WSA utrzymuje karę 140 000 zł w sprawie błędnie wysłanego e-maila

Ten wyrok jest jednym z najlepiej uzasadnionych orzeczeń jakie do tej pory omawiałem na łamach Judykatura.pl. Mimo, że nie zgadzam się, ani z decyzją Prezesa UODO, ani z orzeczeniem oddalającym skargę na tę decyzję to trzeba obiektywnie wskazać, że argumenty użyte przez Sąd zostały jasno i przejrzyście wyartykułowane.

WSA w Warszawie, w prawomocnym orzeczeniu, rozkłada na czynniki pierwsze argumenty spółki energetycznej, która kwestionowała w postępowaniu przed Prezesem UODO, iż wysłanie do jednej osoby trzeciej wiadomości e-mail z plikiem zawierającym dane 259 osób (imię, nazwisko, adres e-mail, numer telefonu, informacja o dacie rejestracji w systemie spółki) nie zobowiązuje do zgłoszenia naruszenia ochrony danych ze względu na niski poziom prawdopodobieństwa tego, aby taki zakres danych mógł skutkować ryzykiem naruszenia praw lub wolności tych osób.

Prezes UODO, w obszernym uzasadnieniu decyzji ze stycznia 2021 r. argumentował, że naruszenie do którego doszło, a co nie było w żaden sposób kwestionowane przez administratora danych, wymagało zgłoszenia:

Nie ulega wątpliwości, że w omawianym przypadku naruszenie dotyczy wielu osób, co w sposób istotny podnosi wagę naruszenia  i prawdopodobieństwo zmaterializowania się zagrożeń związanych z naruszeniem. Nie bez znaczenia dla takiej oceny ryzyka jest możliwość łatwej w oparciu o ujawnione dane identyfikacji osób, których dane zostały objęte naruszeniem – fakt, że w wyniku naruszenia nie doszło do ujawnienia np. numerów ewidencyjnych PESEL osób nim dotkniętych nie oznacza, że osób tych nie można zidentyfikować. W konsekwencji oznacza to, że występuje ryzyko naruszenia praw lub wolności osób objętych przedmiotowym naruszeniem, co z kolei skutkuje powstaniem po stronie Spółki, jako administratora tych danych, obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 33 ust. 3 rozporządzenia 2016/679.

Ujawnienie takich danych nie jest co prawda związane z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, o czym przesądza m.in. podnoszona przez Spółkę okoliczność, że w wyniku naruszenia ochrony danych osobowych nie doszło do ujawnienia danych dotyczących zachowań tych osób (ich preferencji) (a co za tym idzie, Spółka nie miała obowiązku zawiadomić o naruszeniu osób, których dane dotyczą, zgodnie z art. 34 rozporządzenia 2016/679), tym niemniej ryzyko to w takim przypadku istnieje – stąd zaistniała konieczność zawiadomienia Prezesa UODO o naruszeniu.

Nawet pomimo złożonych w przedmiotowym przypadku oświadczeń, nie ma bowiem pewności, że przed tymi czynnościami osoba ta nie wykonała np. kserokopii lub też nie utrwaliła zawartych w treści dokumentu danych osobowych w inny sposób, np. poprzez ich spisanie. Samo dokonanie czynności wskazanych w złożonych przez nieuprawnionego odbiorcę oświadczeniach nie daje zatem żadnych gwarancji, że intencje takiej osoby obecnie lub w przyszłości nie zmienią się, a ewentualne konsekwencje posłużenia się takimi kategoriami danych mogą być znaczące dla osób, których dane objęte zostały naruszeniem.

W konsekwencji należy stwierdzić, że Spółka nie dokonała zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w terminie określonym w art. 33 ust. 1 rozporządzenia 2016/679, co oznacza naruszenie przez Spółkę tego przepisu.

Tak właśnie wygląda aktualność w subskrypcji Aktualności Plus! W jednym miejscu masz dostęp do obszernej argumentacji oraz treści omawianego orzeczenia. Dzięki tej subskrypcji dowiesz się jak organy nadzorcze w UE, sądy administracyjne czy powszechne, Trybunał Sprawiedliwości i inne podmioty argumentują swoje stanowiska.

Umożliwi Ci to utrzymanie zgodności Twojej organizacji z przepisami o ochronie danych osobowych.  W jednym miejscu zapoznasz się z najważniejszymi argumentami oraz tezami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi, a w dużej części jest ono opublikowane wyłącznie w serwisie Judykatura.pl.

 

Sąd wzmocnił tę argumentację i wskazał, że:

Prezes UODO, ustalając stan faktyczny sprawy opierał się na obszernym materiale dowodowym, w tym na wyjaśnieniach złożonych przez Spółkę w trakcie postępowania administracyjnego, biorąc pod uwagę podnoszone przez Skarżącą okoliczności i oceniając je z punktu widzenia obowiązujących przepisów, a w szczególności art. 33 ust. 1 RODO, o którym pouczał Skarżącą przed wszczęciem postępowania administracyjnego, wyjaśniając zasady jego stosowania, mając przy tym na względzie ww. Wytyczne Grupy Roboczej Art. 29, przyjęte 3 października 2017r., a dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z RODO.

Prezes UODO w zaskarżonej decyzji wyjaśnił też w pełni dlaczego nałożył na Spółkę karę pieniężnej, o której mowa w art. 83 RODO, w wysokości określonej w decyzji. Materiał dowodowy, wbrew twierdzeniom zawartym w skardze, również oceniono, mając na względzie zasadę swobodnej oceny dowodów, o której mowa w art. 80 k.p.a., biorąc pod uwagę wszystkie dowody, które należało uwzględnić przy zastosowaniu przepisów prawa materialnego, stanowiących podstawę zaskarżonej decyzji. Prezes UODO w zaskarżonej decyzji wskazał, na jakich dowodach się oparł i dlaczego na ich podstawie wyciągnął wnioski, a którym z nich odmówił wiarygodności i z jakich powodów.

Prezes UODO dokonał ponadto prawidłowej wykładni art. 33 ust. 1 RODO. Jeżeli administratorzy nie wywiążą się z obowiązku zgłoszenia naruszenia ochrony danych organowi nadzorczemu albo osobom, których dane dotyczą, albo zarówno organowi nadzorczemu, jak i osobom, których dane dotyczą, pomimo spełnienia wymogów ustanowionych w art. 33 lub 34, organ nadzorczy może skorzystać z możliwości, która obejmowałaby wzięcie pod uwagę wszystkich środków naprawczych znajdujących się do jego dyspozycji, co wiązałoby się z możliwością zastosowania administracyjnej kary pieniężnej w połączeniu ze środkiem naprawczym przewidzianym w art. 58 ust. 2 RODO, albo bez takiego środka.

W sprawie z akt sprawy wynika, że podwykonawca Kontrahenta Skarżącej ujawnił osobie nieuprawnionej dane osobowe 259 osób w postaci: imion, nazwisk, adresów e-mail, numerów telefonów, a także informacji o dacie rejestracji. Prezes UODO na podstawie wyjaśnień Skarżącej ustalił także, że jakkolwiek ryzyko naruszenia praw lub wolności osób fizycznych w związku z opisanym w stanie faktycznym sprawy incydentem nie było wysokie i Spółka nie miała obowiązku zawiadomić tych osób o naruszeniu, stosownie do art. 34 RODO, bo nie doszło do ujawnienia danych dotyczących zachowań osób – ich preferencji, tym niemniej organ przyjął prawidłowo, że nie zwalniało to Spółki, na mocy ww. art. 33 ust. 1 RODO, z obowiązku zawiadomienia organu nadzoru o naruszeniu, tym bardziej, że sama potwierdziła naruszenie.

Sąd odniósł się do wyjątku od zgłaszania organowi nadzorczemu naruszenia ochrony danych osobowych:

Wbrew ponadto twierdzeniom Skarżącej, Prezes UODO wydając zaskarżaną decyzję nie pominął wyjątku od zasady zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych, przewidzianego w art. 33 ust. 1 RODO, lecz przyjął, że wyjątek ten nie ma w sprawie zastosowania. Zgodnie z art. 33 ust. 1 zdanie pierwsze RODO w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu, zgodnie z art. 55 RODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Trafna i odpowiadająca treści art. 80 k.p.a. była ocena Prezesa UODO, że zwrócenie się przez Spółkę także za pośrednictwem Kontrahenta do Osoby trzeciej – nieuprawnionego odbiorcy – o trwałe usunięcie otrzymanej korespondencji, a nawet złożenie przez tę osobę oświadczenia o trwałym jej usunięciu również nie miało wpływu na ocenę ryzyka naruszenia danych osobowych.

Samo dokonanie czynności wskazanych w oświadczeniach złożonych przez Osobę trzecią – nieuprawnionego odbiorcę – nie daje gwarancji, że intencje takiej osoby obecnie lub w przyszłości nie zmienią się, a ewentualne konsekwencje posłużenia się takimi kategoriami danych mogą być znaczące dla osób, których dane objęte zostały naruszeniem. W tym kontekście nie sposób za zasadne uznać zarzutów skargi, uznających, że oceny organu z tego zakresu są niespójne i nielogiczne. To samo dotyczy oświadczenia o zniszczeniu przez Osobę trzecią otrzymanej korespondencji, gdyż prawidłowo wskazuje Prezes UODO, że Spółka nie ma możliwości jego weryfikacji, choć Osobie trzeciej grożą sankcje karne i wynikające z u.o.d.o.

Sąd “wyłowił” także kwestię dotyczącą wytycznych ENISA:

To, że Spółka przyjmuje, że uwzględniła wytyczne ENISA, nie oznacza, że organ administracyjny nie może dokonać ich weryfikacji. Ww. metodologia jest jedną z wielu, które administrator może wykorzystać w celu oceny ryzyka naruszenia praw lub wolności osób fizycznych związanego z zaistniałym naruszeniem ochrony danych osobowych, a Prezes UODO nie narzuca jej stosowania (jedynie informuje o jej istnieniu), a następnie może ją zweryfikować z uwzględnieniem ogólnych zasad RODO.

Miało to miejsce w sprawie. Prezes UODO prawidłowo bowiem w okolicznościach faktycznych sprawy ocenił, że Osoba trzecia – nieuprawniony odbiorca – nie był w świetle ww. Wytycznych “odbiorcą zaufanym”, lecz przypadkową osobą, której podwykonawca Kontrahenta Skarżącej ujawnił znaczną część danych osobowych klientów Spółki – 259 osób.

WSA w Warszawie jasno i klarownie wskazał, że nie można mówić o naruszeniu przepisów postępowania administracyjnego przez Prezesa UODO, w tym konkretnym postępowaniu:

Trafne było w związku z tym przyjęcie przez Prezesa UODO, że Spółka już z tego powodu, powinna zgłosić Prezesowi UODO ww. naruszenie danych osobowych, stosownie do art. 33 ust. 1 RODO. Organ racjonalnie też przyjął, że samo dokonanie czynności wskazanych w oświadczeniach złożonych przez Osobę trzecią – nieuprawnionego odbiorcę – nie dawało gwarancji, że intencje takiej osoby w przyszłości nie zmienią się, a ewentualne konsekwencje posłużenia się takimi kategoriami danych mogą być znaczące dla osób, których dane objęte zostały naruszeniem.

Rację miał również organ, że nawet, gdy Osoba trzecia złoży oświadczenie o trwałym usunięciu otrzymanej korespondencji, nie ma pewności, że przed tą czynnością nie wykonała, np. kserokopii lub też nie utrwaliła danych osobowych zawartych w treści dokumentu w inny sposób, np. poprzez ich spisanie. Prawidłowo też wskazywał Prezes UODO, że Spółka nie ma możliwości weryfikacji oświadczenia Osoby trzeciej o zniszczeniu otrzymanej omyłkowo korespondencji od pracownika podwykonawcy Kontrahenta.

Tym samym, wbrew stanowisku Skarżącej, z powodu powyższych okoliczności należało przyjąć, że w sprawie nie zaszła przesłanka do wyłączenia stosowania art. 33 ust. 1 RODO – ujawnienie danych nie było mało prawdopodobne, lecz skutkowało ryzykiem naruszenia praw i wolności osób fizycznych.

Rację miał bowiem Prezes UODO wskazując w uzasadnieniu zaskarżonej decyzji, że Spółka nie ma realnej możliwości weryfikacji, czy nieuprawniony odbiorca faktycznie dokonał czynności wskazanych w oświadczeniu (w tym, czy trwale usunął udostępnione mu omyłkowo dane osobowe). Dlatego nie jest istotne to, czy nieuprawniony odbiorca faktycznie wykorzystał dane osobowe, do których otrzymania nie był uprawniony. Istotny jest fakt, że doszło do sytuacji, w której osoba nieuprawniona miała możliwość wykorzystania danych, które zostały jej udostępnione w wyniku zaistniałego naruszenia ochrony danych osobowych, a więc do sytuacji, w której powstało ryzyko naruszenia praw lub wolności osób, których te dane dotyczą.

 

Tak właśnie wygląda aktualność w subskrypcji Aktualności Plus! W jednym miejscu masz dostęp do obszernej argumentacji oraz treści omawianego orzeczenia. Dzięki tej subskrypcji dowiesz się jak organy nadzorcze w UE, sądy administracyjne czy powszechne, Trybunał Sprawiedliwości i inne podmioty argumentują swoje stanowiska.

Umożliwi Ci to utrzymanie zgodności Twojej organizacji z przepisami o ochronie danych osobowych.  W jednym miejscu zapoznasz się z najważniejszymi argumentami oraz tezami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi, a w dużej części jest ono opublikowane wyłącznie w serwisie Judykatura.pl.

Warto zwrócić uwagę na argumentację Sądu odnoszącą się do Wytycznych GR art. 29, a będących bardzo ważnym “narzędziem” oceny poziomu naruszenia:

Prezes UODO słusznie wskazał, że naruszenie w sprawie dotyczy wielu osób, co w sposób istotny podnosi wagę naruszenia i prawdopodobieństwo zmaterializowania się zagrożeń związanych z naruszeniem. Prawidłowe było też wskazanie przez organ, że nie bez znaczenia dla takiej oceny ryzyka jest możliwość łatwej – w oparciu o ujawnione dane – identyfikacji osób, których dane objęto naruszeniem. Fakt, że w wyniku naruszenia nie doszło do ujawnienia np. PESEL osób nim dotkniętych, nie oznacza, że osób tych nie można zidentyfikować. Występuje więc ryzyko naruszenia praw lub wolności osób objętych naruszeniem, co skutkuje powstaniem obowiązku zgłoszenia organowi nadzorczemu przez Spółkę (administratora danych) naruszenia ochrony danych osobowych, zgodnie z art. 33 ust. 1 RODO, w którym muszą się znaleźć informacje określone w art. 33 ust. 3 RODO.

Organ racjonalnie ocenił też, że zgromadzony w sprawie materiał dowodowy nie świadczył o tym, że z zaistniałym naruszeniem wiązało się małe prawdopodobieństwo naruszenia praw lub wolności osób nim dotkniętych, co uzasadniałoby brak zgłoszenia organowi nadzorczemu jego zaistnienia. Prezes UODO w piśmie z 14 lipca 2020r., skierowanym do Skarżącej, mając na względzie art. 8 § 1 k.p.a., podjął próbę wyjaśnienia Skarżącej jakie mogą być konsekwencje zaistniałego naruszenia. Organ w piśmie tym ponownie pouczył Skarżącą (pierwsze pouczenie zawarto w skierowanym do Spółki piśmie z 16 czerwca 2020r.) o treści art. 33 ust. 1 RODO, a także przybliżył w odpowiednim zakresie treść Wytycznych Grupy Roboczej Art. 29, dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP250rev.01).

Prezes UODO, udzielając tych wskazówek, zwrócił się do Spółki o udzielenie informacji, czy w związku z zaistniałym zdarzeniem dokonała ponownej analizy incydentu pod kątem ryzyka naruszenia praw lub wolności osób fizycznych (niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie) nie dlatego, że ta ponowna analiza jest wymagana, lecz dlatego, iż zakładał, że Spółka weźmie te wskazówki pod uwagę i dojdzie do innych niż pierwotne wniosków. Tak się jednak nie stało.

Sąd stwierdza ponadto, że rację miał Prezes UODO, wskazując, że Spółka, dopuszczając możliwość wykorzystania do komunikacji z Kontrahentem pocztę elektroniczną, powinna mieć świadomość ryzyk związanych np. z załączeniem do przesyłanej wiadomości niewłaściwego załącznika. Istnienie tych ryzyk, w sytuacji braku działań administratora danych, mających na celu ich minimalizację przez wdrożenie odpowiednich środków organizacyjnych i technicznych, jak np. szyfrowanie przesyłanych w ten sposób dokumentów, prowadzi wprost do powstania ryzyka naruszenia praw lub wolności osób fizycznych, których dane takim kanałem komunikacji są przesyłane. Organ, wbrew argumentacji skargi, nie wskazywał natomiast w uzasadnieniu zaskarżonej decyzji, że Spółka ponosi odpowiedzialność za działania Kontrahenta. Wyjaśnił zaś prawidłowo, że Spółka powinna w okolicznościach faktycznych zgłosić organowi nadzorczemu naruszenia danych osobowych, stosownie do art. 33 ust. 1 RODO.

Prezes UODO trafnie też wskazał, że możliwe konsekwencje zdarzenia naruszenia danych osobowych nie muszą się zmaterializować – gdyż w art. 33 ust. 1 RODO mowa o tym, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu. Podnoszona przez Spółkę okoliczność, że w wyniku naruszenia nie doszło do powstania uszczerbku fizycznego lub szkód u osób fizycznych, nie ma znaczenia dla stwierdzenia istnienia po stronie Spółki obowiązku zgłoszenia Prezesowi UODO naruszenia ochrony danych osobowych, zgodnie z ww. przepisem.

Na koniec pogląd Sądu w zakresie wysokości administracyjnej kary pieniężnej:

Zdaniem Sądu, Prezes UODO w sposób należyty wziął pod rozwagę przy określaniu wysokości kary pieniężnej okoliczności w postaci podejmowanych przez administratora – Spółkę – działań mających na celu wyeliminowanie naruszeń. Tym niemniej Prezes UODO słusznie przyjął, że choć Spółka współpracowała z organem przed wszczęciem postępowania administracyjnego, nie dokonała najistotniejszej z punktu widzenia art. 33 ust. 1 RODO czynności – zgłoszenia organowi nadzoru naruszenia ochrony danych osobowych, choć była wielokrotnie pouczana o potrzebie tego rodzaju działania.

Zdaniem Sądu skoro Spółka nie zgłosiła Prezesowi UODO od 1 czerwca 2020r. do dnia wydania zaskarżonej decyzji – […] luty 2021r. – naruszenia danych osobowych, stosownie do art. 33 ust. 1 RODO, należało przyjąć, że czas trwania naruszenia ww. przepisu był znaczny. Warto też wskazać, że organ przy wymiarze kary mógł też uwzględnić i to, że Spółka w postępowaniu wyjaśniającym, przed przesłaniem Prezesowi UODO 30 października 2020r., kopii oświadczenia podpisanego przez Osobę trzecią informowała UODO jedynie o oświadczeniu dotyczącym trwałego usunięcia przez tę osobę danych, ale nie udostępniła go organowi. Dodatkowo ww. oświadczenie przekazane 30 października 2020r., opatrzono datą 18 września 2020r., co oznacza, że złożono je po 4 miesiącach od stwierdzenia naruszenia.

Organ, ustalając wysokość sankcji określonej w zaskarżonej decyzji, uwzględnił zarówno liczbę poszkodowanych osób, których dane osobowe zostały ujawnione osobie nieuprawnionej – 259 osób, jak również wiążące się z tym ryzyko naruszenia ich praw lub wolności (art. 83 ust. 2 lit. a RODO); długi czas trwania naruszenia (art. 83 ust. 2 lit. a) RODO), gdyż Spółka od powzięcia informacji o naruszeniu ochrony danych osobowych – 1 czerwca 2020r. – do wydania decyzji, nie wykonała obowiązku wynikającego z art. 33 RODO; umyślny charakter naruszenia (art. 83 ust. 2 lit. b) RODO), gdyż Spółka podjęła świadomą decyzję, by nie zawiadamiać Prezesa UODO o naruszeniu, choć organ w kierowanych do Spółki pismach w toku postępowania wyjaśniającego (w rozumieniu art. 58 ust. 1 lit. a) i e) RODO) informował o treści art. 33 ust. 1 RODO i ryzyku naruszenia praw lub wolności osób, których dotyczyło naruszenie w związku z przesłaniem danych do nieuprawnionego odbiorcy, jak również o ww. Wytycznych wypracowany przez właściwy organ.