Wyrok WSA w Warszawie z dnia 10 października 2022 r., sygn. II SA/Wa 567/22

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Góraj (spr.), Sędzia WSA Izabela Głowacka–Klimas, Asesor WSA Arkadiusz Koziarski, Protokolant referent-stażysta Maria Pawlik po rozpoznaniu na rozprawie w dniu 10 października 2022 r. sprawy ze skargi A. Sp. z o.o. z siedzibą w [...] oraz [...] S.A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] stycznia 2022 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz A. Sp. z o.o. z siedzibą w [...] kwotę 680 (słownie: sześćset osiemdziesiąt) złotych tytułem zwrotu kosztów postępowania; 3. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz B. S.A. z siedzibą w [...] kwotę 680 (słownie: sześćset osiemdziesiąt) złotych tytułem zwrotu kosztów postępowania

Uzasadnienie

Prezes Urzędu Ochrony Danych Osobowych (dalej: "Prezes UODO", "organ"), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez [...] Spółka Akcyjna z siedzibą w [...] (dalej: "[...]") oraz [...] Sp. z o.o. z siedzibą w [...] (dalej: "[...]") decyzją z [...] stycznia 2022 r. - w punkcie 1 – stwierdził naruszenie przez [...] art. 5 ust. 1 lit. f), art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej: "RODO", polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, skutkującym naruszeniem ich poufności, oraz na braku weryfikacji [...], czy zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą i nałożył na [...], za naruszenie art. 5 ust. 1 lit. f) art. 25 ust. 1, art. 28 ust. 1 oraz art. 32 ust. 1 i 2 RODO, administracyjną karę pieniężną w wysokości 4 911 732 PLN (słownie: cztery miliony dziewięćset jedenaście tysięcy siedemset trzydzieści dwa PLN), - w punkcie 2 - stwierdził naruszenie przez [...] art. 32 ust. 1 i 2 oraz art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) i f) RODO, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, w tym zapewnienie ich poufności i nałożył na [...] administracyjną karę pieniężną w wysokości 250 135 PLN (słownie: dwieście pięćdziesiąt tysięcy sto trzydzieści pięć PLN), - w punkcie 3 - w pozostałym zakresie postępowanie umorzył.