Wyrok WSA w Warszawie z dnia 9 października 2024 r., sygn. II SA/Wa 2413/23

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Karolina Kisielewicz-Sierakowska, Sędzia WSA Andrzej Góraj (spr.), Asesor WSA Mateusz Rogala, , Protokolant specjalista Maryla Wiśniewska po rozpoznaniu na rozprawie w dniu 9 października 2024 r. sprawy ze skargi [...] S.A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] października 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz strony skarżącej [...] S.A. z siedzibą w [...] kwotę 7 417 (siedem tysięcy czterysta siedemnaście) złotych, tytułem zwrotu kosztów postępowania.

Uzasadnienie

Postępowanie toczące się w niniejszej sprawie z urzędu zainicjowała, pochodząca od osoby trzeciej informacja, wskazująca na udostępnienie jej - jako osobie nieuprawnionej – potwierdzenia przyznania odszkodowania z dnia [...] maja 2021 r., które ujawniało dane osobowe w postaci: imienia, nazwiska, adresu do korespondencji osoby wskazanej w tym zawiadomieniu, zwanej dalej: "Podmiotem Danych", przez [...] Towarzystwo Ubezpieczeń S.A. z siedzibą w [...], zwaną dalej "Administratorem" lub "Spółką". W dokumencie tym, przesłanym do nieuprawnionego odbiorcy w dniu 28 października 2021 r. jako załącznik do wiadomości e-mail, znajdowały się również dane dotyczące marki i modelu samochodu, którego dotyczyła zaistniała szkoda, jego numeru rejestracyjnego, a ponadto wskazano w nim: numer polisy, numer szkody oraz jej wartość, a także kwotę uznanego roszczenia. Osoba trzecia, która stała się odbiorcą ww. dokumentu, wyjaśniła, że przekazała Administratorowi informację o fakcie otrzymania przez nią dokumentu zawierającego cudze dane.

Z odpowiedzi, której Administrator udzielił organowi pismem z dnia 11 maja 2022 r., wynika, że wiedział on o zaistnieniu przedmiotowego zdarzenia i odnotował je w odpowiednim rejestrze. Nadto, Spółka wskazała, że przeprowadziła analizę ryzyka wiążącego się z zaistniałym zdarzeniem posługując się udostępnionym na stronie [...]pl darmowym narzędziem do oceny wagi naruszenia opartym o metodologię ENISA. Wobec wyniku przeprowadzonej i zweryfikowanej analizy, administrator zdecydował o odnotowaniu incydentu, a z uwagi na stwierdzone niskie ryzyko dla praw i wolności osoby, której dane dotyczą nie zakwalifikował zdarzenia jako naruszenia wymagającego powiadomienia Prezesa UODO oraz indywidualnego zawiadomienia osoby, której dane dotyczą.