NSA: Prezes UODO prawidłowo nałożył karę prawie 1,6 mln zł
naruszeniu ochrony danych osobowych abonentów usług przedpłaconych, polegającym na uzyskaniu przez osobę nieuprawnioną dostępu do tych danych i pozyskaniu przez nią 142 222 rekordów potwierdzeń rejestracji usług przedpłaconych, zawierających dane osobowe 114 963 klientów w zakresie imienia i nazwiska, numeru ewidencyjnego PESEL, serii i numeru dowodu osobistego, numeru telefonu, numeru NIP oraz nazwy podmiotu. Incydent stanowiący przedmiot zgłoszenia miał miejsce w okresie od […] do […] grudnia 2019 r. Z uwagi na zakres ujawnionych danych osobowych wskazane naruszenie spowodowało wysokie ryzyko naruszenia praw i wolności osób fizycznych;
zbieranie ww. danych odbywa się na etapie rejestracji karty za pomocą point of sale (punktów sprzedaży zwanych, dalej „POS”) – realizowanej przez podmioty zewnętrzne, z którymi Spółka posiada podpisane umowy współpracy, określające również zasady powierzenia przetwarzania danych osobowych. Dla podmiotów nieposiadających własnych rozwiązań programowych do realizacji usługi rejestracji kart przedpłaconych stworzona została przez Spółkę aplikacja A służąca do dokonywania rejestracji tych kart;
proces rejestracji danych za pośrednictwem POS odbywa się poprzez aplikację A dostępnej z poziomu sieci publicznej za pomocą przeglądarki internetowej. Dane osobowe do tej aplikacji wprowadzane są przez POS na podstawie okazanego dokumentu tożsamości
Prezes UODO stwierdzając naruszenie przepisów art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 25 ust. 1, art. 32 ust. 1 lit. b i lit. d oraz art. 32 ust. 2 polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych służących do rejestracji danych osobowych abonentów usług przedpłaconych, co doprowadziło do uzyskania przez osobę nieuprawnioną dostępu do tych danych, nałożył administracyjną karę pieniężną w kwocie 1 968 524 zł.
WSA w Warszawie uchylił w październiku 2021 r. przedmiotową decyzję Prezesa UODO stwierdzając:
o pierwsze, w ocenie Sądu, Prezes UODO nie wyjaśnił w uzasadnieniu zaskarżonej decyzji, dlaczego przy zastosowaniu kary pieniężnej na jej wysokość wskazaną w zaskarżonej decyzji nie miały wpływu okoliczności wskazane w art. 83 ust. 2 lit. c), lit. e) i lit. h) RODO.
Zdaniem Sądu organ w sposób dostateczny nie rozważył przy określaniu wysokości kary pieniężnej okoliczności w postaci podejmowanych przez administratora – Spółkę – działań w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą, w tym przede wszystkim w zakresie ich wpływu na zastosowanie ww. sankcji i nie wskazał w uzasadnieniu zaskarżonej decyzji, jaki był tego powód, jak również nie powiązał tej okoliczności z rozmiarem szkody. W związku z tym zasadne były podniesione w skardze zarzuty Spółki w zakresie naruszenia zasady proporcjonalności (art. 83 ust. 1 RODO), jak również zarzuty naruszenia art. 83 ust. 2 lit. c) RODO.
Sąd stwierdza, że jakkolwiek organ w sposób prawidłowy ustalił, jakie działania podjęła Spółka i kiedy miało to miejsce w sposób dostateczny przy wymiarze kary pieniężnej nie wziął pod rozwagę, że osobie bądź osobom nieuprawnionym udało się pobrać jedynie ok. 13,62% wszystkich rekordów znajdujących się w bazie i było to spowodowane działaniami Spółki.
Dodatkowo Prezes UODO w zakresie ww. okoliczności faktycznej – na którą Skarżąca konsekwentnie zwracała uwagę w toku postępowania – uzasadniając w zaskarżonej decyzji zastosowanie kary pieniężnej wskazał, że jakkolwiek osoba lub osoby nieuprawnione miały dostęp do danych osobowych przetwarzanych przez Spółkę przez stosunkowo krótki okres, tym niemniej wystarczało to do skopiowania wszystkich dostępnych danych (s. 22 zaskarżonej decyzji). Zdaniem Sądu była to ocena, w świetle okoliczności faktycznych sprawy, nieuprawniona i naruszająca art. 77 § 1 i art. 80 k.p.a. w związku z art. 8 § 1 k.p.a.
Prezes UODO wskazuje ponadto, że nałożona na Spółkę (…), następcę prawnego Spółki (…), administracyjna kara pieniężna spełnia w szczególności kryterium proporcjonalności kary w rozumieniu wypracowanym w orzecznictwie TSUE (na gruncie prawa konkurencji i w stosunku do decyzji Komisji Europejskiej, ale mającym zdaniem Prezesa UODO ogólniejsze zastosowanie): „[…] zasada proporcjonalności wymaga, aby akty wydawane przez instytucje Unii nie przekraczały granic tego, co jest stosowne i konieczne do realizacji uzasadnionych celów, którym służą dane przepisy, przy czym tam, gdzie istnieje możliwość wyboru spośród większej liczby odpowiednich rozwiązań, należy stosować najmniej dotkliwe, a wynikające z tego niedogodności nie mogą być nadmierne w stosunku do zamierzonych celów […] (zob. wyrok z dnia 12 grudnia 2012 r., Electrabel / Komisja, T‑332/09, EU:T:2012:672, pkt 279 i przytoczone tam orzecznictwo)” (zob. wyrok z 26 października 2017 r. w sprawie T-704/14 Marine Harvest ASA przeciwko KE, ust. 580).
Wysokość kary została zatem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność uiszczenia administracyjnej kary pieniężnej pociągnie za sobą negatywne następstwa, w postaci istotnego pogorszenia sytuacji finansowej (…), jako następcy prawnego Spółki Virgin.
WSA w Warszawie oddaliła skargę od tej decyzji wyrokiem z czerwca 2023 r. podnosząc, iż:
Odnosząc się natomiast do przedłożonych kopii uzyskanych […] lipca 2020 r. certyfikatów: ISO/IEC 27001:2013 oraz ISO/IEC 27701:2019 organ wskazał, że spółka w toku postępowania usunęła uchybienie w postaci braku procedur zapewniających regularne testowanie, mierzenie i ocenianie skuteczności przyjętych środków w prowadzonej dokumentacji opisującej proces przetwarzania danych oraz zastosowane środki organizacyjne i techniczne.
Spółka wdrożyła rozwiązania zapewniające regularne testowanie, mierzenie i ocenianie skuteczności przyjętych środków zapewniających bezpieczeństwo przetwarzania danych. Wdrożenie tych rozwiązań nastąpiło jednak dopiero […] lipca 2020 r., a więc po upływie znacznego czasu od wystąpienia naruszenia danych osobowych abonentów usług przedpłaconych.
Jak wyjaśnił organ, spółka w wyjaśnieniach podniosła, że na tym etapie postępowania nie zostało wykazane kim był atakujący. Sposób wykorzystania podatności wskazywał, że atakujący miał wcześniej dostęp do systemu i wiedział, jak skonstruować odpowiednie zapytanie. Obecnie spółka nie wie, czy i jakimi uprawnieniami mógł dysponować atakujący oraz jakiego okresu mogło owo uprawnienie dotyczyć. W ocenie spółki wykazanie, czy doszło do udostępnienia danych osobie nieuprawnionej leży po stronie Prezesa UODO.
Twierdzenie spółki, że nie wie, czy i jakimi uprawnieniami mógł dysponować atakujący oraz jakiego okresu mogło owo uprawnienie dotyczyć, potwierdza, iż wdrożone przez nią środki techniczne i organizacyjne mające zapewnić bezpieczeństwo danych były niewystarczające. Brak wiedzy na temat tych informacji stanowi również dowód na to, że spółka nie panowała nad procesem przetwarzania danych, co stanowi o naruszeniu zasady rozliczalnośc
Spółka bezpośrednio po wykryciu naruszenia bezpieczeństwa danych, jeszcze przed wszczęciem postępowania administracyjnego podjęła konkretne i szybkie działania, których efektem było usunięcie tego naruszenia.
Prezes UODO zwrócił ponadto uwagę na stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f RODO), brak stwierdzenia wcześniejszych poprzedzających niniejsze postępowanie naruszeń przepisów RODO przez spółkę V. Przy czym żadnego wpływu na fakt zastosowania przez Prezesa UODO w niniejszej sprawie sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały inne, wskazane w art. 83 ust. 2 RODO okoliczności.
W ocenie Prezesa UODO zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 RODO, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca, a jednocześnie nie będzie dla Spółki nadmiernie dotkliwa.
W pierwszej kolejności Sąd podkreśla, że uzasadnienie zaskarżonej decyzji jest rozbudowane w sposób nadmierny, kilkakrotnie w uzasadnieniu poruszane są te same aspekty sprawy.
Ujęcie uzasadnienia decyzji na 37 stronach pomimo, niewątpliwie ogromnego materiału zebranego w postępowaniu, świadczy jednak o braku syntetycznego podejścia do problemu.
NSA w wyroku z maja 2026 r. oddalił skargę kasacyjną od tego wyroku podnosząc, że:
Zarzut, który sformułowano w uzasadnieniu powołanego wyroku, podnosi brak rozważań organu, a nie ich wadliwość, w kwestii uwzględnienia jednej z przesłanek miarkowania kary, określonej w art. 83 ust. 2 lit. h RODO. Ponownie rozpoznając sprawę, Prezes UODO stwierdził, że dokonując zgłoszenia naruszenia ochrony danych osobowych Spółka B. zrealizowała obowiązek prawny, o którym mowa w art. 33 RODO. Zdaniem organu, realizacja ciążących na administratorze obowiązków prawnych jest neutralna i sama w sobie nie stanowi okoliczności łagodzącej. Na poparcie swojego stanowiska organ przytoczył art. 29 Wytycznych w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów RODO (strona nr 33 uzasadnienia decyzji organu). W konsekwencji, tak sformułowany zarzut kasacyjny należało uznać za chybiony, bowiem ponownie rozpoznając sprawę organ ocenił przesłankę z art. 83 ust. 2 lit. h RODO w procesie miarkowania kary.
W świetle wskazań zawartych w prawomocnym wyroku WSA w Warszawie z dnia 21 października 2021 r. sygn. akt II SA/Wa 272/21, organ miał ocenić czas trwania naruszenia w kontekście wejścia w życie przepisów RODO, jak również kwestię profesjonalnego przetwarzania danych osobowych przez Spółkę, przy określaniu wagi naruszenia.
Uznać należy, że trafnie przyjął organ, iż dopiero z datą uzyskania certyfikacji, co miało miejsce w dniu 22 lipca 2020 r., Spółka B. mogła powołać się na fakt, że spełnia wymogi ISO/IEC 27001:2013 oraz ISO/IEC 27701:2019.
Trafnie zauważa również WSA w Warszawie, że przepisy unijne wyznaczyły administratorom danych dwuletni okres na zaprojektowanie istniejących systemów przetwarzania danych, a więc tak, aby spełniały wymogi RODO. Obowiązek wynikający z art. 25 ust. 1 RODO nie dotyczy jedynie ochrony danych w fazie projektowania, ale odnosi się również do samego etapu przetwarzania danych.