NSA podtrzymuje decyzję Prezesa UODO ws. Śląskiego Uniwersytetu Medycznego

Naczelny Sąd Administracyjny wydał wyrok, w którym podtrzymał decyzję Prezesa UODO, m.in. nakładającą karę administracyjną w wysokości 25 tys. zł na Śląski Uniwersytet Medyczny w Katowicach za niezgłoszenie naruszenia ochrony danych osobowych oraz niezawiadomienie o naruszeniu osób, których dane dotyczą.

Umieszczenie nagrań z egzaminu na uniwersyteckiej platformie

Na platformie obsługiwanej przez Śląski Uniwersytet Medyczny w Katowicach zostały udostępnione nagrania z przebiegu egzaminów praktycznych z pediatrii. Studenci przystępujący do egzaminu zostali w większości wylegitymowani za okazaniem legitymacji studenckiej lub dowodu osobistego.

Wiele osób logowało się na platformę lub przesyłało sobie linki do udostępnionych nagrań. W trakcie sprawdzania linków okazało się również, że istnieje możliwość obejrzenia nagrania bez konieczności logowania.

Zaalarmowani studenci zaczęli sprawdzać, czy dane z ich dokumentów tożsamości są widoczne na nagraniach. Wskazywali też, że przed przystąpieniem do egzaminu nie zostali poinformowani, że będą one udostępnione na platformie.

Postępowanie ws. naruszenia ochrony danych osobowych

W związku z powyższym Prezes UODO wszczął postępowanie administracyjne w celu ustalenia, czy nie doszło do naruszenia przepisów o ochronie danych osobowych dotyczących obowiązku zgłoszenia naruszenia ochrony danych osobowych do organu nadzorczego (art. 33 ust. 1 RODO) oraz zawiadomienia osób, których dane dotyczą, w razie gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (art. 34 ust. 1 RODO).

Administrator w swoich wyjaśnieniach skierowanych do organu nadzorczego wskazywał m.in. że:

-   dane znajdujące się na dokumentach mogły pozostawać nieczytelne lub jedynie częściowo czytelne,

-   nie wpłynęły do niego informacje wskazujące na nieuprawnione wykorzystanie danych osobowych udostępnionych w wyniku przedmiotowego naruszenia,

-   członkowie społeczności akademickiej zobowiązani są Statutem Uczelni do przestrzegania przepisów wewnętrznych, w tym odnoszących się do ochrony prywatności.

Odnosząc się do powyższej argumentacji, Prezes UODO po raz kolejny podkreślił, że w sprawie nie jest istotne to, czy nieuprawniony odbiorca faktycznie wszedł w posiadanie i zapoznał się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko, a w konsekwencji także potencjalnie wystąpiło ryzyko naruszenia praw lub wolności podmiotów danych.

Organ wyjaśnił dalej, że w przedmiotowej sprawie zaistniało ryzyko nieuprawnionego wejścia w posiadanie danych osobowych. Wbrew twierdzeniom administratora nie można założyć, że fakt pozostawania osób mających dostęp do platformy w związku z administratorem daje gwarancje zachowania poufności danych.

Odnosząc się do kwestii nieczytelności zdjęć, organ nadzorczy wskazał na istnienie programów umożliwiających stosowną obróbkę zdjęć lub nagrań, które pozwalają na odczytanie zawartych w nich danych.

Przy ocenie zachowania administratora organ nadzorczy wziął również pod uwagę zakres danych osobowych ujawnionych na nagraniach. Oprócz informacji zgromadzonych na legitymacjach studenckich lub dowodach osobistych w grę wchodziło ujawnienie innych danych, które wiążą się z odbywaniem egzaminu, a więc wizerunku, głosu, informacji o grupie, roku studiów, kierunku, przedmiocie oraz udzielonych podczas egzaminu odpowiedziach. Utrata kontroli nad tymi danymi mogła się zatem wiązać z dodatkowymi, dotkliwymi dla nagranych studentów konsekwencjami.

Postępowanie przed Wojewódzkim Sądem Administracyjnym

Śląski Uniwersytet Medyczny wniósł skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie na decyzję Prezesa UODO, zarzucając m.in.:

• pominięcie oceny faktycznego i realnego zagrożenia wykorzystania ujawnionych danych osobowych ze względu na niską jakość utrwalonego materiału filmowego, uniemożliwiającą odczytanie danych z dokumentów okazywanych przez studentów;
• zaniechanie powołania stosownego biegłego z zakresu obróbki cyfrowej obrazu w celu ustalenia, czy faktycznie istniała techniczna możliwość odczytania i wykorzystania danych z dokumentów ujawnionych na nagraniach.

WSA nie przychylił się do powyższej argumentacji, przyznając, że dla wystąpienia po stronie administratora obowiązku zgłoszenia naruszenia ochrony danych osobowych (art. 33 ust. 1 RODO) oraz zawiadomienia o naruszeniu osób dotkniętych tym naruszeniem (art. 34 ust. 1 RODO) nie musi wystąpić skutek w postaci materializacji tego ryzyka. Z treści powyższych artykułów wynika bowiem jasno, że samo ryzyko wystąpienia takiego naruszenia obliguje administratora do podjęcia stosownych działań.

Wojewódzki Sąd Administracyjny potwierdził też, że ŚUM nie przeprowadził stosownej analizy ryzyka, opierając się m.in. na argumencie o nieczytelności nagrań, nieotrzymaniu zgłoszeń o wystąpieniu negatywnych skutków ich upublicznienia oraz o wąskim gronie osób, które mogły mieć do nich dostęp. Założenia te były jednak niewystarczające do zwolnienia administratora z obowiązków określonych w art. 33 ust. 1 oraz art. 34 ust. 1 RODO.

Sąd podkreślił również, że administrator danych dopuszczający możliwość wykorzystania środków komunikacji w postaci możliwości nagrywania egzaminów powinien mieć świadomość ryzyk związanych z nieprawidłowym zabezpieczeniem nagrań przed nieuprawnionym dostępem i w celu ich minimalizacji przedsięwziąć odpowiednie środki organizacyjne i techniczne już na etapie ich wdrażania.

Postępowanie przed Naczelnym Sądem Administracyjnym

Śląski Uniwersytet Medyczny wniósł skargę kasacyjną do Naczelnego Sądu Administracyjnego, zasadniczo podtrzymując zarzuty podniesione na etapie postępowania pierwszoinstacyjnego.

NSA przychylił się do stanowiska organu nadzorczego i oddalił skargę kasacyjną ŚUM.

Odnosząc się do zarzutu niepowołania biegłego, wskazał, że Prezesa UODO należy zaliczyć do grona organów administracji specjalnej, co oznacza, iż dysponuje on zasobami kadrowymi wyspecjalizowanymi w zakresie powierzonych mu zadań i kompetencji. Te okoliczności, które dla zwykłego obywatela stanowią zakres wiedzy specjalistycznej, z punktu widzenia organu rozpatrywane są jednak bez konieczności sięgania po pomoc biegłych z danej dziedziny, gdyż zatrudnia on urzędników mogących na podstawie własnej wiedzy specjalistycznej ocenić je w ramach urzędu.

NSA wskazał też, że ocena ryzyka jest uprawnieniem administratora danych osobowych, lecz wbrew poglądowi skarżącego błędna ocena ryzyka podlega sankcjonowaniu. Istotą postępowania ws. naruszenia ochrony danych osobowych jest zbadanie przez organ nadzorczy, czy w danej sprawie administrator dokonał prawidłowej oceny ryzyka.

Nie chodzi bowiem o dokonanie jakiejkolwiek oceny ryzyka, ale takiej, które realizuje cel leżący u podstaw regulacji z art. 33 ust. 1 oraz art. 34 ust. 1, tj. zapewnienia najwyższego poziomu ochrony danych osobowych, również w sytuacji kryzysowej, która może się wiązać z wystąpieniem naruszenia ochrony danych osobowych.