W czerwcu 2024 r. Wojewódzki Sąd Administracyjny w Warszawie wydał istotny wyrok dotyczący obowiązków administratora danych w przypadku naruszenia ochrony danych osobowych (wyrok z dnia 18 czerwca 2024 r., II SA/Wa 219/24). Sprawa dotyczyła kary w wysokości blisko 283 000 zł nałożonej przez Prezesa UODO na spółkę E. S.A. za niezgłoszenie naruszenia ochrony danych osobowych oraz niepoinformowanie o tym osoby, której dane dotyczą.
Orzeczenie to ma fundamentalne znaczenie dla praktyki stosowania przepisów RODO, gdyż precyzuje kryteria oceny ryzyka naruszenia praw i wolności osób fizycznych oraz związane z tym obowiązki administratorów danych osobowych.
Stan faktyczny
W lipcu 2020 r. doszło do incydentu polegającego na wysłaniu umowy zawierającej dane osobowe klientki spółki (w tym PESEL, imię, nazwisko, dane teleadresowe oraz adres email) na niewłaściwy adres – do innego klienta spółki. Osoba, która otrzymała błędnie zaadresowaną przesyłkę, po zapoznaniu się z jej treścią, przekazała ją właściwemu adresatowi.
Spółka dowiedziała się o naruszeniu w listopadzie 2020 r., gdy otrzymała pismo od pełnomocnika klientki. Po przeprowadzeniu wewnętrznej analizy ryzyka, spółka uznała, że prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych jest małe. W konsekwencji nie zgłosiła naruszenia do UODO ani nie zawiadomiła o nim osoby, której dane dotyczyły. Spółka podjęła natomiast działania zaradcze, kontaktując się z nieuprawnionym odbiorcą i uzyskując od niego zapewnienie o zachowaniu poufności danych oraz ich nieprzekazywaniu innym osobom.
Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?
Decyzja Prezesa UODO
Postępowanie w tej sprawie zostało wszczęte w związku z informacją otrzymaną od Sądu Okręgowego o toczącym się postępowaniu cywilnym z powództwa osoby, której dane zostały ujawnione.
Prezes UODO uznał, że spółka naruszyła:
- art. 33 ust. 1 RODO poprzez niezgłoszenie naruszenia organowi nadzorczemu,
- art. 34 ust. 1 RODO poprzez niezawiadomienie o naruszeniu osoby, której dane dotyczą.
Organ argumentował, że ze względu na zakres ujawnionych danych (szczególnie numer PESEL) oraz fakt, że osoba nieuprawniona faktycznie się z nimi zapoznała, wystąpiło wysokie ryzyko naruszenia praw i wolności osoby fizycznej. Prezes UODO podkreślił, że numer PESEL wraz z imieniem i nazwiskiem może zostać wykorzystany do kradzieży tożsamości czy wyłudzenia pożyczki.
W efekcie na spółkę została nałożona kara pieniężna w wysokości 282 960 zł oraz nakaz zawiadomienia osoby, której dane dotyczą, o zaistniałym naruszeniu.
Rozstrzygnięcie sądu i argumentacja prawna
WSA w Warszawie uchylił zaskarżoną decyzję, prezentując zniuansowane podejście do sprawy.
Wojewódzki Sąd Administracyjny zgodził się z UODO odnośnie naruszenia art. 33 ust. 1 RODO, uznając że:
- Nie można przyjąć, że wystąpiło małe prawdopodobieństwo ryzyka naruszenia praw i wolności osoby fizycznej,
- Administrator utracił kontrolę nad danymi osobowymi,
- Mimo że odbiorcą był inny klient spółki, nie można go uznać za osobę zaufaną,
- Charakter ujawnionych danych umożliwiał bezpośrednią identyfikację osoby,
- Działania zaradcze podjęte przez spółkę nie mają wpływu na ocenę prawdopodobieństwa wystąpienia ryzyka.
Wojewódzki Sąd Administracyjny nie zgodził się jednak z PUODO w zakresie naruszenia art. 34 ust. 1 RODO, wskazując że:
- Organ nie wykazał przekonująco, że w praktyce możliwe jest zaciągnięcie zobowiązań wyłącznie na podstawie ujawnionych danych,
- Przywołany przez organ przykład wyroku sądu dotyczył sytuacji, gdy użyto również numeru dowodu osobistego,
- Same statystyki dotyczące wyłudzeń kredytów nie dowodzą, że można ich dokonać tylko przy użyciu PESEL i danych osobowych,
- Ocena ryzyka musi uwzględniać stopień wrażliwości danych i realne możliwości wyrządzenia znacznej szkody.
Sąd podkreślił, że uzasadnienie decyzji administracyjnej musi spełniać wymogi art. 107 § 3 k.p.a. i stanowić realizację zasady zaufania oraz zasady przekonywania. W ocenie sądu, organ nie wyjaśnił dostatecznie, dlaczego uznał, że wystąpiło wysokie ryzyko naruszenia praw i wolności osoby fizycznej.
W konsekwencji WSA uchylił decyzję w całości, zobowiązując organ do ponownego rozpatrzenia sprawy z uwzględnieniem przedstawionej argumentacji, w szczególności w zakresie wykazania wysokiego ryzyka naruszenia praw i wolności osoby fizycznej.
Komentarz radcy prawnego
Łukasz Kulicki
RADCA PRAWNY | PARTNER
Radca prawny, Partner w Kancelarii Linke Kulicki specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.
Opublikowano:
Wyrok ten ma istotne znaczenie praktyczne, gdyż pokazuje, że samo hipotetyczne ryzyko wykorzystania danych osobowych nie jest wystarczające do przyjęcia wysokiego ryzyka naruszenia praw i wolności osób fizycznych – konieczne jest wykazanie realnych możliwości wyrządzenia znacznej szkody.
Wyrok WSA w Warszawie należy ocenić jednoznacznie pozytywnie jako przykład zdroworozsądkowego i wyważonego podejścia do oceny ryzyka naruszenia ochrony danych osobowych. Sąd słusznie rozróżnił między samym faktem wystąpienia naruszenia (który bezspornie miał miejsce i wymagał zgłoszenia do UODO) a kwestią wysokiego ryzyka naruszenia praw i wolności osób fizycznych, które wymaga szczególnie przekonującej argumentacji ze strony organu nadzorczego.
Takie podejście powinno stać się standardem rynkowym z kilku powodów. Po pierwsze, pozwala na zachowanie proporcjonalności reakcji w stosunku do realnego zagrożenia – nie każde naruszenie ochrony danych osobowych automatycznie generuje wysokie ryzyko dla praw i wolności osób fizycznych. Po drugie, wymusza na organie nadzorczym szczegółowe uzasadnianie swoich decyzji w oparciu o konkretne i weryfikowalne przesłanki, a nie tylko teoretyczne scenariusze zagrożeń.
Co szczególnie istotne, sąd właściwie zwrócił uwagę na konieczność rozróżnienia między hipotetyczną możliwością wykorzystania danych a realnym ryzykiem wyrządzenia znacznej szkody. W praktyce rynkowej często spotykamy się z nadmiernie ostrożnym podejściem administratorów, którzy z obawy przed wysokimi karami traktują każde naruszenie jako generujące wysokie ryzyko. Prowadzi to do niepotrzebnego obciążania zarówno administratorów, jak i organu nadzorczego, a także może powodować „zmęczenie” odbiorców powiadomieniami o naruszeniach, które w rzeczywistości nie stanowią dla nich istotnego zagrożenia.
Warto również docenić, że sąd nie zakwestionował samej możliwości nałożenia kary za niezgłoszenie naruszenia do UODO, koncentrując się na właściwej ocenie stopnia ryzyka. Takie zniuansowane podejście pokazuje, że system ochrony danych osobowych może być jednocześnie skuteczny i racjonalny, bez popadania w przesadny formalizm czy nadmierną penalizację.
Orzeczenie to może stanowić istotną wskazówkę dla administratorów danych przy ocenie incydentów i podejmowaniu decyzji o zawiadamianiu osób, których dane dotyczą. Kluczowe jest przy tym przeprowadzenie rzetelnej analizy ryzyka, uwzględniającej nie tylko teoretyczne scenariusze zagrożeń, ale przede wszystkim realne możliwości wykorzystania ujawnionych danych do wyrządzenia znacznej szkody osobom, których one dotyczą.
Kancelaria Linke Kulicki to kancelaria prawna, która od lat zajmuje się wspieraniem Klientów w sferze ochrony danych osobowych. Nasze działania koncentrują się na różnych płaszczyznach, co daje nam możliwość zapewniania kompleksowej pomocy dla firm. Rzetelnie sprawdzamy wszystkie kwestie, dzięki czemu jesteśmy w stanie wykazać ewentualne braki w zakresie ochrony danych osobowych i zaproponować skuteczne zmiany gwarantujące bezpieczeństwo. Nasza aktywność koncentruje się także na reprezentowaniu Klientów przed Prezesem Urzędu Ochrony Danych Osobowych oraz w postępowaniach sądowych z zakresu ochrony danych osobowych.