Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Agnieszka Góra-Błaszczykowska (spr.), Sędzia WSA Tomasz Szmydt, Sędzia WSA Andrzej Góraj, , Protokolant referent stażysta Natalia Grzelak, , po rozpoznaniu na rozprawie w dniu 6 listopada 2023 r. sprawy ze skargi Spółdzielni Mieszkaniowej "[...]" z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz Spółdzielni Mieszkaniowej ,, [...]’’ z siedzibą w [...] kwotę 1997 (słownie: tysiąc dziewięćset dziewięćdziesiąt siedem) złotych tytułem zwrotu kosztów postępowania.

Przedmiotem rozpoznania w niniejszej sprawie była skarga Wspólnoty Mieszkaniowej [...]z siedzibą w O. na decyzję Prezesa Urzędu Ochrony Danych Osobowych znak [...] z dnia [...] marca 2023 r. w przedmiocie przetwarzania danych osobowych.

Skarga została złożona w następującym stanie faktycznym sprawy:

W dniu [...] sierpnia 2021 r. (data wpływu do organu) do Prezesa Urzędu Ochrony Danych Osobowych (zwany dalej: Prezes UODO, organ), wpłynęła od osoby trzeciej informacja wskazująca na udostępnienie jej - jako osobie nieuprawnionej -zawiadomienia z dnia [...] sierpnia 2021 r. o podejrzeniu popełnienia przestępstwa, które ujawniało dane osobowe w postaci: imienia, nazwiska, numeru ewidencyjnego PESEL oraz adresu zamieszkania osoby wskazanej w tym zawiadomieniu (zwanej dalej: członkiem SM), przez Spółdzielnię Mieszkaniową [...]z siedzibą w O. (zwana dalej: skarżąca, SM, spółdzielnia). Osoba trzecia, która jako osoba zawodowo związana z mediami informacyjnymi stała się nieuprawnionym odbiorcą ww. dokumentu, wyjaśniła, że dane w nim zawarte otrzymała "(...) z własnej woli wiceprezesa zarządu" spółdzielni, nigdy o ich udzielenie nie wnioskowała i nie były jej wcześniej znane.

W związku z tym, pismem z [...] września 2021 r. Prezes UODO, zwrócił się do spółdzielni o wyjaśnienie, czy w związku z ww. sytuacją dokonana została analiza zdarzenia pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie.

W odpowiedzi na wezwanie (pismo z [...] września 2021 r.) skarżąca podała, że "(...) jedna z osób będących mieszkańcem w zasobach spółdzielni, niezadowolona z wysokości opłat eksploatacyjnych (opłaty za wodę, niezależne od SM) wszczęła kampanię negatywną wobec spółdzielni w lokalnych mediach i internecie, sama upubliczniając swoje dane osobowe publicznie". W rezultacie działań, zmierzających do wyjaśnienia zaistniałej sytuacji, SM złożyła zawiadomienie o podejrzeniu popełnienia przestępstwa przez ww. osobę, a następnie "(...) w celu przedstawienia opinii publicznej prawdziwego stanu faktów, Zarząd zwołał konferencję prasową tylko dla dziennikarzy, gdzie przedstawił fakty i udostępnił dziennikarzom kserokopię zawiadomienia o podejrzeniu popełnienia przestępstwa, wierząc w rzetelność zawodu dziennikarza i w Prawo Prasowe (w szczególności Art. 4, 11 i12 tego prawa) uznano, że dane osobowe są bezpieczne. Odnotowano w Rejestrze Naruszeń tę czynność. Inspektor Ochrony Danych Osobowych ocenił, że ryzyko naruszenia praw i wolności osoby fizycznej, która sama upubliczniła swoje dane osobowe, jest niskie".

W związku z tymi wyjaśnieniami, Prezes UODO zwrócił się do spółdzielni (pismo z [...] października 2021 r.) o przekazanie informacji, czy osoba, której dane dotyczą, upubliczniła odnoszące się do niej zawiadomienie o podejrzeniu popełnienia przestępstwa, a jeżeli tak, to w jakich okolicznościach i w jakiej części.

W odpowiedzi na zapytanie skarżąca wyjaśniła, że nie posiada informacji, czy osoba, której dane dotyczą, upubliczniła kserokopię zawiadomienia o podejrzeniu popełnienia przestępstwa, ani nie posiada wiedzy o tym, czy taką kopię pozyskała.

Wobec braku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osoby, której dotyczyło naruszenie, Prezes UODO pismem z [...] listopada 2021 r. zawiadomił SM o wszczęciu wobec niej z urzędu postępowania administracyjnego w tym przedmiocie. Jednocześnie SM została wezwana do przedstawienia rejestru naruszeń oraz oceny poziomu ryzyka przeprowadzonej przez Inspektora Ochrony Danych, o której mowa w piśmie spółdzielni z dnia [...] września 2021 r.

W odpowiedzi SM przekazała m.in. kserokopię "Rejestru naruszeń ochrony danych osobowych" obejmującą dwa wpisy. Jeden z nich dotyczył naruszenia art. "33 ust. 1 zdanie 1 in principio" rozporządzenia 2016/679, które zostało oznaczone jako niepodlegające obowiązkowi zgłoszenia organowi nadzorczemu oraz obowiązkowi zawiadomienia osoby, której dane dotyczą. Wpis ten objął również następujące dane: 1) okoliczności naruszenia: "[...] sierpnia 2021 r. Prezes Spółdzielni Mieszkaniowej [...] na konferencji prasowej przekazał dziennikarzom kopie pisma zawiadomienia o możliwości popełnienia przestępstwa przez członka Spółdzielni Mieszkaniowej [...] "; 2) skutki naruszenia: "Przeoczenie na kopi ksero danych osobowych i nie zamazanie tych danych. W związku z Art. 4, 11 i 12 Prawa Prasowego, działanie nienoszące cech wysokiego naruszenia praw i wolności osób fizycznych"; 3) podjęte działania zaradcze: "Dodatkowe przeszkolenie pracowników z zasad ochrony danych osobowych".

Wobec stwierdzenia, że opisane informacje nie stanowiły wszystkich danych, o których udostępnienie organ zwrócił się do skarżącej, Prezes UODO ponownie wezwał SM o przekazanie oceny ryzyka przeprowadzonej przez Inspektora Ochrony Danych, o której mowa w piśmie spółdzielni z dnia [...] września 2021 r.

W reakcji spółdzielnia przekazała organowi jedynie dokument zatytułowany: ,Analiza zagrożeń i ryzyka przy przetwarzaniu danych osobowych w Spółdzielni Mieszkaniowej [...] w O.", która nie zawierała informacji dotyczących przeprowadzonej przez Inspektora Ochrony Danych analizy ryzyka naruszenia praw lub wolności osoby, której dotyczyły dane znajdujące się w dokumencie udostępnionym nieuprawnionym odbiorcom.

Decyzją znak [...] z dnia [...] marca 2023 r. organ, działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2022 r., poz. 2000, zwana dalej: k.p.a.), art. 7 ust. 1 oraz art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781, zwana dalej: u.o.d.o.) a także art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. e) oraz i), art. 83 ust. 1 i ust. 2, art. 83 ust. 4 lit. a) w związku z art. 33 ust. 1 oraz art. 34 ust. 1, 2 i 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35; zwane dalej: rozporządzeniem 2016/679): w pkt 1 – nałożył na skarżącą administracyjną karę pieniężną w wysokości 51.876 zł za stwierdzone przez spółdzielnię naruszenie przepisów: art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia oraz art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osoby, której dane dotyczą;

pkt 2 – nakazał spółdzielni zawiadomienie - w terminie 3 dni od dnia doręczenia niniejszej decyzji - osoby, której dane zostały ujawnione w wyniku przedmiotowego udostępnienia, o naruszeniu ochrony jej danych osobowych w celu przekazania jej informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, tj.: a) opisu charakteru naruszenia ochrony danych osobowych; b) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisu możliwych konsekwencji naruszenia ochrony danych osobowych; d) opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

W uzasadnieniu podjętej decyzji, po przedstawieniu treści przepisów obowiązujących w spornej materii (art. 4 pkt 12, art. 33 ust. 1 i 3, art. 34 ust. 1 rozporządzenia 2016/679) organ podał, że w przypadku wykrycia przez administratora naruszenia ochrony danych osobowych, w pierwszej kolejności konieczne jest dokonanie analizy pod kątem wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. Administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu, jeśli w wyniku przeprowadzonego badania okaże się, że istnieje co najwyżej małe prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. Jednak organ nadzorczy będzie mógł zwrócić się do administratora o uzasadnienie decyzji o niezgłaszaniu naruszenia, w związku z tym wnioski z przeprowadzonej analizy należy odnotować w wewnętrznej ewidencji naruszeń.

W Wytycznych [...] znajdują się rekomendacje Grupy Roboczej Art. 29, dotyczące wymogu zgłaszania naruszeń organowi nadzorczemu. Oceny ryzyka naruszenia praw lub wolności osoby fizycznej powinno się dokonać przez pryzmat osoby zagrożonej, a nie interesów administratora. Jest to szczególnie ważne, jako że w oparciu o zawiadomienie o naruszeniu osoba fizyczna może sama dokonać oceny, czy w jej opinii incydent bezpieczeństwa może powodować dla niej negatywne konsekwencje i podjąć odpowiednie działania zaradcze. Również w oparciu o informacje, przekazane przez administratora, dotyczące opisu charakteru naruszenia i zastosowanych lub proponowanych środkach w celu zaradzenia naruszeniu, osoba fizyczna może dokonać oceny, czy po zaistniałym naruszeniu administrator danych nadal daje rękojmię należytego przetwarzania jej danych osobowych w sposób zapewniający ich bezpieczeństwo.

Brak zawiadomienia osoby fizycznej o naruszeniu, w przypadku wystąpienia wysokiego ryzyka naruszenia jej praw lub wolności, pozbawia ją nie tylko możliwości odpowiedniej reakcji na naruszenie, ale również możliwości dokonania samodzielnej oceny naruszenia, które przecież dotyczy jej danych osobowych i może powodować doniosłe konsekwencje dla niej. Natomiast brak zgłoszenia naruszenia ochrony danych osobowych pozbawia organ nadzorczy możliwości odpowiedniej reakcji na naruszenie, która przejawia się nie tylko w ocenie ryzyka naruszenia dla praw lub wolności osoby fizycznej, ale również w szczególności na weryfikacji, czy administrator zastosował właściwe środki w celu zaradzeniu naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą, jak również, czy zastosował odpowiednie środki bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia.

Zgłaszanie naruszeń ochrony danych osobowych przez administratorów stanowi skuteczne narzędzie, przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Zgłaszając naruszenie organowi nadzorczemu, administratorzy informują Prezesa UODO, czy w ich ocenie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą oraz - jeśli takie ryzyko wystąpiło - to czy przekazali stosowne informacje osobom fizycznym, na które naruszenie wywiera wpływ. W uzasadnionych przypadkach mogą również przekazać informację, że powiadomienie w ich ocenie nie jest konieczne ze względu na spełnienie warunków określonych w art. 34 ust. 3lit. a) i b) rozporządzenia 2016/679.

Prezes UODO dokonuje weryfikacji oceny dokonanej przez administratora i może - jeżeli administrator nie zawiadomił osób, których dane dotyczą - zażądać od niego takiego zawiadomienia. Zgłoszenia naruszenia ochrony danych osobowych pozwalają organowi nadzorczemu na właściwą reakcję mogącą ograniczyć skutki takich naruszeń, bowiem administrator ma obowiązek podjęcia skutecznych działań zapewniających ochronę osobom fizycznym i ich danym osobowym, które z jednej strony pozwolą na kontrolę skuteczności dotychczasowych rozwiązań, a z drugiej ocenę modyfikacji i usprawnień służących zapobieżeniu nieprawidłowościom analogicznym do objętych naruszeniem. Natomiast zawiadomienie osób fizycznych o naruszeniu zapewnia możliwość przekazania tym osobom informacji na temat ryzyka związanego z naruszeniem oraz wskazania działań, jakie osoby te mogą podjąć, aby uchronić się przed potencjalnymi negatywnymi skutkami naruszenia (umożliwia to osobie fizycznej dokonanie samodzielnej oceny naruszenia w kontekście możliwości materializacji negatywnych konsekwencji dla takiej osoby i podjęcia decyzji o zastosowaniu lub braku zastosowania działań zaradczych).

Zdaniem organu, w przedmiotowej sprawie administrator nie wykazał, by taka ocena ryzyka w ogóle została dokonana – w reakcji na dwukrotne wezwanie do przedstawienia takiej oceny, przekazał jedynie dokument (pt. "Analiza zagrożeń i ryzyka przy przetwarzaniu danych osobowych w Spółdzielni Mieszkaniowej [...] w O."), który miał charakter ogólny i nie odnosił się do konkretnego (rozpatrywanego w niniejszej decyzji) przypadku naruszenia ochrony danych osobowych członka spółdzielni.

Dokonując oceny ryzyka naruszenia praw lub wolności osoby fizycznej w przedmiotowej sprawie organ stwierdził, że naruszenie poufności danych, jakie wystąpiło w związku z naruszeniem ochrony danych osobowych, polegającym na udostępnieniu podmiotowi nieuprawnionemu dokumentu, zawierającego dane osobowe członka spółdzielni w zakresie: numeru ewidencyjnego PESEL wraz z imieniem i nazwiskiem oraz adresu zamieszkania, powoduje wysokie ryzyko naruszenia praw lub wolności osoby fizycznej. Jak wskazuje Grupa Robocza Art. 29 w Wytycznych [...] : "Ryzyko to istnieje w przypadku, gdy naruszenie może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone. Przykłady takich szkód obejmują dyskryminację, kradzież lub sfałszowanie tożsamości, straty finansowe i naruszenie dobrego imienia". Przywołane w wytycznych przykłady szkód, z uwagi na zakres danych objęty niniejszym naruszeniem ochrony danych osobowych, mogą wystąpić w omawianym przypadku.

Podkreślił, że zaistniałe naruszenie ochrony danych osobowych dotyczyło numeru ewidencyjnego PESEL, czyli jedenastocyfrowego symbolu numerycznego, jednoznacznie identyfikującego osobę fizyczną, zawierającego m.in.: datę urodzenia oraz oznaczenie płci, a więc ściśle powiązanego ze sferą prywatną osoby fizycznej oraz podlegającego również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679 - będącego daną o szczególnym charakterze i takiej szczególnej ochrony wymagającego. W wyniku zaistniałego naruszenia doszło do udostępnienia osobie nieuprawnionej tego numeru ewidencyjnego wraz z imieniem i nazwiskiem członka spółdzielni, które to zestawienie danych bywa wystarczające do "podszycia się" pod podmiot tych danych i zaciągnięcia w imieniu i na szkodę takiego podmiotu np. zobowiązań pieniężnych. Nie można również pominąć, że analizowane naruszenie obejmowało także adres zamieszkania członka spółdzielni. Nadto ujawnienie tych danych nastąpiło w szczególnym kontekście: pismo zawierające te dane stanowiło bowiem zawiadomienie o podejrzeniu popełnienia przestępstwa, czego nie można uznać za indyferentne przy dokonywaniu oceny ryzyka naruszenia praw lub wolności osoby fizycznej wiążącego się z tym ujawnieniem danych osobowych nieuprawnionemu odbiorcy.

Organ wyjaśnił, że dokonując oceny pod kątem ryzyka naruszenia praw lub wolności osób fizycznych, od której uzależnione jest dokonanie zgłoszenia naruszenia ochrony danych osobowych oraz zawiadomienie o naruszeniu osoby, której dane dotyczą, należy łącznie uwzględnić czynnik prawdopodobieństwa i wagę potencjalnych negatywnych skutków. Wysoki poziom któregokolwiek z tych czynników ma wpływ na wysokość ogólnej oceny, od której uzależnione jest wypełnienie obowiązków określonych w art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679. Skoro z uwagi na zakres ujawnionych danych osobowych w analizowanym przypadku wystąpiła możliwość zmaterializowania się doniosłych negatywnych konsekwencji dla osoby, której dane dotyczą, to wagę potencjalnego wpływu na prawa lub wolności osoby fizycznej należy uznać za wysoką. Jednocześnie prawdopodobieństwo wystąpienia wysokiego ryzyka w następstwie przedmiotowego naruszenia nie jest małe i nie zostało wyeliminowane. Tym samym stwierdził, że w przedmiotowym przypadku występuje wysokie ryzyko naruszenia praw lub wolności osoby objętej przedmiotowym naruszeniem, co z kolei skutkuje powstaniem po stronie spółdzielni obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 33 ust.3 rozporządzenia 2016/679 oraz zawiadomienia tej osoby o naruszeniu, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 34 ust. 2 rozporządzenia 2016/679.

Ustosunkowując się do wyjaśnień spółdzielni, organ w pierwszej kolejności wskazał, że w związku z naruszeniem ochrony danych osobowych, polegającym na udostępnieniu podmiotowi nieuprawnionemu dokumentu, zawierającego dane osobowe członka spółdzielni, nie jest istotne to, czy osoba ta faktycznie dokonała czynów, o których mowa w złożonym przez spółdzielnię zawiadomieniu o podejrzeniu popełnienia przestępstwa. Nawet gdyby potwierdzono zasadność podnoszonych przez skarżącą zarzutów wobec tej osoby, nie oznacza to, że jej dane osobowe nie powinny podlegać takiej samej ochronie, jak każdej innej osoby fizycznej w podobnej sytuacji. Z wyjaśnień spółdzielni nie wynika, że członek spółdzielni sam udostępnił swoje dane osobowe, znajdujące się w zawiadomieniu o podejrzeniu popełnienia przestępstwa, toteż nie można przyjąć, iż okoliczność taka mogłaby być w ogóle brana pod uwagę przy ocenie prawidłowości postępowania skarżącej.

W przedmiotowej sprawie doszło do ujawnienia danych osobowych członka spółdzielni osobie zawodowo związanej z mediami informacyjnymi, stąd skarżąca składając wyjaśnienia wskazywała w szczególności na treść art. 4, 11 i 12 ustawy z dnia 26 stycznia 1984 r. Prawo prasowe (Dz. U. z 2018 r., poz. 1914, zwana dalej: u.p.p.). Istotne jest jednak to, że osoba trzecia, której udostępniono przedmiotowe dane członka spółdzielni, w ogóle nie wnioskowała o ich udostępnienie, tak więc działanie spółdzielni (administratora) w zakresie udostępnienia jej danych osobowych członka spółdzielni można uznać co najmniej za "nadmiarowe". Co więcej, udostępnienie to nastąpiło z naruszeniem przez skarżącą obowiązku ochrony tych danych. W tej sytuacji nie ma podstaw do stwierdzenia, by administrator z jakichkolwiek był przyczyn zwolniony z obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu zgodnie z art. 33 ust. 1 rozporządzenia 2016/679 oraz z obowiązku zawiadomienia o nim osoby, której dotyczą dane objęte tym naruszeniem (zgodnie z art. 34 ust. 1 tego rozporządzenia). Naruszenie to dotyczyło imienia, nazwiska, numeru ewidencyjnego PESEL oraz adresu zamieszkania ww. osoby zawartych w specyficznym dokumencie, a nadto zawierające te dane zawiadomienie o podejrzeniu popełnienia przestępstwa przez członka spółdzielni zostało udostępnione więcej niż jednej osobie. W ocenie organu nie istnieje więc uzasadnienie dla niewykonania przez spółdzielnię obowiązków wynikających z powyższych przepisów. Ponadto skarżąca jako administrator, realizując obowiązek określony w art. 34 ust. 2 rozporządzenia 2016/679, powinna wskazać osobie, której dane dotyczą, najbardziej prawdopodobne, negatywne konsekwencje naruszenia jej danych osobowych.

Zdaniem organu, z uwagi na naruszenie obowiązków administratora, o których mowa w art. 33 i 34 rozporządzenia 2016/679, w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na spółdzielnię administracyjnej kary pieniężnej w oparciu o art. 83 ust. 4 lit. a) rozporządzenia 2016/679. Orzekając w zakresie kary pieniężnej Prezes UODO (stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679) wziął pod uwagę:

1) charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody - stwierdzając naruszenie przepisu art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679 polegające odpowiednio na niezgłoszeniu organowi naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia oraz na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osoby, której dane dotyczą. Opisane naruszenia związane są udostępnieniem dokumentu (zawiadomienia o podejrzeniu popełnienia przestępstwa) zawierającego dane osobowe członka spółdzielni w postaci: numeru PESEL wraz z imieniem i nazwiskiem i adresem zamieszkania, co sprawia, że ma ono znaczną wagę i poważny charakter, ponieważ zdarzenie to może doprowadzić do szkód majątkowych lub niemajątkowych dla osoby, której dane zostały naruszone, a prawdopodobieństwo ich wystąpienia jest wysokie. W niniejszej sprawie naruszenie ochrony danych osobowych dotyczyło tylko jednej osoby i trwało kilkanaście miesięcy;

2) umyślny charakter naruszenia - stwierdzając, że spółdzielnia podjęła świadomą decyzję, by nie zawiadamiać o naruszeniu Prezesa UODO, jak i osoby, której dane dotyczą, pomimo faktu, że Prezes UODO w pierwszej kolejności informował spółdzielnię o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych;

3) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków – stwierdzając, że współpraca skarżącej z organem nadzoru była niezadowalająca. Ocena ta dotyczy reakcji skarżącej na pisma Prezesa UODO, informujące o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych, czy wreszcie wobec wszczęcia postępowania administracyjnego w przedmiocie obowiązku zgłoszenia naruszenia ochrony danych osobowych i zawiadomienia o naruszeniu osoby, której dane dotyczą;

4) kategorie danych osobowych, których dotyczyło naruszenie – stwierdzając, że dane osobowe udostępnione osobie nieuprawnionej nie należą do szczególnych kategorii danych osobowych ( o których mowa w art. 9 rozporządzenia 2016/679), jednakże fakt, iż w udostępnionym dokumencie zawarto szeroki ich zakres (imię i nazwisko, adres zamieszkania, numer ewidencyjny PESEL), wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych.

Prezes UODO wyjaśnił, że ustalając wysokość administracyjnej kary pieniężnej nie znalazł podstaw do uwzględnienia okoliczności łagodzących, mających wpływ na ostateczny wymiar kary (a jedynie okoliczności neutralne).

Za stwierdzone w niniejszej sprawie naruszenia, Prezes UODO (na podstawie art. 83 ust. 4 lit. a) rozporządzenia 2016/679 w związku z art. 103 u.o.d.o., nałożył na spółdzielnię administracyjną karę pieniężną w kwocie 51.876, zł (co stanowi równowartość 11.000 euro). W ocenie organu zastosowana kara pieniężna spełnia przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonego naruszenia w kontekście podstawowego celu rozporządzenia 2016/679 - ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych. Odnosząc się do wysokości wymierzonej spółdzielni administracyjnej kary pieniężnej Prezes UODO uznał, iż jest ona proporcjonalna do sytuacji finansowej skarżącej i nie będzie stanowiła dla niej nadmiernego obciążenia.

W skardze złożonej na powołane rozstrzygnięcie do sądu administracyjnego skarżąca, reprezentowana przez profesjonalnego pełnomocnika, wniosła o uchylenie zaskarżonej decyzji w całości oraz zasądzenie zwrotu kosztów postępowania. Wydanej decyzji skarżąca zarzuciła naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy oraz przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj.:

1. art. 107 § 3 k.p.a. w związku z art. 33 ust. 1 oraz 34 ust. 1 rozporządzenia 2016/679, poprzez brak sformułowania przez organ w uzasadnieniu zaskarżonej decyzji przekonujących argumentów, przemawiających za uznaniem, że naruszenie ochrony danych osobowych przez skarżącą mogło powodować wyższe niż małe ryzyko naruszenia praw lub wolności osób fizycznych;

2. art. 107 § 3 k.p.a. w zw. z art. 83 ust. 1 rozporządzenia 2016/679 poprzez brak wyjaśnienia przez organ nadzorczy w uzasadnieniu zaskarżonej decyzji przyczyn, dla których uznał, że nałożona na skarżącą administracyjna kara pieniężna będzie proporcjonalna do naruszenia ochrony danych osobowych przetwarzanych przez skarżącą;

3. art. 7 § 1 oraz art. 77 § 1 k.p.a. poprzez niezasadne przyjęcie, że skarżąca nie przeprowadziła analizy ryzyka związanego z naruszeniem ochrony danych osobowych, podczas gdy taką analizę przeprowadził inspektor ochrony danych skarżącej;

4. art. 33 ust. 1 oraz 34 ust. 1 rozporządzenia 2016/679 poprzez: a) ich niewłaściwe zastosowanie i błędne przyjęcie, że spółdzielnia miała obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu oraz zawiadomienia podmiotu danych o naruszeniu, podczas gdy było mało prawdopodobne, aby naruszenie mogło skutkować ryzykiem naruszenia praw i wolności podmiotu danych, co doprowadziło do niezasadnego nałożenia na skarżącą administracyjnej kary pieniężnej; b) ich błędną wykładnię i niezasadne przyjęcie, że w przypadku, gdy naruszeniem poufności danych objęty jest numer PESEL, automatycznie należy przyjąć, że zachodzi wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a w konsekwencji należy zawiadomić o naruszeniu PUODO oraz podmiot danych, który dane dotyczą, co doprowadziło do niezasadnego nałożenia na skarżącą administracyjnej kary pieniężnej, podczas gdy objęcie naruszeniem numeru PESEL nie stanowi samo przez się, że ryzyko naruszenia praw lub wolności osób fizycznych jest większe niż małe, a ocena powinna zależeć od całościowej analizy okoliczności konkretnego przypadku;

5. art. 58 ust. 2 lit. i oraz e rozporządzenia 2016/679 poprzez jego niewłaściwe zastosowanie i błędne przyjęcie, że skarżąca miała obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu oraz zawiadomienia o naruszeniu osoby, której dane dotyczą, podczas gdy było mało prawdopodobne, aby naruszenie mogło skutkować ryzykiem naruszenia praw i wolności podmiotu danych;

6. art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. a, e i k rozporządzenia 2016/679, polegające na ich niewłaściwym zastosowaniu i przyjęciu, że brak wystąpienia naruszeń ochrony danych ze strony skarżącej oraz nieosiągnięcie przez nią korzyści finansowych lub brak uniknięcia strat nie mają wpływu na wymiar administracyjnej kary pieniężnej nałożonej przez organ, podczas gdy powinny one stanowić okoliczności łagodzące, co doprowadziło do nałożenia na spółdzielnię administracyjnej kary pieniężnej w nieadekwatnej wysokości;

7. art. 83 ust. 2 lit. a rozporządzenia 2016/679 poprzez niewłaściwe uznanie, że w niniejszej sprawie naruszenie miało charakter długotrwały, co stanowi okoliczność obciążającą, podczas gdy zarówno organ, jak i osoba, której dane dotyczą, powzięli informację o naruszeniu już w dniu [...] sierpnia 2021 r.

W uzasadnieniu skargi skarżąca szczegółowo omówiła opisane wyżej zarzuty skargi.

W odpowiedzi na skargę organ wniósł o jej oddalenie, podnosząc argumentację tożsamą z zaprezentowaną w zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Stosownie do treści art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r., poz. 1634, zwana dalej: p.p.s.a), sądy administracyjne sprawują kontrolę działalności administracji publicznej i stosują środki określone w ustawie. Oznacza to, iż sąd rozpoznając skargę ocenia, czy zaskarżona decyzja nie narusza przepisów prawa materialnego bądź przepisów postępowania administracyjnego. Zgodnie z art. 134 p.p.s.a. Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną w niej podstawą prawną. Uwzględnienie skargi następuje w przypadku stwierdzenia naruszenia przez Sąd przepisów prawa, wskazanego w art. 145 § 1 pkt 1 p.p.s.a. Zgodnie z art. 135 p.p.s.a. orzekanie następuje w granicach sprawy, w której wydano zaskarżoną decyzję i odbywa się z uwzględnieniem wówczas obowiązujących przepisów prawa.

Decyzja została uchylona, ale z przyczyn innych, niż zawarte w skardze. Ustalony przez organ stan faktyczny sprawy nie jest kwestionowany i nie budzi wątpliwości Sądu.

Przepis art.83 ust. 4 rozporządzenia 2016/679 stanowi, że naruszenia przepisów (dotyczących następujących kwestii) podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Zgodnie z art. 551 Kodeksu cywilnego, przedsiębiorstwo jest zorganizowanym zespołem składników niematerialnych i materialnych przeznaczonym do prowadzenia działalności gospodarczej. Obejmuje ono w szczególności:

1) oznaczenie indywidualizujące przedsiębiorstwo lub jego wyodrębnione części (nazwa przedsiębiorstwa);

2) własność nieruchomości lub ruchomości, w tym urządzeń, materiałów, towarów i wyrobów, oraz inne prawa rzeczowe do nieruchomości lub ruchomości;

3) prawa wynikające z umów najmu i dzierżawy nieruchomości lub ruchomości oraz prawa do korzystania z nieruchomości lub ruchomości wynikające z innych stosunków prawnych;

4) wierzytelności, prawa z papierów wartościowych i środki pieniężne;

5) koncesje, licencje i zezwolenia;

6) patenty i inne prawa własności przemysłowej;

7) majątkowe prawa autorskie i majątkowe prawa pokrewne;

8) tajemnice przedsiębiorstwa;

9) księgi i dokumenty związane z prowadzeniem działalności gospodarczej.

Status prawny spółdzielni mieszkaniowych został uregulowany w ustawie z dnia 15 grudnia 2000 r. o spółdzielniach mieszkaniowych (t.j. Dz.U. 2023, poz.438, zwanej dalej u.s.m.). Zgodnie z art. 1 u.s.m.:

"1. Celem spółdzielni mieszkaniowej, zwanej dalej "spółdzielnią", jest zaspokajanie potrzeb mieszkaniowych i innych potrzeb członków oraz ich rodzin, przez dostarczanie członkom samodzielnych lokali mieszkalnych lub domów jednorodzinnych, a także lokali o innym przeznaczeniu.

11. Spółdzielnia mieszkaniowa nie może odnosić korzyści majątkowych kosztem swoich członków, w szczególności z tytułu przekształceń praw do lokali.

2. Przedmiotem działalności spółdzielni może być:

1) budowanie lub nabywanie budynków w celu ustanowienia na rzecz członków spółdzielczych lokatorskich praw do znajdujących się w tych budynkach lokali mieszkalnych;

11) (uchylony);

2) budowanie lub nabywanie budynków w celu ustanowienia na rzecz członków odrębnej własności znajdujących się w tych budynkach lokali mieszkalnych lub lokali o innym przeznaczeniu, a także ułamkowego udziału we współwłasności w garażach wielostanowiskowych;

3) budowanie lub nabywanie domów jednorodzinnych w celu przeniesienia na rzecz członków własności tych domów;

4) udzielanie pomocy członkom w budowie przez nich budynków mieszkalnych lub domów jednorodzinnych;

5) budowanie lub nabywanie budynków w celu wynajmowania lub sprzedaży znajdujących się w tych budynkach lokali mieszkalnych lub lokali o innym przeznaczeniu;

6) 1 wykonywanie działalności jako obywatelska społeczność energetyczna w rozumieniu art. 3 pkt 13f ustawy z dnia 10 kwietnia 1997 r. - Prawo energetyczne (Dz. U. z 2022 r. poz. 1385, z późn. zm.).

3. Spółdzielnia ma obowiązek zarządzania nieruchomościami stanowiącymi jej mienie lub nabyte na podstawie ustawy mienie jej członków.

4. Statut spółdzielni określa, którą działalność spośród wymienionych w ust. 2 i 3, prowadzi spółdzielnia.

5. Spółdzielnia może zarządzać nieruchomością niestanowiącą jej mienia lub mienia jej członków na podstawie umowy zawartej z właścicielem (współwłaścicielami) tej nieruchomości.

6. Spółdzielnia może prowadzić również inną działalność gospodarczą na zasadach określonych w odrębnych przepisach i w statucie, jeżeli działalność ta związana jest bezpośrednio z realizacją celu, o którym mowa w ust. 1.

7. W zakresie nieuregulowanym w ustawie stosuje się przepisy ustawy z dnia 16 września 1982 r. - Prawo spółdzielcze (Dz. U. z 2021 r. poz. 648), z zastrzeżeniem ust. 8 i 9.

Zdaniem orzekającego w sprawie Sądu, ze względu na specyfikę polskiego ustawodawstwa, rozróżniającego pojęcie i podstawy prawne działania spółdzielni mieszkaniowych od pojęcia przedsiębiorstwa, brak jest podstawy prawnej do mechanicznego utożsamiania przez PUODO spółdzielni z przedsiębiorstwem, co odzwierciedliło się następnie w sposobie wyliczenia przez organ kary pieniężnej.

Oczywiście, nie jest wykluczone, że jakaś spółdzielnia w istocie swej będzie działała jak przedsiębiorca, co być może, w konkretnym przypadku, usprawiedliwiłoby przyjęcie i wyliczenie wysokości kary na podstawie art.83 w tej części, w której stanowi: "(...) w przypadku przedsiębiorstwa - w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa (...)".

Zdaniem orzekającego w sprawie Sądu, organ nie wyjaśnił, dlaczego w niniejszej sprawie uznał skarżącą za przedsiębiorcę i w adekwatny do tego sposób obliczył wysokość kary pieniężnej. Skoro polski porządek prawny nadaje spółdzielniom mieszkaniowym szczególny i odrębny od przedsiębiorstw status prawny, brak jest podstaw do mechanicznego powoływania się przez organ na sposób obliczania kary odnoszący się do przedsiębiorstw.

W konsekwencji więc uzasadnienie decyzji nie spełnia wymogów art.107 §3 k.p.a. Uzasadnienie faktyczne decyzji powinno w szczególności zawierać wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, zaś uzasadnienie prawne - wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa. W ramach uzasadnienia prawnego organ powinien był rozważyć zarówno przepisy ustawy o spółdzielniach mieszkaniowych jak i przepisy, stanowiące podstawę działania przedsiębiorstw, w szczególności ich statusu prawnego. W następstwie tego uzasadnić, dlaczego w sprawie niniejszej uznał, że Spółdzielnia Mieszkaniowa [...] w O. jest przedsiębiorcą (działa jak przedsiębiorca), wówczas dopiero Sąd mógłby ocenić prawidłowość wyliczenia nałożonej na skarżącą kary pieniężnej.

Ponadto, organ powinien, realizując wymogi art. 107 § 3 k.p.a., przytoczyć w decyzji przekonujące argumenty, przemawiające za uznaniem, że naruszenie ochrony danych osobowych przez skarżącą mogło powodować wyższe niż małe ryzyko naruszenia praw lub wolności osób fizycznych. Rację ma też skarżąca, że organ nie wyjaśnił w uzasadnieniu decyzji przyczyn, dla których uznał, że nałożona na skarżącą administracyjna kara pieniężna będzie proporcjonalna do naruszenia ochrony danych osobowych przetwarzanych przez skarżącą.

Uchylając zaskarżoną decyzję Sąd wziął też pod uwagę, że coraz częściej w orzecznictwie tutejszego Sądu pojawiają się decyzje administracyjne, wydawane przez PUODO w odniesieniu do spółdzielni mieszkaniowych. Dlatego kwestia przeanalizowania ich charakteru prawnego, dotąd zupełnie przez organ pomijana, nie może dłużej być ignorowana. Prowadzi to bowiem do nieprawidłowych i niepożądanych skutków w postaci (dla przykładu) sposobu obliczania wysokości kary pieniężnej, w razie stwierdzenia naruszeń RODO, dokonanych przez spółdzielnie mieszkaniowe.

Oczywiste jest, że potencjalne kary stanowią obciążenie mnie tylko dla spółdzielni, ale ostatecznie dla ich mieszkańców - spółdzielców. W P. na dzień [...].06.2023 istniały [...] spółdzielnie mieszkaniowe, a w ich zasobach znajduje się [...] mieszkań. Biorąc pod uwagę, że średnio w mieszkaniu zamieszkują minimum 2 osoby, daje to minimalną liczbę ponad [...] osób. Zaistniały w niniejszej sprawie problem prawny dotyczy zatem potencjalnie kilku milionów osób, jest więc na tyle istotny, że nie mógł zostać przez Sąd pominięty.

Z tych względów Sąd orzekł jak w punkcie 1 sentencji na podstawie art. 145 § 1 pkt 1) lit. a) i c) p.p.s.a.

O kosztach postępowania Sąd orzekł w punkcie 2 wyroku, na podstawie art. 200 p.p.s.a. w zw. z art. 205 p.p.s.a. oraz § 14 ust.1 pkt 1) lit c) rozporządzenia Ministra Sprawiedliwości w sprawie opłat za czynności radców prawnych z dnia 22 października 2015 r. (tekst jednolity Dz.U. z 2018 r. poz. 265).