Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Łukasz Krzycki, Sędzia WSA Tomasz Szmydt, Asesor WSA Arkadiusz Koziarski (spr.), po rozpoznaniu w trybie uproszczonym w dniu 17 stycznia 2023 r. sprawy ze skargi F. S.A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] stycznia 2022 r., nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz skarżącego F. S.A. z siedzibą w [...] kwotę 697 złotych (sześćset dziewięćdziesiąt siedem złotych), tytułem zwrotu kosztów postępowania.

Prezes Urzędu Ochrony Danych Osobowych, dalej "PUODO", decyzją z dnia [...] stycznia 2022 r. nr [...] , wydaną na podstawie 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2021 r. poz. 735 ze zm.), dalej "k.p.a.", art. 7 ust. 1 i ust. 2 ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (Dz. U. z 2019 r. poz. 1781) oraz art. 5 ust. 1 lit. e, art. 89 ust. 1, art. 6 ust. 1, art. 28 ust. 1 oraz art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej "RODO", po przeprowadzeniu postępowania administracyjnego w sprawie skargi M. G. na nieprawidłowości w procesie przetwarzania jej danych osobowych przez [...] S.A. z siedzibą w [...] (dalej "Spółka"), polegające na naruszeniu ochrony jej danych osobowych poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz Spółki, udzielił Spółce, upomnienia za naruszenie art. 6 ust. 1 RODO polegające na przetwarzaniu danych osobowych M. G. w okresie od [...] kwietnia 2020 r. do [...] kwietnia 2020 r. bez podstawy prawnej, co skutkowało naruszeniem ochrony jej danych osobowych poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz Spółki.

W uzasadnieniu organ wskazał, że ustalił następujący stan faktyczny:

1 Spółka pozyskała dane osobowe skarżącej w związku z zawarciem ze skarżącą umowy sprzedaży energii;

2. Umowa sprzedaży energii zawarta przez Spółkę ze skarżącą została rozwiązana;

3. dnia [...] maja 2018 r. Spółka zawarła umowę powierzenia przetwarzania danych z [...] Sp. z o.o.;

4. Na podstawie ww. umowy [...] Sp. z o.o. przetwarza w imieniu Spółki dane osobowe jej klientów w celu ich przechowywania (archiwum dokumentów) wraz z usługami towarzyszącymi archiwizacji cyfrowej dokumentów oraz skanowania dokumentacji wraz z indeksacją opisową na rzecz Spółki;

5. Dnia [...] kwietnia 2020 r. Spółka powzięła informację o możliwym naruszeniu bezpieczeństwa danych osobowych. Spółka ustaliła, że do naruszenia poufności danych osobowych doszło w środowisku informatycznym podmiotu przetwarzającego, tj. [...] Sp. z o.o., i że naruszenie to obejmowało pomocniczą bazę archiwum cyfrowego zawierającą indeksy wyszukiwania. Jeden z portów ww. bazy znajdującej się w chmurze nie został zabezpieczony hasłem, co umożliwiało osobom nieupoważnionym dostęp do tej bazy w okresie od dnia [...] kwietnia 2020 r. do dnia [...] kwietnia 2020 r.;

6. Po stwierdzeniu naruszenia bezpieczeństwa danych osobowych dostęp do bazy został zablokowany poprzez wdrożenie zabezpieczeń przez [...] Sp. z o.o.;

7. Dnia [...] kwietnia 2020 r. Spółka zgłosiła ww. naruszenie do PUODO;

8. Pismem z dnia [...] kwietnia 2020 r. Spółka poinformowała skarżącą o ww. incydencie;

9. Spółka ustaliła, że w przypadku skarżącej doszło do naruszenia poufności danych osobowych w zakresie imienia, nazwiska, adresu, numeru PESEL, numeru telefonu oraz danych dotyczących umowy takich jak numer umowy oraz numer punktu poboru;

10. W związku z powyższym wyciekiem Spółka zawiadomiła o możliwości popełnienia czynu zabronionego Prokuraturę Okręgową w [...] - Wydział [...] Dział do [...], Komendę Wojewódzką Policji w [...] - Wydział do [...]Polska;

11. W prowadzonym przez Departament Kontroli i Naruszeń Urzędu Ochrony Danych Osobowych postępowaniu pod sygnaturą [...] ustalono, że w wyniku pozostawienia bazy danych klientów Spółki na niezabezpieczonym serwerze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Pierwsze połączenie nastąpiło z adresu [...] w dniu [...] kwietnia 2020 r. pomiędzy godz. 19:22, a godz. 20:58. Aktywność ta może wskazywać na skopiowanie danych o rozmiarze ok. 5 MB. Natomiast drugie połączenie trwało od dnia [...] kwietnia 2020 r. godz. 23:00 do dnia [...] kwietnia 2020 r. godz. 4:06 i nastąpiło za pośrednictwem komputera lub serwera zdefiniowanego numerem [...] W jego wyniku mogło dojść do pobrania danych o wolumenie ok. 11 GB;

Następnie organ wskazał, że skarżąca przedmiotem skargi uczyniła proces ujawnienia jej danych osobowych przez Spółkę w związku z naruszeniem ich bezpieczeństwa, o czym Spółka poinformowała skarżącą w piśmie z [...] kwietnia 2020 r.

Organ wyjaśnił, że zebrany w sprawie materiał dowodowy wykazał, iż do pozyskania danych osobowych skarżącej przez Spółkę doszło w wyniku zawarcia umowy sprzedaży energii. W związku z powyższym, podstawą prawną uprawniającą Spółkę do przetwarzania danych osobowych Skarżącej stanowił - do dnia jej wypowiedzenia - art. 6 ust. 1 lit. b RODO, zgodnie z którym przetwarzanie jest zgodne z prawem, gdy jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. W związku z faktem, że skarżącą ze Spółką nie łączy już umowa, ten cel przetwarzania wygasł. Spółka w prowadzonym przez podmiot przetwarzający, tj. [...] Sp. z o.o., archiwum przechowywała jednak dane skarżącej.

PUODO podniósł, że zgodnie z treścią artykułu 89 ust. 1 RODO, przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych podlega odpowiednim zabezpieczeniom dla praw i wolności osoby, której dane dotyczą, zgodnie z niniejszym rozporządzeniem. Zabezpieczenia te polegają na wdrożeniu środków technicznych i organizacyjnych zapewniających poszanowanie zasady minimalizacji danych. Środki te mogą też obejmować pseudonimizację danych, o ile pozwala ona realizować powyższe cele. Jeżeli cele te można zrealizować w drodze dalszego przetwarzania danych, które nie pozwalają albo przestały pozwalać na zidentyfikowanie osoby, której dane dotyczą, cele należy realizować w ten sposób. Z kolei art. 5 ust. 1 lit. e rozporządzenia 2016/679 stanowi, że dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą ("ograniczenie przechowywania").

Organ zauważył, że przetwarzanie danych w celach archiwalnych zostało zdefiniowane wprost jako możliwe do realizacji wyłącznie w interesie publicznym, którego Spółka w swoich wyjaśnieniach nie wskazała. PUODO stwierdził również należy, że Spółka nie wykazała, aby była zobligowana do takiego przetwarzania jako podmiot obowiązany przepisami ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2020 r. poz. 164 ze zm.).

Dalej organ stwierdził, że przepisy określają konieczność zagwarantowania odpowiednich zabezpieczeń, a art. 89 ust. 1 RODO wskazuje wprost na zasadę minimalizacji danych, pseudonimizację, a jeżeli jest to możliwe, przetwarzanie w sposób, który nie pozwala albo przestał pozwalać na zidentyfikowanie osoby, której dane dotyczą, tj. poprzez zastosowanie animizacji. Zdaniem organu Spółka żadnego z takich zabezpieczeń nie wdrożyła. Natomiast w motywie 162 RODO wskazano, że wyrażenie "cel statystyczny" sugeruje, że wynikiem przetwarzania do celów statystycznych nie są dane osobowe, lecz dane zbiorcze, i że wynik ten lub te dane osobowe nie służą za podstawę środków czy decyzji dotyczących konkretnych osób fizycznych. W przypadku skarżącej doszło do naruszenia poufności danych osobowych w zakresie imienia, nazwiska, adresu, numeru PESEL, numeru telefonu. PUODO podkreślił, że to Spółka, jako administrator danych osobowych skarżącej zdecydowała o dalszym przetwarzaniu jej danych (tj. po wypowiedzeniu przez nią umowy oraz przeprocesowaniu przez Spółkę tego wniosku), mimo, że nie miała, a w każdym razie nie wykazała podstaw prawnych do ich przetwarzania.

PUODO wyjaśnił, że przetwarzanie przez Spółkę danych osobowych skarżącej po rozwiązaniu zawartej ze Spółką umowy polegało na przechowywaniu tych danych w archiwum, również cyfrowym, prowadzonym przez podmiot przetwarzający, tj. [...] Sp. z o.o. W relacji tej Spółka jest administratorem danych, a [...] Sp. z o.o. podmiotem przetwarzającym. Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora (art. 28 ust. 3 RODO). Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą (art. 28 ust. 1 RODO).

Organ zaznaczył również, że proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO. Do zasad tych zalicza się między innymi zasadę poufności (lit. f). Wspomniana zasada wymaga, by proces przetwarzania danych osobowych odbywał się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem danych osobowych oraz przypadkową ich utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. W motywie 39 RODO wyjaśniono, że dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym między innymi ochronę przed nieuprawnionym dostępem do nich.

Ponadto PUODO zwrócił uwagę na treść art. 32 RODO, zgodnie z którym uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: a) pseudonimizację i szyfrowanie danych osobowych; b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (art. 32 ust. 2 RODO).

PUODO wskazał, że ze zgromadzonego w niniejszej sprawie materiału dowodowego wynika, że w okresie od dnia [...] kwietnia 2020 r. do dnia [...] kwietnia

2020 r. doszło do naruszenia ochrony danych osobowych klientów Spółki, w tym danych osobowych skarżącej, poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy, tj. [...] Sp. z o.o., świadczącego usługi cyfrowego archiwum na rzecz Spółki. W wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Pierwsze połączenie nastąpiło z adresu [...] w dniu [...] kwietnia 2020 r. pomiędzy godz. 19:22, a godz. 20:58. Aktywność ta może wskazywać na skopiowanie danych o rozmiarze ok. 5 MB. Natomiast drugie połączenie trwało od dnia [...] kwietnia 2020 r. godz. 23:00 do dnia [...] kwietnia 2020 r. godz. 4:06 i nastąpiło za pośrednictwem komputera lub serwera zdefiniowanego numerem [...] W jego wyniku mogło dojść do pobrania danych o wolumenie ok. 11 GB. Powyższy incydent doprowadził do naruszenia poufności danych osobowych skarżącej w zakresie imienia, nazwiska, adresu, numeru PESEL oraz numeru telefonu.

Organ stwierdził, że pierwotną przyczyną ujawnienia danych osobowych skarżącej podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy, tj. [...] Sp. z o.o., świadczącego usługi cyfrowego archiwum na rzecz Spółki, było naruszenie przez Spółkę, jako administratora danych, art. 6 ust. 1 RODO. Spółka, po rozwiązaniu przez skarżącą od zawartej ze Spółką umowy, nie miała już podstawy prawnej, a w każdym razie jej nie wykazała, do dalszego ich przetwarzania i obowiązana była usunąć dane osobowe skarżącej z serwera [...] Sp. z o.o. Skarżąca przy pomocy instytucji publicznych rozwiązała umowę ze Spółką. Zdaniem organu omawiane naruszenie, skutkowało bezpodstawnym ujawnieniem danych osobowych skarżącej podmiotom i osobom trzecim. Spółka naruszyła zasadę ograniczenia przechowywania poprzez przechowywanie danych skarżącej przez okres dłuższy niż było to niezbędne do celów, w których dane te były przetwarzane (art. 5 ust. 1 lit. e RODO) decydując o ich przechowywaniu na serwerach podmiotu trzeciego bez podstawy prawnej.

Organ wskazał, że w związku z powyższym, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. b rozporządzenia 2016/679 udzielił Spółce upomnienia.

Na powyższą decyzję Spółka wniosła skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie.

Zaskarżonej decyzji Spółka zarzuciła naruszenie:

1) naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 7, 10 i 11, art. 77 § 1 k.p.a. w zw. z art. 7 ust. 1 ustawy o ochronie danych osobowych polegające na niezastosowaniu zasad ogólnych postępowania administracyjnego: prawdy obiektywnej, wysłuchania stron, wyjaśnienia zasadności przesłanek oraz obowiązku zebrania i rozpatrzenia całego materiału dowodowego w sposób wyczerpujący;

2) naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 80 k.p.a. w zw. z art. 7 ust. 1 ustawy o ochronie danych osobowych polegające na przekroczeniu granic swobodnej oceny dowodów i - w konsekwencji - błędnym przyjęciu, że Spółka przetwarzała dane osobowe klientki bez podstawy prawnej, podczas gdy podstawa ta istniała w postaci art. 6 ust. 1 lit b) RODO.

W oparciu o powyższe zarzuty Spółka wniosła o zasądzenie od organu na jej rzecz kosztów postępowania, w tym kosztów zastępstwa prawnego według norm przepisanych.

Ponadto Spółka wniosła o rozpoznanie sprawy w trybie uproszczonym oraz

o przeprowadzenie dowodów uzupełniających z dokumentów w postaci: umowy sprzedaży energii elektrycznej o numerze [...] ; umowy sprzedaży paliwa gazowego o numerze [...] ; pisma klientki z dnia [...] kwietnia 2020 r.; pisma Spółki z dnia [...] kwietnia 2020 r.

W uzasadnieniu Spółka wyjaśniła, że w toku postępowania organ nie zweryfikował dostatecznie stanu faktycznego. Nie zadał Spółce żadnych pytań dotyczących podstawy przetwarzania danych osobowych ani umów zawartych

z klientką. Ograniczył się do zadania pytań odnośnie naruszenia bezpieczeństwa danych osobowych oraz przeanalizowania materiałów dowodowych przekazanych w postępowaniu administracyjnym, dotyczącym naruszenia, prowadzonym przez Departament Kontroli i Naruszeń pod sygnaturą [...].

Spółka podniosła, że M. G. zawarła ze Spółką, w dniu [...] grudnia 2019 r., dwie umowy:

1) umowę sprzedaży energii elektrycznej o numerze [...] oraz

2) umowę sprzedaży paliwa gazowego o numerze [...] .

Pismem z dnia [...] kwietnia 2020 r., które wpłynęło do Spółki dnia [...] kwietnia

2020 r., klientka wypowiedziała obie umowy ze skutkiem na dzień [...] maja 2020 r. Spółka potwierdziła wypowiedzenie obu umów pismem z dnia [...] kwietnia 2020 r.

Spółka wskazała, że w czasie naruszenia bezpieczeństwa danych osobowych klientki, tj. w okresie od [...] do [...] kwietnia 2020 r., przetwarzała dane osobowe M. G. na podstawie art. 6 ust. 1 lit. b) RODO. Wobec tego ukaranie Spółki upomnieniem za przetwarzanie danych osobowych bez podstawy prawnej jest nieuzasadnione. Dodatkowo Spółka podniosła, że po zakończeniu umów, dane osobowe jej klientki przetwarzane są na podstawie uzasadnionego interesu administratora (art. 6 ust. 1 lit. f RODO) przez czas przedawnienia roszczeń, a także w oparciu o obowiązek przechowywania niektórych danych na podstawie przepisów prawa (art. 6 ust. 1 lit. c RODO).

W odpowiedzi na skargę organ wniósł o jej oddalenie podtrzymując stanowisko wyrażone w zaskarżonej decyzji.

Dodatkowo organ podniósł, że zgromadzony w sprawie materiał dowodowy jasno wskazywał, że strony łączyła umowa. Organ wywiódł ten fakt nie tylko ze zdania skarżącej, iż cyt.: "Zwróciłam się do biura Rzecznika Praw Obywatelskich i do biura Praw Konsumenta. I moja sprawa się zakończyła pozytywnie z czego jestem im bardzo wdzięczna." Lecz też, z załączonej do skargi kopii pisma Spółki z dnia [...] kwietnia 2020 r., w którym to piśmie Skarżąca jest jednoznacznie określana jako "klient".

Zdaniem organu materiał dowodowy został zebrany prawidłowo i został wszechstronnie zbadany. Wbrew twierdzeniom Spółki, organ podjął wszelkie kroki niezbędne do dokładnego i obiektywnego wyjaśnienia stanu faktycznego sprawy. Zdaniem organu z samego faktu, że Spółka nie zgadza się z wydanym rozstrzygnięciem nie można wywodzić, że w sprawie zostały poczynione błędne ustalenia faktyczne. Wskazać przy tym należy, że wyczerpujące rozpatrzenie materiału dowodowego polega na takim ustosunkowaniu się do każdego ze zgromadzonych w sprawie dowodów z uwzględnieniem wzajemnych powiązań między nimi, aby uzyskać jednoznaczność ustaleń faktycznych i prawnych. Organ wskazał na podstawie jakich dowodów ustalił okoliczności faktyczne. Samo zaś upomnienie, wydane w oparciu o art. 58 ust. 2 RODO stanowi o naruszeniu art. 6 ust. 1 RODO polegającym na przetwarzaniu danych osobowych skarżącej, w okresie od [...] kwietnia 2020 r. do [...] kwietnia 2020 r. bez podstawy prawnej, co skutkowało naruszeniem ochrony jej danych osobowych poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym. Decyzja w swej sentencji wskazuje na bezsprzeczny fakt ujawnienia danych bez podstawy prawnej i o takim przetwarzaniu (ujawnieniu) stanowił przedmiot sprawy. Skarżąca nie negowała samego faktu ich przetwarzania, lecz sam fakt ujawnienia. Organ podniósł ponadto, że Spółka nawet w skardze do Sądu, nie podnosi, że owo ujawnienie miało charakter legalny. Spółka nie zaprzecza też swej odpowiedzialności w tym zakresie, jako że ona właśnie powierzyła dane osobowe skarżącej zewnętrznemu podmiotowi.

PUODO wskazał również, że w dniu [...] marca 2021 r. skierował do Spółki pismo, w którym zwrócił się o ustosunkowanie się do treści skargi oraz złożenie wyjaśnień w sprawie (skarga wraz z załącznikiem została przekazana Spółce przy ww. piśmie). Spółka odniosła się jedynie do pytań zawartych w piśmie PUODO, nie odnosiła się do twierdzeń skarżącej przedstawionych we wniesionej skardze. Zdaniem organu nie było to jednak konieczne. Materiał dowodowy w pozostałym zakresie był jednoznaczny. Stanowił, że umowa była zawarta i dlatego też naruszenie zostało w sentencji określone ramami czasowymi, tj. od [...] do [...] kwietnia 2020 r. na podstawie zarówno czynności kontrolnych PUODO jak i oświadczeń Spółki. Za całkowicie bezzasadne uznać zatem należy twierdzenie Spółki, że organ nie wypełnił ustawowego zobowiązania do rozważenia całokształtu okoliczności sprawy.

Dalej organ podniósł, że Spółka od momentu wszczęcia postępowania administracyjnego aż do dnia wydania decyzji administracyjnej w przedmiotowej sprawie, miała możliwość wglądu w akta sprawy. Spółka mogła skorzystać z przysługującego jej uprawnienia w zakresie wypowiedzenia się co do zebranych przez organ dowodów oraz zgłoszenia swoich zastrzeżeń co do zebranego materiału dowodowego. Spółka nie zgłosiła w toku postępowania administracyjnego żadnych zarzutów co do stanu faktycznego sprawy. Nie kwestionowała okoliczności przedstawionych w skardze skarżącej, dlatego PUODO na podstawie art. 81 k.p.a. uznał wskazane okoliczności za udowodnione.

Zdaniem PUODO w uzasadnieniu decyzji nie pominął on żadnej okoliczności faktycznej mogącej mieć istotny wpływ na rozstrzygnięcie sprawy przedstawiając je wraz z przyczynami ich uznania za udowodnione.

W piśmie procesowym z dnia [...] maja 2022 r. Spółka podtrzymała zarzuty skargi.

Spółka podniosła, że z brzmienia sentencji decyzji jednoznacznie wynika, że organ oparł swoją decyzję na przeświadczeniu, że Spółka przetwarzała dane osobowe M. G. bez podstawy prawnej.

Właśnie za przetwarzanie w postaci przechowywania na serwerach Procesora, które to przechowywanie odbyło się zdaniem PUODO bez podstawy prawnej, organ udzielił Spółce upomnienia.

Zdaniem Spółki organ próbuję wskazać, iż nieuprawnione ujawnienie stanowiło operację przetwarzania, przedsięwziętą przez Spółkę, a ta operacja doprowadziła do naruszenia ochrony danych osobowych. Spółka podniosła, że jedyną operację przetwarzania jaką w rozpatrywanym stanie faktycznym przedsięwzięła, było powierzenie przetwarzania danych procesorowi i tak też organ twierdził w decyzji.

Spółka podniosła, że nieuprawnione ujawnienie danych, do którego doszło

w trakcie przetwarzania przez procesora, może być wynikiem naruszenia bezpieczeństwa, zgodnie z definicją z art. 4 pkt 12 RODO. Fakt, że ujawnienie było nieuprawnione i nie stanowiło wyrazu woli Spółki, nie był negowany przez żaden

z zaangażowanych w sprawę podmiotów. Ewentualne uchybienie co do niezabezpieczenia danych, ktokolwiek za nie odpowiada (czy to administrator czy procesor) nie jest operacją przetwarzania danych. Nie można więc konsekwencji ewentualnego naruszenia art. 32 RODO przenosić na art. 6 RODO. Konsekwencją naruszenia tego pierwszego przepisu jest pewien stan faktyczny, który nie odpowiada prawu, a naruszenie art. 6 RODO polega na przetwarzaniu danych bez podstawy prawnej. W przedmiotowej sprawie wiązanie ze sobą bezpośrednio pojęć "nieuprawnionego ujawnienia" oraz "operacji przetwarzania", jakkolwiek irracjonalne by nie było, ma jednak drugorzędne znaczenie, gdyż decyzja PUODO oparta została na tezie o przechowywaniu danych bez podstawy prawnej.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Na wstępie należy wyjaśnić, że złożona w niniejszej sprawie skarga została rozpoznana na posiedzeniu niejawnym w trybie uproszczonym, stosownie do art. 119 pkt 2 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r. poz. 329, z późn. zm.), dalej "p.p.s.a." Zgodnie z powołaną regulacją, sprawa może być rozpoznana w trybie uproszczonym, jeżeli strona zgłosi wniosek o skierowanie sprawy do rozpoznania w trybie uproszczonym, a żadna z pozostałych stron w terminie czternastu dni od zawiadomienia o złożeniu wniosku nie zażąda przeprowadzenia rozprawy.

W skardze Spółka wniosła o rozpoznanie sprawy w trybie uproszczonym.

W piśmie procesowym z dnia [...] czerwca 2022 r uczestnik postępowania również wniosła o rozpoznanie sprawy w tym trybie. Organ nie zażądał przeprowadzenia rozprawy.

Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. z 2021 r. poz. 137), sądy administracyjne sprawują wymiar sprawiedliwości m. in. przez kontrolę działalności administracji publicznej, a kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.

Skarga oceniana w świetle powyższych kryteriów zasługuje na uwzględnienie, albowiem organ wydając zaskarżoną decyzję naruszył przepisy postępowania w stopniu mogącym mieć istotny wpływ na wynik sprawy.

Zdaniem Sądu zaskarżona decyzja została wydana z naruszeniem art. 7, art. 77 § 1 i art. 80 k.p.a., a jej uzasadnienie nie odpowiada wymogom określonym w art. 107 § 3 k.p.a.

Zgodnie z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), w sprawach nieuregulowanych w ustawie do postępowań administracyjnych przed Prezesem Urzędu Ochrony Danych Osobowych, o których mowa w rozdziałach 4-7 i 11, stosuje się ustawę z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego. Postępowaniami, o których mowa w rozdziale 7 ustawy są postępowania w sprawie naruszenia przepisów o ochronie danych osobowych, do których zalicza się postępowania prowadzone w ramach realizacji przez PUODO zadań i uprawnień organu nadzorczego określonych w art. 57 i art. 58 RODO.

Obowiązek stosowania przepisów k.p.a. oznacza, że organ nadzorczy

w postępowaniu poprzedzającym wydanie decyzji administracyjnej zobowiązany jest kierować się, określonymi w k.p.a., ogólnymi zasadami postępowania oraz przepisami określającymi jego obowiązki w postępowaniu dowodowym. Stosownie do treści art. 7 k.p.a. w toku postępowania organy administracji publicznej stoją na straży praworządności, z urzędu lub na wniosek stron podejmują wszelkie czynności niezbędne do dokładnego wyjaśnienia stanu faktycznego oraz do załatwienia sprawy, mając na względzie interes społeczny i słuszny interes obywateli. Przepis art. 77 § 1 k.p.a. obliguje zaś do wyczerpującego zebrania i rozpatrzenia całego materiału dowodowego. Na podstawie art. 80 k.p.a. organ administracji publicznej ocenia na podstawie całokształtu materiału dowodowego, czy dana okoliczność została udowodniona. Z kolei art. 11 oraz art. 107 § 1 pkt 6 i § 3 k.p.a. nakazują należycie umotywować podjęte rozstrzygnięcie.

Wyjaśnić należy, że uzasadnienie faktyczne decyzji powinno w szczególności zawierać wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, zaś uzasadnienie prawne - wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa. Wynikającą z art. 107 § 3 k.p.a. rolą uzasadnienia jest objaśnienie toku myślenia, który doprowadził organ administracji do zastosowania lub niezastosowania przepisu prawa w konkretnej sprawie (zob. J. Borkowski [w:] Kodeks postępowania administracyjnego, Komentarz, B. Adamiak, J. Borkowski, Warszawa 2012 r., str. 441). W sferze faktów (uzasadnienia faktycznego) chodzi tu o wyjaśnienie okoliczności wskazujących na potrzebę lub konieczność wydania decyzji w danej sprawie i wobec określonych podmiotów oraz wpływu tych okoliczności na treść rozstrzygnięcia. W sferze prawa (uzasadnienia prawnego) chodzi zaś o wskazanie obowiązującej normy i jej znaczenia ustalonego w drodze wykładni (zob. J. Zimmermann, Motywy decyzji administracyjnej i jej uzasadnienie, Warszawa 1981 r., str. 118 – 122). Jak przyjmuje się w orzecznictwie Naczelnego Sądu Administracyjnego (zob. np. wyroki z 6 października 2020 r. sygn. akt I OSK 3235/18, z 24 kwietnia 2018 r. sygn. akt I OSK 1351/16 – niepublikowane; dostępne: https://orzeczenia.nsa.gov.pl), do naruszenia art. 107 § 3 k.p.a. dochodzi wtedy, gdy uzasadnienie decyzji nie zawiera wszystkich elementów wymienionych w tym przepisie, albo gdy mimo formalnej poprawności jego treść nie pozwala na skontrolowanie poprawności rozstrzygnięcia sprawy, a tym samym czyni w stopniu istotnym wątpliwym poprawność przeprowadzenia postępowania wyjaśniającego w sprawie.

Udzielając upomnienia Spółce PUODO przyjął, że w okresie od 12 do [...] kwietnia 2020 r. Spółka ta przetwarzała dane osobowe M. G. (dalej "uczestnik postępowania") bez podstawy prawnej. W zaskarżonej decyzji organ wskazał, że uczestnika postępowania oraz Spółkę łączyła umowa sprzedaży energii, jednakże umowa ta została rozwiązana. W związku z tym, zdaniem organu, we wskazanym wyżej okresie Spółka nie miała podstawy prawnej do dalszego przetwarzania danych osobowych uczestnika.

Takich ustaleń organ dokonał wyłącznie na podstawie treści skargi uczestnika postępowania skierowanej do organu. W skardze tej nie ma jednak żadnej informacji

o tym, od kiedy umowa między stronami przestała obowiązywać. W toku postępowania organ pismem z dnia [...] marca 20221 r. zwrócił się do Spółki o ustosunkowanie się do treści skargi uczestnika postępowania oraz o złożenie wyjaśnień w zakresie:

1. czy doszło do naruszenia ochrony danych osobowych skarżącej, a jeżeli tak to kiedy, w jakim zakresie, i w jakich okolicznościach dane osobowe uczestnika postępowania zostały ujawnione podmiotom i osobom do tego nieupoważnionym;

2. jakie podmioty (kategorie podmiotów) miały dostęp do ujawnionych danych;

3. czy Spółka przedsięwzięła środki mające na celu zaradzenie naruszeniom i zminimalizowaniu negatywnych skutków dla uczestnika postępowania, a jeżeli tak, to kiedy i w jaki sposób.

Organ nie żądał zatem od Spółki wyjaśnień dotyczących okresu obowiązywania umów zawartych z uczestnikiem postępowania.

W skardze skierowanej do Sądu Spółka podniosła, że łączące ją z uczestnikiem postępowania umowy przestały obowiązywać dopiero z dniem [...] maja 2020 r. Na potwierdzenie tego Spółka dołączyła do skargi dwie umowy, jakie zawarła

z uczestnikiem postępowania (umowa sprzedaży energii elektrycznej oraz umowa sprzedaży paliwa gazowego), pismo uczestnika postępowania z dnia [...] kwietnia 2020 r. informujące o rozwiązaniu umowy ze Spółką z dniem [...] kwietnia 2020 r. oraz pismo Spółki z dnia [...] kwietnia 2020 r. skierowane do uczestnika postepowania, w którym zawarta jest informacja, o tym, że umowy zostaną rozwiązane ze skutkiem na dzień [...] maja 2020 r.

Z umowy na sprzedaż energii elektrycznej wynika, że zawarta ona została na czas określony – do końca okresu wskazanego w Załączniku nr 2 do umowy (§ 3 ust. 1). Spółka nie przedstawiła przy tym tego załącznika. W § 3 ust. 2 tej umowy wskazano zaś, że po upływie okresu, o którym mowa w ust. 1 umowa ulega przedłużeniu na czas określony. Z kolei w umowie na sprzedaż paliwa gazowego wskazano, że zostaje ona zawarta na czas wskazany w Regulaminie (§ 1 ust. 3). Spółka nie dołączyła do skargi regulaminu. W § 1 ust. 15 wskazano natomiast, że rozwiązanie umowy może nastąpić w każdym czasie za pisemnym porozumieniem stron. Ponadto z ust. 16 wynika, że po upływie okresu, na który umowa została zawarta, umowa ulega przedłużeniu na czas nieokreślony, jeżeli najpóźniej na 1 miesiąc przed zakończeniem tego okresu żadna ze stron nie złożyły pisemnego, pod rygorem nieważności, oświadczenia o braku woli kontynuacji umowy.

Z powyższych dokumentów nie wynika, w oparciu o które postanowienia umów, bądź na podstawie jakich przepisów prawa, umowy zawarte z uczestnikiem postępowania zostały rozwiązane z dniem [...] maja 2020 r. W skardze skierowanej do PUODO uczestnik postępowania wskazała, że "Zwróciłam się do Rzecznika Praw Obywatelskich i do biura spraw konsumenta. I moja sprawa się zakończyła". W zaskarżonej decyzji organ natomiast wyjaśnił, że "Skarżąca przy pomocy instytucji publicznych rozwiązała umowę ze Spółką", nie podając przy tym z jaką datą to nastąpiło, a także nie wyjaśniając, na jakiej podstawie dokonał takich ustaleń. Powyższe okoliczności świadczą o tym, że organ nie wyjaśnił w sposób wyczerpujący tego z jakim dniem umowy łączące uczestnika postępowania ze Spółką zostały rozwiązane. Stwierdzenie organu wskazujące, że w okresie od [...] do [...] kwietnia

2020 r. przetwarzanie danych osobowych uczestnika postępowania przez Spółkę następowało bez podstawy prawnej, w związku z wcześniejszym rozwiązaniem umów, nie znajduje potwierdzenia w zgormadzonym przez organ materiale dowodowym. Twierdzenie to ponadto stoi w sprzeczności ze stanowiskiem Spółki przedstawionym

w skardze.

Ustosunkowując się do zarzutów skargi wskazujących na naruszenie przepisów postepowania organ w odpowiedzi na skargę zwraca uwagę, że w toku prowadzonego postępowania Spółka miała możliwość wglądu w akta sprawy oraz wypowiedzenia się co do zebranych dowodów. Odnośnie tego stanowiska wyjaśnić należy, że to, iż Spółka miała takie uprawnienia nie powoduje, że organ zwolniony był z obowiązku wyczerpującego ustalenia wszystkich okoliczności istotnych dla rozstrzygnięcia sprawy. Obowiązki tego rodzaju nakłada na niego art. 7 oraz art. 7 § 1 k.p.a. Ponadto Spółka nie miała żadnych podstaw do tego aby przypuszczać, że istotne dla rozstrzygnięcia sprawy przez organ będą kwestie związane z tym, kiedy zostały rozwiązane przedmiotowe umowy. Odnośnie tej okoliczności organ wypowiedział się dopiero

w zaskarżonej decyzji, nie prowadząc wcześniej żadnych ustaleń w tym zakresie.

Rozważyć należy w tym miejscu, jakie skutki spowodowało opisane powyżej naruszenie przepisów postępowania.

W skardze skierowanej do PUODO uczestnik postępowania opisała okoliczność ujawnienia jej danych osobowych przez Spółkę osobom nieuprawnionym. W piśmie

z dnia [...] stycznia 2021 r. uczestnik postępowania podała, że: "Wnoszę aby prezes

z państwa urzędu, podjął się prowadzić moją zindywidualizowaną sprawę, dotyczącą naruszenia praw i danych osobowych przez firmę "[...]"".

W sentencji decyzji organ wskazał, że udziela Spółce upomnienia za naruszenie art. 6 ust. 1 RODO, "polegające na przetwarzaniu danych osobowych Pani M. G. (...), w okresie od [...] kwietnia 2020 r. do [...] kwietnia 2020 r. bez podstawy prawnej, co skutkowało naruszeniem ochrony jej danych osobowych poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz [...] S.A."

W podstawie zaskarżonego rozstrzygnięcia organ przywołał m. in. art. 5 ust. 1 lit e RODO. Przepis ten stanowi, że dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą ("ograniczenie przechowywania").

W uzasadnieniu decyzji PUODO opisał, w jaki sposób doszło do ujawnienia danych osobowych uczestnika postępowania na rzecz podmiotów i osób nieuprawnionych, wskazując jednak, że "pierwotną przyczyną ujawnienia danych osobowych Skarżącej podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy, tj. [...] Sp. z o.o., świadczącego usługi cyfrowego archiwum na rzecz Spółki, było naruszenie przez Spółkę, jako administratora danych, art. 6 ust. 1 rozporządzenia 2016/679. Spółka, po rozwiązaniu przez Skarżącą od zawartej ze Spółką umowy, nie miała już podstawy prawnej, a w każdym razie jej nie wykazała, do dalszego ich przetwarzania i obowiązana była usunąć dane osobowe Skarżącej z serwera [...] Sp. z o.o." Organ wskazał też, że: "Spółka dopuściła się naruszenia art. 6 ust. 1 rozporządzenia 2016/679 poprzez przetwarzanie danych osobowych Skarżącej bez podstawy prawnej poprzez ich przechowywanie na serwerach [...] Sp. z o.o., co skutkowało naruszeniem ochrony jej danych osobowych poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz Spółki w okresie od [...] kwietnia do [...] kwietnia 2020 r. W związku z powyższym, Prezes UODO korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. b rozporządzenia 2016/679 udzielił Spółce upomnienia."

Z powyższego jednoznacznie wynika, że organ udzielił Spółce upomnienia

z uwagi na naruszenie przez nią art. 6 ust. 1 RODO, tj. za przetwarzanie danych osobowych uczestnika postępowania bez podstawy prawnej, po rozwiązaniu umów, łączących te strony. Jako skutek tego naruszenia organ określił w zaskarżonej decyzji fakt ujawnienia danych osobowych uczestnika postępowania podmiotom

i osobom nieupoważnionym. Upomnienie zostało udzielone Spółce zatem za czyn, którego okoliczności wystąpienia nie zostały przez organ potwierdzone

w zgormadzonym materiale dowodowym. Takie uchybienie przepisom postępowania niewątpliwie należy ocenić jako mogące mieć istotny wpływ na wynik sprawy.

W odpowiedzi na skargę organ starał się wykazać, że w istocie nie doszło do żadnego uchybienia przepisom postępowania. Jednocześnie PUODO próbuje w pewien sposób sanować opisane wyżej uchybienie, podnosząc, że Spółka nie wykazała, że ujawnienie danych osobowych uczestnika postępowania miało charakter legalny.

Z wypowiedzi organu można wywieść, że jego zdaniem udzielenie Spółce upomnienia było zasadne, albowiem tak czy inaczej doszło do naruszenia przepisów RODO.

Odnosząc się do tej kwestii zauważyć należy, że organ próbuje w odpowiedzi na skargę wykazać, że to co w zaskarżonej decyzji ocenił jako skutek naruszenia art. 6 ust. 1 RODO, stanowi w istocie naruszenie tego przepisu. Nie można uznać takiego podejścia za argument przemawiający za oddaleniem skargi w niniejszej sprawie. Podkreślić ponownie należy, że organ uznał, iż do naruszenia przez Spółkę art. 6 ust. 1 RODO doszło poprzez przetwarzanie danych osobowych uczestnika postępowania w sytuacji, gdy zawarte umowy między tym stronami zostały już rozwiązane, a skutkiem tego naruszenia było ujawnienie danych osobowych uczestnika postępowania podmiotom i osobom do tego nieupoważnionym. Czym innym jest przetwarzanie danych osobowych po wygaśnięciu stosunku zobowiązaniowego dającego do tego podstawę, a czym innym ujawnienie danych osobowych podmiotom i osobom do tego nieupoważnionym. Są to dwie odrębne sytuacje, których fakt wystąpienia i ewentualne skutki prawne winien ocenić organ. Przyjmując, że umowy między stronami w okresie od [...] do [...] kwietnia 2020 r. jednak obowiązywały, Sąd oddalając skargę zobowiązany byłby do samodzielnego przyjęcia, że samo ujawnienie danych osobowych uczestnika postepowania stanowiło czyn naruszający art. 6 ust. 1 RODO, uzasadniający udzielenie Spółce upomnienia. Sąd w ten sposób działałby niejako za organ, do czego nie jest uprawniony. Sądy administracyjne, stosownie do treści art. 3 § 1 p.p.s.a., sprawują bowiem kontrolę działalności administracji publicznej. Z art. 1 ust. 2 ustawy Prawo o ustroju sądów administracyjnych wynika zaś, że kontrola ta sprawowana jest pod względem zgodności z prawem.

Reasumując należy stwierdzić, że organ naruszył wskazane wyżej przepisy postepowania w stopniu mogącym mieć istotny wpływ na wynik sprawy, co uzasadnia uchylenie zaskarżonej decyzji.

Ponowne rozpoznanie sprawy winno nastąpić z uwzględnieniem powyższych uwag. Organ przede wszystkim w sposób wyczerpujący ustali stan faktyczny sprawy.

W tym celu organ ewentualnie rozważy uzupełnienie materiału dowodowego. Organ oceni też, jakie działania Spółki naruszały przepisy RODO, jakie konkretnie przepisy tej regulacji zostały naruszone oraz rozważy, jakie ewentualnie środki naprawcze winien zastosować.

W tej sytuacji Sąd, na podstawie art. 145 § 1 pkt 1 lit. c p.p.s.a. orzekł jak w sentencji. O zwrocie kosztów postępowania (obejmujących: wpis od skargi – 200 zł, opłatę za czynności radcy prawnego – 480 zł oraz opłatę od pełnomocnictwa – 17 zł) postanowiono stosownie do treści art. 200 w zw. z art. 205 § 2 p.p.s.a. oraz § 14 ust. 1 pkt 1 lit. c rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 r. w sprawie opłat za czynności adwokackie (Dz.U. z 2015 r. poz. 1800, z późn. zm.).