Wyrok WSA w Warszawie z dnia 20 kwietnia 2022 r., sygn. II SA/Wa 2468/21

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Karolina Kisielewicz, Sędzia WSA Iwona Maciejuk, Asesor WSA Michał Sułkowski (spr.), , Protokolant starszy referent Magdalena Frąckiewicz, po rozpoznaniu na rozprawie w dniu 20 kwietnia 2022 r. sprawy ze skargi [...] sp. z o.o. w likwidacji z siedzibą w [...] na pkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] maja 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę.

Uzasadnienie

T.K., reprezentowany przez radcę prawnego, w piśmie z 20 kwietnia 2020 r. wniósł do Prezesa Ochrony Danych Osobowych (dalej "Prezes UODO") skargę na niezgodne z prawem przetwarzanie jego danych osobowych przez [...] sp. z o.o. z siedzibą w [...] (dalej również "Spółka" lub "[...]") - administratora serwisu internetowego [...]. Skarżący podniósł, że doszło do naruszenia art. 5 ust. 1 lit. f oraz art. 32 ust. 1 lit. b i art. 32 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej "RODO") poprzez niezapewnienie bezpieczeństwa i poufności przetwarzania danych osobowych, co skutkowało wyciekiem z zasobów administratora danych osobowych M.K., w szczególności takich jak: imię, nazwisko, PESEL, seria i numer dowodu tożsamości, NIP, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres korespondencyjny, adres zameldowania, adres e-mail, numer telefonu stacjonarnego, numer telefonu komórkowego, numer telefonu pracodawcy, nazwa pracodawcy, zatrudnienie (rodzaj umowy), przychód miesięczny netto, źródło przychodu, ilość osób pozostających na utrzymaniu, stan cywilny, wykształcenie, hasło do profilu klienta na [...].pl.

M.K. wywiódł w uzasadnieniu skargi, że 14 marca 2020 r. otrzymał od administratora portalu [...].pl informację o zainicjowaniu automatycznego resetowania hasła dostępu do konta użytkownika. Następnie, 16 marca 2020 r. administrator poinformował, że dane osobowe zapisane na koncie użytkownika założonym za pośrednictwem strony internetowej www.[...].pl zostały ujawnione osobie trzeciej na skutek błędu pracownika podmiotu, któremu administrator powierzył przetwarzanie danych osobowych. Wedle informacji administratora, błąd miał polegać na braku zabezpieczenia danych w okresie od 3 do 14 marca 2020 r. przez podmiot współpracujący z [...].