{\rtf1\ansi\ansicpg1252
\deff0{\fonttbl{\f0\froman\fcharset0 Times New Roman;}{\f1\froman\fcharset0 Helvetica;}{\f2\froman\fcharset0 Arial;}{\f3\froman\fcharset0 unknown;}}
{\colortbl\red0\green0\blue0;\red255\green255\blue255;\red192\green192\blue192;}
{\stylesheet 
{\style\s1 \ql\fi0\li0\ri0\f2\fs32\b\cf0 heading 1;}
{\style\s2 \ql\fi0\li0\ri0\f2\fs28\b\i\cf0 heading 2;}
{\style\s3 \ql\fi0\li0\ri0\f2\fs26\b\cf0 heading 3;}
{\style\s0 \ql\fi0\li0\ri0\f2\fs24\cf0 Normal;}
}
{\*\listtable
}
{\*\listoverridetable
}
{\info}
\paperw11907\paperh16840\margl1440\margr1120\margt1720\margb1440
{\footer \pard\plain\s0\ql\fi0\li0\ri0\plain\f0 2026-04-14 20:53\par
}{\header \trowd
\trftsWidth3\trwWidth9347\trqc\trgaph10\trpaddl0\trpaddr0\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7630
\cellx7630\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1716
\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f0 Centralna Baza Orzecze\u324? S\u261?d\u243?w Administracyjnych
\cell\pard\plain\intbl\s0\qr\fi0\li0\ri0\plain\f0 Str \f3{\field{\*\fldinst PAGE}{\fldrslt  }}\f0  / \f3{\field{\*\fldinst NUMPAGES \\* Arabic}{\fldrslt 1 }}
\cell \trowd
\trftsWidth3\trwWidth9347\trqc\trgaph10\trpaddl0\trpaddr0\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7630
\cellx7630\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1716
\cellx9346\row
\pard}\pgwsxn11907\pghsxn16840
\marglsxn1440\margrsxn1120\margtsxn1720\margbsxn1440\pard\plain\s0\fi0\li0\ri0\plain\f1\fs24\b II SA/Wa 702/20 - Wyrok\b0\par
\par\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Data orzeczenia\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 2021-01-19
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Data wp\u322?ywu\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 2020-04-01
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b S\u261?d\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Wojew\u243?dzki S\u261?d Administracyjny w Warszawie
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b S\u281?dziowie\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Agnieszka G\u243?ra-B\u322?aszczykowska /przewodnicz\u261?cy sprawozdawca/
\par Andrzej Wieczorek
\par \u321?ukasz Krzycki
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Symbol z opisem\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 647  Sprawy zwi\u261?zane z ochron\u261? danych osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Sygn. powi\u261?zane\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 III OSK 5515/21
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Skar\u380?ony organ\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Generalny Inspektor Ochrony Danych Osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Tre\u347?\u263? wyniku\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Oddalono skarg\u281?
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Sentencja\b0
\par\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs22 Wojew\u243?dzki S\u261?d Administracyjny w Warszawie w sk\u322?adzie nast\u281?puj\u261?cym: Przewodnicz\u261?cy S\u281?dzia WSA Agnieszka G\u243?ra\u8211?B\u322?aszczykowska (spr.), S\u281?dzia WSA \u321?ukasz Krzycki, S\u281?dzia WSA Andrzej Wieczorek, po rozpoznaniu na posiedzeniu niejawnym w dniu 19 stycznia 2021 r. sprawy ze skargi [...] w K. na decyzj\u281? Prezesa Urz\u281?du Ochrony Danych Osobowych z dnia [...] lutego 2020 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skarg\u281?
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Uzasadnienie\b0
\par\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs22 Przedmiotem rozpoznania w niniejszej sprawie by\u322?a skarga Wojew\u243?dzkiego Inspektora Nadzoru Budowlanego z siedzib\u261? w [...] na decyzj\u281? Prezesa Urz\u281?du Ochrony Danych Osobowych znak [...] z dnia [...] lutego 2020 r. w przedmiocie przetwarzania danych osobowych.
\par 
\par Skarga zosta\u322?a z\u322?o\u380?ona w nast\u281?puj\u261?cym stanie faktycznym sprawy:
\par 
\par W dniu [...] stycznia 2019 r. (data wp\u322?ywu do organu) T. O. (zwany dalej: wnioskodawca), wni\u243?s\u322? do Prezesa Urz\u281?du Ochrony Danych Osobowych (zwany dalej: PUODO, organ), skarg\u281? na nieprawid\u322?owo\u347?ci w procesie przetwarzania jego danych osobowych przez Wojew\u243?dzkiego Inspektora Nadzoru Budowlanego z siedzib\u261? w [...] (zwany dalej: WINB, skar\u380?\u261?cy) w zakresie imienia, nazwiska, adresu zamieszkania, nr ewidencyjnego PESEL oraz danych zawartych w dokumentach s\u261?dowych i komorniczych, polegaj\u261?ce na udost\u281?pnieniu skan\u243?w dokument\u243?w w systemie Elektronicznego Zarz\u261?dzania Dokumentami (dalej EZD) z jego danymi osobowymi osobie do tego nieupowa\u380?nionej, oraz udost\u281?pnienie danych osobowych wnioskodawcy, zawartych w kopii protoko\u322?u z dnia [...] stycznia 2019 r.
\par 
\par pozostawionej na drukarce w korytarzu urz\u281?du obs\u322?uguj\u261?cego WINB (inspektoratu).
\par 
\par Decyzj\u261? znak [...] z dnia [...] lutego 2020 r. organ orzek\u322? w pkt 1 \u8211? o udzieleniu WINB upomnienia za naruszenie art. 5 ust. 1 lit. f oraz art. 24 ust. 1 rozporz\u261?dzenia 2016/679, polegaj\u261?ce na udost\u281?pnieniu skan\u243?w dokument\u243?w w systemie EZD z danymi osobowymi wnioskodawcy osobie do tego nieupowa\u380?nionej oraz udost\u281?pnienie jego danych osobowych zawartych w protokole z dnia [...] stycznia 2019 r. poprzez pozostawienie go na drukarce w korytarzu inspektoratu; w pkt 2 - o odmowie uwzgl\u281?dnienia wniosku w pozosta\u322?ym zakresie. Podstawa prawn\u261? by\u322? art. 104 \u167? 1 ustawy z dnia 14 czerwca 1960 r. Kodeks post\u281?powania administracyjnego (Dz. U. z 2018 r., poz. 2096 ze zm., zwana dalej: k.p.a.), art. 5 ust. 1 li. f, art. 24 ust. 1 i art. 58 ust. 2 lit. b rozporz\u261?dzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony os\u243?b fizycznych w zwi\u261?zku z przetwarzaniem danych osobowych i w sprawie swobodnego przep\u322?ywu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm., zwane dalej: rozporz\u261?dzeniem 2016/679).
\par 
\par W uzasadnieniu decyzji organ ustali\u322? nast\u281?puj\u261?cy stan faktyczny sprawy. Wnioskodawca jest pracownikiem inspektoratu, w dniu [...] grudnia 2019 r. zosta\u322? poinformowany (notatk\u261? s\u322?u\u380?bow\u261?) przez WINB o tym, \u380?e do jego danych osobowych mia\u322?a dost\u281?p osoba do tego nieuprawniona (pracownik inspektoratu). Wnioskodawca zwr\u243?ci\u322? si\u281? do WINB o szczeg\u243?\u322?owe wyja\u347?nienie sprawy dotycz\u261?cej udost\u281?pnienia jego danych osobowych wraz z \u380?\u261?daniem wskazania osoby, kt\u243?ra uzyska\u322?a dost\u281?p do jego danych osobowych. WINB o\u347?wiadczy\u322?, \u380?e do danych osobowych wnioskodawcy, zawartych w zeskanowanym dokumencie w systemie EZD (w tym nazwiska, adresu zamieszkania, nr PESEL, oraz danych zawartych w dokumentach s\u261?dowych i komorniczych) mia\u322? dost\u281?p pracownik inspektoratu, kt\u243?rego upowa\u380?nienie nie obejmowa\u322?o dost\u281?pu do tego rodzaju danych osobowych.
\par 
\par Zgodnie z wewn\u281?trznymi regulacjami skar\u380?\u261?cego (zarz\u261?dzenie wewn\u281?trzne WINB nr [...] z dnia [...] stycznia 2019 r. w sprawie wprowadzenia Polityki Bezpiecze\u324?stwa Informacji oraz Instrukcji Zarz\u261?dzania Systemem Informacyjnym) dokumenty, do kt\u243?rych mia\u322? dost\u281?p nieupowa\u380?niony pracownik, nie powinny by\u263? zeskanowane w systemie EZD. WINB podj\u261?\u322? dzia\u322?ania celem wyja\u347?nienia sprawy, tak\u380?e zablokowa\u322? nieuprawniony dost\u281?p do danych osobowych oraz usun\u261?\u322? niew\u322?a\u347?ciwie zeskanowane dokumenty z folderu poczty przychodz\u261?cej w systemie EZD. WINB o\u347?wiadczy\u322?, \u380?e pracownik uzyska\u322? nieuprawniony dost\u281?p do danych osobowych wnioskodawcy poprzez otwarcie korespondencji na swoim koncie w innym dziale inspektoratu w zwi\u261?zku z niezadzia\u322?aniem blokady dost\u281?pu w systemie EZD.
\par 
\par WINB zg\u322?osi\u322? problem z programem EZD do tw\u243?rcy programu. Po ustaleniu przyczyny, WINB dokona\u322? korekty w systemie (weryfikacja i poprawa dost\u281?p\u243?w u\u380?ytkownik\u243?w wed\u322?ug nadanych uprawnie\u324?). WINB o\u347?wiadczy\u322?, \u380?e pracownik, kt\u243?ry zeskanowa\u322? dokumenty niezgodnie z procedur\u261?, zosta\u322? ukarany upomnieniem, natomiast wobec pracownika, kt\u243?ry mia\u322? dost\u281?p do danych osobowych wnioskodawcy niezgodnie ze swoim upowa\u380?nieniem i nie powiadomi\u322? o tym fakcie swojego pracodawcy, prowadzone jest post\u281?powanie dyscyplinarne. Wnioskodawca o\u347?wiadczy\u322?, i\u380? w dniu [...] stycznia 2019 r. z\u322?o\u380?y\u322? wyja\u347?nienie u Rzecznika Dyscypliny pracownik\u243?w inspektoratu w sprawie uzyskania wgl\u261?du przez jednego z pracownik\u243?w inspektoratu do danych osobowych zawartych w plikach utworzonych w dziale radc\u243?w prawnych i dziale finansowo-ksi\u281?gowym. Na podstawie z\u322?o\u380?onych wyja\u347?nie\u324? zosta\u322? spisany protok\u243?\u322?, zawieraj\u261?cy dane osobowe wnioskodawcy. W tym samym dniu znalaz\u322? kopi\u281? tego protoko\u322?u na korytarzu inspektoratu przy kserokopiarce na 9 pi\u281?trze. Wnioskodawca zwr\u243?ci\u322? si\u281? do WINB o wyja\u347?nienie sprawy dotycz\u261?cej udost\u281?pnienia jego danych osobowych, zawartych w protokole poprzez pozostawienie jego kopii na kserokopiarce na 9 pi\u281?trze inspektoratu. WINB wskaza\u322?, \u380?e w dniu [...] stycznia 2019 r. u Rzecznika Dyscyplinarnego WINB nast\u261?pi\u322?a awaria drukarki, w zwi\u261?zku z czym drukowa\u322? on dokumenty na urz\u261?dzeniu wielofunkcyjnym znajduj\u261?cym si\u281? w korytarzu na 9 pi\u281?trze Inspektoratu. Podczas drukowania protoko\u322?u z przes\u322?uchania wnioskodawca nast\u261?pi\u322?a awaria ww. urz\u261?dzenia. Dokument wydrukowa\u322? si\u281? z op\u243?\u378?nieniem, nast\u281?pnie zosta\u322? odnaleziony przez wnioskodawc\u281? i przekazany Rzecznikowi Dyscyplinarnego WINB. W zwi\u261?zku z t\u261? sytuacj\u261? WINB wy\u322?\u261?czy\u322? funkcj\u281? drukowania na urz\u261?dzeniu do czasu naprawienia awarii. WINB o\u347?wiadczy\u322?, \u380?e z danymi zawartymi w protokole nie zapozna\u322? si\u281? \u380?aden inny pracownik inspektoratu opr\u243?cz wnioskodawcy oraz Rzecznika Dyscyplinarnego WINB.
\par 
\par Odnosz\u261?c si\u281? do sposobu zabezpieczania danych osobowych wnioskodawcy, znajduj\u261?cych si\u281? w systemie EZD oraz danych zawartych w kopii protoko\u322?u pozostawionym przy drukarce na korytarzu inspektoratu Prezes UODO wskaza\u322?, \u380?e administrator jest zobowi\u261?zany wdro\u380?y\u263? odpowiednie \u347?rodki techniczne i organizacyjne, zapewniaj\u261?ce zgodno\u347?\u263? operacji przetwarzania z obowi\u261?zuj\u261?cymi przepisami. Ponadto administrator danych ma obowi\u261?zek zapewnienia poufno\u347?ci i integralno\u347?ci danych osobowych, kt\u243?re s\u261? przez niego przetwarzane. Oznacza to, \u380?e administrator powinien do\u322?o\u380?y\u263? wszelkich stara\u324?, by zapewni\u263? odpowiednie bezpiecze\u324?stwo danych osobowych, w tym ochron\u281? przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkow\u261? utrat\u261?, zniszczeniem lub uszkodzeniem, za pomoc\u261? odpowiednich \u347?rodk\u243?w technicznych lub organizacyjnych.
\par 
\par Oceni\u322?, i\u380? WINB powinien zapewnia\u263? odpowiedni poziom ochrony danych osobowych wnioskodawcy, znajduj\u261?cych si\u281? w dokumentach zeskanowanych w EZD oraz danych zawartych w protokole. WINB jako administrator nie dope\u322?ni\u322? jednak obowi\u261?zk\u243?w, kt\u243?re spoczywaj\u261? na nim w zwi\u261?zku z przepisami o ochronie danych osobowych, poniewa\u380? nieodpowiednio zabezpieczy\u322? dane wnioskodawcy przed ich udost\u281?pnieniem osobom trzecim. Jak wynika ze z\u322?o\u380?onych przez WINB wyja\u347?nie\u324?, jeden z pracownik\u243?w zeskanowa\u322? dokumenty, zawieraj\u261?ce dane osobowe wnioskodawcy, nast\u281?pnie skany te wprowadzi\u322? do systemu EZD niezgodnie z obowi\u261?zuj\u261?c\u261? procedur\u261? w inspektoracie. Z kolej inny pracownik uzyska\u322? dost\u281?p do danych osobowych wnioskodawcy korzystaj\u261?c z zasob\u243?w systemu EZD, zastrze\u380?onych dla pracownik\u243?w innego dzia\u322?u inspektoratu. Pracownik WINB uzyska\u322? dost\u281?p do danych osobowych niezgodnie z zakresem okre\u347?lonym w upowa\u380?nieniu nadanym mu przez administratora, przez b\u322?\u261?d systemu EZD tj. nie zadzia\u322?a\u322?a blokada dost\u281?pu. Wed\u322?ug procedury okre\u347?lonej w polityce bezpiecze\u324?stwa danych osobowych ustanowionej u skar\u380?\u261?cego, pracownik, kt\u243?rego upowa\u380?nienie nie obejmowa\u322?o mo\u380?liwo\u347?ci zapoznania si\u281? z danymi wnioskodawcy, powinien zg\u322?osi\u263? ten fakt jako incydent naruszenia bezpiecze\u324?stwa danych oraz niew\u322?a\u347?ciwe funkcjonowanie systemu do administratora danych (WINB) lub wyznaczonego Inspektora Ochrony Danych Osobowych WINB, czego nie uczyni\u322?.
\par 
\par Organ ustali\u322?, \u380?e WINB jako administrator po powzi\u281?ciu informacji o naruszeniu danych osobowych wnioskodawcy, dokona\u322? szeregu czynno\u347?ci celem zminimalizowania negatywnych skutk\u243?w tego naruszenia i zapobie\u380?enia wyst\u261?pienia podobnych narusze\u324? w przysz\u322?o\u347?ci. Po pierwsze zablokowa\u322? nieuprawniony dost\u281?p i przeprowadzi\u322? post\u281?powanie wyja\u347?niaj\u261?ce okoliczno\u347?ci udost\u281?pnienia danych osobowych wnioskodawcy, nast\u281?pnie poinformowa\u322? w.w. o zaistnia\u322?ym zdarzeniu. Ustali\u322? te\u380?, \u380?e wyst\u261?pi\u322? b\u322?\u261?d w systemie EZD tj. nie zadzia\u322?a\u322?a blokada dost\u281?pu do danych, nast\u281?pnie zg\u322?osi\u322? ten problem tw\u243?rcy programu. Po naprawieniu systemu EZD przez tw\u243?rc\u243?w systemu, WINB skorelowa\u322? nadane uprawnienia pracownik\u243?w do danych zawartych w systemie EZD. Wobec pracownika, kt\u243?ry zeskanowa\u322? dokumenty niezgodnie z procedur\u261?, skar\u380?\u261?cy wyci\u261?gn\u261?\u322? konsekwencje s\u322?u\u380?bowe, natomiast pracownik, kt\u243?ry uzyska\u322? nieuprawniony dost\u281?p do danych, zosta\u322? pouczony i jest prowadzone post\u281?powanie zmierzaj\u261?ce do wyci\u261?gni\u281?cia konsekwencji dyscyplinarnych. Ponadto w dniu [...] grudnia 2018 r. WINB zg\u322?osi\u322? naruszenie ochrony danych osobowych do Prezesa UODO.
\par 
\par Skar\u380?\u261?cy przyzna\u322?, \u380?e dane wnioskodawcy zosta\u322?y udost\u281?pnione osobie nieupowa\u380?nionej w zwi\u261?zku z wyst\u261?pieniem b\u322?\u281?du w ww. programie. Niemniej naruszenie to mia\u322?o charakter incydentalny i zosta\u322?o skorygowane przez WINB. W zwi\u261?zku z powy\u380?szym w ocenie Prezesa UODO czynno\u347?ci podj\u281?te przez WINB jako administratora, w szczeg\u243?lno\u347?ci szybka reakcja na naruszenie, nale\u380?y uzna\u263? z adekwatne i dostateczne.
\par 
\par W zakresie \u380?\u261?dania wnioskodawcy o usuni\u281?cie danych osobowych z systemu elektronicznego EZD ze wzgl\u281?du na niew\u322?a\u347?ciwe zabezpieczenia ww. programu organ wskaza\u322?, i\u380? jak wynika z wyja\u347?nie\u324? WINB, dane wnioskodawcy jako pracownika s\u261? przetwarzane na podstawie przepis\u243?w prawa przede wszystkim ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (Dz. U. z 2019 r. poz. 1040 ze zm.). System EZD jest og\u243?lnym system Skarbu Pa\u324?stwa i WINB jako urz\u261?d administracji zespolonej korzysta z tego programu od 2013 r. a "wykorzystanie tego systemu wynika z potrzeb realizacji zada\u324? wype\u322?nienia obowi\u261?zku prawnego ci\u261?\u380?\u261?cego na administratorze". W zwi\u261?zku z tym \u380?\u261?danie wnioskodawcy nie mo\u380?e zosta\u263? uwzgl\u281?dnione, bowiem zgodnie z art. 17 ust. 3 lit. b rozporz\u261?dzenia 2016/679 administrator zwolniony jest z obowi\u261?zku usuni\u281?cia danych osobowych, gdy przetwarzanie jest niezb\u281?dne do wywi\u261?zania si\u281? z prawnego obowi\u261?zku wymagaj\u261?cego przetwarzania na mocy prawa Unii lub prawa pa\u324?stw cz\u322?onkowskich, kt\u243?remu podlega administrator, a taka okoliczno\u347?\u263? ma miejsce w niniejszej sprawie.
\par 
\par Organ uzna\u322?, \u380?e WINB niew\u322?a\u347?ciwie zabezpieczy\u322? dane osobowe wnioskodawcy, poprzez pozostawienie przez Rzecznika Dyscyplinarnego WINB przy kserokopiarce kopii protoko\u322?u z dnia [...] stycznia 2019 r. zawieraj\u261?cego te dane. Jak wskaza\u322? skar\u380?\u261?cy, w wyniku awarii drukarki w pokoju Rzecznika Dyscyplinarnego WINB korzysta\u322? on z urz\u261?dzenia wielofunkcyjnego znajduj\u261?cego na 9 pi\u281?trze inspektoratu. Rzecznik dokona\u322? wydruku protoko\u322?u, jednak urz\u261?dzenie nie zareagowa\u322?o. Po d\u322?u\u380?szym czasie protok\u243?\u322? zosta\u322? wydrukowany, nast\u281?pnie odnaleziony przez wnioskodawc\u281? i przekazany do Rzecznika Dyscyplinarnego WINB. Po zg\u322?oszeniu zdarzenia WINB podj\u261?\u322? czynno\u347?ci maj\u261?ce na celu usuni\u281?cie awarii; ostatecznie usterka zosta\u322?a naprawiona. Skar\u380?\u261?cy poda\u322?, \u380?e do urz\u261?dzenia wielofunkcyjnego maj\u261? dost\u281?p jedynie pracownicy inspektoratu, dodatkowo dokument zosta\u322? odnaleziony i przekazany Rzecznikowi Dyscyplinarnemu WINB przez samego wnioskodawc\u281?. Pomimo powy\u380?szych wyja\u347?nie\u324? organ oceni\u322?, \u380?e ka\u380?da osoba niemaj\u261?ca upowa\u380?nienia do danych zwartych protokole, mog\u322?a zapozna\u263? si\u281? z jego tre\u347?ci\u261?. WINB jako administrator powinien odpowiednio zabezpieczy\u263? dane osobowe przed ich przypadkow\u261? utrat\u261? za pomoc\u261? odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych
\par 
\par Odnosz\u261?c si\u281? do wniosku wnioskodawcy skierowanego do WINB, dotycz\u261?cego udost\u281?pnienia mu danych osobowych os\u243?b, kt\u243?re mia\u322?y nieuprawniony dost\u281?p do jego danych w inspektoracie organ wskaza\u322?, \u380?e wnioskodawca nie okre\u347?li\u322? w jakim celu maj\u261? zosta\u263? mu udost\u281?pnione przez WINB dane osobowe os\u243?b, kt\u243?re mia\u322?y nieuprawniony dost\u281?p do jego danych w inspektoracie. We wniosku do WINB nie wskaza\u322? celu, wynikaj\u261?cego z prawnie uzasadniaj\u261?cego interesu udost\u281?pnienia \u380?\u261?danych przez niego danych osobowych. S\u322?usznie zatem skar\u380?\u261?cy odm\u243?wi\u322? udost\u281?pnienia wnioskodawcy \u380?\u261?danych przez niego danych osobowych, gdy\u380? za uwzgl\u281?dnieniem tego \u380?\u261?dania nie przemawia \u380?adna z przes\u322?anek okre\u347?lonych w art. 6 ust. 1 rozporz\u261?dzenia 2016/679. Ponadto WINB w odpowiedzi do wnioskodawcy wskaza\u322?, \u380?e (...) "za zdarzenie nieuprawnionego dost\u281?pu do Pana danych osobowych podmiotem odpowiedzialnym jest wy\u322?\u261?cznie Administrator". Argumentacja ta jest w\u322?a\u347?ciwa, bowiem to WINB jako administrator jest odpowiedzialny za niezgodne z prawem przetwarzaniem danych osobowych wnioskodawcy, a nie osoby, kt\u243?re dzia\u322?aj\u261? z jego upowa\u380?nienia. Ponadto WINB odpowiedzia\u322? wnioskodawcy, i\u380? nieuprawniony dost\u281?p do jego danych osobowych mia\u322? pracownik inspektoratu. Tym samym wskaza\u322? kategori\u281? odbiorcy danych osobowych wnioskodawcy. Ustawodawca nie okre\u347?li\u322? bowiem, w jakich okoliczno\u347?ciach administrator powinien wskaza\u263? konkretnego odbiorc\u281?, a w jakich kategori\u281? odbiorc\u243?w. W ocenie Prezesa UODO, WINB, jako administrator danych osobowych wnioskodawcy, wype\u322?ni\u322? wobec niego obowi\u261?zek informacyjny wynikaj\u261?cy z ww. przepisu, w kwestionowanym przez wnioskodawc\u281? zakresie.
\par 
\par W konsekwencji organ uzna\u322?, \u380?e stwierdzone naruszenie uzasadnia\u322?o skierowanie pod adresem WINB, nakazu z art. 58 ust. 2 rozporz\u261?dzenia 2016/679 s\u322?u\u380?\u261?cego przywr\u243?ceniu stanu zgodnego z prawem w procesie przetwarzania danych, wobec czego udzieli\u322? skar\u380?\u261?cemu upomnienia. Za nieuzasadnione uzna\u322? natomiast zarzuty wnioskodawcy dotycz\u261?ce nieudost\u281?pnienia przez WINB danych osobowych os\u243?b, maj\u261?cych nieuprawniony dost\u281?p do jego danych osobowych w inspektoracie i w tym zakresie odm\u243?wi\u322? uwzgl\u281?dnienia wniosku.
\par 
\par W skardze z\u322?o\u380?onej na powo\u322?ane rozstrzygni\u281?cie do s\u261?du administracyjnego skar\u380?\u261?cy zaskar\u380?y\u322? ww. decyzj\u281? w cz\u281?\u347?ci dotycz\u261?cej punktu 1 (tj. udzielenia WINB upomnienia za naruszenie art. 5 ust. 1 lit. f rozporz\u261?dzenia 2016/679, polegaj\u261?ce na udostepnieniu skan\u243?w dokument\u243?w w systemie EZD z danymi osobowymi wnioskodawcy osobie do tego nieupowa\u380?nionej oraz udostepnienie jego danych osobowych zawartych w protokole z dnia [...] stycznia 2019 r. przez pozostawienie go w drukarce w korytarzu inspektoratu). Skar\u380?\u261?cy wni\u243?s\u322? o uchylenie zaskar\u380?onej decyzji w cz\u281?\u347?ci obejmuj\u261?cej punkt 1 i umorzenie post\u281?powania w tym zakresie oraz zas\u261?dzenie zwrotu koszt\u243?w post\u281?powania.
\par 
\par Uzasadniaj\u261?c z\u322?o\u380?on\u261? skarg\u281? skar\u380?\u261?cy wyja\u347?ni\u322?, \u380?e wprowadzony w WINB system EZD nie zosta\u322? wprowadzony dobrowolnie. Do wprowadzenia tego systemu inspektorat zosta\u322? odg\u243?rnie zobligowany, a na aktualizacje czy modyfikacje dokonywane przez tw\u243?rc\u281? systemu inspektorat nie ma wp\u322?ywu i s\u261? one wprowadzane niezale\u380?nie od inspektoratu i jego pracownik\u243?w. Ze swojej strony administrator dope\u322?ni\u322? czynno\u347?ci, maj\u261?cych na celu zachowanie bezpiecze\u324?stwa danych. Pracownicy mieli i maj\u261? ustawione dost\u281?py w ograniczonym zakresie do systemu, kt\u243?ry jest im niezb\u281?dny w zwi\u261?zku z wykonywanymi obowi\u261?zkami na danym stanowisku pracy. Natomiast wyst\u261?pienie anomalii w systemie, brak przewidzenia wszystkich ewentualno\u347?ci w systemie (luki) czy wp\u322?yw aktualizacji lub modyfikacji na dotychczasowe ustawienia jest ju\u380? niezale\u380?ny od skar\u380?\u261?cego, a mo\u380?liwo\u347?\u263? zrezygnowania z systemu EZD jest wykluczona, mi\u281?dzy innymi w\u322?a\u347?nie z uwagi na ch\u281?\u263? zapewnienia w jak najwy\u380?szym stopniu bezpiecze\u324?stwa danych osobowych.
\par 
\par Wskaza\u322?, \u380?e ka\u380?demu z pracownik\u243?w udzielone jest upowa\u380?nienie do przetwarzania danych osobowych w zakresie niezb\u281?dnym do wykonywania jego obowi\u261?zk\u243?w s\u322?u\u380?bowych, a zakres obowi\u261?zk\u243?w jest dookre\u347?lany w formie pisemnej, jak i w opisie stanowiska, a nadto wynika z regulaminu organizacyjnego. Ww. dokumenty s\u261? ka\u380?demu pracownikowi znane. Wszelkie przekroczenie zakresu udzielonego upowa\u380?nienia spotyka si\u281? z natychmiastow\u261? reakcj\u261? prze\u322?o\u380?onych i tak, jak to mia\u322?o w niniejszym przypadku, z karami dyscyplinarnymi. Pracownicy inspektoratu zostali pouczeni i uwra\u380?liwieni na konieczno\u347?\u263? bezzw\u322?ocznego zg\u322?aszania wszelkich niepokoj\u261?cych zjawisk, z kt\u243?rymi spotkaj\u261? si\u281? podczas pracy w systemie EZD, a w szczeg\u243?lno\u347?ci, kt\u243?re mog\u261? nara\u380?a\u263? na dost\u281?p do danych osobowych osobom nieuprawnionym. Z powy\u380?szego jasno wynika, \u380?e ze strony WINB s\u261? podejmowane wszelkie dzia\u322?ania maj\u261?ce na celu przetwarzane danych osobowych w spos\u243?b zapewniaj\u261?cy odpowiednie bezpiecze\u324?stwo, w tym ochron\u281? przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkow\u261? utrat\u261?, zniszczeniem lub uszkodzeniem, za pomoc\u261? odpowiednich \u347?rodk\u243?w technicznych lub organizacyjnych. W przypadku wyst\u261?pienia sytuacji awaryjnych, niezale\u380?nych od skar\u380?\u261?cego b\u261?d\u378? wynikaj\u261?cych z b\u322?\u281?du ludzkiego, dzia\u322?ania maj\u261?ce na celu zapewnienie bezpiecze\u324?stwa danych s\u261? podejmowane natychmiastowo i w ich efekcie dochodzi do neutralizacji niebezpiecznej lub potencjalnie niebezpiecznej sytuacji oraz podj\u281?cia dzia\u322?a\u324? prewencyjnych na przysz\u322?o\u347?\u263?.
\par 
\par Wyja\u347?ni\u322?, i\u380? w inspektoracie dokonano identyfikacji wszystkich obszar\u243?w, w kt\u243?rych w zwi\u261?zku z przetwarzaniem danych osobowych mo\u380?e doj\u347?\u263? do naruszenia praw i wolno\u347?ci os\u243?b fizycznych. Inspektorat pozostaje w sta\u322?ym kontakcie z Inspektorem Ochrony Danych Osobowych, kt\u243?ry jest czynnie zaanga\u380?owany w ka\u380?dy obszar, na kt\u243?rym dochodzi lub potencjalnie mo\u380?e dochodzi\u263? do sytuacji zwi\u261?zanej z przetwarzaniem danych osobowych. Wprowadzono regulacje wewn\u281?trzne odnosz\u261?ce si\u281? do przedmiotowego tematu, w tym Polityk\u281? Bezpiecze\u324?stwa Informacji oraz Instrukcj\u281? Zarz\u261?dzania Systemem Informatycznym (Zarz\u261?dzenie nr [...] z dnia [...] stycznia 2019 r.), a tak\u380?e w Zarz\u261?dzeniu odno\u347?nie czynno\u347?ci kancelaryjnych wprowadzono zapis, i\u380? nie dokonuje si\u281? w EZD odwzorowania korespondencji kierowanej imiennie do pracownik\u243?w Zespo\u322?u Radc\u243?w Prawnych, a bez wyra\u378?nego polecenia WINB lub jego Zast\u281?pcy nie dokonuje si\u281? odwzorowania dokument\u243?w w sprawach kadrowych i ksi\u281?gowych, takich jak pisma dotycz\u261?ce post\u281?powa\u324? s\u261?dowych i egzekucyjnych b\u261?d\u378? prowadzonych przed innymi organami, kt\u243?rych stron\u261? jest pracownik inspektoratu oraz korespondencji kierowanej przez pracownik\u243?w inspektoratu do pracodawcy (Zarz\u261?dzenie nr [...] z dnia [...] grudnia 2019 r., a wcze\u347?niej Zarz\u261?dzenie zmieniaj\u261?ce nr [...] z dnia [...] lutego 2019 r.).
\par 
\par Regulacje wewn\u281?trzne s\u261? regularnie weryfikowane i aktualizowane w aspekcie ich zgodno\u347?ci z przepisami oraz zmieniaj\u261?c\u261? si\u281? rzeczywisto\u347?ci\u261?. Dost\u281?py do systemu EZD, do komputer\u243?w pracownik\u243?w oraz do serwera z danymi s\u261? obwarowane has\u322?ami regularnie zmienianymi. Wysy\u322?ane e-maile, zawieraj\u261?ce dane osobowe, s\u261? szyfrowane. Pokoje z dokumentacj\u261? zamykane na klucz, a same dokumenty przechowywane w zamykanych na klucz szafach. Do poszczeg\u243?lnych pokoi pracownik\u243?w dost\u281?p maj\u261? jedynie osoby upowa\u380?nione do przebywania w nich.
\par 
\par Odnosz\u261?c si\u281? do kwestii kopii protoko\u322?u z dnia [...] stycznia 2019 r. pozostawionej na drukarce w korytarzu inspektoratu wskaza\u322?, \u380?e ww. protok\u243?\u322? widzia\u322? jedynie wnioskodawca, czyli osoba, kt\u243?rej dane w tym protokole widnia\u322?y. Ca\u322?e zaj\u347?cie zwi\u261?zane by\u322?o z wyst\u261?pieniem awarii urz\u261?dze\u324? drukuj\u261?cych. Nie by\u322?o zatem skutkiem niedopatrze\u324? ze strony skar\u380?\u261?cego.
\par 
\par W odpowiedzi na skarg\u281? organ wni\u243?s\u322? o oddalenie skargi, podnosz\u261?c argumentacj\u281? to\u380?sam\u261? z zaprezentowan\u261? w zaskar\u380?onej decyzji.
\par 
\par Wojew\u243?dzki S\u261?d Administracyjny w Warszawie zwa\u380?y\u322?, co nast\u281?puje:
\par 
\par Skarga podlega oddaleniu.
\par 
\par Stosownie do tre\u347?ci art. 3 \u167? 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o post\u281?powaniu przed s\u261?dami administracyjnymi (Dz. U. z 2018 r., poz. 1302 ze zm., zwana dalej: p.p.s.a), s\u261?dy administracyjne sprawuj\u261? kontrol\u281? dzia\u322?alno\u347?ci administracji publicznej i stosuj\u261? \u347?rodki okre\u347?lone w ustawie. Oznacza to, i\u380? s\u261?d rozpoznaj\u261?c skarg\u281? ocenia, czy zaskar\u380?ona decyzja nie narusza przepis\u243?w prawa materialnego b\u261?d\u378? przepis\u243?w post\u281?powania administracyjnego. Zgodnie z art. 134 p.p.s.a. S\u261?d rozstrzyga w granicach danej sprawy, nie b\u281?d\u261?c jednak zwi\u261?zany zarzutami i wnioskami skargi oraz powo\u322?an\u261? w niej podstaw\u261? prawn\u261?. Uwzgl\u281?dnienie skargi nast\u281?puje w przypadku stwierdzenia naruszenia przez S\u261?d przepis\u243?w prawa, wskazanego w art. 145 \u167? 1 pkt 1 p.p.s.a.
\par 
\par Skarga zosta\u322?a ograniczona do punktu 1 decyzji (o udzieleniu WINB upomnienia za naruszenie art. 5 ust. 1 lit. f oraz art. 24 ust. 1 rozporz\u261?dzenia 2016/679, polegaj\u261?ce na udost\u281?pnieniu skan\u243?w dokument\u243?w w systemie EZD z danymi osobowymi wnioskodawcy osobie do tego nieupowa\u380?nionej oraz udost\u281?pnienie jego danych osobowych zawartych w protokole z dnia [...] stycznia 2019 r. poprzez pozostawienie go na drukarce w korytarzu inspektoratu). Zadaniem S\u261?du by\u322?a wi\u281?c ocena, czy skar\u380?\u261?cy jako administrator danych w\u322?a\u347?ciwie zabezpieczy\u322? dane osobowe wnioskodawcy przed ich nieuprawnionym udost\u281?pnieniem (w systemie EZD i protokole z czynno\u347?ci przeprowadzonych z udzia\u322?em wnioskodawcy w dniu [...] stycznia 2019 r.) i czy prawid\u322?owo zosta\u322? upomniany za opisane naruszenie.
\par 
\par Zgodnie z art. 24 rozporz\u261?dzenia 2016/679 okre\u347?laj\u261?cego obowi\u261?zki administratora danych, uwzgl\u281?dniaj\u261?c charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych o r\u243?\u380?nym prawdopodobie\u324?stwie i wadze, administrator wdra\u380?a odpowiednie \u347?rodki techniczne i organizacyjne, aby przetwarzanie odbywa\u322?o si\u281? zgodnie z niniejszym rozporz\u261?dzeniem i aby m\u243?c to wykaza\u263? (ust. 1 pkt 1). \u346?rodki te s\u261? w razie potrzeby poddawane przegl\u261?dom i uaktualniane (ust. 1 pkt 1). Je\u380?eli jest to proporcjonalne w stosunku do czynno\u347?ci przetwarzania, \u347?rodki, o kt\u243?rych mowa w ust. 1, obejmuj\u261? wdro\u380?enie przez administratora odpowiednich polityk ochrony danych (ust. 2).
\par 
\par Katalog podstawowych zasad dotycz\u261?cych przetwarzania danych osobowych okre\u347?la przepis art. 5 rozporz\u261?dzenia 2016/679. Jak podkre\u347?la si\u281? w pi\u347?miennictwie, zasady te maj\u261? charakter dyrektyw interpretacyjnych, zgodnie z kt\u243?rymi nale\u380?y dokonywa\u263? wyk\u322?adni poszczeg\u243?lnych przepis\u243?w. Z tego wzgl\u281?du przypisuje si\u281? im moc nadrz\u281?dn\u261? w stosunku do pozosta\u322?ych przepis\u243?w o ochronie danych osobowych. Zasady te okre\u347?laj\u261? obowi\u261?zki administrator\u243?w danych, tj. wszystkich podmiot\u243?w, kt\u243?re samodzielnie lub wsp\u243?lnie z innymi ustalaj\u261? cele i sposoby przetwarzania danych osobowych. Korelatem na\u322?o\u380?onych na administrator\u243?w obowi\u261?zk\u243?w, zaliczanych do zasad przetwarzania danych, s\u261? okre\u347?lone przez prawodawc\u281? unijnego sankcje za ich naruszenie.
\par 
\par Jedn\u261? z zasad przetwarzania danych osobowych jest okre\u347?lona w art. 5 ust. 1
\par 
\par lit. f rozporz\u261?dzenia 2016/679 zasada integralno\u347?ci i poufno\u347?ci stanowi\u261?ca, \u380?e dane osobowe musz\u261? by\u263? przetwarzane w spos\u243?b zapewniaj\u261?cy odpowiednie bezpiecze\u324?stwo danych osobowych, w tym ochron\u281? przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkow\u261? utrat\u261?, zniszczeniem lub uszkodzeniem, za pomoc\u261? odpowiednich \u347?rodk\u243?w technicznych lub organizacyjnych. Administrator jest odpowiedzialny za przestrzeganie przepis\u243?w ust. 1 i musi by\u263? w stanie wykaza\u263? ich przestrzeganie ("rozliczalno\u347?\u263?", art. 5 ust. 2).
\par 
\par Z regulacji art. 29 rozporz\u261?dzenia 2016/679 wynika te\u380?, \u380?e podmiot przetwarzaj\u261?cy oraz ka\u380?da osoba dzia\u322?aj\u261?ca z upowa\u380?nienia administratora lub podmiotu przetwarzaj\u261?cego i maj\u261?ca dost\u281?p do danych osobowych, przetwarzaj\u261? je wy\u322?\u261?cznie na polecenie administratora, chyba \u380?e wymaga tego prawo Unii lub prawo pa\u324?stwa cz\u322?onkowskiego. Zakres oraz cel upowa\u380?nienia powinien by\u263? ograniczony do minimum, umo\u380?liwia\u263? jednak pracownikowi prawid\u322?owe wykonywanie swoich obowi\u261?zk\u243?w zgodnie z zajmowanym stanowiskiem.
\par 
\par W kontek\u347?cie powy\u380?szych regulacji stwierdzi\u263? nale\u380?y, i\u380? administrator danych powinien odpowiednio zabezpieczy\u263? dane osobowe przed ich przypadkow\u261? utrat\u261? za pomoc\u261? odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych. Dane osobowe powinny by\u263? bowiem przetwarzane w spos\u243?b zapewniaj\u261?cy im odpowiednie bezpiecze\u324?stwo i odpowiedni\u261? poufno\u347?\u263?, w tym ochron\u281? przed nieuprawnionym dost\u281?pem do nich i do sprz\u281?tu s\u322?u\u380?\u261?cego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprz\u281?tu (motyw 39 rozporz\u261?dzenia 2016/679).
\par 
\par W niniejszej sprawie niesporna jest okoliczno\u347?\u263?, \u380?e na skar\u380?\u261?cym jako na administratorze danych ci\u261?\u380?y obowi\u261?zek zapewnienia poufno\u347?ci i integralno\u347?ci danych osobowych, kt\u243?re s\u261? przez niego przetwarzane. WINB jako administrator danych osobowych powinien do\u322?o\u380?y\u263? wszelkich stara\u324?, by zapewni\u263? odpowiednie bezpiecze\u324?stwo przetwarzanych przez niego danych osobowych, w tym r\u243?wnie\u380? danych osobowych wnioskodawcy, znajduj\u261?cych si\u281? w dokumentach zeskanowanych w EZD oraz danych zawartych w protokole z czynno\u347?ci Rzecznika Dyscyplinarnego WINB. Nie budzi te\u380? w\u261?tpliwo\u347?ci fakt, \u380?e wskutek b\u322?\u281?du pracownika inspektoratu, kt\u243?ry niezgodnie z obowi\u261?zuj\u261?c\u261? procedur\u261?, zeskanowa\u322? dokumenty dotycz\u261?ce wnioskodawcy do systemu EZD, dane osobowe wnioskodawcy zosta\u322?y udost\u281?pnione w systemie EZD osobie do tego nieuprawnionej (innemu pracownikowi inspektoratu). Nadto w zwi\u261?zku z awari\u261? drukarki b\u281?d\u261?cej w dyspozycji Rzecznika Dyscyplinarnego WINB i przekierowaniem wydruku do innej drukarki, usytu\u322?owanej w korytarzu na 9 pi\u281?trze inspektoratu, z protoko\u322?em z czynno\u347?ci przeprowadzonych z udzia\u322?em wnioskodawcy, mog\u322?y zapozna\u263? si\u281? osoby do tego nieuprawnione.
\par 
\par Poza sporem jest te\u380? fakt, i\u380? skar\u380?\u261?cy podj\u261?\u322? odpowiednie dzia\u322?ania, maj\u261?ce na celu wyeliminowanie nieprawid\u322?owego udost\u281?pnienia danych osobowych wnioskodawcy poprzez zablokowanie nieuprawnionego dost\u281?pu do tych danych oraz usuni\u281?cie z systemu EZD dokument\u243?w, kt\u243?re zosta\u322?y w nim umieszczone. Pracownik, kt\u243?ry zeskanowa\u322? dokumenty niezgodnie z procedur\u261? zosta\u322? ukarany upomnieniem, za\u347? wobec pracownika, kt\u243?ry mia\u322? dost\u281?p do tych dokument\u243?w niezgodnie ze swoim upowa\u380?nieniem i zaniecha\u322? powiadomienia o tym swojego prze\u322?o\u380?onego, wdro\u380?ono post\u281?powanie dyscyplinarne. W zwi\u261?zku z tym, \u380?e pracownik uzyska\u322? nieuprawniony dost\u281?p do dokument\u243?w, zawieraj\u261?cych dane osobowe wnioskodawcy, poprzez otwarcie korespondencji na swoim koncie w innym dziale inspektoratu, wskutek niezadzia\u322?ania blokady dost\u281?pu w systemie EZD skar\u380?\u261?cy zg\u322?osi\u322? problem tw\u243?rcy programu, a nast\u281?pnie dokona\u322? korekty systemu, w tym korekty w zakresie dost\u281?pu u\u380?ytkownik\u243?w i ich uprawnie\u324?. W zwi\u261?zku z sytuacj\u261? dotycz\u261?c\u261? nieuprawnionego udost\u281?pnienia protoko\u322?u, skar\u380?\u261?cy wy\u322?\u261?czy\u322? funkcj\u281? drukowania na drukarce. Ponadto o fakcie nieuprawnionego udost\u281?pnienia danych poinformowa\u322? wnioskodawc\u281? i Prezesa UODO.
\par 
\par Ustalony w sprawie stan faktyczny, w tym dzia\u322?ania, podj\u281?te przez WINB, doprowadzi\u322?y S\u261?d do wniosku, \u380?e dane osobowe wnioskodawcy nie by\u322?y w\u322?a\u347?ciwie zabezpieczone i dosz\u322?o do ich nieuprawnionego udost\u281?pnienia w systemie EZD osobie do tego nieuprawnionej oraz poprzez pozostawienie w drukarce protoko\u322?u z [...] stycznia 2019 r., z kt\u243?rym mog\u322?y zapozna\u263? si\u281? osoby nieuprawnione.
\par 
\par S\u261?d podziela stanowisko organu, \u380?e WINB jako administrator danych jest odpowiedzialny nie tylko za dzia\u322?ania swoich pracownik\u243?w, ale tak\u380?e za przetwarzanie danych w systemie informatycznym, z kt\u243?rego korzysta. Nie ma znaczenia, \u380?e system EZD w inspektoracie zosta\u322? narzucony odg\u243?rnie, a tw\u243?rc\u261? jego jest podmiot zewn\u281?trzny. WINB odpowiada za udost\u281?pnienie danych osobowych wnioskodawcy z systemu osobie nieupowa\u380?nionej. Zasadnie zatem oceni\u322? Prezes UDO, i\u380? mia\u322?o miejsce naruszenie, aczkolwiek o jednostkowym charakterze i skorygowane przez administratora. Skar\u380?\u261?cy niew\u322?a\u347?ciwie zabezpieczy\u322? dane osobowe wnioskodawcy przed ich nieuprawnionym udost\u281?pnieniem.
\par 
\par Powy\u380?sze ustalenie organu determinowa\u322?o zastosowanie odpowiedniej sankcji. Zgodnie z art. 58 ust. 2 lit. b rozporz\u261?dzenia 2016/679, organowi nadzorczemu przys\u322?uguje uprawnienie naprawcze w postaci udzielania upomnie\u324? administratorowi lub podmiotowi przetwarzaj\u261?cemu w przypadku naruszenia przepis\u243?w niniejszego rozporz\u261?dzenia przez operacje przetwarzania. Zdaniem S\u261?du, orzeczona przez organ dla WINB kara upomnienia jest adekwatna zar\u243?wno do stwierdzonych przez administratora danych narusze\u324?, jak i podj\u281?tych przez niego czynno\u347?ci naprawczych.
\par 
\par W kontek\u347?cie powy\u380?szych ustale\u324? S\u261?d stwierdzi\u322?, \u380?e zaskar\u380?ona decyzja Prezesa UODO jest prawid\u322?owa. Zastosowane upomnienie jest adekwatne do stwierdzonego uchybienia. Organ, wydaj\u261?c zaskar\u380?on\u261? decyzj\u281?, nie naruszy\u322? przepis\u243?w prawa materialnego w stopniu maj\u261?cym wp\u322?yw na wynik sprawy ani przepis\u243?w post\u281?powania.
\par 
\par Maj\u261?c na uwadze powo\u322?ane okoliczno\u347?ci, S\u261?d dzia\u322?aj\u261?c na podstawie art. 151 p.p.s.a., orzek\u322? jak w sentencji wyroku.
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\pard}