Sprawa ze skargi na decyzję Prezesa Urzędu Ochrony Danych Osobowych w przedmiocie przetwarzania danych osobowych
Sentencja

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Karolina Kisielewicz, Sędzia WSA Iwona Maciejuk, Asesor WSA Michał Sułkowski (spr.), , Protokolant starszy referent Magdalena Frąckiewicz, po rozpoznaniu na rozprawie w dniu 20 kwietnia 2022 r. sprawy ze skargi [...] sp. z o.o. w likwidacji z siedzibą [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] kwietnia 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę.

Uzasadnienie strona 1/7

A.K., reprezentowany przez adwokata, w piśmie z 31 marca 2020 r. wniósł do Prezesa Ochrony Danych Osobowych (dalej "Prezes UODO") skargę na niezgodne z prawem przetwarzanie jego danych osobowych przez [...] sp. z o.o. z siedzibą w [...] (dalej również "Spółka" lub "[...]") - administratora serwisu internetowego [...]. Skarżący podniósł, że doszło do ujawnienia jego danych takich jak: imię, nazwisko, PESEL, seria i numer dowodu tożsamości, NIP, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres korespondencyjny, adres zameldowania, adres e-mail, numer telefonu stacjonarnego/komórkowego, nazwa pracodawcy, przychód miesięczny, stan cywilny, wykształcenie.

A.K. stwierdził, że o ujawnieniu wymienionych danych został poinformowany wiadomością e-mail w dniu 16 marca 2020 r., oraz że do ujawnienia miało dojść przez błąd pracownika Spółki zarządzającego stroną internetową [...]. w okresie pomiędzy 3 a 14 marca 2020 r. Oświadczył ponadto, że Spółka uzyskała jego dane w związku z procedurą udzielenia pożyczki gotówkowej.

Do skargi A.K. dołączył wydruk wiadomość e-mail wysłanej 16 marca 2020 r. z adresu elektronicznego [...] o następującej treści. Informujemy, że Pani/Pana dane osobowe zapisane na koncie użytkownika założonym za pośrednictwem strony internetowej [...] zostały ujawnione osobie trzeciej na skutek błędu pracownika podmiotu, któremu [...] powierzył przetwarzanie Pani/Pana danych osobowych. Błąd polegał na braku zabezpieczenia danych w okresie od dnia 03 marca br. do dnia 14 marca br. przez podmiot współpracujący z [...].

W widomości podano też, że zakres danych osobowych objętych nieuprawnionym udostępnieniem obejmuje: imię, nazwisko, PESEL, serię i numer dokumentu tożsamości, NIP, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres korespondencyjny, adres zameldowania, adres e-mail, numer telefonu stacjonarnego, numer telefonu komórkowego, poprzedni numer telefonu komórkowego (jeśli uległ zmianie), numer telefonu pracodawcy, adres e-mail osoby, której klient rekomendował pożyczkę (jeśli rekomendował), nazwę pracodawcy, zatrudnienie (rodzaj umowy), przychód miesięczny netto, źródło przychodu, ilość osób pozostających na utrzymaniu, stan cywilny wykształcenie, hasło do profilu klienta na [...]. Wskazano, że jeśli którekolwiek z wymienionych danych nie zostały podane w trakcie zakładania konta użytkownika lub w okresie późniejszym, dane te nie zostały objęte potencjalnym ujawnieniem.

W wiadomości zawarto również: (1) odpis przewidywanych konsekwencji i zagrożeń związanych z ujawnieniem danych osobowych oraz środków proponowanych w celu minimalizacji negatywnych skutków związanych z naruszeniem; (2) opis kroków podjętych w celu zaradzenia naruszeniu danych osobowych; (3) informację o możliwości uzyskania dalszych informacji oraz (4) informację o zgłoszeniu naruszenia danych osobowych Prezesowi UODO.

Strona 1/7