1 dzień temu
Stan faktyczny
KSSiP została powiadomiona przez Komendę Główną Policji o pojawieniu się w Internecie danych osobowych powiązanych z jej platformą szkoleniową. Po przeprowadzeniu kontroli ustalono, iż pochodzą one z kopii bazy danych wykonanej przez „T.” sp. z o.o. w tracie prac testowych nowej platformy. W zgłoszeniu przesłanym Prezesowi Urzędu Ochrony Danych Osobowych (dalej: PUODO) KSSiP wskazała, iż naruszenie dotyczyło ponad 50 tys. osób, w tym: sędziów, prokuratorów, kuratorów zawodowych, wykładowców, urzędników sądów i prokuratury. Ujawnione dane to m.in.: imię i nazwisko, adres e-mail, nazwa użytkownika, numer telefonu, jednostka, wydział, a także dane o charakterze technicznym takie jak: adres IP, data pierwszego i ostatniego logowania, hasło. W przypadku ponad 44,5 tys. osób naruszenie dotyczy także ujawnienia numeru PESEL. Po wykryciu nieprawidłowości administrator podjął działania skutkujące usunięciem danych z publicznego portalu. Dezaktywowano dotychczasowe hasła informując użytkowników o konieczności ich zmiany przy logowaniu do nowej platformy. Stwierdzając wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, KSSiP rozesłał drogą mailową stosowną informację do wszystkich narażonych na to osób.
Postępowanie administracyjne
PUODO stwierdził, iż art. 24 ust. 1 RODO nakłada na administratora danych obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z RODO, a jednocześnie tak by móc to wykazać. Administrator musi przy tym uwzględnić charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze. Ze zgromadzonego materiału dowodowego wynika, iż „T.” sp. z o.o. nie była informowana o charakterze podejmowanych czynności, wykonując je w ramach wsparcia technicznego. Do naruszenia ochrony danych doszło więc wskutek braku zrozumienia przez administratora roli, jaką pełni w relacji z podmiotem przetwarzającym. Za całość operacji związanych z wykonaniem kopii bazy danych i przekazaniem jej do serwera docelowego, odpowiedzialna był KSSiP, która nie podjęła wystarczających działań sprawdzających bezpieczeństwo przetwarzania, tak przed rozpoczęciem migracji danych, jak i po jej zakończeniu. Weryfikacji tej dokonano dopiero w dniu stwierdzenia naruszenia. Zdaniem PUODO świadczy to o rażącym zaniedbaniu obowiązków KSSiP i naruszeniu art. 32 ust. 1 i ust. 2 RODO.
Wymierzając administracyjną karę pieniężną w maksymalnej dopuszczalnej wysokości, czyli kwocie 100 tys. zł organ wziął pod uwagę w szczególności: kategorie danych osobowych, których dotyczyło naruszenie ochrony danych osobowych, charakter i wagę naruszenia przy uwzględnieniu liczby poszkodowanych osób, czas trwania naruszenia, nieumyślny charakter naruszenia oraz wysoki stopień odpowiedzialności administratora. Ustalając wysokość kary Prezes UODO uwzględnił również działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą. Organ uznał jednak, iż nałożona kara i tak jest niewspółmiernie niska do skali i wagi naruszenia z perspektywy przepisów RODO.
Zarzuty skargi
KSSiP wniósł skargę dowodząc, iż to „T.” sp. z o.o. jako podmiot przetwarzający nie wdrożyła adekwatnych środków technicznych i organizacyjnych pozwalających na zapewnienie bezpieczeństwa bazy danych podczas przenoszenia z jednej udostępnianej przez siebie lokalizacji do drugiej takiej lokalizacji. KSSiP uznała, iż dochowała wymaganej staranności powierzając świadczenie usług, w tym zlecając migrację bazy danych, podmiotowi, który zawodowo wykonuje takie czynności i legitymuje się posiadaniem dokumentów potwierdzających znajomość zasad i technik zabezpieczenia informacji w technikach informatycznych. Zdaniem skarżącej do naruszenia doszło na skutek błędu pracownika „T.” sp. z o.o., który polegał na umieszczeniu tymczasowej kopi bazy danych w katalogu publicznym, a następnie nieusunięciu tego pliku. KSSiP kwestionował też wysokość nałożonej kary.
Stanowisko WSA
WSA w Warszawie oddalił skargę KSSiP uznając, iż bezsprzecznie doszło do naruszenia art. 32 ust. 1 i 2 RODO. KSSiP zdecydowała, iż po zakończeniu procesu migracji żadna kopia bazy danych nie powinna pozostać, jednak nie sprawdziła, czy czynność ta została wykonana. To administrator decyduje o celach i sposobach przetwarzania i to on w pierwszej kolejności odpowiada za bezpieczeństwo danych. choćby jeżeli w wyniku błędu pracownik „T.” sp. z o.o. nie usunął wykonanej kopii bazy danych, to na administratorze przez cały czas ciążył obowiązek weryfikacji, czy lokalizacja, w której umieszczono te dane zapewnia bezpieczeństwo ich przetwarzania.
WSA w Warszawie uznał też, iż wbrew twierdzeniom KSSiP, ustalenie, czy wyciek danych nastąpił w wyniku błędu pracownika „T.” sp. z o.o., czy też na skutek innych czynników, nie było ani przesądzające ani choćby wymagane do wydania decyzji. Dokonując oceny działalności administratora organ ustalił jakie procedury zostały złamane i jakie przepisy naruszono. Było to wystarczające do ustalenia odpowiedzialności KSSiP, a nie „T.” sp. z o.o., gdyż to rolą administratora było zapewnienie bezpieczeństwa w procesie przetwarzania danych osobowych.
Orzeczenie NSA
NSA oddalił skargę kasacyjną. W uzasadnieniu wyjaśniono, iż ze zgromadzonego materiału dowodowego wynika, iż to administrator nie podjął wystarczających działań mających na celu zweryfikowanie bezpieczeństwa środowiska przetwarzania przed rozpoczęciem działań migracyjnych i po ich zakończeniu. W uzasadnieniu wyroku podkreślono, iż odpowiednie na gruncie art. 32 ust. 1 RODO środki techniczne i organizacyjne mające zapewnienie bezpieczeństwa, to nie środki skuteczne w każdym przypadku, a takie, których dochowanie mogło być w dacie i okolicznościach dostępu do danych osobowych, obiektywnie wymagane od danego podmiotu. Decydując się na nieangażowanie podmiotu przetwarzającego w proces migracji i nieudzielenie pełnych informacji o podejmowanych czynnościach i oczekiwanych rezultatach, administrator nie upewnił się, iż przetwarzane dane osobowe są odpowiednio zabezpieczone. Weryfikacji tej administrator podjął się dopiero w dniu stwierdzenia naruszenia, co stanowi o naruszeniu przez KSSiP art. 32 ust. 1 i 2 RODO.
NSA podkreślił, iż administrator ponosi odpowiedzialność także za działanie osób i podmiotów od siebie zależnych, przy pomocy których przetwarza dane osobowe. W realiach niniejszej sprawy jest to o tyle istotna kwestia, iż do wycieku danych osobowych doszło nie na skutek ingerencji osoby trzeciej, a w efekcie niezastosowania należytych środków technicznych i organizacyjnych przy migracji danych. Niedopełnienie tych obowiązków skutkowało pobraniem kopii bazy danych przez nieznane i nieuprawnione osoby, co stanowi o naruszeniu przez KSSiP zasady poufności wyrażonej w art. 5 ust. 1 lit. f) RODO. Za nietrafne uznano twierdzenia KSSiP, iż dla oceny odpowiedzialności administratora za naruszenie danych konieczne było wyjaśnienie co dokładnie było przyczyną wycieku danych. NSA podzielił stanowisko Sądu I instancji i PUODO, iż organ dokonuje oceny działalności administratora przez pryzmat obowiązujących przepisów, a ustalony stan faktyczny pozwalał na przypisanie odpowiedzialności za wyciek danych osobowych KSSiP. Nie ma więc znaczenia, czy doszło do tego w wyniku błędu pracownika „T.” sp. z o.o., czy też na skutek innych czynników.
W uzasadnieniu podkreślono, iż w świetle art. 32 ust. 1 RODO korzystanie przez KSSiP w procesie przetwarzania danych osobowych ze wsparcia profesjonalnego podmiotu przetwarzającego, nie powoduje przeniesienia odpowiedzialności z administratora na podmiot przetwarzający w zakresie obowiązków ciążących na nim na mocy przepisów RODO, w tym zapewnienia bezpieczeństwa przetwarzania danych osobowych. Przyjęcie odmiennej interpretacji przepisu prowadziłoby do błędnego wniosku, iż w momencie zawarcia umowy powierzenia danych osobowych, administrator zostaje wyłączony spod przepisów RODO zobowiązujących go do zapewnienia bezpieczeństwa przetwarzanych danych.
NSA za prawidłowe uznał także określenie wysokości kary. Pomimo tego, iż faktycznie organ wymierzył skarżącej karę pieniężną w maksymalnej dopuszczalnej wysokości to wziął pod uwagę okoliczności łagodzące odpowiedzialność, w tym działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą. PUODO zasadnie uznał jednak, iż obniżenie kary z uwagi na okoliczności łagodzące, zostało zastąpione przez bardziej korzystne dla KSSiP ustawowe ograniczenie wysokości kary do 100 tys. zł. Zdaniem NSA kara w maksymalnej wysokości, w tej sprawie jest i tak niewspółmiernie niska do skali i wagi naruszenia z perspektywy regulacji RODO.
Wyrok NSA z 12.6.2025 r., III OSK 1394/22, Legalis
