25 000 zł kary utrzymane przez WSA
Na pewno pamiętają Państwo decyzję Prezesa Urzędu Ochrony Danych Osobowych ze stycznia 2021 r., w której organ nałożył na Śląski Uniwersytet Medyczny w Katowicach administracyjną karę pieniężną w wysokości 25 000 zł za brak zgłoszenia naruszenia ochrony danych osobowych oraz co logiczne za brak zawiadomienia osób, których dane dotyczą o naruszeniu ochrony danych osobowych posiadającym wysoki poziom prawdopodobieństwa ryzyka naruszenia prawa i wolności osób, których dane dotyczą.
Prezes Urzędu wskazywał w decyzji, że:
W przedmiotowej sprawie doszło do naruszenia ochrony danych osobowych polegającego na udostępnieniu na platformie […] nagrań obrazujących przebieg egzaminów praktycznych, w trakcie przystępowania do których większość uczestników – studentów została wylegitymowana legitymacją studencką lub dowodem osobistym.
Ponadto fakt, że dane mogły być częściowo czytelne nie wyklucza możliwości zapoznania się z nimi przez osobę nieuprawnioną. Wreszcie nie można pominąć istnienia programów umożliwiających stosowną obróbkę zdjęć lub nagrań w sposób umożliwiający odczytanie tych danych. Te wszystkie okoliczności, jako istotne, powinny być wzięte pod uwagę przez Administratora przy ocenie, czy doszło do naruszenia ochrony danych osobowych, jaka była jego skala oraz czy potencjalnie wiązało się ono z ryzykiem naruszenia praw lub wolności podmiotów danych, a także, czy ryzyko to jest wysokie. Tymczasem, jak wynika z udzielonych wyjaśnień, Administrator tego nie uczynił.
Należy również podkreślić, że w przedmiotowej sprawie nie jest istotne to, czy nieuprawniony odbiorca faktycznie wszedł w posiadanie i zapoznał się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko, a w konsekwencji również potencjalnie wystąpiło ryzyko naruszenia praw lub wolności podmiotów danych.
Uzależnianie reakcji na zaistniałe naruszenie od ziszczenia się jego potencjalnych konsekwencji jest sprzeczne z zasadą, zgodnie z którą administrator ma przeciwdziałać konsekwencjom naruszenia lub minimalizować jego negatywne skutki (w sytuacji, gdy niezasadne jest już stosowanie środków im zapobiegających).
W przedmiotowej sprawie zaistniało ryzyko nieuprawnionego wejścia w posiadanie danych osobowych przez tyle osób, ile miało do nich potencjalny dostęp. To jest co najmniej tyle osób, ile było zarejestrowanych na platformie, ponieważ z informacji, które wpłynęły do tutejszego Urzędu wynika, że istniała „możliwość obejrzenia nagrania po uzyskaniu linku do […] bez konieczności logowania”. Złożone przez Administratora w dniu […] września 2020 roku wyjaśnienia wskazują ponadto, że dostęp do przedmiotowych nagrań uzyskał szerszy niż zakładany przez Administratora krąg osób. Należy również podkreślić, że fakt ewentualnego otwierania pliku zawierającego przedmiotowe nagranie przez kogokolwiek, jego pobierania czy dalszego udostępniania prowadzi do zwiększenia skali naruszenia i tym samym ryzyka naruszenia praw lub wolności osób, których dane dotyczą.
Organ nadzorczy następująco uzasadnił swoją ocenę prawdopodobieństwa ryzyka naruszenia prawa i wolności:
Podkreślić należy, że naruszenie poufności danych, jakie wystąpiło w przedmiotowej sprawie, w związku z naruszeniem ochrony danych osobowych polegającym na udostępnieniu na platformie […] nagrań obrazujących przebieg egzaminów praktycznych, w trakcie przystępowania do których większość uczestniczących w nich studentów została wylegitymowana legitymacją studencką lub dowodem osobistym, w wyniku czego doszło do naruszenia poufności danych tych studentów w zakresie danych znajdujących się na legitymacji studenckiej lub dowodzie osobistym, powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Nie ulega wątpliwości, że przywołane w wytycznych przykłady szkód mogą wystąpić w przypadku osób, których dane osobowe – w niektórych przypadkach łącznie z numerem ewidencyjnym PESEL lub serią i nr dowodu osobistego – zostały utrwalone na udostępnionych nagraniach. Nie bez znaczenia dla takiej oceny jest możliwość łatwej w oparciu o ujawnione dane identyfikacji osób, których dane zostały objęte naruszeniem.
W przedmiotowej sprawie doszło do ujawnienia nagrań, na których utrwalono wizerunki i głosy studentów, którzy w trakcie przystępowania do egzaminów okazywali celem weryfikacji swojej tożsamości legitymacje studenckie lub dowody osobiste, na których zawarte są wyżej wymienione dane osobowe – w niektórych przypadkach również numer ewidencyjny PESEL lub seria i nr dowodu osobistego w zestawieniu z pozostałymi danymi.
Nie ma bowiem pewności, że plik ten nie został następnie udostępniony innym nieuprawnionym odbiorcom, przy czym administrator nie może obarczać odpowiedzialnością za naruszenie osób, którym udostępniono te nagrania – w omawianym przypadku nie budzi wątpliwości to, że to właśnie zaniechania administratora doprowadziły do naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób nim dotkniętych.
W takim stanie faktycznym WSA w Warszawie w wyroku z września 2021 r. oddalił skargę administratora danych:
Sąd, w obszernym uzasadnieniu, wskazał liczne argumenty przemawiające za tym, że nałożona kara w wysokości 25 000 zł jest odpowiednia:
Nie ulega wątpliwości, że w niniejszej sprawie doszło do braku zgłoszenia przez Administratora faktu naruszenia danych osobowych uczestników egzaminów praktycznych z pediatrii organizowanych przez Katedrę i Klinikę […] […] Uniwersytetu Medycznego w […], co stanowi naruszenie art. 33 ust. 1 rozporządzenia 2016/679, a także naruszenie art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą.
W ocenie Sądu wbrew twierdzeniom skarżącego, że utrwalone na nagraniach dane osobowe były nieczytelne lub mało czytelne, należy przyjąć, że twierdzenia te w żaden sposób nie uzasadniają oceny ryzyka naruszenia praw lub wolności osób fizycznych, o którym mowa w art. 33 ust. 1 rozporządzenia 2016/679.
Sąd wyjaśnia, że w rozpatrywanej sprawie nie jest istotne to, czy nieuprawniony odbiorca faktycznie wszedł w posiadanie i zapoznał się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko, a w konsekwencji również potencjalnie wystąpiło ryzyko naruszenia praw lub wolności podmiotów danych.
Przesłanką powstania po stronie administratora powinności zgłoszenia do organu nadzorczego naruszenia ochrony danych osobowych jest wystąpienie naruszenia ochrony danych osobowych, rozumiane jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodne z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesłanych, przechowywanych lub w inny sposób przetwarzanych (art. 4 pkt 12 rozporządzenia 2016/679).
W zakresie “wysokiego ryzyka” Sąd wskazał tak:
Zasadnie organ stwierdził, że w niniejszej sprawie zaistniało ryzyko nieuprawnionego wejścia w posiadanie danych osobowych przez tyle osób, ile miało do nich potencjalny dostęp. To jest co najmniej tyle osób, ile było zarejestrowanych na platformie, ponieważ z informacji, które wpłynęły do tutejszego Urzędu wynika, że istniała “możliwość obejrzenia nagrania po uzyskaniu linku do […] bez konieczności logowania”.
Złożone przez Administratora w dniu […] września 2020 roku wyjaśnienia wskazują ponadto, że dostęp do przedmiotowych nagrań uzyskał szerszy niż zakładany przez Administratora krąg osób. Podkreślenia przy tym wymaga, że fakt ewentualnego otwierania pliku zawierającego przedmiotowe nagranie przez kogokolwiek, jego pobierania czy dalszego udostępniania prowadzi do zwiększenia skali naruszenia i tym samym ryzyka naruszenia praw lub wolności osób, których dane dotyczą.
Naruszenie poufności danych, jakie wystąpiło w przedmiotowej sprawie, w związku z naruszeniem ochrony danych osobowych polegającym na udostępnieniu na platformie […] nagrań obrazujących przebieg egzaminów praktycznych, w trakcie przystępowania do których większość uczestniczących w nich studentów została wylegitymowana legitymacją studencką lub dowodem osobistym, w wyniku czego doszło do naruszenia poufności danych tych studentów w zakresie danych znajdujących się na legitymacji studenckiej lub dowodzie osobistym, powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Nie ulega wątpliwości, że przywołane w wytycznych przykłady szkód mogą wystąpić w przypadku osób, których dane osobowe – w niektórych przypadkach łącznie z numerem ewidencyjnym PESEL lub serią i nr dowodu osobistego – zostały utrwalone na udostępnionych nagraniach. Nie bez znaczenia dla takiej oceny jest możliwość łatwej w oparciu o ujawnione dane identyfikacji osób, których dane zostały objęte naruszeniem. W badanej sprawie doszło do ujawnienia nagrań, na których utrwalono wizerunki i głosy studentów, którzy w trakcie przystępowania do egzaminów okazywali celem weryfikacji swojej tożsamości legitymacje studenckie lub dowody osobiste, na których zawarte są wyżej wymienione dane osobowe – w niektórych przypadkach również numer ewidencyjny PESEL lub seria i nr dowodu osobistego w zestawieniu z pozostałymi danymi. Ponadto, poprzez udostępnienie tych nagrań osobom nieuprawnionym, doszło do ujawnienia innych danych, takich jak cyt.: “(…) informacje o grupie, roku studiów, kierunku, przedmiocie oraz udzielone podczas egzaminu odpowiedzi”.
W konsekwencji oznacza to, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób objętych przedmiotowym naruszeniem, co z kolei skutkuje powstaniem po stronie Administratora obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 33 ust. 3 tego rozporządzenia oraz zawiadomienia tych osób o naruszeniu zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 34 ust. 2 tego rozporządzenia.
Nawet gdyby przyjąć, że możliwość zapoznania się z danymi osobowymi, które obrazuje udostępnione nagranie, miało tylko ww. dwadzieścia sześć osób, to fakt pozostawania tych osób w jakimikolwiek związku z Administratorem nie daje żadnych gwarancji co do intencji tych osób, a ewentualne konsekwencje posłużenia się takimi kategoriami danych mogą być znaczące dla osób, których dane objęte zostały naruszeniem.
Jak widać jest to kolejna sprawa, w której Sąd tożsamo z organem nadzorczym definiuję wysokie ryzyko w sprawie, w której “udostępniono” między innymi numer PESEL. W judykatura.pl będziemy śledzić dalsze losy tej sprawy.