NSA potwierdza zasadność nałożenia kary – zgłoszenie naruszenia na korzyść

Naczelny Sąd Administracyjny opublikował obszerne uzasadnienie orzeczenia z grudnia 2023 r., w którym oddalił skargę kasacyjną pewnego administratora danych osobowych.

Sprawa miała swój początek w naruszeniu ochrony danych osobowych, które miało miejsce w lipcu 2018 r., a polegało na:

niezapewnieniu bezpieczeństwa i poufności przetwarzanych danych osobowych osób, którym przyznano licencje sędziowskie w 2015 r., w zakresie numeru PESEL oraz adresu zamieszkania przez ich nieuprawnione ujawnienie na stronie internetowej […] pod linkiem: […] w zakładkach “W.”, “J.” oraz “L. ”

Administrator ten zgłosił naruszenie Prezesowi Urzędu Ochrony Danych Osobowych także w lipcu 2018 r. wskazując, że stan naruszenie trwał do końca lipca 2018 r.

Prezes UODO stwierdził w decyzji z lutego 2020 r., że skutek naruszenia został usunięty dopiero w styczniu 2019 r. i i nałożył administracyjną karę pieniężną w wysokości 55.750,50 PLN, co stanowi równowartość 13.000 EUR, według średniego kursu euro ogłoszonego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia 2019 r.

https://judykatura.pl/szkolenia/

Szkolenie z RODO
799
 PLN z VAT
  • Praktyczna wiedza zbudowana na najistotniejszej teorii
  • Elastyczny czas szkolenia – dwa dni po cztery godziny
  • Certyfikat oraz prezentacja z linkami do orzeczeń i wytycznych
  • Darmowy dostęp na 30 dni do wyszukiwarki Judykatura.pl
Wybieram

Wojewódzki Sąd Administracyjny w Warszawie w lutym 2020 r. oddalił skargę administratora i bardzo szeroko uzasadnił swoje stanowisko.

Sąd ten wskazał m. in., że:

Stan naruszenia w procesie przetwarzania danych osobowych przez […] na stronie internetowej był odnotowany w styczniu 2019 r. Wobec powyższego nie zastosowano skutecznych środków technicznych i organizacyjnych zabezpieczających dalsze przetwarzanie tych danych i tym samym doprowadzono do ich dalszego udostępniania nieograniczonej liczbie osób. Nie można zatem uznać, że […], jako administrator, w procesie przetwarzania na swojej stronie internetowej danych 585 osób, którym przyznano licencje sędziowskie w 2015 r., dopełnił ciążących na nim obowiązków przewidzianych w art. 5 ust. 1 lit. f, art. 32 ust. 1 lit. b i art. 32 ust. 2 RODO w zakresie zabezpieczenia danych przed ich udostępnieniem nieokreślonej liczbie osób.

Ponadto, wbrew zarzutom podnoszonym w skardze, że organ nadzorczy stwierdził, iż w sierpniu 2018 r. dane osób, którym przyznano licencje sędziowskie w 2015 r. w zakresie numeru PESEL oraz adresu zamieszkania nie są dostępne w Internecie należy zauważyć, że nie znajduje on potwierdzenia w aktach przedmiotowej sprawy. Sam […] oświadczył, że przedmiotowe naruszenie zostało usunięte, natomiast organ przyjął to jako deklarację ze strony administratora i nie miał podstaw do jej kwestionowania. Wobec powyższego organ nadzorczy nie stwierdził usunięcia naruszenia w procesie przetwarzania danych na stronie internetowej […] w sierpniu 2018 r. W szczególności takie stanowisko nie zostało zawarte w piśmie Prezesa UODO z dnia […] sierpnia 2018 r., skierowanym do […], dotyczącym podjęcia działań mających na celu zawiadomienie osób, których dane dotyczą o naruszeniu ich danych.

Szkolenie z RODO
799
 PLN z VAT
  • Praktyczna wiedza zbudowana na najistotniejszej teorii
  • Elastyczny czas szkolenia – dwa dni po cztery godziny
  • Certyfikat oraz prezentacja z linkami do orzeczeń i wytycznych
  • Darmowy dostęp na 30 dni do wyszukiwarki Judykatura.pl
Wybieram

NSA tak uzasadnił swoją decyzję:

nie ma racji skarżący kasacyjnie Związek wskazując, że skutecznie usunął ze swojej strony internetowej w sierpniu 2018 r. pliki zawierające newralgiczne dane osobowe, gdyż stanowisko to nie znajduje uzasadnienia w zgromadzonym materiale dowodowym.

Sąd kasacyjny odniesie się zbiorczo do podniesionej w tym zarzucie argumentacji. Nie ma racji Związek twierdząc, że skutecznie usunął ze swojej strony internetowej w sierpniu 2018 r. pliki zawierające newralgiczne dane osobowe, a następnie – za pośrednictwem profesjonalnego podmiotu – zwrócił się do dostawców Internetu, w tym administratorów wyszukiwarek internetowych, z żądaniem usunięcia ww. danych z wyników wyszukiwania. Okoliczności sprawy nie potwierdzają tego, aby dane osobowe zostały usunięte ze strony internetowej Związku w sierpniu 2018 r.

nieoparte na prawdzie są twierdzenia, że przedmiotowe dane dostępne były jedynie za pośrednictwem takiej wyszukiwarki, a nie strony internetowej skarżącego. Z notatki służbowej z 16 stycznia 2019 r. wprost wynika, że w tej dacie wykaz osób, które uzyskały licencje sędziów piłkarskich był dostępny na stronie internetowej Związku pod linkiem: […], a nie w wynikach wyszukiwania.

nie może odnieść skutku argument, że dostęp do danych znajdujących się na stronie internetowej Związku był ograniczony z uwagi na okoliczność, że wymagał on uprzedniego dostępu do adresu url i wpisania go w wyszukiwarce internetowej.

oznacza to, że każda osoba dysponująca konkretnym adresem url (linkiem) do strony internetowej Związku ([…]) mogła uzyskać dostęp do danych osobowych 585 sędziów piłkarskich. Dostęp do tej strony nie był ograniczony za pomocą jakichkolwiek środków technicznych takich jak np. login i hasło, dlatego każda osoba, która uzyskała dany link np. od osoby trzeciej, mogła zapoznać się z danymi zgromadzonymi na stronie internetowej Związku.

Prezes UODO prawidłowo ustalił, iż doszło do udostępnienia danych m.in. w zakresie imion i nazwisk, a także numerów PESEL osób fizycznych, a więc danych względnie trwałych, niezmiennych, których ujawnienie zawsze może rodzić ryzyko negatywnych skutków dla ww. osób. Podobnie adresy zamieszkania są to dane osobowe, których nieuprawnione udostępnienie stwarza prawdopodobieństwo wysokiego ryzyka negatywnych skutków prawnych niezależnie od tego, iż do ujawnienia adresów doszło po kilku latach od ich aktualizacji. Niezależnie od powyższego, nieracjonalne byłoby wymaganie, aby organ nadzorczy, w braku własnych wątpliwości i wniosków dowodowych stron w tym zakresie, ustalał aktualność adresów zamieszkania poszczególnych 585 osób, których udostępnienie danych dotyczyło.

Szkolenie z RODO
799
 PLN z VAT
  • Praktyczna wiedza zbudowana na najistotniejszej teorii
  • Elastyczny czas szkolenia – dwa dni po cztery godziny
  • Certyfikat oraz prezentacja z linkami do orzeczeń i wytycznych
  • Darmowy dostęp na 30 dni do wyszukiwarki Judykatura.pl
Wybieram

Zdaniem NSA:

brak jest podstaw do zakwestionowania wykonania przez organ obowiązków, o których mowa w art. 107 § 3 k.p.a. w zw. z art. 72 u.o.d.o. W zakresie wysokości sankcji Prezes UODO wskazał, że wziął pod uwagę m.in. nieumyślny charakter naruszenia, do którego doszło na skutek niedochowania należytej staranności ze strony […], a także brak informacji, aby osoby, których dane dotyczą, doznały szkody majątkowej, aczkolwiek samo naruszenie poufności danych stanowić może szkodę niemajątkową. Ocenę tę NSA w składzie orzekającym uznaje za prawidłową.

bezspornie “odpowiednie” na gruncie art. 32 ust. 1 RODO środki techniczne i organizacyjne, to nie środki skuteczne w każdym przypadku, a takie, których dochowanie mogło być w dacie i okolicznościach dostępu do danych osobowych, obiektywnie wymagane od danego podmiotu (administratora albo podmiotu przetwarzającego) – zob. wyrok NSA z 9 lutego 2023 r., III OSK 3945/21, LEX nr 3508987.

należy jednak podkreślić, że organ w zaskarżonej decyzji nie uznał, iż każde naruszenie art. 5 ust. 1 lit. f) RODO jest związane z uprzednim niezapewnieniem przez administratora odpowiednich środków technicznych i organizacyjnych ochrony danych osobowych.

w ocenie NSA nałożona kara jest proporcjonalna, zważywszy zarówno na wysoką liczbę (585 osób dotkniętych naruszeniem), jak i charakter udostępnionych danych osobowych (adresy zamieszkania i numery PESEL).

podkreślenia wymaga, że w zakresie ustalonego przez organ stanu faktycznego Prezes UODO wskazał, że odpowiedzialność za naruszenie ma charakter nieumyślny, a naruszenie art. 5 ust. 1 lit. f, art. 32 ust. 1 lit. b i art. 32 ust. 2 RODO powstało na skutek niedochowania należytej staranności ze strony Związku.

Co ważne NSA podniósł także, że:

wprawdzie błędnie organ wywodzi, że “samodzielne zgłoszenie przez […] naruszenia ochrony danych osobowych oraz fakt, że aktualnie […] na swojej stronie internetowej nie przetwarza danych osobowych osób, którym przyznano licencje sędziowskie w roku 2015 nie stanowi okoliczności łagodzącej dla przyznania kary, ponieważ działania takie są wymagane przepisami prawa”.

w ocenie Sądu kasacyjnego okoliczność powiadomienia organu o naruszeniu, jakkolwiek prawnie wymagana, powinna przemawiać na korzyść jednostki, stosownie do art. 83 ust. 2 lit. h RODO.

dlatego podjęte przez Związek działania, w tym zawiadomienie organu nadzorczego, jako nieskuteczne i poprzedzające kilkumiesięczny stan nieuprawnionego udostępnienia danych, nie mogą zostać wzięte pod uwagę jako okoliczność łagodząca. Tym samym pomimo błędnej wykładni art. 83 ust. 2 lit. h RODO należy stwierdzić, że naruszenie to nie miało wpływu na wynik sprawy stosownie do art. 145 § 1 pkt 1 lit. a p.p.s.a.

Szkolenie z RODO
799
 PLN z VAT
  • Praktyczna wiedza zbudowana na najistotniejszej teorii
  • Elastyczny czas szkolenia – dwa dni po cztery godziny
  • Certyfikat oraz prezentacja z linkami do orzeczeń i wytycznych
  • Darmowy dostęp na 30 dni do wyszukiwarki Judykatura.pl
Wybieram