Artykuł ukazał się w Magazynie ODO
Autor: Piotr Liwszic
Kwietniowe orzeczenie Wojewódzkiego Sądu Administracyjnego w Warszawie dotyczące oceny prawidłowości decyzji Prezesa Urzędu Ochrony Danych Osobowych z czerwca 2021 r. dostarcza szereg wskazówek w zakresie prawidłowej analizy wagi naruszenia ochrony danych osobowych. Zdaniem Sąd nie są wiarygodne przykłady, wskazane przez organ nadzorczy, a dotyczące możliwości naruszenia praw czy wyrządzenia szkody osobom, których dane zostały w sposób nieuprawniony ujawnione.
Przedstawienie wniosków płynących z orzeczenia Wojewódzkiego Sądu Administracyjnego w Warszawie z 19 kwietnia 2022 r. (II SA/Wa 3024/21[1]) należy poprzedzić omówieniem decyzji Prezesa Urzędu Ochrony Danych Osobowych z 21 czerwca 2021 r. (DKN.5131.3.2021[2]), gdyż całościowe spojrzenie na badane zagadnienie pozwoli wyciągnąć odpowiednie wnioski.
Stan faktyczny
Zdarzenie, które legło u podstaw decyzji organu nadzorczego dotyczyło przesłania nieuprawnionemu odbiorcy (byłemu klientowi) wiadomości email z niezaszyfrowanym załącznikiem. Wiadomość ta zawierała dane osobowe takie jak imię, nazwisko, PESEL, miejscowość i kod pocztowy oraz ofertę ubezpieczenia (w tym ewentualną składkę i sumę ubezpieczenia i sumę gwarancyjną). Takiego działania dokonał pracownik podmiotu przetwarzającego, co pokazuje, że dobór takich podmiotów nadal budzi problem i w pewnych przypadkach mocno obarcza konsekwencjami administratora danych – należy tutaj przypomnieć, że dotychczas najwyższą karę prawie 5 mln złotych otrzymał administrator, który „nie dopilnował” działań podmiotu przetwarzającego[3].
Organ nadzorczy powziął, we wrześniu 2020 r., informację o przedmiotowym naruszeniu z przesłanego do niego zawiadomienia innego administratora danych. Ten administrator danych występował także jako podmiot przetwarzający ukaranego Towarzystwa Ubezpieczeniowego.
Prezes Urzędu Ochrony Danych Osobowych wykazał się dużą czujnością i zapytał administrator danych będącego także podmiotem przetwarzającym o to jakie podmioty „brały” udział w przetwarzaniu i czyim podmiotem przetwarzającym jest administrator danych[4]. Organ nadzorczy ustalił, że z gronach trzech administratorów danych tylko jeden nie dokonał zawiadomienia o naruszeniu danych osobowych i było nim Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A.
Mając powyższe informacje Prezes UODO podjął się wyjaśnienia czemu, jeden z trzech podmiotów zobowiązanych, w jego opinii, nie dokonał obowiązku notyfikacji naruszenia ochrony danych osobowych. Organ ten, w grudniu 2020 r., zwrócił się do Sopockiego Towarzystwa Ubezpieczeń ERGO Hestia S.A., na podstawie art. 58 ust. 1 lit. a) i e) RODO, o wyjaśnienie, czy „w związku z wysyłką korespondencji elektronicznej do nieuprawnionego odbiorcy została dokonana analiza pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO (art. 33 ust. 1 i 3 rozporządzenia 2016/679) oraz osób, których dotyczy naruszenie (art. 34 ust. 1 i 2 rozporządzenia 2016/679)”.
Warto tutaj wskazać, że już na tym etapie organ nadzorczy „wyciągał rękę” do administratora danych informując go o tym, w jaki sposób może dokonać zgłoszenia naruszenia oraz o tym, że otrzymał on zgłoszenie naruszenia ochrony danych osobowych dokonane przez agenta ubezpieczeniowego.
Powyższe żądanie rozpoczęło wymianę korespondencji, w której administrator danych przedstawiał szereg argumentów przemawiających za tym, że prawdopodobieństwo ryzyka naruszenia praw i wolności osoby, której dane zostały nieprawidłowo przesłane jest niskie. W trakcie tych działań administrator nadal nie zdecydował się na dokonanie zgłoszenia naruszenia ochrony i zawiadomienie osoby, której dotyczyło naruszenie co skutkowało wszczęciem przez Prezesa UODO postępowania administracyjnego.
Decyzja Prezesa UODO
Efektem powyższej wymiany korespondencji było wydanie, na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. k.p.a, art. 7 ust. 1 oraz art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, a także art. 57 ust. 1 lit. a), art. 58 ust. 2 lit. e) oraz i), art. 83 ust. 1 i ust. 2, art. 83 ust. 4 lit. a) w związku z art. 33 ust. 1 oraz art. 34 ust. 1, 2 i 4 RODO, decyzji stwierdzającej naruszenie przez Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. przepisów art. 33 ust. 1 RODO oraz art. 34 ust. 1 RODO oraz nakładającej administracyjną karę pieniężną w wysokości 159 176 zł.
Organ nadzorczy nakazał także administratorowi, w terminie 3 dni od doręczenia decyzji, dokonanie zawiadomienia osoby, której dane dotyczą o naruszeniu ochrony danych osobowych w celu przekazania jej informacji wymaganych zgodnie z art. 34 ust. 2 RODO – czyli dotyczących opisu charakteru naruszenia ochrony danych osobowych; imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji; opisu możliwych konsekwencji naruszenia ochrony danych osobowych; opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
Prezes Urzędu Ochrony Danych Osobowych odnosząc się do argumentów przemawiających za nałożeniem na administratora powyższego nakazu wskazał, że „dla powstania obowiązku zawiadomienia o naruszeniu ochrony danych osobowych osoby, której dane dotyczą, nie jest konieczne zmaterializowanie się negatywnych konsekwencji naruszenia, wystarczająca jest w tym zakresie sama możliwość (ryzyko) wystąpienia takich konsekwencji, które w niniejszej sprawie, w ocenie organu nadzorczego, jest wysokie”. Organ ten wskazał także, że „dokonując oceny pod kątem ryzyka naruszenia praw i wolności osób fizycznych, od której uzależnione jest dokonanie zgłoszenia naruszenia ochrony danych osobowych oraz zawiadomienie o naruszeniu osoby, której dane dotyczą, należy łącznie uwzględnić czynnik prawdopodobieństwa i wagę potencjalnych negatywnych skutków”.
Głównym argumentem organu nadzorczego było to, że w błędnie wysłanej wiadomości znajdował się numer PESEL wraz z imieniem i nazwiskiem osoby posiadającej w/w numer. Według autora decyzji ujawnienie takiego katalogu danych „może zostać wykorzystane lub powodować np. ograniczenie możliwości korzystania z praw obywatelskich i usług kierowanych do ogółu obywateli (np. głosowania w ramach budżetu obywatelskiego, internetowej rejestracji wizyt w urzędach itp.); osoby trzecie mogą podjąć próbę uzyskania pożyczek w instytucjach pozabankowych z użyciem danych osoby dotkniętej naruszeniem, np. przez internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości; osoby trzecie mogą podjąć próbę uzyskania dostępu do systemów obsługujących udzielanie świadczeń medycznych i uzyskać wgląd do danych o stanie zdrowia osoby dotkniętej naruszeniem, ponieważ czasem dostęp do systemów rejestracji pacjenta można uzyskać potwierdzając swoją tożsamość za pomocą numeru PESEL; osoby trzecie mogą podjąć próbę zawarcia na szkodę osoby dotkniętej naruszeniem umów cywilnoprawnych”.
Wyrok WSA
Naturalnym „odruchem” administratora, który mimo wielomiesięcznego postępowania administracyjnego i kilku „sygnałów” o tym, że mógłby dokonać zgłoszenia naruszenia oraz zawiadomienia, o nim osoby fizyczne, nie dokonuje go, było wniesienie do sądu administracyjnego skargi wobec przedmiotowej decyzji administracyjnej.
Administrator zarzucił, w skardze, naruszenie szeregów przepisów postepowania mających istotny wpływ na wynik sprawy m.in. nieuwzględnienie wniosku o przesłuchanie w charakterze świadka tj. przypadkowego, adresata omyłkowo wysłanej korespondencji, na okoliczności dotyczące trwałego usunięcia przez niego tych danych bez zapoznania się z nimi i uznanie, że przedmiotem dowodu są okoliczności niemające znaczenia dla sprawy.
Skarga zawierała także zarzuty naruszenia prawa materialnego m.in. art. 4 pkt 12 RODO poprzez błędną jego wykładnię, polegającą na przyjęciu, że dla zaistnienia naruszenia ochrony danych osobowych nie jest konieczne wystąpienie skutku, w postaci faktycznego (a nie hipotetycznego) ujawnienia lub dostępu do danych osobowych przez osobę nieuprawnioną. Według administratora danych definicja naruszenia ochrony danych osobowych (art. 4 pkt 12 RODO) odróżnia ujawnienie danych od dostępu do danych, a „ujawnienie” oznacza uczynienie czegoś jawnym, wiadomym, znanym.
Nadto administrator danych podniósł w skardze, że „zawarcie umowy o pożyczkę w instytucjach pozabankowych, np. przez internet lub telefonicznie, albo zawarcie innych umów cywilnoprawnych na rzecz podmiotu danych, na podstawie tak wąskiego zakresu danych nie jest w praktyce możliwe”. Takie stanowisko argumentował tym, że nie dochodzi do takich zdarzeń wobec osób, których dane osobowe ujawnione są w powszechnie dostępnych rejestrach publicznych takich jak np. Krajowy Rejestr Sądowy.
Niektóre z powyższych argumentów zostały podzielone przez sąd administracyjny uchylający zaskarżoną decyzję.
Po pierwsze sąd przyjął, co budziło jedynie wątpliwości skarżącego decyzję, że w przedmiotowej sytuacji doszło do naruszenia ochrony danych w rozumieniu cytat: „art. 4 pkt 12 i art. 32 ust. 1” (powinno być art. 33 ust. 1 RODO – przypis PL). Według Sądu doszło do „nieuprawnionego faktycznego, a nie hipotetycznego, udostępnienia danych przetwarzanych przez skarżącą Spółkę”, gdyż administrator utracił kontrolę nad przetwarzanymi danymi osobowych, a nieuprawniony odbiorca uzyskał do nich dostęp, stał się dysponentem tych danych. W tym aspekcie decyzji Sąd stwierdził, że organ nadzorczy dokonał prawidłowej wykładni art. 4 pkt 12 RODO uznając, że doszło do naruszenia ochrony danych osobowych, o którym mowa w art. 33 ust. 1 RODO. Według sądu okolicznościach omawianej sprawy, osoba, której dane zostały udostępnione „utraciła możliwość sprawowania kontroli nad swoimi danymi osobowymi i tym samym doznała naruszenia jej prawa do ochrony danych osobowych (art. 51 ust. 1 Konstytucji RP)”.
Po drugie sąd wskazał, że udostępnienie danych byłem klientowi administratora danych nie powoduje uznania tej osoby za „pozostającą z administratorem w stałych stosunkach, zaufaną w tym sensie, że pozwalającą przyjąć, że rzeczywiście nie uczyni użytku z danych omyłkowo jej przesłanych”. Uznanie osoby, która otrzymała dane, za „zaufanego odbiorcę” mogłoby obniżyć poziom ryzyka naruszenia praw i wolności osoby, której dane dotyczą, co wynika bezpośrednio z wytycznych Grupy Roboczej art. 29[5].
Po trzecie sąd zajął stanowisko, że przesłanie niezaszyfrowanego załącznika zawierającego takiego dane osobowe jak imię, nazwisko i numer PESEL powoduje brak możliwości powołania się przez administratora na wyjątek od obowiązkowego zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych. Wyjątek taki przewiduje art. 33 ust. 1 RODO w sytuacji, w której mało prawdopodobne jest, by omawiane zdarzenie skutkowało ryzykiem naruszenia prawa lub wolności osoby, której dotyczy.
Po czwarte sąd odniósł się do stwierdzenia przez Prezesa Urzędu Ochrony Danych Osobowych niewykonania obowiązku polegającego na zawiadomieniu o naruszeniu osoby, której ono dotyczyło (art. 34 ust. 1 RODO) za co również administratorowi danych została wymierzona administracyjna kara pieniężna. W tym zakresie wskazał na brak dostatecznego i przekonywującego wyjaśnienia przesłanek stwierdzenia, iż przedmiotowe naruszenie mogło powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Na szczególną uwagę zasługuję pogląd sądu odnoszący się do przypisania hipotetycznych skutków ujawnienia danych osobowych do prawdopodobieństwa ich wystąpienia w rzeczywistości. Według Sąd nie zostało wykazane przez Prezesa UODO, że „w praktyce jest możliwe, np. legalne zaciąganie zobowiązań wyłącznie na podstawie danych obejmujących imię i nazwisko oraz numer PESEL oraz miejscowość i kod pocztowy, ani że na podstawie takich danych można również zawrzeć umowy pożyczki, nawet w instytucjach pozabankowych czy parabankowych, za pośrednictwem Internetu lub telefonicznie”.
Sąd nabrał także wątpliwości, ze względu na brak konkretnych dowodów przedstawionych przez organ nadzorczy, co do możliwości „uzyskania dostępu do systemów obsługujących udzielanie świadczeń medycznych i (…) wglądu do danych o stanie zdrowia osoby dotkniętej naruszeniem” w przypadku dysponowania wyłącznie danymi osobowymi obejmującymi imię, nazwisko oraz numer PESEL osoby, której naruszenie dotyczyło.
Po piąte – trudno, zdaniem sądu, uznać informacje dotyczące zamiaru wykupienia polisy ubezpieczeniowej domu jako informacje o stanie finansowym (majątkowym) podmiotu danych. Według Sądu taka informacja „sama w sobie nie wskazuje czy chodzi o wycenę nieruchomości należącej do tej osoby, osoby trzeciej, czy też może planowanej przez taką osobę inwestycji (zakupu nieruchomości)”. Nadto WSA w Warszawie stwierdził, że „oferta ubezpieczenia nie stanowi również informacji o stanie zobowiązań jej adresata, gdyż wskazana wysokość składki mogłaby ulec zmianie (…), a kwota ubezpieczenia jest wartością czysto deklaratoryjną i nie pozwala na ustalenie stanu majątkowego adresata oferty polisy”.
Powyższe uchybienia uzasadnienia decyzji organu nadzorczego nie odpowiadają, zdaniem sądu, wymaganiom art. 107 § 3 k.p.a. (w uzasadnieniu wyroku błędnie przypisano ustawę i wskazano p.p.s.a.) i z tego powodu skarżona decyzja nie może ostać się w obrocie prawnym.
Wnioski dla praktyki
Uważam za celowe wprowadzenie, do umowy powierzenia przetwarzania, postanowień odnoszących się do tego jak podmiot przetwarzający dokonuje analizy ryzyka naruszenia praw i wolności osób, których dane dotyczą w zakresie, w którym jest administratorem danych. Jasnym jest, że podmiot przetwarzający będący administratorem danych podejmuje swoja autonomiczną decyzję co do tego czy incydent bezpieczeństwa wypełnił przesłanki naruszenia ochrony danych, czy zaistniało małe prawdopodobieństwo wystąpienia ryzyka dla praw i wolności podmiotu danych, a więc nie zmaterializował się obowiązek zgłoszenia naruszenia do organu nadzorczego i na końcu czy jednak to prawdopodobieństwo jest wysokie więc obowiązek administratora jest dokonanie prawidłowego zawiadomienia osoby, której naruszenie dotyczyło. Jednak współpraca pomiędzy podmiotami biorącymi udział w przetwarzaniu danych mogłaby doprowadzić do jednolitego działania tych podmiotów.
Końcowo warto raz jeszcze podkreślić, że uchylona kara pieniężna nie dotyczyła błędu pracownika tj. powodu naruszenia ochrony danych osobowych, a dotyczyła ona braku zgłoszenia naruszenia ochrony i braku wykonania obowiązku zawiadomienia osób, których dane dotyczą, co mogło być dokonane w trakcie toczącego się postępowania administracyjnego.
[1] https://judykatura.pl/dokument/ledwjaxroeeakvyw
[2] https://judykatura.pl/dokument/nfaybndwaqtuuqhw
[3] https://judykatura.pl/dokument/jeoenrcendkrallm
[4] Zobacz decyzję Prezesa UODO z 23.03.2022 r., DKE.561.3.2022 (https://judykatura.pl/dokument/wsgaxwvmrqqpvrpb) w której inny podmiot początkowo odmówił żądania organu nadzorczego w zakresie przedstawienia listy administratorów danych zasłaniając się „obowiązkiem zachowania poufności”.
[5] Porównaj – Wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP 250 rev. 01 – dostęp: https://judykatura.pl/dokument/rqtjdwavphzpsqad).
- Szukasz szkoleń prawniczych? Sprawdź nasz kalendarz wydarzeń >>>
- Abonament szkoleniowy. Sprawdź ile zaoszczędzisz >>>