Wyrok WSA w Warszawie z dnia 29 maja 2024 r., sygn. II SA/Wa 2035/23

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Iwona Maciejuk, Sędzia WSA Danuta Kania, Asesor WSA Dorota Kozub-Marciniak (spr.), po rozpoznaniu w trybie uproszczonym w dniu 29 maja 2024 r. sprawy ze skargi F. S.A. z siedzibą w G. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] sierpnia 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę.

Uzasadnienie

F. S.A. z siedzibą w G.(dalej, jako: skarżąca lub Spółka) wniosła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] sierpnia 2023 r., którą organ udzielił skarżącej upomnienia za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35, dalej, jako: RODO), polegające na ujawnieniu danych osobowych T. S.(dalej, także, jako: uczestniczka), zam. w K. przy ul. K. [...], podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz F.S.A.

W uzasadnieniu zaskarżonej decyzji organ wskazał, że do Urzędu Ochrony Danych Osobowych wpłynęła skarga T.S.na nieprawidłowości w procesie przetwarzania jej danych osobowych przez Spółkę.

W toku postępowania organ ustalił, że uczestniczka jest klientem Spółki, która prowadzi działalność w zakresie sprzedaży i dostawy energii elektrycznej i paliwa gazowego. Dnia [....] kwietnia 2020 r. Spółka poinformowała uczestniczkę o wycieku jej danych osobowych. Uczestniczka zawarła umowy ze Spółką w dniu [....] marca 2017 r. w miejscu zamieszkania, od których odstąpiła [....] maja 2017 r. Spółka podniosła, że "Dodatkowo pragnę wyjaśnić, iż wspomniane w skardze odstąpienie od umów było nieskuteczne ze względu na przekroczenie terminu przewidzianego dla odstąpień od umów zawartych poza lokalem przedsiębiorstwa. F. nie otrzymało również wypowiedzenia zawartych umów, w związku z czym obie umowy są realizowane, a co za tym idzie Skarżąca jest aktywnym Klientem F.. Co więcej Pani T. S.od 2017 roku do dnia dzisiejszego reguluje należności wynikające z obu umów." Dnia [....] maja 2018 r. Spółka zawarła umowę powierzenia przetwarzania danych z P. Sp. z o.o. z siedzibą w G. przy ul. S. [....], z którą łączy ją również wcześniej zawarta umowa o współpracy. Na podstawie ww. umów P. Sp. z o.o. przetwarza w imieniu Spółki dane osobowe jej klientów w celu ich przechowywania wraz z usługami towarzyszącymi, archiwizacji cyfrowej dokumentów oraz skanowania dokumentacji wraz z indeksacją opisową na rzecz Spółki. Dnia [....] kwietnia 2020 r. Spółka powzięła informację o możliwym naruszeniu bezpieczeństwa danych osobowych. Spółka ustaliła, że do naruszenia poufności danych osobowych doszło w środowisku informatycznym podmiotu przetwarzającego, tj. P. Sp. z o.o., oraz ustaliła, że naruszenie to obejmowało pomocniczą bazę archiwum cyfrowego zawierającą indeksy wyszukiwania. Jeden z portów ww. bazy znajdującej się w chmurze nie został zabezpieczony hasłem, co umożliwiało osobom nieupoważnionym dostęp do tej bazy w okresie od [....] kwietnia 2020 r. do [....] kwietnia 2020 r. Po stwierdzeniu naruszenia bezpieczeństwa danych osobowych dostęp do bazy został zablokowany poprzez wdrożenie zabezpieczeń przez P. Sp. z o.o. Dnia [....] kwietnia 2020 r. Spółka zgłosiła ww. naruszenie do Prezesa UODO. Spółka ustaliła, że w przypadku uczestniczki doszło do naruszenia poufności danych osobowych w zakresie imienia, nazwiska i numeru PESEL. W związku z powyższym wyciekiem Spółka zawiadomiła o możliwości popełnienia czynu zabronionego Prokuraturę Okręgową w G.- Wydział [....] Śledczy Dział do Prowadzenia i Nadzorowania Spraw o Przestępstwa z Wykorzystaniem Internetu oraz Zaawansowanych Technologii i Systemów Informatycznych, Komendę Wojewódzką Policji w G.- Wydział do Walki z Cyberprzestępczością oraz [....] . W prowadzonym przez Departament Kontroli i Naruszeń Urzędu Ochrony Danych Osobowych postępowaniu pod sygnaturą [....] ustalono, że w wyniku pozostawienia bazy danych klientów Spółki na niezabezpieczonym serwerze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Pierwsze połączenie nastąpiło z adresu IP [....] dnia [....] kwietnia 2020 r. pomiędzy godz. 19:22 a godz. 20:58. Aktywność ta może wskazywać na skopiowanie danych o rozmiarze ok. 5 MB. Natomiast drugie połączenie trwało od 15 kwietnia 2020 r. godz. 23:00 do 16 kwietnia 2020 r. godz. 04:06 i nastąpiło za pośrednictwem komputera lub serwera zdefiniowanego numerem IP [....] W jego wyniku mogło dojść do pobrania danych o wolumenie ok. 11 GB.