Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Radziszewska-Krupa, Sędzia WSA Danuta Kania (spr.), Asesor WSA Mateusz Rogala, Protokolant referent Beata Kowalska po rozpoznaniu na rozprawie w dniu 25 lipca 2024 r. sprawy ze skargi [...] S.A z siedzibą w [...]. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] października 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz [...]S.A z siedzibą w [...] kwotę 697 (sześćset dziewięćdziesiąt siedem) złotych tytułem zwrotu kosztów postępowania.

Przedmiotem skargi [...] S.A. z siedzibą w W. (dalej: "Bank", "strona skarżąca") jest decyzja Prezesa Urzędu Ochrony Danych Osobowych (dalej: "Prezes UODO", "organ") z dnia [...] października 2023 r. nr [...], mocą której organ udzielił Bankowi upomnienia za naruszenie art. 6 ust. 1 i art. 5 ust. 1 lit. a rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z dnia 4 maja 2016 r., s. 1, Dz. Urz. UE L 127 z dnia 23 maja 2018 r., s. 2 oraz Dz. Urz. UE L 74 z dnia 4 marca 2021 r., s. 35), dalej: "RODO", polegające na udostępnieniu danych osobowych K. P. (dalej: "uczestnik postępowania") w zakresie imienia, nazwiska, numeru PESEL, daty urodzenia, adresu, okresu zatrudnienia, jednostki organizacyjnej i lokalizacji osobom nieuprawnionym w związku z wystąpieniem incydentu w [...] S.A. z siedzibą w W. (dalej: "[...]", "Spółka") świadczącej usługi outsourcingowe w zakresie kadr i płac.

W uzasadnieniu powyższej decyzji Prezes UODO wskazał, że do Urzędu Ochrony Danych Osobowych wpłynęła skarga K. P. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] S.A. polegające na udostępnieniu jego danych osobowych w zakresie imienia, nazwiska, numeru PESEL, daty urodzenia, adresu, okresu zatrudnienia, jednostki organizacyjnej i lokalizacji osobom nieuprawnionym.

W toku postępowania administracyjnego Prezes UODO ustalił, że K. P. był pracownikiem Banku w okresie od dnia [...] stycznia 2018 r. do dnia [...] lipca 2019 r. Aktualnie Bank przetwarza dane uczestnika postępowania w celach archiwalnych stosownie do treści art. 94 pkt 9a ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (Dz. U. z 2023 r. poz. 240 ze zm.), zgodnie z którym pracodawca jest obowiązany w szczególności prowadzić i przechowywać w postaci papierowej lub elektronicznej dokumentację w sprawach związanych ze stosunkiem pracy oraz akta osobowe pracowników (dokumentacja pracownicza).

Bank wyjaśnił, że w dniu [...] kwietnia 2023 r., doszło do incydentu w [...], a mianowicie podmiot ten padł ofiarą ataku hackerskiego typu ransomware. Atak polegał na zaszyfrowaniu danych znajdujących się na serwerach Spółki (które następnie zostały przywrócone z kopii bezpieczeństwa), a w dalszej kolejności wykradzeniu danych.

[...] w dniu [...] czerwca 2023 r. poinformowała Bank o zakończeniu prac ekspertów analityki śledczej wskazując jednocześnie, że doszło do naruszenia poufności plików, w których znajdowały się dane osobowe powierzone przez Bank. Po otrzymaniu raportu od [...] dniu [...] czerwca 2023 r. Bank przystąpił do jego weryfikacji, a następnie do przygotowania komunikatu do osób, których zdarzenie dotyczyło i rozpoczął jego dystrybucję częściowo przy wsparciu [...], z uwagi na liczbę osób, których naruszenie dotyczyło.

Bank wyjaśnił, że [...] od wielu lat świadczy usługi na jego rzecz - jest to na polskim rynku synonim wysokiej jakości i profesjonalizmu działania. [...] przed zdarzeniem posiadało wysokie standardy bezpieczeństwa (m.in. wdrożone normy ISO dotyczące zarządzania bezpieczeństwem informacji i ciągłością działania). Bank oświadczył, iż nie miał podstaw sądzić, że [...] pomimo wysokich standardów bezpieczeństwa, padnie ofiarą cyberataku.

W związku z incydentem w [...] Bank powiadomił Prezesa UODO w trybie art. 33 RODO o wystąpieniu naruszenia. O naruszeniu danych w trybie art. 34 RODO Bank powiadomił również uczestnika postępowania.

Nadto, na podstawie art. 28 ust 3 lit. h RODO i zawartej umowy powierzenia przetwarzania danych, Bank podjął decyzję o konieczności przeprowadzenia w [...] dodatkowego stacjonarnego audytu celem ustalenia, czy [...] podejmuje wszelkie środki wymagane na mocy art. 32 RODO.

[...] wyjaśniła, że przetwarza dane uczestnika postępowania na podstawie umowy powierzenia przetwarzania z dnia [...] maja 2018 r. zawartej z Bankiem, jako administratorem danych uczestnika w związku ze świadczonymi na jego rzecz usługami w zakresie obsługi płacowej. Celem przetwarzania jest realizacja zakresu świadczeń wynikających z postanowień umowy głównej, tj. administrowanie wynagrodzeniami pracowników Banku oraz prowadzenie dokumentacji raportowej dotyczącej administrowania wynagrodzeniami.

[...] przetwarza na zlecenie administratora szereg danych personalnych uczestnika postępowania oraz dane biograficzne, społeczne, dane związane z zatrudnieniem, wynagrodzeniem i dotyczące bezpieczeństwa i higieny pracy.

[... potwierdziła, iż padła ofiarą ataku typu ransomware. Wskazała, że niezwłocznie po identyfikacji zdarzenia uruchomiona została procedura zarządzania kryzysowego i wdrożone zostały procedury bezpieczeństwa, wynikające ze standardów ISO obowiązujących w firmie (ISO 27001 i ISO 22301). Zespół [...] niezwłocznie zablokował przestępcom dostęp do zasobów Spółki oraz zatrzymał możliwość jakichkolwiek dalszych niepożądanych działań. W reakcji na incydent oraz w celu wzmocnienia zdolności prewencyjnych, [...] podjęła decyzję o wprowadzeniu szeregu dodatkowych zabezpieczeń cyberbezpieczeństwa na poziomie organizacyjnym, technicznym i procesowym oraz rozpoczęła współpracę z ekspertami zewnętrznymi w dziedzinie cyberbezpieczeństwa i informatyki śledczej. W związku z atakiem [...] dokonała zgłoszenia naruszenia ochrony danych do Prezesa UODO oraz poinformowała o tym zdarzeniu osoby, których dane dotyczą (w zakresie w jakim była administratorem danych osób dotkniętych naruszeniem), klientów (administratorów danych, na rzecz których przetwarzała dane osobowe osób dotkniętych naruszeniem), a także organy ścigania oraz CSIRT NASK.

K. P. dotychczas nie kierował do Banku ani do [...] jakiejkolwiek korespondencji w związku z wystąpieniem naruszenia ochrony danych osobowych. Bank również nie przekazał dotychczas żadnych jego wniosków.

Uwzględniając powyższe Prezes UODO wskazał, że niniejsze postępowanie zostało ograniczone do badania legalności procesu przetwarzania danych osobowych K. P. - jako osoby je inicjującej. Natomiast czynności w sprawie ogólnych praktyk stosowanych przez administratora danych oraz jego obowiązki związane z bezpieczeństwem przetwarzania, takie jak np. konieczność wdrażania odpowiednich środków technicznych i organizacyjnych i ich ocena, może być badana w toku prowadzonej kontroli prowadzonej z urzędu niezależnie od niniejszego postępowania.

Organ podkreślił, że postępowanie administracyjne prowadzone przez Prezesa UODO służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na przywrócenie stanu zgodnego z prawem poprzez wydanie decyzji administracyjnej na podstawie art. 58 ust. 2 RODO. Przesłanki legalności przetwarzania danych osobowych, w formie zamkniętego katalogu, uregulowane zostały w art. 6 ust. 1 RODO. Każda z przesłanek ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. Dodatkowo, proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO. Dane osobowe powinny być przetwarzane m.in. zgodnie z prawem i rzetelnie (lit. a), w jasno określonym celu (lit. b), a także przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo (lit. f).

Dalej organ wskazał, że działając w zakresie swoich kompetencji, dokonał kontroli procesu przetwarzania danych osobowych K. P. przez administratora, w zakresie zakwestionowanym przez niego w skardze inicjującej postępowanie administracyjne przed organem. Organ ustalił, że doszło do naruszenia poufności danych osobowych uczestnika postępowania przetwarzanych przez Bank jako administratora, a powierzonych [...] w celu realizacji zakresu świadczeń wynikających z postanowień umowy zawartej między tymi podmiotami, tj. administrowania wynagrodzeniami pracowników Banku oraz prowadzenia dokumentacji raportowej dotyczącej administrowania wynagrodzeniami.

Organ zaznaczył, że na Banku, jako administratorze danych osobowych uczestnika postępowania, ciąży obowiązek prawny przetwarzania danych osobowych zgodnie z obowiązującymi przepisami, a w szczególności z poszanowaniem zasad przetwarzania danych określonych w art. 5 ust. 1 RODO, a także by przetwarzanie odbywało się na podstawie jednej z enumeratywnie wymienionych przesłanek art. 6 ust. 1 RODO. W realiach niniejszej sprawy uznać należy że doszło do udostępnienia danych osobowych uczestnika postępowania na rzecz osób nieuprawnionych. Po stronie Banku brak jest jakiejkolwiek przesłanki legalizującej proces przetwarzania danych określonych w art. 6 ust. 1 RODO. Odnośne zdarzenie stanowiło naruszenie przepisów o ochronie danych osobowych, w szczególności art. 5 ust. 1 lit. a RODO oraz art. 6 ust. 1 RODO.

Organ wskazał, że na podstawie art. 58 ust. 2 RODO Prezesowi UODO przysługują uprawnienia naprawcze, w tym udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania (lit. b). Wydając decyzję w sprawie organ wziął pod uwagę współpracę Banku z organem oraz fakt, że udostępnienie danych osobowych uczestnika było działaniem niezamierzonym. Ponadto Bank we współpracy z [...] niezwłocznie podjął działania mające na celu zminimalizowanie ryzyka ponownego wystąpienia naruszenia. W związku z tym organ uznał, że właściwe jest zastosowanie wobec Banku upomnienia.

Końcowo na marginesie organ zauważył, że RODO przyznaje osobom, których dane dotyczą szereg uprawnień, w tym prawo do prowadzenia wszelkiej komunikacji z administratorem danych na mocy art. 15-22 i art. 34 w sprawie przetwarzania. Prezes

UODO nie wyręcza osób, których dane dotyczą w realizacji praw przysługującym im na mocy RODO. Uczestnik postepowania w otrzymanym piśmie od Banku był poinformowany o możliwości zadawania dodatkowych pytań co do treści zawiadomienia, z czego, jak wynika z ustalonego stanu faktycznego, nie skorzystał.

W skardze na powyższą decyzję [...] S.A., reprezentowany przez pełnomocnika, zarzucił naruszenie:

1) art. 6 ust. 1 w związku z art. 5 ust. 1 lit. a RODO, poprzez niewłaściwe zastosowanie ww. przepisów i przyjęcie, że w sytuacji naruszenia ochrony danych osobowych na skutek cyberataku, dochodzi do udostępnienia przez administratora danych osobowych bez podstawy prawnej, podczas gdy zdarzenie to nie stanowi czynności przetwarzania danych przez administratora, w efekcie czego organ udzielił Bankowi upomnienia za zdarzenie, za które Bank odpowiedzialności nie ponosi,

2) art. 58 ust. 2 lit. b RODO poprzez jego zastosowanie i udzielenie Bankowi upomnienia, podczas gdy Bank, działając jako administrator danych osobowych, nie naruszył przepisów RODO,

3) art. 61a § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023 r., poz. 775 ze zm.), dalej: "k.p.a." w związku z art. 7 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781 ze zm.), dalej: "u.o.d.o.", poprzez bezzasadne wszczęcie przez organ postępowania ze skargi uczestnika postępowania oraz udzielenie Bankowi upomnienia w sytuacji, gdy postępowanie to dotyczyło w istocie ustalenia odpowiedzialności Banku za naruszenie ochrony danych osobowych, zaistniałe w związku z atakiem hackerskim na podmiot przetwarzający dane w imieniu Banku, w zakresie którego toczy się odrębne postępowanie wszczęte przez organ z urzędu, co w konsekwencji powinno prowadzić do odmowy wszczęcia postępowania ze skargi indywidualnej podmiotu danych dotyczącego tego samego zdarzenia, a tym samym do zaniechania udzielenia Bankowi upomnienia za zdarzenie, za które odpowiedzialności nie ponosi,

4) art. 7 w związku z art. 77 w związku art 80 k.p.a. w związku z art. 7 u,o.d.o. polegające na:

- braku ustalenia istotnych okoliczności faktycznych sprawy, w tym ustalenia, który z podmiotów zaangażowanych w proces przetwarzania danych zobowiązany był w jego ramach do należytego zabezpieczenia danych osobowych,

- niewyczerpującym rozpatrzeniu materiału dowodowego oraz jego dowolnej ocenie przejawiającej się w uznaniu, iż Bank ponosi odpowiedzialność za naruszenie obowiązków wskazanych w decyzji, podczas gdy brak jest związku przyczynowo - skutkowego między naruszeniem ochrony danych jakie miało miejsce, a zarzucanym Bankowi naruszeniem obowiązków administratora,

co doprowadziło do niezasadnego udzielenia Bankowi upomnienia za zdarzenie, za które odpowiedzialności nie ponosi.

W związku z powyższymi zarzutami Bank wniósł o uchylenie zaskarżonej decyzji oraz umorzenie postępowania administracyjnego; zasądzenie od organu na rzecz Banku zwrotu kosztów postępowania według norm przepisanych, w tym kosztów zastępstwa procesowego wraz z opłatą skarbową od pełnomocnictwa.

W motywach skargi Bank wskazał, iż nie można zgodzić się z twierdzeniem organu, iż w sprawie doszło do naruszenia art. 6 ust. 1 oraz art. 5 ust. 1 lit. a RODO, polegającego na udostępnieniu danych osobowych uczestnika postępowania osobom nieuprawnionym, w związku z wystąpieniem incydentu w [...], które uzasadniałoby udzielenie Bankowi upomnienia na podstawie art. 58 ust. 2 lit. b RODO. Nie sposób bowiem uznać, aby zdarzenie jakie miało miejsce w związku z atakiem hackerskim na [...], stanowiło operację przetwarzania danych osobowych uczestnika przez Bank. W konsekwencji nie sposób odnosić w przedmiotowej sytuacji przepisów RODO, kreujących odpowiedzialność administratora za przetwarzanie danych, do Banku.

Bank wskazał również, że opisywane zdarzenie, w wyniku którego dostęp do danych osobowych uczestnika postępowania uzyskały osoby nieuprawnione, jest przedmiotem odrębnych postępowań administracyjnych wszczętych przed organ z urzędu w związku ze zgłoszeniem naruszenia ochrony danych dokonanym przez [...] (w zakresie w jakim [...] było administratorem tych danych) - znak sprawy: [...] oraz w związku z zgłoszeniem naruszenia ochrony danych dokonanym przez Bank - znak sprawy: [...]. Zgodnie z wiedzą Banku, na dzień sporządzenia niniejszej skargi, żadne z tych postępowań nie zostało zakończone. Postępowania te dotyczą jednak tego samego zdarzenia. Wydanie decyzji kształtującej odpowiedzialność Banku w postępowaniu wszczętym z indywidualnej skargi podmiotu danych, dotkniętego naruszeniem, prowadzi do sytuacji, w której nawet jeśli z postępowania głównego (w odniesieniu do Banku prowadzone pod znakiem [...]) wynikać będzie brak naruszenia przez Bank obowiązków administratora danych, to decyzja w sprawie indywidualnej będzie prawomocnie wskazywać, że ten sam stan faktyczny stanowił jednak naruszenie przepisów RODO po stronie Banku - w obrocie prawnym mogą w ten sposób funkcjonować sprzeczne rozstrzygnięcia i oceny tego samego stanu faktycznego.

Bank zaznaczył, że w niniejszym postępowaniu została wydana decyzja przesądzająca odpowiedzialność Banku za naruszenie ochrony danych, będące - na datę sporządzenia niniejszej skargi - przedmiotem analizy w odrębnym postępowaniu prowadzonym przez organ z urzędu. Zaskarżona decyzja w istocie kształtuje odpowiedzialność Banku za naruszenie ochrony danych na zasadzie ryzyka, bez jakiejkolwiek analizy przyczynienia się Banku do naruszenia ochrony danych oraz bez wykazania jego odpowiedzialności za zaistniałe zdarzenie. Tymczasem w przypadku powierzenia przetwarzania danych osobowych obowiązki wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego stopnia bezpieczeństwa odpowiadającego ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia spoczywają na podmiocie przetwarzającym. Decyzja uznająca, że odpowiedzialność za naruszenie ochrony danych osobowych - w sytuacji powierzenia przetwarzania danych osobowych ponosi administrator danych - mogłaby zostać wydana jedynie wtedy, gdyby naruszenie to powstało w związku realizacją przez podmiot przetwarzający polecenia administratora lub też w związku z niedopełnieniem obowiązków ciążących na administratorze wynikających z art. 28 RODO. W przedmiotowej sprawie organ nie poczynił jednak żadnych ustaleń w przedmiocie odpowiedzialności Banku lub [...] za naruszenie ochrony danych. W ramach postępowania administracyjnego - na podstawie wyjaśnień [...] i Banku, niekwestionowanych przez organ - ustalone zostało, iż do naruszenia ochrony danych, w wyniku którego osoby nieuprawnione uzyskały dostęp do danych m.in. uczestnika, doszło w wyniku ataku hackerskiego typu ransomware na podmiot przetwarzający. Oczywistym jest więc, że w danej sytuacji do uzyskania dostępu do danych osobowych uczestnika przez osoby nieuprawnione doszło z przyczyn niezależnych od Banku.

W odpowiedzi na skargę Prezes UODO wniósł o oddalenie skargi podtrzymując stanowisko jak w zaskarżonej decyzji.

Wskazał, że pojęcie przetwarzania obejmuje różnorodne działania na danych osobowych, w tym również ich udostępnienie. Udostępnienie to także umożliwienie dostępu do danych, co w przypadku niniejszej sprawy bezspornie miało miejsce i zostało ustalone m.in. w oparciu o wyjaśnienia przedłożone przez Bank. W postępowaniu za skargi indywidualnej na udostępnienie danych organ nadzorczy bada legalność ujawnienia (w tym spowodowania dostępności), jako konkretnego procesu przetwarzania danych przez administratora. Każdy natomiast proces przetwarzania danych, aby był legalny, musi znajdować oparcie w co najmniej jednej z przesłanek określonych w art. 6 ust. 1 RODO. Administrator danych zobowiązany jest zaś wykazać zgodność swojego działania z przepisami RODO w postępowaniu przed organem nadzorczym. Przeprowadzone postępowanie dowodowe jednoznacznie wykazało, również na podstawie przedłożonych przez Bank w toku postępowania wyjaśnień, że doszło do udostępnienia podmiotom nieuprawnionym, tj. podmiotom w stosunku do których Bank nie legitymował się przesłanką wynikającą z art. 6 ust. 1 RODO, danych osobowych uczestnika postępowania.

Organ podkreślił, iż brak było postaw do umorzenia postępowania administracyjnego w niniejszej sprawie. Skarga indywidualna, o której mowa w art. 77 ust. 1 RODO oraz zawiadomienie do organu nadzorczego wniesione przez administratora, o którym mowa w art. 33 ust. 1 RODO, inicjują odmienne postępowania przed organem nadzorczym. Osoba, której danych osobowych dotyczy naruszenie, w przypadku wszczęcia z urzędu postępowania dotyczącego zawiadomienia wniesionego przez administratora, nie jest stroną tego postępowania. W ramach zaś postępowania wszczętego na skutek skargi indywidualnej osoby, której dane dotyczą, organ bada prawidłowość zakwestionowanego przez nią procesu przetwarzania związanego z naruszeniem bezpieczeństwa danych.

W świetle art. 32 ust. 1 RODO odpowiedzialność administratora za zapewnienie bezpieczeństwa przetwarzania danych osobowych poprzez powierzenie ich przetwarzania podmiotowi przetwarzającemu nie zostaje wyłączona. Przyjęcie odmiennej interpretacji przepisu prowadziłoby do błędnego wniosku, iż w momencie zawiązania węzła prawnego w postaci umowy powierzenia danych osobowych, administrator staje się w istocie wyłączony spod przepisów RODO, zobowiązujących go do zapewnienia bezpieczeństwa przetwarzanych danych. Zatem za nieprawidłowe należy uznać przyjęte przez Bank stanowisko, że powierzenie przetwarzania danych osobowych innemu podmiotowi wypełnia obowiązek zapewnienia przez Bank bezpieczeństwa przetwarzania danych osobowych i tym samym zwalnia go z dalszych czynności i odpowiedzialności w tym zakresie. Ostatecznie to administrator odpowiedzialny jest za zapewnienie, aby przetwarzanie danych odbywało się zgodnie z prawem i zasadami określonymi w art. 5 RODO, w tym za zapewnienie poufności danych. Powierzenie przetwarzania danych osobowych innemu podmiotowi nie zwalnia administratora od odpowiedzialności za powyższe.

W piśmie procesowym z dnia [...] lipca 2024 r. "Replika na odpowiedź Prezesa UODO na skargę" Bank podtrzymał zarzuty i wnioski skargi.

Podkreślił, iż aby móc stwierdzić, że uzyskanie dostępu przez podmiot nieuprawniony do danych osobowych, których administratorem jest Bank, nastąpiło w wyniku przetwarzania danych przez Bank należałoby wykazać, iż to "uzyskanie dostępu" stanowiło operację wykonywaną przez Bank na danych osobowych albo przez podmiot przetwarzający w imieniu Banku. Organ zaś takiej okoliczności nie wykazał, co więcej, swoją argumentację w tym zakresie oparł na nieprawidłowym założeniu, iż Bank umożliwił osobom nieuprawnionym dostęp do danych. Założenie to byłoby uprawnione jedynie w przypadku udowodnienia, iż uzyskanie dostępu przez osoby nieuprawnione nastąpiło albo w wyniku realizacji przez [...] polecenia przetwarzania danych wydanego przez Bank, albo w wyniku niedopełnienia przez Bank obowiązków w zakresie zabezpieczenia tych danych. W przedmiotowej sprawie organ nie dokonał zaś oceny stosowanych przez Bank i [...] środków bezpieczeństwa. Dane osobowe przetwarzane były w stanie faktycznym niniejszej sprawy nie w infrastrukturze Banku, a [...], a to oznacza, że ewentualne niedopełnienie przez Bank obowiązków w zakresie zabezpieczenia danych mogłoby jedynie przybrać postać naruszenia obowiązku z art. 28 ust. 1 RODO, czyli obowiązku związanego z wyborem podmiotu przetwarzającego - okoliczność ta nie została jednak przez organ wykazana.

Powołując wyrok Trybunału Sprawiedliwości Unii Europejskiej z dnia 14 grudnia 2023 r. w sprawie C-340/21 odnoszący się do kwestii oceny odpowiedzialności administratora danych za naruszenie ochrony danych osobowych w wyniku ataku hackerskiego, Bank wskazał, że dla oceny odpowiedzialności administratora kluczowe jest dokonanie analizy charakteru, jak i treści środków wdrożonych przez podmioty zaangażowane w proces przetwarzania danych. W ocenie Banku analiza ta powinna nastąpić przede wszystkim w postępowaniu wszczętym przez Prezesa UODO w związku ze zgłoszeniem przez Bank naruszenia ochrony danych osobowych. Jeśli jednak organ uznaje za zasadne, tak jak w przedmiotowym postępowaniu, oceniać przetwarzanie danych osobowych przez Bank w związku z ww. naruszeniem w kontekście niedopełnienia przez Bank obowiązków wynikających z art. 6 ust. 1 oraz art. 5 ust. 1 lit. a RODO, to również w tym postępowaniu powinien był zbadać te okoliczności, jako mające kluczowe znaczenie dla oceny dopełnienia przez Bank jako administratora danych, obowiązków wynikających z RODO.

Na rozprawie w dniu [...] lipca 2024 r. pełnomocnik Banku oświadczył, że nie posiada wiedzy na temat sposobu zakończenia postępowania wszczętego przez organ z urzędu w związku ze zgłoszeniem naruszenia ochrony danych przez Bank. Pełnomocnik organu oświadczył, że również nie posiada wiedzy w tym zakresie.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. z 2022 r., poz. 2492) oraz art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024 r., poz. 935), dalej: "p.p.s.a.", sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. Kontrola ta polega na ocenie zgodności zaskarżonego aktu z przepisami postępowania administracyjnego, a także prawidłowości zastosowania i wykładni norm prawa materialnego.

W myśl art. 134 § 1 i 2 p.p.s.a. sąd rozstrzyga w granicach danej sprawy nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną z zastrzeżeniem art. 57a. Sąd nie może wydać orzeczenia na niekorzyść skarżącego, chyba że stwierdzi naruszenie prawa skutkujące stwierdzeniem nieważności zaskarżonego aktu lub czynności.

Skarga oceniana w świetle powyższych przepisów zasługuje na uwzględnienie.

Zaskarżoną decyzją z dnia [...] października 2023 r. Prezes UODO udzielił [...] S.A. upomnienia za naruszenie art. 6 ust. 1 oraz art. 5 ust. 1 lit. a RODO polegające na udostępnieniu danych osobowych K. P. w zakresie imienia, nazwiska, numeru PESEL, daty urodzenia, adresu, okresu zatrudnienia, jednostki organizacyjnej i lokalizacji osobom nieuprawnionym w związku z wystąpieniem incydentu w [...] S.A. - firmie świadczącej usługi outsourcingowe w zakresie kadr i płac.

Organ jednak nie wykazał, że udostępnienie danych osobowych uczestnika postępowania w realiach niniejszej sprawy faktycznie miało miejsce. W konsekwencji błędnie, bowiem co najmniej przedwcześnie, uznał, że Bank przetwarzał dane osobowe uczestnika postępowania bez podstawy prawnej, a w konsekwencji, że doszło do naruszenia zasady legalności, rzetelności i przejrzystości przetwarzania danych. Zaniechanie organu w tym względzie stanowi o naruszeniu art. 7, art. 77 § 1 oraz art. 107 § 3 k.p.a. w związku z art. 4 pkt 2, art. 6 ust. 1 oraz art. 5 ust. 1 lit. a RODO, które to naruszenie mogło mieć istotny wpływ na wynik sprawy.

Uwzględniając powyższe wskazać należy, że zgodnie z art. 4 pkt 2 RODO "przetwarzanie" oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Zgodnie z art. 6 ust. 1 rozporządzenia RODO, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

W myśl art. 5 ust. 1 lit. a RODO dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.

W uzasadnieniu zaskarżonej decyzji organ stwierdził, że "w realiach niniejszej sprawy (...) doszło do udostępnienia danych osobowych Skarżącego na rzecz osób nieuprawnionych". Jednocześnie jednak organ nie wyjaśnił na czym owo "udostępnienie" polegało w przedstawionych okolicznościach faktycznych. Tymczasem kwestia ta ma kluczowe znacznie dla podjętego w sprawie rozstrzygnięcia, które zostało wydane, jak podkreślano w zaskarżonej decyzji, w postępowaniu administracyjnym ograniczonym do badania legalności procesu przetwarzania danych osobowych uczestnika postępowania.

Warto w tym względzie wskazać, że zgodnie z powołanymi przez organ wyjaśnieniami Banku z dnia [...] lipca 2023 r., Spółka [...] (przetwarzająca dane osobowe uczestnika postępowania w imieniu i na rzecz Banku na podstawie umowy powierzenia przetwarzania danych z dnia [...] maja 2028 r.) padła ofiarą ataku hackerskiego typu ransomware. Atak polegał na zaszyfrowaniu danych znajdujących się na serwerach Spółki (które następnie zostały przywrócone z kopii bezpieczeństwa), a w dalszej kolejności wykradzeniu danych.

[...] potwierdziła w wyjaśnieniach z dnia [...] lipca 2023 r., iż padła ofiarą ataku typu ransomware (administrator systemu w dniu [...] kwietnia 2023 r. zaobserwował na stacji roboczej, na której był zalogowany, podejrzany proces o nazwie [...] i zatrzymał go; zespół [...] zablokował przestępcom dostęp do zasobów Spółki oraz zatrzymał możliwość jakichkolwiek dalszych niepożądanych działań; kopie zapasowe nie zostały dotknięte atakiem i firma była w stanie sprawnie, z zachowaniem zasad bezpieczeństwa, odtworzyć w całości zaszyfrowaną część zasobów firmy). Niezwłocznie po identyfikacji zdarzenia uruchomiona została procedura zarządzania kryzysowego i wdrożone zostały procedury bezpieczeństwa, wynikające ze standardów ISO obowiązujących w firmie (ISO 27001 i ISO 22301).

Z kolei w piśmie z dnia [...] czerwca 2023 r. skierowanym do uczestnika postępowania (załączonym do skargi na naruszenie zasad przetwarzania danych osobowych z dnia [...] czerwca 2023 r.) Bank wskazał, że w dniu [...] kwietnia 2023 r. Spółka [...] padła ofiarą ataku cybernetycznego, na skutek którego doszło do naruszenia danych osobowych. Cyberprzestępcy wykradli pliki, w których znajdowały się dane osobowe uczestnika postępowania. Atak polegał na zaszyfrowaniu danych znajdujących się na serwerach i stacjach roboczych [...]. W wyniku ataku wykradziona została część danych znajdujących się na serwerach i stacjach roboczych [...]. Wśród wykradzionych danych znajdowały się również dane osobowe uczestnika postępowania.

Uwzględniając powyższe okoliczności organ nie wykazał na czym polegało w niniejszej sprawie udostępnienie danych osobowych uczestnika postępowania osobom nieuprawnionym. Nie dokonał subsumcji ustalonego stanu faktycznego do art. 4 pkt 2 RODO.

Dopiero w odpowiedzi na skargę (co jest działaniem spóźnionym i nieprawidłowym, bowiem odpowiedź na skargę - niebędąca aktem administracyjnym - nie podlega kontroli Sądu) organ powołał art. 4 ust. 2 RODO, zaś odwołując się do poglądów piśmiennictwa wskazał, że pojęcie "przetwarzania danych osobowych" dotyczy wszelkich operacji odbywających się na danych osobowych niezależnie od tego, czy prowadzą one do modyfikacji treści danych, czy też nie. Stwierdził, że takie rozumienie pojęcia "przetwarzania" obejmuje wszelkie operacje na danych, co ma umożliwić zapewnienie ochrony w odniesieniu do różnorodnych działań dokonywanych na danych, począwszy od gromadzenia danych poprzez rozmaite czynności, których przedmiotem są dane osobowe, a na usuwaniu danych skończywszy. Jako udostępnienie danych osobowych należy traktować nie tylko fizyczne przekazanie danych w wyniku działania administratora (np. ujawnianie poprzez przesłanie), ale także rozpowszechnianie lub innego rodzaju udostępnianie (ang. "otherwise making available"). Organ stwierdził, że "udostępnienie to także umożliwienie dostępu do danych, co w przypadku niniejszej sprawy bezspornie miało miejsce i zostało ustalone m.in. w oparciu o wyjaśnienia przedłożone przez Bank".

Sądowi w składzie orzekającym znane są poglądy Wojewódzkiego Sądu Administracyjnego w Warszawie, w których wskazuje się - odnośnie ujawnienia danych osobowych (art. 4 pkt 2 RODO) jako jednej z form przetwarzania danych - że ujawnienie danych nie musi być wynikiem zaplanowanej operacji i nie musi być równoznaczne z działaniem (aktywnością) takim jak przesłanie, czy rozpowszechnianie danych (aktywne dzielenie się danymi). Może ono polegać na innego rodzaju udostępnieniu poprzez umożliwienie dostępu do danych (por. np. nieprawomocne wyroki WSA w Warszawie z dnia 20 kwietnia 2022 r., sygn. akt II SA/Wa 3515/21; z dnia 28 lutego 2024 r., sygn. akt II SA/Wa 1371/23; CBOSA).

Abstrahując od okoliczności faktycznych w jakich zapadły ww. wyroki, Sąd orzekający w niniejszej sprawie - co do zasady - poglądy te podziela. Rzecz jednak w tym, że w zaskarżonej decyzji organ w żaden sposób nie wykazał, że doszło do "innego rodzaju udostępnienia danych osobowych uczestnika postępowania poprzez umożliwienie dostępu do danych". Nie sposób przy tym podzielić stanowiska organu wyrażonego w odpowiedzi na skargę, że owo "umożliwienie dostępu do danych" jest w sprawie "bezsporne" i zostało ustalone na podstawie wyjaśnień Banku. Organ w zaskarżonej decyzji takich okoliczności nie ustalił i takich wniosków nie wyprowadził. Powołane we wstępnej części uzasadnienia zaskarżonej decyzji wyjaśnienia Banku w żaden sposób nie pozwalają na przyjęcie, że miało miejsce "umożliwienie dostępu do danych", czy też "niezamierzone spowodowanie dostępności danych". Bank wskazywał, że [...] padła ofiarą ataku hackerskiego wyjaśniając jednocześnie na czym atak ten polegał. Organ zaś nie wykazał, z jakich względów atak hackerski i kradzież danych osobowych miałyby wypełniać przesłankę udostępnienia danych osobowych uczestnika postępowania poprzez umożliwienie dostępu do tych danych osobom nieuprawnionym, za które to udostępnienie odpowiedzialny jest Bank.

W konsekwencji organ nie wykazał z jakich względów uznał, że Bank przetwarzał dane osobowe uczestnika postępowania bez podstawy prawnej (art. 6 ust. 1 RODO) i z naruszeniem zasady legalności wyrażonej w art. 5 ust. 1 lit. a RODO.

Wbrew stanowisku przedstawionemu w odpowiedzi na skargę organ nie dopełnił obowiązków wynikających z art. 7 i art. 77 § 1 k.p.a., tj. nie rozpatrzył w sposób wszechstronny zgromadzonego w sprawie materiału dowodowego. Nie uzasadnił też decyzji zgodnie z wymogami określonymi w art. 107 § 3 k.p.a., bowiem nie wyjaśnił ani w sferze faktów ani w sferze prawa dlaczego uznał, że doszło do naruszenia przepisów RODO poprzez operację przetwarzania danych, które sankcjonowałoby zastosowanie wobec Banku środka naprawczego w postaci upomnienia (art. 58 ust. 2 lit. b RODO).

W uzasadnieniu zaskarżonej decyzji organ odwołał się do art. 5 ust. 1 lit. f RODO, zgodnie z którym dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność"). Stwierdził przy tym, że w niniejszej sprawie doszło do naruszenia poufności danych osobowych uczestnika postępowania przetwarzanych przez Bank jako administratora, a powierzonych [...] w celu realizacji świadczeń wynikających z postanowień umowy zawartej pomiędzy tymi podmiotami. Stanowiska swego organ w żaden sposób nie uzasadnił.

W ocenie Sądu stanowisko to budzi wątpliwości w świetle uprzedniego stwierdzenia organu, że przedmiotowe postępowanie administracyjne zostało ograniczone do badania legalności procesu przetwarzania danych osobowych uczestnika, który postępowanie to zainicjował, zaś czynności w sprawie ogólnych praktyk stosowanych przez administratora danych oraz jego obowiązki związane z bezpieczeństwem przetwarzania i ich ocena, może być badana w toku prowadzonej kontroli prowadzonej z urzędu niezależnie od niniejszego postępowania.

W istocie, jak wynika z akt sprawy, postępowanie zainicjowane skargą uczestnika z dnia [...] czerwca 2023 r. (art. 77 ust. 1 RODO) dotyczyło nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...], polegających na udostępnieniu danych osobowych bez podstawy prawnej i z naruszeniem zasady legalności przetwarzania (art. 6 ust. 1 i art. 5 ust. 1 lit. a RODO), zaś odwołanie się przez organ do art. 5 ust. 1 lit. f RODO nie zostało uzasadnione. Ma to istotne znaczenie w sytuacji, gdy zaskarżona decyzja nie rozstrzygała kwestii dotyczących zastosowania odpowiednich środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemu przetwarzania danych osobowych, a także zapewniających zdolność skutecznego i szybkiego stwierdzenia naruszenia ochrony danych osobowych oraz zapewniających regularną ocenę skuteczności tych środków. Innym bowiem postępowaniem jest postępowanie w ramach którego dokonywana jest ocena prawidłowości stosowania przepisów sekcji 1 (Obowiązki ogólne), czy sekcji 2 (Bezpieczeństwo danych osobowych) rozdziału IV RODO, czego w tej sprawie organ nie dokonywał, a innym rozpatrywanie przez Prezesa UODO indywidualnej skargi wniesionej przez osobę, której dane dotyczą, na nieprawidłowości w procesie przetwarzania jej danych osobowych w świetle art. 6 ust. 1 RODO.

W postępowaniu zakończonym zaskarżoną decyzją organ nie wykazał, że po pierwsze miało miejsce przetwarzanie (udostępnienie) danych osobowych uczestnika, a w konsekwencji, że doszło do nieprawidłowości w procesie tego przetwarzania w zakresie wskazanym w sentencji decyzji. Organ nie rozważył wyjaśnień Banku i [...] złożonych w toku postępowania, z których wynikało, że uzyskanie przez podmiot nieuprawniony dostępu do danych osobowych uczestnika postępowania miało miejsce na skutek ataku cybernetycznego na [...] i kradzieży danych. Okoliczności te są kluczowe dla ustalenia, czy w ogóle miało miejsce przetwarzanie (udostępnienie danych osobowych uczestnika) z naruszeniem art. 6 ust. 1 i art. 5 ust. 1 lit. a RODO, za które odpowiedzialność ponosi Bank, a w dalszej kolejności, czy zasadna jest ocena indywidualnej skargi na nieprawidłowości w procesie przetwarzania danych osobowych niezależnie od oceny dopełnienia obowiązków zapewnienia bezpieczeństwa danych w postępowaniu wszczętym przez organ z urzędu w związku ze zgłoszeniem przez Bank naruszenia ochrony danych osobowych. Biorąc pod uwagę zgromadzony materiał dowodowy organ winien rozważyć, czy podnoszone przez uczestnika postępowania nieprawidłowości w procesie przetwarzania jego danych osobowych są powiązane z naruszeniem danych osobowych jakie miało miejsce w [...] na skutek ataku hackerskiego, a tym samym czy możliwa jest ocena tych nieprawidłowości bez zbadania, czy zastosowane przez Bank i [...] środki bezpieczeństwa odpowiadały zidentyfikowanemu przez te podmioty ryzyku naruszenia praw i wolności osób fizycznych, czy też nie.

Konkludując Sąd stwierdza, że zaniechanie wyjaśnienia motywów podjętego rozstrzygnięcia oraz pozostałych wyżej wymienionych kwestii skutkowało naruszeniem art. 7, art. 77 § 1 oraz art. 107 § 3 k.p.a. w związku z art. 4 pkt 2, art. 6 ust. 1 oraz art. 5 ust. 1 lit. a RODO. To z kolei obligowało Sąd do uchylenia zaskarżonej decyzji.

Uwzględniając powody uchylenia zaskarżonej decyzji Sąd uznał za niecelowe ustosunkowanie się do pozostałych zarzutów skargi dotyczących w szczególności braku ustalenia, który z podmiotów zaangażowanych w proces przetwarzania danych zobowiązany był w jego ramach do należytego zabezpieczenia danych osobowych, a także błędnego uznania, że Bank ponosi odpowiedzialność za naruszenie obowiązków wskazanych w decyzji w sytuacji, gdy brak jest związku przyczynowo - skutkowego między naruszeniem ochrony danych jakie miało miejsce, a zarzucanym Bankowi naruszeniem obowiązków administratora. Zarzuty te dotyczą bowiem kwestii mających charakter następczy w stosunku do zagadnień wskazanych przez Sąd w uzasadnieniu wyroku, a wymagających ustalenia i rozstrzygnięcia przez organ.

Sąd nie uwzględnił wniosku Banku o umorzenie postępowania administracyjnego (art. 145 § 3 p.p.s.a.), bowiem na obecnym etapie postępowania, z powodów wskazanych w uzasadnieniu wyroku, nie stwierdził ku temu wystarczających przesłanek.

Rozpatrując sprawę ponownie Prezes UODO uwzględni powyższą ocenę prawną. Ponownie rozpatrzy (ewentualnie uzupełni) zgromadzony w sprawie materiał dowodowy od kątem istnienia ewentualnych nieprawidłowości w procesie przetwarzania danych osobowych uczestnika postępowania w niniejszym postępowaniu. W zależności do poczynionych ustaleń podejmie rozstrzygnięcie biorąc również pod uwagę zasadność dalszego prowadzenia postępowania administracyjnego w przedmiotowej sprawie.

Mając na względzie wszystko powyższe, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. c w związku z lit. a p.p.s.a., orzekł jak w punkcie 1 sentencji wyroku. O kosztach postępowania obejmujących wpis od skargi, wynagrodzenie pełnomocnika w stawce minimalnej oraz opłatę skarbową od pełnomocnictwa (697 złotych), Sąd postanowił na podstawie art. 200 i art. 205 § 2 p.p.s.a., jak w punkcie 2 sentencji wyroku.