WSA oddalił skargi spółek Delta KTW oraz InterSYS

Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 3 lipca 2025 r., w sprawie sygn. akt II SA/Wa 2056/24 oddalił skargę spółki Delta KTW Sp. z o. o. w całości oraz skargę InterSYS s.c. w zakresie pkt II decyzji Prezesa Urzędu Ochrony Danych Osobowych (DKN.5131.1.2021). W ustnych motywach rozstrzygnięcia Sąd w pełni podzielił argumentację organu nadzorczego przedstawioną w zaskarżonej decyzji.

Sprawa dotyczyła decyzji prezesa UODO Mirosława Wróblewskiego na podstawie, której nałożono administracyjne kary pieniężne:  na spółkę z o. o. Delta KTW (będącą następcą prawnym ukaranego podmiotu, osoby fizycznej prowadzącej działalność gospodarczą) - administrator danych - w kwocie 353 589 zł. oraz wspólników spółki cywilnej InterSYS - podmiot przetwarzający - w kwocie 9 822 zł.

Nieadekwatne środki ochrony danych i brak analizy ryzyka

Sąd wskazał, że administrator danych (Delta KTW Sp. z o.o.) nie wdrożył odpowiednich technicznych i organizacyjnych środków bezpieczeństwa przed wystąpieniem naruszenia ochrony danych osobowych, gdyż nie przeprowadził analizy ryzyka dla realizowanych procesów przetwarzania danych osobowych. W konsekwencji, administrator naruszył wyrażoną w art. 5 ust. 1 lit. f) RODO zasadę poufności danych i dalej zasadę rozliczalności (art. 5 ust. 2 RODO). Także środki wdrożone po naruszeniu nie zostały poprzedzone analizą ryzyka. W konsekwencji, Administrator ponownie nie był w stanie wykazać, że wdrożone prze niego środki adekwatne do występującego ryzyka ataku ransomware.

Naruszenia obowiązków informacyjnych wobec osób, których dane dotyczą  

Sąd przyznał rację organowi nadzorczemu, że administrator nieprawidłowo wywiązał się z obowiązku informacyjnego – nie przekazał osobom, których dane dotyczą, informacji o możliwych konsekwencjach naruszenia oraz środkach zaradczych, jakie mogą one podjąć w celu zminimalizowania negatywnych skutków tego naruszenia. (art. 34 ust. 2 w związku z art. 33 ust. 3 lit. c) i d) RODO).

Brak testów i nadzoru nad podmiotem przetwarzającym

Administrator nie wykazał, że regularnie testował, mierzył i oceniał wdrożone środki bezpieczeństwa. W konsekwencji, administrator nie mógł szybko przywrócić dostępności danych, których dotyczył atak ransomware. Sąd potwierdził też, że administrator nie dokonał należytej weryfikacji podmiotu przetwarzającego (wspólników InterSYS s.c.), ograniczając się jedynie do zawarcia umowy powierzenia przetwarzania bez przeprowadzenia jakichkolwiek audytów lub inspekcji w podmiocie przetwarzającym.

W konsekwencji stwierdzonych uchybień, Prezes UODO prawidłowo wystosował względem administratora nakaz dostosowania operacji przetwarzania, dotyczący wdrożenia technicznych i organizacyjnych środków bezpieczeństwa przetwarzania na podstawie przeprowadzonej uprzednio analizy ryzyka.

Rola i odpowiedzialność podmiotu przetwarzającego

Sąd potwierdził ustalenia PUODO, że wspólnicy InterSYS s.c., jako profesjonaliści z branży IT, mieli świadomość wad wykorzystywanego oprogramowania serwera, a mimo to nie poinformowali administratora o potrzebie jego aktualizacji bądź wdrożenia nowszego oprogramowania. Ich zaniechanie – jako świadome i nacechowane niedbalstwem przyczyniło się bezpośrednio do wystąpienia naruszenia. Pomimo posiadanej przez wspólników Podmiotu przetwarzającego wiedzy o istniejących podatnościach oprogramowania serwera, nie powiadomili oni o tym fakcie Administratora, co – jak słusznie zauważył Sąd – wyklucza możliwość przyjęcia, że Podmiot przetwarzający wywiązał się z obowiązku udzielenia Administratorowi „pomocy” uwzględniającej „dostępne mu informacje”(art. 28 ust. 3 lit. f) RODO).

Wysokość kar proporcjonalna do naruszeń

W ocenie Sądu Prezes UODO szczegółowo i prawidłowo uzasadnił wysokość nałożonych kar, które spełniają swoje funkcje: są skuteczne, proporcjonalne i mają charakter odstraszający.

Sprawa dotyczy decyzji Prezesa UODO o sygnaturze DKN.5131.1.2021.