WSA utrzymuje karę 140 000 zł w sprawie błędnie wysłanego e-maila

Ten wyrok jest jednym z najlepiej uzasadnionych orzeczeń jakie do tej pory omawiałem na łamach Judykatura.pl. Mimo, że nie zgadzam się, ani z decyzją Prezesa UODO, ani z orzeczeniem oddalającym skargę na tę decyzję to trzeba obiektywnie wskazać, że argumenty użyte przez Sąd zostały jasno i przejrzyście wyartykułowane. WSA w Warszawie, w prawomocnym orzeczeniu, rozkłada na czynniki pierwsze argumenty spółki energetycznej, która kwestionowała w postępowaniu przed Prezesem UODO, iż wysłanie do jednej osoby trzeciej wiadomości e-mail z plikiem zawierającym dane 259 osób (imię, nazwisko, adres e-mail, numer telefonu, informacja o dacie rejestracji w systemie spółki) nie zobowiązuje do zgłoszenia naruszenia ochrony danych ze względu na niski poziom prawdopodobieństwa tego, aby taki zakres danych mógł skutkować ryzykiem naruszenia praw lub wolności tych osób. Prezes UODO, w obszernym uzasadnieniu decyzji ze stycznia 2021 r. argumentował, że naruszenie do którego doszło, a co nie było w żaden sposób kwestionowane przez administratora danych, wymagało zgłoszenia: Nie ulega wątpliwości, że w omawianym przypadku naruszenie dotyczy wielu osób, co w sposób istotny podnosi wagę naruszenia  i prawdopodobieństwo zmaterializowania się zagrożeń związanych z naruszeniem. Nie bez znaczenia dla takiej oceny ryzyka jest możliwość łatwej w oparciu o ujawnione dane identyfikacji osób, których dane zostały objęte naruszeniem – fakt, że w wyniku naruszenia nie doszło do ujawnienia np. numerów ewidencyjnych PESEL osób nim dotkniętych nie oznacza, że osób tych nie można zidentyfikować. W konsekwencji oznacza to, że występuje ryzyko naruszenia praw lub wolności osób objętych przedmiotowym naruszeniem, co z kolei skutkuje powstaniem po stronie Spółki, jako administratora tych danych, obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 33 ust. 3 rozporządzenia 2016/679. Ujawnienie takich danych nie jest co prawda związane z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, o czym przesądza m.in. podnoszona przez Spółkę okoliczność, że w wyniku naruszenia ochrony danych osobowych nie doszło do ujawnienia danych dotyczących zachowań tych osób (ich preferencji) (a co za tym idzie, Spółka nie miała … Czytaj dalej WSA utrzymuje karę 140 000 zł w sprawie błędnie wysłanego e-maila