Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Agnieszka Góra–Błaszczykowska (spr.), Sędzia WSA Łukasz Krzycki, Sędzia WSA Andrzej Wieczorek, po rozpoznaniu na posiedzeniu niejawnym w dniu 19 stycznia 2021 r. sprawy ze skargi [...] w K. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lutego 2020 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę

Przedmiotem rozpoznania w niniejszej sprawie była skarga Wojewódzkiego Inspektora Nadzoru Budowlanego z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych znak [...] z dnia [...] lutego 2020 r. w przedmiocie przetwarzania danych osobowych.

Skarga została złożona w następującym stanie faktycznym sprawy:

W dniu [...] stycznia 2019 r. (data wpływu do organu) T. O. (zwany dalej: wnioskodawca), wniósł do Prezesa Urzędu Ochrony Danych Osobowych (zwany dalej: PUODO, organ), skargę na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Wojewódzkiego Inspektora Nadzoru Budowlanego z siedzibą w [...] (zwany dalej: WINB, skarżący) w zakresie imienia, nazwiska, adresu zamieszkania, nr ewidencyjnego PESEL oraz danych zawartych w dokumentach sądowych i komorniczych, polegające na udostępnieniu skanów dokumentów w systemie Elektronicznego Zarządzania Dokumentami (dalej EZD) z jego danymi osobowymi osobie do tego nieupoważnionej, oraz udostępnienie danych osobowych wnioskodawcy, zawartych w kopii protokołu z dnia [...] stycznia 2019 r.

pozostawionej na drukarce w korytarzu urzędu obsługującego WINB (inspektoratu).

Decyzją znak [...] z dnia [...] lutego 2020 r. organ orzekł w pkt 1 – o udzieleniu WINB upomnienia za naruszenie art. 5 ust. 1 lit. f oraz art. 24 ust. 1 rozporządzenia 2016/679, polegające na udostępnieniu skanów dokumentów w systemie EZD z danymi osobowymi wnioskodawcy osobie do tego nieupoważnionej oraz udostępnienie jego danych osobowych zawartych w protokole z dnia [...] stycznia 2019 r. poprzez pozostawienie go na drukarce w korytarzu inspektoratu; w pkt 2 - o odmowie uwzględnienia wniosku w pozostałym zakresie. Podstawa prawną był art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r., poz. 2096 ze zm., zwana dalej: k.p.a.), art. 5 ust. 1 li. f, art. 24 ust. 1 i art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm., zwane dalej: rozporządzeniem 2016/679).

W uzasadnieniu decyzji organ ustalił następujący stan faktyczny sprawy. Wnioskodawca jest pracownikiem inspektoratu, w dniu [...] grudnia 2019 r. został poinformowany (notatką służbową) przez WINB o tym, że do jego danych osobowych miała dostęp osoba do tego nieuprawniona (pracownik inspektoratu). Wnioskodawca zwrócił się do WINB o szczegółowe wyjaśnienie sprawy dotyczącej udostępnienia jego danych osobowych wraz z żądaniem wskazania osoby, która uzyskała dostęp do jego danych osobowych. WINB oświadczył, że do danych osobowych wnioskodawcy, zawartych w zeskanowanym dokumencie w systemie EZD (w tym nazwiska, adresu zamieszkania, nr PESEL, oraz danych zawartych w dokumentach sądowych i komorniczych) miał dostęp pracownik inspektoratu, którego upoważnienie nie obejmowało dostępu do tego rodzaju danych osobowych.

Zgodnie z wewnętrznymi regulacjami skarżącego (zarządzenie wewnętrzne WINB nr [...] z dnia [...] stycznia 2019 r. w sprawie wprowadzenia Polityki Bezpieczeństwa Informacji oraz Instrukcji Zarządzania Systemem Informacyjnym) dokumenty, do których miał dostęp nieupoważniony pracownik, nie powinny być zeskanowane w systemie EZD. WINB podjął działania celem wyjaśnienia sprawy, także zablokował nieuprawniony dostęp do danych osobowych oraz usunął niewłaściwie zeskanowane dokumenty z folderu poczty przychodzącej w systemie EZD. WINB oświadczył, że pracownik uzyskał nieuprawniony dostęp do danych osobowych wnioskodawcy poprzez otwarcie korespondencji na swoim koncie w innym dziale inspektoratu w związku z niezadziałaniem blokady dostępu w systemie EZD.

WINB zgłosił problem z programem EZD do twórcy programu. Po ustaleniu przyczyny, WINB dokonał korekty w systemie (weryfikacja i poprawa dostępów użytkowników według nadanych uprawnień). WINB oświadczył, że pracownik, który zeskanował dokumenty niezgodnie z procedurą, został ukarany upomnieniem, natomiast wobec pracownika, który miał dostęp do danych osobowych wnioskodawcy niezgodnie ze swoim upoważnieniem i nie powiadomił o tym fakcie swojego pracodawcy, prowadzone jest postępowanie dyscyplinarne. Wnioskodawca oświadczył, iż w dniu [...] stycznia 2019 r. złożył wyjaśnienie u Rzecznika Dyscypliny pracowników inspektoratu w sprawie uzyskania wglądu przez jednego z pracowników inspektoratu do danych osobowych zawartych w plikach utworzonych w dziale radców prawnych i dziale finansowo-księgowym. Na podstawie złożonych wyjaśnień został spisany protokół, zawierający dane osobowe wnioskodawcy. W tym samym dniu znalazł kopię tego protokołu na korytarzu inspektoratu przy kserokopiarce na 9 piętrze. Wnioskodawca zwrócił się do WINB o wyjaśnienie sprawy dotyczącej udostępnienia jego danych osobowych, zawartych w protokole poprzez pozostawienie jego kopii na kserokopiarce na 9 piętrze inspektoratu. WINB wskazał, że w dniu [...] stycznia 2019 r. u Rzecznika Dyscyplinarnego WINB nastąpiła awaria drukarki, w związku z czym drukował on dokumenty na urządzeniu wielofunkcyjnym znajdującym się w korytarzu na 9 piętrze Inspektoratu. Podczas drukowania protokołu z przesłuchania wnioskodawca nastąpiła awaria ww. urządzenia. Dokument wydrukował się z opóźnieniem, następnie został odnaleziony przez wnioskodawcę i przekazany Rzecznikowi Dyscyplinarnego WINB. W związku z tą sytuacją WINB wyłączył funkcję drukowania na urządzeniu do czasu naprawienia awarii. WINB oświadczył, że z danymi zawartymi w protokole nie zapoznał się żaden inny pracownik inspektoratu oprócz wnioskodawcy oraz Rzecznika Dyscyplinarnego WINB.

Odnosząc się do sposobu zabezpieczania danych osobowych wnioskodawcy, znajdujących się w systemie EZD oraz danych zawartych w kopii protokołu pozostawionym przy drukarce na korytarzu inspektoratu Prezes UODO wskazał, że administrator jest zobowiązany wdrożyć odpowiednie środki techniczne i organizacyjne, zapewniające zgodność operacji przetwarzania z obowiązującymi przepisami. Ponadto administrator danych ma obowiązek zapewnienia poufności i integralności danych osobowych, które są przez niego przetwarzane. Oznacza to, że administrator powinien dołożyć wszelkich starań, by zapewnić odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Ocenił, iż WINB powinien zapewniać odpowiedni poziom ochrony danych osobowych wnioskodawcy, znajdujących się w dokumentach zeskanowanych w EZD oraz danych zawartych w protokole. WINB jako administrator nie dopełnił jednak obowiązków, które spoczywają na nim w związku z przepisami o ochronie danych osobowych, ponieważ nieodpowiednio zabezpieczył dane wnioskodawcy przed ich udostępnieniem osobom trzecim. Jak wynika ze złożonych przez WINB wyjaśnień, jeden z pracowników zeskanował dokumenty, zawierające dane osobowe wnioskodawcy, następnie skany te wprowadził do systemu EZD niezgodnie z obowiązującą procedurą w inspektoracie. Z kolej inny pracownik uzyskał dostęp do danych osobowych wnioskodawcy korzystając z zasobów systemu EZD, zastrzeżonych dla pracowników innego działu inspektoratu. Pracownik WINB uzyskał dostęp do danych osobowych niezgodnie z zakresem określonym w upoważnieniu nadanym mu przez administratora, przez błąd systemu EZD tj. nie zadziałała blokada dostępu. Według procedury określonej w polityce bezpieczeństwa danych osobowych ustanowionej u skarżącego, pracownik, którego upoważnienie nie obejmowało możliwości zapoznania się z danymi wnioskodawcy, powinien zgłosić ten fakt jako incydent naruszenia bezpieczeństwa danych oraz niewłaściwe funkcjonowanie systemu do administratora danych (WINB) lub wyznaczonego Inspektora Ochrony Danych Osobowych WINB, czego nie uczynił.

Organ ustalił, że WINB jako administrator po powzięciu informacji o naruszeniu danych osobowych wnioskodawcy, dokonał szeregu czynności celem zminimalizowania negatywnych skutków tego naruszenia i zapobieżenia wystąpienia podobnych naruszeń w przyszłości. Po pierwsze zablokował nieuprawniony dostęp i przeprowadził postępowanie wyjaśniające okoliczności udostępnienia danych osobowych wnioskodawcy, następnie poinformował w.w. o zaistniałym zdarzeniu. Ustalił też, że wystąpił błąd w systemie EZD tj. nie zadziałała blokada dostępu do danych, następnie zgłosił ten problem twórcy programu. Po naprawieniu systemu EZD przez twórców systemu, WINB skorelował nadane uprawnienia pracowników do danych zawartych w systemie EZD. Wobec pracownika, który zeskanował dokumenty niezgodnie z procedurą, skarżący wyciągnął konsekwencje służbowe, natomiast pracownik, który uzyskał nieuprawniony dostęp do danych, został pouczony i jest prowadzone postępowanie zmierzające do wyciągnięcia konsekwencji dyscyplinarnych. Ponadto w dniu [...] grudnia 2018 r. WINB zgłosił naruszenie ochrony danych osobowych do Prezesa UODO.

Skarżący przyznał, że dane wnioskodawcy zostały udostępnione osobie nieupoważnionej w związku z wystąpieniem błędu w ww. programie. Niemniej naruszenie to miało charakter incydentalny i zostało skorygowane przez WINB. W związku z powyższym w ocenie Prezesa UODO czynności podjęte przez WINB jako administratora, w szczególności szybka reakcja na naruszenie, należy uznać z adekwatne i dostateczne.

W zakresie żądania wnioskodawcy o usunięcie danych osobowych z systemu elektronicznego EZD ze względu na niewłaściwe zabezpieczenia ww. programu organ wskazał, iż jak wynika z wyjaśnień WINB, dane wnioskodawcy jako pracownika są przetwarzane na podstawie przepisów prawa przede wszystkim ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (Dz. U. z 2019 r. poz. 1040 ze zm.). System EZD jest ogólnym system Skarbu Państwa i WINB jako urząd administracji zespolonej korzysta z tego programu od 2013 r. a "wykorzystanie tego systemu wynika z potrzeb realizacji zadań wypełnienia obowiązku prawnego ciążącego na administratorze". W związku z tym żądanie wnioskodawcy nie może zostać uwzględnione, bowiem zgodnie z art. 17 ust. 3 lit. b rozporządzenia 2016/679 administrator zwolniony jest z obowiązku usunięcia danych osobowych, gdy przetwarzanie jest niezbędne do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państw członkowskich, któremu podlega administrator, a taka okoliczność ma miejsce w niniejszej sprawie.

Organ uznał, że WINB niewłaściwie zabezpieczył dane osobowe wnioskodawcy, poprzez pozostawienie przez Rzecznika Dyscyplinarnego WINB przy kserokopiarce kopii protokołu z dnia [...] stycznia 2019 r. zawierającego te dane. Jak wskazał skarżący, w wyniku awarii drukarki w pokoju Rzecznika Dyscyplinarnego WINB korzystał on z urządzenia wielofunkcyjnego znajdującego na 9 piętrze inspektoratu. Rzecznik dokonał wydruku protokołu, jednak urządzenie nie zareagowało. Po dłuższym czasie protokół został wydrukowany, następnie odnaleziony przez wnioskodawcę i przekazany do Rzecznika Dyscyplinarnego WINB. Po zgłoszeniu zdarzenia WINB podjął czynności mające na celu usunięcie awarii; ostatecznie usterka została naprawiona. Skarżący podał, że do urządzenia wielofunkcyjnego mają dostęp jedynie pracownicy inspektoratu, dodatkowo dokument został odnaleziony i przekazany Rzecznikowi Dyscyplinarnemu WINB przez samego wnioskodawcę. Pomimo powyższych wyjaśnień organ ocenił, że każda osoba niemająca upoważnienia do danych zwartych protokole, mogła zapoznać się z jego treścią. WINB jako administrator powinien odpowiednio zabezpieczyć dane osobowe przed ich przypadkową utratą za pomocą odpowiednich środków technicznych i organizacyjnych

Odnosząc się do wniosku wnioskodawcy skierowanego do WINB, dotyczącego udostępnienia mu danych osobowych osób, które miały nieuprawniony dostęp do jego danych w inspektoracie organ wskazał, że wnioskodawca nie określił w jakim celu mają zostać mu udostępnione przez WINB dane osobowe osób, które miały nieuprawniony dostęp do jego danych w inspektoracie. We wniosku do WINB nie wskazał celu, wynikającego z prawnie uzasadniającego interesu udostępnienia żądanych przez niego danych osobowych. Słusznie zatem skarżący odmówił udostępnienia wnioskodawcy żądanych przez niego danych osobowych, gdyż za uwzględnieniem tego żądania nie przemawia żadna z przesłanek określonych w art. 6 ust. 1 rozporządzenia 2016/679. Ponadto WINB w odpowiedzi do wnioskodawcy wskazał, że (...) "za zdarzenie nieuprawnionego dostępu do Pana danych osobowych podmiotem odpowiedzialnym jest wyłącznie Administrator". Argumentacja ta jest właściwa, bowiem to WINB jako administrator jest odpowiedzialny za niezgodne z prawem przetwarzaniem danych osobowych wnioskodawcy, a nie osoby, które działają z jego upoważnienia. Ponadto WINB odpowiedział wnioskodawcy, iż nieuprawniony dostęp do jego danych osobowych miał pracownik inspektoratu. Tym samym wskazał kategorię odbiorcy danych osobowych wnioskodawcy. Ustawodawca nie określił bowiem, w jakich okolicznościach administrator powinien wskazać konkretnego odbiorcę, a w jakich kategorię odbiorców. W ocenie Prezesa UODO, WINB, jako administrator danych osobowych wnioskodawcy, wypełnił wobec niego obowiązek informacyjny wynikający z ww. przepisu, w kwestionowanym przez wnioskodawcę zakresie.

W konsekwencji organ uznał, że stwierdzone naruszenie uzasadniało skierowanie pod adresem WINB, nakazu z art. 58 ust. 2 rozporządzenia 2016/679 służącego przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych, wobec czego udzielił skarżącemu upomnienia. Za nieuzasadnione uznał natomiast zarzuty wnioskodawcy dotyczące nieudostępnienia przez WINB danych osobowych osób, mających nieuprawniony dostęp do jego danych osobowych w inspektoracie i w tym zakresie odmówił uwzględnienia wniosku.

W skardze złożonej na powołane rozstrzygnięcie do sądu administracyjnego skarżący zaskarżył ww. decyzję w części dotyczącej punktu 1 (tj. udzielenia WINB upomnienia za naruszenie art. 5 ust. 1 lit. f rozporządzenia 2016/679, polegające na udostepnieniu skanów dokumentów w systemie EZD z danymi osobowymi wnioskodawcy osobie do tego nieupoważnionej oraz udostepnienie jego danych osobowych zawartych w protokole z dnia [...] stycznia 2019 r. przez pozostawienie go w drukarce w korytarzu inspektoratu). Skarżący wniósł o uchylenie zaskarżonej decyzji w części obejmującej punkt 1 i umorzenie postępowania w tym zakresie oraz zasądzenie zwrotu kosztów postępowania.

Uzasadniając złożoną skargę skarżący wyjaśnił, że wprowadzony w WINB system EZD nie został wprowadzony dobrowolnie. Do wprowadzenia tego systemu inspektorat został odgórnie zobligowany, a na aktualizacje czy modyfikacje dokonywane przez twórcę systemu inspektorat nie ma wpływu i są one wprowadzane niezależnie od inspektoratu i jego pracowników. Ze swojej strony administrator dopełnił czynności, mających na celu zachowanie bezpieczeństwa danych. Pracownicy mieli i mają ustawione dostępy w ograniczonym zakresie do systemu, który jest im niezbędny w związku z wykonywanymi obowiązkami na danym stanowisku pracy. Natomiast wystąpienie anomalii w systemie, brak przewidzenia wszystkich ewentualności w systemie (luki) czy wpływ aktualizacji lub modyfikacji na dotychczasowe ustawienia jest już niezależny od skarżącego, a możliwość zrezygnowania z systemu EZD jest wykluczona, między innymi właśnie z uwagi na chęć zapewnienia w jak najwyższym stopniu bezpieczeństwa danych osobowych.

Wskazał, że każdemu z pracowników udzielone jest upoważnienie do przetwarzania danych osobowych w zakresie niezbędnym do wykonywania jego obowiązków służbowych, a zakres obowiązków jest dookreślany w formie pisemnej, jak i w opisie stanowiska, a nadto wynika z regulaminu organizacyjnego. Ww. dokumenty są każdemu pracownikowi znane. Wszelkie przekroczenie zakresu udzielonego upoważnienia spotyka się z natychmiastową reakcją przełożonych i tak, jak to miało w niniejszym przypadku, z karami dyscyplinarnymi. Pracownicy inspektoratu zostali pouczeni i uwrażliwieni na konieczność bezzwłocznego zgłaszania wszelkich niepokojących zjawisk, z którymi spotkają się podczas pracy w systemie EZD, a w szczególności, które mogą narażać na dostęp do danych osobowych osobom nieuprawnionym. Z powyższego jasno wynika, że ze strony WINB są podejmowane wszelkie działania mające na celu przetwarzane danych osobowych w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. W przypadku wystąpienia sytuacji awaryjnych, niezależnych od skarżącego bądź wynikających z błędu ludzkiego, działania mające na celu zapewnienie bezpieczeństwa danych są podejmowane natychmiastowo i w ich efekcie dochodzi do neutralizacji niebezpiecznej lub potencjalnie niebezpiecznej sytuacji oraz podjęcia działań prewencyjnych na przyszłość.

Wyjaśnił, iż w inspektoracie dokonano identyfikacji wszystkich obszarów, w których w związku z przetwarzaniem danych osobowych może dojść do naruszenia praw i wolności osób fizycznych. Inspektorat pozostaje w stałym kontakcie z Inspektorem Ochrony Danych Osobowych, który jest czynnie zaangażowany w każdy obszar, na którym dochodzi lub potencjalnie może dochodzić do sytuacji związanej z przetwarzaniem danych osobowych. Wprowadzono regulacje wewnętrzne odnoszące się do przedmiotowego tematu, w tym Politykę Bezpieczeństwa Informacji oraz Instrukcję Zarządzania Systemem Informatycznym (Zarządzenie nr [...] z dnia [...] stycznia 2019 r.), a także w Zarządzeniu odnośnie czynności kancelaryjnych wprowadzono zapis, iż nie dokonuje się w EZD odwzorowania korespondencji kierowanej imiennie do pracowników Zespołu Radców Prawnych, a bez wyraźnego polecenia WINB lub jego Zastępcy nie dokonuje się odwzorowania dokumentów w sprawach kadrowych i księgowych, takich jak pisma dotyczące postępowań sądowych i egzekucyjnych bądź prowadzonych przed innymi organami, których stroną jest pracownik inspektoratu oraz korespondencji kierowanej przez pracowników inspektoratu do pracodawcy (Zarządzenie nr [...] z dnia [...] grudnia 2019 r., a wcześniej Zarządzenie zmieniające nr [...] z dnia [...] lutego 2019 r.).

Regulacje wewnętrzne są regularnie weryfikowane i aktualizowane w aspekcie ich zgodności z przepisami oraz zmieniającą się rzeczywistością. Dostępy do systemu EZD, do komputerów pracowników oraz do serwera z danymi są obwarowane hasłami regularnie zmienianymi. Wysyłane e-maile, zawierające dane osobowe, są szyfrowane. Pokoje z dokumentacją zamykane na klucz, a same dokumenty przechowywane w zamykanych na klucz szafach. Do poszczególnych pokoi pracowników dostęp mają jedynie osoby upoważnione do przebywania w nich.

Odnosząc się do kwestii kopii protokołu z dnia [...] stycznia 2019 r. pozostawionej na drukarce w korytarzu inspektoratu wskazał, że ww. protokół widział jedynie wnioskodawca, czyli osoba, której dane w tym protokole widniały. Całe zajście związane było z wystąpieniem awarii urządzeń drukujących. Nie było zatem skutkiem niedopatrzeń ze strony skarżącego.

W odpowiedzi na skargę organ wniósł o oddalenie skargi, podnosząc argumentację tożsamą z zaprezentowaną w zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Skarga podlega oddaleniu.

Stosownie do treści art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2018 r., poz. 1302 ze zm., zwana dalej: p.p.s.a), sądy administracyjne sprawują kontrolę działalności administracji publicznej i stosują środki określone w ustawie. Oznacza to, iż sąd rozpoznając skargę ocenia, czy zaskarżona decyzja nie narusza przepisów prawa materialnego bądź przepisów postępowania administracyjnego. Zgodnie z art. 134 p.p.s.a. Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną w niej podstawą prawną. Uwzględnienie skargi następuje w przypadku stwierdzenia naruszenia przez Sąd przepisów prawa, wskazanego w art. 145 § 1 pkt 1 p.p.s.a.

Skarga została ograniczona do punktu 1 decyzji (o udzieleniu WINB upomnienia za naruszenie art. 5 ust. 1 lit. f oraz art. 24 ust. 1 rozporządzenia 2016/679, polegające na udostępnieniu skanów dokumentów w systemie EZD z danymi osobowymi wnioskodawcy osobie do tego nieupoważnionej oraz udostępnienie jego danych osobowych zawartych w protokole z dnia [...] stycznia 2019 r. poprzez pozostawienie go na drukarce w korytarzu inspektoratu). Zadaniem Sądu była więc ocena, czy skarżący jako administrator danych właściwie zabezpieczył dane osobowe wnioskodawcy przed ich nieuprawnionym udostępnieniem (w systemie EZD i protokole z czynności przeprowadzonych z udziałem wnioskodawcy w dniu [...] stycznia 2019 r.) i czy prawidłowo został upomniany za opisane naruszenie.

Zgodnie z art. 24 rozporządzenia 2016/679 określającego obowiązki administratora danych, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać (ust. 1 pkt 1). Środki te są w razie potrzeby poddawane przeglądom i uaktualniane (ust. 1 pkt 1). Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych (ust. 2).

Katalog podstawowych zasad dotyczących przetwarzania danych osobowych określa przepis art. 5 rozporządzenia 2016/679. Jak podkreśla się w piśmiennictwie, zasady te mają charakter dyrektyw interpretacyjnych, zgodnie z którymi należy dokonywać wykładni poszczególnych przepisów. Z tego względu przypisuje się im moc nadrzędną w stosunku do pozostałych przepisów o ochronie danych osobowych. Zasady te określają obowiązki administratorów danych, tj. wszystkich podmiotów, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Korelatem nałożonych na administratorów obowiązków, zaliczanych do zasad przetwarzania danych, są określone przez prawodawcę unijnego sankcje za ich naruszenie.

Jedną z zasad przetwarzania danych osobowych jest określona w art. 5 ust. 1

lit. f rozporządzenia 2016/679 zasada integralności i poufności stanowiąca, że dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie ("rozliczalność", art. 5 ust. 2).

Z regulacji art. 29 rozporządzenia 2016/679 wynika też, że podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych, przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego. Zakres oraz cel upoważnienia powinien być ograniczony do minimum, umożliwiać jednak pracownikowi prawidłowe wykonywanie swoich obowiązków zgodnie z zajmowanym stanowiskiem.

W kontekście powyższych regulacji stwierdzić należy, iż administrator danych powinien odpowiednio zabezpieczyć dane osobowe przed ich przypadkową utratą za pomocą odpowiednich środków technicznych i organizacyjnych. Dane osobowe powinny być bowiem przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu (motyw 39 rozporządzenia 2016/679).

W niniejszej sprawie niesporna jest okoliczność, że na skarżącym jako na administratorze danych ciąży obowiązek zapewnienia poufności i integralności danych osobowych, które są przez niego przetwarzane. WINB jako administrator danych osobowych powinien dołożyć wszelkich starań, by zapewnić odpowiednie bezpieczeństwo przetwarzanych przez niego danych osobowych, w tym również danych osobowych wnioskodawcy, znajdujących się w dokumentach zeskanowanych w EZD oraz danych zawartych w protokole z czynności Rzecznika Dyscyplinarnego WINB. Nie budzi też wątpliwości fakt, że wskutek błędu pracownika inspektoratu, który niezgodnie z obowiązującą procedurą, zeskanował dokumenty dotyczące wnioskodawcy do systemu EZD, dane osobowe wnioskodawcy zostały udostępnione w systemie EZD osobie do tego nieuprawnionej (innemu pracownikowi inspektoratu). Nadto w związku z awarią drukarki będącej w dyspozycji Rzecznika Dyscyplinarnego WINB i przekierowaniem wydruku do innej drukarki, usytułowanej w korytarzu na 9 piętrze inspektoratu, z protokołem z czynności przeprowadzonych z udziałem wnioskodawcy, mogły zapoznać się osoby do tego nieuprawnione.

Poza sporem jest też fakt, iż skarżący podjął odpowiednie działania, mające na celu wyeliminowanie nieprawidłowego udostępnienia danych osobowych wnioskodawcy poprzez zablokowanie nieuprawnionego dostępu do tych danych oraz usunięcie z systemu EZD dokumentów, które zostały w nim umieszczone. Pracownik, który zeskanował dokumenty niezgodnie z procedurą został ukarany upomnieniem, zaś wobec pracownika, który miał dostęp do tych dokumentów niezgodnie ze swoim upoważnieniem i zaniechał powiadomienia o tym swojego przełożonego, wdrożono postępowanie dyscyplinarne. W związku z tym, że pracownik uzyskał nieuprawniony dostęp do dokumentów, zawierających dane osobowe wnioskodawcy, poprzez otwarcie korespondencji na swoim koncie w innym dziale inspektoratu, wskutek niezadziałania blokady dostępu w systemie EZD skarżący zgłosił problem twórcy programu, a następnie dokonał korekty systemu, w tym korekty w zakresie dostępu użytkowników i ich uprawnień. W związku z sytuacją dotyczącą nieuprawnionego udostępnienia protokołu, skarżący wyłączył funkcję drukowania na drukarce. Ponadto o fakcie nieuprawnionego udostępnienia danych poinformował wnioskodawcę i Prezesa UODO.

Ustalony w sprawie stan faktyczny, w tym działania, podjęte przez WINB, doprowadziły Sąd do wniosku, że dane osobowe wnioskodawcy nie były właściwie zabezpieczone i doszło do ich nieuprawnionego udostępnienia w systemie EZD osobie do tego nieuprawnionej oraz poprzez pozostawienie w drukarce protokołu z [...] stycznia 2019 r., z którym mogły zapoznać się osoby nieuprawnione.

Sąd podziela stanowisko organu, że WINB jako administrator danych jest odpowiedzialny nie tylko za działania swoich pracowników, ale także za przetwarzanie danych w systemie informatycznym, z którego korzysta. Nie ma znaczenia, że system EZD w inspektoracie został narzucony odgórnie, a twórcą jego jest podmiot zewnętrzny. WINB odpowiada za udostępnienie danych osobowych wnioskodawcy z systemu osobie nieupoważnionej. Zasadnie zatem ocenił Prezes UDO, iż miało miejsce naruszenie, aczkolwiek o jednostkowym charakterze i skorygowane przez administratora. Skarżący niewłaściwie zabezpieczył dane osobowe wnioskodawcy przed ich nieuprawnionym udostępnieniem.

Powyższe ustalenie organu determinowało zastosowanie odpowiedniej sankcji. Zgodnie z art. 58 ust. 2 lit. b rozporządzenia 2016/679, organowi nadzorczemu przysługuje uprawnienie naprawcze w postaci udzielania upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania. Zdaniem Sądu, orzeczona przez organ dla WINB kara upomnienia jest adekwatna zarówno do stwierdzonych przez administratora danych naruszeń, jak i podjętych przez niego czynności naprawczych.

W kontekście powyższych ustaleń Sąd stwierdził, że zaskarżona decyzja Prezesa UODO jest prawidłowa. Zastosowane upomnienie jest adekwatne do stwierdzonego uchybienia. Organ, wydając zaskarżoną decyzję, nie naruszył przepisów prawa materialnego w stopniu mającym wpływ na wynik sprawy ani przepisów postępowania.

Mając na uwadze powołane okoliczności, Sąd działając na podstawie art. 151 p.p.s.a., orzekł jak w sentencji wyroku.