Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Izabela Głowacka-Klimas (spr.), Sędzia WSA Agnieszka Góra-Błaszczykowska, Asesor WSA Arkadiusz Koziarski, Protokolant st. sekr. sądowy Maryla Wiśniewska, , po rozpoznaniu na rozprawie w dniu 14 czerwca 2023 r. sprawy ze skargi P. Sp. z o.o. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] listopada 2022 r., nr [...] w przedmiocie ochrony danych osobowych oddala skargę

Prezes Urzędu Ochrony Danych Osobowych (dalej: organ, Prezes UODO) decyzją z [...] listopada 2022 r. nr [...] (dalej decyzja

z [...] listopada 2022 r.), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przez V. sp. z o.o., której następcą prawnym jest [...] sp. z o.o. z siedzibą w W. (dalej: Spółka, Skarżąca), przepisów o ochronie danych osobowych, stwierdzając naruszenie przez V. sp. z o.o. przepisów art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b) i lit. d) oraz art. 32 ust. 2 rozporządzenia 2016/679, polegające na niewdrożeniu przez V. sp. z o.o., której następcą prawnym jest Spółka, odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych służących do rejestracji danych osobowych abonentów usług przedpłaconych,

co doprowadziło do uzyskania przez osobę nieuprawnioną dostępu do tych danych,

a co stanowiło również naruszenie zasady integralności i poufności, o której mowa

w art. 5 ust. 1 lit. 1) rozporządzenia 2016/679 i związane było z naruszeniem zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679, nałożył

na Spółkę za naruszenie art. 5 ust. 1 lit. 1), art. 5 ust. 2, art. 25 ust. 1, art. 32 ust. 1

lit. b) i lit. d) oraz art. 32 ust. 2 rozporządzenia 2016/679, administracyjną karę pieniężną w kwocie 1.599.395,00 zł (słownie: jeden milion pięćset dziewięćdziesiąt dziewięć tysięcy trzysta dziewięćdziesiąt pięć złotych).

Do wydania powyższej decyzji doszło w następującym stanie sprawy.

V. sp. z o.o. (spółka) zgłosiła [...] grudnia 2019 r. Prezesowi UODO naruszenie ochrony danych osobowych abonentów usług przedpłaconych, polegające na uzyskaniu przez osobę nieuprawnioną dostępu do tych danych

i pozyskaniu 142.222 rekordów potwierdzeń rejestracji usług przedpłaconych, zawierających dane osobowe 114.963 klientów w zakresie imienia i nazwiska,

nr PESEL, serii i nr dowodu osobistego, numeru telefonu, NIP i nazwy podmiotu. Incydent ten miał miejsce od [...] do [...] grudnia 2019 r.

W konsekwencji Prezes UODO zdecydował o przeprowadzeniu w ww. spółce kontroli zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych: rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - Dz. Urz. UE L 119 z 4.05.2016, str. 1 ze zm., zwana dalej "RODO") i ustawą z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781, zwana dalej "u.o.d.o."). Zakresem kontroli objęto sposób przetwarzania, w tym zabezpieczenia danych, w ramach świadczenia usług telekomunikacyjnych abonentom usług przedpłaconych. W toku kontroli odebrano od pracowników spółki ustne wyjaśnienia i dokonano oględzin systemu [...], służącego do rejestracji danych osobowych abonentów usług przedpłaconych. Stan faktyczny opisano szczegółowo w protokole kontroli, który podpisał zarząd spółki.

Prezes UODO, na podstawie informacji i dowodów zgromadzonych w postępowaniu kontrolnym, ustalił, że w procesie przetwarzania danych abonentów usług przedpłaconych, spółka V., jako administrator, naruszyła: zasadę poufności danych wyrażoną w art. 5 ust. 1 lit. f RODO i obowiązki, które stanowią odzwierciedlenie tej zasady, określone w art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b) i d), art. 32 ust. 2 RODO - przez niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa, odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych służących do rejestracji danych osobowych abonentów usług przedpłaconych.

Prezes UODO ustalił, że przedmiotem działalności Spółki jest świadczenie usług w zakresie telekomunikacji bezprzewodowej. Podstawą prawną i celem przetwarzania danych osobowych w Spółce w procesie rejestracji usług przedpłaconych jest realizacja umowy na usługę telekomunikacyjną, zawieraną przez dokonanie czynności faktycznej: wysłanie SMS, MMS, pobranie danych bądź inicjację połączenia telefonicznego, w oparciu o ustawę z 16 lipca 2014 r. Prawo telekomunikacyjne (Dz.U. z 2019 r., poz. 2460, zwana dalej: "P.t."). Obowiązek pozyskania danych osobowych przy usłudze przedpłaconej (rejestracji kart prepaid) wprowadzono art. 60b ust. 2 i ust. 1 P.t., który wszedł w życie 25 lipca 2016 r. Abonenci usług przedpłaconych, którzy zawarli umowę przed dniem wejścia w życie ustawy z 10 czerwca 2016 r. o działaniach antyterrorystycznych (Dz.U. z 2016 r. poz. 904, zwana dalej "u.d.a.") - przed 2 lipca 2016 r., mieli obowiązek podać dostawcy usługi dane osobowe na mocy art. 60 u.d.a. Zakres tych danych w przypadku: a) abonenta niebędącego osobą fizyczną, obejmuje: nazwę podmiotu, nr NIP, nr telefonu, a jeśli rejestracji dokonuje pełnomocnik pozyskiwane są również dane osobowe pełnomocnika w zakresie imienia i nazwiska i nr PESEL lub serii i numeru dokumentu tożsamości; b) osobę fizyczną obejmuje: imię i nazwisko, nr PESEL, nr dowodu osobistego lub innego dokumentu tożsamości oraz nr telefonu. W celach kontaktowych pozyskiwane są też dane osobowe w postaci adresów e-mail i nr telefonu. Zbieranie ww. danych odbywa się na etapie rejestracji karty za pomocą punktów sprzedaży (point of sale, zwane dalej "POS") - podmioty zewnętrzne, z którymi spółka ma podpisane umowy o współpracy, określające zasady powierzenia przetwarzania danych osobowych. Podmioty nieposiadające własnych rozwiązań programowych

do realizacji usługi rejestracji kart przedpłaconych posiadają, stworzoną przez spółkę, aplikację web [...] służącą do rejestracji kart prepaid. Proces rejestracji danych za pośrednictwem POS odbywa się przez aplikację web [...] dostępną z poziomu sieci publicznej, za pomocą przeglądarki internetowej. Dane osobowe wprowadzane są do tej aplikacji przez POS, na podstawie dokumentu tożsamości. Aplikacja ta umożliwia wygenerowanie wydruku potwierdzenia dokonania rejestracji. Rozwiązania przyjęte u podmiotów korzystających z własnych systemów informatycznych do rejestracji kart prepaid, np. systemów kasowych; terminali, nie pozwalają na wydrukowanie potwierdzenia rejestracji karty. Spółka użytkuje system informatyczny o nazwie S., z którym łączy się aplikacja [...], służąca

do rejestracji kart przedpłaconych. Twórcą S. jest T. Sp. z o.o. s.k.a., która zajmowała się też utrzymaniem tego systemu od [...] kwietnia 2014 r. do [...] czerwca 2017r. Od [...] lipca 2017r. do chwili obecnej obsługą i utrzymaniem S. zajmuje się A. S.A. Podstawowe dane osobowe zapisywane są w jednej tabeli S., opartej o motor bazodanowy [...], do której trafiają dane rejestracyjne wprowadzane przez POS, za pomocą [...] i dane z systemów klientów hurtowych (niemających dostępu do [...], korzystających ze swoich systemów informatycznych). Producentem [...] jest W. s.c., który to podmiot opracował tę aplikację i zajmuje się jej obsługą, rozwojem i nadzorem od [...] września 2014 r. [...] służy do wprowadzania danych do S., przez zastosowanie sieciowego interfejsu programowania aplikacji wykorzystującego architekturę i protokoły sieci Web, w tym protokół http

do komunikacji między aplikacjami znajdującymi się na oddzielnych urządzeniach

w sieci (zwanym dalej WebAPI).

Jak wskazał organ, w toku kontroli stwierdzono, że od [...] do [...] grudnia 2019 r. w spółce doszło do incydentu wycieku danych osobowych, na skutek uzyskania nieuprawnionego dostępu do danych abonentów usług przedpłaconych przez wykorzystanie podatności systemu informatycznego - usługi generującej potwierdzenia dokonania rejestracji kart prepaid. Podatność ta polegała na braku weryfikacji identyfikatora wniosku rejestracyjnego (zwany dalej "Id wniosku") z identyfikatorem punktu sprzedaży, w którym dokonano rejestracji (zwany dalej "Id POS"). Poprawna weryfikacja miała polegać na wygenerowaniu potwierdzenia rejestracji jedynie, gdy id wniosku zgadzały się z Id POS, w którym dokonano rejestracji wniosku. S. nie weryfikował Id POS ani tego, czy dany wniosek pochodzi

z konkretnego POS. Środki techniczne i organizacyjne stosowane w spółce przed wystąpieniem naruszenia, od [...] maja 2018 r. (data rozpoczęcia stosowania RODO), były poddawane przeglądom i uaktualniane w miarę potrzeb w sytuacji wystąpienia zmian organizacyjnych lub prawnych. W spółce nie przeprowadzano kompleksowego regularnego testowania, mierzenia i oceniania skuteczności środków technicznych

i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania danych.

W sytuacjach, gdy pojawiało się podejrzenie zaistnienia podatności, prowadzone były prace mające na celu zabezpieczenie przed daną podatnością (wydruki z systemu [...], potwierdzające podjęte działania zaradcze dotyczące potwierdzonych podejrzeń o podatności systemu). Ma to potwierdzenie m.in. w wyjaśnieniach spółki zawartych w piśmie z [...] marca 2020 r. i przesłanych w celach dowodowych wydrukach zrzutów ekranu z systemu [...], wskazujących na wykonywanie testów dotyczących podatności XSS i weryfikacji wprowadzanych danych. Spółka nie przeprowadzała testów nastawionych na weryfikację zabezpieczeń aplikacji [...] i W. S., dotyczących podatności systemu informatycznego, związanej z naruszeniem danych osobowych. Działania takie podjęto dopiero po incydencie z [...] grudnia

2019 r. W dokumentacji prowadzonej przez spółkę, opisującej proces przetwarzania danych i zastosowane środki organizacyjne i techniczne, pozyskanej w toku czynności kontrolnych (m.in. "Polityce Przetwarzania Danych Osobowych V.", "[...] Procedurze monitorowania kluczowych elementów systemów informatycznych", "[...] Planie na wypadek awarii sieciowego systemu informatycznego") nie uregulowano kwestii dotyczących regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Spółka podjęła działania naprawcze i usunęła podatność systemu informatycznego przez jego modernizację, polegającą na korelacji numeru wniosku

(Id wniosku) z numerem POS (Id POS). Obecnie numer wniosku musi się zgadzać

z nr POS, w którym wniosek zarejestrowano. Spółka prowadziła ograniczenie czasowe dostępności wygenerowania potwierdzenia rejestracji i warunku, polegającego na tym, że bez aktywnej sesji utworzonej podczas logowania do [...] nie jest możliwe wykonanie czynności wykorzystującej usługi przeznaczonej dla [...]. Gdy zaistnieje potrzeba ponownego wygenerowania wniosku, jest to możliwe tylko

z poziomu systemów dostępnych uprawnionym pracownikom spółki.

Prezes UODO pismem z [...] czerwca 2020 r. zawiadomił spółkę V.

o wszczęciu z urzędu postępowania administracyjnego w przedmiocie naruszenia przepisów o ochronie danych osobowych, wobec nie wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku.

Spółka V. skierowała do organu [...] lipca 2020 r. oraz [...] sierpnia 2020 r. wyjaśnienia, w których wskazała m.in. na istotne elementy stanu faktycznego sprawy, w tym prawidłowy zakres przetwarzanych danych osobowych i szereg środków organizacyjnych i technicznych wdrożonych przez V. oraz następczych działań naprawczych podjętych wobec wykrytego naruszenia, a także przedłożyła kopie certyfikatów [...] z [...] lipca 2020 r. – ISO/IEC 27001:2013 oraz ISO/IEC 27701:2019.

Następnie pismem z [...] października 2020 r., uzupełnionym pismem

z [...] października 2020 r., spółka przedstawiła dalsze wyjaśnienia dotyczące m.in. szczegółowych aspektów związanych z uzyskanymi certyfikatami ISO, w tym wskazała, że zgodnie z wymogami utrzymania certyfikatów zgodności z wdrożonymi normami V. dokumentowała dokonanie mierzenia skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

W pismach tych wyjaśniła również, że rozpoczęła proces wdrażania obu norm ISO jeszcze przed wykryciem naruszenia ochrony danych osobowych - w listopadzie

2019 r. Wśród załączonych do tych pism dokumentów znajduje się m.in. raport

z wewnętrznego audytu z lutego 2020 r. - Audyt stanu przetwarzania danych osobowych w V. sp. z o. o. po wdrożeniu wymogów RODO,

a także raporty z zewnętrznych audytów certyfikacyjnych przeprowadzonych

w kwietniu i maju 2020 r.

W tym stanie rzeczy Prezes UODO decyzją z [...] grudnia 2020 r.

nr [...], stwierdzając naruszenie przez spółkę: art. 5 ust. 1 lit. f, art. 5

ust. 2, art. 25 ust. 1, art. 32 ust. 1 lit. b i d i ust. 2 RODO – polegające na niewdrożeniu przez spółkę odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych służących do rejestracji danych osobowych abonentów usług przedpłaconych, co doprowadziło do uzyskania przez osobę nieuprawnioną dostępu do tych danych – nałożył na spółkę administracyjną karę pieniężną

w wysokości 1.968.524 złotych.

Spółka V. złożyła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na powyższą decyzję Prezesa UODO, zarzucając naruszenie szeregu przepisów prawa materialnego oraz procesowego.

Sąd wyrokiem z dnia 21 października 2021 r., sygn. akt II SA/Wa 272/21, uchylił zaskarżoną decyzję. Sąd uznał, że decyzja Prezesa UODO naruszała przepisy prawa procesowego w zakresie sporządzenia uzasadnienia, rozważenia i oceny okoliczności faktycznych sprawy, jak również przepisy prawa materialnego w zakresie wyjaśnienia z jakich powodów nałożono karę pieniężną, w wysokości określonej w decyzji z [...] grudnia 2020 r.

Zdaniem Sądu przy wymiarze kary Prezes UODO powinien wziąć pod uwagę okoliczność, że spółka V. podejmowała działania zmierzające do wyeliminowania nieprawidłowości, które miały miejsce w chwili incydentu, oraz rozważyć, w jakim zakresie podejmowane przez nią działania wpłynęły na prawidłowość stosowania przepisów RODO.

Sąd za niezasadny uznał zarzut skargi naruszenia art. 7 Kpa., wskazując, że Prezes UODO wypełnił przesłanki do należytego ustalenia stanu faktycznego sprawy, wykazał na podstawie zgromadzonych dowodów, że w okresie od 18 do 22 grudnia 2019 r. spółka V. przetwarzała dane osobowe swoich klientów w sposób niezapewniający odpowiedniego stopnia bezpieczeństwa danych osobowych.

W ocenie Sądu rację miał również Prezes UODO, że brak ww. uregulowań przyczynił się do wystąpienia naruszenia ochrony danych osobowych oraz za trafne uznał przyjęcie przez organ, że spółka nie przeprowadzała testów nastawionych

na weryfikację zabezpieczeń aplikacji [...] oraz W. systemu S., dotyczących podatności systemu informatycznego.

Nie wzbudziło także zastrzeżeń Sądu stanowisko Prezesa UODO, że do wykrycia wykorzystanej podatności systemu, która doprowadziła do naruszenia ochrony danych osobowych, wystarczyłoby zweryfikowanie podstawowej zasady działania systemu, tj. walidacji numeru POS z numerem wniosku. Według Sądu wdrożenie systemu bez poprawnie działającej walidacji świadczy o rażącym zaniedbaniu podstawowych obowiązków administratora danych osobowych,

w kontekście art. 32 RODO.

W związku z powyższym Prezes UODO dokonał ponownej analizy materiału dowodowego zgromadzonego w niniejszej sprawie i wydał wskazaną na wstępie decyzję, w uzasadnieniu której przywołał mające zastosowanie w sprawie przepisy RODO.

Organ wyjaśnił, że przyjęty przez spółkę V. środek bezpieczeństwa mający zapewnić odporność systemów informatycznych polegający na weryfikacji tylko według numeru id wniosku, zamiast także id POS, wskutek czego doszło

do naruszenia poufności danych, nie może być uznany za środek bezpieczeństwa,

o którym mowa w przepisach RODO. Do naruszenia ochrony danych osobowych abonentów usług przedpłaconych doszło bowiem w wyniku wykorzystania podatności systemu informatycznego (usługi generującej potwierdzenia rejestracji) umożliwiającej nieuprawniony dostęp do danych. Stwierdzona podatność usługi generującej potwierdzenia rejestracji polegała właśnie na braku weryfikacji wszystkich wymaganych parametrów, tj. id wniosku rejestracyjnego oraz id POS. Z założeń systemu poprawna weryfikacja miała polegać na wygenerowaniu potwierdzenia rejestracji jedynie wtedy, gdy id wniosku zgadzały się z id POS. System S. nie weryfikował jednak id POS ani tego, czy dany wniosek pochodzi z tego POS.

W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego spółka wskazała, że przed wystąpieniem naruszenia przyjęła środki ochrony danych w postaci procedur określających metodykę analizy ryzyka, procedury klasyfikacji poziomów bezpieczeństwa informacji, polityki bezpieczeństwa informacji, procedury zarządzenia systemem informatycznym wraz z załącznikami: [...] Procedura zarządzania kopiami zapasowymi, [...] Procedura zarządzania kontami użytkowników, [...] Polityka haseł do systemów informatycznych, [...] Procedura przeglądu stacji roboczych, [...] Procedura zarządzania zmianami w systemach informatycznych, [...] Procedura monitorowania kluczowych elementów systemów informatycznych oraz procedura zatrudniania, zmiany i zakończenia zatrudnienia oraz nadawania, zmiany i odbierania uprawnień, a także elementy Planu ciągłości działania: [...] Plan na wypadek naruszenia ochrony danych osobowych, [...] Plan na wypadek awarii sieciowego systemu informatycznego, [...] Plan na wypadek awarii krytycznej stacji roboczych.

W ocenie Prezesa UODO przyjęte przez spółkę V. środki mogłyby być skuteczne, gdyby w ramach wdrożonych procedur zawierały również uregulowania dotyczące regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania

i które byłyby przez spółkę przestrzegane. Tymczasem, w prowadzonej przez spółkę V. ww. dokumentacji opisującej proces przetwarzania danych oraz zastosowane środki organizacyjne i techniczne, pozyskanej w toku dokonywania czynności kontrolnych, kwestie te nie zostały uregulowane.

Zdaniem Prezesa UODO brak w przyjętych przez spółkę V. procedurach uregulowań zapewniających regularne testowanie, mierzenie i ocenianie skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych, przyczynił się do wystąpienia naruszenia danych osobowych. Jednocześnie, z zebranego w toku kontroli materiału dowodowego wynika, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania nie było w spółce przeprowadzane. W sytuacjach, gdy pojawiało się podejrzenie zaistnienia podatności były prowadzone wyłącznie prace mające na celu zabezpieczenie przed daną podatnością (wydruki z systemu [...] potwierdzające podjęte działania zaradcze dotyczące potwierdzonych podejrzeń o podatności systemu). Powyższe znajduje również potwierdzenie m.in. w wyjaśnieniach złożonych przez kontrolowany podmiot w piśmie z [...] marca 2020 r. oraz w przesłanych w celach dowodowych wydrukach zrzutów ekranów z systemu [...] wskazujących na wykonywanie testów dotyczących podatności XSS oraz weryfikacji wprowadzanych danych. Nie były natomiast przeprowadzane testy nastawione na weryfikację zabezpieczeń aplikacji [...] oraz W. systemu S. dotyczących podatności systemu informatycznego związanej z zaistniałym naruszeniem danych osobowych. Działania takie podjęte zostały dopiero po zaistnieniu naruszenia [...] grudnia 2019 r. Środki techniczne i organizacyjne stosowane w spółce od [...] maja 2018 r. (dzień rozpoczęcia stosowania RODO) do czasu wystąpienia naruszenia były poddawane przeglądom oraz uaktualniane jedynie w sytuacji wystąpienia zmian organizacyjnych lub prawnych (kopia wiadomości e-mail informująca o konieczności dokonania przeglądu stosowanego monitoringu wraz z ankietą).

Organ wspomniał, że pierwotnie twórcą systemu S. była T. Sp. z o.o. s.k.a., która zajmowała się również utrzymaniem systemu S., a także utrzymaniem web-serwisu umożliwiającego wymianę informacji pomiędzy aplikacją [...] (opracowaną przez W. s.c.i funkcjonującą od [...] września 2014 r.) a systemem centralnym S. w okresie od [...] kwietnia 2014 r. do [...] czerwca 2017 r. Funkcje te następnie przejęła A. S.A. i wykonuje je do chwili obecnej. Zmiana operatora, w ocenie Prezes UODO, powinna zainicjować dokonanie kompleksowej oceny skuteczności wdrożonych rozwiązań technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych w systemach informatycznych spółki V. Zebrany w toku materiał dowodowy nie dostarczył informacji, aby w sytuacji zmiany podmiotu zajmującego się utrzymaniem systemu, jak i serwisu, taka ocena została przeprowadzona.

Prezes UODO nie zgodził się ze stanowiskiem spółki zawartym w wyjaśnieniach z [...] stycznia 2020 r., stwierdzając, że do wykrycia wykorzystanej podatności wystarczyłoby zweryfikowanie podstawowej zasady działania systemu S,

tj. sprawdzenie, czy następuje walidacja numeru POS z numerem wniosku, natomiast brak podjęcia tego działania świadczy o nieskutecznym bądź niewłaściwym przeprowadzaniu wskazanych przez spółkę V. przeglądów. Organ wskazał, że sprawdzenie poprawności walidacji dwóch ww. danych nie wymaga żadnej wiedzy specjalistycznej bądź dużych nakładów finansowych, a jedynie dostępu do systemu. Ponadto podkreślił, że zidentyfikowana w wyniku naruszenia ochrony danych osobowych podatność jest związana z zastosowanymi środkami technicznymi służącymi do identyfikacji użytkowników, a co za tym idzie ich uprawnień w systemie. Jak wskazała spółka V. w zgłoszeniu naruszenia ochrony danych osobowych z [...] grudnia 2019 r., "naruszenie polegało na wykorzystaniu endpointu API służącego do generowania wydruku potwierdzenia rejestracji w stacjonarnych punktach partnerskich (POS). Endpoint ze względu na swój cel jest dostępny z sieci zewnętrznej, ze względu na błąd w konstrukcji pozwalał na odpytanie o potwierdzenie danych rejestracyjnych przy wykorzystaniu jedynie id wniosku rejestracyjnego. Argument identyfikujący punkt partnerski – [...], który powinien być walidowany tak, by jedynie znając parę id punktu + id wniosku dało się pobrać potwierdzenie, nie był w rzeczywistości brany pod uwagę. W związku z tym wywołanie http GET https[...] [...] pdf było możliwe przy podaniu dowolnego posld. Atakujący używał posld = 1 i kolejnych reąuestld generowanych w pętli". Sprawdzenie poprawności działania założonej walidacji numeru POS z numerem wniosku jest tak oczywiste i podstawowe, iż jedynym słusznym wnioskiem, który można wysnuć, jest stwierdzenie, iż wdrożenie systemu służącego do przetwarzania danych osobowych do użytku bez poprawnie działającej ww. walidacji świadczy o rażącym zaniedbaniu podstawowych obowiązków administratora danych osobowych, w kontekście art. 32 RODO.

W ocenie organu dokonywanie testów wyłącznie w sytuacji pojawiającego się zagrożenia, bez wprowadzenia procedury, która by określała harmonogram działań zapewniających regularne testowanie, mierzenie i ocenianie skuteczności wdrożonych środków jest niewystarczające. Spółka, jak wynika ze zgromadzonego materiału, mimo przyjętych rozwiązań nie była w stanie wykryć podatności ze względu na brak regularnych testów wdrożonego przez nią systemu S., który z założenia, jak wynika z wyjaśnień spółki pozyskanych w toku kontroli, miał weryfikować id POS

i zgodność id wniosku o rejestrację z id POS rejestrującego wniosek.

Zdaniem organu nie można też uznać, że działania, jak wskazała spółka, polegające na poddawaniu środków technicznych i organizacyjnych przeglądom oraz uaktualnieniom w przypadku pojawienia się zmian organizacyjnych lub prawnych, stanowią o wypełnieniu obowiązku administratora w zakresie zapewnienia regularnego testowania, mierzenia i testowania skuteczności środków technicznych

i organizacyjnych. Działania takie nie wyczerpują bowiem wymogu regularności. Testy powinny być wykonywane niezależnie, czy takie zmiany w działalności zachodzą czy też nie. Zmiany, do których odwołuje się spółka, powinny być natomiast czynnikiem powodującym konieczność przeprowadzenia ponownej analizy ryzyka i ich wpływu na bezpieczeństwo przetwarzanych danych, której wynik należy uwzględnić przy stosowaniu środka bezpieczeństwa, jakim jest regularne testowanie.

Analiza ryzyka przeprowadzana przez administratora danych osobowych powinna zostać udokumentowana oraz uzasadniona na podstawie przede wszystkim określenia stanu faktycznego, istniejącego w momencie jej przeprowadzania. Należy wziąć pod uwagę w szczególności charakterystykę zachodzących procesów, aktywa, podatności, zagrożenia oraz istniejące zabezpieczenia, w ramach zachodzących procesów przetwarzania danych osobowych.

Określenie aktywa używane jest dla wskazania wszystkiego, co stanowi wartość dla organizacji, firmy – administratora danych. Pewne aktywa stanowić będą wartość wyższą od innych, i również z tej perspektywy winny być oceniane i zabezpieczane. Bardzo istotne są również wzajemne powiązania występujących aktywów,

np. poufność aktywów (danych osobowych) zależna będzie od rodzaju i sposobu przetwarzania tych danych. Ustalenie wartości aktywów jest konieczne

do oszacowania skutków ewentualnego incydentu (naruszenia ochrony danych osobowych).

Podatność jest określana powszechnie jako słabość bądź luka

w zabezpieczeniach, która wykorzystana przez dane zagrożenie może zakłócać funkcjonowanie, a także może prowadzić do incydentów bądź naruszeń ochrony danych osobowych. Identyfikowanie zagrożeń polega na określaniu, jakie zagrożenia i z jakiego kierunku (powodu) mogą się pojawić. Metodą przeprowadzenia analizy ryzyka jest np. zdefiniowanie poziomu ryzyka jako iloczynu prawdopodobieństwa

i skutków wystąpienia danego incydentu. Zazwyczaj wykorzystuje się macierz ryzyka, która pozwala zobrazować poziomy ryzyka w sposób wizualny, przedstawiając poziomy ryzyka, dla których organizacja definiuje odpowiednie działania.

W ocenie Prezesa UODO przedstawiona w toku kontroli analiza ryzyka, przeprowadzona w maju 2018 r., nie odzwierciedla w pełni stanu faktycznego procesu "Rejestracja danych w POS", będącego przedmiotem kontroli, w związku

z wystąpieniem naruszenia danych osobowych, zgłoszonego [...] grudnia 2019 r. Jak wynika z materiału zebranego w toku kontroli, przegląd środków technicznych

i organizacyjnych został przeprowadzony przez spółkę jedynie przed rozpoczęciem stosowania RODO. Nie sposób jednak uznać go za realny i faktyczny, nie doprowadził bowiem do ujawnienia podatności w funkcjonowaniu systemu.

Organ podkreślił, że badanie prawdopodobieństwa wystąpienia danego zdarzenia nie powinno opierać się wyłącznie na podstawie częstotliwości występowania zdarzeń w danej organizacji, albowiem fakt nie wystąpienia danego zdarzenia w przeszłości wcale nie oznacza, że nie może ono zaistnieć w przyszłości.

Wskazane w przedstawionej analizie ryzyka zagrożenie w postaci "nieuprawniony dostęp osób trzecich lub nieuprawnione ujawnienie danych osobom trzecim" nie powinno zostać określone przez spółkę V. na poziomie "Nie dotyczy", ponieważ zdarzenie to może zaistnieć w każdej organizacji, z powodu wielu różnych przyczyn, natomiast odpowiedź "Nie dotyczy" byłaby zasadna w sytuacji, gdyby spółka nie przetwarzała w tym procesie danych osobowych. Natomiast, jak wynika z materiału dowodowego ustalonego w toku kontroli oraz postępowania administracyjnego, właśnie to zagrożenie zmaterializowało się, poprzez wykorzystanie niezidentyfikowanej przez administratora podatności istniejącej w procesie przetwarzania danych osobowych "Rejestracja danych w POS" w związku

z zaistniałym naruszeniem danych osobowych abonentów usług przedpłaconych.

Zdaniem organu przyjęcie wartości "Średnie/rzadka" oraz ocena na poziomie "2" dla zagrożenia "brak badania podatności systemów informatycznych" również świadczy o powierzchownym podejściu do ryzyka naruszenia praw lub wolności osób fizycznych przez spółkę. Przyjęta ocena powinna odzwierciedlać realną sytuację panującą w danej organizacji i opierać się przede wszystkim na faktach, stwierdzonych podczas badania tej sytuacji, przeprowadzonego w formie audytu, sprawdzenia bądź na podstawie stwierdzonego stanu faktycznego. Jak natomiast wynika z zebranego podczas przeprowadzonej kontroli materiału dowodowego, w roku 2019 nie był

w spółce V. przeprowadzony przegląd stosowanych środków technicznych

i organizacyjnych, co samo w sobie dyskwalifikuje dokonaną ocenę na tym poziomie, zaś incydentalnie podejmowane działania nie wyczerpują znamion regularności.

Przeprowadzona analiza ryzyka miała na celu jedynie wykazanie, że nie występuje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a co za tym idzie, że nie jest konieczne wdrażanie dodatkowych środków technicznych

i organizacyjnych. Takie podejście spowodowało, w opinii organu, brak prawidłowej oceny zagrożeń dla procesu przetwarzania danych osobowych abonentów usług przedpłaconych (proces o nazwie "Rejestracja danych w POS") i w konsekwencji niewłaściwe ich zabezpieczenie, czego efektem było naruszenie danych osobowych.

Brak rzetelnie przeprowadzonej analizy ryzyka, w połączeniu z brakiem regularnego testowania, mierzenia i oceniania skuteczności wdrożonych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, doprowadził do naruszenia danych osobowych, ale i przesądza o naruszeniu przez spółkę obowiązków spoczywających na administratorze danych, wynikających

z art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b i d oraz art. 32 ust. 2 RODO.

Odnosząc się natomiast do przedłożonych kopii uzyskanych [...] lipca 2020 r. certyfikatów: ISO/IEC 27001:2013 oraz ISO/IEC 27701:2019 organ wskazał,

że spółka w toku postępowania usunęła uchybienie w postaci braku procedur zapewniających regularne testowanie, mierzenie i ocenianie skuteczności przyjętych środków w prowadzonej dokumentacji opisującej proces przetwarzania danych oraz zastosowane środki organizacyjne i techniczne. Spółka wdrożyła rozwiązania zapewniające regularne testowanie, mierzenie i ocenianie skuteczności przyjętych środków zapewniających bezpieczeństwo przetwarzania danych. Wdrożenie tych rozwiązań nastąpiło jednak dopiero [...] lipca 2020 r., a więc po upływie znacznego czasu od wystąpienia naruszenia danych osobowych abonentów usług przedpłaconych.

Jak wyjaśnił organ, spółka w wyjaśnieniach podniosła, że na tym etapie postępowania nie zostało wykazane kim był atakujący. Sposób wykorzystania podatności wskazywał, że atakujący miał wcześniej dostęp do systemu i wiedział, jak skonstruować odpowiednie zapytanie. Obecnie spółka nie wie, czy i jakimi uprawnieniami mógł dysponować atakujący oraz jakiego okresu mogło owo uprawnienie dotyczyć. W ocenie spółki wykazanie, czy doszło do udostępnienia danych osobie nieuprawnionej leży po stronie Prezesa UODO.

Zdaniem organu Prezes UODO nie ma w swoich kompetencjach uprawnień

do prowadzenia postępowania zmierzającego do wykrycia sprawcy czynu zabronionego i oceny, czy doszło do jego popełnienia, te przysługują bowiem organom ścigania, gdyż to one są uprawnione do prowadzenia takiego postępowania i oceny, czy doszło do popełnienia czynu zabronionego oraz do kwalifikacji czynu zabronionego. Do kompetencji Prezesa UODO należy natomiast ocena, czy administrator danych przetwarza dane zgodnie z wymogami wynikającymi z przepisów o ochronie danych osobowych oraz odpowiedzialności administratora danych za przetwarzanie danych w sposób naruszający te przepisy. Twierdzenie spółki, że nie wie, czy i jakimi uprawnieniami mógł dysponować atakujący oraz jakiego okresu mogło owo uprawnienie dotyczyć, potwierdza, iż wdrożone przez nią środki techniczne i organizacyjne mające zapewnić bezpieczeństwo danych były niewystarczające. Brak wiedzy na temat tych informacji stanowi również dowód na to, że spółka nie panowała nad procesem przetwarzania danych, co stanowi o naruszeniu zasady rozliczalności.

Podsumowując organ stwierdził, pomimo usunięcia przez spółkę uchybień

w zakresie zapewnienia bezpieczeństwa przetwarzanych danych, w tym podatności systemów informatycznych służących do przetwarzania danych osobowych abonentów usług przedpłaconych, będącej przyczyną naruszenia poufności danych osobowych, zaistniały przesłanki uzasadniające zastosowanie wobec spółki przysługujących Prezesowi UODO uprawnień do nałożenia administracyjnej kary pieniężnej za naruszenie zasady poufności danych (art. 5 ust. 1 lit. f RODO),

a w konsekwencji zasady rozliczalności (art. 5 ust. 2 RODO) w związku z naruszeniem obowiązków administratora przy wdrażaniu środków technicznych i organizacyjnych w trakcie przetwarzania danych, w celu skutecznej realizacji zasad ochrony danych (art. 25 ust. 1 RODO); obowiązków w zakresie zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania danych (art. 32 ust. 1 lit. b RODO); obowiązku regularnego testowania, mierzenia i oceniania skuteczności przyjętych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (art. 32 ust. 1 lit. d RODO) oraz obowiązku uwzględnienia ryzyka wiążącego się z przetwarzaniem, wynikającego

z nieuprawnionego dostępu do przetwarzanych danych osobowych (art. 32 ust. 2 RODO).

Decydując o nałożeniu na Spółkę [...], następcę prawnego spółki V., administracyjnej kary pieniężnej, a także określając jej wysokość, Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a - k RODO – wziął pod uwagę i uznał

za obciążające następujące okoliczności sprawy mające wpływ na wymiar nałożonej kary.

Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a RODO) – stwierdzone w niniejszej sprawie naruszenie przepisów RODO, którego skutkiem było uzyskanie nieuprawnionego dostępu do przetwarzanych przez spółkę V. danych przez osobę bądź osoby nieuprawnione, a w konsekwencji naruszenie poufności danych ponad 100 tys. abonentów usług przedpłaconych spółki, ma znaczną wagę

i poważny charakter, stwarza bowiem wysokie ryzyko wystąpienia szkód majątkowych lub niemajątkowych dla osoby, której dane zostały naruszone. Samo naruszenie poufności danych już stanowi dla tych osób szkodę niemajątkową (krzywdę). Abonenci, których imię i nazwisko, numer PESEL czy numer dokumentu tożsamości pozyskano w sposób nieuprawniony mogą bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową. Naruszenie przez spółkę obowiązków zastosowania środków zabezpieczających przetwarzane dane przed ich udostępnieniem osobom nieuprawnionym, pociąga bowiem za sobą nie tylko potencjalną, ale również realną możliwość wykorzystania tych danych przez podmioty trzecie bez wiedzy i wbrew woli osób, których dane zostały naruszone np. przy użyciu numeru PESEL w celu nawiązania stosunków prawnych lub zaciągnięcia zobowiązań w imieniu osób, których dane pozyskano w sposób bezprawny, czy też wykorzystania danych do niechcianych działań marketingowych wykorzystując numer telefonu. Znaczący wpływ na wagę i charakter naruszenia ma również okoliczność, że spółka, a obecnie jej następca prawny Spółka [...], przetwarza dane na skalę masową. Masowe przetwarzanie musi się wiązać z wyższym poziomem odpowiedzialności administratora i z wyższym poziomem należytej staranności wymaganej od niego, gdyż nieodpowiednie zabezpieczenie danych może skutkować negatywnymi konsekwencjami dla wielu osób. Naruszenie obowiązków administratora (brak odpowiednich środków technicznych i organizacyjnych) nie dotyczyło tylko i wyłącznie osób dotkniętych wyciekiem ich danych osobowych, a nawet też nie wszystkich posiadanych w tym czasie w ich bazie danych osobowych. Naruszenie to stwarzało ryzyko dla wszystkich osób będących klientami spółki V. w całym okresie trwania naruszenia, zarówno przed, jak i po wycieku danych. Nie bez znaczenia zatem przy ustalaniu wysokości kary miał czas trwania naruszenia. Brak odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku trwał bowiem od dnia rozpoczęcia stosowania RODO, to jest

od [...] maja 2018 r., a usunięty został ostatecznie – w trakcie postępowania zakończonego wydaniem niniejszej decyzji – wraz z uzyskaniem przez spółkę V. w dniu [...] lipca 2020 r. certyfikatów ISO/IEC 27001:2013, ISO/IEC 27701:2019, ISO/IEC 27001:2013 oraz ISO/IEC 27002:2013, poświadczających wdrożenie procedur zapewniających regularne testowanie, mierzenie i ocenianie skuteczności przyjętych środków w prowadzonej przez spółkę V. dokumentacji opisującej proces przetwarzania danych oraz zastosowane środki organizacyjne i techniczne.

Dalej organ wskazał, że umyślny lub nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b RODO) – nieuprawniony dostęp do danych osobowych abonentów usług przedpłaconych spółki stał się możliwy na skutek niedochowania należytej staranności przez spółkę V. i niewątpliwie stanowi o nieumyślnym charakterze naruszenia. Niemniej jednak Spółka, następca prawny spółki V., jako administrator ponosi odpowiedzialność za stwierdzone nieprawidłowości w procesie przetwarzania danych. Na negatywną ocenę zasługuje fakt, że spółka V., pomimo iż zakładała, że system będzie weryfikował zgodność id wniosku z id POS, nie przeprowadziła testu pod kątem poprawności działania systemu zgodnie z założonymi wymaganiami. Jednocześnie twierdzenia spółki V., że nie wie, czy i jakimi uprawnieniami mógł dysponować atakujący oraz jakiego okresu mogło owo uprawnienie dotyczyć, świadczą, że wdrożone przez nią środki techniczne i organizacyjne, mające zapewnić bezpieczeństwo danych, były niewystarczające, a spółka nie panowała nad procesem przetwarzania danych.

Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g RODO) – dane osobowe, do których dostęp uzyskała nieznana i nieuprawniona osoba trzecia, wprawdzie nie należą do szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO, jednakże ich zakres: numer telefonu oraz w przypadku 4522 osób imię i nazwisko, numer PESEL, numer i seria dokumentu tożsamości; w stosunku do 108702 osób imię i nazwisko oraz nr PESEL; w stosunku do 10167 osób imię

i nazwisko oraz numer i seria dokumentu tożsamości, wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych.

Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił jako okoliczności łagodzące, mające wpływ na obniżenie wysokości wymierzonej kary następujące przesłanki.

Działania podjęte przez spółkę w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c RODO) – spółka V. skierowała do osób dotkniętych naruszeniem poufności ich danych osobowych zawiadomienia o naruszeniu ich danych osobowych, zawierające wszystkie wymagane zgodnie z art. 34 ust. 2 RODO informacje. Spółka bezpośrednio

po wykryciu naruszenia bezpieczeństwa danych, jeszcze przed wszczęciem postępowania administracyjnego podjęła konkretne i szybkie działania, których efektem było usunięcie tego naruszenia. W szczególności usunęła z systemu informatycznego wykorzystaną przez osobę lub osoby nieuprawnione jego podatność na naruszenie ochrony przetwarzanych w systemie danych osobowych abonentów. Mimo wysokiego ryzyka wystąpienia szkód majątkowych lub niemajątkowych dla osób, których dane zostały w sposób bezprawny pozyskane przez osobę nieuprawnioną, podjęcie przez spółkę szybkich działań mających na celu zabezpieczenie danych przed ich pobraniem przyczyniło się do ograniczenia liczby osób dotkniętych naruszeniem bezpieczeństwa ich danych, co należy uznać, w ocenie organu, jako okoliczność łagodzącą, ponieważ zawężenie liczby osób dotkniętych naruszeniem świadczy o działaniach podjętych w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą.

Prezes UODO zwrócił ponadto uwagę na stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f RODO), brak stwierdzenia wcześniejszych poprzedzających niniejsze postępowanie naruszeń przepisów RODO przez spółkę V. Przy czym żadnego wpływu na fakt zastosowania przez Prezesa UODO

w niniejszej sprawie sankcji w postaci administracyjnej kary pieniężnej, jak również

na jej wysokość, nie miały inne, wskazane w art. 83 ust. 2 RODO okoliczności.

Prezes UODO uznał, że nałożenie administracyjnej kary pieniężnej na Spółkę, następcę prawnego spółki V., jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych spółce V. naruszeń. Stwierdził, że zastosowanie

w niniejszej sprawie jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 RODO, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2

lit. b), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że Spółka, następca prawny spółki V., w przyszłości nie dopuści się podobnych zaniedbań.

W końcowej części uzasadnienia organ wskazał na motywy świadczące

o zasadności wymierzenia Spółce kary pieniężne w orzeczonej wysokości. Uznał, że z uwagi na charakter i wagę naruszeń zastosowanie znajdzie zarówno art. 83 ust. 4

lit. a RODO, przewidujący m.in. za naruszenie obowiązków administratora, o których mowa w art. 25 i 32 RODO, możliwość nałożenia administracyjnej kary pieniężnej

w wysokości do 10 000 000 EUR (w przypadku przedsiębiorstwa - w wysokości

do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego), jak również art. 83 ust. 5 lit. a RODO, zgodnie z którym naruszenia m.in. podstawowych zasad przetwarzania, o których mowa m.in. w art. 5 tego rozporządzenia, podlegają administracyjnej karze pieniężnej w wysokości

do 20 000 000 EUR (w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa).

W ocenie Prezesa UODO zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83

ust. 1 RODO, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna

i odstraszająca, a jednocześnie nie będzie dla Spółki nadmiernie dotkliwa.

Spółka, reprezentowana przez radcę prawnego, zaskarżyła decyzję Prezesa UODO z 16 listopada 2022 r. do Wojewódzkiego Sądu Administracyjnego

w Warszawie.

Zaskarżonej decyzji zarzuciła:

1) naruszenie prawa materialnego, które miało wpływ na wynik sprawy,

tj. art. 83 ust. 2 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm., dalej: "RODO" lub "Rozporządzenie"), polegające na jego niewłaściwym zastosowaniu i przyjęciu, że naruszenie przez V. przepisów art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b i lit. d oraz art. 32 ust. 2 RODO zakończyło się z dniem 22 lipca 2020 r, podczas gdy zakończenie stanu naruszenia nastąpiło najpóźniej w lutym 2020 r., co doprowadziło do niezasadnego nałożenia na Skarżącą administracyjnej kary pieniężnej, z naruszeniem art. 83 ust. 2 lit. a RODO;

2) naruszenie prawa materialnego, które miało wpływ na wynik sprawy,

tj. art. 83 ust. 1 w związku z art. 83 ust. 2 lit. a RODO, polegające na ich niewłaściwym zastosowaniu i przyjęciu, że osoby, których dotyczyło naruszenie ochrony danych osobowych, poniosły szkodę, o której mowa w art. 83 ust. 2 lit. a, podczas gdy za poniesienie szkody nie może być uznawana obawa jej poniesienia przez osoby, których dane dotyczą, co doprowadziło do niezasadnego nałożenia na Skarżącą administracyjnej kary pieniężnej, w wysokości naruszającej zasadę proporcjonalności;

3) naruszenie prawa materialnego, które miało wpływ na wynik sprawy,

tj. art. 153 PPSA w związku z art. 83 ust. 2 lit. h RODO, polegające na ich niezastosowaniu i uznaniu wbrew wytycznym WSA zawartym w wyroku

z 21 październiku 2021 r., że fakt zawiadomienia podmiotów danych o naruszeniu przez V. nie ma wpływu na wymiar administracyjnej kary pieniężnej; naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 32 ust. 1 lit. d w związku z art. 32 ust. 2 RODO, polegające na ich niewłaściwym zastosowaniu i przyjęciu, że niewdrożenie środka bezpieczeństwa organizacyjnego polegającego

na regularnym testowaniu, mierzeniu i ocenianiu skuteczności środków technicznych

i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania wdrożonych przez V., doprowadziło do niewykrycia podatności będącej przyczyną naruszenia ochrony danych osobowych oraz stanowiło naruszenie obowiązków wynikających z RODO, za które organ niezasadnie nałożył na Skarżącą administracyjną karę pieniężną;

4) naruszenie prawa materialnego, które miało wpływ na wynik sprawy,

tj. art. 25 ust. 1 RODO, polegające na jego nieprawidłowym zastosowaniu w sprawie, poprzez uznanie, że do naruszenia może dojść pomimo braku wyrządzenia szkody, co doprowadziło do niezasadnego nałożenia na Skarżącą administracyjnej kary pieniężnej;

5) naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 83 ust. 2 lit. g RODO, polegające na jego niewłaściwym zastosowaniu

i przyjęciu, że w przypadku, gdy naruszeniem ochrony danych osobowych objęty jest numer PESEL, zachodzi wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w sytuacji gdy każdorazowe wystąpienie naruszenia ochrony danych osobowych wymaga odrębnej analizy ryzyka w kontekście zmiennych elementów stanu faktycznego, a w konsekwencji objęcie numeru PESEL naruszeniem nie stanowi automatycznie o wysokim poziomie ryzyka, co doprowadziło do niezasadnego stwierdzenia przez organ, że V. naruszyła te przepisy, a następnie do nałożenia na Skarżącą administracyjnej kary pieniężnej;

6) naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 83 ust. 2 lit. a RODO polegające na jego błędnej wykładni i przyjęciu przez organ, że chociaż naruszenie ochrony danych osobowych obejmowało 114 963 osób, rzekome naruszenie obowiązków administratora (brak odpowiednich środków technicznych i organizacyjnych) stwarzało ryzyko dla wszystkich osób będących klientami V. w całym okresie trwania naruszenia, zarówno przed, jak i po wycieku danych, co skutkowało niezasadnym nałożeniem na Skarżącą administracyjnej kary pieniężnej w wysokości nieodpowiadającej liczbie osób, których dotyczyło naruszenie ochrony danych osobowych;

7) naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 83 ust. 1 RODO w związku z art. 5 ust. 1 lit. f RODO w związku z art. 24 ust. 1, art. 25 ust. 1, art. 32 lit. b i lit. d oraz art. 32 ust. 2 RODO poprzez przyjęcie, że konsekwencją naruszenia art. 24 ust. 2, art. 25 ust. 1, art. 32 lit. b i lit. d oraz art. 32 ust. 2 RODO jest automatycznie naruszenie art. 5 ust. 1 lit. f RODO, podczas gdy,

w sytuacji tego samego zdarzenia - utraty poufności danych osobowych spowodowanej bezpośrednio umyślnym działaniem podmiotu trzeciego, niezależnego od administratora (atak hakerski), naruszenie ww. przepisów jest odrębne i niezależne od siebie, co doprowadziło do niezasadnego stwierdzenia przez organ, że V. naruszyła art. 5 ust. 1 lit. f RODO, a następnie do niezasadnego nałożenia

na Skarżącą administracyjnej kary pieniężnej z naruszeniem zasady proporcjonalności, w nieadekwatnej wysokości;

8) naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 83 ust. 4 i 5 RODO w związku z art. 7, art. 7a § 1 oraz art. 8 § 1 ustawy z 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j. Dz. U. z 2022 r., poz. 2000, dalej: "KPA") poprzez ich błędną wykładnię polegającą na wzięciu przez organ pod uwagę jako "całkowity roczny światowy obrót z poprzedniego roku obrotowego", o którym mowa w tych przepisach obrotu V. za 2021 rok podczas gdy organ powinien był wziąć pod uwagę całkowity roczny światowy obrót V. z 2019 rok, gdyż był to poprzedni rok obrotowy względem pierwszej decyzji wydanej w sprawie, co skutkowało wymierzeniem administracyjnej kary pieniężnej w nieprawidłowej (zbyt wysokiej) wysokości;

9) naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 83 ust. 2 lit. a, b, c, e, f, oraz g RODO w związku z art. 83 ust. 1 RODO oraz art. 153 PPSA, polegające na ich niewłaściwym zastosowaniu poprzez nieustalenie wpływu elementów określonych w art. 83 ust. 2 lit. a, b, c, e, f, oraz g RODO na wysokość administracyjnej kary pieniężnej, co uniemożliwia stwierdzenie, czy kara pieniężna spełnia wymogi z art. 83 ust. 1 RODO, a w konsekwencji poprzez niewyjaśnienie w sposób przekonywujący powodów wymierzenia administracyjnej kary pieniężnej w wysokości wskazanej w sentencji decyzji, do czego Sąd zobowiązał Prezesa UODO w wyroku 21 z października 2021 r. (sygn. II SA/Wa 272/21);

10) naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 83 ust. 1 RODO, polegające na jego niewłaściwym zastosowaniu poprzez nieuwzględnienie przy ocenie kryteriów z art. 83 ust. 1 RODO, że V. przestała istnieć w wyniku przejęcia przez Skarżącą, która to nie miała żadnego faktycznego związku z naruszeniem ochrony danych osobowych, którego dotyczy decyzja, a w związku z czym organ zobowiązany był do ponownej oceny skuteczności i funkcji represyjnej administracyjnej kary pieniężnej, której brak doprowadził

do niezasadnego nałożenia na Skarżącą administracyjnej kary pieniężnej

z naruszeniem art. 83 ust. 1 RODO, w nieadekwatnej wysokości;

11) naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 7 w związku z art. 77 KPA i art. 107 § 3 w związku z art. 11 KPA, polegające na nieustaleniu rozmiaru rzekomej szkody, którą zdaniem organu poniosły osoby, których może dotyczyć naruszenie ochrony danych osobowych, którego dotyczy decyzja, co doprowadziło do niezasadnego nałożenia na Spółkę administracyjnej kary pieniężnej w wysokości wskazanej w decyzji;

12) naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 7 KPA w związku z art. 77 KPA i art. 80 KPA, polegające na niepodjęciu z urzędu wszelkich czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego oraz niezebraniu i nierozpatrzeniu całego materiału dowodowego

w sposób wyczerpujący, a także błędnym przyjęciu przez organ, że uprawnienia, którymi dysponował atakujący pozostają bez znaczenia dla stwierdzenia naruszenia przez V. przepisów Rozporządzenia, podczas gdy okoliczności ataku, którego ofiarą padła V., stanowią istotny element stanu faktycznego, niezbędny w celu prawidłowego ustalenia skali naruszenia, co skutkowało niesłusznym nałożeniem na Skarżącą administracyjnej kary pieniężnej w wysokości wskazanej

w decyzji.

W świetle powyższych zarzutów, Skarżąca wniosła o uchylenie zaskarżonej decyzji w całości.

W obszernym uzasadnieniu skargi Skarżąca rozwinęła argumentację sformułowaną na rzecz postawionych w niej zarzutów.

W odpowiedzi na skargę Prezes UODO wniósł o jej oddalenie.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Skarga nie jest zasadna albowiem przedmiotowa decyzja odpowiada prawu. Badając skargę według kryteriów przewidzianych w art. 134 § 1 ustawy z dnia

30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz.U.

z 2023 r. poz. 259 ze zm.; dalej jako "p.p.s.a.") oraz w art. 145 § 1 p.p.s.a., Sąd uznał, że nie zasługuje ona na uwzględnienie, bowiem zaskarżona decyzja nie narusza prawa w sposób uzasadniający jej uchylenie.

Przedmiotem rozpoznania w niniejszej sprawie była skarga na decyzję Prezesa Urzędu Ochrony Danych Osobowych (dalej Prezes UODO) z [...] listopada 2022 r.

W pierwszej kolejności Sąd podkreśla, że uzasadnienie zaskarżonej decyzji jest rozbudowane w sposób nadmierny, kilkakrotnie w uzasadnieniu poruszane są te same aspekty sprawy. Ujęcie uzasadnienia decyzji na 37 stronach pomimo, niewątpliwie ogromnego materiału zebranego w postępowaniu, świadczy jednak o braku syntetycznego podejścia do problemu. Od organu należy natomiast wymagać syntetycznego ujęcia sprawy i przedstawienia jej istoty w oparciu o zastosowane przepisy prawa. Sąd stwierdza także, że wbrew twierdzeniom skargi w zaskarżonej decyzji nastąpiło szczegółowe ustalenie stanu faktycznego sprawy. Organ przedstawił też argumentację na poparcie zajętego stanowiska. W prawidłowo ustalonym stanie faktycznym Prezes UODO zastosował właściwe normy prawa materialnego zastosował się do wytycznych zawartych w wyroku o sygn. akt II SA/Wa 272/21. Nie budzi też wątpliwości ich interpretacja prawa dokonana przez organ. Organ nie naruszył także przepisów postępowania w stopniu mogącym mieć istotny wpływ na wynik postępowania. Jak słusznie wskazał Prezes UODO wyciek danych był efektem podatności systemów informatycznych Spółki V. na ingerencję. W efekcie niezastosowania w systemach odpowiednich środków bezpieczeństwa dostęp do danych uzyskała osoba nieuprawniona. Doszło więc do naruszenia zasad integralności i poufności. Spółka w ocenie organu nie mogła wykryć podatności systemu informatycznego na naruszenia z uwagi na brak regularnych testów, co potwierdza zebrany w toku kontroli materiał dowodowy.

Przechodząc do omówienia poszczególnych zarzutów skargi, na wstępie Sąd wskazuje, że zgodnie z treścią art. 153 p.p.s.a. zarówno Sąd jak i organ były związane oceną prawną i wskazaniami co do dalszego postępowania wyrażonymi w orzeczeniu o sygn. akt II SA/Wa 272/21.

W uzasadnieniu wyroku z dnia 21 października 2021 r. sprawie o sygn. akt

II SA/Wa 272/21 uznano za niezasadne zarzuty naruszenia przez Prezesa UODO przepisów art. 5 ust. 1 lit. f) i ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b) i d) i ust. 2 rozporządzenia 2016/679. Zdaniem Sądu Prezes UODO wziął pod rozwagę, czy Spółka V., jako administrator danych osobowych, przeanalizowała ryzyko związane z ochroną danych, czy udokumentowała i uzasadniła je należycie w stanie faktycznym, czy badała od dnia wejścia w życie przepisów rozporządzenia 2016/679 procesy przetwarzania danych osobowych na poszczególnych etapach i czy zastosowane przez Spółkę V. procedury były adekwatne do oszacowanego ryzyka.

Będąc związanym wykładnią i wskazaniami dokonanymi przez Sąd orzekający w sprawie o sygn. akt II SA/Wa 272/21 skład orzekający w niniejszej sprawie stoi

na stanowisku, że zarzuty skargi dotyczące naruszenia przepisów art. 5 ust. 1 lit. f)

i ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b) i d) i ust. 2 rozporządzenia 2016/679 są bezzasadne.

Przechodząc do omówienia poszczególnych zarzutów skargi należy wskazać, że niezasadny jest zarzut 1 skargi dotyczący art. 83 ust. 2 lit. a RODO, polegający na jego niewłaściwym zastosowaniu i przyjęciu, że naruszenie przez V. przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b) i lit. d) oraz art. 32 ust. 2 RODO zakończyło się z dniem [...] lipca 2020 r., podczas gdy zakończenie stanu naruszenia nastąpiło najpóźniej w lutym 2020 r. Reasumując powyższy zarzut dotyczy okresu trwania naruszenia.

W ocenie Sądu powyższy zarzut jest niezasadny. Jak słusznie wskazał organ, dopiero z datą uzyskania certyfikacji, co miało miejsce [...] lipca 2020 r. Skarżąca mogła powołać się na fakt, że spełnia wymogi ISO/IEC 27001:2013 oraz ISO/IEC 27701:2019. Zdaniem Sądu z samego faktu rozpoczęcia procesu uzyskania zgodności z normami ISO/IEC 27001:2013 oraz ISO/IEC 27701:2019 nie można dowieść, że proces ten zakończy się pomyślnie. O prawidłowości tego stanowiska świadczy również raport z audytu przetwarzania danych osobowych przez spółkę V.

po wdrożeniu wymogów rozporządzenia 2016/678, datowany na dzień [...] lutego

2020 r., na który powołuje się Skarżąca jako na końcową datę naruszenia. Z zalecenia do punktu 5 "Zasady przetwarzania danych osobowych (art. 5, art. 24 i art. 32)"

i "Przetwarzanie zgodne z prawem" ppkt. 5.7 "integralność i poufność" wynika bowiem, że należy opracować zasady testowania, mierzenia i oceniania skuteczności stosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Tak więc powyższe świadczy o tym, że w dacie wskazanej przez Skarżącą nie doszło do zakończenia trwania naruszenia, gdyż na Skarżącą nałożono obowiązki związane z prawidłowym zabezpieczeniem danych.

W ocenie Sądu Prezes UODO prawidłowo ustalił okres trwania naruszenia przyjmując, że trwało ono od [...] maja 2018 r.(wejście w życie RODO) do [...] lipca

2020 r. – daty uzyskania certyfikacji, wynika to z faktu, że przetwarzanie danych osobowych abonentów usług przedpłaconych trwało już w dacie wejścia w życie RODO. Natomiast spółka V. była zobowiązana zgodnie z motywem 171 rozporządzenia 2016/679 i art. 99 ust.2 RODO do posiadania w dniu wejścia w życie RODO rozwiązań technicznych i organizacyjnych w postaci regularnego testowania

i mierzenia wdrożonych rozwiązań - środków bezpieczeństwa przetwarzania danych, czego nie dopełniła, a uchybienie to zostało usunięte dopiero w trakcie trwania niniejszego postępowania administracyjnego. Podkreślenia wymaga, że to europejski prawodawca wyznaczył administratorom danych dwuletni okres na zaprojektowanie istniejących systemów przetwarzania danych, tak aby spełniały wymogi rozporządzenia 2016/679. W tym miejscu wskazać również należy, że obowiązek wynikający z art. 25 ust. 1 RODO nie dotyczy jedynie ochrony danych w fazie projektowania, ale odnosi się również do samego etapu przetwarzania danych.

W ocenie Sądu niezasadny jest także zarzut 2 skargi dotyczący naruszenia prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 83 ust. 1 w związku

z art. 83 ust. 2 lit. a) RODO, polegającego na ich niewłaściwym zastosowaniu

i przyjęciu, że osoby, których dotyczyło naruszenie ochrony danych osobowych, poniosły szkodę, o której mowa w art. 83 ust. 2 lit. a), podczas, gdy za poniesienie szkody nie może być uznawana obawa jej poniesienia przez osoby, których dane dotyczą, co doprowadziło do niezasadnego nałożenia na Skarżącą administracyjnej kary pieniężnej, w wysokości naruszającej zasadę proporcjonalności.

W niniejszej sprawie nie ulega wątpliwości, że doszło do wycieku danych osobowych abonentów usług przedpłaconych, z uwagi na podatność systemów informatycznych na naruszenie. Ponad 100 tyś. abonentów usług przedpłaconych spółki zostało dotkniętych naruszeniem poufności ich danych. Zdaniem Sądu Prezes UODO prawidłowo przyjął, że w sprawie doszło do zaistnienia szkody niemajątkowej w postaci obawy przed utratą kontroli abonentów nad swoimi danymi osobowymi.

Jak wskazał Sąd Okręgowy w W. w wyroku z dnia [...] sierpnia 2020 r. sygn. akt [...] obawa, a więc utrata bezpieczeństwa stanowi realną szkodę niemajątkową wiążącą się z obowiązkiem jej naprawienia.

Z powyższym zarzutem skargi powiązany jest zarzut 12, który dotyczy naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 7 KPA w związku z art. 77 KPA i art. 80 KPA, polegające na niepodjęciu z urzędu wszelkich czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego oraz niezebraniu i nierozpatrzeniu całego materiału dowodowego w sposób wyczerpujący, a także błędnym przyjęciu przez organ, że uprawnienia, którymi dysponował atakujący pozostają bez znaczenia dla stwierdzenia naruszenia przez V. przepisów RODO, podczas gdy okoliczności ataku, którego ofiarą padła ww. spółka, stanowią istotny element stanu faktycznego, niezbędny w celu prawidłowego ustalenia skali naruszenia, co skutkowało niesłusznym nałożeniem na Skarżącą administracyjnej kary pieniężnej w wysokości wskazanej w decyzji.

W ocenie Sądu w sprawie nie doszło do naruszenia wskazanych powyżej przepisów postępowania. Prezes UODO określił rozmiar zaistniałej szkody niemajątkowej, o czym mowa była powyżej. Skarżąca w toku całego postępowania nie przedstawiła żadnych dowodów świadczących o fakcie braku zaistnienia szkody, nie przedłożyła chociażby oświadczeń osób dotkniętych naruszeniem poufności ich danych, że nie poniosły one z tego tytułu żadnej szkody majątkowej, czy niemajątkowej.

Zasada oficjalności postępowania administracyjnego nakłada na organ obowiązek gromadzenia w sprawie materiału dowodowego, nie oznacza to jednak,

że strona postepowania może zachowywać bierność w jego toku. To na stronie postępowania spoczywa obowiązek wykazania konkretnych faktów i zdarzeń,

z których wywodzi dla siebie określone skutki prawne.

Odnosząc się do zarzutu 3 dotyczącego art. 153 p.p.s.a. w związku z art. 83 ust. 2 lit. h) RODO, polegającego na ich niezastosowaniu i uznaniu wbrew wytycznym WSA zawartym w wyroku z 21 październiku 2021 r., że fakt zawiadomienia podmiotów danych o naruszeniu przez V. nie ma wpływu na wymiar administracyjnej kary pieniężnej; naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 32 ust. 1 lit. d w związku z art. 32 ust. 2 RODO, polegające na ich niewłaściwym zastosowaniu i przyjęciu, że niewdrożenie środka bezpieczeństwa organizacyjnego polegającego na regularnym testowaniu, mierzeniu i ocenianiu skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania wdrożonych przez V., doprowadziło do niewykrycia podatności będącej przyczyną naruszenia ochrony danych osobowych oraz stanowiło naruszenie obowiązków wynikających z RODO, za które organ niezasadnie nałożył na Skarżącą administracyjną karę pieniężną.

W pierwszej kolejności należy wskazać, że zgodnie ze stanowiskiem Grupy Roboczej Art. 29 wytycznych w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 (WP 253 17/PL), administrator danych osobowych ma obowiązek zawiadomienia organ nadzoru o naruszeniu danych osobowych. Zwykłe dopełnienie tego obowiązku nie może być interpretowane jako czynnik osłabiający/łagodzący. Innymi słowy, zdaniem Sądu, takie zawiadomienie jest irrelewantne dla wymierzanej kary pieniężnej.

Odnosząc się do naruszenia art. 32 ust. 1 lit. d) w związku z art. 32 ust. 2 RODO należy wskazać, że Sąd w uzasadnieniu wyroku o sygn. akt II SA/Wa 272/21 stanął na stanowisku, że powyższy zarzut skargi był bezzasadny. To na administratorze spoczywa obowiązek takiego doboru środków zabezpieczenia, aby zminimalizować ryzyko ich naruszenia. Podobne stanowisko wyraził Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 26 sierpnia 2020 r. sygn. akt II SA/Wa 2826/19, gdzie wskazano, że "czynności o charakterze techniczno-organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych." (por. wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 26 sierpnia 2020 r. sygn. akt II SA/Wa 2826/19).

Podkreślenia wymaga, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem każdego administratora oraz podmiotu przetwarzającego wynikającym z art. 32 ust 1 lit. d) RODO. Administrator zobowiązany jest więc do weryfikacji zarówno doboru,

jak i poziomu skuteczności stosowanych środków technicznych na każdym etapie przetwarzania. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania. Jak słusznie zauważył organ, Skarżąca nie podjęła minimalnych działań w celu zweryfikowania, czy tworzony przez nią system działa poprawnie

i zgodnie z przyjętymi założeniami, które miały polegać na walidacji numeru POS

z numerem wniosku, nie sprawdzono więc czy przyjęte środki kontroli są skuteczne

i w sposób prawidłowy chronią dane osobowe abonentów.

Jak wskazał organ, wskazane testowanie, mierzenie i ocenianie, aby stanowiło realizację wymogu wynikającego z art. 32 ust. 1 lit. d) RODO, musi być dokonywane w sposób regularny, co oznacza świadome zaplanowanie i zorganizowanie, a także dokumentowanie (w związku z zasadą rozliczalności, o której mowa w art. 5 ust. 2 RODO) tego typu działań w określonych przedziałach czasowych, niezależnie

od zmian w organizacji i przebiegu procesów przetwarzania danych spowodowanych np. zmianą organizacyjną u administratora danych.

W tym miejscu warto przytoczyć orzeczenie Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 3 września 2020 r. o sygn. II SA/Wa 2559/19, w którym wskazano, że: "Rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są nie tylko do zapewnienia zgodności z wytycznymi ww. rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.

Konsekwencją takiej orientacji jest rezygnacja z list wymagań, w zakresie bezpieczeństwa narzuconych przez prawodawcę, na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki

i procedury, które będą adekwatne do oszacowanego ryzyka."

Z akt sprawy wynika, że przedstawiona w toku kontroli analiza ryzyka, przeprowadzona w maju 2018 r., nie odzwierciedla w pełni stanu faktycznego procesu "Rejestracja danych w POS", będącego przedmiotem kontroli, w związku

z wystąpieniem naruszenia danych osobowych, zgłoszonego przez Spółkę V.

[...] grudnia 2019 r. Jak wynika z materiału zebranego w toku kontroli, przegląd środków technicznych i organizacyjnych został przeprowadzony przez Spółkę jedynie przed rozpoczęciem stosowania rozporządzenia 2016/679. Nie sposób jednak uznać go za realny i faktyczny, nie doprowadził bowiem do ujawnienia podatności

w funkcjonowaniu systemu.

Sąd w pełni podziela stanowisko organu, iż badanie prawdopodobieństwa wystąpienia danego zdarzenia nie powinno opierać się wyłącznie na podstawie częstotliwości występowania zdarzeń w danej organizacji, albowiem fakt nie wystąpienia danego zdarzenia w przeszłości wcale nie oznacza, że nie może ono zaistnieć w przyszłości.

Na zakończenie warto powołać się na stanowisko Europejska Rada Ochrony Danych (EROD) zawarte w Wytycznych nr 4/2019 dotyczących artykułu 25 gdzie wskazano, że "Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych", wersja 2.0, przyjętych 20 października 2020 r., wskazuje, że "obowiązek utrzymania, przeglądu i aktualizacji, w miarę potrzeby, operacji przetwarzania dotyczy również wcześniej istniejących systemów. Oznacza to, że dotychczasowe systemy zaprojektowane przed wejściem w życie RODO należy poddawać przeglądom i konserwacji, aby zapewnić wdrożenie środków

i zabezpieczeń, które w skuteczny sposób wdrażają zasady i prawa osób, których dane dotyczą, jak określono w niniejszych wytycznych".

Odnosząc się do zarzutu 4 skargi, dotyczącego naruszenia art. 25 ust.1 RODO należy wskazać, że zarzut ten został już omówiony powyżej i jest niezasadny.

Jak słusznie wskazał organ w sprawie doszło do szkody niematerialnej w postaci obawy a więc utratą bezpieczeństwa ochrony danych osobowych, związanego

z wyciekiem tych danych.

Przechodząc do omówienia zarzutu 5 skargi, którego treść szczegółowo została wskazana w części historycznej uzasadnienia, a dotyczącego przyjęcia przez organ, że w związku z ujawnienie nr PESEL prowadzi do wysokiego ryzyka naruszenia praw i wolności , w szczególności wysokiego ryzyka kradzieży tożsamości, należy stwierdzić, że skład orzekający w tej sprawie w pełni podziela stanowisko organu

w tym zakresie.

W ocenie Sądu, która to ocena jest zbieżna z oceną organu, podczas oceny ryzyka naruszenia praw lub wolności osób fizycznych należy zwrócić uwagę na wytyczne Grupy Roboczej Art. 29 (tj. Grupy Roboczej ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych, powołanej na mocy art. 29 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r., zastąpionej zgodnie z art. 68 rozporządzenia 2016/679 Europejską Radą Ochrony Danych Osobowych, która podczas pierwszego posiedzenia plenarnego zatwierdziła m.in. niżej przywołane wytyczne), dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679, zwanych dalej również "wytycznymi".

Jak wynika z ww. wytycznych, "podczas oceny ryzyka, które może powstać

w wyniku naruszenia, administrator powinien łącznie uwzględnić wagę potencjalnego wpływu na prawa i wolności osób fizycznych i prawdopodobieństwo jego wystąpienia. Oczywiście ryzyko wzrasta, gdy konsekwencje naruszenia są poważniejsze, jak również wtedy, gdy wzrasta prawdopodobieństwo ich wystąpienia" oraz "Ryzyko to istnieje w przypadku, gdy naruszenie może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone. Przykłady takich szkód obejmują dyskryminację, kradzież lub sfałszowanie tożsamości, straty finansowe i naruszenie dobrego imienia".

W wyroku z dnia 31 sierpnia 2022 r. WSA w Warszawie, sygn. akt II SA/Wa 2993/21, wskazano, że "(...) organ trafnie przyjął, iż wystąpiło wysokie ryzyko naruszenia praw i wolności osób objętych przedmiotowym naruszeniem z uwagi na możliwość łatwej, w oparciu o ujawnione dane, identyfikacji osób, których dane zostały objęte naruszeniem. Dane te bowiem to imię i nazwisko, adres do korespondencji, numer telefonu, numer PESEL osób posiadających polskie obywatelstwo".

Sąd orzekający w tej sprawie w pełni podziela stanowisko wyrażone

w cytowanym wyroku i przyjmuje je za własne.

Na zakończenie należy powołać się na Wytyczne Europejskiej Rady Ochrony Danych 01/2021 w sprawie przykładów dotyczących powiadomienia o naruszeniu danych osobowych przyjętych w dniu 14 grudnia 2021 r., wersja 2.0 (dalej "Wytyczne EROD 01/2021"), przykład nr 14, odnoszący się do sytuacji "wysłania pocztą przez pomyłkę wysoce poufnych danych osobowych". We wspomnianym przypadku doszło do ujawnienia numeru ubezpieczenia społecznego, będącego odpowiednikiem stosowanego w Polsce nr PESEL. W omawianym przypadku Europejska Rada Ochrony Danych (dalej "EROD") nie miała wątpliwości, że ujawnione dane w zakresie: imię i nazwisko, adres e-mail, adres pocztowy, numer ubezpieczenia społecznego, wskazują na wysokie ryzyko naruszenia praw lub wolności osób fizycznych

("zaangażowanie ich [osób poszkodowanych] numeru ubezpieczenia społecznego,

a także innych, bardziej podstawowych danych osobowych, dodatkowo zwiększa ryzyko, które można określić jako wysokie ").

Reasumując Sąd stoi na stanowisku, że ujawnienie numeru PESEL, wskazuje na wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Odnosząc się do zarzutu 6 skargi, którego treść szczegółowo została przytoczona w części historycznej uzasadnienia, należy wskazać, że zarówno Spółka V. jak i [...] przetwarza dane osobowe na masową skalę. W ocenie Sądu masowe przetwarzanie musi się wiązać z wyższym poziomem odpowiedzialności administratora i wyższym poziomem należytej staranności, gdyż nieodpowiednie zabezpieczenie danych może skutkować negatywnymi konsekwencjami dla wielu osób. Przetwarzanie tych danych odbywało się przy użyciu środka informatycznego, co w konsekwencji powodowało podwyższoną odpowiedzialność za wdrożenie środków organizacyjnych i technicznych dla zabezpieczenia systemu, czego w tej sprawie zabrakło. Naruszenie to zdaniem Sądu, które to zdanie jest zbieżne z oceną organu, stwarza zagrożenie dla wszystkich klientów spółki.

Odnosząc się do zarzutu 7 skargi, którego treść szczegółowo została przytoczona w części historycznej uzasadnienia, a dotyczącego nałożenia kary pieniężnej w nieadekwatnej wysokości, należy wskazać, że z taką kwalifikacją naruszenia przez Spółkę V. przepisów rozporządzenia zgodził się WSA w wyroku z 21 października 2021 r. (sygn. akt II SA/Wa 272/21), który wskazał, że "nie można uznać zarzutów skargi o naruszeniu przez Prezesa UODO przepisów art. 5 ust. 1 lit. f) i ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b) i d) i ust. 2 RODO. Zdaniem Sądu Prezes UODO wziął pod rozwagę, czy Spółka jako administrator danych osobowych, przeanalizowała ryzyko związane z ochroną danych osobowych, czy udokumentowała i uzasadniła je należycie w stanie faktycznym sprawy, czy badała od dnia wejścia w życie przepisów RODO, czyli od maja 2018 r. procesy przetwarzania danych osobowych na poszczególnych etapach i czy zastosowane przez Spółkę procedury były adekwatne do oszacowanego ryzyka" (s. 49-50).

Odnosząc się do zarzutu 8 skargi, którego treść szczegółowo została przytoczona w części historycznej uzasadnienia, a dotyczy on wykładni określenia "poprzedni rok obrotowy" z art.83 ust.4 i 5 rozporządzenia 2016/679, należy wskazać, że w ocenie Sądu wysokość całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego dotyczy roku poprzedzającego nałożenie kary. Analogicznie brzmi art. 106 ustawy o ochronie konkurencji i konsumentów. Po uchyleniu wyrokiem WSA z 21 października 2021 r., sygn. akt II SA/Wa 272/21, decyzji Prezesa UODO rozstrzyga on sprawę na nowo stosując wytyczne sądu. Konieczne jest uwzględnianie obrotu działalności gospodarczej poprzedzającego ponowne nałożenie kary dla oceny potencjału rynkowego popełniającego delikt administracyjny dla celów miarkowania kary. O ile elementy strony przedmiotowej deliktu administracyjnego, czyli okoliczności takie jak waga naruszenia, charakter naruszonych danych oceniany jest z daty jego popełnienia to już kwestie możliwości finansowych oceniane są zgodnie z wykładnią funkcjonalną, a wyrazem sytuacji finansowej jest rzeczony obrót.

Organ ponownie rozpoznając sprawę po uchyleniu decyzji przez Sąd bierze pod uwagę nowy stan faktyczny, zwłaszcza że wartość obrotu obliczona dla tej decyzji mieści się w poprzednim obrocie nie przekraczając go, co prowadzi do względniejszego potraktowania. Jest to spójne z uzupełniającą regulację RODO zasadą z art. 101a ust. 2 ustawy o ochronie danych osobowych, która wskazuje, że

w przypadku braku danych na temat obrotu, Prezes UODO ustala podstawę wymiaru administracyjnej kary pieniężnej w oparciu o szacunki co do wielkości podmiotu, specyfiki prowadzonej przez niego działalności lub ogólnie dostępne dane finansowe dotyczące podmiotu. Analiza tego stanu faktycznego musi być aktualna na dzień orzekania, czyli nałożenia kary pieniężnej także ponownie. Nie jest to przecież postępowanie odwoławcze gdzie obowiązuje regulacja reformationis in peius, tylko rozpatrzenie sprawy na nowo jak organ I instancji.

W komentarzach do regulacji analogicznej z art. 106 ustawy o ochronie konkurencji i konsumentów wskazuje się, że: "stosowanie terminu »obrót«, który jest ściśle związany z rozmiarami prowadzonej działalności gospodarczej na dzień orzekania organu, pozwoli urealnić podstawę naliczania kar nakładanych przez Prezesa UOKiK do jego sytuacji majątkowej" (M. Mamczarek, Ustawa o ochronie konkurencji i konsumentów. Komentarz, legalis).

Na poparcie powyższych twierdzeń można przytoczyć też taki wyrok co prawda na gruncie ustawy o ochronie konkurencji i konsumentów, ale potwierdzający,

że wskazanie widełek uzależnionych od procentu obrotu przedsiębiorcy jest celowe. "Celem tym jest uniknięcie nakładania grzywien, których przedsiębiorstwa przewidywalnie nie będą w stanie zapłacić ze względu na ich wielkość określoną na podstawie całkowitego obrotu, jakkolwiek w sposób przybliżony i niedoskonały. Jak wynika z orzecznictwa Trybunału, kwota grzywny, jaka może zostać nałożona na przedsiębiorstwo, ma bowiem górną granicę określoną liczbowo i w sposób bezwzględny, tak że maksymalna kwota grzywny, którą można nałożyć na dane przedsiębiorstwo, może być z góry przewidziana (zob. podobnie wyrok z dnia 9 lipca 2015 r., InnoLux/Komisja, C-231/14_P, EU:C:2015:451, pkt 48 i przytoczone tam orzecznictwo). A zatem w świetle tego celu Sąd (w naszym przypadku Prezes UODO – dopisek własny) nie może być krytykowany za to, że w pkt 415 zaskarżonego wyroku orzekł, iż zasadniczo to na podstawie realiów gospodarczych panujących w trakcie roku obrotowego poprzedzającego wydanie decyzji nakładającej sankcje za naruszenie art. 81 WE należy ustalać górną granicę, o której mowa w art. 2 ust. 2 akapit drugi rozporządzenia nr 1/2003.’’ (Wyrok Trybunału Sprawiedliwości z dnia 7 września 2016 r. C-101/15 P).

Odnosząc się do zarzutu 9 skargi, którego treść szczegółowo została przytoczona w części historycznej uzasadnienia, należy wskazać, że organ

w uzasadnieniu zaskarżonej decyzji wyjaśnił przesłanki nałożenia kary pieniężnej oraz czynniki mające wpływ na jej wysokość. Wskazał również na okoliczności łagodzące. Zdaniem Sądu, kara pieniężna została prawidłowo ustalona i uzasadniona.

W skarżonej decyzji, w punktach, organ wskazał konkretne okoliczności, które wpłynęły na wysokość tej kary. Skarżąca tych okoliczności skutecznie nie podważyła, poprzestając jedynie na polemice i stwierdzeniu, że jest ona zbyt wysoka.

Odnosząc się do zarzutu 10 skargi dotyczącego faktu, że delikt administracyjny popełniła V., która przestała istnieć w wyniku przejęcia przez Skarżącą, która to nie miała żadnego faktycznego związku z naruszeniem ochrony danych osobowych, a mimo to to na Skarżącą nałożono karą administracyjną, Sąd wskazuje, że z akt sprawy wynika, że V. (spółka przejmowana) połączyła się ze Spółką [...] sp. z o.o.(spółka przejmująca), połączenie nastąpiło w trybie art. 492 § 1 kodeksu spółek handlowych. Skutkiem przejęcia przez [...] było wstąpienie we wszystkie prawa i obowiązki spółki przejmowanej, także obowiązki publicznoprawne, w tym odpowiedzialność za delikty administracyjne.

Jak wskazał Naczelny Sąd Administracyjny w wyroku z dnia 19 stycznia

2018 r. sygn. akt I OSK 1740/17 "Konsekwencją połączenia spółek w trybie art. 492

§ 1 pkt 1 k.s.h. jest utrata bytu prawnego jedynie przez spółkę przejmowaną, w której wszystkie prawa i obowiązki wstępuje spółka przejmująca, co następuje z chwilą połączenia, a więc z dniem wpisania połączenia do rejestru właściwego według siedziby, odpowiednio spółki przejmującej, co powoduje jednocześnie wykreślenie spółki przejmowanej z rejestru (art. 493 § 1 i 2 oraz art. 494 § 1 k.s.h.). Połączenie to nie prowadzi zatem do utraty bytu prawnego spółki przejmującej i wykreowania na bazie majątków łączących się spółek nowego podmiotu prawa handlowego, jak ma to miejsce w przypadku połączenia na zasadach określonych w art. 492 § 1 pkt 2 k.s.h., a więc łączenia się przez zawiązanie nowej spółki. Spółka przejmująca nadal istnieje zatem jako odrębny podmiot, a wszelkie nabyte przez nią przed połączeniem prawa, w tym prawa ze sfery publicznoprawnej, pozostają przy tej spółce. Sukcesja uniwersalna, a więc wstąpienie spółki przejmującej we wszystkie prawa i obowiązki spółki przejmowanej, wywołuje zatem także skutki w sferze praw i obowiązków publicznoprawnych. W konsekwencji uznać należy, iż skoro następstwo prawne występuje pod tytułem ogólnym, to nie mamy do czynienia z zakończeniem działalności spółki przejętej, lecz z kontynuacją tej działalności przez spółkę przejmującą."

Jak wskazał Sąd Najwyższy w wyroku z dnia 19 września 2019 r., sygn. akt

I NSK 78/18, "Nie budzi wątpliwości, że w wyniku połączenia się spółek w trybie art. 492 § 1 pkt 1 k.s.h. jednym ze skutków tej czynności jest zakończenie bytu spółki przejmowanej, co nie oznacza unicestwienia sytuacji prawnej przejmowanego podmiotu, bowiem w wyniku połączenia z mocy prawa następuje "scalenie się" obu podmiotów i podmiot przejmujący "wstępuje" w całą sytuację prawną podmiotu przejętego. Spółka przejmująca, jest kontynuatorką - następczynią prawną spółki przejętej, bowiem żart. 494 k .s.h. wynika wstąpienie z dniem połączenia we wszystkie prawa i obowiązki spółki przejmowanej. (...) W ocenie Sądu Najwyższego, sukcesja uniwersalna, o której mowa wart. 494 § 1 k.s.h. w kontekście wstąpienia w sytuację prawną spółki przejmowanej, obejmować będzie także odpowiedzialność za delikt administracyjny popełniony przez spółkę przejmowaną przed jej przejęciem przez spółkę przejmującą. W konsekwencji dopuszczalne jest wszczęcie postępowania administracyjnego przeciwko spółce przejmującej i w przypadku stwierdzenia naruszenia przepisów, wymierzenie jej kary za naruszenie prawa spowodowane przez spółkę przejętą."

Reasumując skoro Skarżąca [...] wstąpiła we wszystkie prawa i obowiązki spółki przejmowanej powoduje także przeniesienie na spółkę przejmującą obowiązku zapłaty administracyjnej kary pieniężnej nałożonej ostateczną decyzją po tym połączeniu

za wykroczenie popełnione przez spółkę przejmowaną przed połączeniem.

Niezrozumiały jest zdaniem Sądu zarzut 11 skargi dotyczący rozmiaru szkody. W ocenie Sądu organ w zaskarżonej decyzji wskazał, że doszło do szkody niematerialnej, która objęła określona liczbę abonentów usług przedpłaconych.

Biorąc powyższe pod rozwagę Sąd działając na podstawie art. 151 p.p.s.a. skargę oddalił.