Znamy uzasadnienie wyroku WSA oddalającego skargę Banku na karę ponad 540 000 zł

WSA w Warszawie opublikował uzasadnienie swojego orzeczenia z listopada 2022 r., w którym oddalił skargę pewnego Banku na decyzję Prezesa UODO nakazującą zawiadomienie, w terminie 3 dni, ponad 10 000 pracowników o zaistniałym naruszeniu ochrony danych osobowych i nakładającym administracyjną karę pieniężną w wysokości 545 748 zł. 

Naruszenie polegało na posiadaniu przez byłego pracownika Banku, któremu nie odebrano po zakończeniu stosunku pracy dostępu do Platformy Usług Elektronicznych […] ([…]), nieuprawnionego dostępu do tejże platformy, w wyniku czego mógł on przeglądać znajdujące się na profilu płatnika […] S.A. dane pracowników Banku w zakresie ich imion i nazwisk, nr PESEL, adresu zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowiących dane dotyczące zdrowia.

Prezes UODO prowadząc postępowanie ustalił, że ów były pracownik Banku korzystał ze swoich uprawnień i logował się pięciokrotnie do platformy […] (w następujących terminach: 2020-06-30, godz. 21:09:54; 2020-06-30, godz. 21:00:42; 2020-06-30, godz. 21:02:37; 2020-10-26, godz. 22:01:27; 2021-02-03, godz. 20:50:14), zyskując tym samym nieuprawniony wgląd w dane osobowe pracowników Banku. Organ nie ustalał zaś obszarów, które były przeglądane przez nieuprawnioną osobę ani tego, do jakich konkretnie danych i dotyczących ilu pracowników osoba ta uzyskała dostęp w trakcie logowań na profil płatnika […] S.A. na platformie […].

Sąd wskazał, że:

postępując zgodnie z prawem i wykazując dbałość o interesy osób, których dane dotyczą, administrator musi bez zbędnej zwłoki zapewnić osobom, których dane dotyczą, możliwość jak najlepszej ochrony danych osobowych. Dla osiągnięcia tego celu niezbędne jest przynajmniej wskazanie tych informacji, które wymienione są w art. 34 ust. 2 rozporządzenia 2016/679;

stosując przepisy rozporządzenia 2016/679, należy mieć na uwadze, że głównym celem tego rozporządzenia (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły);

odnosząc przywołane regulacje do stanu faktycznego sprawy jako uprawniona jawiła się konkluzja, że organ poprawnie ustalił fakt naruszenia ochrony danych osobowych, o którym administrator danych powinien powiadomić osoby, których danych dotyczyło owo naruszenie. Okolicznością niesporną jest przecież to, że były pracownik Banku, po zakończeniu stosunku zatrudnienia, posiadał nadal możliwość logowania się do platformy […] a poprzez to posiadał dostęp do danych pracowników Banku w zakresie ich imion i nazwisk, nr PESEL, adresu zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowiących dane dotyczące zdrowia;

poza sporem była też okoliczność, że ów były pracownik Banku skorzystał z tego nieuprawnionego przywileju i logował się pięciokrotnie do platformy […] (w następujących terminach: 2020-06-30, godz. 21:09:54; 2020-06-30, godz. 21:00:42; 2020-06-30, godz. 21:02:37; 2020-10-26, godz. 22:01:27; 2021-02-03, godz. 20:50:14), zyskując tym samym nieuprawniony wgląd w dane osobowe pracowników Banku.

Nadto według Sądu:

z powyższego organ w sposób uprawniony wywiódł, że sama możliwość nieograniczonego dostępu przez byłego pracownika Banku, do wielce wrażliwych danych znajdujących się na platformie […], które to dane dotyczyły aż 10 500 osób, powoduje istnienie wysokiego ryzyka dla praw i wolności osób, których danych mógł dotyczyć ten nieuprawniony dostęp. O wysokim ryzyku świadczy bowiem nie tylko zakres danych zgromadzonych na platformie […], ale też bardzo długi czas w jakim Bank tolerował omawiany nieuprawniony dostęp do tych danych byłemu pracownikowi, jak też oczywiście liczba osób dotkniętych potencjalnym naruszeniem ich danych osobowych.

skoro więc zaistniało wysokie ryzyko dla praw i wolności osób, organ miał bezwzględny obowiązek dokonać zawiadomienia o jakim mowa w art. 34 RODO.

na marginesie niejako należało dodać, że Bank w sposób niewłaściwy odwołuje się do prawno-karnego pojęcia zamiaru bezpośredniego czy ewentualnego. W realiach prawnych niniejszej sprawy nie jest bowiem konieczne ustalenie, że administrator danych umyślnie zaniechał omawianego zawiadamiania dla dokonania czynu zabronionego (czego z resztą organ nigdy nie suponował Bankowi). Dla rozstrzygnięcia skargi wystarczy ustalenie, że będąc nawet w błędzie co do braku wystąpienia wysokiego ryzyka, administrator danych nie dokonał stosownego zawiadomienia;

Ostatecznie Sąd wskazał, że:

przechodząc do oceny motywów nałożenia administracyjnej kary pieniężnej wyjaśnić należało, że czynność organu w ww. zakresie należy do kategorii tzw. uznania administracyjnego. Stąd jej ocena ograniczona jest do badania, czy uzasadnienie dla zastosowania omawianego środka zostało sporządzone w sposób wyczerpujący i przekonujący;

zasadne były też wnioski organu o braku zadawalającej współpracy z Bankiem skoro do poprawnego zawiadomienia osób, których dotyczyło sporne naruszenie doszło dopiero po wydaniu skarżonej decyzji (pomimo uwag organu artykułowanych już na początku trwania postępowania administracyjnego).

od powzięcia przez Bank informacji o naruszeniu ochrony danych osobowych, generującego wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a tym samym skutkującego koniecznością zawiadomienia o naruszeniu osób, których dane dotyczą tj. […] lutego 2021 r. do dnia wydania niniejszej decyzji upłynęło 11 miesięcy, w trakcie których ryzyko naruszenia praw lub wolności osób dotkniętych naruszeniem mogło się zrealizować, a czemu osoby te nie mogły przeciwdziałać ze względu na niewywiązanie się przez Bank z obowiązku powiadomienia osób, których dane dotyczą, o naruszeniu. Dodatkowo za okoliczność obciążającą uznać należy fakt, iż naruszenie, polegające na niezawiadomieniu osób o naruszeniu ochrony ich danych osobowych, obejmowało dane 10 500 osób.