Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 19.04.2022 r. w sprawie o sygn. akt II SA/Wa 3024/21 jako orzeczenie polemizujące ze stanowiskiem Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej „PUODO”, w kontekście konieczności zgłoszenia przez Administratora danych osobowych faktu naruszenia związanego z ujawnieniem danych osobowych w postaci imienia, nazwiska, miejscowości i kodu pocztowego oraz numeru PESEL zgodnie z art. 33 i 34 RODO.
W dniu 19.04.2022 r. Wojewódzki Sąd Administracyjny w Warszawie uchylił decyzję PUODO z czerwca 2021 r., na mocy której w.w. Organ:
1) stwierdził naruszenie przez […] Towarzystwo Ubezpieczeń […] S.A. z siedzibą w […] przepisów art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia oraz art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osoby, której dane dotyczą i nałożył na […] Towarzystwo Ubezpieczeń […] S.A. z siedzibą w […] administracyjną karę pieniężną w wysokości 159.176 PLN;
2) nakazał […] Towarzystwu Ubezpieczeń […] S.A. zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych w celu przekazania jej informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, w terminie 3 dni od dnia jej doręczenia.
Naruszenie, którego dotyczyła przedmiotowa decyzja to jedna z najczęściej zdarzających się u Administratorów sytuacji wymagających analizy pod kątem ryzyka naruszenia praw i wolności osób fizycznych, których dane przetwarzają jaką jest udostępnienie danych osobowych w wyniku omyłki pracownika Administratora, czy Podmiotu przetwarzającego dane osobie niepowołanej.
Taka właśnie sytuacja miała miejsce i w tym przypadku. Rzeczone naruszenie bowiem polegało na wysłaniu pocztą elektroniczną przez agenta ubezpieczeniowego, będącego podmiotem przetwarzającym dla towarzystwa ubezpieczeń polisy ubezpieczeniowej (tzw. kalkulacji) zawierającej dane osobowe (imię, nazwisko, numer PESEL i miejscowość wraz z kodem pocztowym) klienta zainteresowanego ubezpieczeniem oferowanym przez to towarzystwo, na adres e-mail innej osoby, w wyniku czego doszło do naruszenia poufności danych jednej osoby fizycznej.
Od tegoż rozstrzygnięcia administracyjnego skargę do Wojewódzkiego Sądu Administracyjnego złożył Administrator, w której to zarzucił zaskarżonej decyzji m.in.:
Sąd uchylił decyzję PUODO wskazując, iż część zarzutów skargi uznaje za uzasadnione. Sąd wziął pod uwagę okoliczności sprawy, a to w szczególności fakty, iż:
Natomiast z uwagi na to, że odbiorcą danych był były klient towarzystwa ubezpieczeniowego, nie będący w rozumieniu wytycznych EROD osobą zaufaną, w ocenie Sądu, że nie została spełniona określona w art. 33 ust. 1 Rozporządzenia przesłanka zwalniająca administratora danych z obowiązku zgłoszenia organowi nadzoru faktu naruszenia danych osobowych. Sąd podzielił stanowisko PUODO co do tego, że prawdopodobieństwo, by stwierdzone naruszenie ochrony danych osobowych rodziło ryzyko naruszenia praw lub wolności osoby, której dane zostały ujawnione, nie jest małe. Administrator miał zatem obowiązek zgłoszenia tego naruszenia organowi nadzoru.
Sąd wskazał nadto, iż zaskarżoną decyzją organ nadzoru wymierzył Administratorowi karę pieniężną również za naruszenie art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osoby, której dane dotyczą.
W tym zakresie Sąd doszedł do przekonania, iż PUODO wymierzając karę pieniężną nie wyjaśnił dostatecznie i przekonywająco przesłanek uznania, że naruszenie ochrony danych osobowych przez skarżącą mogło powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Zdaniem Wojewódzkiego Sądu Administracyjnego w Warszawie organ nie wykazał, że w praktyce jest możliwe, np. legalne zaciąganie zobowiązań wyłącznie na podstawie danych obejmujących imię i nazwisko oraz numer PESEL oraz miejscowość i kod pocztowy, ani że na podstawie takich danych można również zawrzeć umowy pożyczki, nawet w instytucjach pozabankowych czy parabankowych, za pośrednictwem Internetu lub telefonicznie, nie wykazał również swoich twierdzeń jakoby dysponowanie samymi danymi osobowymi, obejmującymi imię i nazwisko oraz numer PESEL pozwalało np. na uzyskanie dostępu do systemów obsługujących udzielanie świadczeń medycznych i na wgląd do danych o stanie zdrowia osoby dotkniętej naruszeniem.
Wydając rozstrzygnięcie Sąd doszedł do przekonania, że PUODO nie wyjaśnił dostatecznie w uzasadnieniu decyzji dlaczego przyjął, że Spółka naruszyła art. 34 ust.1 RODO.
Niejako na marginesie Sąd podnosi, że nie wszystkie incydenty bezpieczeństwa muszą wiązać się z naruszeniem ochrony danych osobowych. Z naruszeniem ochrony danych osobowych będziemy mieli do czynienia wówczas, gdy administrator nie jest w stanie zapewnić zgodności z zasadami przetwarzania danych osobowych, o których mowa w art. 5 rozporządzenia.
Konkludując, orzeczenie Wojewódzkiego Sądu Administracyjnego w Warszawie stanowi niejako wyraz polemiki z utartym wydaje się stanowiskiem PUODO, iż ujawnienie danych osobowych w postaci imienia, nazwiska, miejscowości i kodu pocztowego oraz numeru PESEL nawet jednej osoby fizycznej osobie spoza organizacji Administratora, nie będącej jego zaufanym kontrahentem, wymaga każdorazowo zgłoszenia tak do PUODO, jak i osobie fizycznej, której dane udostępniono.