Za proces przetwarzania danych osobowych odpowiada administrator oraz podmiot przetwarzający

Na skutek uwzględnienia skargi kasacyjnej Prezesa Urzędu Ochrony Danych Osobowych Naczelny Sąd Administracyjny uchylił zaskarżony wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie w sprawie naruszenia przepisów o ochronie danych osobowych przez Fortum Marketing and Sales S.A. i Pika Sp. z o.o. Wcześniej WSA uchylił decyzję Prezesa UODO nakładającą administracyjne kary pieniężne na Fortum jako administratora danych osobowych oraz na Pikę jako podmiot przetwarzający. Sprawa dotyczyła odpowiedzialności administratora oraz podmiotu przetwarzającego za naruszenie przepisów RODO.

Sprawa sięga kwietnia 2020 r., kiedy Fortum zgłosiło organowi nadzorczemu naruszenie ochrony danych osobowych. Naruszenie było związane z wprowadzeniem zmian w środowisku teleinformatycznym pełniącego funkcję cyfrowego archiwum. W odpowiedzi na sygnalizowane przez Fortum problemy z wydajnością systemu podmiot przetwarzający – spółka Pika – podjął działania modernizacyjne polegające na utworzeniu dodatkowej bazy danych i zasileniu jej danymi klientów administratora. Jednak nowo utworzoną bazę udostępniono w sposób nieprawidłowy, co umożliwiło osobom nieuprawnionym dostęp do danych klientów oraz ich skopiowanie.

Szeroki zakres ujawnionych danych obejmował m.in. imiona i nazwiska, adresy zamieszkania, numery PESEL, dane dokumentów tożsamości, dane kontaktowe oraz informacje dotyczące zawartych umów. Ostatecznie ustalono, że naruszenie ochrony danych osobowych dotyczyło danych ponad 95 tys. osób fizycznych. Administrator początkowo uznał, że nie zaszło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą - i nie powiadomił ich o incydencie. Dopiero później, po interwencji Prezesa UODO, doszło do zawiadomienia osób, których dane udostępniono, oraz do przekazania im zaleceń mających ograniczyć potencjalne skutki naruszenia.

Przedmiotowe zgłoszenie naruszenia ochrony danych osobowych stało się dla organu nadzorczego impulsem do dokonania oceny realizacji przez administratora i podmiot przetwarzający spoczywających na nich obowiązków wynikających z przepisów rozporządzenia 2016/679 dotyczących właściwego zabezpieczenia danych oraz organizacji systemu ochrony danych osobowych. W toku postępowania administracyjnego Prezes Urzędu ustalił, że zarówno administrator, jak i podmiot przetwarzający nie wdrożyli odpowiednich środków technicznych oraz organizacyjnych wymaganych przez RODO. Organ nadzorczy wskazał, że spółka Fortum przed zawarciem umowy powierzenia nie zweryfikowała, czy spółka Pika zapewniała wystarczające gwarancje bezpieczeństwa; nie skorzystała też z przysługującego jej prawa kontroli (wynikającego z art. 28 ust. 3 lit. h RODO), a także nie sprawowała realnego nadzoru nad procesem wprowadzania zmian w systemie. Z kolei po stronie Piki Prezes UODO stwierdził brak testowania zabezpieczeń na etapie prac rozwojowych, wykorzystanie rzeczywistych danych osobowych do celów testowych bez ich uprzedniej pseudonimizacji oraz brak pełnej konfiguracji zabezpieczeń technicznych, w tym tak podstawowych jak firewall.

Organ nadzorczy przywołał również obowiązujące normy i standardy bezpieczeństwa, w szczególności normy ISO/IEC 27001 i 27002, podkreślając, że przy pracach nad systemami przetwarzającymi dane osobowe należy unikać używania danych rzeczywistych w środowiskach testowych lub stosować wobec nich takie same zabezpieczenia jak w środowiskach produkcyjnych.

W ocenie Prezesa Urzędu doszło do naruszenia zasady poufności danych oraz do niedopełnienia obowiązku zapewnienia bezpieczeństwa przetwarzania, co uzasadniało nałożenie administracyjnych kar pieniężnych. W rezultacie stwierdzenia naruszeń przepisów RODO Prezes UODO skorzystał z uprawnienia do nałożenia kary administracyjnej na administratora danych – w wysokości blisko 5 mln zł (za naruszenie art. 5 ust. 1 lit. f), art. 25 ust. 1, art. 28 ust. 1 oraz art. 32 ust. 1 i 2 RODO) oraz na podmiot przetwarzający – spółkę Pika – w wysokości ponad 250 tys. zł (za naruszenie art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) i f) RODO).

Wojewódzki Sąd Administracyjny w Warszawie uchylił decyzję Prezesa UODO, uznając, że organ nadzorczy nie wykazał w sposób wystarczający i przekonujący ustalonego stanu faktycznego, ograniczył się do przytoczenia sprzecznych stanowisk stron oraz nie przeprowadził pełnej oceny dowodów. WSA zwrócił także uwagę na konieczność uzupełnienia postępowania dowodowego o ustalenia dotyczące standardów technicznych i praktyk rynkowych oraz na konieczność rozważenia, czy dodatkowe audyty mogły zapobiec opisanemu zdarzeniu.

Naczelny Sąd Administracyjny nie podzielił jednak tej oceny. Uwzględniając skargę kasacyjną Prezesa Urzędu, stwierdził, że organ nadzorczy wyjaśnił wszystkie istotne okoliczności z punktu widzenia przedmiotu postępowania oraz poddał obszerny materiał dowodowy zgromadzony w sprawie wszechstronnej, odpowiadającej prawu ocenie i w sposób spójny uzasadnił swoje rozstrzygnięcie. Zdaniem NSA sąd wojewódzki błędnie zastosował przepisy postępowania, kwestionując kompletność ustaleń faktycznych i zasadność oceny dowodów dokonanej przez organ nadzorczy. NSA uznał również, że kwestia nadzoru administratora nad czynnościami podejmowanymi przez podmiot przetwarzający – tzn. przed wystąpieniem naruszenia jak i w trakcie wdrażania zmian informatycznych – została przez organ nadzorczy szczegółowo i wyczerpująco opisana oraz przeanalizowana w uzasadnieniu skarżonej w sprawie decyzji. Natomiast za zupełnie niezrozumiałe NSA uznał stanowisko Wojewódzkiego Sądu Administracyjnego w Warszawie, który stwierdził, że w sprawie konieczne było ustalenie czy w rozpoznawanej sprawie doszło do „wycieku” danych, czy też pojawiła się tam „jedynie krótkotrwała możliwość uzyskania dostępu do danych osobowych przez osoby nieuprawnione”. Również i tutaj NSA uznał, że kwestia utraty poufności – determinująca zakres rozpoznania sprawy – została jednoznacznie ustalona przez Prezesa UODO. .

Na skutek uwzględnienia skargi kasacyjnej NSA uchylił wyrok sądu wojewódzkiego i przekazał sprawę do ponownego rozpoznania, wskazując, że  przy ponownym rozpoznaniu sprawy Wojewódzki Sąd Administracyjny w Warszawie uzna kompletność dokonanych przez organ ustaleń faktycznych w sprawie odzwierciedlonych w zgromadzonym materiale dowodowym.