Wyrok WSA w Warszawie z dnia 22 marca 2024 r., sygn. II SA/Wa 1443/23

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Radziszewska-Krupa (spr.), Sędzia WSA Joanna Kube, Asesor WSA Arkadiusz Koziarski, po rozpoznaniu w trybie uproszczonym w dniu 22 marca 2024 r. sprawy ze skargi F. [...] S.A. z siedzibą w G. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę

Uzasadnienie

I. Stan sprawy przedstawia się następująco:

1. Prezes Urzędu Ochrony Danych Osobowych (zwana dalej "Prezesem UODO") w decyzji z [...] czerwca 2023r. nr [...] :

1) udzielił F. [....] S.A. z siedzibą w G. (zwana dalej "Spółką") upomnienia za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f) rozporządzenia Parlamentu Europejskiego i Rady DE 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - Dz.Urz.UE L 119 z 4.05.2016, str. 1, Dz.Urz.UE L 127 z 23.05.2018, str. 2 oraz Dz.Urz.UE L 74 z 4.03.2021, str. 35, zwane dalej "RODO"), polegające na udostępnieniu danych osobowych M. M. (zwanej dalej "Uczestniczką") podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz Spółki;

2) odmówił uwzględnienia wniosku w pozostałym zakresie.

Prezes UODO w uzasadnieniu decyzji wskazał m.in., że Uczestniczka w skardze zarzuciła Spółce przetwarzanie danych w zakresie imienia, nazwiska, adresu, numeru telefonu i numeru PESEL bez podstawy prawnej i naruszenie ochrony danych osobowych Uczestniczki przez ich udostępnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz Spółki.

Prezes UODO ustalił, że Uczestniczka była klientką Spółki, która prowadzi działalność w zakresie sprzedaży i dostawy energii elektrycznej i paliwa gazowego od lipca 2013r. do grudnia 2015r. (pismo Uczestniczki z ....06.2020r. i wyjaśnienia Spółki z ....07.2020r.). Spółka wysłała Uczestniczce pismo z ....05.2020r., informujące o możliwym naruszeniu Jej danych osobowych. Spółka ....05.2018r. zawarła umowę powierzenia przetwarzania danych z [...] sp. z o.o. (zwana dalej "Przetwarzającym"), z którą łączy ją również wcześniej zawarta umowa o współpracy. Przetwarzający na podstawie ww. umów przetwarza w imieniu Spółki dane osobowe klientów, w celu ich przechowywania wraz z usługami towarzyszącymi, archiwizacji cyfrowej dokumentów oraz skanowania dokumentacji wraz z indeksacją opisową na rzecz Spółki (załącznik nr 1 do umowy powierzenia przetwarzania danych z ...05.2018r. załączony do pisma z ...06.2021r. Dyrektora Departamentu Kontroli i Naruszeń Urzędu Ochrony Danych Osobowych – zwany dalej "Dyrektorem Departamentu Kontroli"). Spółka [...] kwietnia 2020r. powzięła informację o możliwym naruszeniu bezpieczeństwa danych osobowych. Spółka ustaliła, że do naruszenia poufności danych osobowych doszło w środowisku informatycznym Przetwarzającego, a naruszenie to obejmowało pomocniczą bazę archiwum cyfrowego zawierającą indeksy wyszukiwania. Jeden z portów ww. bazy, znajdującej się w chmurze, nie został zabezpieczony hasłem, co umożliwiało osobom nieupoważnionym dostęp do tej bazy w okresie od [...] do [...] kwietnia 2020r. Przetwarzający po stwierdzeniu naruszenia bezpieczeństwa danych osobowych zablokował dostęp do bazy przez wdrożenie zabezpieczeń. Spółka zgłosiła Prezesowi UODO ww. naruszenie [...] kwietnia 2020r., wskazując, że Uczestniczka nie zwracała się z żądaniem usunięcia Jej danych osobowych (imienia, nazwiska oraz numeru PESEL). Spółka w związku z ww. wyciekiem danych zawiadomiła o możliwości popełnienia czynu zabronionego Prokuraturę Okręgową w G. - Wydział [...], Komendę Wojewódzką Policji w G. - Wydział do Walki z Cyberprzestępczością oraz [...]. Postępowanie w tej sprawie prowadzone jest pod sygnaturą PO I Ds. 48.2020.