Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie (WSA), jaki zapadł 26 kwietnia 2023 r. w sprawie o sygn. akt: II SA/Wa 1272/22 jasno wskazuje, że naruszenia ochrony danych osobowych, jeżeli już mają miejsce, należy każdorazowo dokładnie przeanalizować oraz rzetelnie ocenić pod kontem ich wpływu na prawa i wolności osób, których dane zostały naruszone. Taki wniosek płynie z powyżej wskazanego orzeczenia WSA. Jeżeli administrator danych osobowych będzie próbował za wszelką cenę nie zgłosić naruszenia ochrony danych osobowych, mimo, że zaistniała sytuacja i analiza w tym zakresie wskazują coś zupełnie odwrotnego, to w konsekwencji naraża się na karę finansową Prezesa Urzędu Ochrony Danych Osobowych (Prezes UODO).
Aby nakreślić kontekst całej sytuacji należy przytoczyć parę faktów z zaistniałej sprawy. Mianowicie Prezes UODO w 2022 roku wydał po przeprowadzeniu postępowania decyzję (DKN.5110.12.2021) o nałożeniu administracyjnej kary pieniężnej na administratora w wysokości 15 994 złotych (słownie: piętnaście tysięcy dziewięćset dziewięćdziesiąt cztery złote). Jak wskazuje samo UODO, stało się tak w następstwie postępowania zainicjowanego zgłoszeniem organowi potencjalnych nieprawidłowości związanych z przetwarzaniem danych osobowych przez tego administratora. Prowadząc czynności wyjaśniające z udziałem UODO stwierdzono, że doszło do zagubienia dokumentu z akt osobowych pracownika spółki, tj. świadectwa pracy pracownika administratora. Powyższy fakt potwierdził administrator w wyjaśnieniach skierowanych do Prezesa UODO. Administrator wskazał w nich także, że nie zgłosił przedmiotowego naruszenia Prezesowi UODO, ponieważ w jego opinii nie wiązało się ono z ryzykiem naruszenia praw lub wolności osoby, której dane dotyczą, a ponadto pracownik, którego świadectwo pracy zagubiono, nie zgłaszał z tego tytułu roszczeń wobec administratora. Jednocześnie administrator oświadczył, że zawiadomił, zgodnie z przepisami, pracownika o utracie świadectwa pracy zawierającego jego dane osobowe. Tym samym administrator nie zgodził się z decyzją organu nadzorczego o nałożeniu kary pieniężnej i zaskarżył ją do WSA.
WSA w swoim wyroku stwierdza m.in., że: „(…) W ocenie Sądu, analizowana pod tym kątem skarga nie zasługuje na uwzględnienie, albowiem zaskarżona decyzja Prezesa UODO z dnia (…) maja 2022 r. – nie narusza obowiązujących przepisów prawa. Sąd uznał, że Prezes UODO, wydając zaskarżoną decyzję nie dopuścił się naruszenia zarówno wiążących Polskę przepisów prawa europejskiego, jak i regulacji prawa krajowego, w stopniu mającym istotny wpływ na końcowy wynik sprawy zakończonej wydaniem wspomnianej wyżej decyzji. (…)”.
Ponadto warto zauważyć, że Prezes UODO w swojej decyzji wyraźnie podkreślił, że informacje uwzględnione w treści świadectwa pracy stanowią dane osobowe, szczególnie że występują łącznie z imieniem i nazwiskiem, określeniem pracodawcy oraz informacją o dacie urodzenia osoby, której dane dotyczą. Niektóre z tych danych są szczególnie istotne z punktu widzenia praw lub wolności osoby, której dane dotyczą. W szczególności za takie dane należy uznać informacje o trybie i podstawie prawnej rozwiązania lub podstawie prawnej wygaśnięcia stosunku pracy, a w przypadku rozwiązania umowy o pracę za wypowiedzeniem – stronie stosunku pracy, która dokonała wypowiedzenia oraz o zajęciu wynagrodzenia za pracę w myśl przepisów o postępowaniu egzekucyjnym. Informacje te, z uwagi na ich charakter, w przypadku ich udostępnienia osobom nieuprawnionym, mogą stanowić przyczynę naruszenia wolności lub praw osoby, której dane dotyczą.Powyższe dane mogą bowiem bezpośrednio lub pośrednio ujawniać informacje o życiu osobistym osoby, której dane dotyczą, o jej problemach natury prawnej oraz statusie majątkowym (np. informacja o zajęciu wynagrodzenia z tytułu postępowania egzekucyjnego), itd. Biorąc powyższe pod uwagę Prezes UODO podkreślił, że: „W tej sytuacji uznanie przez Spółkę, że incydent nie stanowił naruszenia ochrony danych osobowych, nie miało podstaw faktycznych ani prawnych. Okoliczności naruszenia ochrony danych, jako istotne, powinny być wzięte pod uwagę przez Spółkę przy ocenie, czy do niego doszło, jaka była jego skala oraz czy potencjalnie wiązało się ono z ryzykiem naruszenia praw lub wolności podmiotów danych, a także, czy ryzyko to jest wysokie.Tymczasem, jak wynika z udzielonych wyjaśnień, Spółka tego nie uczyniła, bezpodstawnie uznając, iż naruszenie nie wiązało się z ryzykiem naruszenia ww. praw lub wolności w ogóle, pomimo tego, że zagubiony dokument nie został do tej pory odnaleziony.”
Należy przypomnieć, art. 33 ust. 1 RODO stanowi, że w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Idąc dalej w ust 3 art. 33 RODO wskazano, że zgłoszenie, o którym mowa w ust. 1, musi co najmniej:
- a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
- b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
- c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
- d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Jednocześnie art. 34 ust. 1 RODO wskazuje, że w sytuacji, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o takim naruszeniu.
Co jest najistotniejsze, w treści sentencji Sąd wskazał, że konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować: „Podkreślić należy, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować. W treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.” Zatem, sąd podkreślił, że powstanie samego ryzyka naruszenia praw lub wolności osób, których dane dotyczą, w związku z naruszeniem ochrony danych osobowych, powoduje obowiązek zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych. W niniejszej sprawie WSA potwierdził, że zgubienie przez administratora świadectwa pracy pracownika mogło prowadzić do szkód majątkowych i niemajątkowych, co powodowało ryzyko naruszenia praw i wolności tego pracownika.
Reasumując naruszenia ochrony danych osobowych, jeżeli już mają miejsce, należy każdorazowo dokładnie przeanalizować oraz rzetelnie ocenić pod kontem ich wpływu na prawa i wolności osób, których dane zostały naruszone.
Autor: Radosław Aniszczyk