Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Karolina Kisielewicz, Sędzia WSA Iwona Maciejuk, Asesor WSA Michał Sułkowski (spr.), , Protokolant starszy referent Magdalena Frąckiewicz, po rozpoznaniu na rozprawie w dniu 20 kwietnia 2022 r. sprawy ze skargi [...] sp. z o.o. w likwidacji z siedzibą w [...] na pkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] kwietnia 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę.
K. P., reprezentowany przez radcę prawnego, w piśmie z 3 kwietnia 2020 r. wniósł do Prezesa Ochrony Danych Osobowych (dalej "Prezes UODO") skargę na niezgodne z prawem przetwarzanie jego danych osobowych przez [...] sp. z o.o. z siedzibą w [...] (dalej również "Spółka" lub "[...]")
- administratora serwisu internetowego [...] Skarżący podniósł, że doszło do naruszenia art. 5 ust. 1 lit. f oraz art. 32 ust. 1 lit. b i art. 32 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej "RODO") poprzez niezapewnienie bezpieczeństwa i poufności przetwarzania danych osobowych, co skutkowało wyciekiem z zasobów administratora danych osobowych K. P., w szczególności takich jak: imię, nazwisko, PESEL, seria i numer dowodu tożsamości, NIP, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres korespondencyjny, adres zameldowania, adres e-mail, numer telefonu stacjonarnego, numer telefonu komórkowego, numer telefonu pracodawcy, nazwa pracodawcy, zatrudnienie (rodzaj umowy), przychód miesięczny netto, źródło przychodu, ilość osób pozostających na utrzymaniu, stan cywilny, wykształcenie, hasło do profilu klienta na [...].
K. P. wywiódł w uzasadnieniu skargi, że 14 marca 2020 r. otrzymał od administratora portalu [...] informację o zainicjowaniu automatycznego resetowania hasła dostępu do konta użytkownika. Następnie, [...] marca 2020 r. administrator poinformował, że dane osobowe zapisane na koncie użytkownika założonym za pośrednictwem strony internetowej [...] zostały ujawnione osobie trzeciej na skutek błędu pracownika podmiotu, któremu administrator powierzył przetwarzanie danych osobowych. Wedle informacji administratora, błąd miał polegać na braku zabezpieczenia danych w okresie od 3 do 14 marca 2020 r. przez podmiot współpracujący z[...] .
Skarżący odwołał się także do informacji uzyskanych ze strony internetowej[...] , zgodnie z którymi [...] marca 2020 r. ujawniono w sieci serwer z ogólnodostępną bazą danych[ ...], w której znajdowały się dane klientów [...], w tym imiona i nazwiska, adresy e-mail, numery PESEL, numery dowodów osobistych lub paszportów, hasła zapisane otwartym tekstem, a także numery rachunków bankowych. Zaistniałe zdarzenie miało zostać ujawnione i zgłoszone administratorowi [...] marca 2020 r., jednakże dopiero 14 marca wykonano reset hasła użytkownika. Informację o naruszeniu skarżący otrzymał natomiast dopiero 16 marca 2020 r., zatem 7 dni od momentu ujawnienia naruszenia.
K. P. wniósł o usunięcie uchybień w procesie przetwarzania danych osobowych, w szczególności domagając się usunięcia danych osobowych z zasobów administratora, ewentualnie o ograniczenie przetwarzania jego danych przez administratora.