Wyrok WSA w Warszawie z dnia 13 marca 2024 r., sygn. II SA/Wa 1463/23

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Góraj (spr.), Sędzia WSA Joanna Kruszewska-Grońska, Asesor WSA Arkadiusz Koziarski, , po rozpoznaniu w trybie uproszczonym w dniu 13 marca 2024 r. sprawy ze skargi [...] S.A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] maja 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę

Uzasadnienie

Przedmiotem niniejszej sprawy jest skarga [...] S.A. z siedzibą w [...] (dalej również "[...]", "Spółka", "Administrator") na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] maja 2023r., w przedmiocie przetwarzania danych osobowych.

Postępowanie przed Prezesem Urzędu Ochrony Danych Osobowych zainicjowała zaś skarga S. I. (zwanej dalej "Skarżącym"), na nieprawidłowości w procesie przetwarzania danych osobowych przez [...] S.A. z siedzibą w [...], zwaną dalej Spółką, polegające na naruszeniu ochrony danych osobowych Skarżącej poprzez ich udostępnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz [...] S.A.

W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych (zwany dalej także "Prezesem UODO":), ustalił następujący stan faktyczny:

1. Skarżący zawarł umowę ze Spółką, która prowadzi działalność w zakresie sprzedaży i dostawy energii elektrycznej i paliwa gazowego,

2. Spółka zawarła umowę powierzenia przetwarzania danych z [...] sp. z o.o., z którą łączy ją również wcześniej zawarta umowa o współpracy;

3. Na podstawie ww. umów [...] sp. z o.o. przetwarza w imieniu Spółki dane osobowe jej klientów w celu ich przechowywania wraz z usługami towarzyszącymi, archiwizacji cyfrowej dokumentów oraz skanowania dokumentacji wraz z indeksacją opisową na rzecz Spółki;

4. Dnia [...].04.2020 r. Spółka powzięła informację o możliwym naruszeniu bezpieczeństwa danych osobowych. Spółka ustaliła, że do naruszenia poufności danych osobowych doszło w środowisku informatycznym podmiotu przetwarzającego, tj. [...] sp. z o.o. oraz że naruszenie to obejmowało pomocniczą bazę archiwum cyfrowego zawierającą indeksy wyszukiwania. Jeden z portów ww. bazy znajdującej się w chmurze nie został zabezpieczony hasłem, co umożliwiało osobom nieupoważnionym dostęp do tej bazy w okresie od [...].04.2020 r. do [...].04.2020 r.;