Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Góraj, Sędzia WSA Danuta Kania (spr.), Sędzia WSA Iwona Maciejuk, po rozpoznaniu na posiedzeniu niejawnym w dniu 27 października 2020 r. sprawy ze skargi L. Sp. z o.o. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] listopada 2018 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę

Prezes Urzędu Ochrony Danych Osobowych (dalej: "Prezes UODO", "organ") decyzją z dnia [...] listopada 2019 r. nr [...], wydaną na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r., poz. 2096 ze zm.), dalej: "k.p.a.", art. 7 ust. 1, art. 60, art. 101 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), dalej: "u.o.d.o.", oraz art. 57 ust. 1 lit. a), art. 58 ust. 2 lit. i) w związku z art. 5 ust. 1 lit. a), art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 28 ust. 1, 3, 10, art. 29 oraz art. 83 ust. 1-3 i ust. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z dnia 4 maja 2016r., s. 1 oraz Dz. Urz. UE L 127 z dnia 23 maja 2018 r., s. 2), dalej: "ogólne rozporządzenie o ochronie danych", stwierdził naruszenie przez L. Sp. z o.o. z siedzibą w [...] (dalej: "L. Sp. z o.o.", "Spółka", "strona skarżąca") przepisów art. 5 ust. 1 lit. a), art. 5 ust. 1 lit. f) w związku z art. 5 ust. 2 ogólnego rozporządzenia o ochronie danych, tj. zasady zgodności z prawem, zasady integralności i poufności danych oraz zasady rozliczalności w związku z art. 28 ust. 1, 3, 10 oraz art. 29 ogólnego rozporządzenia o ochronie danych, wobec przetwarzania danych pochodzących z monitoringu wizyjnego stosowanego we Wspólnocie Mieszkaniowej "[...]" bez podstawy prawnej w postaci umowy powierzenia przetwarzania w okresie od dnia [...] maja 2018 r. do dnia [...] września 2019 r. oraz nałożył na L. Sp. z o.o. z siedzibą w [...] administracyjną karę pieniężną w kwocie 8000,00 zł.

W uzasadnieniu powyższej decyzji Prezes UODO przedstawił dotychczasowy tok postępowania wskazując, co następuje:

W dniach [...]-[...] czerwca 2019 r. upoważnieni przez Prezesa UODO kontrolujący, działając na podstawie art. 78 ust. 1, art. 79 ust. 1 oraz art. 84 ust. 1 pkt 1-4 u.o.d.o. w związku z art. 57 ust. 1 lit. a) i h), art. 58 ust. 1 lit. b), e) i f) ogólnego rozporządzenia o ochronie danych, dokonali czynności kontrolnych w L. Spółka z o.o. z siedzibą w [...] w zakresie zgodności przetwarzania danych osobowych z przepisami ustawy o ochronie danych osobowych oraz z ogólnym rozporządzeniem o ochronie danych.

Zakresem kontroli objęte zostało przetwarzanie danych osobowych w ramach monitoringu wizyjnego nieruchomości zlokalizowanej przy [...] w [...].

W toku kontroli odebrano ustne zeznania w charakterze świadka od D. O. - Wiceprezesa Zarządu L. Sp. z o.o. oraz od A. K. - upoważnionego przez Wiceprezesa Zarządu do składania szczegółowych wyjaśnień - Dyrektora i zarządcy nieruchomości zlokalizowanej przy [...]. Dokonano również oględzin systemu monitoringu wizyjnego znajdującego się w budynku Wspólnoty Mieszkaniowej [...].

Stan faktyczny został szczegółowo opisany w protokole kontroli podpisanym przez Wiceprezesa Zarządu L. Sp. z o.o. Do akt kontroli włączono materiał dowodowy z kontroli [...] przeprowadzonej we Wspólnocie Mieszkaniowej [...], będącej administratorem danych pochodzących z monitoringu wizyjnego stosowanego w ww. Wspólnocie, w tym protokół przesłuchania świadka E. G. - członka Zarządu Wspólnoty

W oparciu o zgromadzony materiał dowodowy Prezes UODO ustalił, że w procesie przetwarzania danych w ramach monitoringu wizyjnego stosowanego w nieruchomości [...] w [...], L. Sp. z o.o., naruszyła przepisy o ochronie danych osobowych. Uchybienia te polegały na:

1) przetwarzaniu danych pochodzących z monitoringu wizyjnego w nieruchomości zlokalizowanej przy [...] w [...] przez L. Sp. z o.o. bez umowy powierzenia przetwarzania danych, co stanowi naruszenie art. 5 ust. 1 lit a) ogólnego rozporządzenia o ochronie danych;

2) niewdrożeniu przez L. Sp. z o.o. środków organizacyjnych i technicznych w związku ze stosowaniem monitoringu wizyjnego w nieruchomości zlokalizowanej przy [...] w [...] zapewniających kontrolę nad udostępnianymi danymi osobowymi z monitoringu Wspólnoty Mieszkaniowej [...], co stanowi naruszenie art. 5 ust. 1 lit. f) ogólnego rozporządzenia o ochronie danych.

W związku z powyższym w dniu [...] września 2019 r. Prezes UODO wszczął z urzędu postępowanie administracyjne w celu wyjaśnienia okoliczności niniejszej sprawy.

W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego, L. Sp. z o.o. pismem z dnia [...] września 2019 r. przesłała wyjaśnienia w zakresie stwierdzonych uchybień oraz dowody potwierdzające ich usunięcie, z których wynika, że:

1) w dniu [...] września 2019 r. Wspólnota Mieszkaniowa [...] w [...] podpisała z L. sp. z o.o. Aneks nr 1 do umowy powierzenia przetwarzania danych osobowych z dnia [...] maja 2018 r., przy czym z § 1 pkt 1 lit. e) Aneksu wynika, że Wspólnota powierzyła L. Sp. z o.o. przetwarzanie danych osobowych pochodzących z monitoringu wizyjnego w zakresie wizerunku i numeru rejestracyjnego pojazdu,

2) Aneksem nr 1 Wspólnota powierzyła L. Sp. z o. o. sprawowanie kontroli nad zgodnością przetwarzania danych pochodzących z monitoringu wizyjnego przez firmy świadczące usługi ochrony (§ 1 pkt 2 lit. g) Aneksu) oraz wykonywanie czynności dotyczących przetwarzania danych z monitoringu i udostępniania danych zgodnie z zasadami określonymi w Regulaminie Udostępniania Danych Osobowych i Regulaminie Monitoringu Wizyjnego (§ 1 pkt 2 lit. h) Aneksu),

3) Aneksem nr 1 Wspólnota powierzyła L. Sp. z o.o. wykonywanie czynności na polecenie administratora danych określonych w Regulaminie Udostępniania Danych Osobowych, z wyjątkiem wyrażenia zgody na udostępnienia danych osobowych (§ 1 pkt 3 ppkt 1 Aneksu), oraz upoważniła do wykonywania czynności określonych w Regulaminie Monitoringu Wizyjnego, z wyjątkiem czynności, co do których określono poziomy dostępu w § 5 ust. 3 tego Regulaminu (§ 1 pkt 3 ppkt 2 Aneksu),

4) oświadczeniem z dnia [...] września 2019 r. Wspólnota Mieszkaniowa [...] w [...] potwierdziła czynności wykonywane przez zarządcę nieruchomości z ramienia L. Sp. z o.o. w zakresie dostępu do monitoringu wizyjnego w okresie od dnia [...] czerwca 2019 r. do dnia [...] lipca 2019 r. jako wykonywanych na polecenie administratora danych, dotyczących m.in. przetwarzania logów dostępu do systemu monitoringu wizyjnego, wprowadzania kodów dostępu do rejestratorów oraz przekazania kodów firmie, z którą Wspólnota w dniu [...] lipca 2019 r. podpisała umowę na obsługę systemu monitoringu wizyjnego.

Wnioskiem z dnia [...] września 2019 r. L. Sp. z o.o. wystąpiła do Prezesa UODO o włączenie do akt niniejszego postępowania protokołów zeznań pracowników ochrony z akt postępowania, którego stroną jest Grupa C. Sp. z o.o. (znak: [...]) jako dowodów w sprawie.

Prezes UODO nie uwzględnił ww. wniosku dowodowego wskazując, że zgodnie z art. 78 § 1 k.p.a. organ administracji nie ma obowiązku przeprowadzenia dowodu przedstawionego przez stronę, jeżeli w jego ocenie wniosek dowodowy dotyczy okoliczności dostatecznie wyjaśnionych w danym postępowaniu.

Motywując podjęte rozstrzygnięcie organ powołał treść art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. d) i i) oraz art. 28 i art. 29 ogólnego rozporządzenia o ochronie danych wskazując, że rozporządzenie to wiąże przetwarzanie danych z przestrzeganiem zasad określonych w art. 5 tego aktu prawnego. Naczelną zasadę stanowi zasada rozliczalności (art. 5 ust. 2 rozporządzenia), która nakłada na administratora danych ciężar dowodowy, polegający na konieczności wykazania zarówno przed administratorem danych, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych, tj. zasady zgodności z prawem, rzetelności, przejrzystości, integralności i poufności danych (art. 5 ust. 1 rozporządzenia).

Prezes UODO stwierdził, że w toku postępowania usunięte zostały wskazane uchybienia w procesie przetwarzania danych osobowych, stanowiące przedmiot postępowania, a mianowicie:

1) zapewniono, aby L. Sp. z o.o. przetwarzała dane pochodzące z monitoringu wizyjnego zgodnie z art. 28 ust. 3 i 9 ogólnego rozporządzenia o ochronie danych, poprzez zawarcie ze Wspólnotą Mieszkaniową [...] Aneksu nr 1 do umowy powierzenia przetwarzania danych osobowych z dnia [...] maja 2018 r., w którym Wspólnota powierzyła Spółce przetwarzanie danych osobowych w zakresie wizerunków i numerów rejestracyjnych pojazdów, pochodzących z monitoringu wizyjnego.

2) Aneksem nr 1 do umowy powierzenia przetwarzania danych z dnia [...] maja 2018r. uregulowano dostęp L. Sp. z o.o. do danych pochodzących z monitoringu poprzez upoważnienie Spółki do przetwarzania danych w oparciu o wdrożone przez Wspólnotę Mieszkaniową środki techniczne i organizacyjne tj. Regulamin Udostępniania Danych Osobowych i Regulamin Monitoringu Wizyjnego.

Dalej organ wskazał, że pomimo usunięcia przez Spółkę wskazanych uchybień, zaistniały przesłanki uzasadniające nałożenie kary pieniężnej za niedostosowanie przetwarzania danych do przepisów rozporządzenia o ochronie danych osobowych, tj. do zasady zgodności z prawem (art. 5 ust. 1 lit. a), zasady integralności i poufności danych (art. 5 ust. 1 lit. f), a w konsekwencji zasady rozliczalności (art. 5 ust. 2 ogólnego rozporządzenia o ochronie danych) i związane z czasem trwania wskazanych naruszeń.

Organ podkreślił przy tym, że w związku z brakiem - w zawartej przez Wspólnotę umowie powierzenia przetwarzania danych z dnia [...] maja 2018 r. -powierzenia L. Sp. z o.o. przetwarzania danych, w tym określenia celów i sposobów przetwarzania danych pochodzących z monitoringu wizyjnego stosowanego w nieruchomości [...] w [...], do których faktycznie posiadała dostęp w ramach prawidłowego wywiązywania się z realizacji umowy o administrowanie częścią wspólną, stosownie do art. 28 ust. 10 ogólnego rozporządzenia o ochronie danych, L. Sp. z o.o. uznana została administratorem w odniesieniu do tego procesu w okresie od dnia [...] maja 2018 r. do [...] września 2019 r., tj. do daty zawarcia Aneksu nr 1 do ww. umowy.

Z umowy o administrowanie częścią wspólną wynika, że Spółka odpowiada za prowadzenie rejestru korespondencji dotyczącej Wspólnoty Mieszkaniowej, a wnioski o udostępnienie danych z monitoringu wpływały do Wspólnoty na adres do doręczeń tj. adres zarządcy nieruchomości. W przypadku konieczności udostępnienia danych z monitoringu, funkcjonowała wyłącznie przyjęta zwyczajowa procedura działania, w której rola L. Sp. z o.o. polegała na przekazywaniu informacji o konieczności udostępniania nagrania koordynatorowi wyznaczonemu przez podmiot świadczący usługę ochrony. Przyjęty sposób działania nie wynikał z zapisów umów ani z przyjętych przez Wspólnotę Mieszkaniową [...] procedur wewnętrznych. Ponadto, brak prowadzenia ewidencji wniosków o udostępnienie nagrań z monitoringu nieruchomości zlokalizowanej w [...] przy [...], uniemożliwia rozliczenie L. Sp. z o.o. z obsługi takich wniosków w zakresie komu został wniosek przekazany, kto go zaakceptował oraz w jaki sposób wniosek był procedowany.

W toku kontroli ustalono również, że w związku z wystąpieniem incydentu, L. Sp. z o.o. zleciła podmiotowi zewnętrznemu wykonanie audytu systemu monitoringu, w tym dokonanie zmiany haseł do monitoringu, w konsekwencji wszedł w posiadanie nowych haseł, celem przekazania ich firmie zajmującej się ochroną nieruchomości. Czynności te realizowane były w ramach bieżącego administrowania nieruchomością, jednakże nie wynikały z umowy o administrowanie częścią wspólną zawartą ze Wspólnotą Mieszkaniową [...], z umowy powierzenia przetwarzania danych osobowych z dnia [...] maja 2018 r. ani z procedur wewnętrznych dotyczących zarządzania systemem monitoringu.

Organ wskazał, że na Spółce jako administratorze danych w związku z przetwarzaniem danych pochodzących z monitoringu wizyjnego, ciążyły wszelkie obowiązki dotyczące administratora wynikające z ogólnego rozporządzenia o ochronie danych, o których mowa w art. 24 ust. 1 i 2. Natomiast z materiału dowodowego zgromadzonego w przedmiotowej sprawie nie wynika, aby skarżąca w odniesieniu do tego procesu podjęła działania mające na celu wywiązanie się ze wszystkich obowiązków administratora nałożonych przepisami rozporządzenia.

Odnosząc się do wniesionych przez Spółkę zastrzeżeń do protokołu kontroli zawartych w piśmie z dnia [...] lipca 2019 r. organ wskazał, że w świetle art. 88 ust. 4 u.o.d.o. w związku z podpisaniem protokołu kontroli przez Spółkę, organ uwzględnił wniesione zastrzeżenia jako dodatkowe wyjaśnienia w postępowaniu pokontrolnym. Zaznaczył jednocześnie, że nieuzasadniony jest zarzut dotyczący nieprzedstawienia Spółce wraz z protokołem kontroli akt kontroli, oraz załączników do protokołu kontroli, bowiem zebrane w aktach kontroli dokumenty stanowią materiał przekazany kontrolującym w toku kontroli, natomiast z protokołów przesłuchania świadków - stanowiących podstawę do sporządzenia protokołu kontroli - Spółka wykonała kserokopie, co zostało potwierdzone i utrwalone na tych protokołach. Ponadto, jak wynika z akt postępowania, skarżąca w dniach [...] i [...] września 2019 r. skorzystała z przysługującego jej prawa do zapoznania się ze zgromadzonym materiałem.

Dalej Prezes UODO wskazał, że w sytuacji, gdy naruszenie zostało już usunięte, a co za tym idzie - wydawanie nakazu byłoby bezprzedmiotowe, organ nadzorczy, zamiast zastosowania uprawnień naprawczych, może nałożyć administracyjną karę pieniężną zależnie od okoliczności konkretnej sprawy. Organ powołał przy tym art. 58 ust. 2 lit. i) oraz art. 83 ust. 2 ogólnego rozporządzenia o ochronie danych.

Przy ustalaniu wysokości kary administracyjnej w niniejszej sprawie organ wziął pod uwagę jako okoliczności przemawiające na niekorzyść L. Sp. z o.o. i wpływające obciążająco na wymiar nałożonej kary:

1) naruszenie zasad przetwarzania danych osobowych w związku z przetwarzaniem danych pochodzących z monitoringu wizyjnego stosowanego we Wspólnocie Mieszkaniowej [...] w [...], tj. zasady zgodności z prawem, zasady integralności i poufności danych oraz zasady rozliczalności danych;

2) czas trwania naruszeń stwierdzonych w wyniku przeprowadzonej kontroli związany z przetwarzaniem danych za pomocą monitoringu wizyjnego;

3) niewdrożenie środków organizacyjnych i technicznych zapewniających kontrolę nad udostępnianymi danymi osobowymi z monitoringu Wspólnoty Mieszkaniowej [...] w [...].

Organ wziął również po uwagę czynniki łagodzące wymiar kary, a mianowicie:

1) nieumyślny charakter naruszenia art. 28 ust. 3 i 9 ogólnego rozporządzenia o ochronie danych poprzez niewskazanie w umowie powierzenia przetwarzania danych z dnia [...] maja 2018 r. danych pochodzących z monitoringu wizyjnego,

2) okoliczność, że wobec Spółki nie były orzekane środki naprawcze określone w art. 58 ust. 2 ww. rozporządzenia,

3) podjęte przez Spółkę działania w trakcie postępowania przed organem nadzorczym w celu usunięcia naruszeń.

Na fakt nałożenia, jak i sam wymiar administracyjnej kary pieniężnej nie miały wpływu okoliczności, że:

1) Spółka nie stosuje zatwierdzonych kodeksów postępowania na mocy art. 40 ogólnego rozporządzenia o ochronie danych lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 ww. rozporządzenia,

2) brak dowodów na osiągnięcie przez Spółkę korzyści finansowych, jak i uniknięcie strat w związku z wykazanymi naruszeniami,

3) brak dowodów, że osoby, których dane dotyczą, poniosły szkodę.

Orzekając o nałożeniu administracyjnej kary pieniężnej oraz określając jej wysokość, za najistotniejsze Prezes UODO uznał poważny charakter uchybienia wynikający z naruszenia zasady zgodności z prawem w związku z brakiem umowy powierzenia przetwarzania danych pochodzących z monitoringu wizyjnego, a tym samym działaniem bez podstawy prawnej przetwarzania danych. Wziął również pod uwagę treść art. 83 ust. 3 i ust. 5 lit. a) ogólnego rozporządzenia o ochronie danych w związku z art. 103 u.o.d.o.

Stwierdził, że zastosowana administracyjna kara pieniężna w kwocie 8000 złotych spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 ww. rozporządzenia i w tym indywidualnym przypadku jest skuteczna, proporcjonalna i odstraszająca. Uznał, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Spółka będzie realizować obowiązki podmiotu przetwarzającego w zakresie, celu i w sposób przetwarzania wskazany w umowie powierzenia. Wskazał również, że zastosowana kara pieniężna jest proporcjonalna do stwierdzonego naruszenia, szczególnie ze względu brak realizacji obowiązków L. Sp. z o.o. jako administratora w okresie od dnia [...] maja 2018 r. do dnia [...] września 2019 r. wynikających z ogólnego rozporządzenia o ochronie danych. Odstraszający charakter kary pieniężnej wiąże się z zapobieganiem naruszeń w przyszłości oraz przykładaniem większej wagi do realizacji zarówno zadań administratora jak i zadań podmiotu przetwarzającego. Kara ma charakter represyjny (Spółka naruszyła przepisy ww. rozporządzenia) i prewencyjny (zarówno Spółka, jak i inne podmioty uczestniczące w przetwarzaniu danych osobowych, będą z większą uwagą i należytą starannością realizować swoje obowiązki wynikające z ogólnego rozporządzenia o ochronie danych). Celem nałożonej kary jest zobligowanie L. Sp. z o.o. do prowadzenia procesów przetwarzania danych zgodnie z obowiązującymi przepisami prawa.

Pismem z dnia 2 stycznia 2020 r. L. Sp. z o.o. w [...], reprezentowana przez profesjonalnego pełnomocnika, wniosła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na powyższą decyzję Prezesa UODO z dnia [...] listopada 2019 r. zarzucając jej:

1) naruszenie art. 7 k.p.a. w związku z art. 77 k.p.a., art. 8 k.p.a. oraz art. 84 k.p.a. poprzez pominięcie istotnych dla sprawy wniosków dowodowych skarżącej zawartych w pismach z dnia [...] września 2019 r. oraz [...] września 2019 r., w tym niewłączenie do akt niniejszej sprawy akt z postępowania, którego stroną jest Grupa C. Sp. z o.o. (znak: [...]), celem przeprowadzenia dowodu z dokumentów znajdujących się w aktach tej sprawy na okoliczność:

a) wiedzy pracowników ochrony Grupy C. Sp. z o.o. o zakresie i celu przetwarzania danych osobowych przez administratora tych danych, w tym w szczególności bezpośredniego zlecania przez administratora danych pracownikom ochrony zadań w zakresie przetwarzania danych z monitoringu,

b) niezlecania przez przedstawicieli strony skarżącej pracownikom ochrony jakichkolwiek operacji na danych osobowych z monitoringu przetwarzanych przez administratora danych,

d) wyłącznej odpowiedzialności administratora danych za zapewnienie środków organizacyjnych i technicznych, które zapewnić mają kontrolę nad udostępnianymi danymi osobowymi pochodzącymi z monitoringu wizyjnego,

d) wyłączenia zlecania przez administratora danych pracownikom ochrony operacji na danych osobowych pochodzących z monitoringu wizyjnego,

e) braku dostępu przedstawicieli strony skarżącej do narzędzi umożliwiających wgląd oraz wykonywanie jakichkolwiek operacji na danych osobowych pochodzących z monitoringu wizyjnego,

2) naruszenie art. 5 ust. 1 lit. a), art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 28 ust. 1, 3, 10, art. 29, art. 83 ust. 1-3 i 5 w związku z art. 57 ust. 1 lit. a) oraz art. 58 ust. 2 lit. i) ogólnego rozporządzenia o ochronie danych poprzez niczym nieuprawnione przyjęcie, że strona skarżąca jest administratorem danych osobowych w związku z przetwarzaniem danych z monitoringu wizyjnego, na którym ciążył obowiązek wynikający z ww. rozporządzenia w sytuacji, gdy administratorem tych danych była Wspólnota Mieszkaniowa "[...]" nieruchomości przy [...] w [...], na której - jako administratorze danych - spoczywał obowiązek do wdrożenia środków organizacyjnych i technicznych zapewniających adekwatne przetwarzanie danych, w tym ich zabezpieczenie, zaś podmiotem który faktycznie przetwarzał dane osobowe w związku z przetwarzaniem danych z monitoringu wizyjnego był podmiot Grupa C. Sp. z o.o., który dopuścił się naruszeń w związku z przetwarzaniem danych,

3) naruszenie art. 58 ust. 2 lit. i) ogólnego rozporządzenia o ochronie danych poprzez nałożenie w zaskarżonej decyzji na stronę skarżącą rażąco wygórowanej wysokości administracyjnej kary pieniężnej, nieadekwatnej do stopnia przewinienia i nieproporcjonalnej do kary jaka została nałożona przez organ na Wspólnotę Mieszkaniową "[...]" nieruchomości przy [...] w [...].

W związku z powyższym skarżąca wniosła o:

1) wystąpienie do Prezesa UODO o załączenie do akt niniejszej sprawy akt sprawy prowadzonej wobec Grupy C. Sp. z o.o. (znak: [...]) oraz z udziałem Wspólnoty Mieszkaniowej "[...]" nieruchomości przy [...] w [...] celem przeprowadzenia dowodu na okoliczność:

a) wiedzy pracowników ochrony Grupy C. Sp. z o.o. o zakresie i celu przetwarzania danych osobowych przez administratora tych danych, w tym w szczególności bezpośredniego zlecania przez administratora danych pracownikom ochrony zadań w zakresie przetwarzania danych z monitoringu,

b) niezlecania przez przedstawicieli strony skarżącej pracownikom ochrony jakichkolwiek operacji na danych osobowych z monitoringu przetwarzanych przez administratora danych,

d) wyłącznej odpowiedzialności administratora danych za zapewnienie środków organizacyjnych i technicznych, które zapewnić mają kontrolę nad udostępnianymi danymi osobowymi pochodzącymi z monitoringu wizyjnego,

d) wyłączenia zlecania przez administratora danych pracownikom ochrony operacji na danych osobowych pochodzących z monitoringu wizyjnego,

e) braku dostępu przedstawicieli strony skarżącej do narzędzi umożliwiających wgląd oraz wykonywanie jakichkolwiek operacji na danych osobowych pochodzących z monitoringu wizyjnego,

f) nałożenia w zaskarżonej decyzji wygórowanej wysokości administracyjnej kary pieniężnej, nieadekwatnej do stopnia przewinienia i nieproporcjonalnej do kary jaka została nałożona przez organ na Wspólnotę Mieszkaniową "[...]" nieruchomości przy [...] w [...],

2) zmianę zaskarżonej decyzji poprzez jej uchylenie w całości, ewentualnie o zmiarkowanie wysokości nałożonej na skarżącą administracyjnej kary pieniężnej;

3) zasądzenie zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego;

4) rozpoznanie sprawy na rozprawie.

W motywach skargi rozwinięto powyższe zarzuty powołując obszerne fragmenty orzeczeń sądów administracyjnych odnośnie stosowania zasad ogólnych k.p.a. oraz reguł postępowania dowodowego.

Podniesiono w szczególności, iż w toku postępowania zakończonego wydaniem zaskarżonej decyzji nie wykazano, że strona skarżąca dokonywała - w związku z wejściem w posiadanie nowych haseł do monitoringu - jakichkolwiek operacji związanych z przetwarzaniem danych z monitoringu wizyjnego. Nieuprawniona jest zatem konstatacja organu, że skarżąca jest administratorem danych z monitoringu i dokonywała ich przetwarzania. Strona skarżąca w zleceniu wykonania audytu monitoringu odgrywała jedynie rolę techniczną i usługową pośrednicząc pomiędzy zlecającą (Wspólnotą Mieszkaniową nieruchomości przy [...]), a wykonawcą w zakresie nawiązania współpracy.

Podniesiono również, że Spółka nie spełnia wymogu bycia administratorem w rozumieniu art. 4 pkt 7 ogólnego rozporządzenia o ochronie danych. To bowiem nie Spółka, lecz Wspólnota Mieszkaniowa nieruchomości przy [...], jako administrator danych, określa cel i sposób przetwarzania danych pochodzących z monitoringu wizyjnego. Ponadto, to ww. Wspólnota Mieszkaniowa przetwarza dane właścicieli lokali oraz kontrahentów Wspólnoty, co znajduje potwierdzenie w art. 6 i art. 18 ust. 1 ustawy z dnia 24 czerwca 1994 r. o własności lokali (Dz. U. z 2019 r., poz. 737 ze zm.).

Dalej wskazano, że zebrany przez Prezesa UODO materiał dowodowy bez jego uzupełnienia o materiał, o który wnioskowała Spółka, nie dawał podstaw do wydania zaskarżonej decyzji. Sprawa nie została bowiem w wyczerpujący i kompleksowy sposób wyjaśniona. Włączenie do akt sprawy materiału dowodowego zgromadzonego w postępowaniu znak: [...] i zapoznanie się z treścią zeznań pracowników podmiotu świadczącego usługi monitoringu na terenie nieruchomości przy [...] w [...], ma istotne znaczenie z punktu widzenia sformułowania dalszych wniosków dowodowych oraz oceny ewentualnej odpowiedzialności Spółki za incydent związany ze zdarzeniem, którego zaistnienie stanowiło podstawę wszczęcia postępowania w niniejszej sprawie.

Niezależnie od powyższego strona skarżąca zaznaczyła, że Prezes UODO nałożył zaskarżoną decyzją administracyjną karę pieniężną w rażąco wygórowanej wysokości, nieadekwatnej do stopnia przewinienia i nieproporcjonalnej do kary jaka została nałożona przez organ na ww. Wspólnotę Mieszkaniową.

W odpowiedzi na skargę Prezes UODO wniósł o oddalenie skargi, podtrzymując stanowisko jak w zaskarżonej decyzji.

Zarządzeniem Przewodniczącego Wydziału z dnia 15 października 2020 r. sprawa o sygn. akt II SA/Wa 310/20 została zdjęta z wokandy posiedzenia jawnego wyznaczonego na dzień 27 października 2020 i skierowana na posiedzenie niejawne w tej samej dacie.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. z 2019 r., poz. 2167), dalej: "p.u.s.a." oraz art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r., poz. 2325), dalej: "p.p.s.a.", sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej.

W myśl art. 134 § 1 p.p.s.a., sąd rozstrzyga w granicach danej sprawy nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną, z zastrzeżeniem art. 57a. Sąd nie może wydać orzeczenia na niekorzyść skarżącego, chyba że stwierdzi naruszenie prawa skutkujące stwierdzeniem nieważności zaskarżonego aktu lub czynności (§ 2).

Skarga oceniana w świetle powyższych kryteriów nie zasługuje na uwzględnienie.

Przedmiotem kontroli Sądu jest decyzja Prezesa UODO z dnia [...] listopada 2019 r. nr [...] stwierdzająca naruszenie przez L. Sp. z o.o. z siedzibą w [...] przepisów art. 5 ust. 1 lit. a), art. 5 ust. 1 lit. f) w związku z art. 5 ust. 2 ogólnego rozporządzenia o ochronie danych w związku z art. 28 ust. 1, ust. 3, ust. 10 oraz art. 29 tego rozporządzenia, wobec przetwarzania danych pochodzących z monitoringu wizyjnego stosowanego we Wspólnocie Mieszkaniowej [...] bez podstawy prawnej w postaci umowy powierzenia przetwarzania danych w okresie od dnia [...] maja 2018 r. do dnia [...] września 2019r., oraz nakładająca na L. Sp. z o.o. z siedzibą w Warszawie administracyjną karę pieniężną w kwocie 8000,00 zł.

Podstawę prawną zaskarżonej decyzji stanowiły w szczególności przepisy ogólnego rozporządzenia o ochronie danych, w tym art. 57 ust. 1, zgodnie z którym bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia (lit. a), prowadzi postępowania w sprawie stosowania niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego (lit. h).

Instrumentem do realizacji zadań określonych w art. 57 ww. rozporządzenia są w szczególności uprawnienia naprawcze, o których mowa w art. 58 ust. 2, w tym nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu (lit. d) oraz uprawnienia do zastosowania, oprócz lub zamiast środków, o których mowa w niniejszym ustępie, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy (lit. i).

Stosownie do z art. 28 ust. 1 ogólnego rozporządzenia o ochronie danych, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora (art. 28 ust. 3). Przy czym zgodnie z art. 28 ust. 9 ww. rozporządzenia, umowa, o której mowa w ust. 3, ma formę pisemną, w tym formę elektroniczną.

Stosownie zaś do art. 28 ust. 10 ogólnego rozporządzenia o ochronie danych, bez uszczerbku dla art. 82, 83 i 84, jeżeli podmiot przetwarzający naruszy niniejsze rozporządzenie przy określaniu celów i sposobów przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania. Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego (art. 29 rozporządzenia).

Przepis art. 5 ogólnego rozporządzenia o ochronie danych statuuje katalog podstawowych zasad dotyczących przetwarzania danych osobowych. Jak podkreśla się w piśmiennictwie, zasady te mają charakter dyrektyw interpretacyjnych, zgodnie z którymi należy dokonywać wykładni poszczególnych przepisów. Z tego względu przypisuje się im moc nadrzędną w stosunku do pozostałych przepisów o ochronie danych osobowych. Zasady te określają obowiązki skierowane do administratorów danych. Korelatem nałożonych na administratorów obowiązków, zaliczanych do zasad przetwarzania danych, są określone przez prawodawcę unijnego sankcje za ich naruszenie, przede wszystkim w postaci administracyjnych kar pieniężnych.

Podstawową zasadą przetwarzania danych osobowych jest zasada rozliczalności określona w art. 5 ust. 2 rozporządzenia. Przepis ten stanowi, że administrator danych jest odpowiedzialny za przestrzeganie wszystkich zasad przy przetwarzaniu danych osobowych (wymienionych w art. 5 ust. 1) i musi być w stanie wykazać ich przestrzeganie. Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych.

Realizacji zasady rozliczalności służy zasada rzetelności i legalności oraz zasada przejrzystości wyrażone w art. 5 ust. 1 lit. a) rozporządzenia. Zgodnie z treścią tego przepisu dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Wymóg przetwarzania danych zgodnie z prawem oznacza zarówno konieczność spełnienia przesłanek legalności przetwarzania danych, jak również zapewnienie zgodności z pozostałymi przepisami o ochronie danych osobowych. Wymóg rzetelności odnosi się natomiast do wartości moralnych oraz do kryterium społecznej akceptacji operacji przetwarzania danych.

Zapewnienie rozliczalności danych wymaga przestrzegania zasady bezpieczeństwa danych, tj. zasady integralności i poufności danych określonej w art. 5 ust. 1 lit. f) rozporządzenia. Przepis ten stanowi, że dane powinny być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Integralność danych oznacza więc właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany, zaś poufność danych, że dane nie są udostępniane nieupoważnionym podmiotom (por. Ogólne rozporządzenie o ochronie danych. Komentarz pod red. naukową E. Bielak-Jomaa, D. Lubosz, Wolters Kluwer, Warszawa 2018).

Zauważyć również należy, że zgodnie z art. 184b ustawy z dnia 21 sierpnia 1997 r. o gospodarce nieruchomościami (Dz. U. z 2018 r., poz. 2204 ze zm.), zarządzanie nieruchomością polega na podejmowaniu decyzji i dokonywaniu czynności mających na celu zapewnienie racjonalnej gospodarki nieruchomością, a w szczególności: 1) właściwej gospodarki ekonomiczno-finansowej nieruchomości; 2) bezpieczeństwa użytkowania i właściwej eksploatacji nieruchomości; 3) właściwej gospodarki energetycznej w rozumieniu przepisów prawa energetycznego; 4) bieżące administrowanie nieruchomością; 5) utrzymanie nieruchomości w stanie niepogorszonym zgodnie z jej przeznaczeniem; 6) uzasadnione inwestowanie w nieruchomość.

Zakres zarządzania nieruchomością określa umowa o zarządzanie nieruchomością, zawarta z jej właścicielem, wspólnotą mieszkaniową albo inną osobą lub jednostką organizacyjną, której przysługuje prawo do nieruchomości, ze skutkiem prawnym bezpośrednio dla tej osoby lub jednostki organizacyjnej. Umowa wymaga formy pisemnej lub elektronicznej pod rygorem nieważności (art. 185 ust. 2 ww. ustawy).

Przenosząc powyższe na stan niniejszej sprawy, stwierdzić należy, że Prezes UODO prawidłowo stwierdził w oparciu o poczynione ustalenia faktyczne, że L. Sp. z o.o. dopuściła się naruszenia przepisów o ochronie danych osobowych w procesie przetwarzania danych z monitoringu wizyjnego stosowanego w nieruchomości [...] w [...], poprzez:

1) przetwarzanie danych pochodzących z monitoringu wizyjnego w ww. nieruchomości bez umowy powierzenia przetwarzania danych (art. 5 ust. 1 lit. a) ogólnego rozporządzenia o ochronie danych);

2) niewdrożenie środków organizacyjnych i technicznych w związku ze stosowaniem monitoringu wizyjnego w ww. nieruchomości zapewniających kontrolę nad udostępnianymi danymi osobowymi z monitoringu Wspólnoty Mieszkaniowej (art. 5 ust. 1 lit. f) rozporządzenia).

Z materiału dowodowego zgromadzonego w sprawie (Protokołu kontroli z dnia [...] czerwca 2019 r. oraz załączników) wynika bowiem, że pomiędzy L. Sp. z o.o. a Wspólnotą Mieszkaniową [...] zawarta została w dniu [...] lipca 2012 r. Umowa o Administrowanie Częścią Wspólną Nieruchomości, a w dniu [...] maja 2018 r. Umowa powierzenia przetwarzania danych osobowych (k. 37 i nast. oraz k. 45 i nast. akt admin.). Z zapisów ww. umów nie wynikało, w jaki sposób oraz w jakim zakresie zarządca nieruchomości uczestniczy w procesie obsługi monitoringu nieruchomości zlokalizowanej przy [...] w [...] oraz w jakim zakresie zarządca nieruchomości powinien realizować czynności kontrolne i nadzorcze, aby przetwarzanie danych w związku z prowadzeniem monitoringu odbywało się w sposób zgodny z przepisami prawa.

Z umowy powierzenia przetwarzania danych nie wynikało, aby Wspólnota Mieszkaniowa powierzyła L. Sp. z o.o. przetwarzanie danych pochodzących z monitoringu wizyjnego realizowanego na terenie nieruchomości zlokalizowanej przy [...], jak również nie został określony cel przetwarzania danych pochodzących z monitoringu, do których faktycznie dostęp posiadała L. Sp. z o.o. w ramach prawidłowego wywiązywania się z realizacji umowy o administrowanie częścią wspólną. Z umowy nie wynikało również, kto decydował w imieniu Wspólnoty Mieszkaniowej o udostępnianiu danych w związku z otrzymywanymi wnioskami o udostępnienie danych z monitoringu.

Z umowy o administrowanie wynikało natomiast, że L. Sp. z o.o. odpowiada za prowadzenie rejestru korespondencji dotyczącej Wspólnoty Mieszkaniowej [...], a wnioski o udostępnienie danych z monitoringu wpływały do Wspólnoty na adres do doręczeń, tj. adres zarządcy nieruchomości.

W przypadku konieczności udostępniania danych z monitoringu funkcjonowała wyłącznie zwyczajowa procedura działania, w której rola L. Sp. z o.o. polegała na przekazywaniu informacji o konieczności udostępniania nagrania koordynatorowi wyznaczonemu przez podmiot świadczący usługę ochrony. Przyjęty sposób działania nie wynikał z zapisów umów ani z przyjętych przez Wspólnotę Mieszkaniową procedur wewnętrznych. Co istotne, brak prowadzenia ewidencji wniosków o udostępnienie nagrań z monitoringu nieruchomości przy [...] uniemożliwiał rozliczenie L. Sp. z o.o. z obsługi wniosków w zakresie komu wniosek został przekazany, kto go zaakceptował oraz w jaki sposób wniosek był procedowany.

W związku z wystąpieniem incydentu (wyciek nagrania z monitoringu do prasy) L. Sp. z o.o. zleciła podmiotowi zewnętrznemu wykonanie audytu systemu monitoringu, w tym dokonanie zmiany haseł do monitoringu, a w konsekwencji weszła w posiadanie nowych haseł celem przekazania ich firmie zajmującej się ochroną nieruchomości. Czynności te nie wynikały z umowy o administrowanie, umowy powierzenia przetwarzania danych, ani z procedur wewnętrznych dotyczących zarządzania systemem monitoringu (protokoły przesłuchania świadków: k. 59 i nast. oraz k. 132 i nast. akt admin).

Wskazać należy, że ww. ustalenia organu znajdują odzwierciedlenie w zgromadzonym, kompletnym materiale dowodowym, pozyskanym w toku przeprowadzonej kontroli oraz postępowania administracyjnego. Materiał ten został przez organ w sposób wszechstronny rozpatrzony. Ocena materiału dowodowego znalazła swój wyraz w uzasadnieniu zaskarżonej decyzji. Z tego względu nie są trafne zarzuty skargi dotyczące naruszenia przez organ art. 7, art. 8, art. 77 § 1 i art. 84 k.p.a.

Zgodzić należy się również ze stanowiskiem organu, że brak było podstaw do uwzględnienia wniosku dowodowego strony skarżącej poprzez włączenie do akt postępowania administracyjnego protokołów zeznań pracowników ochrony z akt postępowania, którego stroną jest Grupa C. Sp. z o.o. (znak: [...]). Okoliczności podnoszone przez stronę skarżącą dotyczące przetwarzania danych zostały już bowiem stwierdzone innymi dowodami, tj. ww. protokołami przesłuchania świadków oraz Umową powierzenia przetwarzania danych osobowych z dnia [...] maja 2018 r. Zaistniała zatem przesłanka, o której mowa w art. 78 § 2 k.p.a.

Uwzględniając powyższe, Sąd nie znalazł podstaw do uwzględnienia wniosku strony skarżącej o wystąpienie do Prezesa UODO i załączenie do akt niniejszej sprawy akt sprawy prowadzonej wobec Grupy C. Sp. z o.o. (znak: [...]) w celu przeprowadzenia dowodu na okoliczności wskazane w treści skargi. Zgodnie bowiem z art. 106 § 3 p.p.s.a. sąd może z urzędu lub na wniosek stron przeprowadzić dowody uzupełniające z dokumentów jeżeli jest to niezbędne do wyjaśnienia istotnych wątpliwości i nie spowodowuje nadmiernego przedłużenia postępowania w sprawie. W ocenie Sądu orzekającego żadna z przesłanek wymienionych w ww. przepisie nie zaistniała w niniejszej sprawie.

Nie jest również trafny zarzut skargi dotyczący naruszenia przez organ art. 5 ust. 1 lit. a), art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 28 ust. 1, 3 i 10, art. 29, art. 83 ust. 1-3 i 5 w związku z art. 57 ust. 1 lit. a) oraz art. 58 ust. 2 lit. i) ogólnego rozporządzenia o ochronie danych poprzez niczym nieuprawnione przyjęcie, że strona skarżąca jest administratorem danych osobowych (w związku z przetwarzaniem danych z monitoringu wizyjnego), na którym ciążył obowiązek wynikający z ww. rozporządzenia.

Jak już bowiem wyżej wskazano, strona skarżąca - w ramach prawidłowego wywiązywania się z realizacji umowy o administrowanie częścią wspólną - posiadała faktyczny dostęp do danych osobowych przetwarzanych za pomocą monitoringu wizyjnego. Okoliczność tę potwierdzają zeznania świadka "w pomieszczeniu z monitoringiem (...) przebywa również, w przypadku realizacji zadań, zarządca nieruchomości i dyrektor zarządzający, którzy nadzorują prace firmy świadczącej usługę ochrony" (k. 60 akt admin.), a także obowiązki zarządcy nieruchomości wynikające z § 4 ust. 1 pkt 24 Umowy o Administrowanie Częścią Wspólną Nieruchomości z dnia [...] lipca 2012 r. (k. 37 akt admin.). Przy tym sama strona skarżąca w piśmie z dnia [...] lipca 2019 r. "Zastrzeżenia i uwagi do protokołu kontroli nr [...]" w punkcie 3 tego pisma potwierdziła fakt dostępu i przetwarzania danych z monitoringu w ramach wykonywania usługi administrowania nieruchomością wspólną, wyjaśniając co następuje: "odnośnie stwierdzenia (...) że Dyrektor (...) oraz zarządca nieruchomości ma dostęp do monitoringu (...) należy wyjaśnić, że stwierdzenie to należy rozumieć w ten sposób, że osoby te, w trakcie pobytu na nieruchomości w pomieszczeniu ochrony, mogą obserwować bieżący podgląd z kamer, a także mogą dokonać zlecenia zgrania archiwalnych zapisów z monitoringu". Podkreślenia przy tym wymaga, że zgodnie z definicją zawartą w art. 4 pkt 2 ogólnego rozporządzenia o ochronie danych, przez przetwarzanie danych należy rozumieć operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Ponadto, na co wskazano już powyżej, w związku z wystąpieniem incydentu, strona skarżąca po wykonaniu przez podmiot zewnętrzny audytu systemu monitoringu i zmianie haseł do systemu, w ramach bieżącego administrowania nieruchomością weszła w posiadanie nowych haseł do systemu celem przekazania ich podmiotowi zajmującemu się ochroną nieruchomości.

Z powyższego wynika zatem, że strona skarżąca miała dostęp do danych osobowych przetwarzanych w ramach monitoringu wizyjnego w związku z bieżącym administrowaniem nieruchomością, a także decydowała o celach i sposobach przetwarzania danych. Nie wynikało to jednak z umowy o administrowanie częścią wspólną zawartą ze Wspólnotą Mieszkaniową [...], z umowy powierzenia przetwarzania danych osobowych z dnia [...] maja 2018 r., ani z procedur wewnętrznych dotyczących zarządzania systemem monitoringu.

Jak już wyżej wskazano, w sytuacji gdy podmiot przetwarzający dane osobowe naruszy ogólne rozporządzenie o ochronie danych przy określaniu celów i sposobów przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania (art. 28 ust. 10). Podejmowanie decyzji o celach i sposobach przetwarzania danych należy do sfery uprawnień administratora danych. Jeżeli w tę sferę bezprawnie ingeruje podmiot przetwarzający, wchodząc w zakres zastrzeżony administratorowi, to art. 28 ust. 10 ww. rozporządzenia nakazuje uznać podmiot przetwarzający za administratora w odniesieniu do tego przetwarzania. Oznacza to, że podmiot przetwarzający odpowiada w tym zakresie za naruszenie przepisów rozporządzenia tak jak administrator (Fajgielski P., Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, WKP 2018, art. 28).

W ocenie Sądu nieuzasadniony jest zarzut skargi dotyczący naruszenia art. 58 ust. 2 lit. i) ogólnego rozporządzenia o ochronie danych polegającego na nałożeniu przez organ administracyjnej kary pieniężnej rażąco wygórowanej i nieadekwatnej do stopnia przewinienia.

Zgodnie z art. 83 ust. 1 ogólnego rozporządzenia o ochronie danych, każdy organ nadzorczy zapewnia by stosowane na mocy niniejszego artykułu za naruszenia niniejszego rozporządzenia administracyjne kary pieniężne, o których mowa w ust. 4, 5 i 6, były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. W myśl art. 83 ust. 2 rozporządzenia, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)-h) oraz lit. j). Decydując, czy nałożyć administracyjną karę pieniężną oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na: stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych na mocy art. 25 i 32 (lit. d); wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

Z treści zaskarżonej decyzji wynika, że organ rozważył przesłanki określone w ww. przepisie i uzasadnił przyjęte stanowisko. Wskazał okoliczności decydujące o nałożeniu administracyjnej kary pieniężnej oraz przesłanki mające wpływ na jej wysokość: elementy związane z incydentem stanowiącym naruszenie ogólnego rozporządzenia o ochronie danych, zachowanie strony skarżącej jako administratora danych przed oraz po ocenianym naruszeniu, skutki naruszenia. Określił czynniki łagodzące wymiar kary (m.in. podjęte działania w celu usunięcia naruszeń: podpisanie w dniu [...] września 2019 r. Aneksu nr 1 do umowy powierzenia przetwarzania danych osobowych z dnia [...] maja 2018 r. oraz wydanie przez Wspólnotę Mieszkaniową [...] oświadczenia z dnia [...] września 2019 r.) oraz obciążające (w tym fakt naruszenia zasad przetwarzania danych - tj. zasady legalności, integralności, poufności oraz rozliczalności, a także czas trwania tych naruszeń). W konsekwencji określił wysokość kary na takim poziomie, aby z jednej strony stanowiła ona adekwatną reakcję organu nadzorczego na stopień naruszenia, z drugiej jednak strony nie powodowała sytuacji, w której konieczność uiszczenia kary finansowej powodowała negatywne skutki w postaci znaczącej redukcji zatrudnienia bądź istotnego spadku obrotów strony skarżącej.

W ocenie Sądu organ w sposób wyczerpujący wyważył dyrektywy zasadności nałożenia oraz wysokości administracyjnej kary pieniężnej w analizowanym przypadku. Brak jest zatem podstaw do uznania, że kara ta jest rażąco wygórowana i nieadekwatna do stopnia przewinienia. Co do zarzutu, że kara ta jest nieproporcjonalna do kary nałożonej na Wspólnotę Mieszkaniową [...] stwierdzić należy, że kryterium to wykracza poza okoliczności istotne dla rozpatrywanej w niniejszym postępowaniu, indywidualnej sprawy administracyjnej i nie mogło mieć wpływu na podjęte rozstrzygnięcie.

Konkludując stwierdzić należy, że zaskarżona decyzja nie narusza prawa, zaś argumenty i wnioski skargi nie zasługują na uwzględnienie.

W tym stanie rzeczy Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 p.p.s.a. oraz art. 15zzs4 ust. 3 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. poz. 347 ze zm.), orzekł jak w sentencji wyroku.