony Danych Osobowych uznał powyższe zarzuty za bezzasadne.

Prezes Urzędu Ochrony Danych Osobowych w uzasadnieniu zaskarżonej decyzji precyzyjnie określił okoliczności decydujące o konieczności nałożenia administracyjnej kary pieniężnej oraz czynniki mające wpływ na jej wysokość, stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679. Decydując, czy nałożyć administracyjną karę pieniężną, a także ustalając jej wysokość, za najistotniejsze naruszenie Prezes UODO uznał naruszenie przez Spółkę jednej z podstawowych zasad przetwarzania danych osobowych, tj. określonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679 zasady poufności danych osobowych. Stwierdził przy tym, że stosownie do treści art. 83 ust. 3 rozporządzenia 2016/679, karą zarówno adekwatną w ustalonych okolicznościach faktycznych sprawy, jak i spełniającą swoją funkcję na gruncie art. 83 ust. 1 rozporządzenia 2016/679, będzie kwota 1.069.850 PLN

Wymienione w art. 83 ust. 2 rozporządzenia 2016/679 przesłanki, jakie należy wziąć przy nakładaniu przez organ administracyjnej kary pieniężnej są przesłankami w większości ocennymi. Ustawodawca unijny nie zdefiniował, która z przesłanek miarkowania kary jest przesłanką łagodzącą, a która zaostrzającą jej wymiar, uznając, że ocena dokonywana przez organ nadzorcy w tym zakresie będzie uzależniona od okoliczności konkretnej sprawy.

Poczynione przez organ ustalenia, dotyczące okoliczności tej konkretnej sprawy, prowadzić muszą nieodparcie do konkluzji, że administrator dopuścił się istotnych uchybień w zakresie zarządzania stwierdzonym naruszeniem ochrony danych osobowych swoich kontrahentów. Nie można inaczej, jak tylko rażącym niedbalstwem określić sytuacji, w której administrator pomimo docierających do niego sygnałów o możliwym wystąpieniu naruszenia poufności danych przez niego przetwarzanych, dysponując przy tym instrumentarium w postaci środków technicznych i organizacyjnych, dzięki którym mógł bez zbędnej zwłoki dokonać ewaluacji zagrożenia i przedsięwziąć w porę odpowiednie środki zaradcze, przez ponad 10 dni nie uruchamiał wdrożonych w swojej organizacji procedur, czego egzemplifikacją jest incydent bezpieczeństwa z dnia [...] marca 2020 r. i dopiero na jego kanwie spóźniona reakcja Spółki.

W podsumowaniu organ stwierdził, że w treści zaskarżonej decyzji orzekając o nałożeniu administracyjnej kary pieniężnej dostatecznie wykazał zasadność nałożenia tej kary, jak zasadność ustalenia jej wysokości.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Skarga jest uzasadniona.

Zaskarżoną decyzją Prezes Urzędu Ochrony Danych Osobowych nałożył na [...] Sp. z o.o. w likwidacji z siedzibą w [...] – administratora danych osobowych, karę pieniężną za naruszenie określonych w tej decyzji przepisów rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r., prowadzące do wywołania zagrożenia polegającego na stworzeniu niekontrolowanego dostępu osób trzecich do przetwarzanych danych, wskutek błędu popełnionego przez pracownika podmiotu przetwarzającego ([...]), w związku z resetowaniem serwera, na którym przechowywano dane. Błąd ten polegał na nieprawidłowej konfiguracji zapory sieciowej zresetowanego serwera (tzw. firewall), skutkującej niewłączeniem tej zapory i tym samym pozbawieniem serwera ochrony.

Zdaniem organu zasadniczą przyczyną uzasadniającą postawienie administratorowi danych zarzutu naruszenia jego obowiązków mających na celu zapewnienie bezpieczeństwa danych osobowych była zwłoka administratora danych w podjęciu szybkiego i skutecznego działania prowadzącego do stwierdzenia naruszenia ochrony, dającego możliwość zapobieżenia albo ograniczenia skutków tego naruszenia. W odpowiedzi na skargę organ powtórzył, że kwestie dotyczące stosowania przez administratora technicznych i organizacyjnych rozwiązań w zakresie procesów przetwarzania danych osobowych jej klientów nie miały istotnie negatywnego wpływu na ryzyko naruszenia praw lub wolności osób fizycznych i były bez znaczenia dla zaskarżonego rozstrzygnięcia albowiem jego sedno stanowi spóźniona i nieadekwatna do ryzyka naruszenia ochrony danych osobowych reakcja administratora, a nie brak procedur.

W ocenie Prezesa Urzędu Ochrony Danych Osobowych, administrator, po otrzymaniu wiadomości z [...] marca 2020 r. nie dołożył szczególnej staranności w działaniu zmierzającym do zweryfikowania informacji o prawdopodobnym naruszeniu ochrony danych osobowych. Świadczy o tym. m. in. jego uwaga poczyniona w informacji przekazanej podmiotowi przetwarzającemu o prawdopodobnym naruszeniu danych, sugerująca, że może to być próba wyłudzenia danych. Co prawda administrator niezwłocznie przekazał tę informację podmiotowi przetwarzającemu, jednakże nie podejmował innych działań zmierzających do szybkiego i skutecznego stwierdzenia naruszenia.

Organ rozważał naruszenie związanych z tą zwłoką, określonych w decyzji przepisów prawnych jedynie w stosunku do administratora danych i w konsekwencji temu podmiotowi (skarżącej) przypisał całą odpowiedzialność za stwierdzone naruszenie, ponieważ w jego ocenie brak szybkiej reakcji podmiotu przetwarzającego na informację o prawdopodobnym naruszeniu nie zdejmuje z administratora odpowiedzialności za stwierdzenie naruszenia ochrony danych osobowych.

Rozważenie zasadniczej w tej sprawie kwestii ewentualnego rozłożenia ciężaru odpowiedzialności podmiotów biorących udział w procesie przetwarzania danych osobowych (administratora danych i podmiotu przetwarzającego) wymaga ustalenia zakresu przypisanych każdemu z nich, określonych w rozporządzeniu obowiązków związanych z przetwarzaniem. Jest oczywiste, że gdy administrator danych przetwarzając dane osobowe nie korzysta z usług innego podmiotu – podmiotu przetwarzającego, na nim spoczywa pełna odpowiedzialność za przestrzeganie przepisów mających zapewniać bezpieczeństwo tych danych. Inaczej wygląda sytuacja, jeżeli w procesie przetwarzania danych biorą udział dwa podmioty: administrator i podmiot przetwarzający. Podmiot przetwarzający, to w rozumieniu art. 4 pkt 8 rozporządzenia nr 22016/679 osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Administrator może więc posłużyć się zastępcą, który wykonuje za niego, w jego imieniu czynności przetwarzania. Zastępca (reprezentant) administratora jest odrębnym podmiotem prawa, działającym za reprezentowanego, na podstawie umocowania udzielonego w zawartej z administratorem umowie o powierzeniu przetwarzania. Jeżeli czynności przetwarzania wykonuje podmiot przetwarzający, a nie administrator, to co do zasady do działania tego zastępcy należałoby odnosić przepisy określające obowiązki związane z przetwarzaniem. Rozporządzenie nr 2016/679 rozkłada jednakże te obowiązki pomiędzy administratora i podmiot przetwarzający, co oznacza, że administrator powierzając przetwarzanie danych innemu podmiotowi nie jest zwolniony całkowicie z odpowiedzialności za niedopełnienie prawnych wymagań dotyczących przetwarzania. Przepisy rozporządzenia kierują niektóre obowiązki do administratora danych (art. 5 ust. 2), inne zaś są adresowane jednocześnie do administratora i do podmiotu przetwarzającego (art. 32 ust. 1 i 2). Ponadto podmiot przetwarzający ma odrębne obowiązki w tym zakresie (art. 28 rozporządzenia). Co prawda te obowiązki podmiotu przetwarzającego powinny być umieszczone w zawartej między stronami umowie o przetwarzanie danych. Niemniej jednak obligatoryjne dla stron wprowadzenie ich do umowy nie odbiera im charakteru publicznoprawnego, nie czyni obowiązkami wyłącznie obligacyjnymi, co ma oczywiście zasadnicze znaczenie dla określenia odpowiedzialności za ich naruszenie i co znajduje potwierdzenie w art. 83 ust. 4 lit. a rozporządzenia.

Trzeba podkreślić, że podmiot przetwarzający jest obowiązany do współdziałania z administratorem, a nawet do udzielania mu pomocy w wywiązywaniu się z jego obowiązków określonych w art. 32-36 (art. 28 rozporządzenia). Nałożenie zarówno na administratora, jak i na podmiot przetwarzający dość ogólnego obowiązku zapewnienia bezpieczeństwa danych (art. 32 ust. 1) nie implikuje oczywiście konieczności podejmowania przez te podmioty działań tego samego rodzaju i nie rodzi po ich stronie odpowiedzialności za naruszenia, niezależnie od tego, któremu z nich można je przypisać. Nie ma tu mowy o jakimkolwiek solidarnym, w rozumieniu prawnym wykonywaniu przez strony obowiązków dotyczących zapewnienia bezpieczeństwa przetwarzania danych i solidarnej odpowiedzialności za naruszenie tych obowiązków.

Zdaniem Wojewódzkiego Sądu Administracyjnego w Warszawie punktem odniesienia dla konkretyzacji obowiązków kierowanych do administratora i do podmiotu przetwarzającego (np. art. 32 ust. 1) są ich prawnie wyznaczone funkcje. Według rozporządzenia funkcją administratora danych jest samodzielne lub wspólnie z innymi ustalanie celów i sposobów przetwarzania danych osobowych (art. 4 pkt 7 rozporządzenia). Do podmiotu przetwarzającego należy natomiast przetwarzanie danych osobowych w imieniu administratora (art. 4 pkt 8). Prowadzi to do wniosku, że na każdym z tych podmiotów ciążą obowiązki dotyczące zakresu ich indywidualnego uczestnictwa w procesie przetwarzania danych. Ta teza znajduje potwierdzenie w piśmiennictwie. W komentarzu do art. 5 ust. 2 rozporządzenia formułującego ogólną zasadę odpowiedzialności administratora danych za przestrzeganie przepisów rozporządzenia dotyczących przetwarzania danych osobowych wyrażono pogląd, że w przypadku powierzenia przetwarzania danych osobowych, obowiązki wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego stopnia bezpieczeństwa odpowiadającego ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia spoczywają na podmiocie przetwarzającym (Ogólne rozporządzenie o ochronie danych osobowych Ustawa o ochronie danych osobowych Wybrane przepisy sektorowe. Komentarz pod red. P. Lipińskiego, Warszawa 2021, s. 164).

Przedstawione rozważania uzasadniają stwierdzenie, że w przypadku powierzenia przetwarzania danych podmiotowi przetwarzającemu egzekwowanie odpowiedzialności za naruszenia powstałe w procesie przetwarzania nie może nie brać pod uwagę obowiązków obu podmiotów uczestniczących w przetwarzaniu i nie uwzględniać ich indywidualnego przyczynienia się do powstania naruszenia. Świadczą o tym również określone w rozporządzeniu zasady nakładania administracyjnych kar pieniężnych za naruszenie przepisów rozporządzenia (art. 83). Tej odpowiedzialności administracyjnej podlegają administrator danych i podmiot przetwarzający. Jedna z dyrektyw nakładania tych kar stanowi, że podjęcie decyzji o nałożeniu kary i ustaleniu jej wysokości wymaga zwrócenia uwagi w każdym indywidualnym przypadku na stopień odpowiedzialności administratora lub podmiotu przetwarzającego, z uwzględnieniem środków technicznych organizacyjnych wdrożonych przez nich na mocy art. 25 i 32 (art. 83 ust. 2 lit. d).

Odnosząc się do zasadniczej, zdaniem organu kwestii spóźnionego podjęcia działań zmierzających do stwierdzenia naruszenia ochrony danych osobowych należy zauważyć, że przepisy rozporządzenia nie formułują wprost prawnego obowiązku podjęcia działań zmierzających do niezwłocznego stwierdzenia takiego naruszenia. Rozporządzenie stanowi jedynie o obowiązku administratora i podmiotu przetwarzającego niezwłocznego zawiadomienia o stwierdzonym naruszeniu ochrony danych osobowych. Administratora bez zbędnej zwłoki zawiadamia o stwierdzonym naruszeniu organ nadzorczy (art. 33 ust. 1). Natomiast podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych bez zbędnej zwłoki zgłasza je administratorowi (art. 33 ust. 2).

Organ wywiódł obowiązek doprowadzenia do niezwłocznego stwierdzenia naruszenia ochrony danych osobowych, m. in. z treści art. 32 ust. 1 i 2 rozporządzenia, przypisując go jednak wyłącznie administratorowi danych. Tymczasem z tych przepisów wynika, że dotyczą one zarówno administratora jak i podmiotu przetwarzającego, co dodatkowo potwierdza art. 28 ust. 3 lit.c tego aktu prawnego. Co więcej, art. 28 ust. 3 lit. f nakazuje podmiotowi przetwarzającemu udzielenie pomocy administratorowi danych w zakresie wykonywania przez administratora jego obowiązków określonych w art. 32 – 36. Oznacza to, że podmiot przetwarzający ma nie tylko własny obowiązek podjęcia działań zmierzających do niezwłocznego stwierdzenia naruszenia ochrony danych, ale jest również obowiązany do wspierania administratora w jego poczynaniach mających również na celu stwierdzenie naruszenia ochrony bez zbędnej zwłoki.

W świetle przedstawionego stanu prawnego postawienie zarzutu niedopełnienia obowiązku niezwłocznego stwierdzenia naruszenia ochrony danych osobowych tylko jednemu z dwóch podmiotów uczestniczących w przetwarzaniu danych byłoby więc uzasadnione, gdyby powstanie naruszenia nie miało żadnego związku z działaniem lub zaniechaniem drugiego z nich.

Zdaniem Sądu okoliczności faktyczne sprawy nie dają podstaw do postawienia zarzutów naruszenia obowiązków wskazanych w zaskarżonej decyzji wyłącznie administratorowi danych i w konsekwencji nałożenia na niego kary pieniężnej.

Należy przede wszystkim podkreślić, że naruszenie ochrony polegało na stworzeniu możliwości nieuprawnionego dostępu do danych będących w dyspozycji podmiotu przetwarzającego, wskutek błędu pracownika tego podmiotu, polegającego na niewłączeniu zapory sieciowej zresetowanego serwera. Stało się to 28 lutego 2020 r. Naruszenie przez nieuprawione udostępnienie danych nie miało zatem bezpośredniego związku z działaniem lub zaniechaniem administratora danych, administrator nie miał bezpośredniego wpływu na powstanie naruszenia. Organ nie wykazał też, że administrator danych mógł swoimi konkretnymi działaniami zapobiec temu zdarzeniu. Jeżeli zatem organ uznał, że stwierdzenie naruszenia było stwierdzone, to to opóźnienie nie było przyczyną naruszenia lecz przyczyną powstania szkody (kradzieży danych) w czasie pomiędzy powstaniem naruszenia (28 lutego) a stwierdzeniem, że naruszenie powstało ([...] i [...] marca 2020 r.).

Ustalone w postępowaniu administracyjnym w tej sprawie fakty rzeczywiście wskazują, że pomiędzy uzyskaniem przez administratora pierwszej informacji o prawdopodobnym naruszeniu ochrony danych ([...] marca 2020 r.), a stwierdzeniem przez ten podmiot naruszenia i ustaleniem jego źródła ([...] marca 2020 r.) upłynęło kilkanaście dni. W tym czasie ([...] marca 2020 r.) dane, pozbawione ochrony (zabezpieczenia) zostały pobrane i usunięte z serwera przez nieuprawniony podmiot zewnętrzny. Jest zatem bardzo prawdopodobne, że szybsze stwierdzenie naruszenia mogłoby zapobiec "wyciekowi" tych danych i powstaniu związanej z tym szkody.

Istotne znaczenie dla obciążenia któregokolwiek z podmiotów odpowiedzialnością za to opóźnienie mają zdarzenia przypadające w okresie pomiędzy [...] a [...] marca 2020 r., wymagające oceny uwzględniającej prawny kontekst całej tej sytuacji.

Po wewnętrznej weryfikacji informacji o prawdopodobnym naruszeniu ochrony danych, następnego dnia ([...] marca 2020 r.) administrator przekazał tę wiadomość podmiotowi przetwarzającemu. W dniu [...] marca 2020 r. administrator ponownie zwrócił się do podmiotu przetwarzającego w sprawie weryfikacji tej informacji. Z wyjaśnień składanych przez administratora podmiotowi nadzorczemu, zawartych m. in. w piśmie z [...] marca 2020 r. wprost nie wynika, jak w okresie od [...] do [...] marca 2020 r. przebiegały i na czym polegały konkretne działania bądź ewentualnie zaniechania administratora danych i podmiotu przetwarzającego, w związku z otrzymaną informacją o prawdopodobnym naruszeniu danych. Administrator podał, że [...] marca 2020 r. podmiot przetwarzający ponownie zresetował serwer, jednakże konfiguracja serwera była w dalszym ciągu nieszczelna (port serwera pozostawał otwarty). Nie wyjaśniono, czy podmiot przetwarzający był świadomy niedziałania zabezpieczenia serwera po jego zresetowaniu i czy i kiedy powiadomił o tym administratora danych. Nie ulega jednak wątpliwości, że miał obowiązek sprawdzenia poprawności działania zapór sieciowych zresetowanego serwera po pierwszym i ponownym resecie. Na uwagę zasługuje fakt, że podmiot przetwarzający stwierdził powstanie naruszenia dopiero [...] marca 2020 r., w dniu w którym administrator danych ponowie powiadomił go o otrzymaniu kolejnej informacji o potencjalnym naruszeniu. W tym samym dniu podmiot przetwarzający ustalił poprawnie zapory firewall i zapłacił okup nieznanemu podmiotowi, który wykradł dane z niezabezpieczonego serwera oraz zgłosił stwierdzone naruszenie administratorowi. Po potwierdzeniu naruszenia przez administratora, administrator [...] marca 2020 r. zgłosił naruszenie organowi nadzoru.

Wydaje się oczywiste, że ze względu na to, że naruszenie nastąpiło w procesie przetwarzania danych przez podmiot przetwarzający, wskutek błędu jego pracownika, przede wszystkim ten podmiot miał największe możliwości, przy prawidłowym wykonywaniu swych obowiązków dotyczących zapewnienia bezpieczeństwa przetwarzanych danych, wynikających z art. 32 w związku z art. 28 ust. 3 lit. c rozporządzenia, doprowadzenia do niezwłocznego stwierdzenia naruszenia i powiadomienia administratora danych o naruszeniu. Należy zauważyć, że organ rozpatrując kwestię naruszenia przez administratora art. 28 ust. 1 i ust. 3 lit. h rozporządzenia umorzył postępowanie w tym zakresie, ponieważ nie dopatrzył się po stronie administratora błędu w wyborze podmiotu przetwarzającego dane.

Zdaniem Sądu w świetle analizowanych wyżej przepisów rozporządzenia i ustalonych przez organ okoliczności faktycznych sprawy nie ma podstaw do przypisania administratorowi danych sprawstwa za powstanie naruszenia (spowodowania niekontrolowanego dostępu do danych) ani do postawienia temu podmiotowi zarzutu spowodowania wyłącznie swoim zachowaniem opóźnienia w stwierdzeniu naruszenia ochrony danych osobowych. Jeżeli bowiem już [...] marca 2020 r., po ponownym zresetowaniu serwera, przetwarzający nie dokonał poprawnego jego zabezpieczenia, to ten jego błąd obojętnie czy niezauważony czy zlekceważony, całkowicie obciąża podmiot przetwarzający.

Administrator danych nie posiadając organizacyjnych czy technicznych możliwości prawidłowego, zgodnego z wymogami prawnymi przetwarzania danych, powierzył te czynności innemu podmiotowi, wyspecjalizowanemu w tej materii. Niejako wyręczył się w tym zakresie podmiotem przetwarzającym. Dokonując prawidłowego (niezakwestionowanego przez organ nadzoru) wyboru tego podmiotu, mógł mieć więc zaufanie do jego działania, wsparte znajomością ciążących na nim obowiązków określonych omawianym rozporządzeniem oraz wynikających z umowy o powierzenie przetwarzania danych. Mocą tej umowy podmiot przetwarzający zobowiązał się wobec administratora danych m.in. do stosowania odpowiednich technicznych, fizycznych oraz organizacyjnych środków bezpieczeństwa w celu ochrony powierzonych danych, sprawowania nadzoru nad bezpieczeństwem danych przez cały okres ich powierzenia i wreszcie do zgłaszania administratorowi bez zbędnej zwłoki faktycznego lub podejrzanego naruszenia ochrony danych (§ 3 ust. 1 lit a i b, ust. 2 pkt 9 umowy).

Dokonanie prawidłowego wyboru podmiotu przetwarzającego dane nie zwalnia administratora całkowicie z obowiązków związanych z przetwarzaniem danych i z odpowiedzialności za ich naruszenie. Nie pozwala jednak na egzekwowanie od administratora całej odpowiedzialności za naruszenie przepisów prawa prowadzących do naruszenia ochrony danych osobowych, powstałego z przyczyn leżących po stronie podmiotu przetwarzającego. Zgadzając się z organem, że administrator nie wykazał się znaczącą aktywnością w działaniach zmierzających do zweryfikowania informacji o prawdopodobnym naruszeniu ochrony danych osobowych, trzeba zauważyć, że w okolicznościach faktycznych sprawy jego możliwości działania były ograniczone, poza wywieraniem nacisku na podmiot przetwarzający. Nie wydaje się bowiem, aby administrator miał techniczne czy organizacyjne możliwości, pozwalające mu na własną rękę skontrolować funkcjonowanie zabezpieczeń serwera, z którego wyciekły dane. Ponadto administrator informował, w ramach wyjaśnień składanych organowi nadzoru o utrzymywaniu stałego kontaktu z podmiotem przetwarzającym po pojawieniu się informacji o wycieku danych.

Według Sądu w tej sprawie naruszenie ochrony danych nastąpiło z przyczyn leżących po stronie podmiotu przetwarzającego. Naruszeniem w rozumieniu art. 4 pkt 12 rozporządzenia jest bowiem stworzenie nieuprawionego dostępu do danych, a to nastąpiło wskutek błędu pracownika podmiotu przetwarzającego. Organ w żaden sposób nie wykazał, że istnieje związek przyczynowo - skutkowy pomiędzy tym błędem, a zarzucanym administratorowi naruszeniem obowiązków wskazanych w decyzji o nałożeniu kary administracyjnej, które według tego, co już powiedziano należy interpretować zgodne z funkcją administratora jako podmiotu ustalającego cele i sposoby przetwarzania danych. Rozumowanie organu sprowadza się do przyporządkowania (subsumcji) ustalonego stanu faktycznego, ograniczonego do działania administratora pod określone przepisy rozporządzenia, regulujące obowiązki związane z przetwarzaniem danych osobowych, z pominięciem faktu, że te przepisy odnoszą się nie tylko do administratora danych i że ze stanu faktycznego wynika oczywisty udział podmiotu przetwarzającego w powstaniu naruszenia ochrony danych osobowych. Jak już powiedziano, przypisana administratorowi opieszałość w stwierdzeniu naruszenia ochrony danych mogła się ewentualnie przyczynić do powstania szkody w wyniku powstałego naruszenia, a nie do powstania samego naruszenia.

Z tych względów Sąd uznaje za uzasadnione zarzuty skargi dotyczące naruszenia przepisów postępowania, polegające na niepełnym zebraniu, rozpatrzeniu i błędnej ocenie materiału dowodowego w sprawie (art. 7, art. 7a § 1, art. 8 § 1, art. 77 § 1, art. 81 a § 1 oraz art. 80 k.p.a.).

W konsekwencji organ naruszył również przepisy prawa materialnego – art. 5 ust. 1 lit. f, art. 25 ust. 1, art. 32 ust. 1 lit. b, art. 32 ust. 1 lit. d, art. 32 ust. 2 oraz art. 83 ust. 1 i ust. 2 lit d rozporządzenia nr 2016/679, wymierzając skarżącej karę bez uwzględniania wszystkich okoliczności rozpoznawanego przypadku. Nie wziął pod uwagę roli podmiotu przetwarzającego w powstaniu naruszenia ochrony danych osobowych i tym samym wymierzył administratorowi karę administracyjną z pominięciem zasady proporcjonalności kary w stosunku do stopnia odpowiedzialności administratora danych i podmiotu przetwarzającego.

Z tych wszystkich względów, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit a i c ustawy Prawo o postępowaniu przed sądami administracyjnymi, uchylił pkt 1 zaskarżonej decyzji. O kosztach postępowania Sąd orzekł w oparciu o art. 200 i art. 205 § 2 ustawy procesowej zasądzając od organu na rzecz Spółki 10 699 zł tytułem uiszczonego wpisu od skargi, koszty zastępstwa adwokackiego w wysokości 10 800 zł (§ 14 ust.1 pkt 1 lit. a w zw. z § 2 rozporządzenia Ministra Sprawiedliwości z 22 października 2015 r. w sprawie opłat za czynności adwokackie Dz. U z 2015 r. poz. 1800) oraz 17 zł tytułem opłaty skarbowej od pełnomocnictwa.