Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Karolina Kisielewicz (spr.), Sędzia WSA Iwona Maciejuk, Asesor WSA Michał Sułkowski, , Protokolant starszy referent Magdalena Frąckiewicz, po rozpoznaniu na rozprawie w dniu 20 kwietnia 2022 r. sprawy ze skargi [...] Sp. z o.o. w likwidacji z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę

M.T. w piśmie z 23 marca 2020 r. wniósł do Prezesa Ochrony Danych Osobowych skargę na niezgodne z prawem przetwarzanie jego danych osobowych przez [...] sp. z o.o. z siedzibą w [...] – administratora serwisu internetowego [...]. Skarżący podał, że Spółka poinformowała go, że jego dane osobowe zostały ujawnione osobie trzeciej. W związku z tym zmuszony był, w celu zminimalizowania ryzyka kradzieży tożsamości, zastrzec dowód osobisty i wyrobić nowy oraz wykupić alerty powiadomień o użyciu jego numeru PESEL. Z tego powodu poniósł straty majątkowe i niemajątkowe.

W pismach z 14 lipca 2020 r., z 28 października 2020 r. i z 18 stycznia 2021 r. Prezes Urzędu Ochrony Danych Osobowych, na podstawie art. 58 ust. 1 lit. a i e RODO, zwrócił się do [...] o złożenie wyjaśnień i dostarczenie informacji w sprawie skargi M.T. na nieprawidłowości w procesie przetwarzania jego danych osobowych.

W pismach z 30 lipca 2020 r., 9 listopada 2020 r. i z 22 stycznia 2021 r. Spółka wyjaśniła, że dane osobowe M.T. przetwarza od 1 sierpnia 2018 r., tj. od dnia, w którym skarżący dokonał rejestracji na stronie internetowej www.[...] oraz zawarł ze Spółką ramową umowę pożyczki. Wskazała, że przetwarzała jego dane (imię, nazwisko, serię i nr dowodu osobistego, nr PESEL, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres zameldowania, adres korespondencyjny, adres zameldowania, adres e-mail skarżącego, numer telefonu komórkowego, numer telefonu pracodawcy, nazwę pracodawcy, zatrudnienie (rodzaj umowy), przychód miesięczny netto, źródła przychodu, ilość osób pozostających na utrzymaniu, stan cywilny, wykształcenie, hasło do profilu klienta), na podstawie art. 6 ust. 1 lit. a, b, c, f rozporządzenia RODO. Spółka podała, że faktycznie nie prowadzi działalności gospodarczej, "całkowicie" usunęła profil skarżącego jako klienta [...] i obecnie przetwarza jego dane osobowe wyłącznie w celach rachunkowych i podatkowych, a także w zakresie niezbędnym do realizacji obowiązków prawnych lub obrony roszczeń, na podstawie art. 6 ust. 1 lit. c i f rozporządzenia.

[...] Sp. z o.o. w likwidacji dodała, że podmiotem, który popełnił błąd skutkujący naruszeniem ochrony danych osobowych jest [...] sp. z o.o. w [...] na [...], z którą w dniu [...] marca 2018 r. zawarła umowę powierzenia przetwarzania danych osobowych. Incydent naruszenia ochrony danych osobowych był przedmiotem postępowania toczącego się przed Prezesem UODO wszczętego z urzędu (sygn. [...] ) zakończonego decyzją z [...] grudnia 2020 r. W zakresie okoliczności dotyczących naruszenia objętego skargą M.T. odwołała się do ustaleń poczynionych w tym postępowaniu.

Spółka wyjaśniła również, że poinformowała skarżącego o nieprawidłowościach będących przedmiotem skargi, wysłanymi 14 i 15 marca 2020 r. wiadomościami SMS i e-mail o zresetowaniu i zmianie hasła do [...], a także wysłaną 16 marca 2020 r. wiadomością e-mail, w której m. in. wymieniła dane osobowe objętych nieuprawnionym udostępnieniem, zawarła odpis przewidywanych konsekwencji i zagrożeń związanych z ujawnieniem danych osobowych oraz środków proponowanych w celu minimalizacji negatywnych skutków związanych z naruszeniem; opis kroków podjętych w celu zaradzenia naruszeniu danych osobowych; informację o możliwości uzyskania dalszych informacji oraz informację o zgłoszeniu naruszenia danych osobowych Prezesowi UODO.

[...] Sp. z o.o. w likwidacji podała ponadto, że 18 marca 2020 r., zamieściła na swojej stronie internetowej dwa oświadczenia na temat bezpieczeństwa danych osobowych. W pierwszym z nich zawarła informacje o przeprowadzonej 14 marca 2020 r. automatycznej zmianie haseł z uwagi na podejrzenie możliwości nieuprawnionego dostępu do części bazy danych. W drugim oświadczeniu poinformowała natomiast, że na skutek błędu podmiotu trzeciego współpracującego ze Spółką, osoba trzecia uzyskała nieuprawniony dostęp do danych osobowych części użytkowników portalu [...], oraz że podjęła natychmiastowe działania celem zabezpieczenia danych, zidentyfikowała przyczynę incydentu oraz ją niezwłocznie usunęła.

W tych okolicznościach faktycznych i prawnych Prezes Urzędu Ochrony Danych Osobowych decyzją z [...] marca 2021 r. (nr [...]) wydaną na podstawie art. 104 § 1 k.p.a. w zw. z art. 7 ust. 1 ustawy z 10 maja 2018 r. o ochronie danych osobowych oraz na podstawie art. 6 ust. 1 lit. c oraz art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f i art. 58 ust. 2 lit. b RODO, udzielił [...] Sp. z o.o. w likwidacji z siedzibą w [...] upomnienia za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO, polegające na udostępnieniu danych osobowych M.T. podmiotom nieuprawnionym.

W uzasadnieniu decyzji Prezes Urzędu Ochrony Danych Osobowych podał, że przepisem uprawniającym administratorów danych do przetwarzania danych osób fizycznych jest art. 6 ust. 1 RODO, zgodnie z którym przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO jest zamknięty. Na administratorze danych osobowych, którym w rozumieniu art. 4 pkt 7 RODO jest [...] Sp. z o.o. w likwidacji z siedzibą w [...], ciąży obowiązek prawny przetwarzania danych osobowych zgodnie z obowiązującymi przepisami, a w szczególności obowiązek zapewnienia, by przetwarzanie odbywało się na podstawie co najmniej jednej z przesłanek enumeratywnie wymienionych w art. 6 ust. 1 RODO.

Prezes Urzędu Ochrony Danych Osobowych podniósł, że art. 5 ust. 1 lit f rozporządzenia RODO nakłada na administratora danych osobowych obowiązek przetwarzania danych osobowych w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Organ nadzorczy podniósł także, że zgodnie z art. 28 ust. 1 RODO, to na administratorze spoczywa obowiązek wyboru takiego podmiotu przetwarzającego, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi integralności i poufności oraz chroniło prawa osób, których dane dotyczą.

Prezes Urzędu Ochrony Danych Osobowych stwierdził, że [...] Sp. z o.o. w likwidacji w złożonych wyjaśnieniach przyznała, że w wyniku błędu pracownika [...], z którym Spółka zawarła umowę powierzenia przetwarzania danych osobowych, polegającego na braku zabezpieczenia w dniach 3 -14 marca 2020 r. danych osobowych M.T., doszło do udostępnienia jego danych osobowych osobie nieuprawnionej w zakresie: imienia, nazwiska, numeru PESEL, serii i numeru dokumentu tożsamości, NIP, obywatelstwa, miejsca urodzenia, numeru rachunku bankowego, adresu korespondencyjnego, adresu zameldowania, adresu e-mail, numeru telefonu stacjonarnego, numeru telefonu komórkowego, poprzedniego numer telefonu komórkowego (jeśli uległ zmianie), numeru telefonu pracodawcy, adresu e-mail osoby, której klient rekomendował pożyczkę (jeśli rekomendował), nazwy pracodawcy, zatrudnienia (rodzaju umowy), przychodu miesięcznego netto, źródła przychodu, ilości osób pozostających na utrzymaniu, stanu cywilnego, wykształcenia, hasła do profilu klienta na [...]. W zakresie powyższego udostępnienia nie została spełniona żadna z przesłanek legalizujących proces przetwarzania danych osobowych określonych w art. 6 ust. 1 RODO.

Prezes Urzędu Ochrony Danych Osobowych podkreślił także, że w postępowaniu zainicjowanym indywidualną skargą, może dokonać wyłącznie oceny legalności przetwarzania danych i w przypadku stwierdzenia nieprawidłowości w procesie przetwarzania danych - w celu przywrócenia stanu zgodnego z prawem - zastosować uprawnienia naprawcze, o których mowa w art. 58 ust. 2 RODO, w tym udzielić upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia przez operacje przetwarzania (lit. b).

Organ wskazał ponadto, że stosowane przez administratora danych w procesach ich przetwarzania praktyki, w tym sposoby zabezpieczeń, ich adekwatność oraz skuteczność mogą być natomiast przedmiotem postępowania wszczętego z urzędu.

W konkluzji Prezes Urzędu Ochrony Danych Osobowych stwierdził, że przetwarzanie danych osobowych skarżącego, polegające na ich udostępnieniu w dniach 3 - 14 marca 2020 r. na rzecz nieznanej i nieuprawnionej osoby, stanowiło naruszenie przepisów o ochronie danych osobowych, tj. art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO, co uzasadnia zastosowanie wobec [...] Sp. z o.o. w likwidacji upomnienia, o którym mowa w art. 58 ust. 2 lit. b RODO.

W pozostałym zakresie, wobec legitymowania się przez [...]przesłanką określoną w art. 6 ust. 1 lit. c RODO, stanowiącą o legalności przetwarzania przez Spółkę danych osobowych M.T., organ odmówił uwzględniania wniosku skarżącego.

[...] Sp. z. o. o. w likwidacji z siedzibą w [...] złożyła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych z [...] marca 2021 r.

Spółka zarzuciła naruszenie:

1. przepisów prawa materialnego, mające istotny wpływ na wynik sprawy, tj. art. 6 ust. 1 RODO, polegające na błędnym przyjęciu, że art. 6 ust 1 RODO miał w sprawie zastosowanie w zakresie podstawy prawnej udostępnienia danych, podczas gdy incydent polegający na cyberataku na bazę danych oraz uzyskanie dostępu do niej przez nieznaną osobę trzecią nie oznacza, że skarżąca udostępniła dane osobowe na rzecz nieznanej osoby trzeciej;

2. przepisów prawa materialnego, mające wpływ na wynik sprawy, tj. art. 6 ust. 1 oraz art. 5 ust. 1 lit. f RODO, polegające na błędnym przyjęciu, że ważność podstawy prawnej przetwarzania danych zależy od odpowiedniego zabezpieczenia danych osobowych, podczas gdy zasada zgodności z prawem (art. 5 ust. 1 lit. a RODO) jest niezależna od zasady integralności i poufności (art. 5 ust. 1 lit. f RODO), zaś ewentualne naruszenie wymogów bezpieczeństwa, np. art. 32 RODO nie oznacza automatycznie, że dane były przetwarzane bez ważnej podstawy prawnej;

3. przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 6, 7, 8 § 1, art. 77 § 1 oraz art. 80 K.p.a., polegające na braku zgromadzenia materiału dowodowego pozwalającego uznać naruszenie zasady integralności i poufności oraz niezgodne z prawem przetwarzanie danych osobowych przez skarżącą za udowodnione;

4. przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 8 ust. 1 i 2, art. 77 § 1 i § 4 i art. 110 § 1 K.p.a. poprzez całkowity brak uwzględnienia znanego z urzędu faktu, że działanie Spółki będące w istocie przedmiotem skargi M.T. do Prezesa Urzędu Ochrony Danych Osobowych, tzn. rzekome nieadekwatne zabezpieczenie przez skarżącą bazy danych osobowych użytkowników portalu [...], było już przedmiotem decyzji Prezesa UODO z [...] grudnia 2020 r. (nr [...]), do którego to postępowania skarżąca odwoływała się w swoich pismach procesowych, jak również jest przedmiotem szeregu podobnych postępowań w sprawach indywidualnych, co prowadzi do wielokrotnej oceny tego działania lub zaniechania, wielokrotnego nakładania sankcji w różnych postępowaniach, jak również wprowadzenie do obrotu prawnego sytuacji, w których jeden i ten sam incydent w części spraw jest uznany za naruszenie przez skarżącą przepisów prawa, a w innych nie.

[...] Sp. z o.o. w likwidacji wniosła o uchylenie zaskarżonej decyzji oraz zasądzenie od Prezesa Urzędu Ochrony Danych Osobowych kosztów postępowania według norm przepisanych.

Prezes Urzędu Ochrony Danych Osobowych w odpowiedzi na skargę wniósł o jej oddalenie z przyczyn wywiedzionych w zaskarżonej decyzji.

Spółka w piśmie z 2 listopada 2021 r. podtrzymała zarzuty i wnioski skargi. Skarżąca podniosła, że aby można było mówić o naruszeniu przez Spółkę przepisów rozporządzenia wymienionych w zaskarżonej decyzji, należałoby zbadać stosowane przez nią środki bezpieczeństwa, co – jak przyznał organ w uzasadnieniu decyzji – w sprawie tej nie miało miejsca. [...] Sp. z o.o. w likwidacji stwierdziła, że nie udostępniła danych osobom nieuprawnionym. Podniosła, że nie zrealizowała w tym kierunku żadnej czynności przetwarzania, natomiast nieuprawniony dostęp miał miejsce w wyniku naruszenia ochrony danych, tzw. "ataku hakerskiego". Sytuacji tej nie można więc zdaniem Spółki oceniać w świetle art. 6 ust. 1 RODO.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.

Skarga jest nieuzasadniona.

Zaskarżoną decyzją Prezes Urzędu Ochrony Danych Osobowych skorzystał z uprawnienia naprawczego przewidzianego w art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 ze zm.; dalej powoływane jako "RODO"), który stanowi dla organu nadzorczego podstawę do udzielania upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia przez operacje przetwarzania.

"Przetwarzanie", zgodnie z art. 4 pkt 2 RODO, oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Zgodnie z art. 6 ust. 1 rozporządzenia RODO, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Z akt sprawy wynika, że dane osobowe M.T., których administratorem jest skarżąca Spółka, zostały udostępnione nieznanej osobie trzeciej na skutek błędu pracownika podmiotu przetwarzającego ([...] w [...] na [...]), z którą skarżąca zawarła umowę powierzenia przetwarzania danych osobowych. Błąd ten polegał na niezabezpieczeniu danych w okresie od 3 do 14 marca 2020 r. Zakres danych osobowych objętych nieuprawnionym dostępem objął: imię, nazwisko, PESEL, serię i numer dokumentu tożsamości, NIP, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres korespondencyjny, adres zameldowania, adres e-mail, numer telefonu stacjonarnego, numer telefonu komórkowego, poprzedni numer telefonu komórkowego (jeśli uległ zmianie), numer telefonu pracodawcy, adres e-mail osoby, której klient rekomendował pożyczkę (jeśli rekomendował), nazwę pracodawcy, zatrudnienie (rodzaj umowy), przychód miesięczny netto, źródło przychodu, ilość osób pozostających na utrzymaniu, stan cywilny, wykształcenie, hasło do profilu klienta na [...]. Spółka zgłosiła to naruszenie ochrony danych osobowych stosownie do art. 33 ust. 1 rozporządzenia RODO. W dniu [...] grudnia 2020 r. Prezes Urzędu Ochrony Danych Osobowych wydał decyzję (nr [...]), którą m. in. stwierdził naruszenie przez skarżącą Spółkę przepisów art. 5 ust. 1 lit f), art. 25 ust. 1m art. 32 ust. 1 lit b), art. 32 ust. 1 lit d) oraz art. 32 ust. 2 rozporządzenia RODO, polegające na niewdrożeniu przez Spółkę, zarówno w fazie projektowania procesu przetwarzania, jak i w czasie samego przetwarzania, odpowiednich środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemu przetwarzania danych osobowych, a także zapewniających zdolność do skutecznego i szybkiego stwierdzenia naruszenia ochrony danych osobowych oraz zapewniających regularną ocenę skuteczności tych środków.

Zdaniem Wojewódzkiego Sądu Administracyjnego w Warszawie, w przedstawionym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych prawidłowo stwierdził, że ujawnienie danych osobowych konkretnej osoby fizycznej podmiotowi trzeciemu jest udostepnieniem danych w rozumieniu rozporządzenia (art. 4 pkt 2). Ujawnienie danych osobowych nie musi być bowiem wynikiem zaplanowanej operacji i nie musi być równoznaczne z działaniem (aktywnością) takim jak przesłanie, czy rozpowszechnienie (aktywne dzielenie się danymi). Może ono polegać także na innego rodzaju udostępnieniu poprzez umożliwienie dostępu do danych. Taka sytuacja wystąpiła niewątpliwie w rozpatrywanej sprawie, skoro skarżąca przyznała, że dane osobowe M.T. zapisane na jego koncie użytkownika zostały ujawnione osobie trzeciej na skutek błędu pracownika podmiotu, któremu powierzono przetwarzanie danych osobowych, polegającego na braku zabezpieczenia tych danych. Chybione jest zatem stanowisko Spółki, która zmierza do wykazania, że ujawnienie danych osobowych M.T., o którym mowa w zaskarżonej decyzji, nie stanowi ich udostępnienia, lecz naruszenie ochrony danych osobowych (art. 4 pkt 12 RODO) będące wynikiem "cyberataku".

Sąd orzekający w niniejszej sprawie podziela również zapatrywanie Prezesa Urzędu Ochrony Danych Osobowych, że udostępnienie danych osobowych skarżącego, polegające na ich ujawnieniu nieznanemu, nieuprawnionemu odbiorcy, nie znajdowało oparcia w żadnej z wymienionych w art. 6 ust. 1 RODO podstaw legalizujących proces przetwarzania danych osobowych.

W konsekwencji, zdaniem Sądu, zaistniały przesłanki do skorzystania przez Prezesa Urzędu Ochrony Danych Osobowych z uprawnienia naprawczego przewidzianego w art. 58 ust. 2 lit. b RODO.

Sąd dostrzega, że w podstawie prawnej zaskarżonej decyzji organ powołał się na art. 5 ust. 1 lit. f RODO, zgodnie z którym dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność").

Odwołanie się do tego przepisu należy, zdaniem Sądu, uznać za nieuzasadnione. Kwestie dotyczące zastosowania odpowiednich środków technicznych lub organizacyjnych w celu zapewnienia bezpieczeństwa danych osobowych nie były bowiem objęte zakresem postępowania zakończonego zaskarżoną decyzją, a sprawa niniejsza nie dotyczy stosowanych przez skarżącą Spółkę sposobów zabezpieczeń danych i ich skuteczności.

Stwierdzone uchybienie nie miało jednak wpływu na wynik sprawy, ponieważ w okolicznościach faktycznych sprawy zaistniały przesłanki do udzielenia upomnienia przez organ nadzorczy, na podstawie art. 58 ust. 2 lit. b rozporządzenia. Jak już bowiem podniesiono, doszło do naruszenia przepisów rozporządzenia przez operację przetwarzania (udostępnienia) bez podstawy prawnej. Ustalenie naruszenia art. 6 ust. 1 RODO pozostaje natomiast w związku z zasadą wyrażoną w art. 5 ust. 1 lit. a RODO, zgodnie z którym dane osobowe muszą być przetwarzane zgodnie z prawem (...).

W tej sytuacji – wobec prawidłowego stwierdzenia braku co najmniej jednej przesłanki legalizującej przetwarzania wymienionej w art. 6 ust. 1 RODO - niepowołanie w zaskarżonej decyzji art. 5 ust. 1 lit. a RODO, a wadliwe powołanie art. 5 ust. 1 lit. f RODO, pozostało bez wpływu na prawidłowość rozstrzygnięcia.

W związku z tym nie jest uzasadnione stanowisko skarżącej Spółki, że przedmiot postępowania wszczętego skargą M.T. jest tożsamy z przedmiotem postępowania zakończonego decyzją Prezesa Urzędu Ochrony Danych Osobowych z [...] grudnia 2020 r. (uchyloną wyrokiem Wojewódzkiego Sądu Administracyjnego z 5 października 2021 r. sygn. akt II SA/Wa 528/21 – od wyroku wniesiono skargę kasacyjną), a prowadzenie tego i szeregu innych postępowań skutkuje wielokrotną oceną tego samego działania i wielokrotnym nakładaniem sankcji za to samo zdarzenie.

Zgodnie z art. 77 ust. 1 rozporządzenia RODO, bez uszczerbku dla innych administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie.

M.T. miał zatem prawo wystąpić do Prezesa Urzędu Ochrony Danych Osobowych z indywidualną skargą, zarzucając niezgodne z przepisami rozporządzenia RODO przetwarzanie (ujawnienie podmiotom nieuprawnionym) jego danych osobowych, a Prezes Urzędu Ochrony Danych Osobowych był zobowiązany do rozpatrzenia tej skargi.

Nie można tracić z pola widzenia, że uprawnienie przewidziane w art. 58 ust. 2 lit. b rozporządzenia jest to uprawnienie naprawcze, a nie sankcja, które w świetle jednoznacznej treści wskazanego przepisu może być udzielone administratorowi lub podmiotowi przetwarzającemu.

Jak już powiedziano, kwestie dotyczące zastosowania odpowiednich środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemu przetwarzania danych osobowych, a także zapewniających zdolność skutecznego i szybkiego stwierdzenia naruszenia ochrony danych osobowych oraz zapewniających regularną ocenę skuteczności tych środków podlegały badaniu i ocenie wyłącznie w postępowaniu zakończonym decyzją z [...] grudnia 2020 r., którą nałożono na skarżącą karę pieniężną.

Przedstawione rozważania faktyczne i przepisy prawa prowadzą do wniosku, że skarga [...] sp. z o.o. w likwidacji z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z [...] marca 2021 r. nie zasługuje na uwzględnienie.

Mając powyższe na uwadze, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r. poz. 329 ze zm.), Wojewódzki Sąd Administracyjny w Warszawie, orzekł jak w sentencji wyroku.