WSA uchyla karę 160 000 zł wobec Ubezpieczyciela

WSA w Warszawie nie tylko, w ekspresowym tempie 7 miesięcy, rozpoznał skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych, którą to nałożono na Towarzystwo Ubezpieczeń administracyjną karę pieniężną w wysokości prawie 160 000 zł za niezawiadomienie o naruszeniu ochrony danych bez zbędnej zwłoki oraz nakazano zawiadomić osoby, których to naruszenie dotyczyło, ale także odniósł się zarówno do pojęcia naruszenia ochrony danych oraz jego wagi, która inicjuje obowiązek zgłoszenia naruszenia do organu nadzorczego, jak i do oceny konieczności zawiadomienia osób, o takim naruszeniu.

Za nim przejdziemy do prezentacji poglądów Sądu warto krótko przedstawić stan faktyczny:

  1. Pracownik spółki będącej podmiotem przetwarzającym Towarzystwa Ubezpieczeniowego wysłał wiadomość e-mail do osoby nieuprawnionej.
  2. Wiadomość e-mail zawierała niezaszyfrowaną ofertę i kalkulację Towarzystwa Ubezpieczeń, w tym takie dane osobowe jak imię, nazwisko, nr PESEL, datę urodzenia, miejscowość, kod pocztowy.
  3. Podmiot przetwarzający dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w zakresie w jakim pewne dane przetwarzało jako ich administrator.
  4. Prezes UODO zwrócił się do Towarzystwa Ubezpieczeniowego z żądaniem wyjaśnienia przyczyn niezgłoszenia naruszenia ochrony danych osobowych.
  5. Towarzystwo Ubezpieczeń obszernie przedstawiło swoje stanowisko co do braku takiego obowiązku ze względu na “poziom” prawdopodobieństwa naruszenia ochrony danych osobowych, gdyż nie wszystkie naruszenia ochrony danych osobowych podlegają obowiązkowi zgłoszenia do organu nadzorczego.
  6. Prezes UODO miał inny pogląd na sprawę i w czerwcu 2021 r. wydał decyzję stwierdzającą naruszenie przez Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. […] przepisów art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia oraz art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osoby, której dane dotyczą, nakłada na Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. […] administracyjną karę pieniężną w wysokości 159.176 PLN (słownie: sto pięćdziesiąt dziewięć tysięcy sto siedemdziesiąt sześć złotych) oraz nakazuje, w terminie 3 dni, Sopockiemu Towarzystwu Ubezpieczeń ERGO Hestia S.A. […] zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych w celu przekazania jej informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia 2016/679.

4 lata z RODO!

W skardze do sądu administrator próbował przekonać, że:

  1. nie doszło do naruszenia ochrony danych osobowych, o którym mowa w art. 4 pkt. 12 RODO, gdyż dysponuje on oświadczeniem osoby, która otrzymała wiadomość e-mail, o skasowaniu tej wiadomości przed jej przeczytaniem, a jeśli jednak doszło do naruszenia ochrony danych to “waga” zagrożeń dla osoby, której dane dotyczyły nie wymagała zgłoszenia naruszenia do Prezesa UODO;
  2. jeśli jednak doszło do naruszenia ochrony danych, które należy zgłosić do organu nadzorczego to nie można obronić tezy, że naruszenie ochrony danych osobowych mogło spowodować wysokie ryzyko naruszenia praw lub wolności (art. 34 ust. 1 RODO). Tutaj administrator chciał m. in. przekonać Sąd, że skalkulowana wartość ubezpieczenia domu (300 000 zł) nie stanowi “informacja o stanie finansowym”, o którym mowa w publikacji ENISA dotyczącej metodyki wyliczania “wagi” naruszeń.

Administratorowi udało się przekonać Sąd do drugiego stanowiska. Z powodu konstrukcji treści decyzji administracyjnie Sąd zobowiązany był do uchylenia decyzji w całości. 

Sąd argumentował tak:

Zdaniem Sądu organ zarzucając skarżącej naruszenie art. 34 ust. 1 Rozporządzenia i wymierzając jej w związku z tym karę pieniężną nie wyjaśnił dostatecznie i przekonywająco przesłanek uznania, że naruszenie ochrony danych osobowych przez skarżącą mogło powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Zdaniem Wojewódzkiego Sądu Administracyjnego w Warszawie organ nie wykazał przekonywająco, że w praktyce jest możliwe, np. legalne zaciąganie zobowiązań wyłącznie na podstawie danych obejmujących imię i nazwisko oraz numer PESEL oraz miejscowość i kod pocztowy, ani że na podstawie takich danych można również zawrzeć umowy pożyczki, nawet w instytucjach pozabankowych czy parabankowych, za pośrednictwem Internetu lub telefonicznie.

Wątpliwe, bo niepotwierdzone konkretnymi dowodami wydają się również stwierdzenia organu, że dysponowanie samymi danymi osobowymi, obejmującymi imię i nazwisko oraz numer PESEL pozwala, np. na uzyskanie dostępu do systemów obsługujących udzielanie świadczeń medycznych i na wgląd do danych o stanie zdrowia osoby dotkniętej naruszeniem. Skarżąca podniosła bowiem, że gdyby rzeczywiście udostępnienie danych osobowych, o których mowa w tej sprawie rodziło obiektywnie wysokie ryzyko naruszenia praw lub wolności osób, których te dane dotyczą, udostępnienie takich danych w otwartych rejestrach publicznych, np. rejestr przedsiębiorców w Krajowym Rejestrze Sądowym, czy też w podpisie elektronicznym, mogłoby narażać posiadaczy danych na poważne konsekwencje, również wówczas, gdy dane zostały udostępnione za ich zgodą.

Nie jest również dostatecznie uzasadnione, a przez to nie jest przekonujące stwierdzenie organu, że na skutek nieuprawnionego ujawnienia danych w wyniku przesłania korespondencji zawierającej dane osobowe niewłaściwemu odbiorcy, doszło do ujawnienia nie tylko numeru ewidencyjnego PESEL wraz z imieniem i nazwiskiem, miejscowością i kodem pocztowym osoby, której dane dotyczą, ale również informacji o stanie finansowym (majątkowym) podmiotu danych.

Jak podniosła strona skarżąca w skardze do Sądu, informacja o zamiarze wykupienia przez konkretną osobę polisy ubezpieczenia domu na kwotę 300.000 PLN sama w sobie nie wskazuje, czy chodzi o wycenę nieruchomości należącej do tej osoby, osoby trzeciej, czy też może planowanej przez taką osobę inwestycji (zakupu nieruchomości). Oferta ubezpieczenia nie stanowi również informacji o stanie zobowiązań jej adresata, gdyż wskazana wysokość składki mogłaby ulec zmianie.

Ponadto, jest to wyłącznie propozycja zawarcia umowy składana przez agenta – brak jakichkolwiek podstaw do wnioskowania na jej podstawie o rzeczywistych (końcowych) warunkach przyszłej umowy, zwłaszcza że przesłana omyłkowo korespondencja zawierała również oferty dwóch innych zakładów ubezpieczeń (jak należy przypuszczać – różniące się od oferty skarżącego). Kwota ubezpieczenia jest wartością czysto deklaratoryjną i nie pozwala na ustalenie stanu majątkowego adresata oferty polisy.

W zakresie pierwszego punktu Sąd wskazał, że takie naruszenie, o jakim mowa w sprawie, należało zgłosić do organu nadzorczego, gdyż:

W rozpatrywanym przypadku dane były zawarte w niezaszyfrowanym załączniku. Natomiast charakter i rodzaj udostępnionych danych w dużym stopniu umożliwiał ustalenie tożsamości konkretnej osoby bezpośrednio w oparciu o dane osobowe, których dotyczy naruszenie, bez szczególnej potrzeby gromadzenia dodatkowych informacji pozwalających określić tę tożsamość. W tych okolicznościach osoba, której dane zostały udostępnione utraciła możliwość sprawowania kontroli nad swoimi danymi osobowymi i tym samym doznała naruszenia jej prawa do ochrony danych osobowych (art. 51 ust. 1 Konstytucji RP).

Te okoliczności pozwalają zdaniem Sądu przyjąć, że nie została spełniona określona w art. 33 ust. 1 Rozporządzenia przesłanka zwalniająca administratora danych z obowiązku zgłoszenia organowi nadzoru faktu naruszenia danych osobowych. Należy zatem podzielić stanowisko Prezesa UODO co do tego, że prawdopodobieństwo, by stwierdzone naruszenie ochrony danych osobowych rodziło ryzyko naruszenia praw lub wolności osoby, której dane zostały ujawnione, nie jest małe. Skarżąca miała zatem obowiązek zgłoszenia tego naruszenia organowi nadzoru.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
129
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
1548
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
  • Oszczędność 15% względem pozostałych pakietów
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 90 dni:
774
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
  • Oszczędność 10% względem pozostałych pakietów
Wybieram

W zakresie samego pojęcia naruszenia Sąd wypowiedział się tak:

W rozpatrywanej sprawie w związku z przesłaniem przez pracownika wiadomości e-mail zawierającej dane osobowe na nieprawidłowy adres e-mail, nieuprawniony odbiorca uzyskał dostęp do danych osobowych.

Słowo “dostęp”, na co zresztą zwraca uwagę strona skarżąca w skardze, oznacza m. in. “możność przyjścia do kogoś, zetknięcia się z kimś, korzystania z czegoś” (por. Internetowy słownik języka polskiego PWN).

Jeszcze inaczej – udostępnić to umożliwić komuś odbiór, przyswojenie czegoś. To pojęcie nie obejmuje zatem skutku tego działania w postaci faktycznego odebrania czy przyswojenia sobie udostępnionej informacji.

Doszło wiec do nieuprawnionego faktycznego, a nie hipotetycznego, udostępnienia danych przetwarzanych przez skarżącą Spółkę, stanowiącego naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 i art. 32 ust. 1 Rozporządzenia. W wyniku naruszenia ochrony danych osobowych administrator utracił kontrolę nad przetwarzanymi danymi osobowymi, natomiast nieuprawniony odbiorca uzyskał do nich dostęp, stał się dysponentem tych danych, co prowadzi do wniosku, że nie może być mowy o incydencie bezpieczeństwa, lecz o naruszeniu ochrony danych osobowych (dotyczącemu poufności danych osobowych).

Niejako na marginesie Sąd podnosi, że nie wszystkie incydenty bezpieczeństwa muszą wiązać się z naruszeniem ochrony danych osobowych. Z naruszeniem ochrony danych osobowych będziemy mieli do czynienia wówczas, gdy administrator nie jest w stanie zapewnić zgodności z zasadami przetwarzania danych osobowych, o których mowa w art. 5 rozporządzenia.

Dla stwierdzenia naruszenia ochrony danych osobowych nie ma zatem znaczenia to, czy nieuprawniony adresat tych danych faktycznie się z nimi zapoznał. W związku z tym jego oświadczenie, że nie zapoznał się z zawartością emaila i że usunął tę wiadomość mailową jest w tej kwestii bez znaczenia.