drukuj    zapisz    Powrót do listy

647 Sprawy związane z ochroną danych osobowych, Ochrona danych osobowych, Generalny Inspektor Ochrony Danych Osobowych, Oddalono skargę, II SA/Wa 2993/21 - Wyrok WSA w Warszawie z 2022-08-31, Centralna Baza Orzeczeń Naczelnego (NSA) i Wojewódzkich (WSA) Sądów Administracyjnych, Orzecznictwo NSA i WSA

II SA/Wa 2993/21 - Wyrok WSA w Warszawie

Data orzeczenia
2022-08-31 orzeczenie nieprawomocne
Data wpływu
2021-08-23
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Ewa Kwiecińska /przewodniczący sprawozdawca/
Sławomir Fularski
Tomasz Szmydt
Symbol z opisem
647 Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2022 poz 329 art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Dz.U.UE.L 2016 nr 119 poz 1 art. 33 ust. 1, art. 34 ust. 4, art. 83 ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Kwiecińska (spr.), Sędzia WSA Sławomir Fularski, Sędzia WSA Tomasz Szmydt, , Protokolant specjalista Marcin Kwiatkowski, po rozpoznaniu na rozprawie w dniu 31 sierpnia 2022 r. sprawy ze skargi Fundacji [...] z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę

Uzasadnienie

Prezes Urzędu Ochrony Danych Osobowych (dalej: "PUODO") decyzją z dnia [...] czerwca 2021 r. (nr: [...]), na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735), art. 7 ust. 1 oraz art. 60, art. 101, art. 101a ust. 2 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), a także art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. e) i lit. i), art. 83 ust. 1-2 i art. 83 ust. 4 lit. a) w związku z art. 33 ust. 1 oraz art. 34 ust. 1, 2 i 4 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej "rozporządzeniem 2016/679", po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie braku zgłoszenia naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie, przez Fundację [...] z siedzibą w [...] przy ul. [...] (zwaną dalej: "Fundacją"), Prezes Urzędu Ochrony Danych Osobowych: w punkcie 1) stwierdził naruszenie przez Fundację [...] z siedzibą w [...] przy ul. [...] przepisu art. 33 ust. 1 rozporządzenia 2016/6795 polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, oraz przepisu art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą, nałożył na Fundację administracyjną karę pieniężną w wysokości 13 644 PLN (słownie: trzynaście tysięcy sześćset czterdzieści cztery złote); w punkcie 2) nakazał Fundacji zawiadomienie osób, których dane dotyczą, o naruszeniu ochrony danych osobowych zaistniałym w dniu [...] stycznia 2020 r., w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, tj.: a) opisu charakteru naruszenia ochrony danych osobowych; b) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych łub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisu możliwych konsekwencji naruszenia ochrony danych osobowych; d) opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków; w terminie 3 dni od dnia doręczenia niniejszej decyzji.

W uzasadnieniu decyzji PUODO wskazał, że Fundacja jest organizacją pożytku publicznego, której statutowe cele obejmują m.in.: udzielanie pomocy prawnej oraz porad prawnych i psychologicznych, pomoc osobom pokrzywdzonym w wyniku przestępstwa oraz ich rodzinom, działania na rzecz ochrony praw osób pokrzywdzonych przez instytucje publiczne, publiczny system ochrony zdrowia oraz podmioty działające w branży ubezpieczeniowej, a także promowanie mediacji w szeroko rozumianym obrocie prawnym i gospodarczym oraz życiu społecznym. Fundacja realizuje swoje cele statutowe, udzielając w szczególności osobom fizycznym bezpłatnej pomocy prawnej oraz kierując w ich imieniu i interesie interwencje do odpowiednich organów i instytucji publicznych. W tym zakresie Fundacja przetwarza dane osobowe osób, którym udziela tego rodzaju pomocy.

Do Urzędu Ochrony Danych Osobowych, zwanego dalej również "UODO", dnia [...] października 2020 r. wpłynęło "zawiadomienie o podejrzeniu naruszenia zasad przestrzegania przepisów o ochronie danych osobowych" przez Fundację, polegającego na cyt.: "(...) utracie danych osobowych wielu osób, jaka miała miejsce w dniu [...] stycznia 2020 r., na skutek kradzieży teczek zawierających dane osobowe beneficjentów (...)" w [...] biurze terenowym w P. przy ul. [...]. Jak wynikało z zawiadomienia, kradzież była przedmiotem cyt.: "(...) postępowania karnego prowadzonego przez Prokuraturę Rejonową w P., sygn. [...], niemniej jednak z analizy przedłożonego postanowienia o umorzeniu dochodzenia wynika, że było ono prowadzone jedynie w kontekście usiłowania popełnienia przestępstwa z art. 279 kk, nie zaś utraty dokumentów zawierających dane osobowe." W związku z powyższym zaistniała obawa, czy Fundacja w sposób należyty zabezpieczyła dokumenty przed ich utratą oraz administrowała danymi osobowymi w nich zawartymi zgodnie z wymogami rozporządzenia 2016/679. O podejrzeniu naruszenia zasad przestrzegania przepisów o ochronie danych osobowych organ nadzorczy został poinformowany pismem o sygn. [...] z dnia [...] października 2020 r. (data prezentaty: [...] października 2020 r.) przez Ministerstwo Sprawiedliwości będące organem sprawującym nadzór nad Fundacją.

W związku z powyższym, w dniu [...] listopada 2020 r. PUODO na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679, zwrócił się do Fundacji o wskazanie, czy w związku z utratą danych osobowych wielu osób na skutek kradzieży teczek zawierających dane osobowe beneficjentów, naruszenie zostało zgłoszone organowi nadzorczemu, a w przypadku odpowiedzi przeczącej poproszono o przesłanie przeprowadzonej analizy przedmiotowego naruszenia, a także o udzielenie informacji, czy został wyznaczony inspektor ochrony danych, a jeżeli tak, to czy administrator konsultował z inspektorem ochrony danych możliwość zgłoszenia naruszenia organowi nadzorczemu.

W piśmie Prezes UODO wezwał Fundację do złożenia wyjaśnień w terminie 7 dni od dnia otrzymania pisma.

W odpowiedzi na powyższe Fundacja pismem z dnia [...] listopada 2020 r. stwierdziła, iż nie zgłaszała organowi nadzorczemu naruszenia i nie ma wyznaczonego w swojej organizacji inspektora ochrony danych. Ponadto Fundacja wskazała, że dokonana analiza naruszenia dała ocenę jego wagi na poziomie niskim. Na jej podstawie Fundacja uznała, iż nie doszło do naruszenia skutkującego koniecznością zawiadomienia PUODO.

W związku z ww. pismem, z uwagi na zawartą w nim oceną ryzyka naruszenia praw i wolności osób, których dane dotyczą, Prezes UODO w piśmie z dnia [...] listopada 2020 r. wezwał Fundację do wskazania liczby osób, których dotyczyło naruszenie ochrony danych osobowych i kategorii danych osobowych zawartych w utraconej dokumentacji z ich wyszczególnieniem. Wezwał również do wyjaśnienia, czy były przetwarzane szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, oraz dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 rozporządzenia 2016/679, a także w jaki sposób skradziona dokumentacja zawierająca dane osobowe była zabezpieczona przed osobami nieupoważnionymi oraz czy utracona dokumentacja została odtworzona i w jakim terminie, a jeżeli nie, to dlaczego i jaka jest planowana data jej odtworzenia.

W odpowiedzi z dnia [...] grudnia 2020 r. Fundacja poinformowała, iż naruszenie dotyczyło 96 osób, utracona dokumentacja zawierała następujące kategorie danych cyt.: "(...) imię, nazwisko, adres do korespondencji, numer telefonu oraz prawdopodobnie numer ewidencyjny PESEL, niemniej wyłącznie 3-4 osoby, których dane osobowe zostały utracone posiadają polskie obywatelstwo, zaś pozostałe osoby nie posiadają polskiego obywatelstwa, a tym samym nie posiadają numeru PESEL", nie były przetwarzane szczególne kategorie danych osobowych, a lokal, w którym była dokumentacja, miał należyte zabezpieczenie w postaci: podwójnego wejścia do lokalu z atestowanymi zamkami, pomieszczenia w lokalu posiadają drzwi zamykane na klucz (oprócz sekretariatu), jest zainstalowany monitoring oraz alarm obsługiwany przez profesjonalną firmę ochroniarską, w lokalu są kasy pancerne oraz szafy zamykane na klucz". W kwestii odtworzenia utraconej dokumentacji Fundacja stwierdziła, iż cyt.: "(...) ze względu na to, że sprawy zostały zamknięte utracona dokumentacja nie podlegała odtworzeniu."

Wobec braku zgłoszenia naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie, w dniu [...] grudnia 2020 r. Prezes UODO wszczął wobec Fundacji postępowanie administracyjne (sygnatura pisma: [...]) i wezwał do udzielenia dodatkowych informacji, gdzie konkretnie znajdowały się teczki z danymi osobowymi, czy w przypadku niezabezpieczenia dokumentacji zgodnie z przyjętymi w organizacji zasadami, ustalono osoby odpowiedzialne za naruszenie, czy jest opracowana i wdrożona polityka bezpieczeństwa, a jeżeli tak, to w jaki sposób administrator monitoruje przestrzeganie tych zasad przez pracowników, czy w dniu kradzieży dokumentów zawierających dane osobowe zabezpieczenia były sprawne/działające, użyte zgodnie ze swoim przeznaczeniem (drzwi wejściowe oraz do pozostałych pomieszczeń zamknięte na klucz), uruchomione (monitoring, alarm), jakie przepisy regulują okres przechowywania lub też jego brak, akt osobowych osób, które korzystały z pomocy Fundacji, ewentualnie jakie zostały ustalone przez administratora kryteria okresu przechowywania danych osobowych, jakie obywatelstwo posiadały osoby, niemające numeru ewidencyjnego PESEL, których dane zostały utracone oraz zwrócono się o przesłanie analizy naruszenia uwzględniającej wszelkie kryteria wzięte przez administratora pod uwagę przy ostatecznej ocenie naruszenia praw i wolności osób fizycznych.

Po wszczęciu postępowania administracyjnego w niniejszej sprawie wraz z wezwaniem do udzielenia dodatkowych informacji, pismem z dnia [...] stycznia 2021 r. Fundacja wyjaśniła, iż dokumenty zawierające dane osobowe znajdowały się w lokalu zamykanym na atestowany zamek, objętym monitoringiem, posiadającym włączony alarm, który nadzorowała profesjonalna firma ochroniarska, część teczek była schowana do szafek zamykanych na klucz i w kasie pancernej, a część teczek nie była schowana z uwagi cyt.: "(...) iż były to dokumenty na których pracowano w bieżących sprawach aktualnie prowadzonych przez Fundację (...)", po zaistniałym incydencie administrator przeprowadził rozmowy dyscyplinujące z pracownikami, ma opracowaną i wdrożoną politykę bezpieczeństwa, cyt.: "Administrator wraz z pracodawcą sprawują nadzór nad pracownikami w przedmiocie przestrzegania przez nich powinności pracowniczych, w tym przestrzegania polityki bezpieczeństwa. Po wdrożeniu procedury bezpieczeństwa zorganizowano szkolenie w celu zapoznania pracowników z praktycznymi aspektami stosowania ww. polityki, przewidziano również szkolenia przypominające. W Fundacji stosuje się m.in. zasadę dwóch par oczu – kontrola wewn. wychodzącej korespondencji, która służy weryfikacji przekazania na zewnątrz danych osobowych podmiotowi nieuprawnionemu do ich otrzymania, zasada utraty dostępu do danych osobowych dla byłych pracowników, zasada kontroli wyrywkowych – weryfikacja gromadzenia danych przez pracownika, w zakresie zasadności, okresu, ilości danych. Wymaga zaznaczenia, że pracownicy mają świadomość, iż działanie wbrew regulacjom będzie sankcjonowane;", cyt.: "drzwi wejściowe były zamknięte na klucze, kasa pancerna i szafy zamykane na klucz był zamknięte, pozostałe pomieszczenia powinny być zamknięte na klucze, jednakże Fundacja nie jest w stanie tego zweryfikować, monitoring był uruchomiony i poprawnie działał, system alarmowy z uwagi na problemy techniczne związane z pilotem do jego uruchamiania prawdopodobnie nie został uzbrojony jednocześnie wyjaśniamy, iż po kradzieży z włamaniem problemy techniczne z pilotem do uzbrajania systemu alarmowego zostały zweryfikowane z agencją ochrony i wyeliminowane", cyt.: "kryteria przechowywania danych unormowane zostały w Rejestrze Czynności Przetwarzania ("RCP"), zawiera on wpis o tym, iż dane będą przechowywane przez okres wynikający z przepisów prawa, np. w stosunku do archiwizacji dokumentów podatkowych okres przechowywania Danych Osobowych wynosi 5 lat, licząc od końca roku kalendarzowego, w którym upłynął termin płatności podatku związany z umową; w stosunku do archiwizacji dokumentów w formie papierowej związanych z udzielaniem pomocy, termin ich przechowywania determinuje czas udzielenia przez Fundację pomocy (kryterium stanowi więc zakończenie udzielania pomocy w jednostkowej sprawie, najczęściej jest to skonstruowanie pism - wezwań do zapłaty, pozwów) lub wycofanie zgody na przetwarzanie. Fundacja wyjaśniła, iż okres przechowywania danych ograniczony jest do minimum, a determinuje go wypełnienie celu, jakim jest zakończenie pomocy prawnej/psychologicznej;", cyt.: "Fundacja nie jest w stanie precyzyjnie określić obywatelstwa osób nieposiadających numeru PESEL, których dane zostały utracone, niemniej będą to osoby z [...], [...], [...], [...] oraz [...];". Do pisma z dnia [...] stycznia 2021 r. została załączona kopia analizy naruszenia. Fundacja dokonała oceny wagi naruszenia ochrony danych osobowych według Kalkulatora wagi naruszeń ochrony danych osobowych uwzględniającego rekomendacje zawarte w publikacji Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA). Ocena wagi, według Kalkulatora wagi naruszeń ochrony danych osobowych, pozwoliła administratorowi określić poziom dotkliwości naruszenia ochrony danych dla osób, których dane dotyczą, jako niski oraz przyjąć brak obowiązku zgłaszania naruszenia organowi nadzorczemu i zawiadomienia osób o naruszeniu ochrony ich danych.

Do dnia wydania niniejszej decyzji Fundacja nie odzyskała danych osobowych utraconych w wyniku naruszenia stanowiącego przedmiot niniejszego postępowania.

Decyzja PUODO z dnia [...] czerwca 2021 r. (nr: [...]) stała się przedmiotem skargi Fundacji [...] z siedzibą w [...] (dalej: "Skarżąca"), której zarzucono naruszenie:

- w punkcie 1. – art. 6, 7, 7a, 8, 9, 10, 11, 75, 77, 78, 80, 81a, 107 § 3 Kodeksu postępowania administracyjnego z dnia 14 czerwca 1960 r. poprzez m.in. niedokonanie dokładnego wyjaśnienia stanu faktycznego sprawy, niezebranie wszechstronnego materiału dowodowego w sprawie, wydanie uzasadnienia decyzji z brakami umożliwiającymi jej prawną i merytoryczną kontrolę, nierozstrzygania wątpliwości, co do stanu faktycznego oraz interpretacji normy prawnej na korzyść strony, naruszenie podstawowych zasad postępowania administracyjnego skutkujące m.in. osłabieniem zaufania obywateli do władzy publicznej;

- w punkcie 2 – art. 136 i 138 Kodeksu postępowania administracyjnego poprzez m.in. niedokonanie dodatkowego postępowania w celu uzupełnienia dowodów i materiałów w sprawie i wydanie decyzji nie w oparciu o całość zgromadzonego w sprawie materiału, w szczególności bez wiedzy na temat aktualnej sytuacji finansowej Skarżącej;

- w punkcie 3 – art. 33 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) zwanego dalej "rozporządzeniem 2016/679" poprzez jego zastosowanie w niniejszej sprawie w sytuacji, gdy zaistniałe naruszenie ochrony danych osobowych niesie za sobą małe prawdopodobieństwo, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych;

- w punkcie 4 – art. 83 ust. 2 rozporządzenia 2016/679 poprzez jego błędne zastosowanie wskutek niewłaściwego ustalenia przez organ braku okoliczności łagodzących, które mogłyby mieć wpływ na ostateczny wymiar kary, w sytuacji gdy w sprawie występowały okoliczności łagodzące takie jak m.in. nieumyślny charakter naruszeń, charakter i waga naruszeń oraz zadawalający i pełny stopień współpracy z organem nadzorczym w celu usunięcia naruszeń oraz złagodzenia jego ewentualnych negatywnych skutków, które dawały podstawy do uznania przez organ licznych okoliczności łagodzących, a tym samym ograniczenia wymiaru kary do niezbędnego minimum;

- w punkcie 5 – art. 83 ust. 1 rozporządzenia 2016/679 poprzez jego błędne zastosowanie i uznanie wymierzonej kary za skuteczną, proporcjonalną i odstraszającą, w sytuacji gdy wymierzona kara ma jedynie charakter odstraszający i znacząco niewspółmierny do naruszeń ochrony danych osobowych oraz sytuacji finansowej Skarżącej;

- w punkcie 6 – art. 101a ust. 2 ustawy o ochronie danych osobowych poprzez błędne jego zastosowanie i niezasadne przyjęcie wartości przychodów Skarżącej na poziomie 2 mln zł., w sytuacji gdy przychody te w 2020 r. oraz w 2021 r. były znacznie niższe niż w latach ubiegłych z uwagi na niezawarcie przez Skarżącą żadnych nowych umów finansowanych z środków Skarbu Państwa związanych z działalnością Skarżącej.

Skarżąca wniosła o: stwierdzenie nieważności zaskarżonej decyzji albo jej uchylenie w całości, zasądzenie kosztów postępowania, a ponadto o wstrzymanie wykonania zaskarżonej decyzji.

W uzasadnieniu Skarżąca rozszerzyła argumentację w zakresie podniesionych zarzutów, wskazując, że wydana decyzja PUODO w sposób oczywisty narusza przepisy prawa wskazane w zarzutach niniejszej skargi. Organ nie dokonał dokładnego wyjaśnienia stanu faktycznego sprawy, nie zebrał wszechstronnego materiału dowodowego w sprawie, nie rozstrzygnął wątpliwości co do stanu faktycznego oraz interpretacji normy prawnej na korzyść strony oraz sporządził uzasadnienia decyzji z brakami umożliwiającymi jej prawną i merytoryczną kontrolę.

Organ w odpowiedzi na skargę wniósł o jej oddalenie w całości.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (tekst jednolity Dz. U. z 2021 r., poz. 137), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.

W świetle powołanych przepisów cyt. ustawy, Wojewódzki Sąd Administracyjny w Warszawie, w zakresie swojej właściwości, ocenia zaskarżoną decyzję administracyjną, postanowienie, czy też inny akt lub czynność z zakresu administracji publicznej dotyczącą uprawnień lub obowiązków wynikających z przepisów prawa, z punktu widzenia ich zgodności z prawem materialnym i przepisami postępowania administracyjnego, według stanu faktycznego i prawnego obowiązującego w dacie wydania tego aktu lub podjęcia spornej czynności. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej dokonywaną wyłącznie pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności, czy też zgodności z zasadami współżycia społecznego.

Ponadto, co wymaga podkreślenia, Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (vide: art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi – tekst jednolity Dz. U. z 2022 r., poz. 329 ze zm. – dalej także: "P.p.s.a.").

Należy jednocześnie wyraźnie zaznaczyć, że od dnia wejścia w życie Traktatu Akcesyjnego z dnia 16 kwietnia 2003 r. (Dz. U. z 2004 r. Nr 90, poz. 864), na mocy którego Polska stała się państwem członkowskim Unii Europejskiej, kontrola sądu administracyjnego obejmuje również zgodność rozstrzygnięć organów administracji publicznej z prawem europejskim (prawem Unii Europejskiej), rozumianym jako całokształt dorobku prawnego Unii Europejskiej (acquis communautaire), w tym zasad ogólnych prawa europejskiego, interpretowanych oraz stosowanych w sposób jednolity na całym obszarze Unii Europejskiej.

Należy zauważyć, że w tej sytuacji Wojewódzki Sąd Administracyjny w Warszawie, dokonując oceny legalności zaskarżonej decyzji Prezesa Urzędu Ochrony Danych Osobowych, zobowiązany był – co do zasady – zbadać jej zgodność przede wszystkim z przepisami prawa europejskiego, w tym w szczególności z regulacjami zawartymi w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – zwane także: "RODO").

W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie, analizowana pod tym kątem skarga Fundacji [...] z siedzibą w [...] nie zasługuje na uwzględnienie, albowiem zaskarżona decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2021 r. – nie narusza obowiązujących przepisów prawa.

Sąd uznał, że Prezes UODO, wydając sporną decyzję administracyjną z dnia [...] czerwca 2021 r., nie dopuścił się naruszenia zarówno wiążących Polskę przepisów prawa europejskiego, jak i regulacji prawa krajowego, w stopniu mającym istotny wpływ na końcowy wynik sprawy zakończonej wydaniem wspomnianej wyżej decyzji.

Na wstępie wyjaśnić należy, iż przesłanką powstania po stronie administratora powinności zgłoszenia do organu nadzorczego naruszenia ochrony danych osobowych jest wystąpienie naruszenia ochrony danych osobowych, rozumiane jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodne z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesłanych, przechowywanych lub w inny sposób przetwarzanych (art. 4 pkt 12 rozporządzenia 2016/679).

Przepisy art. 33 ust. 1 i ust. 3 rozporządzenia 2016/679 stanowią, że w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej: a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Z kolei art. 34 ust. 1 rozporządzenia 2016/679 wskazuje, że w sytuacji, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o takim naruszeniu.

Podkreślić należy, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować. W treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

W świetle powyższego zasadnie organ stwierdził, że w niniejszej sprawie zaistniało ryzyko naruszenia praw i wolności osób fizycznych, jako że opisane w części historycznej uzasadnienia naruszenia ochrony danych osobowych będące wynikiem kradzieży 96 teczek zawierających dane osobowe klientów Fundacji może prowadzić do szkód majątkowych i niemajątkowych dla osób, których dane zostały naruszone.

Trafnie też organ wskazał przykłady takich szkód, stwierdzając, iż szkody te obejmują dyskryminację, kradzież lub fałszowanie tożsamości, straty finansowe i naruszenia dobrego mienia. Nie ulega wątpliwości, iż przywołane przykłady szkód mogą wystąpić w analizowanym przypadku.

Warto w tym miejscu, z uwagi na zarzuty skargi, zwrócić uwagę, iż wysokie ryzyko naruszenia praw i wolności osobistych występuje jako przesłanka powstania obowiązku po stronie administratora danych w przepisie art. 34 ust. 1 RODO. W niniejszej sprawie – w ocenie Sądu – organ trafnie przyjął, iż wystąpiło wysokie ryzyko naruszenia praw i wolności osób objętych przedmiotowym naruszeniem z uwagi na możliwość łatwej, w oparciu o ujawnione dane, identyfikacji osób, których dane zostały objęte naruszeniem. Dane te bowiem to imię i nazwisko, adres do korespondencji, numer telefonu, numer PESEL osób posiadających polskie obywatelstwo. W tej sytuacji administrator zobowiązany był do zawiadomienia bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu. W przypadku braku kopii skradzionych dokumentów i braku możliwości zidentyfikowania osób, których dane dotyczą zastosowanie znajduje przepis art. 34 ust. 3 lit. c) RODO, co oznacza, że zawiadomienie osób dokonuje się poprzez wydanie publicznego komunikatu lub zastosowanie podobnego środka, czego strona skarżąca nie uczyniła. W związku z powyższym Prezes UODO zasadnie nałożył na Fundację obowiązek określony w pkt 2) decyzji, sprowadzający się do konieczności powiadomienia osób, których dane dotyczą, o zaistniałym w dniu [...] stycznia 2020 r. naruszeniu ochrony danych osobowych.

Raz jeszcze podkreślić należy, iż w sytuacji, gdy na skutek naruszenia ochrony danych osobowych, wystąpiło wysokie ryzyko naruszenia praw i wolności osób fizycznych, skarżący jako administrator zobowiązany był wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy, jak również osoby, których dane dotyczą. Administrator powinien zrealizować przedmiotowy obowiązek możliwie najszybciej.

W motywie 85 preambuły rozporządzenia 2016/679 wyjaśniono: "Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki".

Z kolei w motywie 86 preambuły rozporządzenia 2016/679 wyjaśniono: "Administrator powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić tej osobie podjęcie niezbędnych działań zapobiegawczych. Informacja taka powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z organem nadzorczym, z poszanowaniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy ścigania. Na przykład potrzeba zminimalizowania bezpośredniego ryzyka wystąpienia szkody będzie wymagać niezwłocznego poinformowania osób, których dane dotyczą, natomiast wdrożenie odpowiednich środków przeciwko takim samym lub podobnym naruszeniom ochrony danych może uzasadniać późniejsze poinformowanie".

Zawiadamiając bez zbędnej zwłoki podmiot danych, administrator umożliwia osobie podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia. Przepis art. 34 ust. 1 i ust. 2 rozporządzenia 2016/679 ma na celu nie tylko zapewnienie możliwie najskuteczniejszej ochrony podstawowych praw lub wolności podmiotów danych, ale także realizację zasady przejrzystości, która wynika z art. 5 ust. 1 lit. a) rozporządzenia 2016/679 (por. Chomiczewski Witold [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, D. Lubasz, Warszawa 2018). Właściwe wywiązanie się z obowiązku określonego w art. 34 rozporządzenia 2016/679 ma zapewnić osobom, których dane dotyczą, szybką i przejrzystą informację o naruszeniu ochrony ich danych osobowych wraz z opisem możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków, które mogą one podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków. Postępując zatem zgodnie z prawem i wykazując dbałość o interesy osób, których dane dotyczą, skarżący powinien był bez zbędnej zwłoki zapewnić osobom, których dane dotyczą, możliwość jak najlepszej ochrony danych osobowych. Dla osiągnięcia tego celu niezbędne było przynajmniej wskazanie tych informacji, które wymienione są w art. 34 ust. 2 rozporządzenia 2016/679, z którego to obowiązku skarżący nie wywiązał się. W opinii Sądu skarżący podejmując decyzję o niezawiadomieniu o naruszeniu organu nadzorczego, jak i osób, których dane dotyczą, w praktyce pozbawił te osoby, przekazanej bez zbędnej zwłoki, rzetelnej informacji o naruszeniu i możliwości przeciwdziałania potencjalnym szkodom.

Stosując przepisy rozporządzenia 2016/679, należy mieć na uwadze, że celem tego rozporządzenia (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw

i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości na przykład co do wykonania obowiązków przez administratorów – nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy opracowywaniu technicznych i organizacyjnych środków bezpieczeństwa mających im zapobiegać – należy w pierwszej kolejności brać pod uwagę te wartości.

W toku dokonywania oceny, czy występują ryzyka naruszenia praw lub wolności człowieka, administrator powinien brać pod uwagę wszelkie możliwe szkody, jak i krzywdy, które mogą wyniknąć z danego zdarzenia dla osób fizycznych (tak: S. Jandt [w:] DS.-GVO..., red. J. Kühling, B. Buchner, s. 617; Y. Reif [w:] DS.-GVO..., red. P. Gola, s. 496). Mogą one w szczególności polegać na utracie kontroli nad własnymi danymi osobowymi, negatywnych konsekwencjach wizerunkowych, możliwości zawierania przez inną osobę umów z wykorzystaniem danych osobowych innej osoby fizycznej, stratach finansowych czy wreszcie negatywnym odbiorze społecznym, który może być konsekwencją upublicznienia niektórych danych osobowych. Do zaistnienia ryzyka nie jest przy tym konieczne, by ostatecznie doszło do wystąpienia szkody lub krzywdy wynikających z danego naruszenia ochrony danych osobowych (tak: jw., s. 616).

W konsekwencji należy stwierdzić, że skarżący nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w wykonaniu obowiązku z art. 33 ust. 1 rozporządzenia 2016/679 oraz nie zawiadomił bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu ochrony ich danych, zgodnie

z art. 34 ust. 1 ww. rozporządzenia 2016/679, co stanowi o naruszeniu przez skarżącego wspomnianych przepisów.

Zgodnie z art. 34 ust. 4 rozporządzenia 2016/679, jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków,

o których mowa w ust. 3. Z kolei z treści art. 58 ust. 2 lit. e) rozporządzenia 2016/679 wynika, że każdemu organowi nadzorczemu przysługuje uprawnienie naprawcze

w postaci nakazania administratorowi zawiadomienia osoby, której dane dotyczą,

o naruszeniu ochrony danych.

Ponadto zgodnie z art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych wart. 58 ust. 2 rozporządzenia 2016/679, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy.

Jak wynika z uzasadnienia zaskarżonej decyzji, Prezes UODO szczegółowo wyjaśnił powody nałożenia na skarżącą Fundację kary pieniężnej w oparciu o art. 83 ust. 4 lit. a) rozporządzenia 2016/679 w przyjętej wysokości.

Stosownie do treści art. 83 ust. 2 rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a) – h) oraz lit. j) rozporządzenia 2016/679.

Decydując o nałożeniu na skarżącego administracyjnej kary pieniężnej w wysokości 3.000 euro, Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) – k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej kary pieniężnej, a mianowicie:

a) charakter i wagę naruszenia (art. 83 ust. 2 lit. a rozporządzenia 2016/679),

b) czas trwania naruszenia (art. 83 ust. 2 lit. a rozporządzenia 2016/679),

c) liczbę poszkodowanych osób, których dane dotyczą (art. 83 ust. 2 lit. a rozporządzenia 2016/679),

d) umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679),

e) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679),

f) kategorię danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679),

g) sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679),

Co istotne, ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił działania Fundacji podejmowane w ramach współpracy z organem. Działania te trafnie organ określił jako niezadowalające, gdyż uzyskanie od Fundacji informacji wymagało kilkukrotnych wezwań i pism.

Z kolei bez wpływu na fakt zastosowania przez Prezesa UODO w niniejszej sprawie sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, organ uznał, wskazane w art. 83 ust. 2 rozporządzenia 2016/679, następujące okoliczności, a mianowicie:

a) stopień odpowiedzialności Administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679) ,

b) stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 dokonane przez Administratora (art. 83 ust. 2 lit. e rozporządzenia 2016/679),

c) przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679),

d) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679),

e) osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679).

f) kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g RODO),

g) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h RODO).

W ocenie Sądu zastosowana przez organ administracyjna kara pieniężna spełnia, w ustalonych okolicznościach rozpatrywanej sprawy, funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Należy podkreślić, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Administrator w przyszłości będzie wywiązywał się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie zgłaszania naruszenia ochrony danych osobowych Prezesowi UODO oraz zawiadamiania o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie. Zastosowanie administracyjnej kary pieniężnej okazało się niezbędne, zważywszy także na to, że skarżący zignorował fakt, iż do naruszenia ochrony danych dochodzi zarówno wówczas, gdy do zdarzenia dojdzie wskutek świadomego działania, jak i wtedy, gdy doprowadzi do niego nieumyślność.

W związku z powyższym wskazać należy, że kara pieniężna w wysokości

3.000 euro spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki,

o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonego naruszenia w kontekście podstawowego celu rozporządzenia 2016/679 – ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych.

Mając powyższe na uwadze, Sąd na podstawie art. 151 ustawy

z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2019 r. poz. 2325 ze zm.), orzekł o oddaleniu skargi.



Powered by SoftProdukt