Godło Rzeczypospolitej Polskiej

Portal Orzeczeń

DostępnośćBIP
Decision logo
Warszawa, 23 czerwca 2025nieprawomocna

Decyzja DKN.5130.4179.2020

Na podstawie art. 104 § 1 i art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572) w związku z art. 7, art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. b) oraz i), art. 83 ust. 1 - 3, art. 83 ust. 4 lit. a) w związku z art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1, 3, 4 i 9, art. 32 ust. 1 i 2, art. 34 ust. 1 i 3 lit. c) i art. 38 ust. 1 oraz art. 83 ust. 5 lit. a) w związku z art. 5 ust. 1 lit. c) i f) oraz art. 5 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.) (dalej jako: rozporządzenie 2016/679),
po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez G. (…) Sp. z o.o. z siedzibą w W. przy ul. (…), U. (…) Sp. z o.o. z siedzibą w W. przy ul. (…) oraz J. S. prowadzącego działalność gospodarczą pod firmą N. (…) (ul. (…), (…)-(…) W.), Prezes Urzędu Ochrony Danych Osobowych,
I.
stwierdzając naruszenie przez U. (…) Sp. z o.o. z siedzibą w W. przy ul. (…) przepisów art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) rozporządzenia 2016/679, polegające na:
1)
braku wdrożenia odpowiednich środków technicznych i organizacyjnych, zapewniających bezpieczeństwo przetwarzania powierzonych danych osobowych oraz ochronę praw osób, których dane dotyczą, na podstawie przeprowadzonej analizy ryzyka uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst, cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, jak również uwzględniającej ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
2)
braku podjęcia w związku z zawarciem umowy powierzenia przetwarzania danych osobowych, środków wymaganych na mocy art. 32 rozporządzenia 2016/679;
3)
braku poddania regularnemu testowaniu mierzeniu i ocenianiu skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania powierzonych danych;
nakłada na U. (…) Sp. z o.o. z siedzibą w W. przy ul. (…) za naruszenie art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) rozporządzenia 2016/679, administracyjną karę pieniężną w wysokości 94 286 zł (słownie: dziewięćdziesiąt cztery tysiące dwieście osiemdziesiąt sześć złotych);
II.
stwierdzając naruszenie przez U. (…) Sp. z o.o. z siedzibą w W. przy ul. (…) przepisów art. 28 ust. 4 i 9 rozporządzenia 2016/679, polegające na wykonywaniu w imieniu G. (…) Sp. z o.o. z siedzibą w W. przy ul. (…) czynności przetwarzania przez U. (…) Sp. z o.o. z siedzibą w W. przy ul. (…) przy korzystaniu z usług innego podmiotu przetwarzającego, tj. J. S. prowadzącego działalność gospodarczą pod firmą N. (…) (ul. (…), (…)-(…) W.), bez nałożenia na ten podmiot - na mocy umowy lub innego aktu prawnego, zawartej w formie pisemnej, w tym elektronicznej - tych samych obowiązków prawnych, jak w umowie zawartej między G. (…) Sp. z o.o. z siedzibą w W. przy ul. (…) a U. (…) Sp. z o.o. z siedzibą w W. przy ul. (…), o których to obowiązkach mowa w art. 28 ust. 3 rozporządzenia 2018/679, w szczególności obowiązku zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom rozporządzenia 2016/679,
nakłada na U. (…) Sp. z o.o. z siedzibą w W. przy ul. (…), za naruszenie art. 28 ust. 4 oraz art. 28 ust. 9 rozporządzenia 2016/679, administracyjną karę pieniężną w wysokości 42 429 zł (słownie: czterdzieści dwa tysiące czterysta dwadzieścia dziewięć złotych);
III.
stwierdzając naruszenie przez U. (…) Sp. z o.o. z siedzibą w W. przy ul. (…) przepisu art. 38 ust. 1 rozporządzenia 2016/679, polegające na braku zapewnienia, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych,
nakłada na U. (…) Sp. z o.o. z siedzibą w W. przy ul. (…), za naruszenie art. 38 ust. 1 rozporządzenia 2016/679, administracyjną karę pieniężną w wysokości 47 143 zł (słownie: czterdzieści siedem tysięcy sto czterdzieści trzy złote);
IV.
stwierdzając naruszenie przez G. (…) Sp. z o.o. z siedzibą w W. przy ul. (…) przepisu art. 28 ust. 1 rozporządzenia 2016/679, polegające na nieprawidłowym przeprowadzeniu weryfikacji podmiotu przetwarzającego przed zawarciem umowy powierzenia przetwarzania danych osobowych i oparcie decyzji, co do wyboru podmiotu przetwarzającego o okoliczności, które nie pozwalały prawidłowo ocenić, czy podmiot ten zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą, a w konsekwencji skorzystaniu z usług podmiotu przetwarzającego, który nie zapewniał wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą,
nakłada na G. (…) Sp. z o.o. z siedzibą w W. przy ul. (…), za naruszenie art. 28 ust. 1 rozporządzenia 2016/679, administracyjną karę pieniężną w wysokości 1 632 063 zł (słownie: jeden milion sześćset trzydzieści dwa tysiące sześćdziesiąt trzy złote);
V.
stwierdzając naruszenie przez G. (…) Sp. z o.o. z siedzibą w W. przy ul. (…) przepisów art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 rozporządzenia 2016/679, polegające na:
1)
braku wdrożenia odpowiednich środków technicznych i organizacyjnych, zapewniających bezpieczeństwo przetwarzania powierzonych danych osobowych oraz ochronę praw osób, których dane dotyczą, na podstawie przeprowadzonej analizy ryzyka uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst, cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, jak również uwzględniającej ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
2)
braku poddania regularnemu testowaniu, mierzeniu i ocenianiu skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych;
3)
braku poddania ocenie w czasie samego przetwarzania zakresu danych osobowych przetwarzanych w module grafików w celu ustalenia ryzyka dla praw lub wolności osób fizycznych, jakie wiąże się z tym przetwarzaniem, a w konsekwencji braku określenia i wdrożenia środków technicznych i organizacyjnych, takich jak pseudonimizacja, zaprojektowanych w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi rozporządzenia 2016/679 oraz chronić prawa osób, których dane dotyczą,
co skutkowało naruszeniem zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/279, naruszeniem zasady minimalizacji danych wyrażonej w art. 5 ust. 1 lit. c) rozporządzenia 2016/679 oraz zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/6/79,
nakłada na G. (…) Sp. z o.o. z siedzibą w W. przy ul. (…), za naruszenie art. 5 ust. 1 lit. f), 5 ust. 1 lit. c), art. 5 ust. 2, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, administracyjną karę pieniężną w wysokości (…) zł (słownie: trzynaście milionów sześćset tysięcy pięćset dwadzieścia osiem złotych);
VI.
stwierdzając naruszenie przez G. (…) Sp. z o.o. z siedzibą w W. przy ul. (…) przepisu art. 38 ust. 1 rozporządzenia 2016/679, polegające na braku zapewnienia, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych,
nakłada na G. (…) Sp. z o.o. z siedzibą w W. przy ul. (…), za naruszenie 38 ust. 1 rozporządzenia 2016/679, administracyjną karę pieniężną w wysokości 1 700 066 zł (słownie: jeden milion siedemset tysięcy sześćdziesiąt sześć złotych);
VII.
stwierdzając naruszenie przez G. (…) Sp. z o.o. z siedzibą w W. przy ul. (…) przepisów art. 34 ust. 1 i ust. 3 lit. c) rozporządzenia 2016/679, poprzez brak indywidualnego zawiadomienia o naruszeniu ochrony danych osobowych byłych pracowników G. (…) Sp. z o.o. i wydanie publicznego komunikatu o naruszeniu ochrony danych osobowych, mimo, iż przesłanka niewspółmiernie dużego wysiłku, o której mową w art. 34 ust. 3 lit. c) rozporządzenia 2016/679, nie wystąpiła, udziela G. (…) Sp. z o.o. z siedzibą w W. przy ul. (…), upomnienia;
VIII.
w pozostałym zakresie postępowanie umarza.

Uzasadnienie

1.
W dniu 24 lipca 2020 r. G. (…) Sp. z o.o. (zwana dalej także: „G.” lub (…)) zgłosiła Prezesowi Urzędu Ochrony Danych Osobowych (zwanemu dalej także: „Prezesem UODO”) naruszenie ochrony danych osobowych, które zostało zarejestrowane pod sygnaturą DKN.5130.4179.2020 (data wpływu 27 lipca 2020 r.). Zgłoszenie zostało uzupełnione przez G. 7 sierpnia 2020 r. (data wpływu: 10 sierpnia 2020 r.). W zgłoszeniu naruszenia ochrony danych osobowych wskazano, że 22 lipca 2020 r. na globalny adres e-mail G. została wysłana wiadomość informująca o możliwość dostępu osób trzecich do danych osobowych pracowników Administratora. Tego samego dnia Administrator stwierdził naruszenie ochrony danych osobowych ustalając, że niezabezpieczony plik bazodanowy w formacie msql, który zawierał dane pracowników G. i jego (…), był dostępny w publicznym katalogu. W związku z tym potencjalna osoba nieuprawniona z poziomu przeglądarki mogła pobrać plik i przy użyciu odpowiedniego oprogramowania uzyskać wgląd w grafiki pracowników, służące do zarządzania czasem pracy pracowników i zawierającymi ich dane osobowe, które zostały wprowadzone do systemu teleinformatycznego w ramach domeny https://(…).
2.
Naruszenie ochrony danych osobowych dotyczyło atrybutu poufności danych osobowych pracowników (…) działających pod firmą G., zatrudnionych przez G. oraz w podmiotach będących (…) G.. Zgłoszeń naruszeń ochrony danych osobowych dotyczących tożsamego incydentu bezpieczeństwa dokonało również 31 podmiotów będących (…) G. (zgłoszenia, zgłoszenia uzupełniające oraz odpowiedzi na wezwanie Prezesa UODO wraz z ewentualnymi załącznikami w aktach sprawy), które zostały zarejestrowane pod następującymi sygnaturami: (…).
3.
Przedmiotowe zgłoszenia naruszenia ochrony danych osobowych stały się dla organu nadzorczego impulsem do dokonania oceny realizacji przez Administratora spoczywających na nim obowiązków wynikających z przepisów rozporządzenia 2016/679 dotyczących właściwego zabezpieczenia danych oraz organizacji systemu ochrony danych osobowych.
4.
W związku z powyższym, pismem z 25 listopada 2020 r. Prezes UODO zawiadomił G. (…) Sp. z o.o. o wszczęciu postępowania administracyjnego, którego przedmiotem jest możliwość naruszenia przez G., jako administratora danych, obowiązków wynikających z przepisów rozporządzenia 2016/679 w zakresie obowiązków wynikających z art. 5 ust. 1 lit. f), art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 oraz art. 34 ust. 1 rozporządzenia 2016/679. Następnie, pismami z 10 marca 2021 r. Prezes UODO poinformował G. oraz U. (…) Sp. z o.o. z siedzibą w W., zwaną dalej U. (…) lub Podmiotem przetwarzającym, że toczące się postępowanie dotyczy również obowiązków U. (…) jako podmiotu przetwarzającego, któremu G. powierzył przetwarzanie danych osobowych osób, których dotyczy naruszenie ochrony danych osobowych. Tym samym zaszły przesłanki do uznania U. (…) za stronę postępowania, zgodnie z art. 28 Kodeksu postępowania administracyjnego (dalej: kpa). Następnie pismami z 19 sierpnia 2022 r. Prezes UODO zawiadomił G. oraz U. (…) o rozszerzeniu postępowania administracyjnego o możliwość naruszenia obowiązków wynikających z przepisu art. 5 ust. 1 lit. c) oraz art. 38 ust. 1 rozporządzenia 2016/679. Z kolei pismami z 17 listopada 2022 r. Prezes UODO poinformował dotychczasowe strony, że uznał za stronę tego postępowania administracyjnego także Pana J. S. prowadzącego działalność gospodarczą pod firmą N. (…) (ul. (…), (…)-(…) W.), bowiem w proces przetwarzania danych osobowych objętych naruszeniem ochrony danych osobowych, zgłoszonym przez G. zaangażowany był również Pan J. S., któremu U. (…) powierzyła dalsze przetwarzanie danych osobowych, których administratorem jest G.. Ponadto, pismami z 17 listopada 2022 r. Prezes UODO poinformował strony postępowania, w tym Pana J. S., że postępowanie administracyjne w sprawie naruszenia przepisów o ochronie danych osobowych przez G., (…) C. oraz Pana J. S. zostało rozszerzone i w całości obejmuje możliwość naruszenia przez ww. podmioty obowiązków wynikających z przepisów art. 5 ust. 1 lit. c), art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1, art. 28 ust. 3, art. 32 ust. 1, art. 32 ust. 2, art. 34 ust. 1, art. 34 ust. 3 oraz art. 38 ust. 1 rozporządzenia 2016/679. Następnie pismami z 23 maja 2024 r. Prezes UODO poinformował strony postępowania, że postępowania administracyjne zostało rozszerzone również o możliwość naruszenia art. 28 ust. 4 i 9 rozporządzenia 2016/6/79.
5.
W toku postępowania przeprowadzonego w niniejszej sprawie Prezes UODO pismami z 27 sierpnia, 30 września, 25 listopada 2020 r.; 10 marca, 13 lipca 2021 r. (błędnie oznaczone na 2020 r.); 2 lutego, 19 sierpnia, 15 września, 17 listopada 2022 r.; 26 września 2023 r.; 23 maja, 12 czerwca 2024 r.; 19 marca, 30 kwietnia 2025 r. wezwał G. do złożenia wyjaśnień. Pismami z dnia 10 marca; 13 lipca 2021 r.; 2 lutego, 16 lutego, 19 sierpnia, 24 października, 17 listopada; 6 grudnia 2022 r.; 26 września 2023 r.; 23 maja, 14 sierpnia 2024 oraz 19 marca 2025 r. Prezes UODO wezwał do złożenia wyjaśnień U. (…). Ponadto, pismami z 17 listopada oraz 6 grudnia 2022 r.; 23 maja 2024 r. Prezes UODO wezwał do złożenia wyjaśnień również Pana J. S..
6.
Na podstawnie wyjaśnień złożonych przez G. w pismach z 7 września, 9 października i 14 grudnia 2020 r., 8 lutego, 19 marca, 8 kwietnia, 1 czerwca, 11 czerwca i 4 sierpnia 2021 r.; 2 lutego, 16 lutego, 5 września i 19 września 2022 r.; 5 października 2023 r.; 3 czerwca, 26 czerwca 2024 r.; 24 kwietnia, 13 maja 2025 r., przez U. (…) w pismach z dnia 19 marca, 11 sierpnia 2021 r.; 2 lutego, 15 lutego, 31 sierpnia, 10 października, 2 listopada, 25 listopada i 16 grudnia 2022 r.; 19 czerwca 2024 r. (błędnie oznaczona na 2022 r.), 19 sierpnia 2024 r.; 17 kwietnia, 12 maja 2025 r. oraz przez Pana J. S. w pismach z 25 listopada 2022, 12 grudnia i 12 grudnia 2022 r., jak również na podstawie zgłoszeń naruszeń ochrony danych osobowych dokonanych przez G. z 24 lipca oraz 7 sierpnia 2020 r. oraz zgłoszeń, zgłoszeń uzupełniających i odpowiedzi na wezwania Prezesa UODO, złożonych przez podmioty będące (…) G. (w aktach sprawy) oraz na podstawie dowodów załączonych do ww. pism organ nadzorczy ustalił następujący stan faktyczny.
7.
G. oraz U. (…) w dniu 1 kwietnia 2014 r. zawarły umowę o świadczenie usług w zakresie public relations (umowa główna). Na podstawie § 2 pkt 3 lit. a oraz i ww. umowy U. (…) zobowiązał się m.in. do zarządzania platformą komunikacji wewnętrznej skierowanej do pracowników G., licencjobiorców G. oraz ich pracowników; opracowań i obsługi serwisów oraz aplikacji internetowych.
8.
W celu wykonania obowiązków, o których mowa w art. 28 rozporządzenia 2016/679, w związku z zawarciem „umowy głównej”, tj. umowy z 1 kwietnia 2014 r., G. oraz U. (…) 8 sierpnia 2018 r. zawarli umowę powierzenia przetwarzania danych osobowych. Stosownie do pkt 2.2 umowy powierzenia przetwarzania danych osobowych, G. jest administratorem danych w rozumieniu art. 4 pkt 7) rozporządzenia 2016/679, tj. podmiotem który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych niezbędnych m.in. do organizacji narzędzi skierowanych do pracowników sieci. Natomiast jak wynika z pkt 4.2, 4.3 i 4.4 ww. umowy, celem powierzenia przetwarzania danych osobowych było wykonywanie usług zintegrowanej komunikacji, o których mowa w umowie głównej. Zgodnie z umową powierzenie przetwarzania danych osobowych obejmowało następujące kategorie danych: imię i nazwisko, dane kontaktowe - e-mail, telefon, adres zamieszkania / korespondencyjny, wiek, płeć, nr PESEL, rodzaj i numer dokumentu tożsamości, nazwę pracodawcy, stanowisko, nazwę użytkownika, identyfikator, hasło, nazwa konta w portalu społecznościowym, dane ujawnione w korespondencji, inne: nazwa i adres miejsca pracy oraz obejmowało następujące kategorie osób: pracownicy administratora, (…), pracownicy (…), goście, kontrahenci i ich przedstawiciele, dziennikarze.
9.
Administrator był właścicielem „modułu grafików pracowniczych” będącego zbiorem danych osobowych osób objętych naruszeniem ochrony danych osobowych i udostępnianym pracownikom (…) G., (…) i ich pracownikom, za pośrednictwem prowadzonego przez Administratora serwisu (…) G.. Dane osobowe objęte przedmiotowym naruszeniem zostały zgromadzone w „module grafik pracowniczy” w celu ewidencjonowania czasu pracy pracowników (…) pod marką G. oraz zarządzania czasem ich pracy. Dane osobowe tych osób zostały przez Administratora powierzone U. (…) wraz z „modułem grafików pracowniczych” w związku z zawartą umową powierzenia, o której mowa w pkt 8 stanu faktycznego.
10.
Administrator nie posiadał uprawnień do zarządzania zasobami i konfiguracją systemu informatycznego zawierającego moduł grafików pracowniczych, takie uprawnienia posiadał jedynie Podmiot przetwarzający. Cały proces, w tym obsługa, została przez Administratora zlecona Podmiotowi przetwarzającemu. Moduł grafików nie posiadał odrębnego panelu administracyjnego. Logowanie do modułu grafików następowało przez zalogowanie do serwera, na którym znajdował się moduł grafików. Administrator nigdy nie zwracał się do Podmiotu przetwarzającego o przyznanie dostępu do modułu grafików, przy czym istniała możliwość przyznania indywidualnego dostępu i uprawnień Administratorowi w tym zakresie.
11.
Ponadto, jak wyjaśnił Podmiot przetwarzający, w odniesieniu do modułu grafików nabył „domenę, świadczył usługi hostingu oraz usuwał na polecenie Administratora zgłoszone błędy związane z funkcjonowaniem tego modułu, a także na początku 2019 r. wykonał migrację”. W celu świadczenia usług hostingu przez Podmiot przetwarzający na rzecz Administratora, Podmiot przetwarzający korzystał z usług (…) S.A.
12.
Na serwerze zarządzanym przez Podmiot przetwarzający (hostowanym od (…) przez U. (…)), na którym znajdował się „moduł grafików pracowniczych”, została utworzona kopia danych osobowych z tego modułu, tj. plik zawierający kopię bazy danych o nazwie „(…)”. Plik ten został umieszony w miejscu publicznie dostępnym na stronie https://(…).
13.
Pismem z 7 września 2020 r. Administrator przedstawił raport (przeprowadzony na zlecenie Podmiotu przetwarzającego) z analizy incydentu sporządzony w dniu 29 lipca 2020 r. (raport stanowi załącznik nr (…) do ww. pisma). Z treści raportu wynika, że przeprowadzona w dniach 24-27 lipca 2020 r. analiza miała na celu zidentyfikowanie przyczyn, które doprowadziły do naruszenia ochrony danych osobowych. Została przeprowadzona m.in. w oparciu o logi serwera „(…)” dostarczone przez zewnętrzny podmiot - (…) (podmiot hostingowy, na którego serwerach Podmiot przetwarzający umieścił aplikację grafików pracowniczych). Dostarczone logi obejmowały okres 365 dni, tym samym analiza obejmowała okres od 24 lipca 2019 r. do 24 lipca 2020 r. Z raportu wynika, że ze względu na nieprawidłową konfigurację serwera, na którym ww. plik był zlokalizowany, dowolna osoba po przejściu na stronę główną aplikacji (https://(…)) widziała katalogi oraz pliki dostępne na serwerze, w tym niezabezpieczony plik z bazą danych o nazwie „(…)”. Liczba unikalnych adresów IP, które uzyskały dostęp do strony głównej, to (…) adresy. Na serwerze plik znajdował się w następującej ścieżce: (…). Dalej, jak wyjaśniono w raporcie, ze względu na to, że plik zawierał dane osobowe, nie powinien znajdować się w katalogu dostępnym publicznie (w tym przypadku public_html), a biorąc pod uwagę możliwość podglądu zawartości katalogów, podatność była łatwa do wykorzystania. Pliki zapisane w tym katalogu były bezpośrednio dostępne z Internetu pod następującymi adresami: http://(…)/ oraz htpp://(…). Liczba unikalnych adresów IP, które uzyskały dostęp do pliku w okresie od 24 lipca 2019 r. do 24 lipca 2020 r. wynosiła (…). Adresy IP pochodziły z różnych krajów ((…) - Polska, (…) - Stany Zjednoczone, (…) - Rosja, (…) - Francja, (…), (…), (…), (…), (…), (…)). Na podstawie publicznego źródła ((…)) zostało ustalone, że plik z bazą danych dostępny był na serwerze od 25 stycznia 2019 r. Natomiast uwzględniając datę modyfikacji pliku oraz pierwsze wpisy ustalono, że plik został umieszczony na serwerze między 14 a 15 stycznia 2019 r. i był dostępny do 22 lipca 2020 r., do godziny 14:50. Ponadto, tożsamy raport został również przesłany przez Podmiot przetwarzający wraz z pismem z 19 marca 2021 r. Zarówno z treści raportu, jak również z przesłanych wyjaśnień, nie wynika, aby Administrator lub Podmiot przetwarzający wnieśli uwagi do raportu lub kwestionowali jego ustalenia. Mając na uwadze powyższe, Prezes UODO uznał wysoką moc dowodową przedstawionego przez strony (…), wskazując, że przedstawiony tam stan faktyczny nie był kwestionowany przez strony, oraz jest spójny i koresponduje z pozostałym materiałem dowodowym zgromadzonym w sprawie. Powyższe nie odnosi się jedynie do liczby osób objętych naruszeniem ochrony danych osobowych, którą Prezesa UODO ustalił w oparciu o pozostały materiał dowodowy.
14.
22 lipca 2020 r. Podmiot przetwarzający usunął plik „(…)” z danymi osobowymi z miejsca publicznie dostępnego. Również 22 lipca 2020 r. Podmiot przetwarzający przesłał do Administratora wiadomość e-mail o następującej treści: „Dostałyśmy informacje od chłopaków, że dane zostały już usunięte - ktoś kiedyś zostawił dump bazy danych. Przekazali, że nie powinny się tam w ogóle znaleźć.”
15.
Po naruszeniu ochrony danych osobowych Podmiot przetwarzający za aprobatą Administratora wdrożył zalecenia wskazane w raporcie z analizy incydentu, tj. „wyłączono możliwość podglądu folderów globalnie, zapewniono, aby pliki mogące zawierać dane osobowe znajdowały się poza katalogiem, który jest dostępny z sieci Internet, a bazy danych, logi oraz kopie znajdowały się poza katalogiem głównym aplikacji i nie były przechowywane w zasobach publicznych oraz wdrożono system monitorowania i wykrywania ataków/wycieków (zostało włączone automatyczne narzędzie do monitorowania o nazwie (…))”.
16.
Administrator ze skutkiem na dzień 11 stycznia 2021 r. zrezygnował z korzystania z narzędzia służącego do wyświetlania grafików pracy w (…) G.. Administrator 8 stycznia 2021 r., na podstawie § 3 umowy z 1 kwietnia 2014 r. o świadczenie usług w zakresie public relations, zwrócił się do Podmiotu przetwarzającego o wyłączenie i usunięcie aplikacji do wyświetlania grafików w (…) G. z dniem 11 stycznia 2021 r. Jednocześnie, w oparciu o pkt 4.5 i pkt 10.1 umowy z 8 sierpnia 2018 r. o powierzenie przetwarzania danych osobowych, zwrócił się o trwałe i nieodwracalne usunięcie danych osobowych pracowników G. przetwarzanych przy pomocy w/w aplikacji. Podmiot przetwarzający potwierdził usunięcie z dniem 19 stycznia 2021 r. wszelkich danych G. ze wspomnianego modułu. Natomiast jak wynika z załącznika nr (…) do pisma Podmiotu przetwarzającego z 19 marca 2021 r., Administrator, „jako właściciel modułu służącego do wyświetlania na "(…) G." grafików osób zatrudnionych w (…) należących do Spółki oraz (…) Spółki (dalej "moduł") niniejszym zezwala (…) (…) Sp. z o.o. (…) na przechowanie modułu na nośniku pozbawionym dostępu do sieci internet, po uprzednim usunięciu wszelkich danych osobowych z modułu”.

Weryfikacja Podmiotu przetwarzającego

17.
Administrator przed zawarciem umowy powierzenia przetwarzania danych ocenę, co do zapewnienia przez Podmiot przetwarzający wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, oparł o okoliczność wieloletniej współpracy jako wiarygodnym partnerem biznesowym oraz o posiadane referencje. Administrator wskazał, że dysponuje licznymi referencjami dla U. (…) wystawionymi przez inne podmioty, które w ocenie G. uwiarygadniają U. (…) jako profesjonalny, ceniony na rynku podmiot i rzetelnego usługodawcę w obszarze PR. Jako dowód powyższych wyjaśnień załączone zostały referencje stanowiące załączniki nr (…) do pisma z 14 grudnia 2020 r.
18.
Z załączonych referencji wynika, że podmioty rekomendujące U. (…) swoje referencje odniosły jedynie do działalności z zakresu (…) U. (…) (podobnie załączony raport (…)). W żadnym przypadku referencje nie odnosiły się do kwestii związanych z ochroną danych osobowych, a tym bardziej do zapewnienia bezpieczeństwa przetwarzanym danym osobowym. Ponadto, tylko referencje znajdujące się na kartach 192 i 196 (załączniki nr (…)) zostały opatrzone datą poprzedzającą zawarcie umowy powierzenia przetwarzania danych osobowych pomiędzy Podmiotem przetwarzającym i Administratorem. Pozostałe referencje zostały opatrzone datą po stwierdzeniu naruszenia ochrony danych osobowych. Podobnie załączony „Raport (…)”, jako obejmujący rok 2019/2020 - odnosi się do okoliczności po zawarciu umowy powierzenia.
19.
Administrator wskazał również, że po stwierdzeniu naruszenia ochrony danych osobowych przeprowadzono uzupełniającą weryfikację Podmiotu przetwarzającego w celu dokonania jego ponownej oceny. Na dowód powyższego Administrator przedstawił „Ocenę podmiotu przetwarzającego z punktu widzenia spełnienia warunków, o których mowa w art. 28 ust. 1 RODO przeprowadzoną w odniesieniu do U. (…)”, stanowiącą załącznik nr (…) do ww. pisma. Jak wynika z przedstawionego dokumentu, ocena została przygotowana na formularzu stanowiącym załącznik do Polityki ochrony danych osobowych („wersja (…)”). Z przeprowadzonej oceny nie wynika jednak, czy Podmiot przetwarzający spełnia warunki, o których mowa w art. 28 ust. 1 rozporządzenia 2016/679. W formularzu tym brakuje bowiem końcowej oceny oraz podpisu osoby sporządzającej ocenę. Ocena została opracowana w dniu 3 listopada 2020 r.
20.
Ponadto Administrator pismem z 16 lutego 2022 r. poinformował, że wcześniej w stosunku do Podmiotu przetwarzającego dokonał takiej oceny w sposób niesformalizowany, bazując m.in. na referencjach, które stanowiły załącznik do pisma Administratora z 14 grudnia 2020 r.
21.
Z przyjętej przez Administratora „Polityki ochrony danych G. (…) Sp. z o.o.”, wynika, że „w trakcie dokonywania wyboru podmiotu przetwarzającego należy zweryfikować zgodnie z "Procedurą i kryteriami wyboru podmiotu przetwarzającego dla G. (…)" czy podmiot ten zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi przepisów RODO i chroniło prawa osób, których dane dotyczą” (rozdział VI, § 5 ust. 2 ww. polityki). Mając na uwadze okoliczności opisane w pkt 17-20, a w szczególności wyjaśnienia Administratora, że ocenę podmiotu przetwarzającego z punktu widzenia spełnienia warunków, o których mowa w art. 28 ust. 1 rozporządzenia 2016/679, dokonał w sposób niesformalizowany, bazując na referencjach, które stanowiły załączniki nr (…) do pisma Administratora z 14 grudnia 2020 r., Prezes UODO ustalił, że Administrator nie przeprowadził oceny co do zapewnienia przez Podmiot przetwarzający wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, w oparciu o własne ww. procedury. Taka weryfikacja w oparciu o własne procedury została przeprowadzona 13 marca 2021 r. dopiero wobec nowego podmiotu przetwarzającego „(…)” przy użyciu nowego narzędzia służącego m.in. do wyświetlania grafików pracy i zarządzania czasem pracy pracowników Administratora o nazwie „(…)”. Na dowód czego Administrator pismem z 19 marca 2021 r. przedstawił stosowną ocenę przygotowaną w oparciu o „Procedurę i kryteria wyboru podmiotu przetwarzającego dla G. (…)”, zatwierdzoną m.in. przez inspektora ochrony danych.

Działania podejmowane w celu wykrycia naruszenia

22.
Podmiot przetwarzający nie podejmował jakichkolwiek działań przed wystąpieniem naruszenia ochrony danych osobowych w celu wykrycia naruszenia ochrony danych osobowych. Podmiot przetwarzający nie podejmował takich czynności samodzielnie i nieodpłatnie, gdyż nie uznawał modułu grafików za swoje aktywo, a w jego ocenie zadania takie nie stanowiły również przedmiotu umowy głównej.
23.
Zarówno Administrator, jak i Podmiot przetwarzający nie weryfikowały po migracji danych i w późniejszym okresie, czy dane objęte naruszeniem są publicznie dostępne, tj. czy w wyniku migracji nie nastąpiła nieplanowana zmiana zawartości lub struktury środowiska sieciowego.
24.
Administrator i Podmiot przetwarzający nie prowadzili analizy wygenerowanych odpowiedzi przez serwer aplikacji na treści zapytań kierowanych do aplikacji grafik pracowniczy, tj. nie weryfikowali zawartości wyników odpowiedzi na zapytania umieszczone w treści pola adresowego przeglądarki, za pomocą której łączono się z ww. aplikacją.

Środki bezpieczeństwa zastosowane przez Podmiot przetwarzający

25.
Prezes UODO pismem z 10 marca 2021 r. zwrócił się do Podmiotu przetwarzającego z pytaniem, „czy i jakie Spółka przyjęła środki zabezpieczenia technicznego i organizacyjnego w odniesieniu do danych osobowych objętych przedmiotowym naruszeniem ochrony danych osobowych, zgodnie z art. 28 ust. 3 rozporządzenia 2016/679 (polityki ochrony danych) oraz art. 32 rozporządzenia 2016/679”. W odpowiedzi Podmiot przetwarzający pismem z 19 marca 2021 r. poinformował, że w 2018 r. przeprowadził analizę ryzyka obejmującą jedynie swoje aktywa oraz w oparciu o przyjęty na jej podstawie plan postępowania z ryzykiem wdrożył wymienione w ww. piśmie środki organizacyjne i techniczne. Ponadto wyjaśnił, że „od tego momentu były wykonywane audyty oraz analiza ryzyka natomiast nie dotyczyły one modułu grafików, które nie było własnością Spółki”.
26.
Z przedstawionej przez Podmiot przetwarzający analizy ryzyka przeprowadzonej w 2018 r. („Raport z analizy ryzyka bezpieczeństwa informacji w U. (…)”) nie wynika, aby obejmowała ona operacje na danych osobowych, czy też zbiory danych powierzone Podmiotowi przetwarzającemu do przetwarzania przez Administratora. Potwierdzają to również informacje zawarte w piśmie Podmiotu przetwarzającego z 11 sierpnia 2021 r. - aktywa biorące udział w operacjach związanych z przetwarzaniem powierzonych danych osobowych nie zostały uwzględnione przy przeprowadzaniu analizy ryzyka.
27.
W Podmiocie przetwarzającym od 25 maja 2018 r. obowiązywała „Polityka ochrony danych osobowych w U. (…) sp. z o.o.”, której treść stanowi załącznik nr (…) do pisma Podmiotu przetwarzającego z 19 marca 2021 r. Podmiot przetwarzający opracował „Instrukcję zarządzania systemami informatycznymi”, stanowiącą załącznik do „Polityki ochrony danych osobowych w U. (…) sp. z o.o.”. Na procedurę o nazwie „Instrukcja zarządzania systemami informatycznymi” składały się również załączniki przesłane pismem Podmiotu przetwarzającego z 19 marca 2021 r., w tym m.in. „Procedura określająca zasady zabezpieczania sieci”.

Regularne testowanie, mierzenie i ocenianie skuteczności środków bezpieczeństwa przez Podmiot przetwarzający i Administratora

28.
Pismem z 2 lutego 2022 r. Prezes UODO zwrócił się do Podmiotu przetwarzającego z pytaniem „czy w stosunku do operacji przetwarzania danych na powierzonych danych przez G. (…) sp. z o.o. został przeprowadzony audyt, którego rezultatem było sporządzenie formularza audytowego, którego niewypełniona kopia stanowi załącznik numer (…) do przesłanego pisma Spółki z dnia 19 marca 2021 r.”. Podmiot przetwarzający pismem z 15 lutego 2022 r. uchylił się od udzielenia konkretnej odpowiedzi na to pytanie wskazując, że „spółka regularnie audytuje projekty realizowane na rzecz G. (…) sp. z o.o. W załączeniu Spółka przedkłada wyniki audytu kilku poszczególnych projektów”. Z ww. załączników nie wynika, aby Podmiot przetwarzający przeprowadził przedmiotowy audyt, tym samym Prezes UODO uznał, że taki audytu nie był prowadzony dla operacji przetwarzania danych powierzonych przez Administratora.
29.
Zarówno Administrator, jak i Podmiot przetwarzający nie przeprowadzali regularnego testowania, mierzenia oraz oceniania skuteczności środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa przetwarzanym danym osobowym w systemach informatycznych, których naruszenie ochrony danych osobowych dotyczy. Jak wyjaśnił Administrator, do chwili ujawnienia przedmiotowego naruszenia ochrony danych osobowych „nie wykonywano natomiast osobnego testowania, mierzenia i oceniania skuteczności środków technicznych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych pracowników Spółki w odniesieniu do narzędzia, będącego źródłem naruszenia (narzędzie do wyświetlania grafików). Działania takie nie były zlecane bezpośrednio przez Spółkę, ani wykonywane z własnej inicjatywy przez podmiot przetwarzający.” Ponadto, Administrator nie zlecał przeprowadzenia takich testów przez Podmiot przetwarzający, jak również nie weryfikował, czy takie testowanie, mierzenie i ocenianie przeprowadził Podmiot przetwarzający. Dodatkowy audyt w tym zakresie został zlecony przez Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych. Jak wynika z „Audytu aplikacji dla grafików dla G.”, audyt został przeprowadzony w dniu 7 grudnia 2020 r. Ponadto, Podmiot przetwarzający poinformował, że przed stwierdzeniem naruszenia ochrony danych osobowych nie testował modułu grafików z własnej inicjatywy. Wyjaśnił, że po naruszeniu ochrony danych osobowych rozważał zlecenie przeprowadzenia analizy ryzyka dla modułu grafików i wszelkich innych aktywów biorących udział w procesie przetwarzania powierzonych danych, zawartych w grafikach pracowniczych, podmiotowi zewnętrznemu zgodnie z normą ISO 27001, jednak z uwagi na rezygnację przez Administratora ze świadczenia usług przez Podmiot przetwarzający odnośnie modułu grafików, i poleceniem usunięcia danych i modułu grafików, Podmiot przetwarzający zaniechał tych zamiarów.
30.
Administrator dopiero po naruszeniu ochrony danych osobowych ustalił, że w trakcie ww. audytu informatycznego („Audytu aplikacji dla grafików dla G.”) dotyczącego wykorzystywanego narzędzia do wyświetlania grafików, stanowiącego załącznik do wyjaśnień Administratora z 14 grudnia 2020 r., stwierdzono podatności, które mogłyby w przyszłości stwarzać potencjalne ryzyko wystąpienia kolejnych naruszeń ochrony danych osobowych.

Środki bezpieczeństwa zastosowane przez Administratora

31.
Administrator przed naruszeniem ochrony danych osobowych zgłoszonym Prezesowi UODO 24 lipca 2020 r. nie przeprowadził analizy ryzyka mającej na celu ustalenie odpowiednich do ryzyka środków technicznych i organizacyjnych dla zapewnienia bezpieczeństwa powierzonym Podmiotowi przetwarzającemu danym osobowym.
32.
Pismem z 25 listopada 2020 r. (karta 118) Prezes UODO zwrócił się do Administratora m.in. z pytaniem, „czy i jakie Spółka przyjęła środki zabezpieczenia technicznego i organizacyjnego w odniesieniu do danych osobowych objętych przedmiotowym naruszeniem ochrony danych osobowych, zgodnie z art. 24 rozporządzenia 2016/679 (polityki ochrony danych), art. 25 rozporządzenia 2016/679 (uwzględnienie ochrony danych w fazie projektowania oraz domyślną ochronę danych) oraz art. 32 rozporządzenia 2016/679. Czy Spółka weryfikowała, czy i jakie środki zabezpieczenia technicznego i organizacyjnego przyjął w tym zakresie podmiot przetwarzający?” Administrator pismem z 14 grudnia 2020 r. udzielił odpowiedzi wskazując, że „Spółka wprowadziła odpowiednie polityki i procedury dotyczące ochrony danych osobowych, w tym uwzględniające obowiązki wynikające z art. 24, 25 oraz 32 RODO, a także wyznaczyła Inspektora Ochrony Danych, zgodnie z wymogami wynikającymi z art. 37 RODO zapewniając mu odpowiedni status i uprawnienia”. Na dowód powyższego Administrator przedstawił „Politykę ochrony danych G.” (dalej jako: (…)), „Procedurę realizacji procesów szacowania ryzyka zgodnie z wymaganiami RODO G. (…)”, „Instrukcję bezpieczeństwa IT G. (…) Sp. z o.o.” oraz „Regulamin Organizacyjny dotyczący inspektora ochrony danych G. (…) Sp. z o.o.” (dalej jako: „Regulamin IOD”), stanowiące załączniki nr (…) do przesłanego pisma. Ponadto Administrator wskazał, że podstawowym środkiem zabezpieczenia o charakterze organizacyjnym przyjętym przez Administratora była umowa powierzenia przetwarzania danych osobowych zawarta z Podmiotem przetwarzającym, spełniająca w ocenie Administratora wymogi określone w art. 28 rozporządzenia 2016/679. Realizacja umowy powierzenia przetwarzania danych osobowych w zakresie bezpieczeństwa danych
33.
Administrator wyjaśnił, że nie weryfikował bezpośrednio jakie środki zabezpieczenia technicznego i organizacyjnego przyjął Podmiot przetwarzający.
34.
Na pytanie nr 7 Prezesa UODO z pisma z 25 listopada 2020r., „Czy zgodnie z punktem 5 podpunkt 5.1. litera b) umowy powierzenia przetwarzania danych osobowych Spółka korzystała ze swoich uprawnień w zakresie przeglądu stosowanych środków technicznych i organizacyjnych, a jeśli tak, to w jakim zakresie i jak często?” Administrator w piśmie z 14 grudnia 2020 r. wyjaśnił, że „Spółka nie korzystała ze swoich uprawnień w zakresie przeglądu stosowanych środków technicznych i organizacyjnych przewidzianych w Umowie powierzenia zawartej z U. (…)”. Pismem z 8 lutego 2021 r. Administrator uzupełnił wyjaśnienia w tym zakresie wskazując, że „(…) w ramach monitorowania zabezpieczeń stosowanych w odniesieniu do danych osobowych przetwarzanych przy wykorzystaniu narzędzia do wyświetlania grafików pracy zwracała się do U. (…) w celu weryfikacji stosowanych przez podmiot przetwarzający zabezpieczeń. U. (…) w przesyłanych Spółce odpowiedziach potwierdzał stosowanie właściwych zabezpieczeń danych osobowych. Przegląd stosowanych środków technicznych i organizacyjnych polegał tym samym w szczególności na potwierdzeniu przez Spółkę stosowania określonych zabezpieczeń przez podmiot przetwarzający. W tych celach Spółka przynajmniej raz w roku kontaktowała się z U. (…) w celu zweryfikowania stosowanych przez podmiot przetwarzający zabezpieczeń. W ramach powyższej weryfikacji podmiot przetwarzający potwierdził stosowanie (…).” Na dowód powyższego Administrator przedstawił wzajemną korespondencję e-mail prowadzoną po wystąpieniu naruszenia ochrony danych osobowych pomiędzy Administratorem a Podmiotem przetwarzającym, tj. kopię wiadomości email z 18 lipca 2019 r. przesłaną przez Podmiot przetwarzający, w której przedstawiciel Administratora uzyskał od Podmiotu przetwarzającego odpowiedzi na następujące pytania: „Czy grafiki/dane, które są ładowane przez (…), (…)?” (na które w wiadomości e-mail z dnia 18 lipca 2019 r. uzyskał następującą odpowiedź: „(…)”) oraz „Czy dane (…)?” (na które uzyskał następującą odpowiedź: „(…)”. Ponadto, załącznik nr (…) do pisma z 2 lutego 2021 r. zawierał również wewnętrzną korespondencję z 11 czerwca 2019 r.
Administrator przedstawił również korespondencję e-mail prowadzoną po wystąpieniu naruszenia ochrony danych osobowych pomiędzy Administratorem a Podmiotem przetwarzającym, tj. kopię wiadomości Administratora z 20 grudnia 2019 r. oraz kopię wiadomości email z 8 stycznia 2020 r. stanowiącą odpowiedź Podmiotu przetwarzającego. Z treści ww. wiadomości wynika, że Administrator zwrócił się do Podmiotu przetwarzającego o wyjaśnienie: „1. (…)? 2. (…)? 3. (…)? 4. (…)?”, na co uzyskał następującą odpowiedź: „1. (…) 2. (…) 3. (…)” Administrator wyjaśnił, że przyjął powyższe wyjaśnienia Podmiotu przetwarzającego w tym zakresie jako wiarygodne. W ocenie Administratora korespondencja prowadzona z Podmiotem przetwarzającym służyła okresowemu przeglądowi środków technicznych i organizacyjnych stosowanych przez Podmiot przetwarzający w celu zabezpieczenia danych osobowych należących do Administratora.
35.
Na pytanie Prezesa UODO z 25 listopada 2020 r., „Czy Spółka zgodnie z punktem 8 umowy powierzenia przetwarzania danych osobowych korzystała ze swojego prawa do przeprowadzania audytów u podmiotu przetwarzającego, a jeśli tak, to proszę o przesłanie wniosków z przeprowadzonych audytów”, Administrator w piśmie z 14 grudnia 2020 r. wyjaśnił, że „Spółka nie korzystała ze swoich uprawnień w zakresie prawa do przeprowadzania audytów w Podmiotu przetwarzającego, jednak nie wyklucza możliwości skorzystania z tych uprawnień w przyszłości.”
36.
Mając na uwadze, że wyjaśnienia złożone przez Administratora pismem z 8 lutego 2021 r. (opisane w pkt 34 ustaleń stanu faktycznego) nie korespondowały z wcześniejszymi wyjaśnieniami, z których wprost wynikało, że Administrator nie weryfikował bezpośrednio jakie środki zabezpieczenia technicznego i organizacyjnego przyjął Podmiot przetwarzający, nie korzystał ze swoich uprawnień w zakresie prawa do przeprowadzania audytów u Podmiotu przetwarzającego oraz nie korzystał ze swoich uprawnień w zakresie przeglądu stosowanych środków technicznych i organizacyjnych przewidzianych w umowie powierzenia zawartej z Podmiotem przetwarzającym, Prezes UODO pismem z 19 sierpnia 2022 r. (karta 614-615) zwrócił się do Administratora z pytaniami:
„Czy uzyskane odpowiedzi przesłane jako dowód pismem z 8 lutego 2021 r., stanowiące załączniki nr (…) do tego pisma, zostały poddane analizie, a jeśli tak, to proszę o przesłanie wniosków z tej analizy lub czy zostały uwzględnione w ramach prowadzonej dokumentacji, a w szczególności uwzględniającej stosowane środki zabezpieczenia itp. Proszę o przesłanie dowodów to potwierdzających”.
W odpowiedzi Administrator pismem z dnia 5 września 2022 r. poinformował, że „Spółka nie weryfikowała dodatkowo informacji przekazanych przez podmiot przetwarzający, ponieważ uznała, że przekazane informacje są wiarygodne, a stosowane środki zabezpieczenia danych, w szczególności (…), zapewniają bezpieczeństwo na odpowiednim poziomie.”
„Spółka pismem z 8 lutego 2021 r. poinformowała, że przegląd stosowanych środków technicznych i organizacyjnych polegał tym samym w szczególności na potwierdzeniu przez Spółkę stosowania określonych zabezpieczeń przez podmiot przetwarzający. W tych celach Spółka przynajmniej raz w roku kontaktowała się z U. (…) w celu zweryfikowania stosowanych przez podmiot przetwarzający zabezpieczeń. Proszę o wskazanie, z czego konkretnie wynikała powyższa praktyka oraz dowodów potwierdzających, że była to praktyka ciągła, określona przez Spółkę jako przeprowadzana "przynajmniej raz w roku".”
W odpowiedzi Administrator nie wyjaśnił, z czego miała wynikać taka praktyka, poinformował jedynie, że „Spółka w piśmie z 8 lutego 2021 r. wskazała, że kontakty odbywały się przynajmniej raz w roku, ponieważ od rozpoczęcia stosowania RODO zarówno w roku 2019 jak i 2020 kierowała zapytania mailowe do U. (…) dotyczące stosowanych przez podmiot przetwarzający środków służących zabezpieczeniu danych osobowych - czego dowodem były załączone do wyjaśnień z 8 lutego 2021 r. maile.”
Ponadto, pismem z 19 września 2022 r. Administrator rozszerzył swoją odpowiedź wskazując, że „korespondencja z U. (…) dotycząca m.in. stosowanych środków technicznych i organizacyjnych była prowadzona także w okresie luty-kwiecień 2019 r.”, na dowód czego przedstawił korespondencję e-mail stanowiącą załączniki nr (…) do ww. pisma.
„W ramach jakiego procesu odbywała się ww. korespondencja? Proszę o przesłanie całościowej korespondencji w tym wątku (z tematu wiadomości z 11 czerwca 2019 r. wynika, że zadane pytania są uzupełnieniem do wcześniejszej korespondencji)”.
W odpowiedzi Administrator również nie udzielił odpowiedzi, w ramach jakiego procesu odbywała się ww. korespondencja, natomiast przedstawił wcześniejszą korespondencję (wątek „pytania do (…)” oraz „Pytania do (…)”), stanowiącą załączniki nr (…) do pisma z 19 września 2022 r. Zatem z przedstawionych dowodów wynika, że korespondencja prowadzona na przestrzeni lat 2019-2020 dotyczyła jednego i tego samego wątku. Wskazana korespondencja pomiędzy Administratorem a Podmiotem przetwarzającym była prowadzona na potrzeby i w ramach procesu udzielenia odpowiedzi na zestaw pytań (ankiety) przygotowanych w języku angielskim dla globalnego właściciela marki G.. Powyższe potwierdza treść korespondencji e-mail: „K., na co jesteście w stanie odpowiedzieć?”, „jutro mają calla i chcą mieć przynajmniej część odpowiedzi”, „Jeśli chodzi o potwierdzenie, które jest na końcu dokumentu W., że niby mamy wszystkie dokumenty, które G. wypisał. To nie potwierdzamy. Nie mamy takich dokumentów”, „Odpowiedzi potrzebujemy do 8 kwietnia 2019 roku, bo wtedy mamy następna telekonferencję z (…)”, „Tutaj rozumiem, że globalnie będą przygotowywane takie dokumenty i procedur?”. Koresponduje to również z pozostałym materiałem dowodowym, bowiem jak wynika z wiadomości e-mail stanowiących załączniki nr (…) do pisma Administratora z 19 września 2022 r., Administrator gromadził już informacje dotyczące ochrony danych osobowych, aby przekazać je dla globalnego właściciela marki G.. Mając na uwadze powyższe Prezes UODO ponadto ustalił, że korespondencja była prowadzona pół roku po wystąpieniu naruszenia ochrony danych osobowych, a Administrator nie udzielił odpowiedzi na pytanie skąd miałaby wynikać cykliczność prowadzonej korespondencji. Jak również prowadzenie korespondencji w ramach tego samego wątku na przełomie roku 2019 i 2020 nie dowodzi jej cykliczności. Była prowadzona na potrzeby udzielenia odpowiedzi globalnemu właścicielowi marki G.. Uzyskane odpowiedzi nie zostały poddane analizie oraz nie zostały uwzględnione w ramach prowadzonej dokumentacji, w szczególności uwzględniającej stosowane środki bezpieczeństwa i zabezpieczenia.

Brak realizacji obowiązków Administratora związanych z IOD

37.
Prezes UODO pismem z 2 lutego 2022 r. zwrócił się do Administratora m.in. z pytaniem, czy przed wystąpieniem naruszenia ochrony danych osobowych, Administrator angażował ustanowionego inspektora ochrony danych (IOD) w procesy przetwarzania danych związane z przedmiotowym naruszeniem ochrony danych osobowych, a jeśli tak, to w jaki sposób. W odpowiedzi pismem z 16 lutego 2022 r. Administrator poinformował, że „nie angażował inspektora ochrony danych w procesy związane bezpośrednio z przedmiotowym naruszeniem, ponieważ proces przetwarzania danych w tym zakresie został całkowicie outsorcowany do zewnętrznego dostawcy, tj. U. (…)”. Dalej wyjaśnił, że „nie zmienia to faktu, że inspektor ochrony danych Spółki jest włączany we wszystkie sprawy dotyczące ochrony danych osobowych, które realizowane są wewnątrz Spółki”. Jako dowód tego typu działań Administrator przedstawił „Komunikat o wdrożeniu zmiany w zakresie zaprzestania podawania informacji o przyczynie nieobecności w pracy”, stanowiący załącznik nr (…) do pisma z 16 lutego 2022 r., wskazując jednocześnie, że komunikat został rozesłany w porozumieniu z IOD. Przy czym z treści komunikatu (wiadomości e-mail) nie wynika, aby proces opracowania, czy też wysyłki komunikatu, był w jakikolwiek sposób angażowany inspektor ochrony danych (komunikat został przesłany z adresu pracownika Administratora „Specjalista w Dziale (…)”).
38.
Wobec powyższego, Prezes UODO pismem z 19 sierpnia 2022 r. zwrócił się do Administratora z pytaniami „Czy powołany w Spółce Inspektor Ochrony Danych, w ramach operacji przetwarza danych osobowych, w której doszło do przedmiotowego naruszenia ochrony danych osobowych, przed wystąpieniem naruszenia, udzielił Spółce jakiejkolwiek rekomendacji mogącej mieć związek z ww. operacją przetwarzania danych, a jeśli tak, to proszę o przesłanie dowodów to potwierdzających” (pyt. nr 13).
Administrator pismami z 5 i 19 września 2022 r. udzielił wymijającej odpowiedzi i takich rekomendacji, ani dowodów potwierdzających nie przedstawił. Natomiast dowody stanowiące załączniki nr (…) do pisma z 19 września 2022 r. w postaci korespondencji e-mail oraz załączonej do niej uzupełnionej ankiety (opisanej w pkt 36 ustaleń stanu faktycznego), nie odnosiły się do czynności powierzonych Podmiotowi przetwarzającemu i czynności przetwarzania związanych z danymi osobowymi objętymi naruszeniem ochrony danych osobowych, przetwarzanymi w „module grafików”, na co również wskazuje Administrator informując o tym w ww. piśmie. Co więcej, przesłana korespondencja nie tylko nie miała związku z operacjami przetwarzania objętymi naruszeniem ochrony danych osobowych, ale również z przesłanych załączników nie wynika, aby IOD danych udzielił rekomendacji w odniesieniu do danych osobowych przetwarzanych w ramach modułu grafików. Korespondencja stanowiąca załączniki nr (…) do pisma z 19 września 2022 r. została zainicjowana z globalnego adresu właściciela marki G. i stanowiła listę kontrolną, następnie konsultowaną pomiędzy pracownikiem Administratora a inspektorem ochrony danych. Ponadto, załączona uzupełniona ankieta nie została podpisana, ani nie został wskazany jej autor. Zatem mając na uwadze powyższe, a w szczególności, że Administrator nie udzielił odpowiedzi na zadane pytanie oraz nie przedstawił dowodów potwierdzających, Prezes UODO ustalił, że powołany u Administratora IOD przed wystąpieniem naruszenia ochrony danych, nie udzielił Administratorowi jakiejkolwiek rekomendacji mogącej mieć związek z operacjami przetwarza danych osobowych, w ramach których doszło do przedmiotowego naruszenia ochrony danych osobowych.
39.
Ponadto, Prezes UODO pismem z 19 sierpnia 2022 r. zwrócił się do Administratora z pytaniem „Czy Inspektor Ochrony Danych był w jakikolwiek sposób zaangażowany w proces wyboru podmiotu przetwarzającego; zawarcia umowy powierzenia przetwarzania danych osobowych z U. (…) Sp. z o.o.; realizacji zawartej umowy; oceny ryzyka dla operacji przetwarzania, w związku z którą doszło do naruszenia; podjęcia decyzji co do zastosowanych środków bezpieczeństwa lub rezygnacji z takich środków, a jeśli tak, to proszę o przesłanie dowodów to potwierdzających.” (pyt. nr 14). W odpowiedzi Administrator pismem z 5 września 2022 r. lakonicznie wyjaśnił, że inspektor ochrony danych był „zaangażowany w proces zawarcia umowy powierzenia przetwarzania danych osobowych z U. (…)”, na dowód czego przedstawił wiadomość e-mail stanowiącą załącznik nr (…) do pisma z 5 września 2022 r., wysłaną przez inspektora ochrony danych osobowych 28 kwietnia 2018 r. o treści „umowy RODO dla agencji ( (…)). I. już dostał. M.”, do której zostały załączone pliki tekstowe oznaczone jako: „(…).docx; (…).docx”.
Ponadto, pismem z 19 września 2022 r. Administrator uzupełnił odpowiedź na pytanie nr 14 Prezesa UODO informując, „że z inicjatywy inspektora ochrony danych prowadzono korespondencję z U. (…) mającą na celu ustalenie zabezpieczeń technicznych i organizacyjnych stosowanych przez podmiot przetwarzający, która została przekazana w ramach wyjaśnień udzielanych przez G. w piśmie z dnia 8 lutego 2021 roku (załącznik nr (…) do pisma G. z 8 lutego 2021 roku) oraz w ramach niniejszej odpowiedzi (załączniki nr (…) od niniejszego pisma)”. Jak wynika z ww. załączników, IOD nie brał udziału w prowadzonej korespondencji. Również z ww. korespondencji, jak i z zebranego materiału dowodowego, nie wynika, aby korespondencja była prowadzona z inicjatywy inspektora ochrony danych. Natomiast informacja o treści: „odpowiedzi potrzebujemy do 8 kwietnia 2019 roku, bo wtedy mamy następną telekonferencję z (…)” zawarta w załączniku nr (…) w wiadomości e-mail z dnia 15 marca 2019 r. oraz pytania przesłane w języku angielskim wskazują, że inicjatorem tej korespondencji był globalny właściciel marki G. - co zostało już w niniejszej decyzji szczegółowo wyżej wyjaśnione - podobnie jak w zakresie korespondencji e-mail zawartej w załączniku nr (…) do pisma z 19 września 2020 r. Mając na uwadze powyższe oraz to, że Administrator nie udzieli odpowiedzi na konkretne pytanie (nr 14) Prezesa UODO, a jedynie wskazał na działania podjęte przez inspektora ochrony danych, ale dopiero po stwierdzeniu wystąpienia naruszenia ochrony danych osobowych i w oparciu o pozostały materiał dowodowy Prezes UODO ustalił, że w ww. procesy inspektor ochrony danych powołany przez Administratora nie był angażowany.
40.
W oparciu o przepis rozdziału II § 1 pkt4 „Polityki” u Administratora obowiązywał „Regulamin organizacyjny dotyczący inspektora ochrony danych w G. (…) Sp. z o.o.” dalej jako: „Regulamin IOD”, stanowiący załącznik nr (…) do pisma Administratora z 14 grudnia 2020 r., regulujący szczegółowy zakres zadań inspektora ochrony danych. Administrator wyznaczył inspektora ochrony danych, wskazując jego imię nazwisko oraz adres kontaktowy m.in. w zgłoszeniu naruszenia ochrony danych osobowych (T. F., (…)).

Brak realizacji obowiązków Podmiotu przetwarzającego związanych z IOD

41.
Prezes UODO pismem z 2 lutego 2022 r. zwrócił się do Podmiotu Przetwarzającego z pytaniem, „Czy przed wystąpieniem naruszenia ochrony danych osobowych, Spółka angażowała ustanowionego inspektora ochrony danych w procesy przetwarzania danych związane z przedmiotowym naruszeniem ochrony danych, a jeśli tak, to w jaki sposób?” W odpowiedzi, Podmiot przetwarzający pismem z 15 lutego 2022 r. poinformował, że „Spółka nie angażowała ustanowionego Inspektora Ochrony Danych w przetwarzanie danych osobowych w ramach modułu grafików”.
Powyższe oświadczenie Podmiotu przetwarzającego koresponduje z pozostałym materiałem dowodowym, z którego nie wynika, aby ustanowiony przez Podmiot przetwarzający IOD był angażowany w operacje przetwarzania związane z powierzonymi przez Administratora danymi osobowymi Podmiotowi przetwarzającemu. Natomiast, jak wynika z Raportu z incydentu, w obsłudze przedmiotowego naruszenia ochrony danych osobowych udział brał powołany w Podmiocie przetwarzającym IOD.
42.
Podmiot przetwarzający powołał IOD. Od 13 lipca 2018 r. do 1 kwietnia 2022 r. inspektorem ochrony danych w U. (…) była jedna i ta sama osoba.

Zawiadomienie o naruszeniu ochrony danych osobowych osób, których dane dotyczą

43.
Administrator ocenił, że przedmiotowe naruszenie ochrony danych osobowych może powodować wysokie ryzyko dla praw lub wolności osób, których danych osobowych naruszenie dotyczy, a w konsekwencji powodować doniosłe negatywne konsekwencje, takie jak: utrata kontroli nad własnymi danymi osobowymi, strata finansowa, kradzież lub sfałszowanie tożsamości. Ponadto, uzasadniając ocenę wysokiego ryzyka, Administrator wskazał, że ujawnione dane zawierają informacje, które mogą posłużyć do zaciągnięcia zobowiązań finansowych w imieniu/na rzecz osób, których dane dotyczą.
44.
Stwierdzając wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, pismem z 7 września 2020 r. Administrator poinformował, że zawiadomił o naruszeniu ochrony danych osobowych osoby, których naruszenie dotyczy. Treść skierowanego do tych osób zawiadomienia stanowi załącznik nr (…) do ww. pisma.
45.
Sposób zawiadomienia różnił się w zależności od kategorii osób objętych naruszeniem ochrony danych osobowych. Do pracowników G. został skierowany komunikat w wewnętrznej sieci Intranet oraz dodatkowo zostały zamieszczone komunikaty w widocznych dla pracowników miejscach, w każdej z (…) G. ((…) własne i (…)). Dodatkowo, na stronie internetowej G. zamieszono treść zawiadomienia o naruszeniu ochrony danych osobowych, skierowaną do wszystkich kategorii osób objętych naruszeniem wraz z instrukcją „jak sprawdzić czy ktoś wykorzystał mój PESEL i nie wpędził mnie w długi” oraz uruchomiono dedykowaną infolinię do obsługi osób, których dane osobowe zostały objęte naruszeniem.
46.
Na podstawie wyjaśnień złożonych przez poszczególnych (…) G., które korespondowały z przesłanymi formularzami zgłoszeń naruszeń ochrony danych osobowych i formularzami uzupełniającymi zgłoszenie naruszenia ochrony danych, Prezes UODO ustalił, że osoby, których dane dotyczą, będące pracownikami (…), zostały zawiadomione indywidualnie. Ponadto, osoby te zostały zawiadomione za pośrednictwem komunikatu dystrybuowanego wewnętrznie (w (…), w internecie - (…) G.) i publicznie (strona internetowa (…), ogłoszenia prasowe, infolinia, publikacje niezależne). Jak wyjaśnili (…), działania informacyjne były prowadzone wspólnie i w sposób skoordynowany z Administratorem.
47.
Administrator podjął decyzję o rezygnacji z bezpośredniego informowania byłych pracowników G. (…) Sp. z o.o. na rzecz przeprowadzonej na szeroką skalę kampanii informacyjnej, w szczególności poprzez zamieszczenie ogłoszeń w prasie. W dniu 7 sierpnia 2020 r. ogłoszenia o naruszeniu ochrony danych osobowych wraz z adresem strony internetowej, na której zamieszczono zawiadomienie oraz numer infolinii, opublikowano w dzienniku (…) (nakład 336 tysięcy egzemplarzy) i dzienniku (…) (nakład 186 tysięcy egzemplarzy).
48.
Jak wyjaśnił Administrator, informacja o naruszeniu ochrony danych osobowych była bardzo szeroko komentowana w sieci Internet. W mediach elektronicznych pojawiło się do dnia sporządzenia pisma z 7 września 2020 r. 27 publikacji o łącznym zasięgu ponad 95000 wyświetleń (na dowód powyższego Administrator przedstawił listę przedmiotowych publikacji wraz z zasięgiem). Jak wynika z przedstawionej listy, publikacja informacji o naruszeniu ochrony danych osobowych w G. w dniach od 7 do 14 sierpnia 2020 r. miała miejsce na następujących portalach internetowych: (…).pl, (…).pl, (…).pl, (…).pl, (…).pl, (…).pl, (…).pl, (…).pl, (…).pl, (…).com, (…).com, (…).pl, (…).com, (…).pl, (…).pl, (…).pl, (…).pl, (…).pl, (…).pl, (…).pl, (…).pl, (…).pl, (…).pl, (…).pl, (…).pl, (…).net, (…).pl.
49.
Administrator pismem z 5 września 2022 r. poinformował, że liczba byłych pracowników Administratora, w stosunku do których podjęto decyzję o rezygnacji z indywidualnego zawiadomienia o naruszeniu ochrony danych osobowych, wynosiła maksymalnie (…) osób. Dalej jak wyjaśnił, jest obowiązany prowadzić i przechowywać w postaci papierowej lub elektronicznej dokumentację w sprawach związanych ze stosunkiem pracy oraz akta osobowe pracowników. W aktach osobowych powinny się znajdować adresy zamieszkania byłych pracowników i jednocześnie Administrator nie wyklucza, że mogą się tam znajdować inne dane kontaktowe takie, jak adres e-mail, czy numer telefonu.

Naruszenie art. 5 ust. 1 lit. c) i art. 25 ust. 1 rozporządzenia 2016/6/79

50.
Administrator nie przeprowadził analizy ryzyka pod kątem użycia numeru PESEL / serii i nr paszportu jako identyfikatora przypisanego do konkretnego pracownika, wykorzystywanego w narzędziu do wyświetlania grafików na (…) G.. Administrator dopiero po stwierdzeniu naruszenia ochrony danych osobowych, zgłaszając przedmiotowe naruszenie, wskazał na „rozpoczęcie procesu pseudonimizacji danych służących do identyfikacji użytkownika” w ramach ww. narzędzia, zastępując numer PESEL unikalnym numerem ID. Również Administrator dopiero po naruszeniu ochrony danych osobowych dokonał sprecyzowanej oceny niezbędności numeru PESEL wykorzystywanego na potrzeby ewidencjonowania i zarządzania czasem pracy pracowników. Ocena ta została przeprowadzona w ramach Oceny skutków dla ochrony danych ( (…)), dla nowego wdrażanego narzędzia((…)), które miało zastąpić aplikację grafik pracowniczy.
51.
Od 7 września 2020 r. w celu zapewnienia „bezpieczeństwa danych wrażliwych” Administrator rozpoczął dokonywanie zmiany identyfikatora na (…) G. w ten sposób, że numer ewidencyjny PESEL został zastąpiony unikalnym (…). Ponadto, w piśmie z 14 grudnia 2020 r. Administrator wskazał na działania podjęte po stwierdzeniu naruszenia ochrony danych osobowych wyjaśniając, że obejmowały one m.in. „podjęcie decyzji o zrezygnowaniu z wykorzystania w narzędziu służącym do ustalania grafików numeru PESEL lub numeru paszportu bądź innego dokumentu potwierdzającego tożsamość jako identyfikatora pracowników na rzecz zastąpienia go numerem "(…)", którego ewentualny wyciek nie będzie generował dodatkowego ryzyka dla osób, których dane dotyczą.” Ponadto wyjaśnił, że „aktualnie w odniesieniu do pracowników G. (…) w narzędziu służącym do udostępniania grafików zastąpiono numer PESEL numerem (…). W ramach przeprowadzonych działań do programu A. została wgrana zmiana, zgodnie z którą, komunikacja między programem kadrowo-płacowym i (…) G. odbywa się na podstawie unikalnego (…), a nie jak do tej pory na podstawie numeru PESEL (lub nr paszportu)”.
52.
Administrator przekazał (…) korzystającym z funkcjonalności udostępnianych grafików, że „narzędzie do udostępniania grafików posiada (…). W takim przypadku po zaczytaniu pliku pracownik ma podgląd jedynie do grafików dziennych, a nie ma dostępu do swojego indywidualnego grafiku miesięcznego (identyfikacja tylko (…)).” Natomiast organizacjom, które nie korzystają lub zrezygnowały z korzystania z ww. funkcjonalności, Administrator zarekomendował usunięcie numerów PESEL/paszportów jako identyfikatora w (…), wskazując instrukcję w jaki sposób mogą tego dokonać.

Pozostałe ustalenia dotyczące roli G. jako administratora danych pracowników (…) oraz naruszenia art. 5 ust. 1 lit. c) i art. 25 ust. 1 rozporządzenia 2016/679

53.
Uzyskanie przez pracownika (…) zdalnego dostępu do własnego grafika wymagało zarejestrowania (utworzenia i aktywowania konta użytkownika na (…) G.) i zalogowania do serwisu.
54.
Jak wyjaśnił Podmiot przetwarzający w piśmie z 19 marca 2021 r., w celu zapoznania się z grafikiem pracowniczym przez pracownika konieczne było zalogowanie się do (…) głównej G. znajdującej się na wewnętrznych serwerach Administratora, z którą połączony był moduł grafików. Administrator jako właściciel modułu grafików decydował o funkcjonalnościach i zasadach działania aplikacji, jak i istnieniu modułu. Wyrazem tego była opracowana przez Administratora informacja dotyczącą grafików oraz instrukcja grafik konwerter.
55.
Administrator przetwarzał dane pracowników (…) jako użytkowników serwisu internetowego www.(…) w celu świadczenia usług dostępnych za pośrednictwem serwisu, polegających m.in. na dostępie do grafiku pracy użytkownika będącego pracownikiem (…). Dostęp do modułu grafików dla użytkownika był możliwy poprzez zalogowanie się do serwisu www.(…).
56.
Administrator ocenił swoją rolę jako administratora danych osobowych pracowników (…) w zakresie danych identyfikujących pracownika (…) rejestrującego się w ramach serwisu internetowego www.(…), zbieranych w celu założenia i możliwości korzystania z konta (świadczenia mu usług w tym serwisie). Były to następujące dane osobowe imię, nazwisko, numer PESEL / seria i nr paszportu. Administrator nie posiadał technicznego dostępu do danych osobowych pracowników (…) przetwarzanych w narzędziu do wyświetlania grafików. Natomiast posiadał dostęp do danych pracowników (…) jako użytkowników serwisu www.(…) w ramach usług świadczonych za pośrednictwem tego serwisu. Przy czym, jak wyjaśni Administrator, użytkownikom świadczone były różnego rodzaju usługi, w tym m.in. dostęp do grafiku pracy użytkownika będącego pracownikiem (…).
57.
Administrator opracował Instrukcję obsługi aplikacji „(…) - program do konwertowania grafików pracowniczych dla (…) G. i Analizatora L.”, stanowiącą załącznik nr (…) do pisma Podmiotu przetwarzającego z 19 marca 2021 r. Zgodnie z Instrukcją obsługi aplikacji, Administrator wymagał podania numer PESEL, aby pracownik mógł widzieć swój spersonalizowany grafik.
58.
Na wezwanie Prezesa UODO Administrator przesłał pismem z 19 września 2022 r. instrukcję obsługi serwisu internetowego dostępnego pod adresem www.(…), udostępnioną (…), zatrudniającym pracowników, których danych osobowych naruszenie dotyczy, aktualną na dzień przed wystąpieniem naruszenia, zwaną „(…) INSTRUKCJA OBSŁUGI PORTALU (…)” wraz z załącznikiem, tj. „(…) Instrukcja obsługi aplikacji”.
59.
Jak wynika z „(…) INSTRUKCJA OBSŁUGI PORTALU (…)”, podczas rejestracji należało podać imię, nazwisko, Numer (…) oraz numer PESEL, przy czym zastrzeżono, że „w przypadku osób nieposiadających numeru PESEL należy wprowadzić wartość, do której pracownik przypisany jest w systemie kadrowo płacowym”, a „jeśli wprowadzone dane będą inne niż te podane w systemie kadrowo płacowym, grafik online nie będzie wyświetlał się poprawnie”. (…), aby wgrać grafik na (…) G., musiał wykorzystać narzędzie „(…)”, z instrukcji do którego wynika, że podczas ładowania grafików (…) musiał podać numer PESEL swojego pracownika.
60.
Administrator opracował informację dotyczącą grafików pracowniczych, stanowiącą załącznik nr (…) do pisma Podmiotu przetwarzającego z 19 marca 2021 r. Zgodnie z tą informacją, warunkiem niezbędnym do korzystania ze (…) G. było podanie numeru PESEL. Jak wynika z instrukcji, „Konta, które nie mają przypisanych numerów są regularnie usuwane.” Instrukcja została przekazana przez Administratora do Podmiotu przetwarzającego, była przeznaczona dla użytkowników „(…) G.” i była dostępna w serwisie (…) G..
61.
Administrator opracował „Regulamin korzystania z serwisu www.(…)”, którego kopia stanowi załącznik nr (…) do pisma Administratora z 14 grudnia 2020 r. Regulamin obowiązywał w okresie funkcjonowania (…) G. pod wskazanym wyżej adresem, do chwili zrezygnowania przez Administratora z korzystania z narzędzia służącego do wyświetlania grafików pracy w (…) G.. W treści ww. regulaminu G. informował, że jest administratorem danych osobowych użytkowników; serwis przeznaczony był m.in. dla pracowników G. oraz (…) G. i ich pracowników; dostęp wymagał rejestracji; osoby zarejestrowane zwane były użytkownikami; usługi świadczone za pośrednictwem serwisu polegały m.in. na dostępie do informacji na temat grafiku pracy użytkownika będącego pracownikiem (…); G. prowadzi bieżący nadzór techniczny nad funkcjonowaniem serwisu, zapewniając poprawność jego działania; do rejestracji potrzebne były m.in. takie dane jak imię i nazwisko oraz podanie identyfikatora, przy czym z wyjaśnień Administratora zawartych w piśmie z 14 grudnia 2020 r., wynika, że identyfikatorem tym był numer PESEL.
62.
Na wezwanie Prezesa UODO Administrator pismem z 19 września 2022 r. przesłał dwie przykładowe umowy zawarte przed wystąpieniem przedmiotowego naruszenia ochrony danych pomiędzy G. a (…), którego pracowników to naruszenie dotyczy, a której przedmiotem było korzystanie z serwisu internetowego dostępnego pod adresem www.(…), w tym aplikacji do planowania czasu pracy pracowników. Ponadto na wezwanie Prezesa UODO Administrator pismem z 5 września 2022 r. przysłał przykładową „umowę (…)”, na podstawie której (…) prowadzą (…) pod marką G., zawartą z (…), którego pracowników przedmiotowe naruszenie ochrony danych osobowych dotyczy.
63.
Wyboru U. (…), jako podmiotu przetwarzającego dane osobowe pracowników G. i pracowników (…) G., nie dokonywali (…). Wyboru U. (…) dokonał jedynie G.. Poszczególni (…) mieli przy tym swobodę w zakresie podjęcia decyzji o korzystaniu z serwisu internetowego http://www.(…) (moduł grafików), a część (…) nie korzystała z tego rozwiązania, tym samym nie zawierała umowy powierzenia przetwarzania danych osobowych z U. (…). (…) w związku z realizacją umowy (…) mieli możliwość korzystania z funkcjonalności polegającej na udostępnianiu grafików czasu pracy swoich pracowników w serwisie (…) G.. (…) udostępniali za pośrednictwem aplikacji „grafiki” będącej elementem serwisu (…) G. grafiki pracy swoich pracowników, celem umożliwienia im zdalnego sprawdzania dni i godzin pracy poprzez swoje osobiste konta użytkownika utworzone w (…) G.. Pracownik logując się na swoje indywidualne konto miał możliwość wglądu w swój grafik pracy w bieżącym miesiącu. (…) korzystający z tej funkcjonalności nie miał wpływu na funkcjonowanie systemu, nie miał możliwości dalszej edycji danych oraz nie miał wpływu na fakt wykonywania kopii zapasowej, czy zbiorczej bazy danych wszystkich pracowników sieci (…) G., na podstawie przesłanych grafików. Korzystanie z serwisu przez (…) uregulowane było m.in. umowami na korzystanie z serwisu i porozumieniami o współpracy w zakresie przetwarzania danych osobowych zawartymi z Administratorem oraz Regulaminem serwisu znajdującym się na stronie internetowej www.(…).
64.
Podmiot przetwarzający nie kontaktował się z (…) Administratora. Zarówno zawieranie umów hostingu, jak i przekazywanie wszelkich informacji (…), odbywało się za pośrednictwem Administratora.
65.
Prezes UODO zwrócił się do wszystkich (…) Administratora, którzy zgłosili tożsame naruszenie ochrony danych osobowych, z pytaniami, kto ustala cele i sposoby przetwarzania danych osobowych pracowników, których naruszenie dotyczyło (G. czy określony (…)); czy taki podmiot ustala cele i sposoby przetwarzania danych osobowych ww. pracowników samodzielnie czy wspólnie z innym podmiotem; jak została sformułowana umowa (…) w zakresie przetwarzania danych osobowych pracowników. (…) w odpowiedzi przedstawili jedną i tożsamą treść, z różnicą jedynie co do firmy, pod którą prowadzą działalność gospodarczą, wyrażającą ocenę co do statusu administratora, do której Prezes UODO odniósł się w pkt 248 niniejszej decyzji.

Liczba osób objętych naruszeniem ochrony danych osobowych

66.
Dokonując zgłoszenia naruszenia ochrony danych osobowych Administrator pierwotnie wskazał, że naruszenie dotyczyło (…) osób będących pracownikami G. (…) oraz pracownikami (…) G. („byli i obecni”) i dotyczyło następujących kategorii danych: imię i nazwisko, numer PESEL, numer paszportu, numer (…) G., data i godzina rozpoczęcia pracy, data i godzina zakończenia pracy, liczba przepracowanych godzin, stanowisko, dni wolne, rodzaj dnia oraz rodzaj pracy.
67.
Administrator 7 sierpnia 2020 r., dokonując uzupełnienia zgłoszenia naruszenia ochrony danych osobowych, wskazał, że naruszenie dotyczyło (…) osób będących byłymi lub obecnymi pracownikami Administratora. Z formularzy oznaczonych jako zgłoszenie, zgłoszenie wstępne oraz zgłoszenie uzupełniające naruszeń ochrony danych osobowych, przesłanych przez (…) G., oraz pisma stanowiącego odpowiedź na wezwanie Prezesa UODO wynika, że naruszenie dotyczyło (…) osób, będących pracownikami (…) G.. Mając na uwadze powyższe Prezes UODO ustalił, że przedmiotowe naruszenie ochrony danych osobowych dotyczyło (…) osób, w tym (…) pracowników G. oraz (…) pracowników (…) G..

Działania podejmowane w celu zaradzenia naruszeniu ochrony danych osobowych

68.
Po stwierdzeniu naruszenia ochrony danych osobowych Administrator uruchomił dedykowaną infolinię dla osób, których dotyczyło naruszenie, przygotował instrukcję „Jak sprawdzić, czy ktoś wykorzystał mój PESEL i nie wpędził mnie w długi?” oraz organizował wewnętrzne spotkania z pracownikami w celu wyjaśnienia zaistniałej sytuacji. Do Administratora nie dotarły żadne informacje sugerujące, że dane pracowników lub byłych pracowników, których dotyczyło naruszenie, zostały upublicznione lub wykorzystane na szkodę osób, których dane dotyczą. Takiej informacji nie przekazał też Administratorowi żaden z obecnych lub byłych pracowników, których dotyczyło naruszenie.
69.
Osoba dzwoniąca pod dedykowany numer do obsługi osób, których dane osobowe zostały objęte przedmiotowym naruszeniem, po podaniu imienia i nazwiska, daty urodzenia oraz miejsca zatrudnienia w celu weryfikacji, mogła uzyskać informacje na temat naruszenia. Tylko do dnia 2 września 2020 r. z tej możliwości skorzystało (…) osób. Funkcjonowanie infolinii było planowane do dnia 11 września 2020 r.
70.
Administrator pismem z 14 grudnia 2020 r. przesłał Instrukcję postępowania w sytuacji naruszenia ochrony danych osobowych (stanowiącą załącznik nr (…) do ww. pisma), obowiązującą na dzień stwierdzenia naruszenia ochrony danych osobowych, powiązaną z „Polityką ochrony danych G. (…) Sp. z o.o.” (stanowiącą załącznik nr (…) do ww. pisma). Zgodnie z § 4 pkt 3 lit. d) ww. instrukcji, w przypadkach, gdy IOD potwierdzi, że doszło do naruszenia ochrony danych osobowych „sporządza raport, którego wzór znajduje się z załączniku nr (…) do instrukcji”. Również powyższym pismem Administrator przesłał „Raport z postępowania wyjaśniającego dotyczącego wystąpienia incydentu skutkującego naruszeniem ochrony danych osobowych Nr (…) (na podstawie zgłoszenia incydentu Nr (…))”, sporządzony w dniu 4 sierpnia 2020 r. Raport nie został jednak sporządzony przez Inspektora Ochrony Danych. Administrator w ww. raporcie wskazał m.in., że „w związku z faktem, że w grafikach znajdowały się dane osobowe takie jak: imię, nazwisko, numer PESEL, numer paszportu możliwymi konsekwencjami ewentualnego naruszenia ochrony danych osobowych jest nieuprawnione wykorzystanie danych osobowych m.in. w celu: 1. uzyskania przez osoby trzecie, kredytów w instytucjach pozabankowych na szkodę osób, których dane dotyczą, 2. korzystania z praw obywatelskich osoby, której dane naruszono np. podczas głosowania nad środkami w ramach budżetu obywatelskiego, 3. zawieranie umów przez osoby trzecie na szkodę osób, których dane dotyczą, 4. uzyskanie dostępu do korzystania ze świadczeń opieki zdrowotnej przysługującej osobie, której dane dotyczą. Z powyższych powodów incydent ma charakter poważnego incydentu bezpieczeństwa. Naruszenie RODO może wiązać się z negatywnymi konsekwencjami prawnymi dla wszystkich uczestników, jacy byli zaangażowani w proces przetwarzania danych osobowych, w tym G. (…), (…) G. oraz Agencji U. (…), N. (…).” Natomiast w pkt 5 ww. raportu „Opis zakresu danych osobowych, których dotyczy naruszenie ochrony danych osobowych” Administrator wskazał kategorie osób, których dane dotyczą, tj.: pracownicy G. i (…) G.. W pkt 10 raportu, jako zastosowane lub proponowane środki zaradcze Administrator wskazał m.in. „ustalenie ról poszczególnych podmiotów w procesie”, „zmiana narzędzia, usunięcie podatności, rozpoczęcie procesu pseudonimizacji danych służących do identyfikacji użytkownika w ramach jego miejsca zatrudnienia (…)”. Z kolei w pkt 11 raportu „Wnioski i inne uwagi osoby prowadzącej postępowanie wyjaśniające”, wskazano „komunikacja z (…) - zwrócenie uwagi na to, że umowy, które zawierali z Agencją nie były zgodne z RODO (podstawa prawna ustawa o ochronie danych osobowych z 1997 roku), weryfikacja innych systemów pod kątem pseudonimizacji danych”.

Rola J. S. w przetwarzaniu danych osobowych objętych naruszeniem ochrony danych osobowych

71.
U. (…) zawarł z Panem J. S. umowę na wsparcie informatyczne (umowa z dnia 2 listopada 2015 r., stanowiąca załącznik do pisma U. (…) z dnia 25 listopada 2022 r.).
72.
W dniu 18 grudnia 2018 r. ofertę na przeprowadzenie migracji danych (przeniesienia serwera U. (…)) złożył Pan J. S., wyceniając ją oraz wskazując na czas potrzebny do jej prawidłowego przeprowadzenia na 50 roboczogodzin. Oferta przez U. (…) nie została przyjęta.
73.
W związku z powyższym, przed wystąpieniem naruszenia ochrony danych osobowych została przez U. (…) przeprowadzona migracji danych, w tym nieudana migracja (…) G. obejmującej aplikację grafik pracowniczy, znajdujących się na serwerze „(…)”. Na potrzeby tej migracji został utworzony przez Podmiot przetwarzający plik bazodanowy o nazwie „(…)”. Plik ten był źródłem naruszenia i kopią bazy danych, stanowił tzw. „dump” - stworzony na wypadek, gdyby coś się nie powidło. Potwierdzeniem przeprowadzenia wcześniejszej migracji danych była również korespondencja e-mail (stanowiąca załącznik do pisma Podmiotu przetwarzającego z dnia 16 grudnia 2022 r.), w której Podmiot przetwarzający informuje Pana J. S. „(…) była na serwerze (…), czyli na tym który wygasł, ale my to przenieśliśmy na inny serwer, czyli (…). Czy w związku z tym trzeba coś linkować itp. Może dlatego nie działa”.
74.
W dniu 6 stycznia 2019 r. mijał termin płatności za „serwer (…)”, z którego przeniesiono część danych, serwer wygasł.
75.
Wraz z wyłączeniem serwera „(…)”, w związku z brakiem płatności w terminie do dnia 6 stycznia 2019 r., przestała działać aplikacja grafików pracowniczych. Jak ustalono, było to spowodowane tym, iż aplikacja ta faktycznie nie została przeniesiona w trakcie migracji przeprowadzanej przez Podmiot przetwarzający, czego Podmiot przetwarzający nie był świadomy. Wyłączony serwer zawierał jeszcze kilka projektów, które nie zostały przeniesione w trakcie ww. migracji, w tym projekt aplikacji grafik pracowniczy zawierający pliki grafiku i bazy danych aplikacji, jak również plik „(…)” będący kopią zapasową bazy danych aplikacji grafików pracowniczych, utworzoną na potrzeby migracji, która się nie powiodła.
76.
Na dzień 14 stycznia 2019 r. opłacono korzystanie z serwera „(…)” i przywrócono jego działanie, w tym dniu nastąpiło również przeniesienie aplikacji grafik pracowniczy wraz z plikiem zawierającym kopię bazy danych ww. aplikacji o nazwie „(…)” na nowy serwer „(…)”. Ostatecznie serwer „(…)” został wyłączony w dniu 17 stycznia 2020 r.
77.
W dniu 14 stycznia 2019 r. Podmiot przetwarzający zwrócił się do Pana J. S. o pomoc w przywróceniu działania aplikacji grafik pracowniczy. W odpowiedzi Pan J. S. poinformował, jakie czynności należy wykonać dla poprawnej migracji wszystkich danych znajdujących się na serwerze „(…)”, w tym w szczególności odnoszących się do aplikacji grafik pracowniczy. Zarekomendował również utworzenie kopii zapasowej wszystkich danych znajdujących się na serwerze „(…)”. Jednakże, jak ustalono, w tym czasie żadne prace związane z przeniesieniem danych, w tym analiza zawartości serwera, nie zostały mu zlecone. Następnie tego samego dnia U. (…) zwrócił się do Pana J. S. o podjęcie działań, wysyłając e-mail o treści „J., serwer opłacony. Wielka prośba o szybkie ogarnięcie - obojętnie na jakim serwerze - ważne by działało”. A na zapytanie Pana J. S., czy ma zrobić backup całego serwera, czy tylko grafik U. (…) odpowiedział „J., serwer jest opłacony na cały rok, więc na razie pilna sytuacja z grafikiem pracy by zaczął działać Reszta później”.
78.
Pan J. S. w dniu 14 stycznia 2019 r. podjął się pracy. Pobrał cały folder na swój komputer przez protokół ftp, bez analizowania jego zawartości, gdyż nie zostało to mu zlecone. Plik będący źródłem naruszenia został wcześniej na potrzeby nieudanej migracji zapisany w drzewie projektu (w katalogach mających swoja strukturę). Tym samym został przeniesiony z całym projektem. Następnie przesłał cały folder na nowy serwer (protokołem ftp), wykonał kopię zapasową (backup) bazy danych przez (…) i zapisał na swoim komputerze. Powyższe działania trwały 2,5 h i za taki czas Pan J. S. otrzymał wynagrodzenie.
79.
Podmiot przetwarzający nie zawarł z Panem J. S. umowy podpowierzenia przetwarzanych danych osobowych przed wystąpieniem naruszenia ochrony danych osobowych. Wskazana umowa (Ramowa umowa podpowierzenia przetwarzania danych osobowych, Umowa wykonawcza dot. podpowierzenia przetwarzania danych osobowych,) datowana na 25 maja 2018 r. została zawarta po stwierdzeniu naruszenia ochrony danych osobowych, tj. 24 lipca 2020 r., a następnie wypowiedziana przez Pana J. S. oświadczeniem z 28 lipca 2020 r. Jak wynika z ww. umów, cel przetwarzania danych osobowych polegał na wykonywaniu usług wsparcia informatycznego, o których mowa w umowie zawartej 1 października 2015 r. Jednocześnie jako okres podpowierzenia przetwarzania danych osobowych przez U. (…) panu J. S., których administratorem był G. wskazano dzień od 1 października 2015 r. do dnia rozwiązania lub wygaśnięcia umowy zawartej przez Podmiot przetwarzający z Administratorem oraz wykonania wszystkich zobowiązań z tej umowy.
80.
Administrator był świadomy udostępnienia przez Podmiot przetwarzający danych osobowych Panu J. S.. Ponadto, jak wyjaśnił Podmiot przetwarzający w piśmie z 31 sierpnia 2022 r., „współpraca z N. (…) miała charakter długotrwały, a G. (…) Sp. z o.o. była informowana o współpracy i miała wiedzę zarówno co do jej charakteru, celu jak i zakresu, między innymi poprzez osobiste zaangażowanie w korespondencję z N. (…) podczas, której ustalany był szczegółowy zakres realizacji poszczególnych czynności i nigdy nie wyrażała sprzeciwu wobec tej współpracy”. Ponadto, Administrator w piśmie z 5 września 2022 r. wyjaśnił, że miał świadomość, iż Podmiot przetwarzający korzysta z usług Pana J. S. jako podprocesora i nie zgłosił w tym zakresie sprzeciwu, tym samym w ocenie Administratora podpowierzenie odbyło się za zgodą Administratora.
81.
W tym miejscu wyjaśnić należy, że w toku prowadzonego postępowania zarówno Administrator, jak i Podmiot przetwarzający, nie byli pomocni w zakresie ustalenia konkretnej przyczyny wystąpienia naruszenia ochrony danych osobowych. Administrator wskazywał, że nie może uzyskać takich wyjaśnień od Podmiotu przetwarzającego (np. pismo z 16 lutego 2022 r., karta 596 „Spółka nie była w stanie ustalić powodów, dla których doszło do błędu ludzkiego i nie uzyskała takich informacji od podmiotu przetwarzającego dane, tj. U. (…)”). Natomiast Podmiot przetwarzający uchylał się od udzielenia konkretnych odpowiedzi, wskazując m.in., że „nie udało jej się ustalić co było powodem błędu ludzkiego” - a „błąd polegał na umieszczeniu bazy w niewłaściwym miejscu” (dowód: pismo Podmiotu przetwarzającego z 15 lutego 2022 r., karta 579).
82.
Ponadto, przedstawiona przez Podmiot przetwarzający, jako dowód do pisma z 15 lutego 2022 r., korespondencja e-mail była fragmentaryczna, podczas gdy z całości korespondencji - o przesłanie której Prezes UODO zwrócił się pismem z 6 grudnia 2022 r. - wyłonił się zupełnie inny obraz okoliczności faktycznych, niż przedstawiany przez Podmiot przetwarzający w przesłanych wyjaśnieniach. Należy zaznaczyć, że przesłana w całości przez Podmiot przetwarzający pismem z 16 grudnia 2022 r. korespondencja e-mail, w szczególności korespondowała i potwierdzała wyjaśnienia przedstawione przez Pana J. S..
83.
Ponadto, wobec braku udzielenia w ww. zakresie wyjaśnień przez Administratora i Podmiot przetwarzający, pomimo wezwania Prezesa UODO, organ nadzorczy uprawniony był ustalenia faktyczne oprzeć o wyjaśnienia i dowody przedstawione przez Pana J. S., zawarte w pismach z 25 listopada i 12 grudnia 2022 r. Wskazać należy, że wyjaśnienia co do okoliczności faktycznych zawarte w ww. pismach nie były sprzeczne z pozostałym materiałem dowodowym, w tym z wyjaśnieniami Administratora i przedstawionymi dowodami przez Podmiot przetwarzający. Różnica sprowadzała się jedynie do oceny pod kątem odpowiedzialności za wystąpienie naruszenia ochrony danych osobowych. Podmiot przetwarzający wskazywał, że plik będący źródłem naruszenia został utworzony i wykorzystany do migracji, co mogło sugerować, że plik został utworzony przez Pana J. S., podczas gdy taka okoliczność nie wynikała ze zgromadzonego materiału dowodowego. U. (…) jako przyczynę naruszenia wskazywał zamieszczenie w publicznym miejscu przez Pana J. S. pliku o nazwie „(…)”.
84.
Jednocześnie ww. podmiot nie poinformował Prezesa UODO o istotnych okolicznościach niniejszej sprawy, takich jak brak zawarcia umowy podpowierzenia z Panem J. S., wcześniejsze przeprowadzenie nieudanej migracji danych oraz utworzenie i nieusunięcie z serwera „(…)” pliku będącego źródłem naruszenia ochrony danych osobowych. Podkreślić w tym miejscu należy, że przyczyny wystąpienia naruszenia ochrony danych osobowych miały swoje pierwotne źródło właśnie we wcześniejszej nieudanej migracji danych z serwera „(…)”, której nie przeprowadzał Pan J. S..
85.
Jednocześnie za okolicznością, że migracja została przeprowadzona wcześniej przez Podmiot przetwarzający, o czym U. (…) w trakcie trwania postępowania nie poinformował Prezesa UODO, przemawiają nie tylko wyjaśnienia Pana J. S. zawarte w ww. pismach oraz wiadomość e-mail przedstawiona przez Podmiot przetwarzający wraz z pismem z 16 grudnia 2022 r. o treści „(…) G. była na serwerze (…), czyli na tym który wygasł, ale my to przenieśliśmy na inny serwer, czyli (…). Czy w związku z tym trzeba coś linkować itp. ?Może dlatego nie działa?”, ale również inne okoliczności ustalone na podstawie zgromadzonego materiału dowodowego, takie jak wygaśniecie serwera „(…)” i jego ponowne uruchomienie, złożenie oferty przez Pana J. S. na przeprowadzenie migracji danych i jej odrzucenie, zwrócenie się o pomoc w przywróceniu działania aplikacji grafik pracowniczy oraz wyjaśnienia Pana J. S. dotyczące czasu potrzebnego na przeprowadzenie całej migracji wszystkich danych i czasu na przeniesienie aplikacji grafik pracowniczy.

Odmowa wiarygodności i mocy dowodowej

86.
Mając na uwadze powyższe wskazać należy, że wyjaśnienia Pana J. S. zawarte w ww. pismach znalazły swoje potwierdzenia w pozostałym materiale dowodowym i z nim korespondowały nawzajem się uzupełniając, były logiczne i zgodne z zasadami doświadczenia życiowego. Prezes UODO nadał im moc dowodową i nie miał podstaw do odmówienia im wiarygodności, w przeciwieństwie do wyjaśnień Podmiotu przetwarzającego, w szczególności w zakresie, w jakim wyjaśnienia te sugerują, że plik z danymi, których dotyczy naruszenie ochrony danych osobowych, został utworzony przez Pana J. S. i przez niego wykorzystany na potrzeby migracji z serwera „(…)” na serwer (…) oraz, że do naruszenia doszło w wyniku błędu po stronie Pana J. S..
87.
Tym samym Prezes UODO odmówił wiarygodności wyjaśnieniom U. (…) zawartym w piśmie z 15 lutego 2022 r., że „plik powstał w celu przeniesienia bazy danych modułu grafików z jednego serwera na drugi i do tego został wykorzystany.” Taka okoliczność nie wynika z materiału dowodowego, ale również byłaby sprzeczna z zasadami doświadczenia życiowego, bowiem Pan J. S. utworzył własną kopię zapasową na potrzeby przeniesienia aplikacji grafik pracowniczy przechowywaną na swoich zasobach. Utworzenie dodatkowej kopii zapasowej, przechowywanej na serwerze (…), czy nawet na serwerze „(…)”, nie miałoby zatem logicznego uzasadnienia.
88.
Podkreślić również należy, że U. (…) nie poinformował Prezesa UODO, że wcześniej dokonał nieudanej migracji z serwera „(…)”, co zostało potwierdzone w materiale dowodowym i jak wynika w szczególności z wyjaśnień Pana J. S., plik bazodanowy będący przedmiotem naruszenia ochrony danych osobowych został utworzony właśnie na potrzeby tej nieudanej migracji przeprowadzanej przez Podmiot przetwarzający.
89.
Ponadto, Prezes UODO odmówił wiarygodności i mocy dowodowej przedstawionej przez Podmiot przetwarzający i stanowiącej załącznik do pisma z 31 sierpnia 2022 r. umowy podpowierzenia przetwarzania danych osobowych, tj. „Ramowej umowy podpowierzenia przetwarzania danych osobowych” oraz „Umowy wykonawczej dot. podpowierzenia przetwarzania danych osobowych” jako zawartych 25 maja 2018 r. pomiędzy U. (…) a Panem J. S.. Wyjaśnić, należy, że Podmiot przetwarzający pismem z 31 sierpnia 2022 r. przedłożył Prezesowi UODO umowę powierzenia przetwarzania danych osobowych („Ramowa umowa podpowierzenia przetwarzania danych osobowych” i „Umowa wykonawcza dot. podpowierzenia przetwarzania danych osobowych” datowaną na 25 maja 2018 r.), podczas gdy z materiału dowodowego wynika, że umowa faktycznie nie została zawarta w tej dacie. Do powyższej okoliczności Podmiot przetwarzający odniósł się dopiero po zapoznaniu się z materiałem dowodowym, w szczególności z wyjaśnieniami złożonymi przez Pana J. S.. w których poinformował i przedstawił dowody na okoliczność, że w chwili naruszenia ochrony danych osobowych nie łączyła go umowa powierzenia przetwarzania danych osobowych z U. (…). Podmiot przetwarzający nie zaprzeczył tej okoliczności, natomiast wskazał, że data 25 maja 2018 r. została błędnie wpisana, a prawidłowa data to data zaakceptowania warunków umowy.
90.
Takim wyjaśnieniom Prezes UODO również nie dał wiary, wskazując, że z materiału dowodowego wynika, iż było to działanie, które można ocenić nawet jako celowe, aby zwolnić się z odpowiedzialności za brak zawarcia umowy podpowierzenia przetwarzania danych osobowych. Przede wszystkim Prezes UODO pismem z 19 sierpnia 2022 r. zwrócił się o wyjaśnienie, „jaką rolę w procesie przetwarzania powierzonych danych osobowych objętych naruszeniem pełnił N. (…). Czy z ww. osobą została zawarta umowa podpowierzenia przetwarzania danych osobowych, a jeśli tak, to czy za zgodą G. (…) Sp. z o.o. (…) z ww. osobą nie została zawarta umowa podpowierzenia danych osobowych lub inny instrument prawny, to proszę o szczegółowe uzasadnienie, na jakiej podstawie odbywało się przetwarzanie danych osobowych, osób objętych naruszeniem przez Pana J. S.”, a w przypadku zawarcia umowy o przesłanie umowy podpowierzenia. W konsekwencji Podmiot przetwarzający pismem z 31 sierpnia 2022 r. przesłał kopię umowy, z której z treści wynika, że została podpisana 25 maja 2018 r.
91.
Przyjęcie wyjaśnień Podmiotu przetwarzającego, że faktycznie datą zawarcia umowy było jej potwierdzenie, podczas gdy faktycznie datą zawarcia umowy był 24 lipca 2020 r., a więc przynajmniej 1,5 roku od przeniesienia aplikacji grafików pracowniczych (wraz z zbędnym plikiem o nazwie „(…)”) z serwera „(…)” na nieprawidłowo skonfigurowany serwer „24PR”, a wiec 1,5 roku po wystąpieniu naruszenia ochrony danych osobowych, z oczywistych przyczyn nie mogło stanowić odpowiedzi na wezwanie Prezesa UODO zawartego w ww. piśmie, a przecież na taką okoliczność została przedstawiona przedmiotowa umowa. Podobnie przyjęcie jako momentu zawarcia umowy daty ewentualnej jej akceptacji przez Pana J. S. nie może stanowić odpowiedzi na wezwanie Prezesa UODO, bowiem do tego doszło również przynajmniej 1,5 roku po wystąpieniu naruszenia ochrony danych osobowych. Jak wynika z pisma z (…) C. z 16 grudnia 2022 r., Podmiot przetwarzający jako datę ewentualnej akceptacji umowy przez Pana J. S. wskazał 22 lipca 2020 r.
92.
Jednocześnie wyjaśnić należy, że z korespondencji e-mail przesłanej przez Pana J. S. (na którą powołuje się równie Podmiot przetwarzający w piśmie z 16 grudnia 2022 r.) wynika, że pierwotne zaakceptowanie umów podpowierzenia przetwarzania danych nastąpiło 12 marca 2020 r.
93.
Przy czym, jak wynika z tej korespondencji, Podmiot przetwarzający nie miał świadomości zaakceptowania warunków umowy wskazując, że „Ostatnia nasza: moja i J. korespondencja w tej sprawie z marca pozostała bez odpowiedzi”. W konsekwencji Podmiot przetwarzający poinformował o braku zawarcia umowy podpowierzenia przetwarzania danych osobowych Pana J. S. oraz przesłał wzory tych umów do akceptacji, co nastąpiło w dniu 23 lipca 2020 r. Umowy zostały podpisane przez jej strony w dniu 24 lipca 2020 r.
94.
Wskazać również należy, że z materiału dowodowego wynika, iż Pan J. S. poruszał w trakcie prowadzonej korespondencji z Podmiotem przetwarzającym temat antydatowania umowy.
95.
Korespondencja była prowadzona w dniu 11 grudnia 2020 r., a więc przed wysłaniem przez Podmiot przetwarzający Prezesowi UODO kopii umów podpowierzenia przetwarzania danych osobowych. Wobec powyższego, nawet przyjmując, że był to błąd, to Podmiot przetwarzający musiał mieć świadomość, że 25 maja 2018 r., a więc data wpisana w ww. umowie jako data jej podpisania, w rzeczywistości nie stwierdza okoliczności jej zawarcia, a mimo wszystko przed przesłaniem umowy Podmiot przetwarzający nie skorygował tej daty, jak również nie poinformował o tym Prezesa UODO. O celowym działaniu Podmiotu przetwarzającego w tym zakresie świadczy także to, że U. (…) nie zwrócił na taką istotną okoliczność uwagi Prezesowi UODO, podczas gdy organ nadzorczy pismem z 24 października 2022 r., w nawiązaniu do przesłanej przez Podmiot przetwarzający umowy podpowierzenia przetwarzania danych osobowych, zwrócił się, wskazując na datę zawarcia tej umowy, z pytaniem „Czy J. S., z którym została zawarta umowa podpowierzenia przetwarzania danych osobowych objętych naruszeniem (Ramowa umowa podpowierzenia przetwarzania danych osobowych z 25.05.2018 r. oraz Umowa wykonawcza dot. podpowierzenia przetwarzania danych osobowych z 25.05.2018 r.), był kiedykolwiek zatrudniony w U. (…) Sp. z o.o.”. Udzielając odpowiedzi na zadane pytanie, Podmiot przetwarzający w piśmie z 2 listopada 2022r., cytując Prezesa UODO, nie zwrócił uwagi, że data została błędnie w umowie wpisana.
96.
W ocenie Prezesa UODO powyższe świadczy o celowym wprowadzeniu w błąd Prezesa UODO co do daty zawarcia umowy podpowierzenia przetwarzania danych osobowych przez Podmiot przetwarzający z Panem J. S. i w okolicznościach możliwych negatywnych skutków oraz ewentualnej odpowiedzialności Podmiotu przetwarzającego za brak zawarcia umowy podpowierzenia przetwarzania danych osobowych, stanowi o zupełnie bezzasadnym usprawiedliwianiu podania wadliwej daty jako błędu. O powyższym świadczy również przede wszystkim treść korespondencji e-mail załączonej do pisma Pana J. S. z 25 listopada 2022 r., prowadzonej w dniu 22 lipca 2020 r. z Panem J. S., w której Podmiot przetwarzający informuje go, że „brak tej umowy może skutkować dla nas i dla Pana karą administracyjną nałożoną przez PUODO” oraz „w kontekście dzisiejszego naruszenia tym bardziej proszę o PILNE zawarcie umowy dalszego powierzenia”.
97.
Okoliczności te nie mogły pozostać bez znaczenia w odniesieniu do pozostałych wyjaśnień i składanych dowodów na ich potwierdzenie przez Podmiot przetwarzający, dlatego Prezes UODO większą moc dowodową nadał wyjaśnieniom przedstawionym przez Pana J. S.. Wskazać należy, że J. S., pomimo poinformowania o możliwości zapoznania się z materiałem dowodowym zgromadzonym w sprawie, udzielił wyjaśnień bez skorzystania z tego uprawnienia, a mimo to wyjaśnienia te oraz dowody na ich potwierdzenie były logiczne, spójne oraz nawzajem się uzupełniały z pozostałym materiałem dowodowym zgromadzonym w sprawie.
98.
Prezes UODO odmówił również wiarygodności notatce z 9 grudnia 2020 r. stanowiącej załącznik nr (…) do pisma Administratora z 14 grudnia 2020 r. Powyższa notatka „uzupełniła” „Raport z postępowania wyjaśniającego dotyczącego wystąpienia incydentu skutkującego naruszeniem ochrony danych osobowych Nr (…) (na podstawie zgłoszenia incydentu Nr (…))”, w ten sposób, że w pkt 5 dotyczącym kategorii osób, których dane dotyczą, wykreślono „(…) G. (…)”, zmniejszono przybliżoną liczbę osób, których dotyczyć może naruszenie ochrony danych osobowych, z (…) na (…) oraz zmieniono przybliżoną liczbę wpisów danych osobowych, których dotyczyć może naruszenie ochrony danych osobowych, z 1.500.000 na 27 686 119. Ponadto, w pkt 11 notatki przy zdaniu „Zmiana danych służąca do identyfikacji użytkownika w ramach jego miejsca zatrudnienia (unikalny numer ID zamiast PESELu, jako integracja pomiędzy systemami)” dodano słowa „w zakresie danych, których Administratorem jest G. (…) Sp. z o.o.”.
99.
Mając na uwadze całokształt zebranego w sprawie materiału dowodowego, Prezes UODO odmówił wiarygodności i mocy dowodowej ww. notatce, uznając ją za próbę zwolnienia się Administratora z odpowiedzialności za naruszenie ochrony danych osobowych pracowników (…), poprzez poprawienie raportu tylko w taki sposób, aby wykazać, że Administrator nie dokonał oceny naruszenia w oparciu o swoje procedury jako administrator danych (…). Za powyższym przemawia również okoliczność czasu sporządzenia notatki uzupełniającej, a więc przeszło 5 miesięcy po sporządzeniu pierwotnego raportu i 5 dni przed udzieleniem odpowiedzi Prezesowi UODO. W raporcie z 4 sierpnia 2020 r., w pkt 10, jako zastosowane lub proponowane środki zaradcze Administrator wskazał m.in. „ustalenie ról poszczególnych podmiotów w procesie”, co świadczy o tym, że miał wątpliwości co do statusu (…) G., a uzupełnienia raportu miały na celu rozstrzygnąć wątpliwości na korzyść Administratora.
100.
Powyższe ma również swoje analogiczne odniesienie do zgłoszenia naruszenia ochrony danych osobowych i zgłoszenia uzupełniającego naruszenia ochrony danych osobowych, w którym Administrator uzupełnił zgłoszenie w ten sposób, że ograniczył liczbę osób objętych naruszeniem wyłącznie do swoich pracowników.

W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

101.
W ocenie Prezesa UODO dla przedstawienia ciągłości zdarzeń w spójnym i logicznym porządku, ale również związku przyczynowo skutkowym, w pierwszej kolejności należy dokonać subsumpcji stanu faktycznego, poczynając od ustaleń źródeł wystąpienia naruszenia ochrony danych osobowych wynikających z zachowania Podmiotu przetwarzającego, które wskazują na naruszenie przepisów rozporządzenia 2016/679. Następnie dla zachowania podmiotowej spójności, kolejnych przepisów rozporządzenia 2016/679 stanowiących o odrębnych czynach, tego podmiotu. Nie ulega wątpliwości, że stwierdzenie naruszenia przez Podmiot przetwarzający przepisów rozporządzenia 2016/679, zobowiązujących ten podmiot do wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą, nie jest bez znaczenia dla przypisania Administratorowi odpowiedzialności za naruszenia art. 28 ust. 1 rozporządzenia 2016/679, zgodnie z którym Administrator korzysta wyłącznie z usług podmiotu przetwarzającego, który zapewnia wystarczające gwarancje wdrożenia ww. środków. Przedstawiona w ten sposób chronologia nie powinna budzić wątpliwości co do uznania, że Administrator zawarł umowę powierzenia przetwarzania danych z podmiotem, który nie został odpowiednio zweryfikowany i nie zapewniał wystarczających gwarancji wdrożenia ww. środków. Jednocześnie takie zachowanie Administratora było chronologicznie pierwszym naruszeniem przepisów rozporządzenia 2016/679, dlatego w ocenie Prezesa UODO dopiero po nim należało wykazać naruszenie przez Administratora kolejnych przepisów stanowiących o odrębnych zachowaniach. Na koniec należało wyjaśnić rolę J. S., która w ocenie Prezesa UODO nie była istotna dla rozstrzygnięcia przedmiotowej sprawy. W tym miejscu należy jeszcze poczynić uwagę, że przedstawiona chronologia została w powyższy sposób zachowana w niniejszej decyzji administracyjnej za wyjątkiem opisu prawnego naruszenia przepisów dotyczących inspektora ochrony danych, co zostało wyjaśnione w dalszej części decyzji.

Naruszenie przez Podmiot przetwarzający przepisów dotyczących zabezpieczania danych osobowych

102.
W pierwszej kolejności wskazać należy, że w przedmiotowej sprawie doszło do nieuprawnionego dostępu do danych osobowych w związku z nieprawidłową konfiguracją serwera umożliwiającą przegląd zawartości katalogów dostępnych globalnie i pozostawieniem w tym katalogu zbędnej niezabezpieczonej bazy danych osobowych, co stanowiło o naruszeniu ochrony danych osobowych dotyczących poufności danych. Zgodnie z art. 4 pkt 12 rozporządzenia 2016/679, naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowanych lub w inny sposób przetwarzanych.
103.
Odnośnie do przyczyny wystąpienia naruszenia ochrony danych osobowych, zarówno Administrator, jak i Podmiot przetwarzający, odwołali się do (…), gdzie jako przyczyna naruszenia została wskazana nieprawidłowa konfiguracja serwera „(…)”, umożliwiająca podgląd zawartości katalogów na serwerze. W pkt 3.1 raportu „Możliwość podglądu zawartości katalogów na serwerze” wyjaśniono, że „ze względu na nieprawidłową konfigurację serwera lista plików znajdujących się w głównej ścieżce aplikacji była dostępna anonimowo. Oznacza to, że dowolna osoba po przejściu na stronę główną aplikacji http://www.(…) widziała katalogi oraz pliki dostępne na tym serwerze (również pliki z bazą danych)”. Jako sugerowane działanie autorzy raportu zarekomendowali wyłączenie możliwości podglądu zawartości folderów globalnie. Ponadto, jak wynika z ustaleń faktycznych, Podmiot przetwarzający na potrzeby migracji danych stworzył kopię bazy danych „modułu grafików”, którą umieścił na serwerze w miejscu publicznie dostępnym. Kopia ta nie została usunięta po przeprowadzeniu migracji danych. Prezes UODO przychyla się do ustaleń zawartych w raporcie co do przyczyn naruszenia ochrony danych osobowych wskazanych jako nieprawidłowa konfiguracja serwera oraz propozycji sugerowanych działań polegających na „wyłączeniu możliwości podglądu zawartości folderów globalnie”. Jednocześnie, wobec wyjaśnień Podmiotu przetwarzającego, mających na celu uzasadnienie potrzeby posiadania na serwerze katalogów publicznie dostępnych, Prezes UODO wskazuje, że decydując się na posiadanie katalogów publicznie dostępnych zawartość tych katalogów należy odpowiednio zabezpieczyć przed nieuprawnionym dostępem. Sposobów takiego w zabezpieczenia jest wiele, ale odnosząc się do najpopularniejszego, należy wskazać, że pierwotną przyczyną naruszenia ochrony danych osobowych była nieprawidłowa konfiguracja serwera polegająca na braku zdefiniowania pliku konfiguracyjnego, którego zadaniem było właściwe przekierowanie osoby wchodzącej na stronę, co w świetle dobrych praktyk stanowi oczywiste zaniedbanie po stronie Podmiotu przetwarzającego, jako odpowiedzialnego za konfigurację serwera. Jak wyjaśnił Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 27 lutego 2024 r., sygn. akt II SA/Wa 1404/23, „(…) zapewnienie odpowiedniego bezpieczeństwa wymaga podjęcia stosownych (proporcjonalnych) środków zabezpieczenia danych, przy czym warto oczywiście podkreślić, że nie muszą to być środki najlepsze z możliwych (najdroższe, najbardziej zaawansowane technologicznie), powinny jednak być odpowiednie do zagrożeń i pozwalać na zapewnienie skutecznej ochrony”. W ocenie Prezesa UODO, np. stworzenie pliku o nazwie indx.html lub indx.php, znacząco utrudniłoby podgląd zawartości serwera, do którego kierowała nazwa domeny. Wskazane rozwiązanie jest jednym z najprostszym sposobów zabezpieczeń stron internetowych, a jego brak był istotną podatnością, która zmaterializowała się w zagrożenie naruszające atrybut poufności danych osobowych.
104.
Podkreślić należy, że posiadanie takich folderów wraz z brakiem cyklicznej weryfikacji ich zawartości obarczone jest podatnością i na podstawie przeprowadzonej analizy ryzyka U. (…) powinien określić sposoby ich zabezpieczenia, czego Podmiot przetwarzający nie uczynił.

Naruszenie przez Podmiot przetwarzający art. 32 ust. 1 i 2 rozporządzenia 2016/679 w związku z art. 28 ust. 3 lit. c) rozporządzenia 2016/6/79.

105.
Z treści art. 32 ust. 1 rozporządzenia 2016/679 wynika, że administrator, jak również podmiot przetwarzający, są zobowiązani do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Przepis precyzuje, że decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, zgodnie z lit. b) i d) tego przepisu, powinny obejmować środki takie, jak zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Natomiast art. 32 ust. 2 rozporządzenia 2016/679 stanowi, że oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
106.
Jednocześnie podkreślić należy, że adresatem normy określonej w art. 32 rozporządzenia 2016/679 jest zarówno administrator, jak i podmiot przetwarzający. Ponadto, jak wynika z treści art. 28 ust. 3 lit. c) rozporządzenia 2016/679, podmiot przetwarzający podejmuje wszelkie środki wymagane na mocy art. 32 rozporządzenia 2016/679. Natomiast wydane przez Europejską Radę Ochrony Danych (EROD) Wytyczne 07/2020 w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO (dalej zwane: „wytycznymi EROD 7/2020) wskazują na konkretne obowiązki administratora i podmiotu przetwarzającego wobec zapewnienia środków bezpieczeństwa powierzonym danym osobowym. W pkt 135 ww. wytycznych EROD wskazuje, że „Przechodząc do konkretnych obowiązków, podmiot przetwarzający ma po pierwsze obowiązek pomagać administratorowi w spełnieniu obowiązku przyjęcia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania. Chociaż obowiązek ten może się do pewnego stopnia pokrywać z wymogiem, aby podmiot przetwarzający sam przyjął odpowiednie środki bezpieczeństwa, w przypadku gdy operacje przetwarzania prowadzone przez podmiot przetwarzający wchodzą w zakres RODO, pozostają one dwoma odrębnymi obowiązkami, ponieważ jeden odnosi się do środków własnych podmiotu przetwarzającego, a drugi do środków administratora”. Jak wskazał Naczelny Sąd Administracyjny w wyroku z 9 lutego 2023 r., sygn. akt III OSK 3945/21: „Na gruncie RODO prawodawca odszedł od statycznego określenia wymaganych od administratora środków technicznych i organizacyjnych na rzecz dynamicznej oceny przyjętych środków bezpieczeństwa. Powyższe oznacza, że to na administratorze i podmiocie przetwarzającym spoczywa obowiązek określenia odpowiednich (adekwatnych) środków bezpieczeństwa, z zachowaniem kompetencji organu nadzorczego do weryfikacji przyjętego poziomu zabezpieczeń”.
107.
W okolicznościach przedmiotowej sprawy Prezes UODO stwierdził, że U. (…), jako podmiot przetwarzający, w okresie poprzedzającym stwierdzenie wystąpienia naruszenia ochrony danych osobowych, nie zapewnił odpowiedniego stopnia bezpieczeństwa danym osobowym, które zostały mu powierzone przez G., co było konsekwencją braku realizacji obowiązków wyrażonych w art. 32 ust. 1 i 2 rozporządzenia 2016/679. Dodatkowo, zaniedbania po stronie Podmiotu przetwarzającego w istotny sposób przyczyniły się do wystąpienia naruszenia ochrony danych osobowych, w tym doprowadziły do jego eskalacji.
108.
Biorąc pod uwagę, że powierzone dane osobowe obejmowały bardzo dużą liczbę osób ((…)), zakres tych danych był szeroki (obejmował m.in. numer PESEL) i ich ujawnienie może powodować wysokie ryzyko dla praw lub wolności osób fizycznych, Podmiot przetwarzający, w celu prawidłowego wywiązania się z obowiązków nałożonych ww. przepisami rozporządzenia 2016/679, był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych osobowych poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych m.in. poprzez działania zmierzające do optymalnej zapewniającej bezpieczeństwo konfiguracji wykorzystanego serwera oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania powierzonym danym, w tym do weryfikacji zawartości tego serwera oraz możliwości nieuprawnionego dostępu do danych.
109.
Charakter i rodzaj tych działań powinien wynikać z przeprowadzonej analizy ryzyka, w której w oparciu o kryteria wskazane w art. 32 ust. 1 i 2 rozporządzenia 2016/679 w ramach zachodzących procesów przetwarzania danych osobowych, w tym procesów przetwarzania dokonywanych na powierzonych danych, w szczególności powinno się zinwentaryzować zasoby biorące udział w procesach przetwarzania, zidentyfikować zagrożenia, w tym mogące je wykorzystać podatności odnoszące się do wykorzystywanych zasobów, oraz istniejące zabezpieczenia, a następnie określić adekwatne środki bezpieczeństwa (zarówno te o charakterze technicznym, jak i te o charakterze organizacyjnym). Analizie ryzyka powinna również zostać poddana, przed jej dokonaniem, operacja nieudanej migracji danych i przenoszenia danych, w związku z którą doszło do naruszenia ochrony danych osobowych. Natomiast z przesłanego raportu analizy ryzyka (przeprowadzonej w 2018 r.) wynika, że Podmiot przetwarzający nie zinwentaryzował zasobów, za pomocą których przetwarza powierzone dane osobowe, a w szczególności nie uwzględnił zasobów i nie poddał ich ocenie w ramach procesów przetwarzania danych, które zostały mu powierzone przez Administratora, czy też zbiorów danych objętych naruszeniem ochrony danych osobowych. W konsekwencji nie był w stanie przewidzieć realnych zagrożeń dla ww. zasobów. Słusznie zauważa Wojewódzki Sad Administracyjny w wyroku z 27 lutego 2024 r., sygn. akt II SA/Wa 1404/23, wskazując, że „(…) nie ulega wątpliwości to, że aby analiza ryzyka została w ogóle przeprowadzona w sposób właściwy, winny być (…) prawidłowo zdefiniowane zagrożenia, mogące wystąpić w procesie przetwarzania danych”.
110.
Podnieść należy, że moduł grafików zawierał w sobie zbiór danych powierzonych Podmiotowi przetwarzającemu i powinien zostać przez U. (…) poddany gruntownej analizie w oparciu o wymogi określone w art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) rozporządzenia 2016/679 z uwagi na zawartą umowę powierzenia z Administratorem, w tym w ramach świadczenia usługi hostingu, czy też w ramach procesu przeprowadzenia migracji danych. Natomiast, jak wynika z ustalonego stanu faktycznego oraz zgromadzonego materiału dowodowego, Podmiot przetwarzający nie przeprowadził takiej analizy ryzyka w stosunku do powierzonych przez Administratora danych osobowych zawartych w module grafik pracowniczy, a w konsekwencji nie wdrożył odpowiednich do ryzyka środków bezpieczeństwa, czym nie zapewnił tym danym odpowiedniego do ryzyka stopnia bezpieczeństwa, co stanowi o naruszeniu art. 32 ust. 1 i 2 rozporządzenia 2016/679.
111.
Wskazać należy, że Podmiot przetwarzający planował przeprowadzenie analizy ryzyka modułu grafików i wszelkich innych aktywów biorących udział w procesie przetwarzania danych osobowych, zawartych w grafikach pracowniczych w oparciu o normy ISO 27001, ale dopiero po stwierdzeniu naruszenia ochrony danych osobowych. Natomiast proces szacowania ryzyka, jest procesem ciągłym, który powinien być skorelowany wraz ze zmieniającymi się okolicznościami takimi, jak stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst, cele przetwarzania, ryzyko naruszenia praw lub wolności osób fizycznych oraz prawdopodobieństwo wystąpienia ryzyka i wagę zagrożenia. Podmiot przetwarzający powinien być tego świadomy, bowiem jak wynika z jego własnej Polityki bezpieczeństwa (§ 3 Polityki) budowę systemu ochrony danych osobowych zobowiązał się oprzeć na fundamencie podejścia opartego na ryzku, które wprost utożsamił jako jego obowiązek zidentyfikowania ryzyka towarzyszącego przetwarzaniu danych osobowych oraz ustaleniu ich wpływu na operacje związane z danymi osobowymi, a w szczególności na prawa i wolności osób fizycznych. Ponadto wskazał, że zobowiązany jest zapewnić bezpieczeństwo przetwarzania danych osobowych, uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst, i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, a więc elementy wskazane w art. 32 ust. 1 rozporządzenia 2016/679.
112.
Na powyższe zwraca również uwagę Wojewódzki Sad Administracyjny w W. w wyroku z 27 lutego 2024 r., sygn. akt II SA/Wa 1404/23, wskazując, że „(…) wdrożenie (…) środków technicznych i organizacyjnych nie jest działaniem jednorazowym, ale powinno przybrać postać procesu, w ramach którego administrator [i podmiot przetwarzający] dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia” oraz „(…) wdrażanie zabezpieczeń ma stanowić ciągły proces, a nie jednorazowe działanie (…)”.
113.
Podnieść należy, że prawidłowe wywiązanie się z obowiązku z art. 32 ust. 1 i 2 rozporządzenia 2016/679 powinno również umożliwić Podmiotowi przetwarzającemu wdrożenie odpowiednich środków technicznych i organizacyjnych pozwalających na samodzielne wykrycie naruszenia ochrony danych osobowych, co w konsekwencji ograniczyłoby jego eskalację. Wskazać bowiem należy, że plik z bazą danych dostępny był w miejscu publicznie dostępnym przez okres około 19 miesięcy - jak wynika z Raportu z analizy incydentu - tj. od stycznia 2019 do lipca 2020 r., czego Podmiot przetwarzający nie był w stanie samodzielnie wykryć. Stwierdzenie naruszenia ochrony danych osobowych nastąpiło dopiero w wyniku poinformowania o tym przez osobą niezależną od Administratora i Podmiotu przetwarzającego. Natomiast tylko w okresie od 24 lipca 2019 r. do 24 lipca 2020 r. liczba unikalnych adresów IP, które uzyskały dostęp do pliku, wynosiła (…) (pochodziły one z następujących krajów: (…) - Polska, (…) - Stany Zjednoczone, (…) - Rosja, (…) - Francja, (…), (…), (…), (…), (…), (…)).
114.
W tym miejscu Prezes UODO podziela wnioski z Raportu, z których wynika, że „z uwagi na to iż, podczas analizy potwierdzono wiele przypadków dostępu do pliku z bazą danych, a plik znajdował się na serwerze około półtora roku i w tym czasie administratorzy systemu nie zauważyli pobrań takiego pliku, mając na względzie dobre praktyki, zarekomendowano wdrożenie mechanizmu, który będzie analizował ruch pomiędzy użytkownikami aplikacji a serwerem, tym samym zasugerowano wdrożenie systemu monitorowania i wykrywania ataków/wycieków”. Tymczasem Podmiot przetwarzający nie wdrożył środków technicznych i organizacyjnych umożliwiających wykrycie incydentu bezpieczeństwa. Nie tylko bowiem nie posiadał systemu umożliwiającego monitorowanie sieci w tym zakresie, jak również nigdy samodzielnie nie podejmował działań mających na celu wykrycie naruszenia.
115.
Jak wskazuje Europejska Rada Ochrony Danych (EROD) w Wytycznych 09/2022 dotyczących zgłaszania naruszeń ochrony danych osobowych na podstawie RODO: w rozporządzeniu 2016/679 „ustanowiono wymóg przyjęcia wszelkich odpowiednich technicznych środków ochrony i wszelkich odpowiednich środków organizacyjnych, by od razu stwierdzić naruszenie ochrony danych osobowych”. „Z art. 32 RODO jednoznacznie wynika, że administrator i podmiot przetwarzający powinni dysponować odpowiednimi środkami technicznymi i organizacyjnymi, aby zapewnić odpowiedni stopień bezpieczeństwa danych osobowych: zdolność do wykrywania naruszeń, zaradzania im oraz ich terminowego zgłaszania powinna być postrzegana jako kluczowy element tych środków”.
116.
Mając na uwadze powyższe okoliczności, w tym nie tylko, że U. (…) nie przeprowadził analizy ryzyka związanej z powierzonymi danymi osobowymi przetwarzanymi w module grafików, ale również wobec ujawnienia istotnych podatności, takich jak nieprawidłowa konfiguracja serwera „(…)”, nieudana migracja danych związana z utworzeniem pliku bazodanowego o nazwie („(…)”) i pozostawieniem tego pliku w miejscu publicznie dostępnym, brak zawarcia umowy dalszego powierzenia przetwarzania danych osobowych z Panem J. S., brak identyfikacji wystąpienia naruszenia ochrony danych osobowych przez okres przynajmniej 19 miesięcy, nie można uznać, aby Podmiot przetwarzający, uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, wdrożył odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku dla zapewnienia bezpieczeństwa przetwarzania powierzonym danym, co stanowi o naruszeniu przez podmiot przetwarzający art. 32 ust 1 i 2 rozporządzenia 2016/679. Jednocześnie brak podjęcia przez Podmiot przetwarzający, w związku z zawarciem umowy powierzenia przetwarzania danych osobowych, środków wymaganych na mocy art. 32 ust. 1 i 2 rozporządzenia 2016/679 stanowi o naruszeniu art. 28 ust. 3 lit. c) rozporządzenia 2016/679.
117.
W tym miejscu należy wyjaśnić, że Podmiot przetwarzający na pytanie Prezesa UODO, jakie przyjął środki techniczne i organizacyjne w odniesieniu do danych osobowych objętych przedmiotowym naruszeniem ochrony danych osobowych zgodnie z art. 32 rozporządzenia 2016/679, pismem z dnia 19 marca 2021 r. poinformował, że wdrożył określone w ww. piśmie środki techniczne i organizacyjne. Wymienione w tym piśmie środki techniczne i organizacyjne oraz przedstawione dowody nie dają jednak podstaw do uznania, że środki te korespondują z ustalonymi przyczynami naruszenia ochrony danych osobowych, w ten sposób, że mogłyby mieć wpływ na zmniejszenie prawdopodobieństwa jego wystąpienia. Środki te nie zostały bowiem przyjęte na podstawie analizy ryzyka - aktywa biorące udział w operacjach związanych z przetwarzaniem powierzonych danych osobowych nie zostały uwzględnione przy przeprowadzaniu analizy ryzyka. Ponadto, nie miały one zastosowania do operacji przetwarzania związanych z powierzonymi danymi osobowymi, o czym informuje sam Podmiot przetwarzający („nie dotyczyły one modułów grafików”).

Naruszenie przez Podmiot przetwarzający art. 32 ust. 1 lit. d) rozporządzenia 2016/679

118.
Na podstawie zebranego w sprawie materiału dowodowego oraz udzielonych przez U. (…) wyjaśnień nie można było również uznać, że Podmiot przetwarzający dokonywał regularnej oceny skuteczności środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa powierzonym danym, zgodnie z wymogiem wskazanym w art. 32 ust. 1 lit. d) rozporządzenia 2016/679. Należy wyjaśnić, że pismem z 10 marca 2021 r. Prezes UODO zwrócił się do Podmiotu przetwarzającego z pytaniem „czy a jeśli tak, to kiedy i w jaki sposób podmiot przetwarzający dokonywał regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych, których naruszenie dotyczy.” Podmiot przetwarzający pismem z 19 marca 2021 r. udzielił odpowiedzi, wskazując m.in., że przed wystąpieniem naruszenia ochrony danych osobowych nie testował zabezpieczeń modułu grafików z własnej inicjatywy, gdyż tego rodzaju czynności nie były objęte przedmiotem umowy głównej. Podobnie wypowiedział się Administrator informując, że Podmiot przetwarzający nie wykonywał z własnej inicjatywy osobnego testowania, mierzenia i oceniania skuteczności środków technicznych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w odniesieniu do narzędzia, będącego źródłem naruszenia (narzędzie do wyświetlania grafików).
119.
Wskazać ponadto należy, że obowiązek regularnego testowania, mierzenia i oceniania nie został wprost ujęty w obowiązującej w Podmiocie przetwarzającym Polityce ochrony danych. Nie sposób również uznać, aby postanowienia przyjętej polityki ochrony danych osobowych korespondujące nawet w najmniejszym stopniu z ww. obowiązkiem były realizowane. Ponadto U. (…) nie realizował wobec powierzonych danych § 12 Polityki, zgodnie z którym co najmniej raz w roku powinien przeprowadzić testy penetracyjne. Również audyty wewnętrze w stosunku do powierzonych danych osobowych nie były wykonywane, podczas gdy zgodnie z § 32 Polityki kompleksowy audyt wewnętrzny w zakresie przestrzegania ochrony danych osobowych powinien być realizowany przynajmniej raz na rok. U. (…) nigdy nie podejmował działań, przed stwierdzeniem naruszenia ochrony danych osobowych, w celu wykrycia naruszenia ochrony danych osobowych, gdyż nie uznawał modułu grafików za swoje aktywo. W tym nie prowadził analizy wygenerowanych odpowiedzi przez serwer aplikacji na treści zapytań kierowanych do aplikacji grafik pracowniczy, tj. nie weryfikował zawartości wyników odpowiedzi na zapytania umieszczone w treści pola adresowego przeglądarki, za pomocą której łączono się z ww. aplikacją. Ponadto, nie weryfikował po migracji danych i w późniejszym okresie, czy dane objęte naruszeniem ochrony danych osobowych są publicznie dostępne, tj. czy w wyniku migracji nie nastąpiła nieplanowana zmiana zawartości lub struktury środowiska sieciowego. Wskazać należy, że U. (…) opracował szereg dokumentów dotyczących bezpieczeństwa danych i jego monitorowania, m.in. takich jak: „Procedura określająca zasady zabezpieczania sieci”, zgodnie z którą administrator systemów informatycznych był zobowiązany regularnie monitorować zagrożenia mogące powodować naruszenie bezpieczeństwa sieciowego oraz dobierać środki adekwatne do tych zagrożeń. Pomimo przyjęcia takiej procedury Podmiot przetwarzający jednak nie stosował ich postanowień do modułu grafików, zatem żadne z działań opisanych w tych dokumentach nie realizował względem tego zasobu.
120.
Wobec powyższego podnieść należy, że wskazane testowanie, mierzenie i ocenianie, aby stanowiło realizację wymogu wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, musi być dokonywane w sposób regularny, co oznacza świadome zaplanowanie i zorganizowanie, a także dokumentowanie (w związku z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679) w określonych przedziałach czasowych, niezależnie od zmian w organizacji i przebiegu procesów przetwarzania danych. Podkreślenia również wymaga, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem każdego administratora oraz podmiotu przetwarzającego wynikającym z art. 32 ust. 1 lit. d) rozporządzenia 2016/679. Podmiot przetwarzający zobowiązany jest więc do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych na każdym etapie przetwarzania, także wobec danych mu powierzonych. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania. Takich działań, co wykazano wyżej, Podmiot przetwarzający jednak nie podejmował, co przesądza o naruszeniu tego przepisu rozporządzenia 2016/679.
121.
W tym miejscu należy odnieść się do stanowisk Podmiotu przetwarzającego, który brak przeprowadzenia analizy ryzyka w stosunku do powierzonych mu przez Administratora danych osobowych i w konsekwencji brak wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ustalonemu ryzyku, jak również brak regularnego testowania, mierzenia i oceniania tych środków, w okolicznościach przedmiotowej spraw, błędnie usprawiedliwiał m.in. uznaniem, że moduł grafików zawierający powierzone dane osobowe nie należał do jego aktywów. W związku z powyższym, w ocenie Podmiotu przetwarzającego, nie był on zobowiązany do przeprowadzenia analizy ryzyka i do zapewnienia bezpieczeństwa przetwarzanym tam danym.
122.
W pierwszej kolejności wskazać zatem należy, że powyższe stanowisko jest z oczywistych przyczyn bezzasadne. Mając na uwadze, że przepis art. 32 ust. 1 i 2 rozporządzenia 2016/679 odnosi się nie tylko do administratora, ale również do podmiotu przetwarzającego, Podmiot przetwarzający nie powinien mieć wątpliwości, że analiza ryzyka powinna uwzględniać wszystkie zasoby, za które odpowiadał Podmiot przetwarzający, niezależnie od tego, kto jest ich właścicielem. Co więcej, jak już zostało wskazane wyżej, zgodnie z art. 28 ust. 3 lit. c) rozporządzenia 2016/679 umowa powierzenia powinna stanowić, że podmiot przetwarzający podejmuje wszelkie środki wymagane na mocy art. 32 rozporządzenia 2016/679. Powyższy obowiązek odnosi się nie tylko do wdrożenia środków bezpieczeństwa na podstawie przeprowadzonej analizy ryzyka, ale również do regularnego testowania mierzenia i oceniania środków technicznych i organizacyjnych mających na celu zapewnić bezpieczeństwo przetwarzaniu, o czym mowa w art. 32 ust. 1 lit. d) rozporządzenia 2016/679.
123.
Podkreślić należy, że moduł grafików nie zawierał odrębnego panelu sterowania (zarządzania), a w rzeczywistości składał się z kilku plików, które przechowywane i przenoszone przez Podmiot przetwarzający powinny być w sposób zapewniający odpowiedni poziom bezpieczeństwa. To Podmiot przetwarzający, a nie Administrator, posiadał techniczną możliwość zapewnienia bezpieczeństwa odpowiednich środków technicznych, a do nich środków organizacyjnych, tak aby zapewnić odpowiedni stopień bezpieczeństwa przetwarzania danych do ryzyka, które Podmiot przetwarzający powinien ustalić przeprowadzając w tym zakresie analizę. Podkreślić, należy, że Administrator przekazał moduł grafików Podmiotowi przetwarzającemu, nie żądał dostępu do danych tam przechowywanych, jak również nie otrzymał i nie żądał uprawnień dostępu do serwera, z którego mógłby zarządzać modułem grafików. To Podmiot przetwarzający posiadał uprawnienia do zalogowania się do serwera, na którym znajdował się moduł grafików, a tym samym posiadał faktyczne władztwo nad modułem grafików.
124.
Nieprawidłowa konfiguracja serwera, na którym był przechowywany moduł grafików, stworzenie i nie usunięcie pliku bazodanowego zawierającego zbiór danych osobowych, którego poufność została naruszona, nie ma związku z okolicznością, że Administrator był właścicielem modułu grafików. Natomiast ma związek z działaniami i zaniechaniami Podmiotu przetwarzającego. Co więcej Podmiot przetwarzający w sposób zupełnie dowolny dokonywał wyboru, na który serwer ma zostać skopiowana aplikacja grafik pracowniczy, aby przywrócić jej działanie. Wskazuje na to jednoznacznie treść polecenia, jakie Podmiot przetwarzający skierował do Pana J. S. - „J., serwer opłacony. Wielka prośba o szybkie ogarnięcie - obojętnie na jakim serwerze - ważne by działało”. Powyższe stanowi o bezpodstawnym uznaniu przez Podmiot przetwarzający okoliczności, że grafik nie należał do jego aktywów, a więc w jego ocenie nie był zobowiązany zapewnić adekwatnych środków technicznych i organizacyjnych zgodnie z przeprowadzoną analizą ryzyka.
125.
Podobnie stanowisko Podmiotu przetwarzającego z pisma z 11 sierpnia 2021 r., że „serwer, na którym znajdowały się powierzone dane osobowe, stanowił aktywo (…)” stanowi okoliczność zwalniającą z obowiązku „zapewnienia adekwatnych środków organizacyjnych i techniczne zgodnie z przeprowadzoną analizą ryzyka” z oczywistych przyczyn nie znajduje uzasadnienia. Podkreślić należy, że na podstawie umowy hostingu (…) udostępnił Podmiotowi przetwarzającemu zasoby serwera dostępnego w przestrzeni sieci Internet, celem umożliwienia dostępu do jego zawartości. Zawartość była definiowana przez Podmiot przetwarzający, również za konfigurację tego serwera odpowiadał Podmiot przetwarzający. Podatność w postaci nieprawidłowej konfiguracji serwera, polegającej na możliwość podglądu zawartość plików globalnie, mogła być jedynie usunięta przez Podmiot przetwarzający jako jedyny podmiot uprawniony do ustalenia struktury serwera i jego zawartości. Podobnie zbędny plik, który nie był zabezpieczony, mógł być usunięty jedynie przez Podmiot przetwarzający. Tym samym serwer był aktywem, za którego bezpieczeństwo i ochronę przetwarzania zawartych tam danych, odpowiadał także Podmiot przetwarzający.
126.
Również stanowisko Podmiotu przetwarzającego, z którego wynika, że jest zwolniony z zapewnienia bezpieczeństwa przetwarzania danych w odniesieniu do danych zawartych w module grafików, bowiem czynności wykonywane na rzecz Administratora wykonuje w oparciu o planowany budżet, w którym nie ma takiej pozycji, jest nie do przyjęcia. Obowiązek wynikający z art. 28 ust. 3 lit. c) rozporządzenia 2016/679 ma charakter publicznoprawny a nie obligacyjny i nie może być wyłączany w oparciu o wykładnię postanowień umowy zawartej między Administratorem i Podmiotem przetwarzającym. Wskazać należy, że w momencie powierzenia przetwarzania danych osobowych Podmiot przetwarzający przyjął na siebie odpowiedzialność za zapewnienie odpowiedniego bezpieczeństwa tym danym, a zaniedbanie ustalenia w umowie okoliczności ponoszenia ciężaru finansowego związanego z tytułu realizacji obowiązków wynikających z przepisów rozporządzenia 2016/679 może być poddane ocenie na gruncie prawa cywilnego, ale nie stanowi przesłanki wyłączającej ten obowiązek na gruncie przepisów rozporządzenia 2016/679 oraz prawa administracyjnego. Prezes UODO podziela stanowisko Wojewódzkiego Sądu Administracyjnego w Warszawie zaprezentowane w orzeczeniu z 5 października 2021 r., sygn. akt II SA/Wa 528/21, w którym Sąd stwierdził, że „Jeżeli czynności przetwarzania wykonuje podmiot przetwarzający, a nie administrator, to co do zasady do działania tego zastępcy należałoby odnosić przepisy określające obowiązki związane z przetwarzaniem. Rozporządzenie nr 2016/679 rozkłada jednakże te obowiązki pomiędzy administratora i podmiot przetwarzający, co oznacza, że administrator powierzając przetwarzanie danych innemu podmiotowi nie jest zwolniony całkowicie z odpowiedzialności za niedopełnienie prawnych wymagań dotyczących przetwarzania. Przepisy rozporządzenia kierują niektóre obowiązki do administratora danych (art. 5 ust. 2), inne zaś są adresowane jednocześnie do administratora i do podmiotu przetwarzającego (art. 32 ust. 1 i 2). Ponadto podmiot przetwarzający ma odrębne obowiązki w tym zakresie (art. 28 rozporządzenia). Co prawda te obowiązki podmiotu przetwarzającego powinny być umieszczone w zawartej między stronami umowie o przetwarzanie danych. Niemniej jednak obligatoryjne dla stron wprowadzenie ich do umowy nie odbiera im charakteru publicznoprawnego, nie czyni obowiązkami wyłącznie obligacyjnymi, co ma oczywiście zasadnicze znaczenie dla określenia odpowiedzialności za ich naruszenie i co znajduje potwierdzenie w art. 83 ust. 4 lit. a rozporządzenia.”

Naruszenie przez Podmiot przetwarzający art. 28 ust. 4 i 9 rozporządzenia 2016/679

127.
Podmiot przetwarzający nie zawarł z Panem J. S. umowy podpowierzenia przetwarzania danych osobowych (umowy dalszego powierzenia przetwarzania danych osobowych), do czego był zobowiązany nie tylko umową wiążącą go z Administratorem, ale również przepisami rozporządzenia 2016/679. Z ustalonego stanu faktycznego wynika, że Podmiot przetwarzający umożliwił Panu J. S. przetwarzanie danych osobowych zgromadzonych w module grafików, których administratorem był G., bez zawarcia stosownej umowy dalszego powierzenia przetwarzania danych osobowych. Wskazać należy, że Pan J. S. od 2 listopada 2015 r. świadczył na rzecz U. (…) usługi wsparcia informatycznego. W ramach świadczenia tych usług otrzymywał dostęp do danych osobowych i przetwarzał dane osobowe, których administratorem był G.. Pomimo powyższego, Podmiot przetwarzający nie zawarł z Panem J. S. umowy dalszego podpowierzenia danych osobowych. Faktyczne podpisanie takiej umowy nastąpiło dopiero 24 lipca 2020 r., podczas gdy Podmiot przetwarzający zawarł umowę powierzenia z Administratorem już 8 sierpnia 2018 r.
128.
Powyższe stanowi o naruszeniu przez U. (…) art. 28 ust. 4 i 9 rozporządzenia 2016/679, zgodnie z którymi, jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają - na mocy umowy lub innego aktu prawnego, zawartej w formie pisemnej w tym elektronicznej, które podlegają prawu Unii lub prawu państwa członkowskiego - te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym, o których to obowiązkach mowa w ust. 3, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom rozporządzenia 2016/679. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialności wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym (ust. 4). Umowa lub inny akt prawny, o których mowa w art. 28 ust. 3 i 4, mają formę pisemną, w tym formę elektroniczną (ust. 9).
129.
W tym miejscu należy odnieść się do oceny prawnej przedstawionej przez Podmiot przetwarzający w piśmie z 16 grudnia 2022 r., że „dla ważności umowy o podpowierzeniu nie jest niezbędne dochowanie formy pisemnej. W związku z tym w ocenie Spółki do zawarcia umowy podpowierzenia doszło faktycznie z chwilą akceptacji przez pana J. S.”. Powyższa ocena przedstawiona przez Podmiot przetwarzający całkowicie pomija treść art. 28 ust. 9 rozporządzenia 2016/679, z którego w sposób jednoznaczny wynika, że umowa dalszego powierzenia przetwarzania danych osobowych (umowa podpowierzenia przetwarzania danych osobowych) ma mieć formę pisemną, w tym elektroniczną. Ponadto, jak wynika z ustalonego stanu faktycznego, zlecenie i wykonanie czynności polegającej na przywróceniu działania grafika pracowniczego przez Pana J. S. bez zawarcia stosownej umowy podpowierzenia danych nastąpiło 14 stycznia 2019 r. Natomiast dzień, w którym Pan J. S. w ocenie U. (…) zaakceptował warunki umowy, to 22 lipca 2020 r. Powyższe stanowi o zupełnej bezzasadności stanowiska U. (…) w tym zakresie. W tym miejscu należy wyjaśnić, że Podmiot przetwarzający przedstawiła Prezesowi UODO umowę podpowierzenia przetwarzania danych osobowych datowaną na dzień 25 maja 2018 r., która w rzeczywistości została podpisana 24 lipca 2020 r., a więc już po stwierdzeniu naruszenia ochrony danych osobowych.

Naruszenie przez Podmiot przetwarzający art. 38 ust. 1 rozporządzenia 2016/679

130.
Zgodnie z art. 38 ust. 1 rozporządzenia 2016/6/79, administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.
131.
W tym miejscu należy również wskazać, że Prezes UODO pismem z 2 lutego 2022 r. zwrócił się do Podmiotu przetwarzającego z pytaniem „czy przed wystąpieniem naruszenia ochrony danych osobowych, Spółka angażowała ustanowionego inspektora ochrony danych w procesy przetwarzania danych związane z przedmiotowym naruszeniem ochrony danych osobowych, a jeśli tak to w jaki sposób?”. W odpowiedzi Podmiot przetwarzający pismem z 15 lutego 2022 r. poinformował, że „nie angażował ustanowionego Inspektora Ochrony Danych w przetwarzanie danych osobowych w ramach modułu grafików”. Tym samym nie można uznać, aby Podmiot przetwarzający właściwie i niezwłocznie włączał ustanowionego IOD we wszystkie sprawy dotyczące ochrony danych osobowych.
132.
Powyższe stanowi o naruszeniu przez U. (…) przepisu art. 38 ust. 1 rozporządzenia 2016/679.

Naruszenie przez Administratora art. 38 ust. 1 rozporządzenia 2016/679

133.
Obowiązek opisany w art. 38 ust. 1 rozporządzenia 2016/679 odnosi się również do G., który jako administrator danych powołał IOD. Mając na uwadze potrzebę zapewnienia czytelności niniejszej decyzji administracyjnej, która może zostać zapewniona m.in. poprzez rezygnację z powtórzeń, wskazać należy, że niżej opisane wyjaśnienia podstaw prawnych naruszonych przepisów pozostają aktualne również względem Podmiotu przetwarzającego.
134.
Podkreślenia wymaga, że IOD ma swoją wiedzą, doświadczeniem i umiejętnościami wspierać administratora w zapewnieniu zgodności przetwarzania danych z przepisami o ochronie danych osobowych. Aby IOD mógł efektywnie realizować ten cel, w art. 38 ust. 1 rozporządzenia 2016/679 został nałożony na administratora obowiązek zapewnienia, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Określenie „właściwie” odnosić należy do właściwości rzeczowej IOD, która obejmuje wszelkie kwestie związane z przetwarzaniem i ochroną danych osobowych, natomiast sformułowanie „niezwłocznie” wskazuje, że IOD powinien być angażowany w te sprawy w najkrótszym możliwym czasie[1]. W piśmiennictwie przedmiotu także wskazuje się, że określenie „właściwie” powinno być rozumiane jako wymóg, by obowiązek włączenia IOD do działań był wykonany w sposób, który umożliwi mu aktywne działanie[2]. Również M. Sakowska-Baryła opowiada się za rozumieniem określenia „właściwie” jako „adekwatne, odpowiednie, w sposób zapewniający możliwie kompleksowe zapoznanie się IOD z okolicznościami przetwarzania danych osobowych - kontekstem, celami, zakresem, charakterem, uwarunkowaniami czasowymi, technicznymi, prawnymi”[3]. Reasumując powyższe, wymóg właściwego włączania IOD we wszystkie sprawy dotyczące ochrony danych osobowych oznacza zarówno odpowiednie zapewnienie inspektorowi możliwości udziału w działaniach przy jednoczesnym poszanowaniu jego właściwości.
135.
Grupa Robocza art. 29 w Wytycznych dotyczących inspektorów ochrony danych wskazuje, że „niezwykle istotne jest, by DPO (inspektor ochrony danych), lub jego zespół, był angażowany od najwcześniejszego etapu we wszystkie kwestie związane z ochroną danych”. „Ponadto ważne jest, aby DPO był postrzegany jako partner w dyskusji i włączany w prace grup roboczych poświęconych procesom związanym z przetwarzaniem danych osobowych w ramach organizacji”. W związku z powyższym Grupa Robocza art. 29 m.in. zaleca udział inspektora ochrony danych w spotkaniach przedstawicieli wyższego i średniego szczebla organizacji, uczestnictwo inspektora ochrony danych przy podejmowaniu decyzji dotyczących przetwarzania danych osobowych oraz aby stanowisko inspektora ochrony danych było zawsze brane pod uwagę, a w ramach dobrych praktyk, a przypadki i powody postępowania niegodnego z zaleceniami inspektora ochrony danych powinny być dokumentowane. Na powyższe zwrócił również uwagę WSA w Warszawie stwierdzając, że „Administrator danych osobowych jest odpowiedzialny także za to, aby inspektor ochrony danych (…) był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych (art. 38 ust. 1 rozporządzenia)” (por. wyroki WSA w Warszawie z 5 października 2023 r., sygn. akt II SA/Wa 502/23, oraz z 17 kwietnia 2024 r., sygn. akt II SA/Wa 1342/23).
136.
Ponadto, w ocenie Grupy Roboczej Art. 29, w określonych przypadkach administrator lub podmiot przetwarzający powinni opracować wytyczne, które wskazywałyby przypadki wymagające konsultacji z inspektorem ochrony danych. A zatem administrator w swojej organizacji powinien, po pierwsze, przyjąć odpowiednie rozwiązania organizacyjne, których celem byłoby zapewnienie, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych, a po drugie zapewnić skuteczną realizację tych rozwiązań poprzez rzeczywiste włączanie IOD w każdym przypadku, w którym określone zagadnienie związane jest z przetwarzaniem danych osobowych.
137.
Wyjaśnić należy, że Administrator przewidział sposoby włączania inspektora ochrony danych w sprawy związane z przetwarzaniem danych osobowych, bowiem ustanowił wewnętrzne procedury, tj. (…) oraz „Regulamin IOD”, których prawidłowa realizacja umożliwiłaby rozliczenie się z obowiązku określonego w art. 38 ust. 1 rozporządzenia 2016/679. Powyższe w nawiązaniu do operacji przetwarzania związanych z naruszeniem ochrony danych osobowych w szczególności odniesienie ma do takich regulacji jak: Rozdział VI § 5 ust. 2 Polityki stanowiący, że w trakcie dokonywania wyboru podmiotu przetwarzającego należy zweryfikować zgodnie z „Procedurą i kryteriami wyboru podmiotu przetwarzającego dla G. (…)”, czy podmiot ten zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi przepisów RODO i chroniło prawa osób, których dane dotyczą; Rozdział VI § 5 ust. 3 Polityki - dotyczący konsultacji z inspektorem ochrony danych osobowych wyniku weryfikacji wyboru podmiotu przetwarzającego; Rozdział VI § 5 ust. 4 Polityki - dotyczący wymogu konsultacji z inspektorem ochrony danych postanowień umownych z podmiotem, któremu mają zostać zlecone czynności powierzenia przetwarzania danych; Rozdział VI § 5 ust. 6 Polityki - dotyczący przeprowadzania przez inspektora ochrony danych lub inne wyznaczone osoby zgodnie z postanowieniami zawartymi w umowach powierzenia przetwarzania danych osobowych, kontroli podmiotów przetwarzających, którym zostały powierzone czynności przetwarzania danych osobowych należących do Administratora; Rozdział X § 1 ust. 3 Polityki, zgodnie z którym wyniki monitorowania ochrony danych osobowych inspektor powinien przedstawić zarządowi w „Sprawozdaniu z działalności Inspektora za dany rok”. Z kolei stosownie do Regulaminu IOD do zadań IOD należy: w związku z ust. VI pkt 1 lit. a), b) i h) - „informowanie Zarządu Spółki oraz osób upoważnionych do przetwarzania danych osobowych o obowiązkach wynikających z przepisów RODO oraz krajowych przepisach o ochronie danych osobowych uzupełniających RODO oraz doradzanie im w zakresie realizacji obowiązków związanych z przetwarzaniem danych w Spółce”, „monitorowanie przestrzegania przepisów o ochronie danych oraz wdrożonych w Spółce polityk ochrony danych osobowych” i „wspieranie zapewnienia bezpieczeństwa przetwarzania danych w Spółce”; w związku z ust. VI pkt 2 lit. b) i c) - „przesyła Zarządowi Spółki oraz osobom upoważnionym do przetwarzania danych informacje o przypadkach naruszeń przepisów i zwraca uwagę na popełniane błędy” i „udziela informacji i porad dotyczących przepisów o ochronie danych oraz ich stosowania w odpowiedzi na zapytania Zarządu oraz osób upoważnionych do przetwarzania danych” oraz w związku z ust. VI pkt 3 lit. a), b), c) i d) - „przeprowadza audyty wewnętrzne zgodności przetwarzania danych z przepisami RODO oraz przepisami krajowymi, a także politykami ochrony danych wdrożonymi w Spółce”, „zbiera informacje o prowadzonych operacjach przetwarzania danych osobowych i analizuje je pod kątem zgodności z prawem i politykami ochrony danych osobowych w Spółce”, „przygotowuje raport z audytu zgodności z przepisami o ochronie danych osobowych oraz wewnętrznymi politykami ochrony danych lub w inny sposób zajmuje stanowisko co do tej zgodność” i „przedstawia zarządowi Spółki oraz osobom upoważnionym do przetwarzania danych rekomendacje działań”, a w związku z ust. VI pkt 7 lit. a) - „bierze udział w procesie szacowania ryzyka naruszenia praw i wolności podmiotów danych w odniesieniu do różnych operacji przetwarzania danych osobowych w Spółce”. Jednocześnie ze zgromadzonego materiału dowodowego nie wynika, aby inspektor ochrony danych był zaangażowany w realizację powyższych procedur, pomimo że Prezes UODO zwrócił się do Administratora o przedstawienie dowodów na konkretne wskazane przez Prezesa UODO okoliczność zaangażowania inspektora ochrony danych, które m.in. korespondowałyby z ww. procedurami.
138.
Logiczną tego konsekwencją są ustalenia przez Prezes UODO (pkt 39 stanu faktycznego), z których wynika, że inspektor ochrony danych nie był w jakikolwiek sposób angażowany w procesy kluczowe dla ochrony danych osobowych, takiej jak: proces wyboru podmiotu przetwarzającego; realizacji zawartej umowy powierzenia z U. (…) Sp. z o.o.; oceny ryzyka dla operacji przetwarzania, w związku z którą doszło do naruszenia ochrony danych osobowych; podjęcia decyzji co do zastosowanych środków bezpieczeństwa lub rezygnacji z takich środków. Tymczasem IOD powinien być włączony w powyższe procesy, bowiem były one kluczowe dla ochrony danych osobowych, co Administrator musiał dostrzegać, skoro opracował procedury umożliwiające włączenie w te procesy IOD.
139.
Z przedstawionych przez stronę dowodów mających na celu wykazanie przestrzegania przez Administratora obowiązku wynikającego z ww. przepisu rozporządzenia 2016/679 wynika, że obowiązek ten był realizowany w stosunku do operacji przetwarzania danych, w związku z którymi doszło do naruszenia ochrony danych osobowych, w sposób bardzo ograniczony i właściwie sprowadzał się do jednej wiadomości e-mail wysłanej 28 kwietnia 2018 r. (stanowiącej załącznik nr (…) do pisma Administratora z 5 września 2022 r.), w której IOD w ramach wewnętrznej korespondencji do pracowników Administratora przekazał wzór umowy powierzenia przetwarzania danych osobowych oraz procedurę wyboru podmiotu przetwarzającego. Mając na uwadze obszerność wyżej opisanych regulacji nie można uznać, aby wiadomość e-mail z 28 kwietnia 2018 r. zawierająca wzór umowy powierzenia danych oraz procedurę wyboru podmiotu przetwarzającego, która w ocenie Administratora potwierdza zaangażowanie inspektora ochrony danych, stanowiła o wywiązaniu się przez niego z obowiązku określonego w art. 38 ust. 1 rozporządzenia 2016/6/79 w odniesieniu do zasobu objętego naruszeniem ochrony danych osobowych.
140.
Samo przesłanie wzoru umowy powierzenia danych oraz procedury wyboru podmiotu przetwarzającego nie stanowi także realizacji wymogu konsultacji, o której mowa w Rozdziale VI § 5 ust. 3 i 4 w związku z § 5 ust. 2 „Polityki”, a zatem i z tego względu nie może zostać uznane jako włączenie IOD w proces wyboru U. (…) jako podmiotu przetwarzającego, czy też zawarcia umowy powierzenia. Wobec powyższego nie można również uznać, aby inspektor ochrony danych był właściwie zaangażowany ww. procesy.
141.
Ponadto, jak wynika z ustaleń stanu faktycznego (pkt 38), przed wystąpieniem przedmiotowego naruszenia ochrony danych osobowych inspektor ochrony danych nie udzielił jakiejkolwiek rekomendacji Administratorowi, która mogłaby mieć związek nie tylko z ww. procesem zawarcia umowy powierzenia przetwarzania danych osobowych, ale również z innymi procesami przetwarzania danych, w ramach których doszło do naruszenia ochrony danych osobowych, co dodatkowo wskazuje, że inspektor ochrony danych w ramach tych procesów nie był angażowany.
142.
W ocenie Prezesa UODO istotne znaczenia dla potwierdzenia, że Administrator naruszył art. 38 ust. 1 rozporządzenia 2016/679 są same wyjaśnienia Administratora, w których na pytanie Prezesa UODO z pisma z 2 lutego 2022 r. „czy przed wystąpieniem naruszenia ochrony danych osobowych, Spółka angażowała ustanowionego inspektora ochrony danych w procesy przetwarzania danych związane z przedmiotowym naruszeniem ochrony danych osobowych, a jeśli tak, to w jaki sposób”, G. w piśmie z 16 lutego 2022 r. poinformował, że „nie angażował inspektora ochrony danych w procesy związane bezpośrednio z przedmiotowym naruszeniem, ponieważ proces przetwarzania danych w tym zakresie został całkowicie outsorcowany do zewnętrznego dostawcy, tj. U. (…)”, a następnie wyjaśnił, iż „nie zmienia to faktu, że inspektor ochrony danych Spółki jest włączany we wszystkie sprawy dotyczące ochrony danych osobowych, które realizowane są wewnątrz Spółki”. Zatem Administrator przyznał wprost, że nie angażował inspektora ochrony danych w procesy bezpośrednio związane z przedmiotowym naruszeniem ochrony danych osobowych. Powyższe oczywiście znajduje swoje potwierdzenie w zebranym materiale dowodowym.
143.
Natomiast kolejne zdanie zawarte w ww. piśmie Administratora pozostaje w sprzeczności z pierwszym fragmentem wyjaśnień. Skoro bowiem IOD nie był angażowany w procesy związane bezpośrednio z przedmiotowym naruszeniem ochrony danych osobowych, gdyż proces ten został powierzony U. (…), to logicznym jest, że inspektor ochrony danych nie był włączany we wszystkie sprawy dotyczące ochrony danych osobowych, które realizowane są przez G.. Choć Administrator w ww. wypowiedzi posłużył się pojęciem „outsorcingu”, to ponownie należy podkreślić, że na gruncie przepisów o ochronie danych osobowych fakt powierzenia przetwarzania danych osobowych innemu podmiotowi nie wyłącza odpowiedzialności administratora za operacje na tych danych ani nie zdejmuje z niego obowiązków wynikających z przepisów rozporządzenia 2016/679. Wobec powyższego błędne jest uznanie Administratora, że jeśli powierzył U. (…) przetwarzanie danych osobowych w ramach aplikacji grafik pracowniczy, to jest zwolniony z obowiązku włączenia w ten proces wyznaczonego przez siebie inspektora ochrony danych. Ponadto, takie stanowisko G. nie znajduje potwierdzenia w ustalonych przez samego Administratora procedurach, w których zapisany został wymóg udziału inspektora ochrony danych w ramach czynności powierzenia danych, co zostało już w niniejszej decyzji szczegółowo wyżej wyjaśnione.
144.
Mając na uwadze powyższe, również dodatkowe wyjaśnienia Administratora złożone pismem z 5 września 2022 r., w których informuje, że „intencją Spółki nie było wskazanie, ze powołany w Spółce Inspektor Ochrony Danych nie był w ogóle włączany w procesy związane z przetwarzaniem danych osobowych osób w ramach grafików pracowniczych, a jedynie podkreślenie, że procesy dotyczące administrowania narzędziem służącym do wyświetlania grafików pracowniczych (które bezpośrednio było związane z naruszeniem ochrony danych osobowych) były w całości outsourcowane do zewnętrznego dostawcy usług, a dostawca ten jako podmiot przetwarzający dane na zlecenie odpowiadał za bezpieczeństwo danych, w tym dobór odpowiednich środków bezpieczeństwa i organizacyjnych, zgodnie z obowiązkami nałożonymi na niego na podstawie zawartej Umowy powierzenia”, pozostają w sprzeczności z zebranym materiałem dowodowym.
145.
W świetle powyższego podkreślić należy, ze IOD powinien być włączany we wszystkie sprawy dotyczące ochrony danych osobowych na każdym etapie ich przetwarzania. Administrator odpowiada za dane osobowe w całym „cyklu życia” tych danych, od momentu ich zgromadzenia do momentu ich usunięcia, przy czym powierzenie tego cyklu nie przerywa. Oczywistym jest, że powierzenie przetwarzania danych nie zwalnia administratora z obowiązku włączenia w ten proces IOD, bowiem po powierzeniu przetwarzania danych administrator nadal posiada status administratora tych danych i na administratorze w dalszym ciągu ciąży choćby obowiązek przestrzegania ogólnych zasad dotyczących przetwarzania danych osobowych, o których mowa w art. 5 ust. 1 i 2 rozporządzenia 2016/679, znajdujących swoją konkretyzację w poszczególnych przepisach ww. rozporządzenia, a które korespondują z zadaniami IOD z art. 39 ust. 1 rozporządzenia 2016/679.
146.
Mając na uwadze powyższe, a w szczególności brak realizacji własnych procedur Administratora przewidujących włączenie IOD w operacje przetwarzania związane z naruszeniem ochrony danych osobowych, jak również brak włączenia inspektora ochrony danych osobowych w ww. kluczowe procesy przetwarzania dla zapewnienia ochrony danych osobowych, czy wreszcie brak udzielenia Administratorowi przez inspektora ochrony danych w ramach ww. operacji przetwarzania jakiejkolwiek rekomendacji, Prezes UODO uznał, że powołany w G. IOD nie był właściwie i niezwłocznie włączany w sprawy związane z operacjami przetwarzania danych osobowych objętych naruszeniem ochrony danych osobowych, w szczególności przed wystąpieniem naruszenia ochrony danych osobowych, a w konsekwencji nie był włączany we wszystkie sprawy związane z przetwarzaniem danych osobowych, co stanowi o naruszeniu art. 38 ust. 1 rozporządzenia 2016/679.
147.
Na koniec stosownym jest jeszcze odnieść się do wyjaśnień Administratora przedstawionych w pkt 39 stanu faktycznego oraz przedstawionych na ich poparcie dowodów (załączników nr (…) do pisma z Administratora z 8 lutego 2021 r. oraz załączników nr (…) do pisma Administratora z 19 września 2022 r.). Wbrew twierdzeniu Administratora z załączników tych nie wynika, aby stanowiąca ich treść korespondencja była prowadzona z inicjatywy IOD (podobnie jak z załączników nr (…) do pisma z dnia 8 lutego 2021 r.). Wynika z nich natomiast, że ta korespondencja prowadzona była z inicjatywy globalnego właściciela marki G.. Ponadto, wiadomości e-mail stanowiące załączniki nr (…) do pisma z 8 lutego 2021 r. oraz załączniki nr (…) do pisma z 19 września 2022 r. odnoszą się do ochrony danych osobowych (m.in. możliwości naruszenia zasady retencji danych), a mimo to nie wynika z niej, aby inspektor ochrony danych był włączany w ten proces.
148.
Odnosząc się jeszcze do dowodu, który Administrator przedstawił w odpowiedzi na pytanie Prezesa UODO (czy przed wystąpieniem naruszenia ochrony danych osobowych, Administrator angażował ustanowionego IOD w procesy przetwarzania danych związane z przedmiotowym naruszeniem ochrony danych osobowych, a jeśli tak, to w jaki sposób) na okoliczność, że IOD był „włączany we wszystkie sprawy dotyczące ochrony danych osobowych, które realizowane są wewnątrz Spółki”, tj. „Komunikatu o wdrożeniu zmiany w zakresie zaprzestania podawania informacji o przyczynie nieobecności w pracy” (stanowiącego załącznik nr (…) do pisma z 16 lutego 2022 r.), który został rozesłany w porozumieniu z inspektorem ochrony danych, Prezes UODO wskazuje, że z treści komunikatu (wiadomości e-mail) nie wynika, aby w proces opracowania, czy też wysyłki tego komunikatu, był w jakikolwiek sposób angażowany IOD (komunikat został przesłany z adresu pracownika Administratora „Specjalista w Dziale (…)”). Ponadto, jeśli nawet inspektor ochrony danych został włączony w jeden obszar, nie oznacza to, że został automatycznie włączony w inny obszar, w tym w obszar związany z przetwarzaniem danych osobowych w module grafików (co jak wykazano wyżej nie miało miejsca).
149.
Powyższe z oczywistych względów nie może stanowić o wywiązaniu się Administratora z obowiązku wynikającego z art. 38 ust. 1 rozporządzenia 2018/679.

Naruszenie przez Administratora art. 28 ust. 1 rozporządzenia 2016/679

150.
Zgodnie z art. 28 ust. 1 rozporządzenia 2016/679, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. Natomiast motyw 81 rozporządzenia 2016/679 stanowiący o kontekście normatywnym wyznaczający kierunki wykładni ww. przepisu, wskazuje, że aby zapewnić przestrzeganie wymogów rozporządzenia 2016/679 w przypadku przetwarzania, którego w imieniu administratora ma dokonać podmiot przetwarzający, administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje - w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby - wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom rozporządzenia 2017/679, w tym wymogom bezpieczeństwa przetwarzania.
151.
Na podstawie zgromadzonego materiału dowodowego Prezes UODO ustalił, że Administrator dokonując wyboru Podmiotu przetwarzającego nie zweryfikował, przed zawarciem z nim umowy powierzenia przetwarzania danych osobowych, czy podmiot ten zapewnia gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. Decyzję, co do wyboru podmiotu przetwarzającego, Administrator oparł o doświadczenie wieloletniej współpracy, w ramach której przed wystąpieniem przedmiotowego naruszenia ochrony danych osobowych nie wystąpiły podobne incydenty związane z ochroną danych osobowych oraz o referencje innych podmiotów współpracujących z Podmiotem przetwarzającym. Wskazane referencje odnosiły się jedynie do głównej działalności Podmiotu przetwarzającego z zakresu (…); nie odnosiły się natomiast w żadnym stopniu do zapewnienia bezpieczeństwa przetwarzanym danym, a nawet w jakikolwiek sposób nie nawiązywały do szeroko pojętej ochrony danych osobowych. Ponadto, tylko 2 z 5 przedłożonych w toku postępowania referencji zostało opatrzonych datą poprzedzającą zawarcie umowy powierzenia przetwarzania danych osobowych.
152.
Powyższe działanie Administratora nie tylko nie może zostać uznane za wypełnienie dyspozycji art. 28 ust. 1 rozporządzenia 2016/679 w zakresie konieczności dokonania odpowiedniego wyboru podmiotu przetwarzającego, ale również jako działanie sprzeczne z obowiązującą u Administratora procedurą. Jak bowiem wynika z przyjętej przez Administratora „Polityki ochrony danych G. (…) Sp. z o.o.”, „w trakcie dokonywania wyboru podmiotu przetwarzającego należy zweryfikować zgodnie z "Procedurą i kryteriami wyboru podmiotu przetwarzającego dla G. (…)" czy podmiot ten zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi przepisów RODO i chroniło prawa osób, których dane dotyczą” (rozdział VI, § 5 ust. 2 ww. polityki). Brak przeprowadzenia weryfikacji U. (…) w oparciu o własną procedurę wyboru podmiotu przetwarzającego, opracowaną na potrzeby spełnienia obowiązku z art. 28 ust. 1 rozporządzenia 2016/679 oraz w kontekście obowiązku rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679), który przedmiotowa procedura mogłaby zapewnić, stanowi potwierdzenie naruszenia ww. przepisu rozporządzenia 2016/679 oraz jednocześnie stanowi o bezpodstawności twierdzeń G., co do okoliczności uzasadniających, w ocenie Administratora, wybór podmiotu przetwarzającego.
153.
Podkreślić należy, że Administrator dopiero 3 listopada 2020 r., a więc już po zawarciu umowy powierzenia przetwarzania danych osobowych, a nawet już po stwierdzeniu wystąpienia naruszenia ochrony danych osobowych (do którego doszło 22 lipca 2020 r.), dokonał „Oceny podmiotu przetwarzającego z punktu widzenia spełnienia warunków, o których mowa w art. 28 ust. 1 RODO”. Powyższy formularz oceny opracowany w wersji z 26 listopada 2018 r. odnosił się do okoliczności mogących służyć ustaleniu, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. Jednocześnie, udzielone odpowiedzi na oceniane kryteria (w przedstawionej ocenie z 3 listopada 2020 r.) w zasadniczym stopniu odnosiły się do wdrożonych - już po wystąpieniu naruszenia ochrony danych osobowych - środków technicznych i organizacyjnych oraz przeprowadzonych działań naprawczych w zakresie dostosowania operacji przetwarzania do przepisów rozporządzenia 2016/679. Ponadto, w przesłanym formularzu oceny U. (…) brakuje oceny końcowej oraz wskazania i podpisu osoby, która takiej oceny dokonała. W ocenie Prezesa UODO brak oceny końcowej oraz podpisu i wskazania osoby sporządzającej ocenę U. (…) oraz następnie rezygnację ze świadczenia usług związanych z danymi osobowymi, które uległy naruszeniu, oznacza, że Administrator miał przynajmniej wątpliwości co do możliwości zapewnienia odpowiednich gwarancji przez Podmiot przetwarzający i wdrożenia przez ten podmiot adekwatnych środków bezpieczeństwa.
154.
W tym miejscu należy jeszcze raz podkreślić, że przeprowadzenie weryfikacji w sposób ustalony przez samego Administratora w wewnętrznej polityce bezpieczeństwa przede wszystkim umożliwiłoby rozliczenie się z przedmiotowego obowiązku i miało wymierny wpływ na dokonanie prawidłowej oceny Podmiotu przetwarzającego, jednak Administrator takiej oceny nie dokonał.
155.
Podnieść trzeba, że długotrwała współpraca stron, nie poparta okresowym, systematycznym przeprowadzaniem audytów bądź inspekcji i oparcie się o referencje innych podmiotów współpracujących z podmiotem przetwarzającym, które jedynie odnosiły się do głównej działalności podmiotu przetwarzającego z zakresu komunikacji (…) i w żadnym stopniu nie odnosiły się do okoliczności zapewnienia bezpieczeństwa przetwarzanym danym, a nawet w jakikolwiek sposób nie nawiązywały do szeroko pojętej ochrony danych osobowych, nie gwarantuje, iż podmiot przetwarzający zrealizuje w sposób prawidłowy zadania wymagane przepisami prawa oraz wynikające z zawartej umowy powierzenia. Z obowiązku przeprowadzenia takiej oceny nie zwalnia również fakt wieloletniej współpracy i korzystania z usług danego podmiotu przetwarzającego przed dniem 25 maja 2018 r., tj. przed rozpoczęciem stosowania rozporządzenia 2016/679. Oczywistym jest, że taka współpraca przed ww. dniem opierała się na innych zasadach określonych w innym akcie prawnym, które po tej dacie powinny być odpowiednio dostosowane tak aby uwzględnić nowe wymogi wynikające z przepisów rozporządzenia 2016/679. Zatem dotychczasowa, pozytywnie oceniana współpraca stanowić może jedynie punkt wyjścia przy dokonywaniu weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. Wymóg określony art. 28 ust. 1 rozporządzenia 2016/679 bezwzględnie obowiązuje bowiem każdego administratora danych, który w ramach prowadzonej działalności korzysta z zasobów lub usług podmiotu przetwarzającego podczas przetwarzania danych osobowych. Samo podpisanie umowy powierzenia przetwarzania danych osobowych bez dokonania odpowiedniej oceny podmiotu przetwarzającego nie może być uznane jako realizacja obowiązku przeprowadzenia postępowania weryfikującego podmiot przetwarzający pod kątem spełnienia przez niego wymogów rozporządzenia 2016/679.
156.
Podkreślić należy, że wybór podmiotu przetwarzającego w oparciu o kryteria, wiedzy fachowej, wiarygodności i posiadanych zasobów, w kontekście możliwości wdrożenia środków technicznych i organizacyjnych, istotnie obniżyłoby prawdopodobieństwo wystąpienia naruszenia przepisów rozporządzenia 2016/679 w omawianym zakresie.
157.
Mając na uwadze wykazane wyżej naruszenia przez U. (…) przepisów art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) oraz art. 28 ust. 4 i 9 rozporządzenia 2016/679, nie sposób uznać, aby Podmiot przetwarzający zapewniał wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą.
158.
Zatem brak przeprowadzenia przez Administratora weryfikacji U. (…) przed zawarciem umowy powierzenia i oparcie decyzji, co do wyboru podmiotu przetwarzającego o okoliczności, które nie pozwalały prawidłowo ocenić, czy podmiot ten zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą, doprowadziło do tego, że G. skorzystał z usług podmiotu przetwarzającego, który takich gwarancji nie zapewniał, co stanowi o naruszeniu przez Administratora art. 28 ust. 1 rozporządzenia 2016/679.

Naruszenie przez Administratora przepisów dotyczących zabezpieczania danych osobowych

159.
Na wstępie wyjaśnić należy, że powierzenie przetwarzania danych osobowych podmiotowi przetwarzającemu nie zwalnia administratora z obowiązku zapewnienia bezpieczeństwa zgodnie z wymogami wynikającymi z art. 24, art. 25 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679. Okoliczność, że obowiązek z art. 32 rozporządzenia 2016/679 jest również skierowany do podmiotu przetwarzającego nie oznacza, że administrator zwolniony jest z zapewnienia odpowiedniego bezpieczeństwa przetwarzania danych osobowych do ryzyka. Administrator powierzając dane osobowe dla zapewnienia ich bezpieczeństwa i możliwości rozliczalności w dalszym ciągu powinien przeprowadzić analizę ryzyka. Natomiast w okolicznościach, w których dane osobowe nie są przetwarzane na zasobach, za które odpowiada, Administrator ustalając ryzyka powinien również uwzględnić ryzyko korzystania z usług tego podmiotu. Wskazać bowiem należy, że zgodnie z art. 28 ust. 3 rozporządzenia 2016/679 umowa powierzenia lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych m.in. w art. 32 rozporządzenia 2016/679. Ponadto, zgodnie z art. 28 ust. 3 lit. h) rozporządzenia 2016/679, podmiot przetwarzający udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 rozporządzenia 2016/679, a więc również te, które dotyczą realizacji przez podmiot przetwarzający wymogów określonych w art. 32 rozporządzenia 2016/679, oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzenie audytów, w tym inspekcji, i przyczynia się do nich. Tym samym administrator (z uwagi na swoją odpowiedzialność w tym zakresie) jest wyposażony w instrument prawny nie tylko obligacyjny, ale również o charakterze publiczno-prawnym, umożliwiający mu zapewnienie w relacji z podmiotem przetwarzającym, m.in. aby wdrożone środki mające na celu zapewnienie bezpieczeństwa powierzonym danym osobowym były odpowiednie do ryzyka.
160.
Ponadto, jak wskazuje EROD w Wytycznych 07/2020 „(41) Nawet jeśli decyzje dotyczące sposobów przetwarzania innych niż istotne można pozostawić podmiotowi przetwarzającemu, administrator nadal określa pewne elementy w umowie dotyczącej przetwarzania danych, takie jak te dotyczące wymogu bezpieczeństwa, np. polecenie podjęcia wszelkich środków wymaganych na mocy art. 32 RODO. Umowa musi również stanowić, że podmiot przetwarzający pomaga administratorowi w zapewnieniu zgodności, na przykład, z art. 32. W każdym przypadku administrator pozostaje odpowiedzialny za wdrożenie odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z przepisami RODO i aby móc to wykazać (art. 24). Administrator musi przy tym wziąć pod uwagę charakter, zakres, kontekst i cele przetwarzania, a także zagrożenia dla praw i wolności osób fizycznych. Z tego powodu administratora należy w pełni poinformować o stosowanych środkach, tak aby mógł podjąć świadomą decyzję w tym zakresie. Aby administrator mógł wykazać zgodność przetwarzania z prawem, zaleca się udokumentowanie co najmniej niezbędnych środków technicznych i organizacyjnych w umowie lub innym prawnie wiążącym dokumencie zawartym między administratorem a podmiotem przetwarzającym”.
161.
Tym samym obowiązkiem administratora, jak statuują ww. przepisy art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, przy dokonywaniu oceny proporcjonalności zabezpieczeń jest branie pod uwagę czynników i okoliczności dotyczących przetwarzania (np. rodzaj, sposób przetwarzania) i ryzyka, jakie się z nim wiąże. Jakiekolwiek zmiany w procesie przetwarzania danych osobowych, w tym ich powierzenie, są okolicznością szczególnie obarczającą administratora odpowiedzialnością za zmaterializowanie się zagrożeń związanych z niedopełnieniem powyższych obowiązków. Zapewnienie odpowiedniego bezpieczeństwa danym osobowym, na każdym etapie przetwarzania, powinno być przedmiotem szczególnej troski administratora.

Naruszenie przez Administratora zasady „integralności i poufności” wyrażonej w art. 5 ust. 1 lit. f) oraz zasady „rozliczalności” wyrażonej w art. 5 ust. 2 rozporządzenia 2016/679, jako konsekwencja naruszenie przepisów art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2, rozporządzenia 2016/679

162.
Zgodnie z brzmieniem art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Oznacza to, że administrator przy dokonywaniu oceny proporcjonalności zabezpieczeń powinien wziąć pod uwagę czynniki i okoliczności dotyczące przetwarzania (np. rodzaj, sposób przetwarzania danych) i ryzyko, jakie się z nim wiąże. Stosownie zaś do art. 25 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator - zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania - wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi rozporządzenia 2016/679 oraz chronić prawa osób, których dane dotyczą. Jednocześnie wdrożenie odpowiednich zabezpieczeń stanowi obowiązek będący przejawem realizacji ogólnej zasady przetwarzania danych - zasady integralności i poufności, określonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, zgodnie z którą dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
163.
Wdrożenie środków technicznych i organizacyjnych powinno polegać na implementowaniu przez administratora odpowiednich przepisów, zasad przetwarzania danych osobowych w danej organizacji, ale także na dokonywaniu regularnych przeglądów tych środków, a w razie potrzeby na uaktualnianiu uprzednio przyjętych zabezpieczeń. Ponadto, zgodnie z zasadą rozliczalności administrator jest odpowiedzialny za przestrzeganie zasad ochrony danych i zgodnie z treścią art. 5 ust. 2 rozporządzenia 2016/679 musi być w stanie wykazać ich przestrzeganie. Zasady integralności i poufności oraz rozliczalności wyrażone w art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679, oprócz powołanych wyżej art. 24 ust. 1 i art. 25 ust. 1 rozporządzenia 2016/679, konkretyzują także i inne przepisy tego aktu prawnego, tj. art. 32 ust. 1 i 2 rozporządzenia 2016/6/79.
164.
Obowiązek zapewnienia bezpieczeństwa przetwarzanych danych, określony m.in. w art. 32 ust. 1 rozporządzenia 2016/679, jest jedną z podstaw prawnej ochrony danych osobowych wprowadzoną rozporządzeniem 2016/679. Obowiązujące przepisy prawa nie określają katalogu odpowiednich środków bezpieczeństwa, a na administratorze spoczywa obowiązek dokonania oceny w tym zakresie. Przepis ten wprowadza podejście oparte na ryzyku, wskazując jednocześnie kryteria, w oparciu o które administrator powinien dokonać wyboru odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Obok ryzyka naruszenia praw lub wolności osób fizycznych należy zatem uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania.
165.
Jak wyjaśnił WSA w Warszawie w wyroku z 5 października 2023 r., sygn. akt II SA/Wa 502/23, „Administrator danych powinien zatem przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia” oraz „w pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie”. Należy również przytoczyć stanowisko WSA w Warszawie, który w wyroku z 21 czerwca 2023 r., sygn. akt II SA/Wa 150/23 wskazuje, że „(…) masowe przetwarzanie musi się wiązać z wyższym poziomem odpowiedzialności administratora i wyższym poziomem należytej staranności, gdyż nieodpowiednie zabezpieczenie danych może skutkować negatywnymi konsekwencjami dla wielu osób. Przetwarzanie tych danych odbywało się przy użyciu środka informatycznego, co w konsekwencji powodowało podwyższoną odpowiedzialność za wdrożenie środków organizacyjnych i technicznych dla zabezpieczenia systemu, czego w tej sprawie zabrakło”.
166.
Biorąc pod uwagę, że dane osobowe przetwarzane w ramach modułu grafików dotyczyły przynajmniej (…) osób, a zakres tych danych stanowił o ich wysokiej wadze, w celu prawidłowego wywiązania się z obowiązków nałożonych ww. przepisami rozporządzenia 2016/679 Administrator był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych poprzez wdrożenie odpowiednich środków technicznych oraz organizacyjnych oraz regularne mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania w postaci testów bezpieczeństwa związanych z przetwarzaniem danych osobowych w aplikacji grafików pracowniczych oraz audytów i inspekcji. Charakter i rodzaj tych działań powinien wynikać z przeprowadzonej analizy ryzyka, w której powinno się zidentyfikować podatności odnoszące się do wykorzystywanych zasobów oraz wynikające z nich zagrożenia, a następnie określić adekwatne środki bezpieczeństwa.
167.
Administrator opracował „Politykę ochrony danych G.”, a wraz z nią „Procedurę realizacji procesów szacowania ryzyka zgodnie z wymaganiami RODO w G. (…) Sp. z o.o.” Jak wynika z rozdziału VIII ww. polityki zatytułowanego „Dobór środków technicznych i organizacyjnych dotyczących przetwarzania i zabezpieczania danych osobowych”, dobór środków technicznych i organizacyjnych dotyczących przetwarzania i zabezpieczenia danych osobowych w G. realizowany jest w oparciu o szacowanie ryzyka naruszenia praw i wolności osób, których dane dotyczą (§ 1 ust. 1 polityki). Zasady dotyczące przeprowadzenia szacowania ryzyka naruszenia praw i wolności osoby fizycznej określone są w „Procedurze realizacji procesów szacowania ryzyka zgodnie z wymaganiami RODO w G. (…) Sp. z o.o.” (§ 1 ust. 2 polityki). Przy doborze zabezpieczeń należy ocenić ryzyko zarówno w kontekście skutków dla osoby, której dane dotyczą, w tym np. dyskryminacji, pozbawienie przysługujących praw, szkody majątkowe i niemajątkowe, jak również ryzyko w kontekście skutków dla G. w przypadku niepodjęcia działań związanych z zapewnieniem przetwarzania danych zgodnie z rozporządzeniem 2016/679 (§ 1 ust. 3 polityki). Dobór zabezpieczeń dla systemów informatycznych wykorzystywanych do przetwarzania danych następuje na podstawie procedur szacowania ryzyka przyjętych w G. (…) (§ 1 ust. 4 Polityki).
168.
Jak wynika z ustaleń faktycznych, Administrator nie przeprowadził analizy ryzyka dla zapewnienia bezpieczeństwa przetwarzania danych osobowych w module grafików, co oznacza, że nie zastosował się do własnych powyższych procedur, jak również do wymogów przepisów art. 32 ust. 1 i 2 rozporządzenia 2016/679.
169.
Pomimo powyższego, Administrator udzielając odpowiedzi na pytanie Prezesa UODO, „czy i jakie Spółka przyjęła środki zabezpieczenia technicznego i organizacyjnego w odniesieniu do danych osobowych objętych przedmiotowym naruszeniem ochrony danych osobowych, zgodnie z art. 24 rozporządzenia 2016/679 (polityki ochrony danych), art. 25 rozporządzenia 2016/679 (uwzględnienie ochrony danych w fazie projektowania oraz domyślną ochronę danych) oraz art. 32 rozporządzenia 2016/679”, wskazał, że wprowadził „odpowiednie polityki i procedury dotyczące ochrony danych osobowych, w tym uwzględniające obowiązki wynikające z art. 24, 25 oraz 32 RODO, a także wyznaczyła Inspektora Ochrony Danych, zgodnie z wymogami wynikającymi z art. 37 RODO zapewniając mu odpowiedni status i uprawnienia”. Na dowód powyższego Administrator przedstawił „Politykę ochrony danych G.”, „Procedurę realizacji procesów szacowania ryzyka zgodnie z wymaganiami RODO G. (…)”, „Instrukcję bezpieczeństwa IT G. (…) Sp. z o.o.” oraz „Regulamin Organizacyjny dotyczący inspektora ochrony danych G. (…) Sp. z o.o.”. Ponadto, G. wskazał, że podstawowym środkiem zabezpieczenia o charakterze organizacyjnym przyjętym przez Administratora była umowa powierzenia przetwarzania danych osobowych zawarta z U. (…).
170.
Mając na uwadze powyższe wskazać należy, że uznane przez Administratora za środki bezpieczeństwa wyżej wskazane procedury oraz umowa nie mogą stanowić o wywiązaniu się z obowiązku określonego w art. 32 ust. 1 i 2 rozporządzenia 2016/679. Nie tylko dlatego, że nie zostały wdrożone w oparciu o analizę ryzyka przeprowadzoną z uwzględnieniem elementów zawartych ww. przepisach, ale również dlatego, że w celu zabezpieczenia danych w okolicznościach przedmiotowej sprawy nie były stosowane. Jak już bowiem wykazano, „Procedura realizacji procesów szacowania ryzyka zgodnie z wymaganiami RODO G. (…)” w stosunku do danych osobowych objętych naruszeniem ochrony danych osobowych, z uwagi na nieprzeprowadzenie w tym zakresie analizy ryzyka, nie została zastosowana, co jednocześnie w konsekwencji stanowi o zupełnej dowolności zastosowania jakiegokolwiek środka bezpieczeństwa. Wyjaśnić należy, że wobec braku przeprowadzenia analizy ryzyka i poddania regularnemu testowaniu, mierzeniu i ocenianiu skuteczności zastosowanych środków technicznych i organizacyjnych (co zostało szczegółowo wyjaśnione w dalszej części niniejszej decyzji administracyjnej) nie zostało ustalone ryzyko, do którego zarówno Administrator, jak i Prezes UODO, mógłby odnieść „odpowiedniość”. Jak wynika z art. 32 ust. 1 rozporządzenia 2016/679, Administrator wdraża nie środki dowolne, a środki odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze wystąpienia. W sytuacji, w której administrator nie określi ryzyka, nie można uznać, aby środki były odpowiednie (adekwatne) do nieustalonego ryzyka. Słusznie zauważa Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 26 sierpnia 2020 r., sygn. akt II SA/Wa 2826/19, że „Przepis ten nie wymaga od administratora danych wdrożenia jakichkolwiek środków technicznych i organizacyjnych, które mają stanowić środki ochrony danych osobowych, ale wymaga wdrożenia środków adekwatnych. Taką adekwatność oceniać należy pod kątem sposobu i celu, w jakim dane osobowe są przetwarzane, ale też należy brać pod uwagę ryzyko związane z przetwarzaniem tych danych osobowych, które to ryzyko charakteryzować się może różną wysokością” i „Przyjęte środki mają mieć charakter skuteczny, w konkretnych przypadkach niektóre środki będą musiały być środkami o charakterze niwelującym niskie ryzyko, inne - muszą niwelować ryzyko wysokie, ważne jednak jest, aby wszystkie środki (a także każdy z osobna) były adekwatne i proporcjonalne do stopnia ryzyka.”
171.
Również istotne w okolicznościach przedmiotowej sprawy postanowienia „Polityki ochrony danych G.” nie zostały zastosowane dla danych i operacji przetwarzania danych osobowych objętych naruszeniem ochrony danych osobowych. Administrator nie zastosował postanowień dotyczących m.in. weryfikacji podmiotu przetwarzającego przed zawarciem umowy powierzenia zgodnie z „Procedurą i kryteriami wyboru podmiotu przetwarzającego dla G. (…)” (§ 5 ust. 1 Polityki), przy udziale inspektora ochrony danych (§ 5 ust. 2 Polityki) i przy konsultacji wyniku weryfikacji z inspektorem ochrony danych (§ 5 ust. 3 Polityki), czy kontroli podmiotów przetwarzających, którym zostały powierzone czynności przetwarzania danych osobowych, dokonywanych przez inspektora ochrony danych lub inne wyznaczone osoby zgodnie z postanowieniami zawartymi w umowach powierzenia przetwarzania danych osobowych (§ 5 ust. 6 Polityki).
172.
Ponadto, Administrator nie zastosował dla zabezpieczenia danych osobowych objętych naruszeniem ochrony danych osobowych postanowień zawartych w rozdziale Polityki zatytułowanym „Dobór środków technicznych i organizacyjnych dotyczących przetwarzania i zabezpieczania danych osobowych”, odnoszących się do szacowania ryzyka i już omówionych w niniejszej decyzji. Nie był w stanie także przedstawić dowodów umożliwiających rozliczenie się z przeprowadzonych czynności zgodnie z X Rozdziałem Polityki zatytułowanym „R. zgodności realizacji obowiązków RODO”, w szczególności w postaci wyników monitorowania ochrony danych osobowych, które inspektor ochrony danych powinien przedstawić zarządowi G. w „Sprawozdaniu z działalności Inspektora za dany rok” opracowanym w pierwszym kwartale roku następnego (§ 1 ust. 3 Polityki).
173.
Odnosząc się do uznania przez Administratora umowy powierzenia jako organizacyjnego środka bezpieczeństwa, w tym adekwatności tak uznanego środka do zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku, wskazać należy, że jest to możliwe tylko w przypadku uwzględnienia w przeprowadzonej analizie ryzyka zagrożeń związanych z korzystaniem przy przetwarzaniu danych osobowych z usług podmiotu przetwarzającego, w tym zagrożeń dotyczących braku weryfikacji podmiotu przetwarzającego zgodnie z art. 28 ust. 1 rozporządzenia 2016/679 oraz niewywiązania się przez podmiot przetwarzający z obowiązków określonych w art. 32 rozporządzenia 2016/679. A jak wyżej wykazano, Administrator takiej analizy nie przeprowadził.
174.
W konsekwencji, brak weryfikacji podmiotu, któremu ma zostać powierzone przetwarzanie danych osobowych, oraz brak przeprowadzenia odpowiedniej analizy ryzyka, wyklucza możliwość uznania takiej umowy za odpowiedni środek o charakterze organizacyjnym. Przyjęcie przeciwnego stanowiska w okolicznościach przedmiotowej sprawy (umowa powierzenia jako podstawowy środek bezpieczeństwa) jest niedopuszczalne, gdyż oznaczałoby to wówczas, że podpisana z takim niezweryfikowanym podmiotem umowa powierzenia jest odpowiednim środkiem organizacyjnym, wdrożonym w oparciu o wymogi art. 32 ust. 1 i 2 rozporządzenia 2016/679.
175.
Ponadto wskazać należy, że aby umowa powierzenia przetwarzania danych osobowych mogła zostać uznana za odpowiedni (a także skuteczny) środek bezpieczeństwa o charakterze organizacyjnym niezbędne jest jego monitorowanie przez administratora, przy wykorzystaniu przysługujących mu uprawnień do przeprowadzania audytów, w tym inspekcji, stosownie do art. 28 ust. 3 lit. h) rozporządzenia 2016/679. Tymczasem Administrator nie realizował uprawnień audytu przewidzianego w pkt 8 umowy powierzenia. Powyższe dodatkowo przesądza, że w okolicznościach przedmiotowej sprawy nie ma podstaw do uznania, że umowa powierzenia uznana przez Administratora jako podstawowy środek bezpieczeństwa, stanowi o wywiązaniu się przez G. z obowiązku wynikającego z art. 32 ust. 1 i 2 rozporządzenia 2016/679.
176.
Co więcej, należy wprost wskazać, że dane osobowe objęte naruszeniem ochrony danych osobowych nie były w jakikolwiek sposób zabezpieczone stosownie do wymogów wynikających z przywołanych wyżej przepisów rozporządzenia 2016/679, zarówno bowiem Administrator, jak i Podmiot przetwarzający (co wykazano wyżej) nie zastosowali dla zapewnienia bezpieczeństwa danym osobowym przetwarzanym w module grafików odpowiednich środków bezpieczeństwa, dobranych w efekcie przeprowadzonej analizy ryzyka.
177.
Mając na uwadze powyższe, a w szczególności to, że Administrator nie zastosował się do własnych procedur i nie przeprowadził analizy ryzyka dla zapewnienia bezpieczeństwa przetwarzania danych osobowych w module grafików oraz w oparciu o zabrany w sprawie materiał dowodowy i powyższe stanowiska zaprezentowane przez Administratora, Prezes UODO nie mógł przyjąć, że Administrator dla zapewnienia stopnia bezpieczeństwa danych osobowych przetwarzanych w module grafików odpowiadającego ryzyku, uwzględnił stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, i w konsekwencji wdrożył odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, co stanowi o naruszeniu art. 32 ust. 1 rozporządzenia 2016//679.
178.
Ponadto, wobec braku przeprowadzenia analizy ryzyka, w tym braku ustalenia „odpowiedniości” środków bezpieczeństwa, nie można uznać, aby Administrator dokonał oceny, czy stopień bezpieczeństwa jest odpowiedni, przy uwzględnieniu w szczególności ryzyka wiążącego się z przetwarzaniem, wynikającego m.in. z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowanych lub w inny sposób przetwarzanych, co stanowi o naruszeniu art. 32 ust. 2 rozporządzenia 2016/679.
179.
Wskazać ponadto należy, że obowiązki w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679 oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak aby spełniać wymogi rozporządzenia 2016/679, zostały nałożone na administratora danych (i tylko na administratora danych) przepisami art. 24 ust. 1 i art. 25 ust. 1 rozporządzenia 2016/679. Wobec braku zastosowania przez G. adekwatnych środków bezpieczeństwa, o czym wyżej mowa, jak również wobec braku poddawania przeglądom zastosowanych środków, o czym mowa niżej, oraz braku poddania ocenie w czasie samego przetwarzania, zakresu danych osobowych przetwarzanych w module grafików w celu ustalenia ryzyka dla praw lub wolności osób fizycznych i nadania przetwarzaniu niezbędnych zabezpieczeń, uznać należy, iż Administrator naruszył także i te przepisy rozporządzenia 2016/679. Konsekwencją zaś ich naruszenia jest konieczność stwierdzenia, że naruszona została również zasada poufności wyrażona w art. 5 ust. 1 lit. f) rozporządzenia 2016/679. Podkreślić należy, że prawidłowe i skuteczne zabezpieczenie danych podniesione zostało w rozporządzeniu 2016/679 do rangi ogólnej zasady, co świadczy o tym, że kwestia zapewnienia poufności danych powinna być traktowana w sposób szczególny i priorytetowy przez administratora danych.
180.
Tymczasem, jak już wykazano w uzasadnieniu niniejszej decyzji, zarówno Administrator, jak i Podmiot przetwarzający, nie wdrożyli odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych, co doprowadziło do naruszenia przez Administratora ich poufności, czyli naruszenia zasady, o której mowa w art. 5 ust. 1 lit. f) rozporządzenia 2016/679. Konsekwencją zaś naruszenia tej zasady jest naruszenie zasady rozliczalności, określonej w art. 5 ust. 2 rozporządzenia 2016/679.
181.
Wskazać należy, że obowiązek rozliczalności w sposób szczególny kształtuje zasady ustalenia prawdy obiektywnej. Art. 5 ust. 2 rozporządzenia 2016/679 jest bowiem przepisem, na podstawie którego ciężar dowodu co do przestrzegania zasad dotyczących przetwarzania danych spoczywa na stronie postępowania będącej administratorem. Jak wyjaśnił NSA w wyroku z 8 stycznia 2025 r. (sygn. akt III OSK 4868/21) „Stwierdzenie, że administrator powinien być w stanie wykazać przestrzeganie zasad, odczytywać należy jako nałożenie na administratora ciężaru dowodowego w zakresie przestrzegania zasad przetwarzania danych. W razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym, administrator powinien być w stanie przedstawić dowody na to, że przestrzega zasad”. Ponadto, WSA w Warszawie w wyroku z 5 października 2023 r., sygn. akt II SA/Wa 502/23, wskazał, że „organ nadzorczy nie jest zobowiązany do wskazywania Administratorowi rozwiązań technicznych i organizacyjnych, które powinien on wdrożyć, aby przetwarzanie danych osobowych odbywało się zgodnie z prawem. To zadaniem Administratora jest wprowadzenie tych środków, a następnie - jeżeli pojawi się taka konieczność - wykazanie, że przestrzega on zasad przetwarzania danych osobowych określonych w rozporządzeniu 2016/679, zgodnie z zasadą rozliczalności (art. 5 ust. 2 ww. rozporządzenia)”.

Naruszenie przez Administratora art. 32 ust. 1 lit. d) rozporządzenia 2016/679

182.
Jak już wyżej wskazano, Administrator na podstawie art. 28 ust. 3 lit. h) rozporządzenia 2016/679, poprzez przeprowadzenie audytów i inspekcji w Podmiocie przetwarzającym, ma możliwość realizacji obowiązku określonego w art. 32 ust. 1 lit. d) rozporządzenia 2016/679, tj. regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania powierzonych U. (…) danych osobowych. Jednak jak wynika z ustaleń stanu faktycznego (pkt 29-30; 33-36), Administrator nie podejmował ww. działań w odniesieniu do systemów informatycznych, których naruszenie ochrony danych osobowych dotyczy, w tym wobec narzędzia będącego źródłem tego naruszenia. Administrator nie zlecał także przeprowadzenia takich testów przez Podmiot przetwarzający, jak również nie weryfikował, czy takie testowanie, mierzenie i ocenianie przeprowadzał Podmiot przetwarzający. Ponadto, Administrator nie weryfikował, jakie środki zabezpieczenia technicznego i organizacyjnego przyjął Podmiot przetwarzający. Administrator nie korzystał również ze swoich uprawnień w zakresie przeglądu stosowanych środków technicznych i organizacyjnych przewidzianych w umowie powierzenia (punkt 5 podpunkt 5.1. litera b) umowy powierzenia przetwarzania danych osobowych zawartej z U. (…)). Nie korzystał również ze swoich uprawnień w zakresie prawa do przeprowadzania audytów / inspekcji w Podmiocie przetwarzającym (punkt 8 umowy powierzenia przetwarzania danych osobowych).
183.
Nie można także uznać, aby Administrator realizował obowiązek z art. 32 ust. 1 lit. d) rozporządzenia 2016/6/79 w stosunku do środków bezpieczeństwa w postaci własnych procedur, w tym „Polityki ochrony danych G.”, odnoszących się do operacji przetwarzania i samej relacji powierzenia. Gdyby bowiem takie działania Administrator podjął, to ustaliłby, że „Procedura realizacji procesów szacowania ryzyka zgodnie z wymaganiami RODO w G. (…) Sp. z o.o.” nie została zastosowana do operacji przetwarzania objętych naruszeniem ochrony danych osobowych, skoro Administrator wymaganej w tym zakresie analizy ryzyka nie przeprowadził. Stwierdziłby również, że „Procedura i kryteria wyboru podmiotu przetwarzającego dla G. (…)” nie została zastosowana, a w konsekwencji, że umowę powierzenia z U. (…) zawarto bez weryfikacji podmiotu przetwarzającego i bez konsultacji z inspektorem ochrony danych.
184.
Co więcej, Administrator nie podejmował jakichkolwiek działań przed stwierdzeniem naruszenia ochrony danych osobowych, w celu jego wykrycia, w tym czynności opisanych w pkt 23 i 24 ustaleń stanu faktycznego.
185.
Powyższe stanowi o naruszeniu przez G. art. 32 ust. 1 lit. d) rozporządzenia 2016/679. Jak wskazał WSA w Warszawie w wyroku z 6 czerwca 2023 r., sygn. akt II SA/Wa 1939/22, „(…) powinność regularnego testowania środków technicznych i organizacyjnych, zabezpieczenia przetwarzania danych osobowych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w rozumieniu art. 32 ust. 1 zd. wstępne RODO, wynika wprost z brzmienia lit. d wskazanego art. 32 ust. 1, zaś powinność dokumentowania czynności w danym zakresie statuuje zasada rozliczalności (art. 5 ust. 2 RODO)”. Podobnie wypowiedział się WSA w Warszawie w wyroku z 21 czerwca 2023 r., sygn. akt II SA/Wa 150/23.
186.
Jak już zostało wskazane, w pkt 120 niniejszej decyzji administracyjnej dotyczącej Podmiotu przetwarzającego, realizacja obowiązku przewidzianego w art. 32 ust. 1 lit. d) rozporządzenia 2016/679 należy zarówno do podmiotu przetwarzającego, jak i do administratora. Zatem również i Administrator zobowiązany jest do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych na każdym etapie przetwarzania. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania. Natomiast w przedmiotowym stanie faktycznym Administrator nie wywiązywał się z tego obowiązku, wprost o tym informując, co zostało opisane w pkt 29, 33-35 ustaleń stanu faktycznego.
187.
Jednocześnie, pomimo że Administrator wprost wielokrotnie wyjaśniał, że nie realizował obowiązku regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych oraz nie realizował swoich uprawnień w zakresie audytu (inspekcji) w Podmiocie przetwarzającym oraz nie korzystał ze swoich uprawnień w zakresie przeglądu stosowanych środków technicznych i organizacyjnych przez Podmiot przetwarzający, to jednak pismem z 8 lutego 2021 r. poinformował, że „w ramach monitorowania zabezpieczeń stosowanych w odniesieniu do danych osobowych przetwarzanych przy wykorzystaniu narzędzia do wyświetlania grafików pracy zwracała się do U. (…) w celu weryfikacji stosowanych przez podmiot przetwarzający zabezpieczeń”, na dowód czego przedstawił wiadomości e-mail z 18 lipca 2019 r. oraz 8 stycznia 2020 r. stanowiące korespondencję pomiędzy Administratorem a Podmiotem przetwarzającym.
188.
Mając na uwadze w szczególności sprzeczność powyższej udzielonej przez Administratora odpowiedzi oraz pozostały materiał dowodowy zgromadzony w sprawie, który nie korespondował z wyjaśnieniami Administratora z 8 lutego 2021 r., Prezes UODO przeprowadził w powyższym zakresie szczegółowe postępowanie (opisane w pkt 33-35 i w szczególności w pkt 36 stanu faktycznego) i na podstawie ocenionych okoliczności faktycznych nie mógł uznać ww. oświadczenia Administratora z 8 lutego 2021 r. oraz wiadomości e-mail stanowiących korespondencję pomiędzy G. a Podmiotem przetwarzającym jako okoliczności stanowiącej o wywiązaniu się przez Administratora z obowiązków zapewnienia bezpieczeństwa powierzonym danym wynikających z rozporządzenia 2016/679, w szczególności art. 32 ust. 1 lit. d). Za powyższym przemawiały następujące okoliczności i ich ocena.
189.
Przede wszystkim należy podkreślić, że przesłana jako dowód korespondencja była prowadzona od dnia 18 lipca 2019 r., a wiec pół roku po naruszeniu ochrony danych osobowych, do którego doszło 14 stycznia 2019 r., tym samym z oczywistych względów nie mogła mieć zastosowania do zapewnienia bezpieczeństwa przetwarzanym powierzonym danym osobowym, których naruszenie ochrony danych osobowych dotyczy, przynajmniej w okresie od 25 maja 2018 r. do 18 lipca 2019 r.
190.
Ponadto, G. z faktu wzajemnej ww. korespondencji prowadzonej w latach 2019-2020 wywodzi cykliczność przeglądu stosowanych środków technicznych i organizacyjnych (pismo z 19 września 2022 r.) i w tym zakresie Prezes UODO nie mógł podzielić tego stanowiska. Skoro korespondencja była prowadzona na przełomie 2019 i 2020 r. to nie oznacza to, że była prowadzona cyklicznie, zwłaszcza, że Administrator nie udzielił odpowiedzi na pytanie, skąd miałaby wynikać taka praktyka. Ponadto, na przestrzeni tych lat korespondencja dotyczyła jednego i tego samego wątku, nie była prowadzona bezpośrednio dla zapewnienia bezpieczeństwa przetwarzanym danym, a na potrzeby udzielenia innemu podmiotowi odpowiedzi na pytania. Udzielone odpowiedzi nie były poddane stosowanej analizie, bowiem Administrator pomimo wezwania do przedstawienia dowodów na tą okoliczność, tego nie uczynił. Również jakiekolwiek wnioski nie znalazły swojego odzwierciedlenia w obowiązujących u Administratora procedurach i rejestrach, co dodatkowo wobec obowiązku realizacji zasady rozliczalności w istocie przesądza o uprawnionej odmowie uznania wiarygodności przedstawionym przez Administratora wyjaśnieniom. Nie tylko jako niewynikającym ze zgromadzonego materiału dowodowego, sprzecznym z pozostałymi wyjaśnieniami, ale również jako niezgodnym z zasadami doświadczenia życiowego.
191.
Mając na uwadze powyższe, Prezes UODO nie miał podstaw do uznania, że przesłane wiadomości e-mail stanowią o cyklicznym powtarzalnym procesie mającym na celu zapewnienie bezpieczeństwa przetwarzania danych, wpisującym się chociażby w obowiązek regularnego testowania, mierzenia i oceniania skuteczności środków bezpieczeństwa mających na celu zapewnienie ochrony przetwarzanym danym, o którym mowa w art. 32 ust. 1 lit. d) rozporządzenia 2016/679. Również nie można uznać, aby oświadczone czynności zostały potwierdzone i dokonywane były w sposób regularny, co oznacza ich świadome zaplanowanie i zorganizowanie, a także dokumentowanie, w związku z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679, jak również stanowiły testowanie, mierzenie i ocenianie środków bezpieczeństwa, bowiem żadne oceny czy wnioski nie zostały przez Administratora w tym zakresie przedstawione ani ich efektem nie było podjęcie przez Administratora działań mających na celu np. przeprowadzenie analizy ryzyka dla operacji przetwarzania danych osobowych w module grafików czy audytu (inspekcji) w Podmiocie przetwarzającym.
192.
Administrator dopiero po naruszeniu ochrony danych osobowych, na podstawie „Audytu Aplikacji dla grafików dla G.”, stwierdził podatności, które mogłyby w przyszłości stwarzać potencjalne ryzyko wystąpienia kolejnych naruszeń ochrony danych osobowych. Powyższe działanie było z oczywistych względów podjęte zbyt późno, aby mogło stanowić o braku naruszenia przepisów rozporządzenia 2016/679 w opisanym zakresie.
193.
Podsumowując, stwierdzić należy, że Administrator nie podejmował działań, których skutkiem byłaby w szczególności możliwość stwierdzenia, że na serwerze w miejscu publicznie dostępnym znajduje się niezabezpieczona baza danych, ustalenia błędnej konfiguracji serwera, która umożliwiała przeglądanie plików globalnie. Ponadto Administrator poprzez brak realizacji uprawnień audytu (inspekcji) nie ustalił, że Podmiot przetwarzający nie przeprowadził analizy ryzyka dla operacji przetwarzania danych objętych naruszeniem ochrony danych osobowych, zgodnie z art. 32 ust. 1 i 2 rozporządzenia 2016/679, nie realizuje obowiązku z art. 32 ust. 1 lit. d) rozporządzenia 20176/679, nie zawarł umowy dalszego powierzenia przetwarzania danych z Panem J. S., czy wreszcie nie ustalił - co jak wynika z wyjaśnień samego Podmiotu przetwarzającego złożonych w przedmiotowej sprawie - że Podmiot przetwarzający w ogóle nie poczuwał się do zapewnienia bezpieczeństwa powierzonych danych osobowych przetwarzanych w module grafików, nie uznając go za swoje aktywo i wobec braku dodatkowych płatności w tym względzie.

Naruszenie przez Administratora art. 25 ust. 1 rozporządzenia 2016/679 oraz zasady „minimalizacji danych”, o której mowa w art. 5 ust. 1 lit. c) rozporządzenia 2016/679 i art. 5 ust. 2 rozporządzenia 2016/679

Naruszenie przez Administratora art. 25 ust. 1 rozporządzenia 2016/679

194.
Zgodnie z art. 25 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator - zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania - wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi rozporządzenia 2016/679 oraz chronić prawa osób, których dane dotyczą.
195.
Obowiązek uwzględnienia ochrony danych osobowych w fazie projektowania, który został wyrażony w powyższym przepisie, ma za zadanie zagwarantować realizację celów administratora w sposób zgodny z zasadami rozporządzenia 2016/679. Przy czym, art. 25 ust. 1 rozporządzenia 2016/679 wskazuje na przykładowe środki, które może zastosować administrator, takie jak pseudonimizacja czy minimalizacja danych, aby zapewnić spełnienie wymogów rozporządzenia 2016/679 i nadać przetwarzaniu niezbędne zabezpieczenia oraz ochronę praw osób, których dane dotyczą. Jednocześnie należy podkreślić, że wskazane w art. 25 ust. 1 rozporządzenia 2016/679 działania powinny być procesem ciągłym, bowiem nakaz ich podejmowania odnosi się zarówno do czynności „przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania”.
196.
Jak podnosi się w doktrynie (K. Wygoda, w: Ogólne rozporządzenie o ochronie danych Komentarz, red r.pr. dr Marlena Sakowska-Baryła, C.H BECK, Warszawa 2018), realizacja powyższej zasady „wymaga od administratora działania wieloetapowego”. „Elementy wstępne, które musi wziąć pod uwagę każdy administrator, to stan wiedzy technicznej dotyczącej procesów przetwarzania danych, koszt wdrożenia różnych istniejących rozwiązań technicznych i organizacyjnych niezbędnych do realizacji zamierzonego przetwarzania oraz charakter, zakres kontekst i cele planowanego przetwarzania. Kolejnym krokiem jest poznanie czynników zewnętrznych i wewnętrznych rodzących "ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze" i ocena ich wpływu na planowane procesy przetwarzania danych. Na tej bazie administrator przechodzi do trzeciego etapu polegającego na doborze odpowiednich środków organizacyjnych i technicznych gwarantujących realizację wymogów RODO oraz ochronę praw osób, których dane dotyczą.”
197.
W celu wywiązania się z obowiązku określonego normami art. 25 ust. 1 rozporządzenia 2016/679 Administrator powinien poddać ocenie m.in. zakres danych osobowych przetwarzanych w module grafików, aby stwierdzić, jakie ryzyka dla praw lub wolności osób fizycznych wiążą się z przedmiotowym przetwarzaniem i ustalić, które kategorie danych osobowych generują najwyższe ryzyko, w przypadku ewentualnego naruszenia atrybutu ich poufności. Następnie, mając na uwadze sposoby postępowania z ryzykiem, powinien określić i wdrożyć środki techniczne lub organizacyjne oddziałowujące na czynniki prawdopodobieństwa lub wagę zagrożenia, w celu zaradzenia ryzyku.
198.
Jako przykłady takich środków art. 25 ust. 1 rozporządzenia 2016/679 wskazuje wprost na „minimalizację danych”. Zastosowanie takiego środka wymaga od administratora poddania ocenie zakresu przetwarzanych danych osobowych pod kątem ograniczenia tego zakresu tylko do danych, które są niezbędna dla osiągnięcia celu przetwarzania danych. Ponadto, w przedmiotowej sprawie środek ten umożliwiłby Administratorowi wywiązanie się z obowiązku przestrzegania zasad ochrony danych osobowych, określonych w art. 5 ust. 1 rozporządzenia 2016/679, a w szczególności zasady minimalizacji danych, o której mowa w art. 5 lit. c) rozporządzenia 2016/6/79.
199.
Podnieść należy, że do zakresu danych osobowych objętych przedmiotowym naruszeniem ochrony danych osobowych należał numer ewidencyjny PESEL, a w przypadku jego braku seria i numer paszportu, których naruszenie atrybutu poufności w połączeniu z pozostałymi danymi osobowymi przetwarzanymi w aplikacji grafik pracowniczy generowało wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Mając na uwadze powyższe, Administrator w oparciu o okoliczności wskazane w art. 25 ust. 1 rozporządzenia 2016/679 oraz mając na uwadze treść zasady wyrażonej w art. 5 ust. 1 lit. c) rozporządzenia 2016/679, powinien poddać analizie ryzyka wykorzystania numeru PESEL lub serii i numeru paszportu jako identyfikatora dla osób, których dane są przetwarzane w aplikacji grafik pracowniczy, a następnie wdrożyć odpowiednie środki techniczne i organizacyjne dla spełnienia wymogów z art. 25 ust. 1 rozporządzenia 2016/679, czego G. jako administrator nie zrobił.
200.
W toku postępowania administracyjnego Prezes UODO pismem z 20 września 2020 r. zwrócił się do Administratora z pytaniem, „czy spółka przeprowadziła analizę ryzyka, pod kątem użycia numeru PESEL / nr paszportu jako identyfikatora przypisanego do konkretnego pracownika”. W odpowiedzi Administrator pismem z 9 października 2020 r. poinformował, że „jak wskazano w piśmie z dnia 7 września 2020 r. analiza ryzyka również pod kątem numeru PESEL/nr paszportu jako identyfikator pracownika została przeprowadzona jedynie w odniesieniu do nowego, wdrażanego obecnie narzędzia (…). W przypadku narzędzia do wyświetlania grafików na (…) G. analiza taka nie została przeprowadzona.”
201.
Mając na uwadze powyższe wskazać należy, że konsekwencją braku przeprowadzenia powyższej analizy był brak wdrożenia środków technicznych i organizacyjnych, zaprojektowanych w celu skutecznej realizacji zasad ochrony danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi rozporządzenia 2016/679 oraz chronić prawa osób, których dane dotyczą, co stanowi naruszenie art. 25 ust. 1 rozporządzenia 2016/679.

Naruszenie przez Administratora zasady „minimalizacji danych”, o której mowa w art. 5 ust. 1 lit. c) rozporządzenia 2016/679

202.
Prawidłowa realizacja obowiązku opisanego w art. 25 ust. 1 rozporządzenia 2016/679 powinna umożliwić Administratorowi ustalenie, jaki zakres danych osobowych jest niezbędny dla osiągnięcia określonych celów przetwarzania danych osobowych, a tym samym poprzez ograniczenie przetwarzanych danych do niezbędnych dla osiągnięcia tego celu dostosowanie operacji przetwarzania do zasady minimalizacji danych określonej w art. 5 ust. 1 lit. c) rozporządzenia 2016/679, która w przedmiotowej sprawie została przez Administratora naruszona.
203.
Zgodnie z ogólną zasadą „minimalizacji danych” wyrażoną w art. 5 ust. 1 lit. c) rozporządzenia 2016/679, dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Mając na uwadze powyższe, Administrator powinien poddać ocenie zakres przetwarzanych danych osobowych i ustalić, czy zakres ten jest niezbędny dla osiągnięcia celów, dla których dane osobowe zostały zgromadzone. Jeśli administrator może osiągnąć cel, dla którego przetwarza dane osobowe, w węższym zakresie niż faktycznie przetwarza, powinien zrezygnować z przetwarzania nadmiarowych danych osobowych. Natomiast mając na uwadze ryzyko, jakie wiąże się z przetwarzaniem danych, w oparciu o wytyczne art. 25 ust. 1 rozporządzenia 2016/679, wpisujące się w ogólną zasadę podejścia opartego na ryzyku, w pierwszej kolejności administrator powinien ograniczyć zakres danych do tych danych osobowych, które rzeczywiście są niezbędne do osiągnięcia celów przetwarzania z uwzględnieniem poziomu ryzyka dla praw lub wolności osób, których dane dotyczą. Przy czym nie ulega wątpliwości, że danymi osobowymi, które generowały największe ryzyko dla osób, których dane dotyczą, przetwarzanymi w ramach modułu grafik pracowniczy, były numer ewidencyjny PESEL oraz seria i numer paszportu.
204.
Jak wynika z ustalonego w sprawie stanu faktycznego, dane osobowe objęte przedmiotowym naruszeniem zostały zgromadzone w „module grafik pracowniczy” w celu ewidencjonowania czasu pracy pracowników oraz zarządzania czasem ich pracy. Przy czym numer ewidencyjny PESEL oraz seria i numer paszportu służył jako identyfikator pracownika zapewniający w sposób jednoznaczny jego identyfikację w celu uzyskania przez pracownika dostępu do swojego grafiku.
205.
Wskazać zatem należy, że przetwarzanie danych osobowych w postaci numeru PESEL oraz serii i numeru paszportu nie było niezbędne dla osiągnięcia celu przetwarzania w postaci identyfikacji pracowników Administratora na potrzeby ustalania grafików pracy i ewidencji czasu pracy. Powyższe potwierdzają okoliczności faktyczne, z których wynika, że już po naruszeniu ochrony danych osobowych Administrator zastąpił numer ewidencyjny PESEL oraz serię i numer paszportu indywidulanym numerem identyfikacyjnym, którego ujawnienie w powiązaniu z innymi danymi objętymi naruszeniem ochrony danych osobowych nie generowałoby wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Czynność zastąpienia jednej danej, która generuje wysokie ryzyko, inną daną (która takiego ryzyka nie generuje), taką jak numer identyfikacyjny, wpisuje się w zasadę minimalizacji danych. Tym samym Administrator, po wystąpieniu przedmiotowego naruszenia ochrony danych osobowych, zrezygnował z przetwarzania danych osobowych w postaci numeru PESEL oraz serii i numeru paszportu w celu ewidencjonowania czasu pracy pracowników oraz zarządzania czasem ich pracy, a mimo wszystko swobodnie mógł osiągnąć ww. cele.
206.
Mając na uwadze powyższe, nie można uznać, aby dane osobowe w postaci numeru PESEL oraz serii i numeru paszportu były adekwatne, stosowne oraz ograniczone do tego, co jest niezbędne do osiągnięcia celów, w których były przetwarzane, co stanowi o naruszeniu przez Administratora art. 5 ust. 1 lit. c) rozporządzenia 2016/679. Ponadto, zgodnie z zasadą rozliczalności, administrator jest odpowiedzialny za przestrzeganie zasad ochrony danych i zgodnie z treścią art. 5 ust. 2 rozporządzenia 2016/679 musi być w stanie wykazać ich przestrzeganie. Zatem konsekwencją naruszenia art. 5 ust. 1 lit. c) rozporządzenia 2016/679 jest naruszenie przez Administratora zasady rozliczalności, określonej w art. 5 ust. 2 rozporządzenia 2016/679.
207.
Wobec powyższego, stanowisko Administratora zaprezentowane w piśmie z 7 września 2020 r., w którym wyjaśnił, że „wykorzystanie numeru PESEL lub nr paszportu pracownika (w razie nieposiadania numeru PESEL) związane było z koniecznością stosowania identyfikatora zapewniającego w sposób jednoznaczny identyfikację pracownika w celu uzyskania przez pracownika dostępu do swojego grafiku” oraz, że „każdy z pracodawców (Spółka oraz poszczególni (…)) może używać innego systemu-kadrowo płacowego (w praktyce wykorzystywanych jest kilkanaście różnych programów), z którym narzędzie jest zintegrowane, przy czym nie każdy system posługuje się własnym identyfikatorem przypisanym do konkretnego pracownika. Ponadto systemy, które taki identyfikator mają nie posługują się jednolitą strukturą wewnętrzną identyfikatora. Stąd też pierwotnie nie było możliwe zastąpienie numeru PESEL/nr paszportu innym identyfikatorem”, nie znajduje uzasadnienia.
208.
W pierwszej kolejności wyjaśnić należy, że nie może stanowić usprawiedliwienia dla naruszenia zasady ochrony danych wykorzystywanie oprogramowania, którego funkcjonalności uniemożliwiają przestrzeganie ogólnych zasad. Skoro Administrator wyjaśnia, że były różne systemy, to powinien z takiego oprogramowania zrezygnować lub je zmodernizować. Już NSA w wyroku z 4 marca 2002 r. (II SA 3144/01) wskazał, że „żadne względy natury organizacyjno-finansowej nie powinny być traktowane jako podstawy do sprzecznego z prawem przetwarzania danych osobowych”.
209.
Powyższe stanowisko Administratora jest również sprzeczne z pozostałymi jego wyjaśnieniami oraz zgromadzonym w sprawie materiałem dowodowym. Administrator wskazując na działania podjęte po incydencie, w piśmie z 14 grudnia 2020 r., wyjaśnił, że działania te obejmowały m.in. „podjęcie decyzji o zrezygnowaniu z wykorzystania w narzędziu służącym do ustalania grafików numeru PESEL lub numeru paszportu bądź innego dokumentu potwierdzającego tożsamość jako identyfikatora pracowników na rzecz zastąpienia go numerem "(…)", którego ewentualny wyciek nie będzie generował dodatkowego ryzyka dla osób, których dane dotyczą”. Ponadto, jak dalej wyjaśnił, „aktualnie w odniesieniu do pracowników G. (…) w narzędziu służącym do udostępniania grafików zastąpiono numer PESEL numerem (…). W ramach przeprowadzonych działań do programu A. została wgrana zmiana, zgodnie z którą, komunikacja między programem kadrowo-płacowym i (…) G. odbywa się na podstawie unikalnego (…), a nie jak do tej pory na podstawie numeru PESEL (lub nr paszportu).” Jak wynika z załącznika nr (…) do pisma Administratora z 14 grudnia 2020 r. (…) nr 303/20/ (…) od dnia 7 września 2020 r. w celu zapewnienia „bezpieczeństwa danych wrażliwych” G. rozpoczął dokonywanie zmiany identyfikatora na (…) G. w ten sposób, że numer ewidencyjny PESEL został zastąpiony unikalnym (…), Jednocześnie rozpoczął proces informowania pracowników o konieczności samodzielnej zmiany w (…) G. ich numerów PESEL na nowy identyfikator (…), wskazując, że brak dokonania zmiany uniemożliwi pracownikowi dostęp do grafiku pracy opublikowanego na (…) G..
210.
Natomiast odnośnie możliwości zrezygnowania z numeru PESEL (serii i nr paszportu) przez (…) wskazać należy, iż jak wynika z korespondencji Administratora skierowanej do (…) w dniu 5 października 2020 r. (stanowiącej załącznik numer 6 do pisma Administratora z 14 grudnia 2020 r.), Administrator po weryfikacji działania narzędzia do udostępniania grafików i zmianach wprowadzonych na (…) G. przekazał rekomendacje, informując podmioty, które nadal będą korzystały z funkcjonalności udostępnianych grafików, że „narzędzie do udostępniania grafików posiada (…). W takim przypadku po zaczytaniu pliku pracownik ma podgląd jedynie do grafików dziennych, a nie ma dostępu do swojego indywidualnego grafiku miesięcznego (identyfikacja tylko (…)).” Natomiast organizacjom, które nie korzystają lub zrezygnowały z korzystania z ww. funkcjonalności, Administrator zarekomendował usunięcie numerów PESEL/paszportów jako identyfikatora na (…) G., przekazując instrukcję, w jaki sposób mogą tego dokonać.
211.
W tym miejscu ponownie podnieść należy, że wcześniejsza rezygnacja z numeru PESEL / serii i numeru paszportu, choćby na rzecz rozwiązania, które administrator zastosował po naruszeniu ochrony danych osobowych (tj. zastąpienia numeru PESEL / serii i numeru paszportu informacją w postaci generowanego przez Administratora indywidualnego numeru identyfikacyjnego), nie tylko pozwoliłaby Administratorowi wywiązać się z obowiązku minimalizacji danych, ale również w sposób bardzo istotny obniżyć ryzyko naruszenia praw lub wolności osób, których dane dotyczą, w przypadku przedmiotowego naruszenia ochrony danych osobowych. Niemniej jednak Administrator dopiero po stwierdzeniu naruszeniu ochrony danych osobowych dokonał oceny niezbędności numeru PESEL wykorzystywanego na potrzeby ewidencjonowania i zarządzania czasem pracy pracowników przy wykorzystaniu modułu grafików. Ponadto, jak wynika m.in. z pisma G. z 19 marca 2021 r., w ramach przewidywanych środków zabezpieczenia danych G. wskazał „minimalizację danych”, informując, że „przeprowadzono analizę niezbędności przetwarzania danych w ramach aplikacji, w związku z którą zrezygnowano z wykorzystania numeru PESEL jako identyfikatora pracownika w ramach nowego narzędzia”.

Naruszenie przez Administratora art. 34 ust. 1 rozporządzenia 2016/6/79

212.
Zgodnie z art. 34 ust. 1 rozporządzenia 2016/679 jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Natomiast ust. 2 ww. przepisu wskazuje, że takie zawiadomienie, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d) rozporządzenia 2016/679. Prawodawca unijny przewidział sytuację, w których wskazane zawiadomienie nie jest konieczne. Jak wynika z ust. 3 przepisu, zawiadomienie nie jest wymagane m.in. w przypadku gdyby wymagało niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
213.
Mając na uwadze charakter przedmiotowego naruszenia ochrony danych osobowych, czas jego trwania, kategorie danych, liczbę osób, których dotyczyło naruszenie oraz zastosowane środki naprawcze, należy uznać, że naruszenie poufności danych w szczególności imion, nazwisk, numerów PESEL lub serii i numerów paszportów, numerów (…) G., dat i godzin rozpoczęcia pracy, dat i godzin zakończenia pracy, liczby przepracowanych godzin, stanowisk, dni wolnych, rodzaju dni oraz rodzaju pracy, powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w związku z czym konieczne było zawiadomienie osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych i przekazanie wszystkim informacji określonych w art. 34 ust. 2 rozporządzenia 2016/679.
214.
Ponadto, jak wynika ze stanu faktycznego sprawy, również Administrator uznał, że w wyniku przedmiotowego naruszenia ochrony danych osobowych doszło do wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. W związku z powyższym poinformował Prezesa UODO, że zawiadomił o naruszeniu ochrony danych osobowych osoby, których dane dotyczą. Forma zawiadomienia była różna w zależności od kategorii osób, których naruszenie dotyczyło. O ile zawiadomienie pracowników Administratora poprzez skierowanie komunikatu w wewnętrznej sieci Intranet oraz dodatkowo zamieszczenie komunikatów w widocznych dla pracowników miejscach w każdej z (…) G., należy uznać za wywiązanie się z obowiązku z art. 34 ust. 1 rozporządzenia 2016/679, to zawiadomienie byłych pracowników nie przybrało odpowiedniej formy, zapewniającej im możliwość skutecznego zapoznania się z treścią komunikatu o naruszeniu ochrony ich danych osobowych.
215.
Administrator byłych pracowników zawiadomił poprzez wykupienie dwóch komunikatów prasowych, w których poinformował o naruszeniu ochrony ich danych osobowych, wskazał adres publikacji treści zawiadomienia o naruszeniu ochrony danych osobowych oraz numer infolinii, pod którym osoby te mogły uzyskać więcej informacji. W ocenie Prezesa UODO, wskazana forma zawiadomienia nie może zostać uznana za bezpośrednie zawiadomienie o naruszeniu ochrony danych osobowych ww. osób. Niemniej jednak taka ocena nie pozbawia tej formy w sposób zupełny waloru skuteczności, i w sytuacji wystąpienia przesłanki niewspółmiernie dużego wysiłku, zawiadomienie osób, których dane dotyczą, w tej formie w pewnych okolicznościach może zwolnić administratora z obowiązku indywidualnego ich zawiadomienia.
216.
W ocenie Administratora w przedmiotowej sprawie w odniesieniu do byłych pracowników zaistniała okoliczność niewspółmiernie dużego wysiłku, a więc przesłanka z art. 34 ust. 3 lit. c) rozporządzenia 2016/679, zwalniająca administratora z konieczności bezpośredniego zawiadomienia o naruszeniu ochrony danych osobowych ww. osób. W tym miejscu wyjaśnić należy, że dla prawidłowego wywiązania się z obowiązku przewidzianego w art. 34 ust. 1 rozporządzenia 2016/679, osoby, których danych osobowych naruszenie dotyczy, należy zawiadomić w sposób bezpośredni. Grupa Robocza Art. 29 w przyjętych 6 lutego 2018 r. Wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (obowiązujących w dniu wystąpienia przedmiotowego naruszenia ochrony danych osobowych i następnie potwierdzonych przez Europejską Radę Ochrony Danych Wytycznymi 9/2022 przyjętych 28 marca 2023 r. dotyczących zgłaszania naruszenia ochrony danych osobowych na podstawie RODO) wskazuje, że „co do zasady osoby, których dane dotyczą, należy zawiadomić o naruszeniu bezpośrednio, chyba że takie działanie wymagałoby niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w również skuteczny sposób (art. 34 ust. 3 lit. c))”. Uzasadniając wystąpienie przesłanki niewspółmiernie dużego wysiłku G. poinformował, że nie jest w stanie zweryfikować, czy dysponuje aktualnymi danymi kontaktowymi byłych pracowników. Natomiast wysyłanie informacji np. na potencjalne nieaktualne adresy mogłoby skutkować kolejnym udostępnieniem danych osobom do tego nieuprawnionym.
217.
Z powyższym stanowiskiem nie sposób się zgodzić. W ocenie Prezesa UODO w przedmiotowej sprawie przesłanka niewspółmiernie dużego wysiłku nie wystąpiła, a tym samym Administrator powinien zawiadomić o naruszeniu ochrony danych osobowych byłych pracowników w formie bezpośredniej. Wskazać bowiem należy, że Administrator, jako były pracodawca posiada adresy korespondencyjne byłych pracowników, znajdujące się w aktach osobowych. Przepisy ustawy z dnia 26 czerwca 1974 r. Kodeks pracy w art. 94 pkt 9b zobowiązywały pracodawców do przechowywania akt osobowych zawierających dane osobowe byłych pracowników, którzy zostali zatrudnieni po dniu 31 grudnia 2018 r., przez okres 10 lat od ustania stosunku pracy. Natomiast poprzednio obowiązujące przepisy odnoszące się do zatrudnienia przed dniem 1 stycznia 2019 r. nakazywały przechowywanie akt pracowników przez okres 50 lat od ustania zatrudnienia, chyba że pracodawca przetwarzał akta w formie elektronicznej, wówczas okres ten był skrócony do lat 10. Tym samym nie było przeszkód, aby Administrator na adresy korespondencyjne wykonał obowiązek zawiadomienia.
218.
Nie znajdują także uzasadnienia argumenty Administratora, że nie jest w stanie zweryfikować, czy dysponuje aktualnymi danymi kontaktowymi byłych pracowników, a w konsekwencji wysyłanie informacji np. na potencjalne nieaktualne adresy mogłoby skutkować kolejnym udostępnieniem danych osobom do tego nieuprawnionym. Administrator nie może czynić takich założeń, gdyż w przeciwnym razie w każdej sytuacji mógłby na dobrą sprawę odstępować od indywidualnego zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych.
219.
Administrator odnosząc się do pojęcia niewspółmiernie dużego wysiłku powołał się zarówno na art. 14 ust. 5 lit. b) rozporządzenia 2016/679, jak i art. 34 ust. 3 lit. c) rozporządzenia 2016/679 oraz odwołał się do wyroku WSA w W. z 11 grudnia 2019 r., sygn. akt II SA/Wa 1030/19, co do ustaleń faktycznej możliwości wykonania określonego obowiązku. Trzeba zatem przytoczyć stanowisko Sądu z ww. wyroku, które odnosi się do pojęcia niewspółmiernie dużego wysiłku określonego w art. 14 ust. 5 lit. b) rozporządzenia 2016/679. W ocenie Prezesa UODO, mając na uwadze właśnie powyższe okoliczności, znajduje ono swoje odzwierciedlenie w przedmiotowej sprawie na gruncie definicji niewspółmiernie dużego wysiłku, o której mowa w art. 34 ust. 3 lit. c) rozporządzenia 2016/679. Prezes UODO podziela stanowisko Sądu z ww. wyroku, zgodnie z którym „gdy mowa o niewspółmiernie dużym wysiłku - chodzi o sytuację, kiedy udzielenie informacji, o których mowa w art. 14 ust. 1 i 2 tego rozporządzenia jest obiektywnie możliwe, ale niebywale utrudnione (graniczące z brakiem możliwości udzielenia informacji). Administrator, aby udzielić tych informacji zmuszony byłby do podjęcia szeregu działań, które zmierzałyby dopiero do tego, aby udzielenie informacji stało się możliwe. Zakres tych działań (czynności) musiałby mieć przy tym olbrzymią skalę.” „Przez niewspółmiernie duży wysiłek nie można na gruncie rozporządzenia 2016/679 rozumieć kosztu (tak organizacyjnego, który stanowi w istocie o sposobie zorganizowania przez administratora w ramach prowadzonej działalności, wykonania tego zadania, jak i finansowego) dopełnienia w pełni możliwego do realizacji obowiązku z art. 14 ust. 1 i 2 rozporządzenia 2016/679.”
220.
W przedmiotowej sprawie nie wystąpiła sytuacja, w której wysiłek, jaki Administrator musiałby włożyć, aby wypełnić obowiązek z art. 34 ust. 1 rozporządzenia 2016/679 względem swoich byłych pracowników, można byłoby uznać za niewspółmiernie duży w odniesieniu do korzyści uzyskanych przez osoby fizyczne, które uzyskałyby informacje o naruszeniu ochrony ich danych osobowych, w tym informacje m.in. jak ustrzec się przed potencjalnymi zagrożeniami związanymi z naruszeniem poufności ich danych osobowych. Jak ustalił Prezes UODO, Administrator dysponuje danymi korespondencyjnymi byłych pracowników, w tym nie wyklucza posiadania innych danych kontaktowych - jak adresy e-mail czy numery telefonów, tym samym nie może być w ogóle mowy o niewspółmiernie dużym wysiłku w odniesieniu do realizacji obowiązku zawiadomienia ww. osób o naruszeniu ochrony danych osobowych, o którym mowa w art. 34 ust. 1 rozporządzenia 2016/679.
221.
Za uchybienie polegające na zawiadomieniu byłych pracowników o naruszeniu ochrony ich danych osobowych w sposób, który nie można uznać za bezpośredni, a więc za brak prawidłowego wywiązania się z obowiązku z art. 34 ust. 1 rozporządzenia 2016/679, Prezes UODO zdecydował się udzielić Administratorowi upomnienia. Za powyższym przemawiały okoliczności, że choć Administrator nie dochował przypisanej formy, to jednak niezwłocznie zawiadomił osoby, których dane osobowe dotyczą. Choć zatem zawiadomienie przybrało formę nieprawidłową, to nie bez znaczenia jest, że Administrator przedstawił analizę skuteczności dokonanego warstwowego zawiadomienia w formie dwóch komunikatów prasowych (informujących o naruszeniu i odsyłających m.in. do treści zawiadomienia), z której wynika, że po zamieszczeniu komunikatów w dwóch dziennikach o łącznym nakładzie 522 tysięcy egzemplarzy, informacja o naruszeniu ochrony danych osobowych przez Administratora została następnie tylko w dniach od 7 do 14 sierpnia 2020 r. opublikowana na 27 portalach internetowych o łącznym zasięgu (…) wyświetleń. Dodatkowo Administrator poinformował, że na utworzoną dedykowaną infolinię dla pracowników, których dane osobowe zostały objęte naruszeniem, której numer telefonu został zamieszczony w komunikatach prasowych, do dnia 2 września 2020 r. skorzystało (…) osób (choć nie wiadomo, czy wśród nich byli również byli pracownicy Administratora). Również przynajmniej do dnia wydania niniejszej decyzji na stronie internetowej G. zamieszczona była treść zawiadomienia o naruszeniu ochrony danych osobowych, skierowana do wszystkich kategorii osób objętych naruszeniem.
222.
Jednocześnie nie ulega wątpliwości, że publiczne zawiadomienie osób nie gwarantuje, że informacja dotarła do każdej osoby, do której powinna ona dotrzeć. Tym samym mogło dojść do sytuacji, w której osoby objęte naruszeniem, nie dysponując wiedzą o naruszeniu mogły nie podjąć działań mających im zapewnić choćby minimum poczucia bezpieczeństwa, poprzez zwiększenie ostrożności w posługiwaniu się własnymi danymi osobowymi.
223.
Mając na uwadze powyższe Prezes UODO uznał, że udzielenie Administratorowi upomnienia za nieprawidłowe wywiązanie się z obowiązku z art. 34 ust. 1 rozporządzenia 2016/679 względem byłych pracowników w okolicznościach przedmiotowej sprawy jest wystarczające.
224.
Prezes UODO, realizując swoje uprawnienie na mocy art. 58 ust. 2 lit. b) rozporządzenia 2016/679, uznał, że cel niniejszego postępowania w zakresie naruszenia art. 34 ust. 1 rozporządzenia 2016/679 może być osiągnięty poprzez zastosowanie środka o charakterze mniej dolegliwym. W ocenie organu nadzorczego upomnienie G. za nieprawidłową realizację ww. obowiązku spoczywających na nim, jako administratorze danych w rozumieniu art. 4 ust. 7 rozporządzenia 2016/679, stanowi właściwy przejaw realizacji zasady proporcjonalności.
225.
W ocenie Prezesa UODO, nałożone w tym zakresie upomnienie spełni również swoją funkcję prewencyjną, zapobiegając w przyszłości w sposób należyty naruszeniom przepisów o ochronie danych osobowych dotyczących sposobu zawiadomienia o naruszeniu ochrony danych osobowych osób, których dane dotyczą, tak przez G., jak i innych administratorów danych osobowych.

Status G. jako administratora danych osobowych pracowników (…) G.

226.
Prezes UODO decydując, czy nałożyć i w jakiej wysokości administracyjne kary pieniężne na G. i U. (…), miał na uwadze m.in. ustaloną liczbę wszystkich osób, których wykazane niniejszą decyzją naruszenie przepisów rozporządzenia 2016/679 dotyczy.
227.
Mając na uwadze okoliczności faktyczne, które rzeczywiście wyznaczają status administratora, nie sposób uznać, aby rola G. we wzajemnych relacjach z (…) C. i podmiotami będącymi (…) G., była obojętna dla ustalenia celów i sposobów przetwarzania danych osobowych pracowników (…), a co za tym idzie była obojętna dla przyjęcia odpowiedzialności przez G., jaką ponosi administrator na gruncie przepisów rozporządzenia 2016/679, w tym art. 83 ust. 2 lit. a) rozporządzenia 2016/679, za naruszenie prawa do ochrony danych osobowych pracowników (…) G..
228.
Zgodnie z definicją administratora danych wyrażoną w art. 4 pkt 7 rozporządzenia 2016/679, „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. W sytuacji, w której administrator nie jest wprost wskazany w przepisach prawa, kwalifikacja podmiotu, który przetwarza dane osobowe, jako administratora odbywa się na podstawie oceny okoliczności faktycznych związanych z przetwarzaniem, w oparciu o jego faktyczną rolę w konkretnej czynności przetwarza danych. Zgodnie z powyższymi przepisami rozporządzenia 2016/679, ocena ta powinna być dokonana m.in. w oparciu o takie elementy, jak ustalanie celów i sposobów przetwarzania. Tym samym administratorem jest ten podmiot, który podejmuje decyzję co do celu przetwarzania danych oraz określa środki, jakie należy zastosować dla osiągnięcia celu.
229.
Z ustalonego w sprawie stanu faktycznego wynika, że G. był właścicielem modułu grafików służącego do zarządzania i ewidencją czasu pracy pracowników zatrudnionych w ramach (…) G., w tym pracowników (…) G. i w ramach prowadzonej strony internetowej - której był właścicielem - udostępniał pracownikom i właścicielom (…) G. wgląd w grafik pracy pracowników. Jako twórca i właściciel modułu decydował o celach i sposobach przetwarzania danych osobowych. Określił funkcjonalności oprogramowania wyznaczając cele, dla których dane osobowe były przetwarzane w module grafików oraz sposoby ich przetwarzania w postaci choćby zakresu danych osobowych gromadzonych na potrzeby osiągnięcia celów przetwarzania, czy też narzędzia w postaci „(…)” wykorzystywanego do wgrania grafiku na (…) G.. Powyższe swój wyraz znalazło m.in. w opracowanej przez G. „INSTRUKCJI OBSŁUGI PORTALU (…)”, stanowiącej załącznik nr (…) do pisma G. z 19 września 2022 r., zgodnie z którą przy rejestracji pracownika na „(…) G.” na potrzeby m.in. korzystania z grafików pracownika, wymaganym było podanie imienia, nazwiska, numeru (…) i numeru PESEL pracownika, przy czym użytkownicy korzystający z konta w domenie (…).com mogli zmienić dane osobowe poza numerem PESEL, oraz w załączniku do ww. instrukcji, tj. „Instrukcji obsługi aplikacji (…)”, w której wymogiem było podanie numeru PESEL pracownika (…) pod marką G.. Zatem dla osiągnięcia celów przetwarzania to G. określił wykorzystywany w module grafików zakres danych osobowych w postaci m.in. numeru ewidencyjnego PESEL/serii i numeru paszportu.
230.
Również to G. określił i dokonał wyboru podmiotu przetwarzającego, tj. U. (…), któremu przekazał moduł grafików w celu zarządzania czasem pracy i ewidencją czasu pracy zarówno swoich pracowników, jak i pracowników (…), z którym następnie (…) (w istocie bez możliwości wyboru) zawarli umowy powierzenia przetwarzania danych. I choć (…) zawarli z Podmiotem przetwarzającym umowę powierzenia, to jak wynika z ustalonego stanu faktycznego, U. (…) bezpośrednio nie kontaktowała się z (…) G., gdyż zarówno zawieranie umów, jak i przekazywanie wszelkich informacji (…) odbywało się za pośrednictwem G.. Co więcej, G. w wewnętrznej dokumentacji zarekomendował zmianę treści umów powierzenia przetwarzania danych osobowych, zawartych pomiędzy (…) oraz U. (…) z uwagi na postanowienia, które odnosiły się do nieaktualnego stanu prawnego, co świadczy, że poczuwał się do odgrywania zasadniczej roli w decydowaniu o kształcie postanowień umownych.
231.
Ponadto, po naruszeniu ochrony danych osobowych G. zaprzestał korzystania z usług U. (…), co w konsekwencji uniemożliwiło świadczenie usług na rzecz jego (…). I to na polecenie G. dane osobowe jego pracowników oraz pracowników (…) zostały przez U. (…) usunięte.
232.
Wreszcie, moduł grafików, jak również portal (…) G., należały do G., który jako właściciel tych aktywów odpowiadał za zapewnienie bezpieczeństwa przetwarzanym tam danym, w tym danym osobowym pracowników (…) G..
233.
Powyższe okoliczności przesądzają, że to G. podejmował decyzję, co do ustalenia celów przetwarzania (np. przetwarzanie danych w celu zarządzania czasem pracy i ewidencją czasu pracy; usunięcie danych osobowych w konsekwencji rezygnacji ze świadczenia usług), jak i sposobów przetwarzania (np. wybór podmiotu przetwarzającego, określenie zakresu danych osobowych), nie tylko w odniesieniu do swoich pracowników, ale również pracowników (…).
234.
Podkreślić należy, że Prezes UODO oceniając całokształt materiału dowodowego, nie miał podstaw do uznania, że G. nie jest administratorem danych osobowych pracowników (…). Za powyższym przemawiał również następujący zgromadzony w sprawie materiał dowodowy.
235.
Jak wynika z umowy powierzenia zawartej 8 sierpnia 2018 r. pomiędzy Administratorem a Podmiotem przetwarzającym, G. był administratorem danych w rozumieniu art. 4 pkt 7 rozporządzenia 2016/679 (pkt 2.2 umowy) m.in. pracowników (…) przetwarzanych w ramach aplikacji grafik pracowniczy. Jak bowiem wynika z umowy, powierzenie przetwarzania danych osobowych obejmowało następujące kategorie osób: pracownicy administratora, (…), pracownicy (…), goście, kontrahenci i ich przedstawiciele, dziennikarze. Z kolei w pkt 4.2, 4.3 i 4.4 ww. umowy wskazano, że celem powierzenia przetwarzania danych osobowych było wykonywanie usług zintegrowanej komunikacji, o których mowa w umowie głównej. Charakter powierzonego przetwarzania danych osobowych stanowił operację lub zestaw operacji wykonywanych na danych osobowych przez przetwarzającego, tj. zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adoptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie przez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowanie lub łączenie, ograniczenie, usuwanie lub niszczenie. W przedmiotowej sprawie, migracja danych wpisywała się w ustalony charakter powierzonego przetwarzania, podobnie jak zakres powierzonych danych i kategorie osób.
236.
Tym samym G., na podstawie umowy powierzenia zawartej z U. (…), powierzył, jako administrator, temu podmiotowi także dane osobowe pracowników (…). Powyższe oczywiście koresponduje z postanowieniami zawartej pomiędzy G. oraz U. (…) umowy z 1 kwietnia 2014 r. o świadczenie usług w zakresie public relations (umowa główna), w której na podstawie § 2 pkt 3 lit. a) oraz i) U. (…) zobowiązał się do m.in. zarządzania platformą komunikacji wewnętrznej skierowanej do pracowników (…) G..
237.
Jak wynika z przykładowej umowy (na podstawie której (…) prowadzili (…) pod marką G.) zawartej 10 grudnia 2014 r. pomiędzy G. a (…), którego pracowników danych osobowych naruszenie ochrony danych osobowych dotyczy, G. zobowiązywał się umożliwić dostęp do portalu www.(…) pracownikom (…), którzy prawidłowo wypełnili formularz oraz do dostarczenia (…) wzorcowego pliku umożliwiającego wgrywanie danych do grafiku pracy dostępnego w portalu oraz do usuwania ewentualnych usterek w działaniu tego portalu. Natomiast (…) zobowiązywał się przekazywać dane osobowe pracowników w celu usunięcia przez G. kont tych użytkowników i aktualizacji ról tych użytkowników. Jak wynika z § 3 powołanej umowy, G. określił się jako administrator zbioru danych osobowych zawierającego lub mogącego zawierać dane osobowe pracowników (…) przetwarzane w celu identyfikacji użytkowników Portalu. Jednocześnie wskazał, że dane osobowe poszczególnych pracowników (…) G. powierzył U. (…).
238.
Jak stanowią postanowienia tej umowy, (…) jest administratorem danych osobowych pracowników (…) w zakresie informacji wynikających z dostępnego w Portalu grafiku pracy (…). Jednocześnie (…) zobowiązał się w drodze odrębnej umowy powierzyć ich przetwarzanie U. (…). Tym samym G. był administratorem danych osobowych pracowników (…) przetwarzanych w celu udostępnienia im możliwości korzystania z portalu i grafików pracowniczych, podobnie jak (…).
239.
Również w „Raporcie z postępowania wyjaśniającego dotyczącego wystąpienia incydentu skutkującego naruszeniem ochrony danych osobowych Nr (…) (na podstawie zgłoszenia incydentu Nr (…))”, sporządzonego w dniu 4 sierpnia 2020 r. przez G., w pkt 5 „Opis zakresu danych osobowych, których dotyczy naruszenie ochrony danych osobowych” G. wskazał kategorie osób, których dane dotyczą, tj. pracownicy G. i (…) G., co oznacza, że zgodnie z przyjętymi przez siebie środkami organizacyjnymi, a więc „Instrukcją postępowania w sytuacji naruszenia ochrony danych osobowych” powiązaną z „Polityką ochrony danych G. (…) Sp. z o.o.”, jako administrator danych oszacował skalę naruszenia, w tym wskazał na kategorie osób objętych naruszeniem (a więc m.in. pracowników (…)).
240.
Ponadto, w Regulaminie korzystania z serwisu http://www.(…) G. określił, że jest administratorem danych osobowych użytkowników (…) G., a więc również pracowników (…). Należy podkreślić, że usługi świadczone za pośrednictwem ww. serwisu polegały m.in. na dostępie do informacji na temat grafiku pracy użytkownika będącego pracownikiem (…) pod firmą G.. Potwierdzają to również wyjaśnienia G. przedstawione pismem z 16 lutego 2022 r., w których ocenił swoją rolę jako administratora danych osobowych pracowników (…) w zakresie danych identyfikujących pracownika (…) rejestrującego się w ramach serwisu internetowego www.(…), zbieranych w celu założenia i możliwości korzystania z konta.
241.
Wyjaśnić należy że, określenie przez G. celów i sposobów przetwarzania danych osobowych w module grafików na potrzeby ewidencji czasu pracy i zarządzania czasem pracy miało na celu ustandaryzowanie rozwiązań w ramach działalności gospodarczej prowadzonej przez G. i jego (…), polegającej na prowadzeniu (…) G. pod jedną marką, w której tożsamy standard jest nierozerwalną cechą i wymogiem prowadzenie tej działalności. Niewątpliwie przetwarzanie danych osobowych w tak określonym celu wynika z prawnie uzasadnionych interesów realizowanych przez Administratora, ale też może mieć swoją podstawę prawną w konieczności realizacji umowy (…), co jednocześnie legitymizuje podstawę prawną przetwarzania danych osobowych pracowników (…).
242.
Co istotne, dla uznania statusu administratora nie jest konieczne, aby administrator posiadał dostęp do danych osobowych. W Wytycznych EROD 07/2020 wskazano, że „nie jest konieczne, aby administrator faktycznie miał dostęp do przetwarzanych danych. Osoba, która zleca na zewnątrz czynności przetwarzania i ma decydujący wpływ na cel i (zasadnicze) środki przetwarzania (np. poprzez dostosowanie parametrów usługi w taki sposób, aby wpływała na przetwarzanie danych osobowych), jest uznawana za administratora danych, mimo że nigdy nie będzie miała rzeczywistego dostępu do danych.” Powyższa okoliczność wystąpiła w przedmiotowej sprawie. Pomimo, że G. nie żądał od U. (…) dostępu do danych osobowych pracowników (…) przetwarzanych w module grafików, to jednak wywierał decydujący wpływ na przetwarzanie danych osobowych tych osób w celu i zakresie opisanym wyżej. Niemniej jednak gromadził dane osobowe pracowników (…) (w postaci imię, nazwisko, numer PESEL / seria i nr paszportu) i wprost G. ocenił swoją rolę jako administratora danych osobowych pracowników (…) w zakresie danych identyfikujących pracownika (…) rejestrującego się w ramach serwisu internetowego www.(…), zbieranych w celu założenia i możliwości korzystania z konta, a wiec świadczenia mu usług polegającej m.in. na dostępie do własnego grafiku pracy.
243.
Natomiast odnosząc się do statusu (…) G., to w okolicznościach przedmiotowej sprawy (…) G. decydując się na zarządzanie czasem pracy i ewidencją czasu pracy za pomocą modułu grafików, należącego do G., z jednej strony podejmowali decyzję o przetwarzaniu danych osobowych dla osiągnięcia ww. celów, a z drugiej strony podejmowali decyzję o sposobie ich przetwarzania, a więc, że dane osobowe będą przetwarzane za pomocą modułu grafików. W ten sposób decydowali o celach i środkach przetwarzania, co czyniło ich również administratorami danych osobowych tych osób.
244.
Podsumowując, wskazać należy, że G. opracował moduł grafików w celu ewidencji czasu pracy i zarządzaniem czasem pracy pracowników (…) pod marką G.. Następnie podjął decyzję o udostępnieniu modułu grafików (…), za pośrednictwem wybranego przez siebie podmiotu (U. (…)), w celu ewidencji czasu pracy i zarządzaniem czasem pracy pracowników (…) oraz za pośrednictwem serwisu internetowego www.(…), którego był właścicielem. (…) podjęli decyzję, że będą przetwarzać dane osobowe swoich pracowników w celu ewidencjonowania i zarządzania czasem pracy swoich pracowników, za pomocą udostępnionego narzędzia, z wykorzystaniem zakresu danych (m.in. nr PESEL lub serii i numer paszportu) określonym przez G., za pośrednictwem podmiotu wybranego przez G. oraz m.in. przy wykorzystaniu do przetwarzania środków bezpieczeństwa wdrożonych w ramach aplikacji przez G. i przy wykorzystaniu portalu www.(…). Zatem, uznać należy, że G. był administratorem danych osobowych pracowników (…).
245.
Mimo, iż strony nie uzgodniły w klarowny sposób swoich obowiązków, w formie wiążącego dokumentu, Prezes UODO nie jest związany brakiem formalnej kwalifikacji stron jako administratorów danych osobowych (czy współadminstratorów danych) pracowników (…). Jak wskazuje EROD w Wytycznych 07/2021, „nie można ani stać się administratorem danych, ani uchylić się od obowiązków administratora poprzez proste kształtowanie umowy w określony sposób, w przypadku gdy okoliczności faktyczne mówią o czymś innym”. Podobnie nie można uchylić się od odpowiedzialności z powodu braku uregulowania relacji wyznaczających obowiązki administratorów w formie wiążącego dokumentu, tym bardziej, gdy z okoliczności faktycznych wynika, który administrator za wywiązanie się z jakich obowiązków rozporządzenia 2016/679 odpowiadał.
246.
Ustalenia Prezesa UODO co do uznania G. za administratora danych pracowników (…) znajdują bowiem również swoje odzwierciedlenie w przeprowadzonej przez G. ocenie skutków dla ochrony danych. W piśmie z 7 września 2020 r. G. poinformował, że „w związku z planami wdrożenia nowego narzędzia do zarządzania pracą (…) G., w tym grafikami pracy, przeprowadziła ocenę skutków dla ochrony danych ( (…)) planowanych rozwiązań. W ramach wdrożenia nowych rozwiązań zaplanowano zastąpienie dotychczasowego narzędzia nowym, przy jednoczesnej zmianie modelu współpracy z (…) (w zakresie przetwarzania danych osobowych planowane jest wykorzystanie konstrukcji współadministrowania danymi osobowymi)”. Jak wynika bowiem z Oceny skutków dla ochrony danych, celem jej przeprowadzenia była ocena przetwarzania danych osobowych związana z wprowadzeniem narzędzia (…) służącego do ewidencjonowania czasu pracowników oraz do zarządzania czasem ich pracy w oparciu o dane dotyczące kwalifikacji pracowników. Z oceny skutków wynika m.in. że: „G. (…) Sp. z o.o. odpowiada za wdrożenie narzędzia, z którego korzystać będą także (…), tym samym bierze udział w decydowaniu o celach i sposobach przetwarzania. Zasadne jest w tym zakresie przyjęcie konstrukcji współadministrowania danymi pracowników (…) w zakresie danych przetwarzanych przy użyciu narzędzia (…)”, „W. może zachodzić pomiędzy G. (…) sp. z o.o., a konkretnym (…) zawierającym porozumienie w tym zakresie na zasadach określonych w art. 26 rozporządzenia 2016/679. Planowane jest zawieranie porozumień dotyczących współadministrowania danymi pomiędzy G. (…) a (…). G. odpowiada za nadzór nad funkcjonowaniem narzędzia, zakres jego funkcjonalności oraz wybór dostawcy, który powinien zapewnić bezpieczeństwo przetwarzania danych. W tym zakresie decyduje także o ewentualnym powierzeniu lub podpowierzeniu przetwarzania danych osobowych. (…) decyduje jedynie o możliwości skorzystania z narzędzia i przetwarzania przy jego pomocy danych osobowych swoich pracowników. Przetwarzanie przez (…) danych, co do których posiada on status niezależnego administratora (w tym wygenerowanych plików, które mogą być przekazywane innym podmiotom przetwarzającym odpowiedzialnym za obsługę kadrowo-płacową (…)) może odbywać się na zasadach ustalonych pomiędzy G. (…) a (…)”, „G. (…) będzie miał możliwość dostępu do danych swoich pracowników oraz do danych pracowników (…) (w tym z nadzorem nad wykorzystaniem narzędzia). G. nie będzie ingerował w dane wprowadzane przez (…), niemniej jednak odpowiada za decydowanie o zakresie danych przetwarzanych w narzędziu oraz ustala z dostawcą narzędzia funkcjonalności tego narzędzia (decyduje o sposobach przetwarzania)”, „Za powierzenie przetwarzania danych osobowych odpowiada G. (…). Za dostarczenie narzędzia i infrastruktury w tym pełną jego obsługę (zabezpieczenie danych przechowanie danych, zapewnienie kopii zapasowych itp. odpowiada dostawca narzędzia, z którym ma zostać zawarta umowa powierzenia przetwarzania danych osobowych”.
247.
W tym kontekście należy wskazać na błędne założenie Administratora, że status podmiotu, który przetwarza dane osobowe, można dowolnie kształtować według własnego uznania, z pominięciem okoliczności, które rzeczywiście wyznaczają ten status. Zwrócić bowiem należy uwagę, że „model współpracy z (…)” przy wykorzystaniu nowego narzędzia, w kwestiach zasadniczych decydujących o rolach poszczególnych podmiotów, nie różnił się od relacji, jakie występowały przy przetwarzaniu danych osobowych pracowników (…) za pomocą modułu grafików. Mając na uwadze powyższe, Prezes UODO nie podzielił stanowiska G. wyrażonego w piśmie z 7 września 2020 r., zgodnie z którym „Spółka zaznacza przy tym, że w analizowanym, dotychczas funkcjonującym modelu współpracy (…) Spółki w zakresie przetwarzania danych osobowych własnych pracowników działali jako niezależni administratorzy danych, którzy posiadali umowy powierzenia przetwarzania danych zawarte z U. (…)”. W okolicznościach przedmiotowej sprawy klarowne nadanie ról i statusu podmiotom uczestniczącym w przetwarzaniu danych osobowych powinno zostać wdrożone już wobec danych osobowych przetwarzanych za pomocą modułu grafików. Natomiast G. podjął działania mające na celu dostosowanie operacji przetwarzania do przepisów rozporządzenia 2016/679 w zakresie prawidłowego nadania odpowiednich ról podmiotom, które uczestniczą w przetwarzaniu danych, jedynie planując wdrożenie nowego oprogramowania, którego funkcjonalności mogły zastąpić moduł grafików.
248.
Ponadto Prezes UODO nie podziela oceny prawnej dotyczącej statusu G. i jego (…), zaprezentowanej w wyjaśnieniach złożonych przez poszczególnych (…). Nie tylko z tego powodu, że wszystkie zawierają tożsamą treść, co po prostu świadczy, że zostały przygotowane w celu uwolnienia G. od odpowiedzialności za naruszenie przepisów rozporządzenia 2016/679, także w kontekście liczby poszkodowanych osób i rozmiaru poniesionej przez nie szkody, ale również dlatego, że przedstawiony tam opis stanu prawnego nie odpowiada przedstawionemu tam opisowi stanu faktycznego, który w istocie koresponduje ze stanem ustalonym przez Prezesa UODO w toku postępowania i potwierdza administrowanie przez G. i (…) danymi osobowymi pracowników (…) przetwarzanych w module grafików. Jak wynika bowiem z przedstawionych wyjaśnień przez (…), „G. (…) Sp. z o.o. nie jest administratorem danych osobowych w/w pracowników. Wskazać, jednak należy, że G. (…) Sp. z o.o. jako organizator Systemu G. w Polsce, udostępnia (…) również narzędzia służące zarządzaniu pracownikami i obsłudze zatrudnienia. Przykładem takiego narzędzia jest intranet "(…) G." oraz powiązany z nią program do wyświetlania grafików pracy. Narzędzia te są tworzone przez G. (…) Sp. z o.o. i udostępnianie (…). (…) ma swobodę w decyzji co do tego, czy z tego narzędzia skorzysta, czy nie skorzysta, natomiast nie ma wpływu na to w jaki sposób narzędzie zostało zaprojektowane i jakie ma funkcjonalności”.
249.
Mając na uwadze omówione okoliczności przedmiotowej sprawy ocenę powagi naruszenia przepisów o ochronie danych należy odnieść do wszystkich osób objętych naruszeniem, w tym również do pracowników (…) G., dla których G. pełnił rolę administratora danych. W okolicznościach przedmiotowej sprawy nie można mieć wątpliwości, że to G. z jednej strony określił zakres przetwarzanych danych osobowych w module grafików pracowniczych, a z drugiej strony odpowiadał za zapewnienie poufności przetwarzanych tam danych osobowych, nie tylko swoich, ale również pracowników (…). Podobnie, to G. zawarł umowę z Podmiotem przetwarzającym bez przeprowadzenia stosownej weryfikacji, tego podmiotu. W konsekwencji dane osobowe pracowników (…) G. zostały mu powierzone, bez możliwości wyboru tego podmiotu.
250.
Powyższe okoliczności w postaci działań i zaniechań G. nie były bez znaczenia dla pracowników (…) G.. W ww. kontekstach stwierdzenie statusu G. jako administratora również wobec danych osobowych pracowników (…) stanowiło uzasadnienie do prowadzenia postępowania administracyjnego w tym zakresie oraz do przypisania G. odpowiedzialności, jaką ponosi administrator na gruncie przepisów rozporządzenia 2016/679, w tym art. 83 ust. 2 lit. a) rozporządzenia 2016/679, za naruszenie prawa do ochrony danych osobowych także pracowników (…) G..

Administracyjne kary pieniężne

251.
Biorąc pod uwagę powyższe ustalenia oraz stwierdzone naruszenia przepisów rozporządzenia 2016/679, Prezes UODO, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. i) rozporządzenia 2016/679, zgodnie, z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a)-h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 ust. 4 lit. a) i ust. 5 lit. a) i b) rozporządzenia 2016/679, stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie zarówno na Administratora jak i na Podmiot Przetwarzający administracyjnej kary pieniężnej.
252.
Zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 - 39 oraz 42 i 43, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
253.
Zgodnie z art. 83 ust. 5 lit. a) i b) rozporządzenia 2016/679, naruszenia przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, i praw osób, których dane dotyczą, o których mowa w art. 12-22, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Administracyjne kary pieniężne orzeczone wobec U. (…)

Zachowania U. (…) podlegające administracyjnym karom pieniężnym - ocena zastosowania art. 83 ust. 3 rozporządzenia 2016/679

254.
Art. 83 ust. 3 rozporządzenia 2016/679 stanowi, że jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.
255.
W związku ze stwierdzeniem w niniejszej sprawie wielu naruszeń przepisów rozporządzenia 2016/679 (art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c, art. 28 ust. 4 i 9 oraz art. 38 ust. 1) Prezes UODO uprawniony jest do zastosowania jednego lub kilku środków naprawczych określonych w art. 58 ust. 2 rozporządzenia 2016/679. Wśród tych uprawnień organu nadzorczego znajduje się uprawnienie do zastosowania, oprócz lub zamiast innych środków, o których mowa w tym przepisie, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy. Okoliczności niniejszej sprawy, w szczególności powaga stwierdzonych naruszeń, o czym będzie mowa w dalszych częściach uzasadnienia, wskazują, że stosownym i koniecznym będzie skorzystanie z tego uprawnienia.
256.
Ustalając konkretne sankcje za stwierdzone w niniejszej sprawie naruszenia Prezes UODO skorzystał ze wskazówek zawartych w Wytycznych EROD 04/2022 dotyczących obliczania administracyjnych kar pieniężnych na podstawie RODO (wersja 2.1) przyjętych 24 maja 2023 r., zwanych dalej Wytycznymi 04/2022. Pierwszym krokiem przyjętej tam metodyki obliczania administracyjnych kar pieniężnych jest „określenie operacji przetwarzania w danej sprawie i ocena zastosowania art. 83 ust. 3 RODO” (zob. pkt 17 Wytycznych 04/2022). Rozwijając tę wskazówkę w pkt 24 swoich wytycznych EROD zaleca w pierwszej kolejności ustalić:
a)
czy okoliczności wskazują na jedno zachowanie, czy też na wiele zachowań podlegających karze;
b)
w przypadku jednego zachowania, czy zachowanie to stanowi jedno naruszenie czy większą liczbę naruszeń;
c)
w przypadku jednego zachowania, które stanowi wiele naruszeń, czy przypisanie jednego naruszenia wyklucza przypisanie innego naruszenia, czy też należy je przypisać równolegle.
257.
Wykładnię pojęcia „jedno zachowanie” zawiera - w nawiązaniu do art. 83. ust. 3 rozporządzenia 2016/679, w którym mowa jest o „tych samych lub powiązanych operacjach przetwarzania” - pkt 28 Wytycznych 04/2022. Zgodnie z nim „[t]ermin «powiązane» odnosi się do zasady, zgodnie z którą jedno zachowanie może składać się z kilku części, które są realizowane na skutek jednego aktu woli i są kontekstowo (w szczególności jeśli chodzi o tożsamość osoby, której dane dotyczą, cel i charakter przetwarzania), przestrzennie i czasowo tak blisko powiązane, że z obiektywnego punktu widzenia można uznać je za jedno spójne zachowanie”.
258.
Stosując wyżej przedstawione wskazówki zawarte w Wytycznych 04/2022 do okoliczności niniejszej sprawy Prezes UODO dokonał analizy zachowań U. (…) (jego działań i zaniechań) prowadzących do przedstawionych powyżej (zob. pkt 102-132 uzasadnienia Decyzji) naruszeń przepisów rozporządzenia 2016/679. Analiza ta pozwoliła zidentyfikować trzy odrębne, niezależne od siebie, zachowania Podmiotu przetwarzającego naruszające trzy różne przepisy tego aktu prawnego.
259.
Jednym zachowaniem Podmiotu przetwarzającego naruszającym art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) rozporządzenia 2016/679 są jego zaniechania związane z wdrożeniem i stosowaniem środków technicznych i organizacyjnych mających na celu zapewnienia bezpieczeństwa przetwarzania danych osobowych powierzonych mu przez Administratora. Fundamentem tego zachowania i źródłem omawianego naruszenia był jeden akt woli - decyzja U. (…) (świadoma, motywowana oceną, że moduł grafików zawierający powierzone dane osobowe nie należał do jego aktywów) o zaniechaniu przeprowadzenia - przed przyjęciem do przetwarzania danych osobowych powierzonych jej przez G. - analizy ryzyka związanego z przetwarzaniem tych danych osobowych. Konsekwencją i kontynuacją tego zaniechania było zaniechanie przeprowadzenia dodatkowej analizy ryzyka związanej ze szczególnego rodzaju przetwarzaniem powierzonych danych osobowych jakim była ich migracja między dwoma serwerami. Do takiej analizy Podmiot przetwarzający był zobowiązany, jako że - jak zostało to wykazane wyżej (zob. pkt 111 uzasadnienia Decyzji) - szacowanie ryzyka nie jest działaniem jednorazowym lecz ciągłym - skorelowanym mi.in. ze zmieniającymi się charakterem, celem i ryzykiem tego przetwarzania. Nieuchronną konsekwencją braku analizy ryzyka było również niewdrożenie odpowiednich - adekwatnych do ryzyk (które przecież nie zostały zidentyfikowane) - środków technicznych i organizacyjnych mających zapewnić maksymalny poziom bezpieczeństwa przetwarzania danych osobowych. Przyjęcie takich środków, przy prawidłowo przeprowadzonej analizie identyfikującej zasoby Podmiotu przetwarzającego, zagrożenia związane z przetwarzaniem przez niego danych osobowych oraz podatności jego zasobów, pozwoliłoby w ocenie Prezesa UODO uniknąć incydentów takich jak ten inicjujący niniejsze postępowanie. Uniknąć tych incydentów pozwoliłoby również regularne testowanie, mierzenie i ocenianie tych środków bezpieczeństwa; rezygnację z tych działań również należy traktować jako zaniechanie będące konsekwencją decyzji Podmiotu przetwarzającego o zaniechaniu rezygnacji z zastosowania wobec danych mu powierzonych środków bezpieczeństwa co najmniej takich jak środki stosowane wobec danych, wobec których jest administratorem.
art.
Na to, że operacje przetwarzania stanowiące przedmiot rozpatrywanego naruszenia przepisów art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) rozporządzenia 2016/679 są tymi samymi operacjami przetwarzania w rozumieniu art. 83 ust. 3 rozporządzenia 2016/679 (i stanowią w konsekwencji „jedno zachowanie”), wskazuje - poza objęciem ich jednym aktem woli U. (…) - również wspólny kontekst tego przetwarzania. Łączy te operacje przetwarzania w ocenie Prezesa UODO:
a)
cel, charakter i sposób przetwarzania - naruszenie bezpośrednio dotyczy przetwarzania danych osobowych powierzonych U. (…) przez G. i przetwarzanych w systemie „modułu grafików pracowniczych” udostępnianego w „(…) G.” Administratora celem ewidencjonowania czasu pracy pracowników (…) funkcjonujących pod marką G. oraz zarządzania czasem ich pracy. Naruszenie we wszystkich swoich aspektach (brak analizy ryzyka, brak odpowiednich środków technicznych i organizacyjnych, brak środków testowania, mierzenia i oceniania) dotyczy bezpośrednio tych konkretnych procesów przetwarzania;
b)
tożsamość osób, których dane dotyczą - procesy przetwarzania objęte omawianym naruszeniem dotyczą bezpośrednio danych osobowych tej samej, ściśle określonej grupy osób - pracowników G. oraz pracowników (…) sieci G.. Skład tej grupy osób jest ściśle określony - była to każdocześnie grupa aktualnych i byłych pracowników Administratora i jego (…). Istotne jest to, że naruszenie art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) rozporządzenia 2016/679 dotyczy wszystkich pracowników, których dane były przetwarzane w „module grafików pracowniczych” w okresie trwania naruszenia (zob. lit. c poniżej). W dacie zaistnienia naruszenia ochrony danych osobowych (14-15 stycznia 2019 r. - zob. pkt 13 uzasadnienia Decyzji) była to grupa (…) osób; przed i po tej dacie mogła obejmować ona większą lub mniejszą (chociaż zbliżoną) liczbę osób.
c)
kontekst czasowy przetwarzania - czas trwania niezgodnego z art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) rozporządzenia 2016/679 przetwarzania danych osobowych osób, których dane dotyczą (zob. lit. b powyżej), w celu i w sposób określony pod lit. a) powyżej, jest ściśle określony - obejmuje on okres od 8 sierpnia 2018 r. (data zawarcia umowy powierzenia Podmiotowi przetwarzającemu danych osobowych osób dotkniętych naruszeniem) do 19 stycznia 2021 r. (data usunięcia przez Podmiot przetwarzający danych osobowych z „modułu grafików pracowniczych”).
Podsumowując, stwierdzić należy, że zachowanie U. (…) związane z niewdrożeniem odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo powierzonych jej przez G. danych osobowych (w tym brak analizy ryzyka oraz brak środków zapewniających regularne testowanie, mierzenie i ocenianie istniejących środków) jest jednym jej zachowaniem (dotyczącym tych samych - w rozumieniu art. 83 ust. 3 rozporządzenia 2016/679 - operacji przetwarzania) naruszającym przepisy art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) rozporządzenia 2016/679. Jest ono objęte jednym aktem woli (innym niż decyzje skutkujące naruszeniem art. 28 ust. 4 i 9 oraz art. 38 ust. 1 rozporządzenia 2016/679) i dotyczy tych samych operacji przetwarzania danych. Zarówno kontekst podjęcia decyzji o działaniach (lub zaniechaniach) prowadzących do naruszenia, jak i kontekst przetwarzania, którego to naruszenie dotyczyło, odróżnia je od pozostałych dwóch zarzucanych U. (…) w niniejszej sprawie naruszeń.
260.
Drugim, odrębnym od poprzedniego, zachowaniem U. (…) podlegającym ocenie i ukaraniu, jest korzystanie przy przetwarzaniu - w „module grafików pracowniczych” - danych osobowych powierzonych jej przez G. z usług J. S. (N. (…)). U. (…) przyjmując od G. do przetwarzania dane osobowe w „module grafików pracowniczych” (w dacie zawarcia umowy powierzenia z 8 sierpnia 2018 r.) współpracowała już (od 2 listopada 2015 r.) z J. S., który świadczył dla niej usługi wsparcia informatycznego. Zawierając z G. umowę powierzenia U. (…) zobowiązała się zawrzeć z J. S. umowę (lub dokonać innego aktu prawnego) nakładającą na niego obowiązki z zakresu ochrony danych osobowych te same jak obowiązki spoczywające na niej. Taki obowiązek wynika zresztą wprost z art. 28 ust. 4 rozporządzenia 2016/679. U. (…) nie wywiązała się z tego zobowiązania, co było w ocenie Prezesa UODO jej świadomą decyzją. I chociaż decyzja ta podjęta została w tym samym czasie co decyzja o niewdrożeniu środków zapewniających bezpieczeństwo powierzonych danych (w dacie lub tuż po dacie zawarcia umowy powierzenia z 8 sierpnia 2018 r. - zob. pkt 259 uzasadnienia Decyzji), była to de facto odrębna decyzja, gdyż inna była jej motywacja. W ocenie Prezesa UODO Podmiot przetwarzający uznał, że wymagany umową powierzenia i przepisami rozporządzenia 2016/679 pisemny akt prawny nakładający na J. S. odpowiednie obowiązki jest zbędny, gdyż z jego usług korzystał już od 2015 r., nie miał do nich zastrzeżeń, a o korzystaniu z jego usług w odniesieniu do powierzonych przez siebie danych (jeszcze przed datą zawarcia umowy z 8 sierpnia 2018 r.) wiedział sam G. i również nie zgłaszał zastrzeżeń do tej współpracy.
Na to, że zachowanie Podmiotu przetwarzającego stanowiące przedmiot rozpatrywanego naruszenia przepisów art. 28 ust. 4 i 9 rozporządzenia 2016/679 nie dotyczy „tych samych lub powiązanych operacji przetwarzania” (w rozumieniu art. 83 ust. 3 rozporządzenia 2016/679) co operacje przetwarzania, których dotyczyło poprzednie naruszenie (zob. pkt 259 powyżej) wskazuje - poza tym, że wynikało ono z odrębnego aktu woli U. (…) - również inny kontekst tego przetwarzania. Odróżnia te operacje przetwarzania w ocenie Prezesa UODO:
a)
cel i charakter przetwarzania - naruszenie art. 28 ust. 4 i 9 rozporządzenia 2016/679 dotyczy przetwarzania o węższym charakterze i ograniczonym - w stosunku do przetwarzania objętego zachowaniem naruszającym art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) rozporządzenia 2016/679 - celu tego przetwarzania. J. S. świadczył bowiem U. (…) jedynie usługi wsparcia informatycznego; dokonywał więc na danych osobowych jedynie precyzyjnie określonych czynności o charakterze technicznym. Wyraźnie o tym świadczy sytuacja przeniesienia w dniu 14 stycznia 2019 r. „modułu grafików pracowniczych” z serwera „(…)” na serwer (…) W ramach tego zadania J. S. dokonał jedynie technicznego przeniesienia aplikacji; zapewnienie nowego serwera, jego konfiguracja, analiza przenoszonych danych, zabezpieczenie w nowej lokalizacji, itp. pozostały w gestii U. (…).
b)
kontekst czasowy przetwarzania - okres, w którym dokonywane były przez J. S. czynności przetwarzania danych powierzonych przez G. - na zlecenie U. (…), ale bez zapewnienia przez nią by to przetwarzanie odbywało się na podstawie stosownej pisemnej umowy lub innego instrumentu prawnego - był inny niż czas trwania przetwarzania, którego dotyczyło naruszenie art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) rozporządzenia 2016/679. Jego początek co prawda również związany jest z zawarciem - w dniu 8 sierpnia 2018 r. - między G. a 24 (…) umowy powierzenia przetwarzania danych osobowych. Jednakże przetwarzanie przez J. S. danych osobowych, których administratorem był G., skończyło się już w lipcu 2020 r., kiedy to najpierw podpisane zostały między U. (…) a J. S. odpowiednie umowy podpowierzenia przetwarzania danych, a następnie umowy te zostały przez J. S. wypowiedziane. Tymczasem przetwarzanie przez U. (…) danych osobowych G. bez wdrożenia odpowiednich środków bezpieczeństwa trwało jeszcze do stycznia 2021 r. (zob. pkt 259 lit. c) powyżej).
Podsumowując stwierdzić należy, że zachowanie U. (…) dotyczące jej współpracy w zakresie ochrony danych osobowych z J. S. jest - na co wskazują zarówno kontekst podjęcia decyzji prowadzącej do naruszenia art. 28 ust. 4 i 9 rozporządzenia 2016/679, jak i kontekst samego przetwarzania - zachowaniem odrębnym od zachowania przedstawionego w pkt 259. Jest również innym zachowaniem niż zachowanie skutkujące naruszeniem art. 38 ust. 1 rozporządzenia 2016/679 - co zostanie wykazane w pkt 261 poniżej.
261.
Trzecim, odrębnym od obu poprzednich, zachowaniem U. (…) stanowiącym naruszenie rozporządzenia 2016/679 jest brak włączenia inspektora ochrony danych osobowych w proces przetwarzania danych osobowych powierzonych jej przez G. w systemie „modułu grafików pracowniczych”. Decyzja Podmiotu przetwarzającego o wyłączeniu inspektora ochrony danych osobowych z udziału w tym procesie miała miejsce również w dacie zawarcia z G. umowy powierzenia danych z 8 sierpnia 2018 r. lub nawet przed tą datą, gdyż nie brał on udziału w przygotowaniu i zawarciu tej umowy, która niewątpliwie powinna stanowić przedmiot jego zainteresowania. Wola niewłączenia inspektora w ten proces przetwarzania musiała być przez U. (…) wyrażana w sposób ciągły; na każdym etapie przetwarzania danych w „module grafików pracowniczych” inspektor mógł być włączony w ten proces, co jednak nie miało miejsca, aż do daty stwierdzenia naruszenia ochrony danych osobowych, to jest co najmniej do 22 lipca 2020 r. Należy wskazać, że ten akt woli Podmiotu przetwarzającego odróżnia od obu poprzednio opisanych (i skutkujących innymi naruszeniami rozporządzenia 2016/679) okoliczność, że dotyczy on innego aspektu przetwarzania danych powierzonych mu przez G.. Nie dotyczy on mianowicie samego w sobie procesu przetwarzania danych, lecz jedynie monitorowania i kontrolowania tego procesu przez niezależny i obiektywny podmiot. Naruszenie przez Podmiot przetwarzający art. 38 rozporządzenia 2016/679, czyli naruszenie statusu i uprawnień inspektora ochrony danych osobowych, nie dotyczy bezpośrednio żadnych dokonywanych przez niego operacji przetwarzania. Co prawda może ono pośrednio wpływać negatywnie na właściwe bezpieczeństwo przetwarzania danych oraz na właściwą ochronę praw, wolności i interesów osób, których dane są przetwarzane, lecz nie jest to wpływ bezpośredni i automatyczny. Okoliczność ta odróżnia to zachowanie Podmiotu przetwarzającego od poprzednio omawianych i uzasadnia postawienia mu odrębnego zarzutu.
262.
Podsumowując powyższe stwierdzić należy, że - dokonując analizy materiału dowodowego zabranego w sprawie - Prezes UODO zauważył i poddał ocenie trzy różne zachowania U. (…) prowadzące do naruszenia trzech różnych przepisów rozporządzenia 2026/679 (zob. pkt 259-261 powyżej). W związku z tym, że są to odrębne od siebie zachowania Podmiotu przetwarzającego, to znaczy nie dotyczą „tych samych lub powiązanych operacji przetwarzania”, przepis art. 83 ust. 3 rozporządzenia 2016/679 nie będzie miał zastosowania do ich zbiegu w jednej decyzji administracyjnej. Oznacza to, że suma orzeczonych za naruszenia przypisane tym zachowaniom administracyjnych kar pieniężnych („całkowita wysokość administracyjnej kary pieniężnej”) może przekroczyć wysokość kary „za najpoważniejsze naruszenie”; nieistotne jest w związku z tym, które naruszenie jest „najistotniejsze” i jakie zagrożenie karą jest z nim związane. Zachodzi tu sytuacja, do której ma zastosowanie tzw. „zasada wielości działań” (zob. pkt 44 i 45 Wytycznych 04/2022): „(…) powodem, dla którego naruszenia te mogą być rozpatrywane w ramach jednej decyzji, jest to, że przypadkowo zwróciły one uwagę organu nadzorczego w tym samym czasie, przy czym nie stanowiły one tych samych ani powiązanych operacji przetwarzania w rozumieniu art. 83 ust. 3 RODO”. Konsekwencją tego jest zaś to, że „[w] decyzji nakładającej karę organ nałoży indywidualne kary pieniężne za każde z nich, przy czym do ich sumy nie będzie miała zastosowania jedna prawnie określona maksymalna wysokość kary” (zob. Przykład 3 do pkt 45 Wytycznych 04/2022). Niezależnie jednak od wynikającej z powyższego stwierdzenia możliwości orzeczenia w niniejszej sprawie wobec Podmiotu przetwarzającego kar o łącznej wysokości przekraczającej maksymalną kwotę kary dla najpoważniejszego naruszenia (każde stwierdzone naruszenie zagrożone jest karą w wysokości do 10 000 000 euro zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679), Prezes UODO wskazuje, że łączna kwota kar orzeczona wobec niego w tych indywidualnych okolicznościach sprawy (kwota (…) zł stanowiąca równowartość (…) euro) daleka jest od limitu określonego dla każdego z naruszeń z osobna (10 000 000 euro).

Administracyjna kara pieniężna nałożona na U. (…) za naruszenie art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) rozporządzenia 2016/679

Przesłanki wymiaru kary - zastosowanie art. 83 ust. 2 rozporządzenia 2016/679

263.
Decydując o nałożeniu administracyjnej kary pieniężnej na U. (…) za naruszenie przepisów art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) rozporządzenia 2016/679, Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.
264.
Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
Stwierdzone w niniejszej sprawie naruszenie przepisów ochrony danych osobowych, którego skutkiem była możliwość uzyskania nieuprawnionego dostępu do danych osobowych, w związku z nieprawidłową konfiguracją serwera umożliwiającą przegląd zawartości katalogów dostępnych globalnie i pozostawieniem w tym katalogu zbędnej i niezabezpieczonej bazy danych osobowych (naruszenie zasady poufności), stwarza wysokie ryzyko negatywnych skutków dla osób, których dane dotyczą.
Za okoliczność obciążającą Prezes UODO uznał liczbę osób, których dotyczyło naruszenie ochrony danych osobowych ((…) pracowników (…) G.), jak również dużą liczbę podmiotów, które uzyskały nieuprawniony dostęp do tych danych. Stwierdzone w niniejszej sprawie naruszenie poufności danych osobowych, ma znaczącą wagę i poważny charakter, ponieważ może doprowadzić do szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone, a prawdopodobieństwo ich wystąpienia należy uznać za wysokie. Naruszenie przez U. (…) obowiązków zastosowania środków zabezpieczających przetwarzane dane przed ich udostępnieniem osobom nieuprawnionym pociąga za sobą nie tylko potencjalną, ale również realną możliwość wykorzystania tych danych przez podmioty trzecie bez wiedzy i wbrew woli osoby, której dane dotyczą, niezgodnie z przepisami rozporządzenia 2016/679. Podkreślić należy, że w stosunku do osób, których dane zostały naruszone nadal istnieje wysokie ryzyko niezgodnego z prawem posłużenia się ich danymi osobowymi, ponieważ nieznany jest cel, dla którego osoby nieuprawnione uzyskały dostęp do danych osobowych. Osoby, których dane dotyczą, mogą więc w dalszym ciągu doznać szkody majątkowej, a już samo naruszenie poufności danych stanowi również szkodę niemajątkową (krzywdę). W okolicznościach przedmiotowej sprawy osoby, których danych osobowych naruszenie dotyczy utraciły możliwość sprawowania kontroli nad swoimi danymi osobowymi i tym samym doznały naruszenia ich praw do ochrony danych osobowych. Podmiot danych może również odczuwać co najmniej obawę przed kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową. Z ustalonego stanu faktycznego wynika, że w przedmiotowej sprawie realne obawy zaistniały skoro niektórzy pracownicy w związku z naruszeniem ochrony danych osobowych zdecydowali się na złożenie zawiadomień na Policji o możliwości popełnienia przestępstwa. Również nie bez znaczenia jest fakt, że na specjalny dedykowany numer służący obsłudze naruszenia ochrony danych osobowych kontaktowało się tylko do 2 września 2020 r. (…) osób, których danych osobowych naruszenie dotyczy. Warto w tym miejscu powołać przykładowo wyrok Sądu Okręgowego w Warszawie z 6 sierpnia 2020 r. o sygn. akt XXV C 2596/19, w którym sąd stanął na stanowisku, że lęk związany z możliwością nieuprawnionego wykorzystania danych osobowych przez inne osoby, a więc utrata bezpieczeństwa, stanowi realną szkodę niemajątkową wiążącą się z obowiązkiem jej naprawienia. Z kolei Trybunał Sprawiedliwości UE w orzeczeniu z 14 grudnia 2023 r. w/s Natsionalna agentsia za prihodite (C-340/21) podkreślił, że „Art. 82 ust. 1 RODO należy interpretować w ten sposób, że obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić "szkodę niemajątkową" w rozumieniu tego przepisu”.
Również czas naruszenia przepisów o ochronie danych osobowych, przez który Podmiot przetwarzający nie zapewnił, aby przetwarzanie odbywało się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, za pomocą odpowiednich środków technicznych i organizacyjnych, należy uznać za znaczny. Czas ten należy bowiem liczyć od daty zawarcia umowy powierzenia przetwarzania danych osobowych (8 sierpnia 2018 r.). Chociaż pierwsze działania Podmiotu przetwarzającego mające na celu dostosowanie operacji przetwarzania do przepisów rozporządzenia nastąpiły już po stwierdzeniu naruszenia ochrony danych osobowych, kiedy to nastąpiło wyłączenie możliwości globalnego podglądu zawartości folderu, to jednak w całym okresie powierzenia przetwarzania danych osobowych Podmiot przetwarzający nie przeprowadził analizy ryzyka obejmującej czynności przetwarzania powierzonych danych osobowych (zob. pkt 29 uzasadnienia decyzji). Tym samym okres, w którym środki bezpieczeństwa przetwarzania powierzonych danych osobowych nie były odpowiednie do ryzyka związanego z ich przetwarzaniem (ze względu na brak zidentyfikowania tych ryzyk) zakończony został z dniem 19 stycznia 2021 r. (data usunięcia przez Podmiot przetwarzający danych osobowych z modułu grafików).
265.
Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
Zawarcie pomiędzy G. a U. (…) umowy powierzenia przetwarzania danych osobowych z 8 sierpnia 2018 r., zgodnie z którą U. (…) jako podmiot przetwarzający zobowiązany był do podejmowania wszelkich środków wymaganych na mocy art. 32 rozporządzenia 2016/679 oraz do udokumentowania zastosowanych środków (pkt 5.1 lit. a) Umowy powierzenia przetwarzania danych osobowych), jednoznacznie wskazuje, na to, że U. (…) umyślnie naruszył przepis art. 32 ust. 1 i 2 w zw. z art. 28 ust. 3 lit. c) rozporządzenia 2016/679. Zawarcie umowy zawierającej tak wyraźne postanowienia odnoszące się do obowiązków ciążących na Podmiocie przetwarzającym świadczy bowiem o jego wiedzy co do istnienia i zakresu tych obowiązków. U. (…) jako podmiot w sposób profesjonalny i na stosunkowo dużą skalę przetwarzający dane osobowe musiała też być świadoma konsekwencji uchybienia tym obowiązkom wynikającym z podstawowego aktu prawnego regulującego przetwarzanie danych osobowych, to jest z rozporządzenia 2016/679. Podejmując dobrowolnie działania, czy też również dobrowolnie dopuszczając się uchybień sprzecznych z postanowieniami umowy powierzenia przetwarzania danych osobowych oraz z regulacjami rozporządzenia 2016/679, U. (…) musiała więc co najmniej świadomie godzić się z tym, że stanowią one naruszenie przepisów tego rozporządzenia, i podlegać będą określonym w nim sankcjom. Takiej oceny nie zmienia jej stanowisko, że ponieważ moduł grafików pracowniczych nie należał do jej aktywów, była ona zwolniona z obowiązku zapewnienia bezpieczeństwa powierzonych jej danych osobowych przetwarzanych w tym systemie. Takie błędne stanowisko stoi bowiem ewidentnie w sprzeczności z wyraźnymi, umownymi i prawnymi, regulacjami kształtującymi jej obowiązki w zakresu ochrony danych osobowych. W związku z powyższym umyślny charakter naruszenia, którego dopuścił się Podmiot przetwarzający w niniejszej sprawie, stanowi okoliczność w wysokim stopniu go obciążającą.
266.
Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Dane osobowe, do których nieupoważnione osoby uzyskały nieuprawniony dostęp, nie należały do szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, jednakże ich zakres (tj. imię i nazwisko, numer PESEL, numer paszportu (w przypadku braku numeru PESEL), numer (…) G., data i godzina rozpoczęcia pracy, data i godzina zakończenia pracy, liczba przepracowanych godzin, stanowisko, dni wolne, rodzaj dnia oraz rodzaj pracy) wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem. Należy podkreślić, że nieuprawnione ujawnienie takich kategorii danych jak numer ewidencyjny PESEL (a w przypadku jego braku numer paszportu), w połączeniu z imieniem i nazwiskiem, jednoznacznie identyfikują osobę fizyczną. W konsekwencji może to realnie i negatywnie wpływać na ochronę praw lub wolności tej osoby. Jak wskazał WSA w Warszawie w wyroku z 1 lipca 2022 r. sygn. akt II SA/Wa 4143/21, „W przypadku naruszenia takich danych, jak imię, nazwisko oraz numer PESEL, możliwa jest bowiem kradzież lub sfałszowanie tożsamości skutkująca negatywnymi konsekwencjami dla osób, których dane dotyczą”. W tym kontekście warto przywołać wytyczne Europejskiej Rady Ochrony Danych (EROD) nr 04/2022 w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO przyjętych 24 maja 2023 r. (zwanych dalej: Wytycznymi 04/2022), w których to wskazano: „Jeśli chodzi o wymóg uwzględnienia kategorii danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) RODO), w RODO wyraźnie wskazano rodzaje danych, które podlegają szczególnej ochronie, a tym samym bardziej rygorystycznej reakcji przy nakładaniu kar pieniężnych. Dotyczy to co najmniej rodzajów danych (…), których rozpowszechnianie natychmiast powoduje szkody lub dyskomfort osoby, której dane dotyczą (np. (…) krajowych numerów identyfikacyjnych (…))”. Znaczenie ma również ilość danych dotyczących każdej osoby, której dane dotyczą, ponieważ wraz z ilością dotyczących każdej osoby, której dane dotyczą, wzrasta skala naruszenia prawa do prywatności (s. 21 pkt 57).
267.
Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił na korzyść podmiotu przetwarzającego, w ramach przesłanki „innych łagodzących czynników, mających zastosowanie do okoliczności sprawy” (art. 83 ust. 2 lit. k rozporządzenia 216/679), fakt podjęcia działań bezpośrednio ukierunkowanych na usunięcie naruszenia. Podmiot przetwarzający niezwłocznie po stwierdzeniu naruszenia wyłączył możliwość podglądu folderów globalnie, zapewnił, aby pliki mogące zawierać dane osobowe znajdowały się poza katalogiem, który jest dostępny z sieci Internet, a bazy danych, logi oraz kopie znajdowały się poza katalogiem głównym aplikacji i nie były przechowywane w zasobach publicznych oraz wdrożył system monitorowania i wykrywania ataków/wycieków (zostało włączone automatyczne narzędzie do monitorowania o nazwie (…)). Ponadto Podmiot przetwarzający w dniu 29 lipca 2020 r. zlecił sporządzenie „Raportu z analizy incydentu”. Zlecił też przeprowadzenie „Audytu aplikacji dla grafików dla G.”. (…) ten przeprowadzony został w dniu 7 grudnia 2020 r. i ujawnił istotne podatności mogące skutkować ponownym naruszeniem ochrony danych. Zatem nie ulega wątpliwości, że Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych podjął szereg działań w celu poprawy bezpieczeństwa przetwarzania danych osobowych. Podjęte przez Podmiot przetwarzający działania zastosowane z własnej inicjatywy, zasługują zatem na dostrzeżenie i akceptację w ramach rozpatrywanej przesłanki.
268.
Inne, niżej wskazane (w pkt 269-276) okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie przepisów rozporządzenia 2016/679, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
269.
Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).
W kontekście tej przesłanki znaczenie ma cel, jakiemu ma służyć działanie podmiotu przetwarzającego, czyli zminimalizowanie szkody poniesionej przez osoby, których dane dotyczą. Starania celem ograniczenia skutków naruszenia ochrony danych osobowych w przedmiotowej sprawie podjął G., co wynika ze szczególnej roli i odpowiedzialności Administratora. Nie wyklucza to jednak możliwości podjęcia takich działań również przez Podmiot przetwarzający. Ponieważ Prezes UODO nie odnotował w niniejszym przypadku tego typu działań podmiotu przetwarzającego, przesłankę tę należało ocenić neutralnie.
270.
Stopień odpowiedzialności podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
Zgodnie z Wytycznymi 4/2022, rozpatrując tę przesłankę, „organ nadzorczy musi odpowiedzieć na pytanie, w jakim stopniu administrator «zrobił wszystko, czego można by było oczekiwać», zważywszy na charakter, cele lub zakres przetwarzania oraz w świetle obowiązków nałożonych na niego przez rozporządzenie”.
Prezes UODO stwierdził w niniejszej sprawie naruszenie przez Podmiot przetwarzający przepisu art. 32 ust. 1 i 2 w zw. z art. 28 ust. 3 rozporządzenia 2016/679. W jego ocenie na Podmiocie przetwarzającym ciąży w wysokim stopniu odpowiedzialność za niewdrożenie odpowiednich środków technicznych i organizacyjnych, które zapobiegłyby naruszeniu ochrony danych osobowych. Oczywistym jest, że w rozważanym kontekście charakteru, celu i zakresu przetwarzania danych osobowych Podmiot przetwarzający nie „zrobił wszystkiego, czego można by było od niego oczekiwać”, tym samym nie wywiązał się z nałożonych na niego przepisem art. 32 rozporządzenia 2016/679 obowiązków.
W niniejszej sprawie okoliczność ta stanowi jednak o istocie samego naruszenia, nie jest jedynie czynnikiem wpływającym - łagodząco lub obciążająco - na jego ocenę. Z tego też względu brak odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 32 rozporządzenia 2016/679, nie może zostać przez Prezesa UODO uznany w niniejszej sprawie za okoliczność mogącą dodatkowo wpłynąć na surowszą ocenę naruszenia i wymiar nałożonej na Podmiot przetwarzający administracyjnej kary pieniężnej.
271.
Wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust. 2 lit. e rozporządzenia 2016/679).
Prezes UODO nie stwierdził jakichkolwiek, dokonanych przez Podmiot przetwarzający, wcześniejszych naruszeń przepisów o ochronie danych osobowych. Obowiązkiem każdego podmiotu przetwarzającego jest przestrzeganie przepisów prawa (w tym o ochronie danych osobowych), więc brak wcześniejszych naruszeń nie może być okolicznością łagodzącą przy wymierzaniu sankcji.
272.
Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679)
Po stwierdzeniu naruszenia ochrony danych osobowych Podmiot przetwarzający podjął szereg działań w celu poprawy bezpieczeństwa przetwarzania danych osobowych (zob. pkt 267 uzasadnienia Decyzji). Czynności te jednak podjęte zostały przez Podmiot przetwarzający samodzielnie i spontanicznie, bez wcześniejszego działania czy jakiejkolwiek interwencji ze strony organu nadzorczego. Nie można więc tutaj mówić o „współpracy z organem”, która to współpraca mogłaby być traktowana jako okoliczność łagodząca w ramach przesłanki sformułowanej w art. 83 ust. 2 lit. f) rozporządzenia 2016/679. Natomiast działania Podmiotu przetwarzającego, o których mowa powyżej, potraktowane zostały przez Prezesa UODO jako „inne łagodzące czynniki”, o których mowa w art. 83 ust. 2 lit. k) rozporządzenia 2016/679 - zob. pkt 267 uzasadnienia decyzji.
273.
Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).
Prezes UODO dowiedział się o naruszeniu z urzędu - w toku postępowania w przedmiocie zgłoszenia naruszenia ochrony danych osobowych dokonanego przez G.. W związku z tym, że to nie Podmiot przetwarzający był źródłem informacji o naruszeniu, brak jest podstaw do uznania tej okoliczności za działającą na jego korzyść. Jak stanowią Wytyczne 04/2022 w pkt 99: „W przypadku gdy organ nadzorczy dowiedział się o naruszeniu na przykład w wyniku skargi lub w toku postępowania, co do zasady element ten należy uznać (…) za okoliczność neutralną”.
274.
Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Podmiotu przetwarzającego w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Podmiot przetwarzający nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
275.
Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).
Podmiot przetwarzający nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak - jak stanowią przepisy rozporządzenia 2016/679 - obowiązkowe dla administratorów i podmiotów przetwarzających w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Podmiotu przetwarzającego. Na korzyść U. (…) natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów, jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.
276.
Inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej. W szczególności nie stwierdził, by Podmiot przetwarzający osiągnął w związku z naruszeniem jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat.

Ustalenie wysokości kary z zastosowaniem Wytycznych 04/2022

277.
Ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej nałożonej na U. (…) Prezes UODO zastosował metodykę przyjętą przez EROD w Wytycznych 04/2022. Zgodnie z przedstawionymi w tym dokumencie wskazówkami Prezes UODO przeprowadził niżej przedstawiony proces kalkulacji kary.
278.
Jako podstawę obliczenia administracyjnej kary pieniężnej Prezes UODO przyjął wartość obrotu U. (…) za rok 2024 przedstawioną przez nią we „wstępnej informacji finansowej na 31.12.2024 rok” załączonym do pisma z 17 kwietnia 2025 r. Zgodnie z tym dokumentem obrót spółki („przychody netto ze sprzedaży i zrównane z nimi”) w roku 2024 wyniósł (…) zł, co - w przeliczeniu na euro (wg średniego kursu euro z 28 stycznia 2025 r. wynoszącego 1 EUR: 4,2092 PLN - przyjętego dla tego oraz dla wszelkich innych poniższych przeliczeń walutowych zgodnie z art. 103 u.o.d.o.) - stanowi kwotę (…) euro. Dodatkowo z przedstawionego przez U. (…) sprawozdania finansowego za rok 2023, również załączonego do pisma z 17 kwietnia 2025 r., wynika, że jej obrót w tym roku obrotowym wyniósł (…) zł.
Pismem, które wpłynęło do Prezesa UODO 15 maja 2025 r., Podmiot przetwarzający wniósł o uwzględnienie przy wymiarze kary pieniężnej faktycznej wysokości obrotów U. (…). Według oświadczenia U. (…), przy świadczeniu usług spółka ponosi dodatkowe koszty, które są następnie refakturowane na klientów. Wobec powyższego faktyczna wysokość obrotów (z których to obrotów „Spółka finansuje koszty swojej działalności”) - kwota (…) zł za 2024 r. - znacznie różni się od danych ujawnionych we „wstępnej informacji finansowej” za rok 2024 jako przychody netto ze sprzedaży (kwota (…) zł). Odpowiadając na ten wniosek U. (…) Prezes UODO wskazuje, że brak jest możliwości przyjęcia jako podstawy wymiaru kary innej wartości niż wysokość obrotu ujawniona w sprawozdaniu finansowym przedsiębiorstwa (lub innym dokumencie odpowiadającym treścią sprawozdaniu finansowemu). Używany w przepisach rozporządzenia 2016/679 termin „obrót” jasno zdefiniowany został w rozdziale 6.2.2 Wytycznych 4/2022 jako „suma wszystkich sprzedanych towarów i usług”, a „dane dotyczące wysokości obrotu pochodzą z rocznego sprawozdania finansowego”. Prezes UODO wskazuje dodatkowo, że przyjęty przez U. (…) model biznesowy polegający na zakupie we własnym imieniu, ale na rzecz swoich klientów usług (i następnie ich refakturowanie), zamiast świadczenia ich na rzecz klientów własnymi zasobami, nie zmienia oceny jej siły gospodarczej i pozycji na rynku, której to ocenie służyć ma właśnie miernik w postaci „obrotu przedsiębiorstwa”. Nie ulega wątpliwości, że U. (…) oferuje swoim klientom (aktualnym lub potencjalnym) pewne usługi (kampanie reklamowe, materiały reklamowe, zdjęcia video i inne wskazane przykładowo w jej piśmie z 12 maja 2025); bez znaczenia jest, czy świadczy je sama czy też zapewnia ich świadczenie przez podmioty trzecie. Z tytułu ich sprzedaży swoim klientom uzyskuje korzyści (wynagrodzenie, korzyści wizerunkowe, większe możliwości pozyskania klientów wynikające z szerszej oferty usług, itp.), które wzmacniają jej siłę gospodarczą i pozycję na rynku. Ich uwzględnienie w sprawozdaniu finansowym w pozycji „przychody netto ze sprzedaży” jest w ocenie Prezesa UODO miarodajne i realnie oddające wielkość i siłę gospodarczą podmiotu.
279.
Zgodnie z przedstawionymi w Wytycznych 04/2022 wskazówkami Prezes UODO dokonał kategoryzacji stwierdzonego naruszenia przepisów rozporządzenia 2016/679 (Rozdział 4.1 Wytycznych 04/2022). Naruszenie art. 32 rozporządzenia 2016/679 należy - zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 - do kategorii naruszeń zagrożonych karą niższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 10 000 000 euro lub do 2% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Są one więc in abstracto mniej poważne od drugiej grupy naruszeń podlegających administracyjnym karom pieniężnym (wskazanych w art. 83 ust. 5 i 6 rozporządzenia 2016/679).
280.
Prezes UODO ustalił prawnie określoną maksymalną wysokość kary możliwą do orzeczenia wobec U. (…) w niniejszej sprawie (za oceniane w niniejszej decyzji naruszenie art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) rozporządzenia 2016/679) - patrz Rozdział 6.1 Wytycznych 04/2022. Przepis art. 83 ust. 4 lit. a) Rozporządzenia 2016/679 zobowiązuje Prezesa UODO do określenia czy w sprawie zastosowanie będzie miała tzw. „statyczna kwota maksymalna” (10 000 000 euro), czy „dynamiczna kwota maksymalna” (2 % obrotu z poprzedniego roku obrotowego), i do przyjęcia kwoty wyższej jako kwoty maksymalnej, której orzeczona w sprawie administracyjna kara pieniężna nie może przekroczyć. Wartość 2 % obrotu Spółki za poprzedni rok obrotowy to kwota (…) zł (równowartość (…) euro). W związku z tym, że jest to kwota niższa niż statyczna kwota maksymalna (10 000 000 euro), Prezes UODO zobligowany jest do przyjęcia jako maksimum kwoty wynoszącej 10 000 000 euro, którego nie może przekroczyć orzekając administracyjną karę pieniężną.
281.
Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o średnim poziomie powagi (Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które dotyczą strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679) oraz kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej. W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest średni. Konsekwencją tego jest zaś przyjęcie - jako kwoty wyjściowej do obliczenia kary - wartości mieszczącej się w przedziale od 10 % do 20 % maksymalnej wysokości kary możliwej do orzeczenia wobec Podmiotu przetwarzającego, to jest - zważywszy na limit określony w art. 83 ust. 4 rozporządzenia 2016/679 - od kwoty 1 000 000 euro do kwoty 2 000 000 euro (Podrozdział 4.2.4 Wytycznych 04/2022). Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę 2 000 000 euro (równowartość 8 418 400 zł).
282.
Prezes UODO dostosował kwotę wyjściową odpowiadającą powadze stwierdzonego naruszenia do obrotu Podmiotu przetwarzającego jako miernika jego wielkości i siły gospodarczej (Rozdział 4.3 Wytycznych 04/2022). Zgodnie z Wytycznymi 04/2022, w przypadku przedsiębiorstw, których roczny obrót wynosi do od 2 do 10 mln euro, organ nadzorczy może rozważyć dokonanie dalszych obliczeń wysokości kary na podstawie wartości mieszczącej się w przedziale od 0,3 % do 2,0 % kwoty wyjściowej. Zważywszy, że przychód Podmiotu przetwarzającego w roku 2024 wyniósł (…) zł, to jest (…) euro (wg średniego kursu euro z dnia 28 stycznia 2025 r.), Prezes UODO za stosowne uznał skorygowanie podlegającej obliczeniom kwoty kary do wartości odpowiadającej (…)% kwoty wyjściowej, to jest do kwoty (…) euro (równowartość (…) zł).
283.
Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się - jak zakładają Wytyczne 04/2022 - do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej. Prezes UODO uznał (co uzasadnione zostało w przedstawionej wyżej części uzasadnienia decyzji), że okolicznościami łagodzącymi w przedmiotowej sprawie, i w związku z tym zmniejszającymi wymiar orzeczonej kary, jest niezwłoczna reakcja Podmiotu przetwarzającego po stwierdzeniu naruszenia (art. 83 ust. 2 lit. k) rozporządzenia 2016/679). Pozostałe przesłanki (z art. 83 ust. 2 lit. c), d), e), f), h), i), j) rozporządzenia 2016/679) - jak wskazano wyżej - nie miały wpływu, ani łagodzącego ani obciążającego, na ocenę naruszenia i w konsekwencji na wymiar kary. Ze względu na zaistnienie więc w sprawie dodatkowych okoliczności łagodzących, związanych ze stroną podmiotową naruszeń (oceną postępowania Podmiotu przetwarzającego po naruszeniu), za zasadne Prezes UODO uznał zmniejszenie kwoty kary ustalonej na podstawie oceny powagi naruszeń. Adekwatnym do wpływu tej przesłanki na ocenę naruszenia jest zdaniem Prezesa UODO jej obniżenie do kwoty 94 286 zł, stanowiącej równowartość 22 400 euro.
284.
Prezes UODO uznał, że wysokość kary nie wymaga dodatkowej korekty ze względu na zasady skuteczności, proporcjonalności i odstraszającego charakteru kary wymienione w art. 83 ust. 1 rozporządzenia 2016/679 (Rozdział 7 Wytycznych 04/2022). Kara pieniężna w wysokości stanowiącej równowartość 22 400 euro będzie karą skuteczną (przez swoją dolegliwość pozwoli osiągnąć swój cel represyjny, którym jest ukaranie za bezprawne zachowanie) i odstraszającą (pozwalającą skutecznie zniechęcić zarówno Podmiot przetwarzający, jak i innych procesorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679). Zasada proporcjonalności wymaga z kolei m.in., by przyjęte przez organ nadzorczy środki nie wykraczały poza to, co odpowiednie i konieczne do realizacji uzasadnionych celów (pkt 137 i pkt 139 Wytycznych 04/2022). Innymi słowy: „Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku” (P. Litwiński (red.), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (…); Komentarz do art. 83 [w:] P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz). Kwota 94 286 zł stanowiąca równowartość 22 400 euro stanowi próg, powyżej którego dalsze zwiększanie wysokości kary nie będzie wiązało się ze wzrostem jej skuteczności i odstraszającego charakteru. Z drugiej natomiast strony obniżenie w większym stopniu wysokości kary mogłoby się odbyć kosztem jej skuteczności i odstraszającego charakteru, a także spójnego stosowania i egzekwowania rozporządzenia 2016/679 i zasady równego traktowania podmiotów na rynku wewnętrznym UE i EOG.

Administracyjna kara pieniężna nałożona na U. (…) za naruszenie art. 28 ust. 4 i 9 rozporządzenia 2016/679

Przesłanki wymiaru kary - zastosowanie art. 83 ust. 2 rozporządzenia 2016/679

285.
Decydując o nałożeniu administracyjnej kary pieniężnej na U. (…) za naruszenie przepisów art. 28 ust. 4 i 9 rozporządzenia 2016/679, Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a)-k) rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.
286.
Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
Przy wymierzaniu kary istotne znaczenie miała okoliczność, że w przedmiotowej sprawie doszło do naruszenia przepisów rozporządzenia 2016/679 nakładających na podmiot przetwarzający jedne z podstawowych i kluczowych dla bezpieczeństwa przetwarzanych w imieniu administratora danych obowiązków tj. zawarcie umowy podpowierzenia w odpowiedniej formie i stosownej treści. Umowa podpowierzenia regulująca m.in obowiązki zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, tak by przetwarzanie odpowiadało wymogom rozporządzenia 2016/679, gwarantuje bezpieczeństwo tych danych, za co podmiot przetwarzający odpowiada przed administratorem. Ponadto Prezes UODO miał na uwadze, że proces przetwarzania obejmował wszystkie dane osobowe, do których inny podmiot przetwarzający uzyskał dostęp w ramach świadczenia usług wsparcia informatycznego, w tym (…) pracowników (…) G.. Ponadto, jak wynika z umowy powierzenia przetwarzania danych osobowych zawartej pomiędzy G. a U. (…), powierzenie przetwarzania danych obejmowało różne kategorie danych i kategorie osób (zob. pkt 8 uzasadnienia Decyzji). Brak zawarcia umowy podpowierzenia przetwarzania danych obejmującej operacje związane z powierzeniem tak dużej liczby osób, o różnych kategoriach danych, stanowi o poważnym zlekceważeniu przepisów prawa.
Również czas naruszenia przepisów o ochronie danych osobowych, w którym Podmiot przetwarzający korzystał z usług innego podmiotu przetwarzającego bez uprzedniego zawarcia stosownej umowy regulującej obowiązki zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, tak by przetwarzanie odpowiadało wymogom rozporządzenia 2016/679, należało ocenić jako długi. Okres ten obejmował bowiem okres od 8 sierpnia 2018 r. (data zawarcia umowy powierzenia przetwarzania danych przez U. (…) z G.) do dnia faktycznego podpisania umowy podpowierzenia danych przez pana J. S., tj. 24 lipca 2020 r. Z powyższego Prezes UODO wywodzi, że naruszenie art. 28 ust. 4 i 9 rozporządzenia 2016/679 wpływa obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.
287.
Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
Analizując tę przesłankę Prezes UODO uwzględnił wskazówki zawarte w Wytycznych 04/2022, zgodnie z którymi umyślność „obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego” (pkt 55 Wytycznych 04/2022). W oparciu o okoliczności faktyczne sprawy, należało przyjąć, że Podmiot przetwarzający był świadomy konieczności zawarcia umowy dalszego podpowierzenia przetwarzania danych osobowych. O powyższym jednoznacznie świadczy treść umowy powierzenia przetwarzania danych osobowych zawartej z G. w dniu 8 sierpnia 2018 r., w której zgodnie z postanowieniem pkt 7.2 Podmiot przetwarzający przyjął na siebie taki obowiązek. Zawarcie umowy zawierającej tak wyraźne postanowienie odnoszące się do obowiązku ciążącego na Podmiocie przetwarzającym świadczy więc o jego wiedzy co do istnienia tego obowiązku. U. (…) jako podmiot w sposób profesjonalny i na stosunkowo dużą skalę przetwarzający dane osobowe musiała też być świadoma konsekwencji uchybienia temu obowiązkowi wynikającemu z podstawowego aktu prawnego regulującego przetwarzanie danych osobowych, to jest z rozporządzenia 2016/679. Dopuszczając się dobrowolnie uchybienia sprzecznego z postanowieniem umowy powierzenia przetwarzania danych osobowych oraz z regulacją rozporządzenia 2016/679, U. (…) musiała więc co najmniej świadomie godzić się z tym, że stanowi ono naruszenie przepisów tego rozporządzenia, i podlegać będzie określonym w nim sankcjom. W związku z powyższym umyślny charakter omawianego w tym miejscu naruszenia popełnionego przez Podmiot przetwarzający stanowi okoliczność w wysokim stopniu go obciążającą.
288.
Inne obciążające czynniki (art. 83 ust. 2 lit. k rozporządzenia 2016/679)
W toku postępowania Podmiot przetwarzający przedstawił Prezesowi UODO umowę podpowierzenia przetwarzania danych osobowych („Ramową umowę podpowierzenia przetwarzania danych osobowych” i „Umowę wykonawczą dot. podpowierzenia przetwarzania danych osobowych”), jako zawartą 25 maja 2018 r., podczas gdy w wyniku przeprowadzonej analizy ustalono, że umowa w rzeczywistości została podpisana dopiero 24 lipca 2020 r. W ocenie Prezesa UODO przedstawienie na wezwanie Prezesa UODO antydatowanej umowy podpowierzenia przetwarzania danych osobowych było celowym działaniem ukierunkowanym na uchylenie się od odpowiedzialności za brak jej zawarcia. Celowa próba wprowadzenia w błąd Prezesa UODO, co do okoliczności mogących świadczyć o naruszeniu przepisów o ochronie danych osobowych, nie powinna pozostać obojętna dla ustalenia wysokości administracyjnej kary pieniężnej.
289.
Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił na korzyść podmiotu przetwarzającego, w ramach przesłanki „innych łagodzących czynników, mających zastosowanie do okoliczności sprawy” (art. 83 ust. 2 lit. k rozporządzenia 216/679), fakt ostatecznego wywiązania się z obowiązku zawarcia stosownej umowy podpowierzenia danych osobowych. Podmiot przetwarzający podjął działania zmierzające do wypełnienia obowiązku wynikającego z art. 28 ust. 4 i 9 rozporządzenia 2016/679, zrobił to jednak dopiero po stwierdzeniu naruszenia ochrony danych osobowych. Podjęte przez Podmiot przetwarzający działania zastosowane z własnej inicjatywy, zanim organ nadzorczy dowiedział się o sprawie i podjął pierwsze czynności, zasługują zatem na dostrzeżenie i akceptację w ramach rozpatrywanej przesłanki. Pomimo, że Podmiot przetwarzający w trakcie trwania postępowania próbował wprowadzić w błąd Prezesa UODO co do okoliczności daty zawarcia tej umowy, należało dostrzec fakt, że umowa ostatecznie została zawarta.
290.
Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie przepisów rozporządzenia 2016/679, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
291.
Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).
Prezes UODO nie stwierdził, aby w wyniku naruszenia przez podmiot przetwarzający przepisów rozporządzenia 2016/679, tj. braku wywiązania się z obowiązków obligacyjnych i prawnych w postaci zawarcia stosownej umowy dalszego powierzenia przetwarzania danych osobowych, doszło do poniesienia szkód przez osoby, których dane obejmował proces przetwarzania. Wobec tego żadne działania nie były wymagane. Zważywszy na charakter naruszenia przepisów rozporządzenia 2016/679, omawiana przesłanka nie miała wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
292.
Stopień odpowiedzialności podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
Naruszenie art. 28 ust. 4 i 9 rozporządzenia 2016/679 nie ma związku ze stosowanymi przez Podmiot przetwarzający środkami technicznymi i organizacyjnymi, o których mowa w art. 25 i 32 rozporządzenia 2016/679, zatem przesłanka wskazana w art. 83 ust. 2 lit. d) rozporządzenia 2016/679 nie ma w rozpatrywanym przypadku wpływu ani obciążającego, ani łagodzącego na wymiar orzeczonej administracyjnej kary pieniężnej.
293.
Wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust. 2 lit. e rozporządzenia 2016/679).
W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 271 uzasadnienia Decyzji.
294.
Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679).
Prezes UODO w toku postępowania ustalił, że Podmiot przetwarzający dostosował operacje przetwarzania do przepisów rozporządzenia 2016/679 w zakresie naruszenia art. 28 ust. 4 i 9 rozporządzenia 2016/679, tj. zawarł stosowną umowę dalszego powierzenia danych osobowych. Nastąpiło to jednak z własnej inicjatywy Podmiotu przetwarzającego po stwierdzeniu naruszenia ochrony danych osobowych i przed wszczęciem niniejszego postępowania administracyjnego. Nie można więc tutaj mówić o „współpracy z organem”, która to współpraca mogłaby być traktowana jako okoliczność łagodząca w ramach przesłanki sformułowanej w art. 83 ust. 2 lit. f) rozporządzenia 2016/679. Natomiast działanie Podmiotu przetwarzającego, o którym mowa powyżej, potraktowane zostało przez Prezesa UODO jako „inny łagodzący czynnik”, o którym mowa w art. 83 ust. 2 lit. k) rozporządzenia 2016/679 - zob. pkt 289 uzasadnienia Decyzji.
295.
Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Ze względu na okoliczność, że naruszenie polegające na korzystaniu z usług innego podmiotu przetwarzającego bez uprzedniego zawarcia stosownej umowy regulującej obowiązki zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom rozporządzenia 2016/679, nie wiąże się bezpośrednio z naruszeniem ochrony jakichkolwiek danych osobowych (i ich kategorii), przesłanka ta ze swej istoty nie może mieć zastosowania do oceny tego naruszenia.
296.
Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).
W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 273 uzasadnienia Decyzji.
297.
Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).
W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 274 uzasadnienia Decyzji.
298.
Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).
W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 275 uzasadnienia Decyzji.
299.
Inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 276 uzasadnienia Decyzji.

Ustalenie wysokości kary z zastosowaniem Wytycznych 04/2022.

300.
Jako podstawę obliczenia administracyjnej kary pieniężnej wobec U. (…) za naruszenie przepisów art. 28 ust. 4 i 9 rozporządzenia 2016/679 , Prezes UODO przyjął wartość obrotu U. (…) za rok 2024 - jak w pkt 278 uzasadnienia Decyzji.
301.
Zgodnie z przedstawionymi w Wytycznych 04/2022 wskazówkami Prezes UODO dokonał kategoryzacji stwierdzonego naruszenia przepisów rozporządzenia 2016/679 (Rozdział 4.1 Wytycznych 04/2022). Naruszenia przepisów art. 28 ust. 4 i 9 rozporządzenia 2016/679 należą - zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 - do kategorii naruszeń zagrożonych karą niższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 10 000 000 euro lub do 2% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Są one więc in abstracto mniej poważne od drugiej grupy naruszeń podlegających administracyjnym karom pieniężnym (wskazanych w art. 83 ust. 5 i 6 rozporządzenia 2016/679).
302.
Prezes UODO ustalił prawnie określoną maksymalną wysokość kary możliwą do orzeczenia wobec U. (…) za oceniane naruszenie art. 28 ust. 4 i 9 rozporządzenia 2016/679 (patrz Rozdział 6.1 Wytycznych 04/2022) jako kwotę wynoszącą 10 000 000 euro, której nie może przekroczyć orzekając administracyjną karę pieniężną - jak w pkt 280 uzasadnienia decyzji.
303.
Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o niskim poziomie powagi (Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które dotyczą strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej, W tym miejscu wskazać należy; że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest niski. Konsekwencją tego jest zaś przyjęcie - jako kwoty wyjściowej do obliczenia kary - wartości do 10 % maksymalnej wysokości kary możliwej do orzeczenia wobec Podmiotu przetwarzającego, to jest - zważywszy na limit określony w art. 83 ust. 4 rozporządzenia 2016/679 - do kwoty 1 000 000 euro (Podrozdział 4.2.4 Wytycznych 04/2022). Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę 800 000 euro (równowartość 3 367 360 zł).
304.
Prezes UODO dostosował kwotę wyjściową odpowiadającą powadze stwierdzonego naruszenia do obrotu Podmiotu przetwarzającego jako miernika jego wielkości i siły gospodarczej (Rozdział 4.3 Wytycznych 04/2022). Zgodnie z Wytycznymi 04/2022, w przypadku przedsiębiorstw, których roczny obrót wynosi do od 2 do 10 mln euro, organ nadzorczy może rozważyć dokonanie dalszych obliczeń wysokości kary na podstawie wartości mieszczącej się w przedziale od 0,3 % do 2,0 % kwoty wyjściowej. Zważywszy, że przychód Podmiotu przetwarzającego w roku 2024 wyniósł (…) zł, to jest ok. (…) euro (wg średniego kursu euro z dnia 28 stycznia 2025 r.), Prezes UODO za stosowne uznał skorygowanie podlegającej obliczeniom kwoty kary do wartości odpowiadającej (…)% kwoty wyjściowej, to jest do kwoty 11 200 euro (równowartość 47 143 zł).
305.
Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się - jak zakładają Wytyczne 04/2022 - do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej. Prezes UODO uznał (co uzasadnione zostało w przedstawionej wyżej części uzasadnienia decyzji), że okolicznościami łagodzącymi w przedmiotowej sprawie, i w związku z tym zmniejszającymi wymiar orzeczonej kary, jest zawarcie umowy podpowierzenia danych osobowych po stwierdzeniu naruszenia ochrony danych osobowych, a przed wszczęciem postępowania przez Prezesa UODO (art. 83 ust. 2 lit. k) rozporządzenia 2016/679). Jednocześnie Prezes UODO uznał (co uzasadnione zostało w przedstawionej wyżej części uzasadnienia decyzji), że okolicznością obciążającą w przedmiotowej sprawie, i w związku z tym dodatkowo zwiększającą wymiar orzeczonej kary, jest postawa Podmiotu przetwarzającego próbującego wprowadzić w błąd Prezesa UODO co do daty zawarcia umowy podpowierzenia danych osobowych (wszelkie inne obciążające czynniki mające zastosowanie do okoliczności sprawy - art. 83 ust. 2 lit. k rozporządzenia 2016/679). Pozostałe przesłanki (z art. 83 ust. 2 lit. c), d), e), f), g), h), i), j) rozporządzenia 2016/679) - jak wskazano wyżej - nie miały wpływu, ani łagodzącego ani obciążającego, na ocenę naruszenia i w konsekwencji na wymiar kary. Ze względu na zaistnienie więc w sprawie dodatkowych okoliczności obciążających, przy uwzględnieniu zaistnienia okoliczności łagodzących, związanych ze stroną podmiotową naruszeń (oceną postępowania Podmiotu przetwarzającego po stwierdzeniu naruszenia), za zasadne Prezes UODO uznał zmniejszenie kwoty kary ustalonej na podstawie oceny powagi naruszeń. Adekwatnym do łącznego wpływu tych przesłanek na ocenę naruszenia jest zdaniem Prezesa UODO jej obniżenie do kwoty 42 429 zł, stanowiącej równowartość 10 080 euro.
306.
Prezes UODO uznał, że wysokość kary nie wymaga dodatkowej korekty ze względu na zasady skuteczności, proporcjonalności i odstraszającego charakteru kary wymienione w art. 83 ust. 1 rozporządzenia 2016/679 (Rozdział 7 Wytycznych 04/2022). W ocenie Prezesa UODO dla uzasadnienia skuteczności, proporcjonalności i odstraszającego charakteru kary w ustalonej wysokości aktualna pozostaje ocena przedstawiona w pkt 284 uzasadnienia Decyzji.

Administracyjna kara pieniężna nałożona na U. (…) za naruszenie art. 38 ust. 1 rozporządzenia 2016/679

Przesłanki wymiaru kary - zastosowanie art. 83 ust. 2 rozporządzenia 2016/679

307.
Decydując o nałożeniu administracyjnej kary pieniężnej na U. (…) za naruszenie przepisu art. 38 ust. 1 rozporządzenia 2016/679, Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a)-k) rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.
308.
Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
Przy wymierzaniu kary znaczenie miała okoliczność, że naruszenie art. 38 ust. 1 rozporządzenia 2016/679, nakładającego na Podmiot przetwarzający obowiązek w zakresie niezwłocznego włączenia inspektora ochrony danych w sprawy dotyczące przetwarzania danych osobowych, dotyczyło wyłącznie badanego przez organ procesu przetwarzania przez Podmiot przetwarzający danych powierzonych mu przez G.. Organ miał przy tym na uwadze to, że operacje związane z powierzeniem przetwarzania danych osobowych, w które inspektor ochrony danych powinien być włączany, dotyczyły szerokiego zakresu danych, w tym (…) pracowników (…) G., których dotyczyło naruszenie ochrony danych osobowych.
Dodatkowo czas, przez który IOD nie był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych należało ocenić jako znaczny. Rozpoczął się bowiem od 18 sierpnia 2018 r. (data zawarcia umowy powierzenia przetwarzania danych osobowych z U. (…)). Inspektor ochrony danych został włączony w proces przetwarzania danych dopiero po stwierdzeniu naruszenia ochrony danych osobowych, tj. 22 lipca 2020 r., kiedy to udzielił wsparcia w obsłudze incydentu. Pomimo zatem wyznaczenia inspektora ochrony danych, podmiot przetwarzający uniemożliwił mu prawidłowe wykonywanie jego zadań i obowiązków.
W toku postępowania administracyjnego nie stwierdzono, by naruszenie przepisów rozporządzenia 2016/679 dotyczących funkcjonowania inspektora ochrony danych miało bezpośredni związek z wystąpieniem naruszenia ochrony danych osobowych czy też wyrządzeniem osobom szkód, lecz nie można wykluczyć, że gdyby IOD był prawidłowo włączany we wszystkie procesy, mogłoby to zapobiec nieprawidłowościom i w konsekwencji naruszeniu ochrony danych osobowych. Nie zmieniło to jednak całościowej oceny, tj. uznania w analizowanej sprawie przesłanki z art. 83 ust. 2 lit. a) rozporządzenia 2016/679 za obciążającą.
309.
Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
W okolicznościach niniejszej sprawy brak włączenia ustanowionego przez Podmiot przetwarzający inspektora ochrony danych, właściwie i niezwłocznie we wszystkie sprawy dotyczące ochrony danych osobowych, należało uznać za działanie stanowiące o umyślnym naruszeniu art. 38 ust. 1 rozporządzenia 2016/679. Sam fakt powołania przez U. (…) inspektora ochrony danych w swojej organizacji świadczy w ocenie Prezesa UODO o jej wiedzy co do zadań, obowiązków i uwarunkowań działania inspektora ochrony danych. U. (…) jako podmiot w sposób profesjonalny i na stosunkowo dużą skalę przetwarzający dane osobowe musiała też być świadoma konsekwencji uchybienia obowiązkom związanym z działalnością inspektora ochrony danych w organizacji, a wynikającym z podstawowego aktu prawnego regulującego przetwarzanie danych osobowych, to jest z rozporządzenia 2016/679. Podejmując dobrowolnie działania, czy też dopuszczając się dobrowolnie uchybień naruszających status IOD wyznaczony przepisami rozporządzenia 2016/679, U. (…) musiała co najmniej świadomie godzić się z tym, że stanowią one naruszenie przepisów tego rozporządzenia, i podlegać będą określonym w nim sankcjom. W związku z powyższym umyślny charakter naruszenia, którego dopuścił się Podmiot przetwarzający w niniejszej sprawie, stanowi okoliczność w wysokim stopniu go obciążającą.
310.
Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił na korzyść Podmiotu przetwarzającego, w ramach przesłanki „innych łagodzących czynników, mających zastosowanie do okoliczności sprawy” (art. 83 ust. 2 lit. k rozporządzenia 216/679), fakt, że po stwierdzeniu naruszenia ochrony danych osobowych, Podmiot przetwarzający włączył inspektora ochrony danych w proces obsługi naruszenia ochrony danych osobowych. Ponadto Prezes UODO dostrzegł zaangażowanie ustanowionego inspektora ochrony danych w prowadzonym postępowaniu. Usunięcie przez Podmiot przetwarzający stanu naruszenia miało wpływ dla określenia wymiaru kary i zostało ocenione jako istotna okoliczność łagodząca.
311.
Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie przepisów rozporządzenia 2016/679, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
312.
Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).
Prezes UODO nie stwierdził, aby naruszenie przez podmiot przetwarzający przepisów rozporządzenia 2016/679, tj. brak włączenia ustanowionego inspektora ochrony danych, właściwie i niezwłocznie we wszystkie sprawy dotyczące ochrony danych osobowych, przyczynił się bezpośrednio do wystąpienia naruszenia ochrony danych osobowych czy też poniesienia szkód przez osoby, których dane obejmował proces przetwarzania. Wobec tego żadne działania mające na celu zminimalizowanie szkody nie były wymagane. Zważywszy na charakter naruszenia przepisów rozporządzenia 2016/679, omawiana przesłanka nie miała wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
313.
Stopień odpowiedzialności podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
Naruszenie przepisu art. 38 ust. 1 rozporządzenia 2016/679 nie ma związku ze stosowanymi przez Podmiot przetwarzający środkami technicznymi i organizacyjnymi, o których mowa w art. 25 i 32 rozporządzenia 2016/679, zatem przesłanka wskazana w art. 83 ust. 2 lit. d) rozporządzenia 2016/679 nie ma w rozpatrywanym przypadku wpływu ani obciążającego, ani łagodzącego na wymiar orzeczonej administracyjnej kary pieniężnej.
314.
Wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust. 2 lit. e rozporządzenia 2016/679).
W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 271 uzasadnienia Decyzji.
315.
Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679).
Prezes UODO w toku postępowania ustalił, że Podmiot przetwarzający dołożył starań by włączyć IOD w proces obsługi naruszenia ochrony danych osobowych. Nastąpiło to jednak z własnej inicjatywy Podmiotu przetwarzającego, po stwierdzeniu naruszenia ochrony danych osobowych i przed wszczęciem niniejszego postępowania administracyjnego. Nie można więc tutaj mówić o „współpracy z organem”, która to współpraca mogłaby być traktowana jako okoliczność łagodząca w ramach przesłanki sformułowanej w art. 83 ust. 2 lit. f) rozporządzenia 2016/679. Natomiast działanie Podmiotu przetwarzającego, o którym mowa powyżej, potraktowane zostało przez Prezesa UODO jako „inny łagodzący czynnik”, o którym mowa w art. 83 ust. 2 lit. k) rozporządzenia 2016/679 - zob. pkt 310 uzasadnienia Decyzji.
316.
Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Ze względu na okoliczność, że naruszenie polegające na braku włączania ustanowionego inspektora ochrony danych we wszystkie sprawy dotyczące ochrony danych osobowych, nie wiąże się bezpośrednio z naruszeniem ochrony jakichkolwiek danych osobowych (i ich kategorii), przesłanka ta ze swej istoty nie może mieć zastosowania do oceny tego naruszenia.
317.
Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).
W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 273 uzasadnienia Decyzji.
318.
Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).
W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 274 uzasadnienia Decyzji.
319.
Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).
W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 275 uzasadnienia Decyzji.
320.
Inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 276 uzasadnienia Decyzji.

Ustalenie wysokości kary z zastosowaniem Wytycznych 04/2022.

321.
Jako podstawę obliczenia administracyjnej kary pieniężnej Prezes UODO przyjął wartość obrotu U. (…) za rok 2024 - jak w pkt 278 uzasadnienia Decyzji.
322.
Zgodnie z przedstawionymi w Wytycznych 04/2022 wskazówkami Prezes UODO dokonał kategoryzacji stwierdzonego naruszenia przepisów rozporządzenia 2016/679 (Rozdział 4.1 Wytycznych 04/2022). Naruszenie przepisu art. 38 ust. 1 należy - zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 - do kategorii naruszeń zagrożonych karą niższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 10 000 000 euro lub do 2% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Jest ono więc in abstracto mniej poważne od drugiej grupy naruszeń podlegających administracyjnym karom pieniężnym (wskazanych w art. 83 ust. 5 i 6 rozporządzenia 2016/679).
323.
Prezes UODO ustalił prawnie określoną maksymalną wysokość kary możliwą do orzeczenia wobec U. (…) za oceniane naruszenie art. 38 ust. 1 rozporządzenia 2016/679 (patrz Rozdział 6.1 Wytycznych 04/2022) jako kwotę wynoszącą 10 000 000 euro, której nie może przekroczyć orzekając administracyjną karę pieniężną - jak w pkt 280 uzasadnienia Decyzji.
324.
Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o średnim poziomie powagi (Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które dotyczą strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679) oraz umyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej. W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest średni. Konsekwencją tego jest zaś przyjęcie - jako kwoty wyjściowej do obliczenia kary - wartości mieszczącej się w przedziale od 10 % do 20 % maksymalnej wysokości kary możliwej do orzeczenia wobec Podmiotu przetwarzającego, to jest - zważywszy na limit określony w art. 83 ust. 4 rozporządzenia 2016/679 - od kwoty 1 000 000 euro do kwoty 2 000 000 euro (Podrozdział 4.2.4 Wytycznych 04/2022). Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę 1 000 000 euro (równowartość 4 209 200 zł).
325.
Prezes UODO dostosował kwotę wyjściową odpowiadającą powadze stwierdzonego naruszenia do obrotu Podmiotu przetwarzającego jako miernika jego wielkości i siły gospodarczej (Rozdział 4.3 Wytycznych 04/2022). Zgodnie z Wytycznymi 04/2022, w przypadku przedsiębiorstw, których roczny obrót wynosi do od 2 do 10 mln euro, organ nadzorczy może rozważyć dokonanie dalszych obliczeń wysokości kary na podstawie wartości mieszczącej się w przedziale od 0,3 % do 2,0 % kwoty wyjściowej. Zważywszy, że przychód Podmiotu przetwarzającego w roku 2024 wyniósł (…) zł, to jest (…) euro (wg średniego kursu euro z dnia 28 stycznia 2025 r.), Prezes UODO za stosowne uznał skorygowanie podlegającej obliczeniom kwoty kary do wartości odpowiadającej (…)% kwoty wyjściowej, to jest do kwoty (…) euro (równowartość (…) zł).
326.
Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się - jak zakładają Wytyczne 04/2022 - do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej. Prezes UODO uznał (co uzasadnione zostało w przedstawionej wyżej części uzasadnienia decyzji), że okolicznością łagodzącą w przedmiotowej sprawie, i w związku z tym zmniejszająca wymiar orzeczonej kary, jest włączenie inspektora ochrony danych w obsługę incydentu po stwierdzeniu naruszenia ochrony danych osobowych, a przed wszczęciem postępowania przez Prezesa UODO (art. 83 ust. 2 lit. k) rozporządzenia 2016/679). Pozostałe przesłanki (z art. 83 ust. 2 lit. c), d), e), f), g), h), i), j) rozporządzenia 2016/679) - jak wskazano wyżej - nie miały wpływu, ani łagodzącego ani obciążającego, na ocenę naruszenia i w konsekwencji na wymiar kary. Ze względu na zaistnienie okoliczności łagodzącej, związanej ze stroną podmiotową naruszenia (oceną postępowania Podmiotu przetwarzającego po stwierdzeniu naruszenia), za zasadne Prezes UODO uznał zmniejszenie kwoty kary ustalonej na podstawie oceny powagi naruszeń. Adekwatnym do łącznego wpływu tej przesłanki na ocenę naruszenia jest zdaniem Prezesa UODO jej obniżenie do kwoty 47 143 zł, stanowiącej równowartość 11 200 euro.
327.
Prezes UODO uznał, że wysokość kary nie wymaga dodatkowej korekty ze względu na zasady skuteczności, proporcjonalności i odstraszającego charakteru kary wymienione w art. 83 ust. 1 rozporządzenia 2016/679 (Rozdział 7 Wytycznych 04/2022). W ocenie Prezesa UODO dla uzasadnienia skuteczności, proporcjonalności i odstraszającego charakteru kary w ustalonej wysokości aktualna pozostaje ocena przedstawiona w pkt 284 uzasadnienia Decyzji.

Administracyjne kary pieniężne orzeczone wobec G.

Zachowania G. podlegające administracyjnym karom pieniężnym - ocena zastosowanie art. 83 ust. 3 rozporządzenia 2016/679

328.
Stosując do okoliczności niniejszej sprawy przepis art. 83 ust. 3 rozporządzenia 2016/679 oraz wskazówki zawarte w Wytycznych 04/2022 (przybliżone w pkt 254-257) Prezes UODO dokonał analizy zachowań G. (jego działań i zaniechań) prowadzących do przedstawionych powyżej (zob. pkt 133-225 uzasadnienia Decyzji) naruszeń przepisów rozporządzenia 2016/679. Analiza ta pozwoliła zidentyfikować cztery odrębne, niezależne od siebie, zachowania Administratora naruszające kilka różnych przepisów tego aktu prawnego.
329.
Pierwszym zachowaniem G. podlegającym ocenie i ukaraniu w niniejszej sprawie jest zaniechanie zweryfikowania, przed zawarciem z U. (…) umowy powierzenia przetwarzania danych osobowych z 8 sierpnia 2018 r., czy podmiot ten zapewnia gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. Zachowanie to skutkowało naruszeniem art. 28 ust. 1 rozporządzenia 2016/679. Jego źródłem była zaś świadoma, podjęta wbrew obowiązującym w G. regulacjom (zob. pkt 152 uzasadnienia Decyzji), decyzja motywowana doświadczeniami wieloletniej (mającej miejsce przed rozpoczęciem stosowania rozporządzenia 2016/679) współpracy oraz referencjami niemającymi wartości z punktu widzenia zapewnienia przez Podmiot przetwarzający bezpieczeństwa przetwarzanym danym osobowym (zob. pkt 151 uzasadnienia Decyzji). Ten akt woli G. przyczynił się do sytuacji, w której U. (…) przetwarzała dane osobowe powierzone jej przez G. nie wdrożywszy odpowiednich środków technicznych i organizacyjnych celem ich zabezpieczenia. Prawidłowa weryfikacja Podmiotu przetwarzającego, taka chociażby jaka miała miejsce wobec nowego podmiotu, któremu Administrator zamierzał powierzyć dane osobowe (zob. pkt 21 uzasadnienia Decyzji), mogłaby zapobiec temu naruszeniu. Podkreślić tutaj należy, że naruszenie przez Administratora art. 28 rozporządzenia 2016/679, czyli naruszenie przepisów regulujących powierzenie przetwarzania danych osobowych podmiotowi przetwarzającemu, nie dotyczy bezpośrednio żadnych dokonywanych przez niego operacji przetwarzania (dotyczy stosunku administrator - podmiot przetwarzający, a nie administrator - osoba, której dane dotyczą). Co prawda może ono pośrednio wpływać negatywnie na właściwe bezpieczeństwo przetwarzania danych oraz na właściwą ochronę praw, wolności i interesów osób, których dane są przetwarzane, lecz nie jest to wpływ bezpośredni i automatyczny. Okoliczność ta odróżnia to zachowanie Administratora w szczególności od jego zachowania prowadzącego do naruszenia przepisów art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 rozporządzenia 2016/679.
330.
Drugim zachowaniem G. zidentyfikowanym w niniejszej sprawie przez Prezesa UODO, a prowadzącym do naruszenia kolejnych przepisów rozporządzenia 2026/679, są zaniechania skutkujące niewdrożeniem odpowiednich środków technicznych i organizacyjnych, zapewniających bezpieczeństwo przetwarzania danych osobowych powierzonych U. (…) i przetwarzanych przez ten podmiot w „module grafików pracowniczych”. Na zachowanie to składa się kilka części (zob. pkt 28 Wytycznych 04/2022), z których pierwszą i zasadniczą było zaniechanie już na etapie projektowania tego procesu przeprowadzenia analizy ryzyka z nim związanego oraz analizy zakresu danych niezbędnych w tym procesie przetwarzania. Bezpośrednią konsekwencją tego zaniechania G. było ustalenie zbyt szerokiego zakresu przetwarzanych w „module grafików pracowniczych” danych, obejmującego nadmiarowo np. numery PESEL osób, których dane dotyczą. Dalszą zaś konsekwencją braku analizy ryzyka (i częścią omawianego zachowania) było zaniechanie określenia i wdrożenia odpowiednich (nie dowolnych) środków technicznych i organizacyjnych mających na celu zabezpieczenie przetwarzanych danych (w tym np. sformułowania dla Podmiotu przetwarzającego odpowiednich wymogów technicznych i organizacyjnych oraz określenia środków kontroli i nadzoru zapewniających stosowanie przez Podmiot przetwarzający tych wymogów). Kolejnym elementem (częścią) omawianego zachowania, mającym miejsce już w trakcie samego przetwarzania danych w „module grafików pracowniczych”, było zaniechanie regularnej i cyklicznej kontroli stosowania i skuteczności zarówno środków bezpieczeństwa stosowanych przez Podmiot przetwarzający, jak i swoich własnych środków wdrożonych (jak zostało wykazane wyżej - dowolnie) celem zapewnienia by dane te przetwarzane były zgodnie z prawem, a także by Podmiot przetwarzający wywiązywał się prawidłowo ze swoich obowiązków wynikających z rozporządzenia 2016/679 oraz z umowy przetwarzania danych osobowych z 8 sierpnia 2018 r.
Opisany wyżej ciągły proces powiązanych ze sobą zaniechań G. odnoszących się do jednego i tego samego procesu przetwarzania danych - stanowi w ocenie Prezesa UODO jedno jego zachowanie prowadzące do naruszenia art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 i - w konsekwencji - art. 5 ust. 1 lit. c) i lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679. Operacje przetwarzania stanowiące przedmiot tych naruszeń są zaś „tymi samymi operacjami przetwarzania” w rozumieniu art. 83 ust. 3 rozporządzenia 2016/679, na co wskazuje - poza objęciem ich jednym aktem woli Administratora - również wspólny kontekst tego przetwarzania: jego cel i charakter, tożsamość osób, których dane dotyczą oraz jego kontekst czasowy (aktualna pozostaje tutaj analiza tych okoliczności przedstawiona w odniesieniu do analogicznego naruszenia popełnionego przez U. (…) - zob. pkt 259 uzasadnienia Decyzji).
331.
Trzecim, odrębnym od obu poprzednich, zachowaniem G. naruszającym przepisy rozporządzenia 2016/679 (konkretnie - art. 38 ust. 1 tego aktu prawnego) jest brak włączenia inspektora ochrony danych osobowych w badany w niniejszej sprawie proces przetwarzania danych osobowych w systemie „modułu grafików pracowniczych”. Decyzja Administratora o wyłączeniu IOD osobowych z udziału w tym procesie miała miejsce również w dacie zawarcia z U. (…) umowy powierzenia danych z 8 sierpnia 2018 r. albo nawet przed tą datą, gdyż to właśnie w tym czasie nie została przeprowadzona stosowna, zgodna z procedurami Administratora, ocena Podmiotu przetwarzającego. Przy przeprowadzeniu takiej oceny udział IOD był wymagany; czynność ta niewątpliwie stanowić powinna bowiem przedmiot jego zainteresowania. Była to świadoma decyzja Administratora; trudno bowiem mówić o nieumyślności w sytuacji, gdy w organizacji (…) obowiązywały wewnętrzne akty prawne regulujące szczegółowo i precyzyjnie status i zadania IOD. Ponadto wola niewłączenia inspektora w ten proces przetwarzania musiała być przez G. wyrażana w sposób ciągły; na każdym etapie przetwarzania przez Podmiot przetwarzający danych osobowych w „module grafików pracowniczych” inspektor mógł być włączony w ten proces (w ramach zadań monitorujących przestrzeganie polityk Administratora i przepisów rozporządzenia 2016/679), co jednak nie miało miejsca. Również po stwierdzeniu naruszenia ochrony danych osobowych IOD nie był właściwie i niezwłocznie włączany w omawiany proces przetwarzania danych, skoro 4 sierpnia 2020 r. to nie on sporządził, wbrew wewnętrznymi regulacjom Administratora (zob. pkt 70 uzasadnienia Decyzji), „Raport z postępowania wyjaśniającego dotyczącego wystąpienia incydentu skutkującego naruszeniem ochrony danych osobowych Nr (…) (na podstawie zgłoszenia incydentu Nr (…))”. Udział IOD został uwidoczniony dopiero przy przygotowaniu i udzieleniu odpowiedzi na pismo Prezesa UODO z 27 sierpnia 2020 r., a następnie 18 marca 2021 r. przy wyborze nowego podmiotu przetwarzającego, kiedy została przeprowadzona i zatwierdzona przez inspektora ochrony danych ocena tego podmiotu, zgodnie z wewnętrznymi procedurami Administratora. Należy wskazać, że ten akt woli Administratora odróżnia od aktu woli poprzednio opisanego (skutkującego naruszeniem obowiązków związanych z bezpieczeństwem przetwarzania danych) okoliczność, że dotyczy on innego aspektu przetwarzania danych. Nie dotyczy on mianowicie samego w sobie procesu przetwarzania danych, lecz jedynie monitorowania i kontrolowania tego procesu przez niezależny i obiektywny podmiot. Naruszenie przez Administratora art. 38 rozporządzenia 2016/679, czyli naruszenie statusu i uprawnień inspektora ochrony danych osobowych, nie dotyczy bezpośrednio żadnych operacji przetwarzania danych osobowych. Co prawda może ono pośrednio wpływać negatywnie na właściwe bezpieczeństwo przetwarzania danych oraz na właściwą ochronę praw, wolności i interesów osób, których dane są przetwarzane, lecz nie jest to wpływ bezpośredni i automatyczny.
332.
Czwarte zachowanie G. stanowiące w ocenie Prezesa UODO podlegające ocenie w niniejszej sprawie polegało na niezawiadomieniu o naruszeniu ochrony danych osobowych swoich byłych pracowników w sposób bezpośredni (drogą indywidualnego kontaktu). Zachowanie to było efektem decyzji motywowanej błędnym przeświadczeniem, że zawiadomienia, o którym mowa w art. 34 ust. 1 rozporządzenia 2016/679, w stosunku do grupy swoich byłych pracowników Administrator może dokonać drogą komunikatu publicznego. Działanie Administratora prowadzące do naruszenia art. 34 ust. 1 rozporządzenia jest niewątpliwie zachowaniem odrębnym od pozostałych trzech zachowań G. podlegającym sankcjom w niniejszej sprawie. Szczegółowa jego analiza jest jednak zbędna, ponieważ Prezes UODO zdecydował się poprzestać w przypadku tego naruszenia na udzieleniu Administratorowi upomnienia. Artykuł 83 ust. 3 rozporządzenia 2016/679, wymagający identyfikacji i ewentualnego rozróżnienia działań prowadzących do naruszeń, ma zaś zastosowanie jedynie do sankcji w postaci administracyjnych kar pieniężnych. W związku z tym też to zachowanie administratora oraz naruszenie rozporządzenia 2016/679 będące jego skutkiem wyłączone będzie z dalszych rozważań.
333.
Podsumowując analizę zachowań G. prowadzących do naruszeń wielu przepisów rozporządzenia 2016/679 i odnosząc się do wskazówek EROD zawartych w Wytycznych 04/2022 (Rozdział 3 - „Zbieżne naruszenia i zastosowanie art. 83 ust. 3 RODO”) stwierdzić należy co następuje:
a)
W ustalonych okolicznościach niniejszej sprawy Prezes UODO zidentyfikował trzy odrębne zachowania Administratora zasługujące w jego ocenie - ze względu na swój naganny charakter i wysoką powagę naruszenia - na ukaranie sankcją w postaci administracyjnej kary pieniężnej;
b)
Zachowanie opisane w pkt 329 stanowi naruszenie jednego przepisu - art. 28 ust. 1 rozporządzenia 2016/679; wymierzona za nie została kara w wysokości 1 632 063 zł stanowiącej równowartość kwoty (…) euro.
c)
Zachowanie opisane w pkt 330 stanowi naruszenie kilku przepisów - art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 rozporządzenia 2016/679 oraz - w konsekwencji - art. 5 ust. 1 lit. c) i lit. f) oraz art. 5 ust. 2), przy czym naruszenie art. 24 rozporządzenia 2016/679 nie podlega ukaraniu administracyjną karą pieniężną (art. 24 nie jest wymieniony w przepisach art. 83 ust 4 i 5 rozporządzenia 2016/679 stanowiących podstawę wymierzania kar za naruszenia tego aktu prawnego), w związku z czym Prezes UODO nie brał tego naruszenia pod uwagę przy ustalaniu wysokości administracyjnej kary pieniężnej za naruszenie zawiązane ze stosowaniem środków bezpieczeństwa przetwarzanych danych. Konsekwencją naruszenia jednym zachowaniem kilku przepisów rozporządzenia 2016/679 jest zastosowanie do takiego zbiegu naruszeń przepisu art. 83 ust. 3 rozporządzenia 2016/679. Zgodnie z nim całkowita kara za te naruszenia nie może przekroczyć wysokości kary za najpoważniejsze z nich (za naruszenie zagrożone najwyższą karą). Ponieważ najpoważniejszymi naruszeniami spośród wyżej wskazanych są naruszenia podstawowych zasad przetwarzania określone w art. 5 ust. 1 lit. c) i lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679 i zagrożone - zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679 - karą w wysokości do 20 000 000 euro lub do 4 % obrotu przedsiębiorstwa, kara wymierzona za naruszenie wszystkich wskazanych wyżej przepisów (art. 25 ust. 1, art. 32 ust. 1 i 2, art. 5 ust. 1 lit. c) i lit. f) oraz art. 5 ust. 2) nie może przekroczyć tych limitów. W niniejszej sprawie w odniesieniu do G. maksymalne zagrożenie karą to kwota (…) euro, stanowiąca 4 % jego obrotu w roku 2024. Tak więc kwota orzeczonej niniejszą decyzją kary za omawiane naruszenie - (…) zł (równowartość kwoty (…) euro) zdecydowanie nie przekracza tego limitu.
d)
Zachowanie opisane w pkt 331 stanowi naruszenie jednego przepisu - art. 38 ust. 1 rozporządzenia 2016/679; wymierzona za nie została kara w wysokości 1 700 066 zł stanowiącej równowartość kwoty 403 892,89 euro.
334.
W związku z tym, że wszystkie trzy zachowania Administratora są od siebie odrębne, to znaczy nie dotyczą „tych samych lub powiązanych operacji przetwarzania”, przepis art. 83 ust. 3 rozporządzenia 2016/679 nie będzie miał zastosowania do ich zbiegu w jednej decyzji administracyjnej. Oznacza to, że suma orzeczonych za naruszenia przypisane tym zachowaniom administracyjnych kar pieniężnych („całkowita wysokość administracyjnej kary pieniężnej”) może przekroczyć wysokość kary „za najpoważniejsze naruszenie”; nieistotne jest w związku z tym, które naruszenie jest „najistotniejsze” i jakie zagrożenie karą jest z nim związane. Zachodzi tu sytuacja, do której ma zastosowanie tzw. „zasada wielości działań” (zob. pkt 44 i 45 Wytycznych 04/2022): „(…) powodem, dla którego naruszenia te mogą być rozpatrywane w ramach jednej decyzji, jest to, że przypadkowo zwróciły one uwagę organu nadzorczego w tym samym czasie, przy czym nie stanowiły one tych samych ani powiązanych operacji przetwarzania w rozumieniu art. 83 ust. 3 RODO”. Konsekwencją tego jest zaś to, że „[w] decyzji nakładającej karę organ nałoży indywidualne kary pieniężne za każde z nich, przy czym do ich sumy nie będzie miała zastosowania jedna prawnie określona maksymalna wysokość kary” (zob. Przykład 3 do pkt 45 Wytycznych 04/2022). Niezależnie jednak od wynikającej z powyższego stwierdzenia możliwości orzeczenia w niniejszej sprawie wobec Administratora kar o łącznej wysokości przekraczającej maksymalną kwotę kary dla najpoważniejszego naruszenia (najpoważniejszym naruszeniem Administratora stwierdzonym niniejszą decyzją jest naruszenie podstawowych zasad przetwarzania określonych w art. 5 ust. 1 lit. c) i lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679 zagrożone - zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679 - karą w wysokości do 20 000 000 euro lub do 4 % obrotu przedsiębiorstwa), Prezes UODO wskazuje, że łączna kwota kar orzeczona wobec niego w tych indywidualnych okolicznościach sprawy (kwota 16 932 657 zł stanowiąca równowartość 4 022 773,21 euro) daleka jest od limitu określonego dla G. na kwotę (…) euro (wynikającą z zastosowania wskaźnika 4 % do jego obrotu za 2024 r.).

Administracyjna kara pieniężna nałożona na G. za naruszenie art. 28 ust. 1 rozporządzenia 2016/679

Przesłanki wymiaru kary - zastosowanie art. 83 ust. 2 rozporządzenia 2016/679

335.
Decydując o nałożeniu na G. za naruszenie art. 28 ust. 1 rozporządzenia 2016/679 administracyjnej kary pieniężnej Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a)-k) rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.
336.
Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
Przy wymierzaniu kary znaczenie miała okoliczność, że Administrator naruszył te przepisy rozporządzenia 2016/679, które wprowadzają podstawowe obowiązki w zakresie powierzenia przetwarzania danych osobowych. Brak przeprowadzenia prawidłowej weryfikacji procesora przed zawarciem umowy powierzenia przetwarzania danych osobowych i oparcie decyzji, co do wyboru podmiotu przetwarzającego o okoliczności, które nie pozwalały prawidłowo ocenić, czy podmiot ten zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą, skutkowało tym, że Administrator skorzystał z usług podmiotu przetwarzającego, który nie zapewniał takich wystarczających gwarancji. Ponadto Prezes UODO miał na uwadze, że proces przetwarzania obejmował szeroki zakres danych osobowych, w tym (…) pracowników (…) G.. Brak weryfikacji podmiotu przetwarzającemu, któremu Administrator powierzył przetwarzanie tak dużej liczby osób, o różnych kategoriach danych, stanowi o poważnym zlekceważeniu przepisów prawa.
Ponadto, czas naruszenia przepisów o ochronie danych osobowych, przez który administrator powierzał przetwarzanie danych osobowych podmiotowi, który nie zapewniał wystarczających gwarancji bezpieczeństwa był znaczny. Rozpoczął się bowiem od 18 sierpnia 2018 r., kiedy zawarta została umowa powierzenia przetwarzania danych osobowych z U. (…). Dopiero po wystąpieniu naruszenia ochrony danych osobowych, Administrator w dniu 3 listopada 2020 r. przeprowadził weryfikację podmiotu przetwarzającego, a w dniu 8 stycznia 2021 r. złożył pierwsze oświadczenie skutkujące rezygnacją ze świadczenia usług U. (…) w ramach obsługi grafików pracowniczych.
337.
Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
W oparciu o zebrany materiał dowodowy należało stwierdzić, że G. był świadomy konieczności dokonania weryfikacji podmiotu przetwarzającego przed zawarciem umowy powierzenia, zgodnie z art. 28 ust. 1 rozporządzenia 2016/679. O powyższym świadczą obowiązujące w G. procedury, w szczególności regulujące konieczność i sposób wyboru podmiotu przetwarzającego oraz jego weryfikację przed zawarciem umowy powierzenia, czy spełnia gwarancje zapewnienia bezpieczeństwa przetwarzanym danym. G. nie stosował się do własnych procedur, których celem było zapewnienie możliwości wywiązania się Administratora z obowiązków spoczywających na nim mocą rozporządzenia 2016/679. Mając na uwadze obszerność i precyzyjność wewnętrznych kompleksowych regulacji (zob. pkt. 152 uzasadnienia Decyzji) i brak ich stosowania przez G., należy uznać to zachowanie za działanie świadomie naruszające obowiązki związane z zapewnieniem bezpieczeństwa danym osobowym. Stwierdzić należy, że G. był świadomy ciążących na nim obowiązków i co najmniej godził się, że na to, że na skutek jego zaniechań naruszone zostaną zarówno jego wewnętrzne akty prawne, jak i przepisy rozporządzenia 2016/679. Tak więc stanowi to istotną okoliczność wpływającą obciążająco na wysokość kary administracyjnej.
338.
Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił na korzyść G., w ramach przesłanki „innych łagodzących czynników, mających zastosowanie do okoliczności sprawy” (art. 83 ust. 2 lit. k rozporządzenia 216/679), fakt podjęcia działań zmierzających do dokonania weryfikacji podmiotu przetwarzającego. Administrator przeprowadził uzupełniającą weryfikację podmiotu przetwarzającego czy podmiot ten zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi art. 28 ust. 1 rozporządzenia 2016/679. Administrator zrobił to jednak dopiero po stwierdzeniu naruszenia ochrony danych osobowych, a sama ocena nie spełniała warunków prawidłowości poprzez brak oceny końcowej oraz podpisu osoby sporządzającej. Można jednak przyjąć, że w ocenie Administratora podmiot przetwarzający nie zapewniał wystarczających gwarancji bezpieczeństwa przetwarzania powierzonych danych osobowych, ponieważ ostatecznie zrezygnował z usług (…) przetwarzającego związanych z danymi osobowymi, które uległy naruszeniu. Podjęte przez G. działania zastosowane z własnej inicjatywy, zanim organ nadzorczy wszczął postępowanie, zasługują zatem na dostrzeżenie i akceptację w ramach rozpatrywanej przesłanki.
339.
Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie przepisów rozporządzenia 2016/679, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
340.
Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).
Prezes UODO nie stwierdził, aby w wyniku naruszenia przez G. przepisów rozporządzenia 2016/679, tj. braku weryfikacji podmiotu przetwarzającego przed zawarciem umowy powierzenia, doszło bezpośrednio do poniesienia szkód przez osoby, których dane obejmował proces przetwarzania. Wobec tego żadne działania nie były wymagane. Zważywszy na charakter naruszenia przepisów rozporządzenia 2016/679, omawiana przesłanka nie miała wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
341.
Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
Naruszenie art. 28 ust. 1 rozporządzenia 2016/679 nie ma związku ze stosowanymi przez Administratora środkami technicznymi i organizacyjnymi, o których mowa w art. 25 i 32 rozporządzenia 2016/679, zatem przesłanka wskazana w art. 83 ust. 2 lit. d) rozporządzenia 2016/679 nie ma w rozpatrywanym przypadku wpływu ani obciążającego, ani łagodzącego na wymiar orzeczonej administracyjnej kary pieniężnej.
342.
Wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e rozporządzenia 2016/679).
Prezes UODO nie stwierdził jakichkolwiek, dokonanych przez Administratora, wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. Obowiązkiem każdego administratora jest przestrzeganie przepisów prawa (w tym o ochronie danych osobowych), więc brak wcześniejszych naruszeń nie może być okolicznością łagodzącą przy wymierzaniu sankcji.
343.
Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679).
Prezes UODO w toku postępowania ustalił, że Administrator podjął działania zmierzające do dokonania weryfikacji podmiotu przetwarzającego. Administrator zrobił to jednak dopiero po stwierdzeniu naruszenia ochrony danych osobowych, a sama ocena nie spełniała warunków prawidłowości poprzez brak oceny końcowej oraz podpisu osoby sporządzającej. Ostatecznie Administrator zrezygnował z usług (…) przetwarzającego związanych z danymi osobowymi, które uległy naruszeniu. Działania te podjęte zostały z własnej inicjatywy Administratora i przed wszczęciem niniejszego postępowania administracyjnego. Nie można więc tutaj mówić o „współpracy z organem”, która to współpraca mogłaby być traktowana jako okoliczność łagodząca w ramach przesłanki sformułowanej w art. 83 ust. 2 lit. f) rozporządzenia 2016/679. Natomiast działanie Administratora, o którym mowa powyżej, potraktowane zostało przez Prezesa UODO jako „inny łagodzący czynnik”, o którym mowa w art. 83 ust. 2 lit. k) rozporządzenia 2016/679 - zob. pkt 338 uzasadnienia Decyzji.
344.
Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Ze względu na okoliczność, że naruszenie polegające na braku weryfikacji podmiotu przetwarzającego przed zawarciem umowy powierzenia przetwarzania danych osobowych, nie wiąże się bezpośrednio z naruszeniem ochrony jakichkolwiek danych osobowych (i ich kategorii), przesłanka ta ze swej istoty nie może mieć zastosowania do oceny tego naruszenia.
345.
Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).
Prezes UODO dowiedział się o naruszeniu przepisu art. 28 ust. 1 rozporządzenia 2016/679 z urzędu - w toku postępowania zainicjowanego dokonanym przez Administratora zgłoszeniem naruszenia ochrony danych osobowych. Administrator dokonując tego zgłoszenia realizował jedynie ciążący na nim obowiązek prawny, brak jest więc podstaw do uznania, że fakt ten stanowi dla niego okoliczność łagodzącą. Zgodnie z Wytycznymi 04/2022 „[o]koliczność ta nie ma znaczenia, gdy administrator podlega szczególnym obowiązkom w zakresie zgłaszania naruszeń (np. obowiązkowi zgłaszania naruszenia ochrony danych osobowych określonemu w art. 33 RODO). W takich przypadkach fakt dokonania zgłoszenia należy uznać za okoliczność neutralną” (zob. pkt 98 Wytycznych 04/2022).
346.
Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
347.
Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).
Administrator nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak - jak stanowią przepisy rozporządzenia 2016/679 - obowiązkowe dla administratorów i podmiotów przetwarzających w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na korzyść Administratora natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.

Ustalenie wysokości kary z zastosowaniem Wytycznych 04/2022.

348.
Jako podstawę obliczenia administracyjnej kary pieniężnej Prezes UODO przyjął wartość obrotu G. za rok 2024 przedstawioną w oświadczeniu załączonym do pisma z 24 kwietnia 2025 r. Zgodnie z tym dokumentem obrót spółki w roku 2024 wyniósł (…) zł, co - w przeliczeniu na euro (wg średniego kursu euro z 28 stycznia 2025 r. wynoszącego 1 EUR: 4,2092 PLN - przyjętego dla tego oraz dla wszelkich innych poniższych przeliczeń walutowych zgodnie z art. 103 u.o.d.o.) - stanowi kwotę (…) euro.
349.
Zgodnie z przedstawionymi w Wytycznych 04/2022 wskazówkami Prezes UODO dokonał kategoryzacji stwierdzonego w niniejszej sprawie naruszenia przepisów rozporządzenia 2016/679 (Rozdział 4.1 Wytycznych 04/2022). Naruszenie art. 28 ust. 1 rozporządzenia 2016/679 należy - zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 - do kategorii naruszeń zagrożonych karą niższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 10 000 000 euro lub do 2% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Jest ono więc in abstracto mniej poważne od drugiej grupy naruszeń podlegających administracyjnym karom pieniężnym (wskazanych w art. 83 ust. 5 i 6 rozporządzenia 2016/679).
350.
Prezes UODO ustalił prawnie określoną maksymalną wysokość kary możliwą do orzeczenia wobec Administratora w niniejszej sprawie (za oceniane w niniejszej decyzji naruszenie art. 28 ust. 1 rozporządzenia 2016/679) - patrz Rozdział 6.1 Wytycznych 04/2022. Przepis art. 83 ust. 4 lit. a) Rozporządzenia 2016/679 zobowiązuje Prezesa UODO do określenia czy w sprawie zastosowanie będzie miała tzw. „statyczna kwota maksymalna” (10 000 000 euro), czy „dynamiczna kwota maksymalna” (2 % obrotu z poprzedniego roku obrotowego), i do przyjęcia kwoty wyższej jako kwoty maksymalnej, której orzeczona w sprawie administracyjna kara pieniężna nie może przekroczyć. Wartość 2 % obrotu G. za poprzedni rok obrotowy to kwota (…) zł (równowartość (…) euro). W związku z tym, że jest to kwota wyższa niż statyczna kwota maksymalna (10 000 000 euro), Prezes UODO zobligowany jest do jej przyjęcia jako maksimum, którego nie może przekroczyć orzekając administracyjną karę pieniężną.
351.
Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o niskim poziomie powagi (Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które dotyczą strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej. W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest niski. Konsekwencją tego jest zaś przyjęcie - jako kwoty wyjściowej do obliczenia kary - wartości do 10 % maksymalnej wysokości kary możliwej do orzeczenia wobec Administratora (Podrozdział 4.2.4 Wytycznych 04/2022). Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę (…) euro (równowartość (…) zł).
352.
Stosownie do wskazówki EROD przedstawionej w pkt 66 tiret czwarte Wytycznych 04/2022 (odnoszącej się do przedsiębiorstw, których roczny obrót wynosi powyżej 500 mln euro) Prezes UODO nie uznał za zasadne skorzystanie z możliwości obniżenia przyjętej w oparciu o ocenę powagi naruszenia kwoty wyjściowej, którą to możliwość wytyczne te (w Rozdziale 4.3) przewidują dla przedsiębiorstw o mniejszej wielkości i sile gospodarczej. Jak bowiem wskazuje EROD, w przypadku wielkich podmiotów (a takim w niniejszej sprawie niewątpliwie jest G., o czym świadczą osiągane przez niego obroty - w 2024 r. była to kwota (…) zł stanowiąca równowartość (…) euro) „wielkość przedsiębiorstwa jest już odzwierciedlona w dynamicznej ustawowej maksymalnej kwocie” (pkt 66 Wytycznych 04/2022).
353.
Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się - jak zakładają Wytyczne 04/2022 - do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej. Prezes UODO uznał (co uzasadnione zostało w przedstawionej wyżej części uzasadnienia decyzji), że okolicznością łagodzącą w przedmiotowej sprawie, i w związku z tym zmniejszającą wymiar orzeczonej kary, jest podjęcie czynności weryfikujących podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych, a przed wszczęciem postępowania przez Prezesa UODO (art. 83 ust. 2 lit. k) rozporządzenia 2016/679). Pozostałe przesłanki (z art. 83 ust. 2 lit. c), d), e), f), g), h), i), j) rozporządzenia 2016/679) - jak wskazano wyżej - nie miały wpływu, ani łagodzącego ani obciążającego, na ocenę naruszenia i w konsekwencji na wymiar kary. Ze względu na zaistnienie więc w sprawie dodatkowej okoliczności łagodzącej, związanej ze stroną podmiotową naruszenia (czynności weryfikacyjnych podjętych przez Administratora po stwierdzeniu naruszenia), za zasadne Prezes UODO uznał zmniejszenie kwoty kary ustalonej na podstawie oceny powagi naruszenia. Adekwatnym do wpływu tej przesłanki na ocenę naruszenia jest zdaniem Prezesa UODO jej obniżenie do kwoty (…) zł, stanowiącej równowartość (…) euro.
354.
Pomimo tego, że ustalona zgodnie z powyższymi zasadami kwota kary nie przekracza prawnie określonego maksimum kary Prezes UODO uznał, że wymaga ona dodatkowej korekty ze względu na zasadę proporcjonalności wymienioną w art. 83 ust. 1 rozporządzenia 2016/679 jako jedną z trzech dyrektyw wymiaru kary (Rozdział 7 Wytycznych 04/2022). Niewątpliwie kara pieniężna w wysokości (…) euro byłaby karą skuteczną (przez swoją dolegliwość pozwoliłaby osiągnąć swój cel represyjny, którym jest ukaranie za bezprawne zachowanie) i odstraszającą (pozwalającą skutecznie zniechęcić zarówno Administratora, jak i innych administratorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679). Kara w tej wysokości byłaby jednak - w ocenie Prezesa UODO - karą nieproporcjonalną ze względu na swoją nadmierną dolegliwość. Zgodnie z Wytycznymi 2016/679 kary pieniężne: po pierwsze „nie powinny być nieproporcjonalne w stosunku do celów, których realizacji służą” (pkt 138), po drugie „powinny być proporcjonalne do naruszenia ocenianego całościowo, biorąc pod uwagę zwłaszcza wagę naruszenia” (pkt 138), a po trzecie powinny być proporcjonalne „do wielkości przedsiębiorstwa, do którego należy jednostka, która dopuściła się naruszenia” (pkt 139). Dodatkowo jednakże zasada proporcjonalności „wymaga, by przyjęte przez organ nadzorczy środki nie wykraczały poza to, co odpowiednie i konieczne do realizacji uzasadnionych celów”, zaś „w przypadku gdy istnieje możliwość wyboru spośród większej liczby odpowiednich rozwiązań, należy stosować najmniej dolegliwe, a wynikające z tego niedogodności nie mogą być nadmierne w stosunku do zamierzonych celów” (pkt 137 i 139). Innymi słowy: „Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku” (P. Litwiński (red.), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (…); Komentarz do art. 83 [w:] P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz). Mając więc wzgląd na proporcjonalność kary Prezes UODO dokonał dalszego obniżenia wysokości kary - do 70 % kwoty uzyskanej po uwzględnieniu okoliczności łagodzących (pkt 4 powyżej), to jest do kwoty (…) euro (równowartość (…) zł). W jego ocenie takie określenie ostatecznej wysokości orzeczonej kary nie wpłynie na obniżenie jej skuteczności i odstraszającego charakteru. Kwota ta bowiem stanowi próg, powyżej którego dalsze zwiększanie wysokości kary nie będzie wiązało się ze wzrostem jej skuteczności i odstraszającego charakteru. Z drugiej natomiast strony obniżenie w większym stopniu wysokości kary mogłoby się odbyć kosztem jej skuteczności i odstraszającego charakteru, a także spójnego stosowania i egzekwowania rozporządzenia 2016/679 i zasady równego traktowania podmiotów na rynku wewnętrznym UE i EOG.
W tym miejscu Prezes UODO chce się odnieść do przedstawionego w piśmie z 13 maja 2024 r. sprzeciwu G. wobec przyjęcia przez Prezesa UODO jako podstawy obliczenia administracyjnej kary pieniężnej wartości jego obrotu za 2024 r., podczas gdy w jego ocenie zasadnym byłoby „uwzględnić obroty z roku w którym decyzja zgodnie z przepisami k.p.a. powinna zostać wydana (tj. z roku 2020)”. Stanowisko to nie znajduje w ocenie Prezesa UODO żadnych podstaw prawnych. Wytyczne 04/2022 (zob. pkt 131) wskazują jasno: „Jeśli chodzi o kwestię tego, do którego zdarzenia odnosi się termin "poprzedni", do kar pieniężnych nakładanych na podstawie RODO należy zastosować orzecznictwo TSUE w przedmiocie prawa konkurencji, z którego wynika, że tym zdarzeniem jest decyzja nakładająca karę pieniężną wydana przez organ nadzorczy, a nie moment wystąpienia naruszenia ani wydania orzeczenia przez sąd”. Sensem takiej interpretacji sformułowania „poprzedni rok obrotowy” jest odniesienie wysokości zastosowanej sankcji finansowej do jej funkcji skuteczności, proporcjonalności i odstraszania wyrażonych w art. 83 ust. 1 rozporządzenia 2016/679. Funkcje te, mające na celu w założeniu umożliwienie realizacji celów sankcji (prewencyjnej, represyjnej, restytucyjnej), ze swej istoty materializują się dopiero w chwili jej zaistnienia (orzeczenia) i działają od tej chwili na przyszłość. W szczególności administracyjne kary pieniężne orzekane przez Prezesa UODO powinny być: 1. proporcjonalne do wielkości przedsiębiorstwa (dolegliwe, lecz możliwe do uiszczenia przez podmiot ukarany w terminie ich zapłaty), 2. skuteczne w chwili orzeczenia (przez swoją dolegliwość odnoszącą się do sytuacji finansowej podmiotu ukaranego i jego możliwości finansowych na chwilę zapłaty lub wyegzekwowania kary) i 3. odstraszające na przyszłość (mające zapobiec popełnianiu naruszeń w przyszłości). Z tego względu podstawa wymierzenia kary oparta być powinna o jak najbardziej aktualne dane opisujące rzeczywistą sytuację finansową podmiotu ukaranego, jego siłę i pozycję na rynku. W tym kontekście za bezzasadne należy uznać stwierdzenie pełnomocnika Administratora, że uwzględnienie przez Prezesa UODO obrotu spółki za rok 2024 byłoby „nie tylko wysoce niekorzystne, ale również niezasłużone i nieproporcjonalne”. Należy wyraźnie podkreślić, że gdyby decyzja nakładająca na G. karę wydana została w 2021 r. (w oparciu o dane za 2020 r.) lub w latach późniejszych - 2022-2024 (w oparciu o dane za rok poprzedzający wydanie decyzji), kara nałożona tą decyzją powinna być podobnie dolegliwa (i spełniająca tym samym w podobny sposób wymogi skuteczności, proporcjonalności i odstraszającego charakteru). Dolegliwość tę bowiem mierzy się skutkiem jaki kara odnosi wobec podmiotu ukaranego na dzień jej orzeczenia; jest ona wprost zależna od aktualnej „wielkości i siły gospodarczej przedsiębiorstwa” mierzonej jej obrotem (zob. rozważania EROD w pkt 64 Wytycznych 04/2022). Tak więc kara w zdecydowanie niższej wysokości orzeczona w 2021 r. (uwzględniająca wyniki finansowe G. za 2020 r. i uwarunkowania jego działalności w tym okresie) byłaby tak samo dolegliwa ze względu zdecydowanie niższe obroty osiągnięte przez Administratora w 2020 r. (a nawet bardziej dolegliwa zważywszy na ówczesną niższą zyskowność działalności G. - w 2020 r. jego zysk netto stanowił (…) % jego obrotu, podczas gdy w 2024 r. - już (…) %, co oznacza, że aktualnie G. ma stosunkowo większe możliwości pokrycia orzeczonej kary z samego tylko zysku z działalności). Należy jeszcze dodatkowo wskazać, że podstawą obliczenia kary powinny być dane finansowe obrazujące normalną działalność, rzeczywistą siłę gospodarczą i pozycję na rynku podmiotu ukaranego. Tymczasem poziom obrotów G. w roku obrotowym, który jego zdaniem powinien być wzięty pod uwagę przez Prezesa UODO, czyli obrót osiągnięty w roku 2020 nie może być uznany za miarodajny w tym względzie. Na obrót G. w tym okresie miały wpływ nadzwyczajne i niezależne od niego okoliczności - pandemia (…)19 i związane z nią ograniczenia w świadczeniu usług (w szczególności takich, które stanowią podstawową działalność G. - gastronomicznych). Jego obrót w roku 2020 (ok. (…) zł) był wyraźnie zaniżony w stosunku do stanów i tendencji (wskazujących na rozwój jego działalności) zarówno z okresów wcześniejszych (rok 2018 - ok. (…) zł, rok 2019 - ok. (…) zł), jak i z lat późniejszych (rok 2021 - ok. (…) zł, rok 2022 - ok. (…) zł, rok 2023 - ok. (…) zł, i aktualnie rok 2024 - ok. (…) zł). Konkludując stwierdzić należy, że poziom obrotów osiągnięty przez G. w roku 2020 nie odzwierciedla jego rzeczywistej siły gospodarczej, w związku z czym na dzień wydania niniejszej decyzji nie może stanowić wskaźnika, w oparciu o który dokonać można kalkulacji wysokości kary w kontekście jej skuteczności, proporcjonalności i odstraszającego charakteru.

Administracyjna kara pieniężna nałożona na G. za naruszenie art. 5 ust. 1 lit. c) i lit. f), art. 5 ust. 2, art. 25 ust. 1, art. 32 ust. 1 i 2 rozporządzenia 2016/679

Przesłanki wymiaru kary - zastosowanie art. 83 ust. 2 rozporządzenia 2016/679

355.
Decydując o nałożeniu na G. za naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 1 lit. c), art. 5 ust. 2, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, administracyjnej kary pieniężnej Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.
356.
Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiar poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
Przy wymierzaniu kary istotne znaczenie miała okoliczność, że nawet w relacji powierzenia przetwarzania danych osobowych to nadal Administrator pozostaje odpowiedzialny za wdrożenie odpowiednich środków technicznych i organizacyjnych, tak aby przetwarzanie odbywało się zgodnie z przepisami rozporządzenia 2016/679.
W zakresie naruszenia przez G. przepisów o ochronie danych osobowych, którego skutkiem była możliwość uzyskania nieuprawnionego dostępu do danych osobowych (naruszenie zasady poufności danych osobowych), w ocenie Prezesa UODO dla oceny charakteru i wagi naruszenia aktualne zostają rozważania przedstawione - w odniesieniu do analogicznego naruszenia popełnionego przez U. (…) - w pkt 264 uzasadnienia Decyzji, w szczególności w zakresie rozważań dotyczących poniesionych szkód przez osoby, których dotyczyło naruszenie.
Ponadto naruszenie przepisów nakładających obowiązek przetwarzania danych adekwatnych, stosownych i ograniczonych do tego, co niezbędne do celów, w których są przetwarzane (zasada „minimalizacji” danych), w związku z brakiem przeprowadzenia właściwej analizy przed wdrożeniem procesu przetwarzania danych w „module grafików pracowniczych”, nie pozostaje bez znaczenia w kontekście oceny naruszenia. Przyjęcie numeru PESEL jako identyfikatora przyczyniło się do eskalacji naruszenia ochrony danych osobowych, poprzez zwiększenie możliwości ryzyka materializacji możliwych konsekwencji dla osób, których naruszenie dotyczy. Jednocześnie implementowanie przez administratora odpowiednich przepisów, zasad przetwarzania danych osobowych, ale także dokonywanie regularnych przeglądów środków, technicznych i organizacyjnych służących zabezpieczeniu przetwarzania danych, powinno być przez administratora właściwie udokumentowane, by mógł zawsze wykazać przestrzeganie przepisów (zasada rozliczalności).
Czas naruszenia przepisów o ochronie danych osobowych, przez który administrator nie zapewnił, aby przetwarzanie odbywało się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, za pomocą odpowiednich środków technicznych i organizacyjnych, był znaczny. Rozpoczął się bowiem od dnia 18 sierpnia 2018 r. (data zawarcia umowy powierzenia przetwarzania danych osobowych z U. (…)). Pierwsze działania Administratora mające na celu dostosowanie operacji przetwarzania do przepisów rozporządzenia nastąpiły dopiero po stwierdzeniu naruszenia ochrony danych osobowych. Administrator od 7 września 2020 r. rozpoczął dokonywanie zmiany identyfikatora pracowników G. w ten sposób, że numer ewidencyjny PESEL został zastąpiony unikalnym (…). Po ustaleniach z „Audytu aplikacji dla grafików dla G.” (przeprowadzonym 7 grudnia 2020 r.), w którym ustalono istotne podatności mogące skutkować ponownym naruszeniem ochrony danych, Administrator z dniem 11 stycznia 2021 r. ostatecznie zrezygnował z korzystania z narzędzia służącego do wyświetlania grafików pracy w (…) G.. W dniu 19 stycznia 2021 r. Podmiot przetwarzający usunął dane osobowe z modułu grafików pracowniczych, co oznaczało ostateczne usunięcie stanu omawianego tutaj naruszenia przepisów rozporządzenia 2016/679.
357.
Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
G. jako administrator decydując się na powierzenie U. (…) danych osobowych był świadomy, że powinien zapewnić im bezpieczeństwo i zgodność przetwarzania z prawem za pomocą odpowiednich środków technicznych i organizacyjnych, a więc w taki sposób by przestrzegać zasady „integralności i poufności” wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679 oraz zasady „minimalizacji danych”, o której mowa w art. 5 ust. 1 lit. c) rozporządzenia 2016/679. O powyższym świadczą obowiązujące w G. procedury, w szczególności regulujące precyzyjnie i obszernie konieczność i sposób przeprowadzenia analizy ryzyka, dobór odpowiednich środków technicznych i organizacyjnych (zob. pkt 167 uzasadnienia Decyzji), a także weryfikację podmiotów przetwarzających dane powierzone im przez Administratora i kontrolę przetwarzania danych przez te podmioty (zob. pkt 171 uzasadnienia Decyzji). Istnienie w organizacji (…) tych kompleksowych wewnętrznych regulacji świadczy niewątpliwie o jego wiedzy co do istnienia i zakresu ciążących na nim obowiązków wynikających z rozporządzenia 2016/679. G. jako podmiot w sposób profesjonalny i na dużą skalę przetwarzający dane osobowe m.in. pracowników (nie tylko swoich, ale i innych podmiotów działających w tej samej sieci (…)) musiał też być świadomy konsekwencji uchybienia tym podstawowym obowiązkom z zakresu ochrony danych osobowych. Dopuszczając się zaniechań w realizacji tych obowiązków - wbrew zarówno własnym wewnętrznymi regulacjom, jak i niezgodnie z bezwzględnie obowiązującymi przepisami rozporządzenia 2016/679 - G. musiał więc co najmniej świadomie godzić się z tym, że stanowią one naruszenie przepisów tego rozporządzenia, i podlegać będą określonym w nim sankcjom. W związku z powyższym umyślny charakter naruszenia, którego dopuścił się Administrator w niniejszej sprawie, stanowi okoliczność w wysokim stopniu go obciążającą.
358.
Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 266 uzasadnienia Decyzji.
359.
Ustalając wysokość administracyjnej kary pieniężnej nałożonej na Administratora, Prezes UODO uwzględnił jako okoliczności łagodzące następujące przesłanki.
360.
Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679)
G. uruchomił dedykowaną infolinię dla osób, których dotyczyło naruszenie, przygotował instrukcję „Jak sprawdzić, czy ktoś wykorzystał mój PESEL i nie wpędził mnie w długi?” oraz organizował wewnętrzne spotkania z pracownikami w celu wyjaśnienia zaistniałej sytuacji (pkt 68 i 69 uzasadnienia Decyzji). Niewątpliwie powyższe działania podjęte z własnej inicjatywy G. miały na celu zminimalizowanie szkody poniesionej przez osoby, których dane dotyczą i zostały ocenione jako czynniki łagodzące mające łagodzący wpływ na wysokość administracyjnej kary pieniężnej.
361.
Ustalając wysokość administracyjnej kary pieniężnej Prezes UODO uwzględnił na korzyść Administratora, w ramach przesłanki „innych łagodzących czynników, mających zastosowanie do okoliczności sprawy” (art. 83 ust. 2 lit. k rozporządzenia 2016/679), jego działania podjęte w celu usunięcia naruszenia i ostatecznie usuwające stan tego naruszenia. Po stwierdzeniu naruszenia ochrony danych osobowych Administrator wyraził aprobatę dla podjęcia przez Podmiot przetwarzający środków bezpieczeństwa zaproponowanych w Raporcie z analizy incydentu sporządzonym w dniu 29 lipca 2020. Wykazał odpowiednią reakcję na wnioski z przeprowadzonego audytu informatycznego dotyczącego wykorzystywanego narzędzia do wyświetlania grafików (w którym stwierdzono podatności, które mogłyby w przyszłości stwarzać potencjalne ryzyko wystąpienia kolejnych naruszeń ochrony danych osobowych) oraz uwzględnił zalecenia z „Raportu z postępowania wyjaśniającego dotyczącego wystąpienia incydentu skutkującego naruszeniem ochrony danych osobowych Nr (…) (na podstawie zgłoszenia incydentu Nr (…))”. W konsekwencji prowadzonych działań Administrator zastąpił numer PESEL indywidualnym numerem identyfikacyjnym, a następnie zrezygnował z dotychczasowego narzędzia do wyświetlania grafików pracowniczych, które nie gwarantowało zapewnienia bezpieczeństwa danym. Zatem nie ulega wątpliwości, że Administrator po stwierdzeniu naruszenia ochrony danych osobowych podjął szereg działań w celu poprawy bezpieczeństwa przetwarzania danych osobowych, a w ostateczności usunął stan naruszenia związany z przetwarzaniem danych w module grafików pracowniczych rezygnując z korzystania z tego systemu. Wdrożone przez Administratora działania, podjęte z własnej inicjatywy, zasługują zatem na dostrzeżenie i akceptację w ramach rozpatrywanej przesłanki.
362.
Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie przepisów rozporządzenia 2016/679, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
363.
Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
W Wytycznych 04/2022 wskazano, że - rozpatrując tę przesłankę - „organ nadzorczy musi odpowiedzieć na pytanie, w jakim stopniu administrator «zrobił wszystko, czego można by było oczekiwać», zważywszy na charakter, cele lub zakres przetwarzania oraz w świetle obowiązków nałożonych na niego przez rozporządzenie”. Prezes UODO stwierdził w niniejszej sprawie naruszenie przez Administratora przepisu art. 25 ust. 1 i art. 32 ust. 1 i 2 rozporządzenia 2016/679. W jego ocenie na Administratorze ciąży w wysokim stopniu odpowiedzialność za niewdrożenie odpowiednich środków technicznych i organizacyjnych, które zapobiegłyby naruszeniu ochrony danych osobowych. Oczywistym jest, że w rozważanym kontekście charakteru, celu i zakresu przetwarzania danych osobowych Administrator nie zrobił „wszystkiego, czego można by było od niego oczekiwać”; nie wywiązał się tym samym z nałożonych na niego przepisami art. 25 ust. 1 i art. 32 ust. 1 i 2 rozporządzenia 2016/679 obowiązków. W niniejszej sprawie okoliczność ta stanowi jednak o istocie samego naruszenia; nie jest jedynie czynnikiem wpływającym - łagodząco lub obciążająco - na jego ocenę. Z tego też względu brak odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 25 ust. 1 i art. 32 1 i 2 rozporządzenia 2016/679, nie może zostać przez Prezesa UODO uznany w niniejszej sprawie za okoliczność mogącą dodatkowo wpłynąć na surowszą ocenę naruszenia i wymiar nałożonej na Administratora administracyjnej kary pieniężnej.
364.
Wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e rozporządzenia 2016/679).
W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 342 uzasadnienia Decyzji.
365.
Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679)
Po stwierdzeniu naruszenia ochrony danych osobowych Administrator podjął szereg działań mających na celu doprowadzenie procesów przetwarzania danych osobowych powierzonych Podmiotowi przetwarzającemu do stanu zgodnego z przepisami rozporządzenia 2016/679 (zob. pkt 361 uzasadnienia Decyzji). Działania te Administrator podjął z własnej inicjatywy, samodzielnie i bez jakiejkolwiek interwencji ze strony organu nadzorczego. Nie można więc tutaj mówić o „współpracy z organem”, która to współpraca mogłaby być traktowana jako okoliczność łagodząca w ramach przesłanki sformułowanej w art. 83 ust. 2 lit. f) rozporządzenia 2016/679. Natomiast działanie Administratora, o którym mowa powyżej, potraktowane zostało przez Prezesa UODO jako „inny łagodzący czynnik”, o którym mowa w art. 83 ust. 2 lit. k) rozporządzenia 2016/679 - zob. pkt 361 uzasadnienia Decyzji.
366.
Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).
W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 345 uzasadnienia Decyzji.
367.
Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679.
W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 346 uzasadnienia Decyzji.
368.
Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).
W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 347 uzasadnienia Decyzji.

Ustalenie wysokości kary z zastosowaniem Wytycznych 04/2022.

369.
Jako podstawę obliczenia administracyjnej kary pieniężnej wobec G. za naruszenie przepisów art. 5 ust. 1 lit. f), art. 5 ust. 1 lit. c) art. 5 ust. 2, art. 25 ust. 1, art. 32 ust. 1 i 2 rozporządzenia 2016/679, Prezes UODO przyjął wartość obrotu G. za rok 2024 - jak w pkt 348 uzasadnienia Decyzji.
370.
Prezes UODO dokonał kategoryzacji stwierdzonych naruszeń przepisów rozporządzenia 2016/679 (Rozdział 4.1 Wytycznych 04/2022). Wśród naruszonych przez Administratora przepisów rozporządzenia 2016/679 znajdują się przepisy art. 5 ust. 1 lit. f), art. 5 ust. 1 lit. c) oraz art. 5 ust. 2 rozporządzenia 2016/679 określające podstawowe zasady przetwarzania. Naruszenia tych przepisów należą - zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679 - do kategorii naruszeń zagrożonych karą wyższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 20 000 000 euro lub do 4 % całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Są one więc in abstracto poważniejsze od drugiej grupy naruszeń (wskazanych w art. 83 ust. 4 rozporządzenia 2016/679) naruszeń.
371.
Prezes UODO ustalił prawnie określoną maksymalną wysokość kary możliwą do orzeczenia wobec Administratora w niniejszej sprawie (Rozdział 6.1 Wytycznych 04/2022). Przepis art. 83 ust. 5 lit. a) Rozporządzenia 2016/679 zobowiązuje Prezesa UODO do określenia czy w sprawie zastosowanie będzie miała tzw. „statyczna kwota maksymalna” (20 000 000 euro), czy „dynamiczna kwota maksymalna” (4 % obrotu z poprzedniego roku obrotowego), i do przyjęcia kwoty wyższej jako kwoty maksymalnej, której orzeczona w sprawie administracyjna kara pieniężna nie może przekroczyć. Wartość 4 % obrotu G. za poprzedni rok obrotowy to kwota (…) zł (równowartość (…) euro). W związku z tym, że jest to kwota wyższa niż statyczna kwota maksymalna (20 000 000 euro), Prezes UODO zobligowany jest do jej przyjęcia jako maksimum, którego nie może przekroczyć orzekając administracyjną karę pieniężną.
372.
Prezes UODO ocenił stwierdzone naruszenie jako naruszenie o wysokim poziomie powagi (Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które dotyczą strony przedmiotowej naruszeń (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszeń (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny charakter naruszeń (art. 83 ust. 2 lit. b) rozporządzenia 2016/679) oraz kategorie danych osobowych, których dotyczyły naruszenia (art. 83 ust. 2 lit. g) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej. W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest wysoki. Konsekwencją tego jest zaś przyjęcie - jako kwoty wyjściowej do obliczenia kary - wartości mieszczącej się w przedziale od 20 % do 100 % maksymalnej wysokości kary możliwej do orzeczenia wobec Administratora (Podrozdział 4.2.4 Wytycznych 04/2022). Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę (…) euro (równowartość (…) zł).
373.
Stosownie do wskazówki EROD przedstawionej w pkt 66 tiret czwarte Wytycznych 04/2022 (odnoszącej się do przedsiębiorstw, których roczny obrót wynosi powyżej 500 mln euro) Prezes UODO nie uznał za zasadne skorzystanie z możliwości obniżenia przyjętej w oparciu o ocenę powagi naruszenia kwoty wyjściowej, którą to możliwość wytyczne te (w Rozdziale 4.3) przewidują dla przedsiębiorstw o mniejszej wielkości i sile gospodarczej. Jak bowiem wskazuje EROD, w przypadku wielkich podmiotów (a takim w niniejszej sprawie niewątpliwie jest G., o czym świadczą osiągane przez niego obroty - w 2024 r. była to kwota (…) zł stanowiąca równowartość (…) euro) „wielkość przedsiębiorstwa jest już odzwierciedlona w dynamicznej ustawowej maksymalnej kwocie” (pkt 66 Wytycznych 04/2022).
374.
Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się - jak zakładają Wytyczne 04/2022 - do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej. Prezes UODO uznał (co uzasadnione zostało w przedstawionej wyżej części uzasadnienia decyzji), że okolicznościami łagodzącymi w przedmiotowej sprawie, i w związku z tym zmniejszającymi wymiar orzeczonej kary, są działania podjęte przez Administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679) (zob. pkt 360 uzasadnienia Decyzji), a także jego działania prowadzące ostatecznie do usunięcia stanu naruszenia (art. 83 ust. 2 lit. k) rozporządzenia 2016/679) (zob. pkt 361 uzasadnienia Decyzji). Pozostałe przesłanki (z art. 83 ust. 2 lit. d), e), f), h), i), j) rozporządzenia 2016/679) - jak wskazano wyżej - nie miały wpływu, ani łagodzącego ani obciążającego, na ocenę naruszenia i w konsekwencji na wymiar kary. Ze względu na zaistnienie więc w sprawie dodatkowych okoliczności łagodzących, związanych ze stroną podmiotową naruszeń (oceną postępowania Administratora po naruszeniu), za zasadne Prezes UODO uznał zmniejszenie kwoty kary ustalonej na podstawie oceny powagi naruszeń. Adekwatnym do wpływu tych przesłanek na ocenę naruszeń jest zdaniem Prezesa UODO jej obniżenie do kwoty (…) zł, stanowiącej równowartość (…) euro.
375.
Pomimo tego, że ustalona zgodnie z powyższymi zasadami kwota kary nie przekracza prawnie określonego maksimum kary Prezes UODO uznał, że wymaga ona dodatkowej korekty ze względu na zasadę proporcjonalności wymienioną w art. 83 ust. 1 rozporządzenia 2016/679 jako jedną z trzech dyrektyw wymiaru kary (Rozdział 7 Wytycznych 04/2022). Mając więc wzgląd na proporcjonalność kary Prezes UODO dokonał dalszego obniżenia wysokości kary - do 70 % kwoty uzyskanej po uwzględnieniu okoliczności łagodzących, to jest do kwoty (…) euro (równowartość (…) zł). W ocenie Prezesa UODO dla uzasadnienia skuteczności, proporcjonalności i odstraszającego charakteru kary w tej wysokości aktualna pozostaje ocena przedstawiona w pkt 354 uzasadnienia Decyzji.

Administracyjna kara pieniężna nałożona na G. za naruszenie art. 38 ust. 1 rozporządzenia 2016/679

Przesłanki wymiaru kary - zastosowanie art. 83 ust. 2 rozporządzenia 2016/679

376.
Decydując o nałożeniu administracyjnej kary pieniężnej na G. za naruszenie przepisu art. 38 ust. 1 rozporządzenia 2016/679, Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.
377.
Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
Przy wymierzaniu kary znaczenie miała okoliczność, że naruszenie art. 38 ust. 1 rozporządzenia 2016/679, nakładającego na Administratora obowiązek w zakresie niezwłocznego włączenia inspektora ochrony danych w sprawy dotyczące przetwarzania danych osobowych, dotyczyło wyłącznie badanego przez organ procesu przetwarzania danych powierzonych przez G. podmiotowi przetwarzającemu. Organ miał przy tym na uwadze to, że operacje związane z powierzeniem przetwarzania danych osobowych, w które IOD powinien być włączany, dotyczyły szerokiego zakresu danych, w tym (…) pracowników (…) G., których dotyczyło naruszenie ochrony danych osobowych.
Dodatkowo czas, przez który IOD nie był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych należało ocenić jako znaczny. Rozpoczął się bowiem od 18 sierpnia 2018 r. (data zawarcia umowy powierzenia przetwarzania danych osobowych z U. (…)). Na podstawie zebranego materiału dowodowego Prezes UODO stwierdził, że pomimo wyznaczenia IOD, Administrator nie umożliwił mu prawidłowego wykonywania jego zadań i obowiązków, Trwało to co najmniej do 31 sierpnia 2020 r., tj. dnia odebrania przez Administratora pisma Prezesa UODO z 27 sierpnia 2020 r., w którym organ nadzorczy zadał Administratorowi pytania dotyczące naruszenia ochrony danych osobowych. W odpowiedź na to pismo Prezesa UODO zaangażowany już został inspektor ochrony danych.
W toku postępowania administracyjnego nie stwierdzono, by naruszenie przepisów rozporządzenia 2016/679 dotyczących funkcjonowania inspektora ochrony danych miało bezpośredni związek z wystąpieniem naruszenia ochrony danych osobowych, czy też wyrządzeniem szkód osobom, których dane dotyczą. Nie można jednak wykluczyć, że gdyby IOD był prawidłowo włączany we wszystkie procesy związane z przetwarzaniem w organizacji danych osobowych, mogłoby to zapobiec nieprawidłowościom i w konsekwencji naruszeniu ochrony danych osobowych. Okoliczność braku szkód jako bezpośredniego następstwa omawianego w tym miejscu naruszenia nie zmienia jednak całościowej oceny przesłanki charakteru, wagi i czasu trwania naruszenia, tj. uznania w niniejszej sprawie jej oceny za okoliczność obciążającą Administratora.
378.
Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
W okolicznościach przedmiotowej sprawy brak włączenia - właściwie i niezwłocznie - ustanowionego przez Administratora IOD we wszystkie jego sprawy dotyczące ochrony danych osobowych należało uznać za działanie stanowiące o umyślnym naruszeniu art. 38 ust. 1 rozporządzenia 2016/679. Administrator własną decyzją powołał inspektora ochrony danych i posiadał procedury wewnętrzne, w których przewidział sposoby włączania inspektora ochrony danych w sprawy związane z przetwarzaniem danych osobowych (zob. pkt 39 i 137 uzasadnienia Decyzji). Świadczy to w ocenie Prezesa UODO o jego wiedzy co do zadań, obowiązków i uwarunkowań działania IOD. G. jako podmiot w sposób profesjonalny i na dużą skalę przetwarzający dane osobowe musiał też być świadomy konsekwencji uchybienia obowiązkom związanym z działalnością IOD w organizacji, a wynikającym z podstawowego aktu prawnego regulującego przetwarzanie danych osobowych, to jest z rozporządzenia 2016/679. Podejmując dobrowolnie działania, czy też dopuszczając się dobrowolnie zaniechań naruszających status IOD wyznaczony przepisami rozporządzenia 2016/679, G. musiał co najmniej świadomie godzić się z tym, że stanowią one naruszenie przepisów tego rozporządzenia, i podlegać będą określonym w nim sankcjom. W związku z powyższym umyślny charakter naruszenia, którego dopuścił się Podmiot przetwarzający w niniejszej sprawie, stanowi okoliczność w wysokim stopniu go obciążającą.
379.
Ustalając wysokość administracyjnej kary pieniężnej Prezes UODO uwzględnił na korzyść Administratora, w ramach przesłanki „innych łagodzących czynników, mających zastosowanie do okoliczności sprawy” (art. 83 ust. 2 lit. k rozporządzenia 216/679), fakt, że po zwróceniu się przez Prezesa UODO do Administratora o udzielenie wyjaśnień, Administrator włączył w sprawy dotyczące ochrony danych osobowych inspektora ochrony danych. Ponadto Prezes UODO dostrzegł zaangażowanie ustanowionego inspektora ochrony danych w proces wyboru nowego podmiotu przetwarzającego potwierdzony oceną z 18 marca 2021 r. Usunięcie przez Administratora stanu naruszenia miało wpływ dla określenia wymiaru kary i zostało ocenione jako istotna okoliczność łagodząca.
380.
Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie przepisów rozporządzenia 2016/679, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
381.
Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).
Prezes UODO nie stwierdził, aby naruszenie przez Administratora przepisów rozporządzenia 2016/679, tj. brak włączenia ustanowionego inspektora ochrony danych, właściwie i niezwłocznie we wszystkie sprawy dotyczące ochrony danych osobowych, przyczynił się bezpośrednio do wystąpienia naruszenia ochrony danych osobowych czy też poniesienia szkód przez osoby, których dane obejmował proces przetwarzania. Wobec tego żadne działania mające na celu zminimalizowanie szkody nie były wymagane. Zważywszy na charakter naruszenia przepisów rozporządzenia 2016/679, omawiana przesłanka nie miała wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
382.
Stopień odpowiedzialności Administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
Naruszenie przepisu art. 38 ust. 1 rozporządzenia 2016/679 nie ma związku ze stosowanymi przez Administratora środkami technicznymi i organizacyjnymi, o których mowa w art. 25 i 32 rozporządzenia 2016/679, zatem przesłanka wskazana w art. 83 ust. 2 lit. d) rozporządzenia 2016/679 nie ma w rozpatrywanym przypadku wpływu ani obciążającego, ani łagodzącego na wymiar orzeczonej administracyjnej kary pieniężnej.
383.
Wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e rozporządzenia 2016/679).
W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 342 uzasadnienia Decyzji.
384.
Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679).
Prezes UODO w toku postępowania ustalił, że Administrator włączył IOD w procesy związane z ochroną danych osobowych, czym usunął stan naruszenia (zob. pkt 379 uzasadnienia Decyzji). Było to jednak jego samodzielne, podjęte z własnej inicjatywy działanie. I chociaż miało ono miejsce już po wszczęciu niniejszego postępowania (IOD włączony został w udzielanie Prezesowi UODO wyjaśnień w niniejszej sprawie po pierwszym wezwaniu do ich złożenia, skierowanym do Administratora 27 sierpnia 2020 r.) nie można uznać, że było ono efektem „współpracy z organem nadzorczym”. Prezes UODO ani nie kierował do Administratora zaleceń czy też sugestii w tym zakresie; ani nie wyrażał akceptacji dla tych jego działań. W związku z powyższym okoliczność podjęcia przez Administratora działań skutkujących usunięciem naruszenia nie może być traktowana jako okoliczność łagodząca w ramach przesłanki sformułowanej w art. 83 ust. 2 lit. f) rozporządzenia 2016/679. Natomiast działania te, jako zasługujące na akceptację i pozytywną ocenę, potraktowane zostały przez Prezesa UODO jako „inny łagodzący czynnik”, o którym mowa w art. 83 ust. 2 lit. k) rozporządzenia 2016/679 - zob. pkt 379 uzasadnienia Decyzji.
385.
Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Ze względu na okoliczność, że naruszenie polegające na braku włączania ustanowionego inspektora ochrony danych we wszystkie sprawy dotyczące ochrony danych osobowych, nie wiąże się bezpośrednio z naruszeniem ochrony jakichkolwiek danych osobowych (i ich kategorii), przesłanka ta ze swej istoty nie może mieć zastosowania do oceny tego naruszenia.
386.
Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).
W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 345 uzasadnienia Decyzji.
387.
Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).
W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 346 uzasadnienia Decyzji.
388.
Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).
W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 347 uzasadnienia Decyzji.

Ustalenie wysokości kary z zastosowaniem Wytycznych 04/2022.

389.
Jako podstawę obliczenia administracyjnej kary pieniężnej Prezes UODO przyjął wartość obrotu G. za rok 2024 - jak w pkt 348 uzasadnienia Decyzji.
390.
Zgodnie z przedstawionymi w Wytycznych 04/2022 Prezes UODO dokonał kategoryzacji stwierdzonego w niniejszej sprawie naruszenia przepisów rozporządzenia 2016/679 (Rozdział 4.1 Wytycznych 04/2022). Naruszenie art. 38 ust. 1 rozporządzenia 2016/679 należy - zgodnie z art. 83 ust. 4 lit. a) tego aktu prawnego - do kategorii naruszeń zagrożonych karą niższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 10 000 000 euro lub do 2% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Jest ono więc in abstracto mniej poważne od drugiej grupy naruszeń podlegających administracyjnym karom pieniężnym (wskazanych w art. 83 ust. 5 i 6 rozporządzenia 2016/679).
391.
Prezes UODO ustalił prawnie określoną maksymalną wysokość kary możliwą do orzeczenia wobec G. za oceniane naruszenie art. 38 ust. 1 rozporządzenia 2016/679 (patrz Rozdział 6.1 Wytycznych 04/2022) jako kwotę wynoszącą (…) zł (równowartość (…) euro), której nie może przekroczyć orzekając administracyjną karę pieniężną - jak w pkt 350 uzasadnienia Decyzji.
392.
Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o średnim poziomie powagi (Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które dotyczą strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679) oraz umyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej. W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest średni. Konsekwencją tego jest zaś przyjęcie - jako kwoty wyjściowej do obliczenia kary - wartości mieszczącej się w przedziale od 10 % do 20 % maksymalnej wysokości kary możliwej do orzeczenia wobec Administratora (Podrozdział 4.2.4 Wytycznych 04/2022). Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę (…) euro (równowartość (…) zł).
393.
Stosownie do wskazówki EROD przedstawionej w pkt 66 tiret czwarte Wytycznych 04/2022 (odnoszącej się do przedsiębiorstw, których roczny obrót wynosi powyżej 500 mln euro) Prezes UODO nie uznał za zasadne skorzystanie z możliwości obniżenia przyjętej w oparciu o ocenę powagi naruszenia kwoty wyjściowej, którą to możliwość wytyczne te (w Rozdziale 4.3) przewidują dla przedsiębiorstw o mniejszej wielkości i sile gospodarczej. Jak bowiem wskazuje EROD, w przypadku wielkich podmiotów (a takim w niniejszej sprawie niewątpliwie jest G., o czym świadczą osiągane przez niego obroty - w 2024 r. była to kwota (…) zł stanowiąca równowartość (…) euro) „wielkość przedsiębiorstwa jest już odzwierciedlona w dynamicznej ustawowej maksymalnej kwocie” (pkt 66 Wytycznych 04/2022).
394.
Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się - jak zakładają Wytyczne 04/2022 - do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej. Prezes UODO uznał (co uzasadnione zostało w przedstawionej wyżej części uzasadnienia decyzji), że okolicznością łagodzącą w przedmiotowej sprawie, i w związku z tym zmniejszająca wymiar orzeczonej kary, jest samodzielne (nie w ramach „współpracy z organem nadzorczym”) włączenie IOD w sprawy Administratora dotyczące ochrony danych osobowych po stwierdzeniu naruszenia (art. 83 ust. 2 lit. k) rozporządzenia 2016/679). Pozostałe przesłanki (z art. 83 ust. 2 lit. c), d), e), f), g), h), i), j) rozporządzenia 2016/679) - jak wskazano wyżej - nie miały wpływu ani łagodzącego, ani obciążającego na ocenę naruszenia i w konsekwencji na wymiar kary. Ze względu na zaistnienie okoliczności łagodzącej, związanej ze stroną podmiotową naruszenia (oceną postępowania Administratora po stwierdzeniu naruszenia), za zasadne Prezes UODO uznał zmniejszenie kwoty kary ustalonej na podstawie oceny powagi naruszeń. Adekwatnym do łącznego wpływu tej przesłanki na ocenę naruszenia jest zdaniem Prezesa UODO jej obniżenie do kwoty (…) zł, stanowiącej równowartość (…) euro.
395.
Pomimo tego, że ustalona zgodnie z powyższymi zasadami kwota kary nie przekracza prawnie określonego maksimum kary Prezes UODO uznał, że wymaga ona dodatkowej korekty ze względu na zasadę proporcjonalności wymienioną w art. 83 ust. 1 rozporządzenia 2016/679 jako jedną z trzech dyrektyw wymiaru kary (Rozdział 7 Wytycznych 04/2022). Mając więc wzgląd na proporcjonalność kary Prezes UODO dokonał dalszego obniżenia wysokości kary - do 70 % kwoty uzyskanej po uwzględnieniu okoliczności łagodzących, to jest do kwoty 403 892,89 euro (równowartość 1 700 065,96 zł). W ocenie Prezesa UODO dla uzasadnienia skuteczności, proporcjonalności i odstraszającego charakteru kary w tej wysokości aktualna pozostaje ocena przedstawiona w pkt 354 uzasadnienia Decyzji.

Umorzenie postępowania administracyjnego wobec J. S.

396.
W tym miejscu należy odnieść się do roli, jaką w procesie przetwarzania danych odegrał Pan J. S., bowiem niezależnie od powyższego Prezes UODO nie dopatrzył się „błędu ludzkiego” po jego stronie. W pierwszej kolejności wyjaśnić należy, że migracja danych jest złożonym procesem, wymagającym nie tylko przemyślanego działania, ale również powinna zostać poprzedzona odpowiednią analizą - w tym analizą ryzyka, jako operacja mogąca powodować ryzyko materializacji zagrożeń dla dostępności, integralności oraz poufności w sferze usług, systemów, czy też danych osobowych. Proces migracji danych obejmuje nie tylko przeniesienia danych z jednego serwera na drugi, ale także przede wszystkim prawidłową konfiguracje serwera docelowego, sprawdzenie poprawności działania, w tym też zabezpieczeń. Migracja w powyższym zakresie nie została Panu J. S. zlecona. Pan J. S. złożył ofertę przeprowadzenia takiej migracji, wyceniając ją oraz wskazując czas potrzebny do jej prawidłowego przeprowadzenia (50 roboczogodzin). Oferta jednak nie została przyjęta, a U. (…) dokonała migracji danych bez udziału Pana J. S., jednocześnie tworząc plik bazodanowy o nazwie „(…)” będący źródłem naruszenia ochrony danych osobowych.
397.
Jak wynika z ustalonego stanu faktycznego, po przeprowadzeniu migracji danych przez U. (…) i wyłączeniu serwera „(…)”, grafik pracowniczy przestał działać. U. (…) zwrócił się o pomoc do Pana J. S., aby przywrócił jak najszybciej działanie aplikacji. Przywrócenie działania aplikacji miało polegać na ponownym włączeniu serwera i przeniesieniu aplikacji na inny serwer, przy czym U. (…) nie wydał polecenia, co do konfiguracji serwera „(…)”, na który miało nastąpić przeniesienie plików aplikacji grafik pracowniczy, sprawdzenia jego zabezpieczeń, czy też sprawdzenia zawartości samej aplikacji grafików pracowniczych. O powyższych okolicznościach Pan J. S., przed przystąpieniem do wykonania zlecenia, poinformował U. (…) wskazując „żeby była dla nas jasności, żadne prace związane z przeniesieniem z niego danych - jego analiza itp. nie zostały mi zlecone”.
398.
Podkreślić należy, że plik będący przedmiotem naruszenia ochrony danych osobowych (plik o nazwie (…)) został utworzony przed przystąpieniem przez Pana J. S. do przenoszenia aplikacji grafik pracowniczy. Został on utworzony na potrzeby nieudanej migracji (jako kopia zapasowa danych) przez Podmiot przetwarzający i po jej zakończeniu nie został usunięty. Pan J. S., wykonując zlecenie z dnia 14 stycznia 2019 r. przeniesienia aplikacji grafików pracowniczych z serwera „(…)” na serwer (…), przeniósł ją z całą zawartością, a więc również wraz z plikiem o nazwie (…). Pan J. S., z uwagi na brak zlecenia w tym zakresie, nie dokonał analizy zawartości przenoszonej aplikacji. Co więcej, udzielając wyjaśnień Prezesowi UODO w niniejszym postępowaniu, nie był w stanie wskazać, że skopiował również plik „(…)”, ale mając na uwadze, że skopiował cały folder, nie wykluczył takiej możliwości. Należy również zaznaczyć, że pliki potrzebne dla działania aplikacji grafik pracowniczy były odpowiednio zabezpieczone. Jak wynika z ustalonego stanu faktycznego, plik służący do działania aplikacji grafików http://(…)/ był zabezpieczony z odpowiedzią serwera 403, co oznacza, że dostęp był zabroniony, konfiguracja bezpieczeństwa serwera wskazuje użytkownikowi, że nie ma uprawnień do danej zawartości, a plik stanowiący źródło naruszenia ochrony danych osobowych, utworzony przez U. (…) na potrzeby wcześniejszej nieudanej migracji, nie był zabezpieczony.
399.
W okolicznościach przedmiotowej sprawy, w tym treści polecenia skierowanego do Pan J. S. przez U. (…), Pan J. S. rozsądnie mógł oczekiwać, że czynności w postaci konfiguracji serwera, analizy jego zawartości, czy też zabezpieczenia, mogą zostać zlecone mu później lub wykonane własnym środkami przez U. (…), a wszelkie jego działania w tym zakresie wykraczałyby poza zakres polecenia i jego obowiązków. Jednoznacznie świadczy o tym e-mail o treści „J., serwer opłacony. Wielka prośba o szybkie ogarnięcie - obojętnie na jakim serwerze - ważne by działało”. A na zapytanie Pana J. S., czy ma zrobić backup całego serwera, czy tylko grafika U. (…) odpowiedział „J., serwer jest opłacony na cały rok, więc na razie pilna sytuacja z grafikiem pracy by zaczął działać. Reszta później”. W tym kontekście, nie bez znaczenia jest, że Pan J. S. czas potrzebny do prawidłowego przeprowadzenia migracji danych oszacował na 50 roboczogodzin, podczas gdy przywrócenie działania aplikacji grafików pracowniczych zajęło mu 2,5 godziny, za które otrzymał wynagrodzenie.
400.
Mając na uwadze powyższe okoliczności, w tym, że analiza zawartości aplikacji nie została mu zlecona, Panu J. S. nie można przypisać odpowiedzialności za wystąpienie naruszenia ochrony danych osobowych, czy też wskazać, że popełnił błąd.
401.
Wskazać należy, że obowiązek zapewnienia bezpieczeństwa danych przez podmiot przetwarzający, jak również przez dalszy podmiot przetwarzający (podpowierzający), jest dwutorowy. Z jednej strony podmiot przetwarzający zobowiązany jest pomagać administratorowi w wywiązania się z obowiązków, o których mowa w art. 32 rozporządzenia 2016/679. I w przedmiotowej sprawie Pan J. S. był gotowy do takiej pomocy, co zostało uwidocznione poprzez złożenie oferty na migrację danych, a po jej odrzuceniu - mając na uwadze, że migracja danych nie jest tylko procesem przenoszenia danych, wyraźne wskazanie, jakich działań w związku z przywróceniem dostępności danych nie będzie podejmował i w konsekwencji za nie odpowiadał. Zatem U. (…) nie zlecał i nie oczekiwał od Pana J. S. działań dotyczących konfiguracji serwera, analizy jego zawartości i zabezpieczenia; miał się skupić na jak najszybszym wznowieniu działania aplikacji.
402.
Z drugiej strony podmiot przetwarzający powinien zadbać o zasoby biorące udział w przetwarzaniu danych, za które jest odpowiedzialny. I jak wynika z ustalonego stanu faktycznego, pliki potrzebne dla działania aplikacji grafik pracowniczy zostały zabezpieczone przed nieuprawnionym dostępem, a Pan J. S. stworzył własną kopię zapasową, którą umieścił na swoim komputerze, więc takiemu postępowaniu, w oparciu o pozostałe okoliczności, nie można odmówić starannego działania.
403.
Wracając do konsekwencji braku zawarcia umowy podpowierzenia, to U. (…) nie mógł należycie oczekiwać od Pana J. S., że będzie zapewniał gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą, bowiem okoliczność ta, jako obowiązek U. (…), powinna zostać zweryfikowana przed zawarciem umowy i być weryfikowana w trakcie jej trwania. W tym kontekście wskazać należy, że brak zawarcia umowy podpowierzenia przetwarzania danych osobowych uniemożliwia prawidłowe wiążące określenie istotnych elementów umowy, takich jak przedmiot, czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorię osób, których dane dotyczą, obowiązki i prawa administratora. W istocie brak sprecyzowania tych elementów istotnie utrudnia, a nawet może uniemożliwiać podmiotowi, który ma przetwarzać dane osobowe w imieniu administratora, prawidłowe wywiązanie się ze swoich obowiązków przewidzianych w art. 32 rozporządzenia 2016/679. Prawidłowe wiążące określenie istotnych elementów z umowy powierzenia powinno być poddane ocenie dla ustalenia odpowiednich do ryzyka środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych. Powyższy przepis wskazuje, że uwzględniając m.in. takie elementy jak charakter, zakres, cele przetwarzania, a wiec elementy wprost tożsame z wymogami przewidzianymi dla umowy powierzenia z art. 28 ust. 3 rozporządzenia 2016/679, administrator oraz podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień odpowiadający ryzyku.
404.
Mając na uwadze powyższe, Prezes UODO nie dopatrzył się okoliczności, na podstawie których Panu J. S. można by przypisać odpowiedzialność za naruszenie przepisów o ochronie danych osobowych, w szczególności art. 32 rozporządzenia 2016/679.
405.
Stosowanie do przepisu art. 105 § 1 k.p.a., gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości albo w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania w całości albo w części.
406.
Zgodnie z ww. przepisem, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości lub w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości lub w części. Brzmienie powołanej regulacji nie pozostawia wątpliwości, iż w razie stwierdzenia bezprzedmiotowości postępowania organ prowadzący to postępowanie obligatoryjnie je umarza. Jednocześnie w literaturze przedmiotu wskazuje się, że bezprzedmiotowość postępowania administracyjnego, o której stanowi art. 105 § 1 k.p.a. oznacza, że brak jest któregoś z elementów materialnego stosunku prawnego, a wobec tego nie można wydać decyzji załatwiającej sprawę przez rozstrzygnięcie jej co do istoty (B. Adamiak, J. Borkowski „Kodeks postępowania administracyjnego. Komentarz” 7 wydanie Wydawnictwo C.H. Beck, Warszawa 2005 r., str. 485). Takie samo stanowisko zajął Wojewódzki Sąd Administracyjny w Krakowie w wyroku z dnia 27 lutego 2008 r. (III SA/Kr 762/2007): „Postępowanie staje się bezprzedmiotowe, gdy brak któregoś z elementów stosunku materialnoprawnego, co powoduje, że nie można załatwić sprawy przez rozstrzygnięcie co do istoty”.
407.
Ustalenie przez organ publiczny istnienia przesłanki, o której mowa w art. 105 § 1 k.p.a., zobowiązuje go do umorzenia postępowania, nie ma bowiem wówczas podstaw do rozstrzygnięcia w tej części sprawy co do istoty, a dalsze prowadzenie postępowania w takim przypadku stanowiłoby o jego wadliwości, mającej istotny wpływ na wynik sprawy.
408.
Tym samym Prezes UODO umorzył w całości przedmiotowe postępowanie prowadzone wobec J. S..
Mając powyższe na uwadze Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji niniejszej decyzji.
[1] P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, W. 2022, art. 38.
[2] P. Barta, M. Kawecki, P. Litwiński, Komentarz do art. 38, teza 1 pkt 3 [w:] P. Litwiński (red.), Ogólne rozporządzenie o ochronie danych..., s. 403.
[3] A. Nerka, Komentarz do art. 38, teza 5 pkt 1 [w]: M. Sakowska-Baryła, Ogólne rozporządzenie o ochronie danych.