Uchylenie decyzji Prezesa Urzędu Ochrony Danych Osobowych przez Wojewódzki Sąd Administracyjny w Warszawie

Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia  19.04.2022 r. w sprawie o sygn. akt II SA/Wa 3024/21 jako orzeczenie polemizujące ze stanowiskiem Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej „PUODO”, w kontekście konieczności zgłoszenia przez Administratora danych osobowych  faktu naruszenia związanego z ujawnieniem danych osobowych w postaci imienia, nazwiska, miejscowości i kodu pocztowego oraz numeru PESEL zgodnie z art. 33 i 34 RODO.

W dniu 19.04.2022 r. Wojewódzki Sąd Administracyjny w Warszawie uchylił decyzję PUODO z czerwca 2021 r., na mocy której w.w. Organ:

1) stwierdził naruszenie przez […] Towarzystwo Ubezpieczeń […] S.A. z siedzibą w […] przepisów art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia oraz art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osoby, której dane dotyczą i nałożył na […] Towarzystwo Ubezpieczeń […] S.A. z siedzibą w […] administracyjną karę pieniężną w wysokości 159.176 PLN;

2) nakazał […] Towarzystwu Ubezpieczeń […] S.A. zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych w celu przekazania jej informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, w terminie 3 dni od dnia jej doręczenia.

Naruszenie, którego dotyczyła przedmiotowa decyzja to jedna z najczęściej zdarzających się u Administratorów sytuacji wymagających analizy pod kątem ryzyka naruszenia praw i wolności osób fizycznych, których dane przetwarzają jaką jest udostępnienie danych osobowych w wyniku omyłki pracownika Administratora, czy Podmiotu przetwarzającego dane osobie niepowołanej.

Taka właśnie sytuacja miała miejsce i w tym przypadku. Rzeczone naruszenie bowiem polegało na wysłaniu pocztą elektroniczną przez agenta ubezpieczeniowego, będącego podmiotem przetwarzającym dla towarzystwa ubezpieczeń polisy ubezpieczeniowej (tzw. kalkulacji) zawierającej dane osobowe (imię, nazwisko, numer PESEL i miejscowość wraz z kodem pocztowym) klienta zainteresowanego ubezpieczeniem oferowanym przez to towarzystwo, na adres e-mail innej osoby, w wyniku czego doszło do naruszenia poufności danych jednej osoby fizycznej.

Od tegoż rozstrzygnięcia administracyjnego skargę do Wojewódzkiego Sądu Administracyjnego złożył Administrator, w której to zarzucił zaskarżonej decyzji m.in.:

  • naruszenie przepisów art. 7, art. 77 § 1 w zw. z art. 78 § 1 i art. 80 k.p.a., poprzez nieuwzględnienie jej wniosku o przesłuchanie w charakterze świadka jednego, przypadkowego adresata omyłkowo wysłanej korespondencji, na okoliczności dotyczące trwałego usunięcia przez niego tych danych bez zapoznania się z nimi i uznanie, że przedmiotem dowodu są okoliczności niemające znaczenia dla sprawy,
  • naruszenie przepisów art. 7, art. 8 § 1, art. 77 § 1 i art. 81a k.p.a., poprzez przekroczenie granic swobodnej oceny dowodów, polegające na naruszeniu zasad obiektywizmu i  bezstronności,
  • naruszenie prawa materialnego tj. art. 4  pkt 12 RODO, poprzez błędną jego wykładnię, polegającą na przyjęciu, że dla zaistnienia naruszenia ochrony danych osobowych nie jest konieczne wystąpienie skutku, w postaci faktycznego (a nie hipotetycznego) ujawnienia lub dostępu do danych osobowych przez osobę nieuprawnioną,
  • naruszenie prawa materialnego tj. art. 33 i 34 RODO. Spółka bowiem w tym zakresie podniosła, że nawet gdyby przyjąć, że w niniejszej sprawie doszło do naruszenia ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO, to PUODO nieprawidłowo uznał, że zdarzenie z dnia 14 września 2020 r. skutkowało wyższym niż małe prawdopodobieństwem wystąpienia ryzyka dla praw i wolności podmiotu danych. W ocenie skarżącego organ błędnie ustalił poziom ryzyka dla naruszenia praw lub wolności podmiotu danych w związku z zaistniałym incydentem.

Sąd uchylił decyzję PUODO wskazując, iż część zarzutów skargi uznaje za uzasadnione.  Sąd wziął pod uwagę okoliczności sprawy, a to w szczególności fakty, iż:

  • naruszenie dotyczyło tylko jednej osoby;
  • jej dane osobowe zostały udostępnione również tylko jednej osobie.

Natomiast z uwagi na to, że odbiorcą danych był były klient towarzystwa ubezpieczeniowego, nie będący w rozumieniu wytycznych EROD osobą zaufaną, w ocenie Sądu, że nie została spełniona określona w art. 33 ust. 1 Rozporządzenia przesłanka zwalniająca administratora danych z obowiązku zgłoszenia organowi nadzoru faktu naruszenia danych osobowych. Sąd podzielił stanowisko PUODO co do tego, że prawdopodobieństwo, by stwierdzone naruszenie ochrony danych osobowych rodziło ryzyko naruszenia praw lub wolności osoby, której dane zostały ujawnione, nie jest małe. Administrator miał zatem obowiązek zgłoszenia tego naruszenia organowi nadzoru.

Sąd wskazał nadto, iż zaskarżoną decyzją organ nadzoru wymierzył Administratorowi karę pieniężną również za naruszenie art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osoby, której dane dotyczą.

W tym zakresie Sąd doszedł do przekonania, iż PUODO wymierzając karę pieniężną nie wyjaśnił dostatecznie i przekonywająco przesłanek uznania, że naruszenie ochrony danych osobowych przez skarżącą mogło powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Zdaniem Wojewódzkiego Sądu Administracyjnego w Warszawie organ nie wykazał, że w praktyce jest możliwe, np. legalne zaciąganie zobowiązań wyłącznie na podstawie danych obejmujących imię i nazwisko oraz numer PESEL oraz miejscowość i kod pocztowy, ani że na podstawie takich danych można również zawrzeć umowy pożyczki, nawet w instytucjach pozabankowych czy parabankowych, za pośrednictwem Internetu lub telefonicznie, nie wykazał również swoich twierdzeń jakoby dysponowanie samymi danymi osobowymi, obejmującymi imię i nazwisko oraz numer PESEL pozwalało np. na uzyskanie dostępu do systemów obsługujących udzielanie świadczeń medycznych i na wgląd do danych o stanie zdrowia osoby dotkniętej naruszeniem.

Wydając rozstrzygnięcie Sąd doszedł do przekonania, że PUODO nie wyjaśnił dostatecznie w uzasadnieniu decyzji dlaczego przyjął, że Spółka naruszyła art. 34 ust.1 RODO.

Niejako na marginesie Sąd podnosi, że nie wszystkie incydenty bezpieczeństwa muszą wiązać się z naruszeniem ochrony danych osobowych. Z naruszeniem ochrony danych osobowych będziemy mieli do czynienia wówczas, gdy administrator nie jest w stanie zapewnić zgodności z zasadami przetwarzania danych osobowych, o których mowa w art. 5 rozporządzenia.

Konkludując, orzeczenie Wojewódzkiego Sądu Administracyjnego w Warszawie stanowi niejako wyraz polemiki z utartym wydaje się stanowiskiem PUODO, iż ujawnienie danych osobowych w postaci imienia, nazwiska, miejscowości i kodu pocztowego oraz numeru PESEL nawet jednej osoby fizycznej osobie spoza organizacji Administratora, nie będącej jego zaufanym kontrahentem, wymaga każdorazowo zgłoszenia tak do PUODO, jak i osobie fizycznej, której dane udostępniono.