Wyrok WSA w Warszawie z dnia 15 listopada 2022 r., sygn. II SA/Wa 546/22

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Góraj (spr.), Sędzia WSA Łukasz Krzycki, Sędzia WSA Waldemar Śledzik, , Protokolant starszy specjalista Ewa Kielak, po rozpoznaniu na rozprawie w dniu 15 listopada 2022 r. sprawy ze skargi [...] z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] stycznia 2022 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę

Uzasadnienie

Postępowanie administracyjne przed Prezesem Urzędu Ochrony Danych Osobowych, (dalej: "Prezes UODO", "organ") zainicjowało zgłoszenie naruszenia ochrony danych dokonane przez [...] S.A. z siedzibą w [...] przy al. [...] (dalej: "Bank", "Administrator"), informujące o naruszeniu ochrony danych osobowych 10 500 osób. Naruszenie polegało na posiadaniu przez byłego pracownika Banku, któremu nie odebrano po zakończeniu stosunku pracy dostępu do Platformy Usług Elektronicznych [...] ([...]), nieuprawnionego dostępu do tejże platformy, w wyniku czego mógł on przeglądać znajdujące się na profilu płatnika [...] S.A. dane pracowników Banku w zakresie ich imion i nazwisk, nr PESEL, adresu zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowiących dane dotyczące zdrowia.

Prezes UODO prowadząc postępowanie ustalił, że ów były pracownik Banku korzystał ze swoich uprawnień i logował się pięciokrotnie do platformy [...] (w następujących terminach: 2020-06-30, godz. 21:09:54; 2020-06-30, godz. 21:00:42; 2020-06-30, godz. 21:02:37; 2020-10-26, godz. 22:01:27; 2021-02-03, godz. 20:50:14), zyskując tym samym nieuprawniony wgląd w dane osobowe pracowników Banku. Organ nie ustalał zaś obszarów, które były przeglądane przez nieuprawnioną osobę ani tego, do jakich konkretnie danych i dotyczących ilu pracowników osoba ta uzyskała dostęp w trakcie logowań na profil płatnika [...] S.A. na platformie [...].

Organ ustalił też, że Administrator zrezygnował z powiadamiania o naruszeniu osób, których dane dotyczą uznając, iż cyt.: "w trakcie zatrudnienia pracownik miał dostęp do znacznie szerszego katalogu danych pracowniczych co związane było z pełnieniem funkcji kierowniczej w Departamencie Kadr. Wyjaśniając prawidłowość dokonanej oceny ryzyka Bank podniósł, że przemawia za tym fakt, iż była pracownica Banku samodzielnie zgłosiła Administratorowi nieuprawniony dostęp do platformy [...] .