NSA o zadaniach IOD’a i karze za możliwość kopiowania danych

Opublikowano właśnie uzasadnienie wyroku Naczelnego Sądu Administracyjnego dotyczącego oddalenia skargi kasacyjnej w sprawie naruszenia danych osobowych przez SGGW.

Jednym z zarzutów w skardze kasacyjnej było właśnie kwestionowanie czy za naruszenie ochrony danych osobowych na pewno odpowiada SGGW, a nie osoba, która zgrała na swój prywatny komputer bazę danych osób rekrutujących się na studia.

Przed przedstawieniem stanowiska NSA, krótko tylko przypomnę sprawę, bo od samego naruszenia ochrony danych osobowych minęło ponad 6 lat (listopad 2019 r.), od decyzji Prezesa UODO minęło 5 lat, od wyroku WSA w Warszawie 4 lata.

Według ustaleń Prezesa UODO:

naruszenie ochrony danych osobowych kandydatów na studia w SGGW, które miało miejsce […] listopada 2019 r., związane było z kradzieżą przenośnego prywatnego komputera pracownika SGGW – pana A.G, pełniącego również funkcję sekretarza Uczelnianej Komisji Rekrutacyjnej SGGW;

przedmiotowe naruszenie ochrony danych osobowych dotyczy kandydatów na studia w SGGW z okresu ostatnich 5 lat i z przeprowadzonych przez Uczelnię obliczeń wynika, że obejmuje 81 624 rekordy (wpisy) w Systemie Obsługi Kandydatów. Powyższa liczba nie jest dokładną liczbą osób, których danych osobowych naruszenie dotyczy, gdyż w ciągu 5 lat ta sama osoba mogła podchodzić do innej rekrutacji, bądź kandydować na drugi stopień studiów. We wstępnym zgłoszeniu naruszenia ochrony danych osobowych skierowanym do Prezesa Urzędu Ochrony Danych Osobowych […] listopada 2019 r. jako górna granica wskazana została przypuszczalna liczba 100 000 osób, których dane dotyczą;

SGGW jest jednostką sektora publicznego. W tym miejscu wskazać należy na treść art. 102 ustawy o ochronie danych osobowych, z którego wynika ograniczenie (do 100.000 zł) kary, jaka może zostać nałożona na jednostkę sektora publicznego. W ocenie Prezesa UODO zastosowana administracyjna kara pieniężna w wysokości 50.000 zł spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

WSA w Warszawie oddalił skargę wskazując, że:

Z okoliczności sprawy wynika, że […] A.G. w dniu […] listopada 2019 r., kiedy doszło do kradzieży jego przenośnego prywatnego komputera, nie był podmiotem, który samodzielnie ustalał cele i sposoby przetwarzania danych osobowych kandydatów na studia w S[…] oraz samodzielnie wykonywał czynności przetwarzania, ponieważ był pracownikiem tej Uczelni (adiunktem w Katedrze […] S[…] i pełnił funkcję sekretarza Uczelnianej Komisji Rekrutacyjnej S[…]). Zajmował się przetwarzaniem danych osobowych jako osoba zaangażowana przez Uczelnię w proces przetwarzania danych osobowych, w ramach rekrutacji kandydatów na studia na tej Uczelni. Był zatem niewątpliwie osobą działającą w warunkach zależności (podporządkowania) pracodawcy (S[…]), wynikającej ze stosunku pracy łączącego go z tą Uczelnią.

Zdaniem Wojewódzkiego Sądu Administracyjnego w Warszawie, nie zmienia tej sytuacji prawnej działanie naruszające czy wykraczające poza zakres powierzonych mu przez pracodawcę zadań i obowiązków pracowniczych (w tym przypadku polegających na przetwarzaniu danych kandydatów na studia). Wówczas dalej mamy do czynienia z działaniem pracownika (naruszającego swoje obowiązki pracownicze), podlegającym jednak zarachowaniu na rzecz pracodawcy, a nie z samodzielnym działaniem osoby, która wykracza w ten sposób poza swój status pracowniczy.

Z obszernego materiału dowodowego bardzo szeroko zaprezentowanego w uzasadnieniu zaskarżonej decyzji wynika zdaniem Sądu, że skarżąca Uczelnia dopuściła się naruszenia tych zasad, starając się przerzucić odpowiedzialność za te naruszenia na swojego pracownika, pomijając swój udział w powstaniu naruszeń, polegający zarówno na niedopełnieniu swoich obowiązków pracodawcy w zakresie kontroli pracy pracownika, jak i niedopełnieniu obowiązków administratora danych osobowych, określonych w rozporządzeniu RODO.

Uczelnia ograniczyła się do odebrania od […] A.G. oświadczenia o zachowaniu danych osobowych w tajemnicy i o zapoznaniu się z zasadami przetwarzania danych osobowych. Mając świadomość istnienia technicznej możliwości przetwarzania polegającej na eksportowaniu na zewnętrzny nośnik danych osobowych z systemu SOK, nie kontrolowała jednak w sposób dostateczny procesu przetwarzania przez niego danych osobowych w związku z czynnościami podejmowanymi, nie weryfikowała prawidłowości przetwarzania przez pracownika tych danych. Świadczy o tym to, że nie posiadała wiedzy o możliwości pobierania danych z SOK bez rejestrowania tego procesu w systemie informatycznym oraz o tym, że jej pracownik […] A.G., z SOK importował na swój prywatny komputer zestawy danych osobowych kandydatów na studia z okresu ostatnich 5 lat, a więc przetwarzał je poza przewidziany okres 3 miesięcy, poza zakresem upoważnienia oraz gromadził poza obszarem przetwarzania (upoważnienie nie obejmowało zapisywania i przechowywania danych osobowych na prywatnym komputerze i wynoszeniu ich poza teren S[…]).

Z treści art. 84 ust. 1 pkt b rozporządzenia RODO wynika, że przewidziana w rozporządzeniu odpowiedzialność administracyjna w postaci kar pieniężnych jest odpowiedzialnością obiektywną (za sam skutek czyli naruszenie prawa), a więc niezależną od winy sprawcy (wina może mieć jedynie wpływ na wysokość kary).

NSA oddalając skargę kasacyjną wskazał, że:

naruszenie ochrony danych osobowych dotyczy kandydatów na studia w SGGW z okresu ostatnich 5 lat i z przeprowadzonych przez Uczelnię obliczeń wynika, że obejmuje 81 624 rekordy (wpisy) w Systemie Obsługi Kandydatów.

W niniejszej sprawie Wojewódzki Sąd Administracyjny w Warszawie stwierdził, ze zarzuty skargi są nieuzasadnione i dlatego na podstawie art. 151 ustawy z 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r. poz. 2325 z późn. zm., zwana dalej: “p.p.s.a.”) orzekł jak w sentencji.

Nie jest zatem zasadny zarzut opierający się na “braku dokonania w I instancji postępowania sądowoadministracyjnego wyczerpujących i własnych ustaleń polegających na zbadaniu stanu faktycznego i jego weryfikacji”, co miałoby w ocenie skarżącego kasacyjnie prowadzić do uznania dra hab. A. G. za administratora danych w rozumieniu art. 4 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych); Dz.U.UE.L.2016.119.1; dalej: “rozporządzenie 2016/697” lub “RODO”).

Trzeba wskazać, że nie jest kwestionowana okoliczność, na którą powołuje się skarżąca kasacyjnie, iż dr hab. A. G. bez wiedzy i zgody skarżącej kasacyjnie importował na swój prywatny komputer i przechowywał na nim zestawy danych osobowych kandydatów na studia I i II stopnia oraz jednolitych studiów magisterskich, poza zakresem nadanego mu upoważnienia do przetwarzania danych osobowych.

Zasadnicze znaczenie ma okoliczność, że istniała techniczna możliwość przetwarzania polegająca na eksportowaniu danych osobowych z systemu SOK na zewnętrzny nośnik, a strona skarżąca nie kontrolowała w dostateczny sposób procesu przetwarzania przez pracownika tych danych, gdyż nie posiadała wiedzy o możliwości pobierania danych z SOK bez rejestrowania tego procesu w systemie informatycznym oraz o fakcie importowania danych przez dra hab. A. G.

Niewątpliwie dr hab. A. G. nie jest osobą ustalającą cele i sposoby przetwarzania danych osobowych. Administrator jest podmiotem, który określa, dlaczego odbywa się przetwarzanie (tj. “w jakim celu”, “po co”) i jak ten cel zostanie osiągnięty (tj. jakie środki zostaną zastosowane, aby osiągnąć ten cel). Dla administratora zostały zastrzeżone takie decyzje, jak: wybór danych, jakie będą przetwarzane, czas trwania przetwarzania, kategorie odbiorców danych, ustalenie, czyje dane osobowe będą przetwarzane. Pracownik strony skarżącej kasacyjnie nie miał uprawnienia do podejmowania decyzji w wyżej wskazanych zakresie, nie można zatem uznać go za administratora danych.

Zgodnie z art. 39 ust. 1 lit. b na inspektorze ochrony danych spoczywa zadanie w postaci monitorowania przestrzegania rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty. Zgodnie z art. 39 ust. 2 RODO inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

Określenie “monitorowanie” rozumieć można jako prowadzenie stałej obserwacji i kontroli zgodności procesów przetwarzania danych z przepisami o ochronie danych. Wbrew stanowisku skarżącej kasacyjnie naruszenie powyższego przepisu może pociągnąć za sobą odpowiedzialność w postaci nałożenia przez organ nadzorczy na administratora lub podmiot przetwarzający administracyjnej kary pieniężnej, o której mowa w art. 83 ust. 4 RODO.