Decyzja DKN.5112.11.2021

Na podstawie art. 104 § 1 oraz art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572 ze zm.), art. 7 ust. 1 i 2, art. 60, art. 90 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. b) w związku z art. 5 ust. 1 lit. a) i lit. f), art. 5 ust. 2, art. 7 ust. 2, art. 9 ust. 1 i 2, art. 13 ust. 1 lit. c) i lit. e), art. 24 ust. 1 i 2, art. 28 ust. 3 i 9, art. 29 oraz art. 32 ust. 1 i 4 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), dalej „rozporządzenie 2016/679”,

po przeprowadzeniu postępowania administracyjnego wszczętego z urzędu w sprawie naruszenia przepisów o ochronie danych osobowych przez Fundację „D. (…)” z siedzibą w T. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych,

I.

Stwierdzając naruszenie przez Fundację „D. (…)” z siedzibą w T. przy ul. (…) (dalej także „Fundacja”) przepisów:

1)

art. 28 ust. 3 i ust. 9 rozporządzenia 2016/679, polegające na:

a)

korzystaniu przez Fundację z usług H. (…) Sp. z o.o. w zakresie bezpłatnego konta o adresie: (…), tj. z usługi bezpłatnej poczty elektronicznej oraz z usługi tzw. chmury, tj. wirtualnego dysku i przechowywania na nim plików elektronicznych zawierających dane osobowe osób ubiegających się o pomoc Fundacji, a także

b)

korzystaniu przez Fundację z usług U. sp. z o.o. w zakresie aplikacji przeglądarkowej „U.”, celem przekazywania Ministrowi Sprawiedliwości informacji, w tym także w zakresie danych osobowych, dotyczących wykonywania przez Fundację zadań powierzonych jej w umowie nr (…), zawartej przez Fundację w dniu (…) 2019 r. z Ministrem Sprawiedliwości bez uprzedniego zawarcia umów powierzenia przetwarzania danych osobowych z uwzględnieniem wszystkich niezbędnych elementów ich treści, co stanowiło także naruszenie zasady przetwarzania danych osobowych zgodnie z prawem, o której mowa w art. 5 ust. 1 lit. a) rozporządzenia 2016/679 oraz zasady rozliczalności uregulowanej w art. 5 ust. 2 rozporządzenia 2016/679,

2)

art. 24 ust. 1 i ust. 2, art. 29 i art. 32 ust. 1 i ust. 4 rozporządzenia 2016/679, polegające na:

a)

przetwarzaniu danych osobowych osób ubiegających się o pomoc bez wykazania, że przetwarzanie to odbywa się wyłącznie na polecenie Fundacji i że Fundacja podjęła działania w celu zapewnienia, by każda osoba fizyczna działająca z jej upoważnienia jako administratora, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie Fundacji, a w szczególności bez udzielenia stosownych upoważnień osobom pełniącym funkcje i wykonującym obowiązki służbowe w Fundacji przy obsłudze wniosków osób ubiegających się o jej pomoc,

b)

niewdrożeniu w rozliczalny sposób dokumentu pełniącego funkcję polityki ochrony danych oraz bez dostosowania jego treści do specyfiki przetwarzania danych przez Fundację, co stanowiło także naruszenie zasady poufności, o której mowa w art. 5 ust. 1 lit. f) rozporządzenia 2016/679 oraz zasady rozliczalności uregulowanej w art. 5 ust. 2 rozporządzenia 2016/679,

3)

art. 13 ust. 1 lit. c) i lit. e) rozporządzenia 2016/679, polegające na niewyczerpującym i błędnym sformułowaniu klauzuli informacyjnej zawartej we wzorze dokumentu pod nazwą „Informacje dotyczące (…)”, tj. niewskazaniu w niej wyraźnie podstawy prawnej przetwarzania danych oraz odbiorców danych lub kategorii odbiorców, którym udostępniane są dane osobowe osób ubiegających się o pomoc Fundacji, co stanowiło także naruszenie zasady przejrzystości, o której mowa w art. 5 ust. 1 lit. a) rozporządzenia 2016/679 oraz zasady rozliczalności uregulowanej w art. 5 ust. 2 rozporządzenia 2016/679,

udziela Fundacji upomnienia.

II.

Umarza postępowanie w pozostałym zakresie.

Uzasadnienie

1.

Prezes Urzędu Ochrony Danych Osobowych, zwany dalej także „Prezesem UODO”, na podstawie art. 78 ust. 1, art. 79 ust. 1 pkt 1 oraz art. 84 ust. 1 pkt 1-4 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej „ustawą”, w związku z art. 57 ust. 1 lit. a) i h) oraz art. 58 ust. 1 lit. b) i e) rozporządzenia 2016/679, w celu kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych, dokonał czynności kontrolnych w Fundacji „D. (…)” z siedzibą w T., przy ul. (…) (sygn. akt: DKN.5112.11.2021).

2.

Ww. czynności kontrolne zostały przeprowadzone w rezultacie otrzymania przez Prezesa UODO informacji wskazujących na możliwość naruszenia przez Fundację przepisów o ochronie danych osobowych. Informacje te zostały przekazane Prezesowi UODO w piśmie Dyrektora Delegatury Najwyższej Izby Kontroli w P. z (…) 2021 r. (znak: (…)), w którym zwrócił się on do Prezesa UODO o przeprowadzenie czynności kontrolnych w Fundacji.

3.

Prezes UODO, po otrzymaniu ww. pisma, przeprowadził w Fundacji czynności kontrolne w dniach (…) 2021 r. Zakresem kontroli objęto przetwarzanie danych osobowych w ramach realizacji zadań statutowych Fundacji dotyczących udzielania przez nią pomocy, a w szczególności pomocy udzielanej osobom pokrzywdzonym przestępstwem lub osobom im najbliższym oraz pomocy udzielanej świadkom i osobom im najbliższym, w zakresie ustalenia:

1)

celów i źródeł pozyskiwania danych osobowych przez Fundację, a także zakresu, rodzaju, kategorii i podstawy prawnej przetwarzania tych danych przez Fundację,

2)

sposobu i formy przechowywania danych osobowych przez Fundację,

3)

czy zostały wdrożone środki techniczne i organizacyjne, zapewniające przetwarzanie danych osobowych zgodnie rozporządzeniem 2016/679 oraz z uwzględnieniem charakteru, zakresu, kontekstu, kategorii i celów przetwarzania, a także ryzyka naruszenia praw i wolności osób fizycznych,

4)

czy administrator danych powierza przetwarzanie danych podmiotom przetwarzającym, a jeżeli tak, to czy powierzenie to nastąpiło przy spełnieniu warunków określonych w art. 28 rozporządzenia 2016/679,

5)

czy prowadzony jest rejestr czynności przetwarzania danych osobowych lub rejestr kategorii czynności przetwarzania danych osobowych, w których zamieszczone są wszystkie informacje określone w art. 30 ust. 1 i ust. 2 rozporządzenia 2016/679, a jeżeli tak, to czy w tych rejestrach są uwzględnione czynności polegające na przechowywaniu danych osobowych osób ubiegających o pomoc świadczoną przez Fundację w ramach jej zadań statutowych.

I. Stan faktyczny sprawy

4.

W toku kontroli odebrano od pracowników oraz członków zarządu Fundacji ustne wyjaśnienia. Zastany przez kontrolerów UODO stan faktyczny został opisany w protokole kontroli, który został podpisany przez osobę upoważnioną do reprezentowania Fundacji. Na podstawie zgromadzonego w sprawie materiału dowodowego ustalono, że Fundacja została ustanowiona przez K. Z. – fundatora, aktem notarialnym z (…) 2018 r. zawierającym oświadczenie o ustanowieniu Fundacji. Fundacja została wpisana do Rejestru Stowarzyszeń KRS (…) 2018 r. przez Sąd Rejonowy w S., X Wydział Gospodarczy KRS za numerem: (…). Uchwałą Fundatora z (…) 2018 r. został przyjęty statut Fundacji, zaś uchwałą z (…) 2019 r. treść statutu uległa zmianie. Do celów statutowych Fundacji należy m.in. działalność na rzecz i w zakresie pomocy ofiarom przemocy w rodzinie, podejmowanie inicjatyw i działań prewencyjnych jako pomoc dzieciom krzywdzonym i ich rodzinom oraz podtrzymywanie i upowszechnianie tradycji narodowej, a także pielęgnowanie polskości oraz rozwoju świadomości narodowej, obywatelskiej i kulturowej.

5.

Ponadto, w toku kontroli ustalono, że większość danych osobowych jest przetwarzanych przez Fundację w celu realizacji programu „(…)”. Program został utworzony przez Departament Funduszu Sprawiedliwości Ministerstwa Sprawiedliwości i był realizowany przez Fundację. Dane osobowe osób ubiegających się o pomoc Fundacji są przetwarzane w celach sprawozdawczych, procedowania wniosków osób ubiegających się o pomoc oraz rozliczania środków finansowych przeznaczonych na realizację ww. programu. Przetwarzanie danych osobowych w ramach udziału Fundacji w realizacji ww. programu odbywa się na podstawie umowy nr (…) zawartej przez Fundację (…) 2019 r. z Ministrem Sprawiedliwości wraz z aneksami z (…). Dane osobowe pozyskiwane są przez Fundację w drodze bezpośredniego kontaktu lub incydentalnie za pośrednictwem poczty elektronicznej od osób ubiegających się o udzielenie pomocy przez Fundację. Fundacja nie pozyskuje danych osób ubiegających się o pomoc od osób trzecich, jednak zdarza się, że dane te są pozyskiwane od osób najbliższych lub od świadków określonych zdarzeń mogących skutkować udzieleniem pomocy przez Fundację.

6.

W toku kontroli ustalono także, iż Fundacja korzystała z bezpłatnej usługi poczty elektronicznej Z. o adresie: (…). Konto o powyższej nazwie założyła koordynatorka i fundatorka, K. Z.. Fundacja nie przedstawiła dokumentu potwierdzającego fakt założenia powyższego konta i korzystania z usługi tzw. chmury oraz poczty elektronicznej. Fundacja nie zawarła ze spółką z grupy kapitałowej Z. (H. (…) Sp. z o.o.; dalej „spółka Z.”) umowy o powierzenie przetwarzania danych w związku ze świadczeniem usługi poczty elektronicznej oraz tzw. chmury danych. Fundacja nie zawarła umowy o powierzenie przetwarzania danych również z żadnym innym podmiotem. Usługa tzw. chmury świadczona w ramach konta Z. polegała na możliwości korzystania z wirtualnego dysku służącego do przechowywania plików elektronicznych. Dostęp do danych w tzw. chmurze był możliwy po zalogowaniu się do ww. konta. Logowanie do tego konta polegało na wpisaniu adresu e-mail i hasła. Dane przechowywane w tzw. chmurze obejmowały wyłącznie skany wniosków osób ubiegających się o pomoc, z całą załączoną dokumentacją, w tym m.in. informacje o stanie zdrowia oraz informacje o wyrokach skazujących.

7.

Dane osobowe na dysku wirtualnym, tj. w tzw. chmurze, były przechowywane przez Fundację od (…) 2019 r. Od września (…) 2020 r. Fundacja zaczęła sukcesywnie usuwać dane osób ubiegających się o pomoc z tzw. chmury. Proces usuwania danych z usługi chmurowej zakończył się, według wyjaśnień Fundacji, w (…) 2021 r. Po usunięciu danych z chmury Z. Fundacja, w dniu kontroli, nadal korzystała z konta Z. (…), jednak wyłącznie w zakresie gromadzenia dokumentów niezawierających danych osobowych oraz w zakresie usługi poczty elektronicznej. Jednakże w ramach usługi poczty elektronicznej na ww. koncie przechowywane były wiadomości e-mail zawierające dane osobowe osób ubiegających się o udzielenie pomocy. Na dzień kontroli w poczcie elektronicznej znajdowały się takie dane osobowe, jak: imiona i nazwiska, numery PESEL, numery telefonów oraz miejsce zamieszkania osób, które ubiegają się o pomoc Fundacji. Wiadomości e-mail zawierające ww. dane wysyłane są tylko do Ministerstwa Sprawiedliwości. W celu realizacji zadań wynikających z umowy zawartej z Ministrem Sprawiedliwości, korespondencja elektroniczna prowadzona jest wyłącznie przez adres: (…).

8.

Podczas kontroli ustalono także, że Fundacja korzystała z usług U. sp. z o.o. w zakresie aplikacji przeglądarkowej „U.”, celem przekazywania Ministrowi Sprawiedliwości informacji dotyczących wykonywania przez Fundację zadań powierzonych jej w umowie nr (…), zawartej przez Fundację w dniu (…) 2019 r. z Ministrem Sprawiedliwości. Ustalono, że Fundacja nie zawarła z U. sp. z o.o. umowy powierzenia przetwarzania danych. Przekazywanie, a więc przetwarzanie danych za pomocą ww. aplikacji webowej, odbywało się na podstawie postanowień ww. umowy zawartej z Ministrem Sprawiedliwości, przy czym na dzień kontroli Fundacja nie korzystała już z aplikacji U..

9.

Na dzień kontroli, na używanym przez Fundację laptopie zainstalowane było oprogramowanie antywirusowe F. (…), przy czym baza wirusów opatrzona była datą aktualizacji na dzień 4 października 2019 r. Licencja na korzystanie z oprogramowania F. (…) na dzień kontroli nie była aktualna.

10.

Prezes UODO ustalił ponadto, że pracownikom Fundacji, przetwarzającym dane osób ubiegających się o pomoc, nie zostały udzielone upoważnienia w tym zakresie. Pracownikom tym przedstawiono jedynie wzór upoważnienia do przetwarzania danych. Ponadto, Fundacja nie przedstawiła Prezesowi UODO dowodów na wdrożenie przez nią innych środków zapewniających, by każda osoba fizyczna działająca z jej upoważnienia jako administratora, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie Fundacji.

11.

Na dzień kontroli, obowiązek informacyjny wobec osób ubiegających się o pomoc był realizowany poprzez klauzulę informacyjną, której wzór stanowi załącznik nr 4 do umowy z Ministrem Sprawiedliwości. Treść ww. klauzuli informacyjnej nie zawierała wskazania podstawy prawnej przetwarzania danych, bowiem powołano się w niej jedynie ogólnie na art. 6 rozporządzenia 2016/679, bez wskazania konkretnej jednostki redakcyjnej ww. przepisu (tj. art. 6 ust. 1 lit. od „a” do „f”). W ten sposób nie wskazano więc w klauzuli informacyjnej konkretnej podstawy prawnej przetwarzania danych, a tym samym żadnej z przesłanek, o których mowa w art. 6 ust. 1 rozporządzenia 2016/679. Ponadto, w toku kontroli ustalono, że ww. klauzula informacyjna nie zawierała rzeczowej informacji w przedmiocie odbiorców danych lub kategorii odbiorców, którym udostępniane są dane osobowe osób ubiegających się o pomoc Fundacji. Klauzula zawierała jedynie informację, że „Dane osobowe przetwarzane będą na podstawie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (…); celem realizacji interesu prawnego wynikającego z ustawy z dnia 6 czerwca 1997 r. Kodeks karny wykonawczy (…)” (ust. 4 klauzuli informacyjnej) oraz że „Pani/Pana dane osobowe mogą być udostępniane tylko odbiorcom upoważnionym do ich przetwarzania na podstawie przepisów prawa, bądź stosownie do udzielonej zgody” (ust. 6 klauzuli informacyjnej). .

12.

Podczas kontroli Fundacja wyjaśniła, że stosuje formularz udzielenia zgody na przetwarzanie danych osób ubiegających się o pomoc w ramach zawartej umowy z Ministrem Sprawiedliwości i przedłożyła jej wzór. Ww. wzór stanowi załącznik do umowy zawartej przez Fundację z Ministrem Sprawiedliwości. Jak ustalono, treść wyżej zgody znajdowała się w ramach tego samego dokumentu obok klauzuli informacyjnej, a podpis poświadczający udzielenie zgody na przetwarzanie danych stanowił jednocześnie poświadczenie zapoznania się przez osobę, której dane dotyczą, z treścią klauzuli informacyjnej.

13.

Na dzień kontroli Fundacja przedłożyła Prezesowi UODO politykę bezpieczeństwa jako obowiązujący u niej dokument regulujący kwestie ochrony danych osobowych. Według wyjaśnień Fundacji, ww. dokument miał obowiązywać od (…) 2019 r. Fundacja nie przedłożyła Prezesowi dowodu potwierdzającego wdrożenie ww. polityki do stosowania, w szczególności zaś dokumentu na piśmie lub w formie elektronicznej, z którego treści wyraźnie wynikałoby, iż dokument ten został implikowany do systemu wewnętrznych aktów prawnych Fundacji lub że Fundacja zapoznała z jego treścią swoich pracowników albo umożliwiła im do niego dostęp i zarazem zobowiązała ich do przestrzegania jego postanowień.

14.

Ponadto, dokument pod nazwą „Polityka bezpieczeństwa” na dzień kontroli zawierał w przeważającej mierze ogólne postanowienia odnoszące się do przepisów rozporządzenia 2016/679 i stanowiące powielenie ich treści, bądź nieodnoszące się do istoty przedmiotu działalności Fundacji. W szczególności „Polityka bezpieczeństwa” nie zawierała adekwatnych uregulowań, odnoszących się wprost, tj. konkretnie, rzeczowo i kompleksowo, do kwestii związanych z realizacją zadań stanowiących przedmiot umowy nr (…), zawartej przez Fundację (…) 2019 r. z Ministrem Sprawiedliwości. W ww. dokumencie brak było postanowień odnoszących się do specyfiki zbieranych przez Fundację danych osobowych, sposobu przyjmowania wniosków osób ubiegających się o pomoc i związanych z nimi metodami zabezpieczenia przetwarzania danych. Rzeczony dokument nie regulował konkretnie kwestii związanych z prowadzeniem przez Fundację działań pomocowych wiążących się z przetwarzaniem danych (np. wizyty w siedzibie Fundacji osób pokrzywdzonych celem odbycia terapii psychologicznej, uzyskania pomocy prawnej itd.). „Polityka bezpieczeństwa” nie zawierała na dzień kontroli postanowień dotyczących zasad przekazywania danych podmiotom współpracującym z Fundacją, sposobu prowadzenia wywiadu z osobami otrzymującymi pomoc, sposobu postępowania z dokumentacją tworzoną w procesie świadczenia pomocy na terenie siedziby Fundacji, itp.

15.

W związku z ustalonym stanem faktycznym, o którym mowa powyżej, Prezes UODO, pismem z 7 października 2022 r. (znak: DKN.5112.11.2021.(…)), wszczął z urzędu postępowanie administracyjne w zakresie stwierdzonych naruszeń przepisów art. 5 ust. 1 lit. a) i lit. f), art. 5 ust. 2, art. 7 ust. 2, art. 9 ust. 1 i ust. 2, art. 13 ust. 1 lit. c) i lit. e), art. 24 ust. 1 i ust. 2, art. 28 ust. 3 i ust. 9, art. 29, art. 32 ust. 1 i ust. 4 rozporządzenia 2016/679, w celu wyjaśnienia okoliczności sprawy.

II. Pokontrolne wyjaśnienia złożone przez Fundację

16.

W odpowiedzi na ww. pismo, Fundacja pismem z 2 listopada 2022 r. skierowanym do Prezesa UODO, ustosunkowała się do stwierdzonych naruszeń przepisów o ochronie danych osobowych, stanowiących przedmiot postępowania administracyjnego, wymienionych w zawiadomieniu o wszczęciu postępowania. Fundacja wskazała, że zrealizowała działania naprawcze w przedmiocie ochrony danych osobowych oraz (…), tj. z dniem (…) 2022 r. wyznaczono nowego Inspektora Ochrony Danych. W dniu (…) 2022 r. zgłoszono ww. fakt Urzędowi Ochrony Danych Osobowych. Ponadto, Fundacja oświadczyła, że od (…) 2022 r. wdrożono System (…) (zwany dalej „V.”), w skład którego wchodzi Polityka (…), Polityka (…) oraz metodologia w przedmiocie szacowania ryzyka i oceny skutków dla przetwarzania danych. W toku postępowania, pismem z 2 października 2023 r., Fundacja przedłożyła wraz z wyjaśnieniami dowody na wdrożenie Systemu (…) w postaci kopii dokumentów (Polityki (…), Polityki (…), Analizy (…)),

17.

Według wyjaśnień Fundacji z 2 listopada 2022 r., zostały sporządzone upoważnienia do przetwarzania danych osobowych zgodnie z obowiązującym w Fundacji wzorem. Upoważnienia zawierają również klauzulę poufności, w zakresie której osoba upoważniana zobowiązuje się do zachowania przetwarzanych informacji w poufności. Upoważnienia do przetwarzania danych wydano między innymi pracownikom pierwszego kontaktu, a także psychologom, psychiatrom oraz prawnikom i mediatorom współpracującym z Fundacją na podstawie umowy o pracę lub w ramach innej formy zatrudnienia (np. umowa zlecenia).

18.

W toku postępowania, pismem z 2 października 2023 r., Fundacja wraz z wyjaśnieniami przedłożyła do akt sprawy trzy przykładowe upoważnienia udzielone przez nią do przetwarzania danych osobowych (zgodnie z obowiązującą w Fundacji „(…)” spełniającą kryteria upoważnienia do przetwarzania danych osobowych).

19.

Fundacja wyjaśniła ponadto, że formularz udzielenia zgody na przetwarzanie danych osobowych oraz obowiązek informacyjny, który był przedmiotem kontroli Urzędu Ochrony Danych Osobowych, został opracowany przez Ministerstwo Sprawiedliwości i stanowił załącznik do umowy zawartej pomiędzy Fundacją a Ministerstwem Sprawiedliwości, na podstawie której Fundacja była zobowiązana stosować opracowaną przez Ministerstwo Sprawiedliwości formę zgody oraz klauzuli informacyjnej.

20.

Następnie Fundacja wskazała, że korzystała z usług U. sp. z o.o. w zakresie aplikacji przeglądarkowej „U.”, celem przekazywania Ministerstwu Sprawiedliwości informacji dotyczących wykonywania przez Fundację zadań powierzonych jej w umowie nr (…), zawartej przez Fundację w dniu (…) 2019 r. z Ministrem Sprawiedliwości. Korzystanie z ww. aplikacji odbywało się do czasu uruchomienia dedykowanego celom sprawozdawczym systemu przez Ministra Sprawiedliwości.

21.

Fundacja wyjaśniła, że przetwarzanie danych przez U. sp. z o.o. za pomocą aplikacji przeglądarkowej „U.” zostało objęte przedmiotem umowy zawartej przez Ministerstwo Sprawiedliwości z U. sp. z o.o. (umowa o powierzenie przetwarzania danych osobowych z dnia (…) 2017 r.). W świetle postanowień ww. umowy, jako podmiot przetwarzający wskazano w niej U. sp. z o.o., a jako administratora danych osobowych – Ministra Sprawiedliwości. Fundacja wskazała, że nie zawarła z U. sp. z o.o. umowy powierzenia przetwarzania danych osobowych w zakresie korzystania z serwisu webowego „U.”, ponieważ to nie Fundacja, a Ministerstwo Sprawiedliwości zawierało z ww. podmiotem umowę o świadczenie usług. Według Fundacji, proces przetwarzania danych osobowych w przedmiocie wykorzystania platformy „U.” został zaprojektowany przez Ministerstwo Sprawiedliwości (dysponenta funduszu).

22.

Dodatkowo Fundacja wyjaśniła, że zabezpieczenia stosowane przez H. (…) Sp. z o.o., zwaną dalej także „spółką Z.”, z której usług korzystała, „są jednymi z najlepszych na rynku”. W czasie kontroli przedmiotowa usługa była wykorzystywana jako produkt bezpłatny, bez możliwości zawarcia umowy powierzenia. Jak wskazała Fundacja, funkcjonalność związana z zawarciem umowy powierzenia przetwarzania danych istnieje jedynie w przypadku usług świadczonych przez spółkę Z. w formie płatnej. Spółka podniosła, że w jej opinii rozwiązania technologiczne dla wersji bezpłatnej i płatnej usług spółki Z. są jednakowe, zatem w jej opinii brak umowy powierzenia przetwarzania danych był obojętny dla kwestii poufności, dostępności oraz integralności danych. Fundacja wskazała także, że producent systemu operacyjnego Q. zapewnia natywne rozwiązanie antywirusowe wraz z funkcjonalnością zapory ogniowej (firewall).

23.

Według Fundacji, zainstalowanie dodatkowego oprogramowania antywirusowego jest fakultatywne i wiąże się z dodatkowym funkcjami bezpieczeństwa IT, zaś producent systemu operacyjnego Q. oferuje system kompletny, który opierając się na swoich zabezpieczeniach (m.in. w postaci K. (…), K. (…) i inne) oferuje użytkownikowi bezpieczeństwo w zakresie atrybutu poufności, dostępności jak i integralności danych. Fundacja przedłożyła wraz z pismem z 2 października 2023 r. zrzuty ekranowe na potwierdzenie zainstalowania i korzystania z systemu operacyjnego Q. wyposażonego w aktualne i aktywowane narzędzia K. (…) oraz K. (…).

24.

Po przeprowadzeniu analizy zebranego materiału dowodowego, w tym treści pism Fundacji z 2 listopada 2022 r. oraz 2 października 2023 r., Prezes UODO, pismem z 4 kwietnia 2025 r., rozszerzył zakres postawionych Fundacji zarzutów o naruszenie:

1)

art. 5 ust. 2 rozporządzenia 2016/679 w ten sposób, że nie wykazała przed organem nadzorczym, iż zawarła zgodnie z art. 28 ust. 3 i ust. 9 rozporządzenia 2016/679 umowy powierzenia przetwarzania danych z:

–

H. (…) sp. z o.o., w związku z korzystaniem z usługi tzw. chmury oraz poczty elektronicznej oraz

–

U. sp. z o.o., w zakresie korzystania z aplikacji webowej „U.”;

2)

art. 5 ust. 1 lit. f) rozporządzenia 2016/679 w ten sposób, że poprzez naruszenie art. 29 i art. 32 ust. 4 rozporządzenia 2016/679 naruszyła zasadę poufności, bowiem niezastosowanie środka służącego zapewnieniu przetwarzania danych na wyłączne polecenie administratora, stanowiło zagrożenie dla ich bezpieczeństwa, w tym ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem;

3)

art. 5 ust. 1 lit. f) rozporządzenia 2016/679 w ten sposób, że nie wdrożyła właściwie Polityki ochrony danych oraz nie zapewniła, aby treść ww. Polityki była dostosowana do specyfiki przetwarzania danych przez Fundację, co stanowiło zagrożenie dla ich bezpieczeństwa, w tym ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, przez co Fundacja naruszyła także zasadę wyrażoną w tym przepisie rozporządzenia 2016/679;

4)

art. 5 ust. 1 lit. a) oraz art. 5 ust. 2 rozporządzenia 2016/679 w ten sposób, że Fundacja naruszyła zasadę przejrzystości przetwarzania danych osobowych z uwagi na naruszenie art. 13 ust. 1 lit. c) i lit. e) rozporządzenia 2016/679, tj. brak wskazania w klauzuli informacyjnej dokładnej podstawy prawnej przetwarzania uregulowanej w art. 6 ust. 1 rozporządzenia (tj. lit. a – zgoda podmiotu danych) oraz odbiorców danych lub kategorii odbiorców, którym udostępniane są dane osobowe osób ubiegających się o pomoc Fundacji, co stanowiło także naruszenie zasady rozliczalności z uwagi na niewykazanie przez nią właściwego spełnienia obowiązku informacyjnego.

25.

Ponadto, w piśmie z 4 kwietnia 2025 r., Prezes UODO skierował do Fundacji wezwanie do złożenia dodatkowych wyjaśnień lub innych dowodów w następującym zakresie:

1)

czy umowa zawarta przez Fundację z Ministrem Sprawiedliwości nr (…) z (…) 2019 r. nadal obowiązuje i jest przez Fundację wykonywana;

2)

czy Fundacja nadal korzysta z usług chmurowych, poczty elektronicznej lub jakichkolwiek innych usług świadczonych przez H. (…) sp. z o.o. w ramach konta o nazwie (adresie) (…), a jeżeli nie, to proszę wskazać datę zaprzestania korzystania z ww. usług przez Fundację i do kiedy przy użyciu ww. konta, były przetwarzane dane osobowe, a jeżeli tak, to jakie (proszę podać datę lub przybliżoną datę);

3)

czy Fundacja nadal korzysta ze wzoru klauzuli informacyjnej w związku z realizacją zawartej przez nią z Ministrem Sprawiedliwości umowy nr (…) z (…) 2019 r., a jeżeli nie, to proszę wskazać datę zaprzestania korzystania z ww. wzoru przez Fundację (proszę podać datę lub przybliżoną datę).

26.

W odpowiedzi na ww. pismo Prezesa UODO, Fundacja, pismem z 27 kwietnia 2025 r. poinformowała, że umowa zawarta przez Fundację z Ministrem Sprawiedliwości nr (…) z (…) 2019 r. obowiązywała do (…) 2021 r. Ponadto Fundacja wyjaśniła w ww. piśmie, że nadal korzysta z usługi poczty elektronicznej świadczonej przez spółkę Z., poprzez używane przez nią konto o adresie: (…) Fundacja oświadczyła, że za pośrednictwem ww. poczty elektronicznej nie są przetwarzane dane osobowe. Ponadto, Fundacja poinformowała, że w związku z zakończeniem z dniem (…) 2021 r. obowiązywania umowy zawartej przez nią z Ministrem Sprawiedliwości nr (…), nie stosuje ona od tego dnia klauzuli informacyjnej zawartej w załączniku do tej umowy. Fundacja powtórzyła w ww. piśmie swoje wyjaśnienia odnośnie do kwestii powierzenia U. sp. z o.o. przetwarzania danych osobowych osób ubiegających się o pomoc Fundacji.

III. Ocena prawna stanu faktycznego

27.

Wobec powyżej stwierdzonego stanu faktycznego, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych uznał, że w procesie przetwarzania danych osobowych Fundacja jako administrator, naruszyła przepisy o ochronie danych osobowych, tj.: art. 13 lit. c) i lit. e), art. 28 ust. 3 i ust. 9, art. 29 i art. 32 ust. 1 i ust. 4 w związku z art. 5 ust. 1 lit. a) i lit. f), art. 5 ust. 2 oraz art. 24 ust. 1 i ust. 2 rozporządzenia 2016/679.

28.

Dla oceny prawnej przedmiotowej sprawy zasadnicze znaczenie ma kwestia ustalenia, jakie role w procesie przetwarzania mają poszczególne podmioty, tj. w jaki sposób odbywa się administrowanie danymi osobowymi przetwarzanymi w związku z zawarciem (…) 2019 r. umowy nr (…) pomiędzy Fundacją a Ministrem Sprawiedliwości. W § 19 ust. 1 ww. umowy zawarto postanowienie, że „jeżeli w związku z realizacją przedmiotu umowy zaistnieje potrzeba przetwarzania przez Wykonawcę (Fundację – uwaga wł. Prezesa UODO) danych osobowych osób fizycznych, np. w związku z udzielaniem pomocy, Wykonawca oświadcza, że obowiązki współadministratora danych osobowych danych osobowych tych osób będzie wykonywał w zgodzie z przepisami prawa (…)”. Zgodnie z kolei z brzmieniem art. 26 ust. 1 rozporządzenia 2016/679, „jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. W drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z (…) rozporządzenia (…)”.

29.

Na podstawie analizy całokształtu materiału dowodowego zebranego w sprawie oraz stosownych przepisów, o których mowa poniżej, Prezes UODO uznał, że wbrew treści postanowienia § 19 ust. 1 umowy nr (…), zawartej (…) 2019 r. przez Fundację z Ministrem Sprawiedliwości, w zakresie przetwarzania danych osób ubiegających się o pomoc w ramach realizacji zadań ze środków Funduszu Pomocy Pokrzywdzonym oraz Pomocy Postpenitencjarnej – Funduszu Sprawiedliwości (dalej zwanych łącznie także „Funduszem”), w relacji pomiędzy Fundacją a Ministrem Sprawiedliwości nie zachodzi stosunek współadministrowania w rozumieniu art. 26 ust. 1 rozporządzenia 2016/679.

30.

Z uwagi na zakres zadań nałożonych ustawowo na Ministra Sprawiedliwości, związanych z dystrybucją środków Funduszu, a także obowiązki Fundacji i Ministra Sprawiedliwości, wynikające z ww. umowy, każdy z ww. podmiotów określa we własnym zakresie cele i sposoby przetwarzania danych osobowych, w tym także w zakresie realizacji zadań ze środków Funduszu.

31.

W art. 43 § 2 ustawie z dnia 6 czerwca 1997 r. Kodeks karny wykonawczy (Dz. U. z 2024 r. poz. 706 ze zm.), zwanej dalej także „Kodeksem”, ustanowiono, że Fundusz jest państwowym funduszem celowym ukierunkowanym na pomoc pokrzywdzonym i świadkom, przeciwdziałanie przestępczości oraz pomoc postpenitencjarną, którego dysponentem jest Minister Sprawiedliwości. Z kolei zgodnie z treścią art. 43 § 8 pkt 1 Kodeksu, środki Funduszu są przeznaczane, między innymi, na pomoc osobom pokrzywdzonym przestępstwem oraz osobom im najbliższym, zwłaszcza pomoc medyczną, psychologiczną, rehabilitacyjną, prawną oraz materialną, udzielaną przez jednostki niezaliczane do sektora finansów publicznych i niedziałające w celu osiągnięcia zysku, w tym stowarzyszenia, fundacje, organizacje i instytucje. Ponadto, w myśl § 31 ust. 1 rozporządzenia Ministra Sprawiedliwości z dnia 13 września 2017 r. w sprawie Funduszu Pomocy Pokrzywdzonym oraz Pomocy Postpenitencjarnej – Funduszu Sprawiedliwości (Dz. U. z 2017 r. poz. 1760), zwanego dalej także „rozporządzeniem o Funduszu”, podmiot, któremu przyznano środki z Funduszu Sprawiedliwości, wykorzystuje przekazane środki zgodnie z celem, na jaki je uzyskał, i na warunkach określonych w umowie.

32.

Wspomniana wyżej umowa zawarta pomiędzy Fundacją a Ministrem Sprawiedliwości zawiera w § 1 postanowienia, które wskazują, że Fundacja jest podmiotem, o którym mowa m.in. w § 31 ust. 1 rozporządzenia o Funduszu, a więc wykonującym na rzecz Ministra Sprawiedliwości świadczenie polegające na wydatkowaniu środków Funduszu na cele określone w Kodeksie, rozporządzeniu o Funduszu i ww. umowie. Wobec powyższego należy stwierdzić, że zarówno Fundacja, jak i Minister Sprawiedliwości, w związku z wykonaniem ww. umowy, oddzielnie określają cele i sposoby przetwarzania danych osobowych osób ubiegających się o pomoc z Funduszu. Powyższego nie zmienia fakt, że w umowie pomiędzy Fundacją a Ministrem Sprawiedliwości zawarto postanowienia, które wbrew stanowi faktycznemu oraz prawnemu stwierdzonemu w sprawie, przesądzają błędnie, iż jej strony są współadministratorami.

33.

Należy bowiem zauważyć, że pomimo niektórych postanowień ww. umowy, przesądzających w ograniczonym stopniu sposoby przetwarzania danych dotyczących przedmiotu umowy przez Fundację (np. w kwestii przekazywania Ministrowi Sprawiedliwości informacji za pomocą systemu informatycznego / platformy „U.” – § 10 ust. 10 umowy), nie zmienia to postaci rzeczy, że obie strony samodzielnie określają te sposoby. Z tego względu, przykładowo, Fundacja zdecydowała się, chociaż nie dopełniając wymogów art. 28 rozporządzenia 2016/679, przetwarzać dane osobowe – w związku z realizacją umowy – z pomocą usługi chmury danych i usługi poczty elektronicznej, świadczonych przez spółkę Z.. Ponadto, należy zwrócić uwagę na okoliczność, że ww. postanowienia umowy, ustalające „z góry” w pewnych fragmentach współpracy jej stron sposoby przetwarzania, są efektem aktu dobrowolnej akceptacji przez nie określonych zasad w ramach zasady swobody umów. Tak więc, ww. postanowienia umowy, jakkolwiek jedynie fragmentarycznie, biorąc pod uwagę całokształt współpracy stron, ustalające sposoby przetwarzania, nie są jednak rezultatem współadministrowania i wspólnego określania sposobów przetwarzania w rozumieniu art. 26 ust. 1 rozporządzenia 2016/679, ale wzajemnych ustaleń techniczno-organizacyjnych stron umowy realizacji przedsięwzięcia. Powyższe nie przesądza bowiem o tym, że strony przedmiotowej umowy wspólnie określają cele i sposoby przetwarzania, co uzasadniono w powyższym wywodzie. Innymi słowy, to nie czynność prawna (np. umowa) przesądza o tym, czy strony są odrębnymi administratorami, czy współadministratorami, ale stan faktyczny związany z określaniem celów i sposobów przetwarzania danych. Jeżeli ze stanu tego wynika, jak w przedmiotowej sprawie, że określone podmioty są odrębnymi administratorami, bo faktycznie każdy z nich odrębnie ustala cele i sposoby przetwarzania, to powyższego nie można zmienić czynnością prawną, np. umową, oświadczeniem itp.

34.

Z kolei cele przetwarzania danych osób ubiegających się o pomoc z Funduszu, jakkolwiek związane z jednym przedsięwzięciem, którym jest wydatkowanie środków z Funduszu i realizacją programu „(…)”, są także odmienne dla każdej ze stron ww. umowy i oddzielnie przez nie określane, na co wskazują zarówno przepisy Kodeksu i rozporządzenia o Funduszu, jak i postanowienia zawartej pomiędzy Ministrem Sprawiedliwości a Fundacją umowy.

35.

Cel przetwarzania określony przez Ministra Sprawiedliwości dotyczy wykonania jego ustawowych zadań i kompetencji związanych z organizacją i nadzorem nad wydatkowaniem środków Funduszu i realizacją ww. programu. Zadania te sprowadzają się m.in. do: wyboru podmiotów mających bezpośrednio realizować wydatkowanie środków z Funduszu (np. takich jak Fundacja), nadzoru nad realizacją obowiązków przez ww. podmioty, prowadzenia statystyk i analiz związanych z wydatkowaniem środków Funduszu, a także rozliczenia wydatków z Funduszu. Z kolei w przypadku Fundację celem przetwarzania jest realizacja jej zadań statutowych oraz zobowiązań wynikających z umowy zawartej z Ministrem Sprawiedliwości. Zobowiązania te sprowadzają się przede wszystkim do zorganizowania i przeprowadzenia procesu wydatkowania środków Funduszu i organizacji ww. programu od strony techniczno-organizacyjnej, związanej ze zbieraniem zgłoszeń osób pokrzywdzonych, ich obsługą administracyjną, świadczeniem na ich rzecz konkretnych usług w zakresie pomocy prawnej, psychologicznej, materialnej itp.

36.

Powyższe porównanie zadań i ról Fundacji i Ministra Sprawiedliwości w związku z zawartą przez te podmioty umową nr (…) z (…) 2019 r. wskazuje na odrębne określanie celów przetwarzania przez jej obie strony (jako oddzielni administratorzy), nawet jeżeli cele te mają związek z jednym przedsięwzięciem, tj. zadaniem publicznym, realizowanym przez Ministra Sprawiedliwości. Należy przy tym wskazać także na określanie przez Fundację celów przetwarzania, związanych z rozliczeniami podatkowymi, obowiązkami archiwizacyjnymi i innymi, które nie mają bezpośredniego związku z przedmiotem ww. umowy, a które jednak są istotne przy przetwarzaniu danych osób ubiegających się o pomoc z Funduszu. Powyższy wywód, dotyczący ustalenia charakteru administrowania danymi osób ubiegających się o pomoc ze środków Funduszu, ma zasadnicze znaczenie dla treści poniżej postawionych Fundacji zarzutów w niniejszej sprawie.

IV.1. Naruszenie art. 28 ust. 3 i ust. 9 rozporządzenia 2016/679 (niezawarcie umowy powierzenia przetwarzania danych)

37.

Zgodnie z treścią art. 28 ust. 3 i ust. 9 rozporządzenia 2016/679, przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:

a)

przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;

b)

zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

c)

podejmuje wszelkie środki wymagane na mocy art. 32 rozporządzenia 2016/679;

d)

przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4;

e)

biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III rozporządzenia 2016/679;

f)

uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 rozporządzenia 2016/679;

g)

po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;

h)

udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich. W związku z obowiązkiem określonym w akapicie pierwszym lit. h) podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych. Umowa lub inny akt prawny, o których mowa w art. 28 ust. 3 i 4 rozporządzenia 2016/679, mają formę pisemną, w tym formę elektroniczną.

38.

W toku czynności kontrolnych ustalono, że Fundacja, korzystając z usług świadczonych przez H. (…) sp. z o.o. w ramach konta o adresie: (…), tj. z usługi bezpłatnej poczty elektronicznej oraz z usługi tzw. chmury, polegającej na możliwości korzystania z wirtualnego dysku służącego do przechowywania plików elektronicznych, powierzała co najmniej od dnia zawarcia umowy z Ministrem Sprawiedliwości ((…) 2019 r.) do (…) 2021 r. przetwarzanie danych osobowych osób ubiegających się o pomoc innemu podmiotowi, tj. spółce Z.. Z zeznań świadków uzyskanych w toku kontroli wynika, iż zarówno w wiadomościach poczty elektronicznej, jak i w tzw. chmurze, przechowywane były dane osobowe osób ubiegających się o pomoc Fundacji, przy czym ze spółką Z., w związku z ww. jej usługami świadczonymi na rzecz Fundacji, nie została zawarta umowa powierzenia przetwarzania danych. Należy przypomnieć, że zgodnie z treścią, odpowiednio, art. 4 pkt 7 i art. 4 pkt 8 rozporządzenia 2016/679, „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych, zaś „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

39.

Odnosząc powyższe do roli Fundacji oraz spółki Z. w przetwarzaniu danych osobowych osób ubiegających się o pomoc należy stwierdzić, że Fundacja występowała wobec tego drugiego podmiotu jako administrator, a więc podmiot określający cele i sposoby przetwarzania związane ze statutowym przedmiotem jej działalności oraz z realizacją programu stanowiącego przedmiot umowy zawartej z Ministrem Sprawiedliwości. Z kolei spółka Z., nie określając celów ani sposobów rzeczonego przetwarzania, w tym w szczególności związanych z przetwarzaniem danych osób ubiegających się o pomoc Fundacji, realizowała ten proces faktycznie jako podmiot przetwarzający w imieniu Fundacji jako administratora, świadcząc na jej rzecz usługę poczty elektronicznej oraz tzw. chmury i przetwarzając tym samym na zlecenie Fundacji dane osobowe, poprzez ich przechowywanie na wirtualnym dysku.

40.

Co do zasady, Fundacja jako administrator była uprawniona do powierzenia przetwarzania (przechowywania) danych innemu podmiotowi, bowiem w przedmiotowym przypadku nie zabraniają tego ani przepisy prawa ani postanowienia umowy zawartej przez Fundację z Ministrem Sprawiedliwości, w szczególności zaś treść jej § 8 ust. 3 oraz § 19. Niemniej jednak powierzenie, o którym wyżej mowa, powinno spełniać wymogi przewidziane w art. 28 ust. 3 i ust. 9 rozporządzenia 2016/679.

41.

W przypadku korzystania przez Fundację z usług spółki Z. w zakresie bezpłatnego konta o adresie: (…), tj. z usługi bezpłatnej poczty elektronicznej oraz z usługi tzw. chmury, polegającej na możliwości korzystania z wirtualnego dysku służącego do przechowywania plików elektronicznych, ww. wymogi art. 28 ust. 3 i ust. 9 rozporządzenia 2016/679 nie zostały przez Fundację spełnione, tzn. w toku kontroli Fundacja nie była w stanie wykazać się odpowiednimi dowodami, np. dokumentami elektronicznymi lub w formie papierowej, potwierdzającymi zawarcie umowy powierzenia przetwarzania danych osobowych z uwzględnieniem wszystkich niezbędnych elementów jej treści. W tej sytuacji powierzenie przetwarzania danych przez Fundację spółce Z. odbyło się z naruszeniem ww. art. 28 ust. 3 i ust. 9 rozporządzenia 2016/679.

42.

Podobnie należy ocenić niezawarcie przez Fundację umowy z U. sp. z o.o. w zakresie powierzenia ww. podmiotowi przetwarzania wprowadzanych przez Fundację do aplikacji webowej (internetowej) „U.” danych osobowych uwzględnionych w raportach składanych Ministrowi Sprawiedliwości za pośrednictwem ww. aplikacji. Fundacja przekazywała bowiem dane osobowe do systemu informatycznego U. sp. z o.o. w celu raportowania Ministrowi Sprawiedliwości w przedmiocie realizacji zawartej z nim umowy nr (…) z (…) 2019 r. W przypadku powyższego powierzenia przetwarzania Fundacja wskazała w swoich wyjaśnieniach składanych w toku kontroli, że nie zawarła z U. sp. z o.o. umowy powierzenia z tego względu, iż umowę taką zawarł Minister Sprawiedliwości. Z taką argumentacją Fundacji nie można się zgodzić. Fundacja powinna była mieć świadomość, że zawierając umowę z Ministrem Sprawiedliwości jest odrębnym wobec niego administratorem danych przetwarzanych w związku z jej realizacją, o czym wspomniano powyżej w niniejszej decyzji.

43.

Nie zawierając zatem umowy powierzenia z U. sp. z o.o., której Fundacja powierzyła przetwarzanie danych w związku z ich wprowadzaniem poprzez aplikację webową „U.” i przechowywaniem w systemie informatycznym U. sp. z o.o., Fundacja również naruszyła art. 28 ust. 3 i ust. 9 rozporządzenia 2016/679. Fundacja błędnie polegała na postanowieniu § 19 ust. 1 umowy zawartej z Ministrem Sprawiedliwości, które niezgodnie ze stanem faktycznym definiowało Fundację i Ministra Sprawiedliwości jako współadministratorów. Ponadto, niesłusznie uznała, że zawarcie z U. sp. z o.o. umowy powierzenia przez Ministra Sprawiedliwości zwalnia ją z podjęcia działań w ww. względzie. Tak więc, zawarcie w umowie nr (…) z (…) 2019 r. postanowień wskazujących na współadministrowanie danymi przez Fundację z Ministrem Sprawiedliwości oraz postanowień dotyczących zawarcia z U. sp. z o.o. umowy powierzenia przetwarzania danych jedynie przez Ministra Sprawiedliwości nie usprawiedliwia niezawarcia przez Fundację umowy powierzenia przetwarzania danych z U. sp. z o.o. we własnym imieniu. Jako odrębny administrator danych, Fundacja miała bowiem taki obowiązek.

44.

Należy przy tym przypomnieć, że w świetle art. 5 ust. 2 rozporządzenia 2016/679 i usankcjonowanej przez niego zasady rozliczalności, „administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie ("rozliczalność")”. Fundacja miała zatem obowiązek wykazania przed Prezesem UODO, iż przestrzega przepisy art. 5 ust. 1, w tym uregulowaną w nim zasadę przetwarzania danych osobowych zgodnie z prawem (art. 5 ust. 1 lit. a) rozporządzenia 2016/679). Niewykazanie się przez Fundację jakimkolwiek dowodem, a w szczególności dokumentem potwierdzającym zawarcie przez nią umowy powierzenia przetwarzania danych ze spółką Z. oraz z U. sp. z o.o. wyklucza przestrzeganie zarówno zasady przetwarzania zgodnie z prawem, jak i zasady rozliczalności, a w rezultacie organ nadzorczy musi uznać, że do zawarcia ww. umów na zasadach określonych przepisami rozporządzenia 2016/679 nie doszło.

45.

W związku z powyższym, Fundacja naruszyła zasadę zgodności przetwarzania danych z prawem, uregulowaną w art. 5 ust. 1 lit. a) rozporządzenia 2016/679, bowiem powierzenie H. (…) sp. z o.o. oraz U. sp. z o.o. przetwarzania danych bez zawarcia umowy, o której mowa w art. 28 rozporządzenia 2016/679, stanowiło przetwarzanie niezgodnie z przepisami prawa. Wraz z powyższym nastąpiło również naruszenie zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679. Jak bowiem wskazał WSA w Warszawie w wyroku z 10 lutego 2021 r. (sygn. II SA/Wa 2378/20, Legalis nr 2579568), „(…) administrator danych jest odpowiedzialny za przestrzeganie wszystkich zasad przy przetwarzaniu danych osobowych (wymienionych w art. 5 ust. 1) i musi być w stanie wykazać ich przestrzeganie. Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych”. Podobnie kwestię tę ocenił WSA w Warszawie w wyroku z 26 sierpnia 2020 r. (sygn. II SA/Wa 2826/19, Legalis nr 2480051), stwierdzając, iż „[b]iorąc pod uwagę całość norm rozporządzenia 2016/679, podkreślić należy, że administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 rozporządzenia 2016/679”.

46.

Należy zauważyć, że w wyjaśnieniach złożonych w piśmie skierowanym do Prezesa UODO z 2 listopada 2022 r. Fundacja sama przyznała, że usługa spółki Z. była wykorzystywana przez nią w wersji bezpłatnej, co skutkowało brakiem możliwości zawarcia umowy powierzenia. Jak wskazała Fundacja, możliwość zawarcia umowy powierzenia przetwarzania danych w związku z usługami konta o adresie: (…) (usługa bezpłatnej poczty elektronicznej oraz usługa tzw. chmury, tj. wirtualnego dysku służącego do przechowywania plików elektronicznych) istnieje jedynie w przypadku usług świadczonych przez spółkę Z. w formie płatnej. Ponadto, w świetle ww. wywodu, nie zasługuje na uwzględnienie wyjaśnienie Fundacji zawarte w piśmie z 2 listopada 2022 r., że przetwarzanie danych przez U. sp. z o.o. za pomocą aplikacji przeglądarkowej „U.” zostało objęte przedmiotem umowy o powierzenie przetwarzania danych osobowych z (…) 2017 r., zawartej przez Ministra Sprawiedliwości z U. sp. z o.o. i że wobec powyższego Fundacja nie miała możliwości zawarcia umowy powierzenia przetwarzania danych osobowych z podmiotem administrującym serwisem „U.”. Należy raz jeszcze podkreślić, że Fundacja miała obowiązek zawrzeć ww. umowę, czego zaniechała, naruszając art. 28 ust. 3 i ust. 9 rozporządzenia 2016/679.

47.

Należy jednocześnie podnieść, że zgodnie z Wytycznymi Europejskiej Rady Ochrony Danych 07/2020 dotyczącymi pojęć administratora i podmiotu przetwarzającego zawartych w RODO (Wersja 2.0 przyjęta 7 lipca 2021, s. 35-36), „100. Wszelkie przetwarzanie danych osobowych przez podmiot przetwarzający musi być uregulowane umową lub innym aktem prawnym na mocy prawa Unii lub państwa członkowskiego zawartym między administratorem a podmiotem przetwarzającym, zgodnie z wymogami art. 28 ust. 3 RODO. 101. Taki akt prawny ma formę pisemną, w tym formę elektroniczną. W związku z tym niepisanych umów (niezależnie od stopnia ich szczegółowości lub skuteczności) nie można uznać za wystarczające do spełnienia wymogów określonych w art. 28 RODO. Aby uniknąć jakichkolwiek trudności w wykazaniu, że umowa lub inny akt prawny faktycznie obowiązują, EROD zaleca dopilnowanie, aby w akcie prawnym znalazły się niezbędne podpisy, zgodnie z obowiązującym prawem (np. prawem zobowiązań). (…) Ponieważ rozporządzenie ustanawia wyraźny obowiązek zawarcia umowy na piśmie, w przypadku gdy nie obowiązuje żaden inny odpowiedni akt prawny, jej brak stanowi naruszenie RODO. Zarówno administrator, jak i podmiot przetwarzający są odpowiedzialni za zapewnienie zawarcia umowy lub innego aktu prawnego regulującego przetwarzanie. Z zastrzeżeniem przepisów art. 83 RODO właściwy organ nadzorczy będzie mógł nałożyć grzywnę administracyjną zarówno na administratora, jak i podmiot przetwarzający, biorąc pod uwagę okoliczności każdej indywidualnego przypadku.”

48.

Należy przy tym wskazać, że niewnoszące nic do sprawy w tym zakresie są wyjaśnienia Fundacji, która w piśmie skierowanym do Prezesa UODO z 2 listopada 2022 r. wskazała, że standardy bezpieczeństwa stosowane przez spółkę Z. gwarantują bezpieczeństwo danych osobowych przechowywanych w tzw. chmurze, tj. usłudze przechowywania plików, oferowanej i świadczonej przez ten podmiot, a zabezpieczenia stosowane przez spółkę Z., z której usług korzystała „są jednymi z najlepszych na rynku”. Odnosząc się do powyższego stwierdzić należy, że wyjaśnienia Fundacji, pomijając ich ocenę merytoryczną, nie wnoszą nic nowego do sprawy i nie stanowią argumentu wobec zarzutu postawionego Fundacji przez Prezesa UODO w zakresie niezawarcia przez nią umowy ze spółką Z. dotyczącej powierzenia przetwarzania danych osobowych i naruszenia w ten sposób art. 28 ust. 3 i ust. 9 rozporządzenia 2016/679.

49.

W przedmiotowej sprawie kwestia technicznych standardów bezpieczeństwa stosowanych przez spółkę Z., do których odnosi się m.in. treść pisma z wyjaśnieniami Fundacji, stanowi odrębne zagadnienie w stosunku do kwestii niezawarcia umowy powierzenia przetwarzania danych z tym podmiotem, która należy do sfery organizacyjnych środków służących zapewnieniu bezpieczeństwa przetwarzania danych. Istotą postawionego zarzutu Fundacji w związku z powierzeniem przetwarzania danych innemu podmiotowi jest bowiem fakt niezawarcia przez Fundację, zgodnie z wymaganiem art. 28 ust. 3 i 9 rozporządzenia 2016/679, umowy powierzenia danych i naruszenie w ten sposób także zasady przetwarzania danych zgodnie z prawem (art. 5 ust. 1 lit. a) rozporządzenia 2016/679) oraz niewykazanie tej okoliczności zgodnie z zasadą rozliczalności, uregulowaną w art. 5 ust. 2 rozporządzenia 2016/679. Podniesiona przez Fundację w jej pisemnych, pokontrolnych wyjaśnieniach kwestia spełniania technicznych warunków bezpieczeństwa świadczonych przez spółkę Z. usług, ma marginalne znaczenie dla przedmiotu ww. zarzutu, bowiem zarzut ten nie odnosi się do technicznych zagadnień bezpieczeństwa, ale do zagadnień natury prawno-organizacyjnej.

IV.2. Naruszenie art. 29 oraz art. 32 ust. 4 rozporządzenia 2016/679 (niewykazanie działania z upoważnienia)

50.

W myśl art. 29 rozporządzenia 2016/679, podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego. Ponadto, zgodnie z treścią art. 32 ust. 4 rozporządzenia 2016/679, administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.

51.

Naruszenie ww. przepisów rozporządzenia 2016/679 przez Fundację sprowadza się do przetwarzania danych osobowych osób ubiegających się o pomoc przez pracowników (współpracowników) Fundacji bez wykazania, że przetwarzanie to odbywa się wyłącznie na polecenie Fundacji i że Fundacja podjęła działania w celu zapewnienia, by każda osoba fizyczna działająca z jej upoważnienia jako administratora, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie Spółki, a w szczególności bez udzielenia stosownych upoważnień osobom pełniącym funkcje i wykonującym obowiązki służbowe przy obsłudze wniosków osób ubiegających się o pomoc Fundacji.

52.

Fundacja wdrożyła upoważnienia jako środek zapewniający przetwarzanie danych przez jej pracowników na jej wyłączne polecenie dopiero od (…) 2022 r. W tej sytuacji, Fundacja w okresie od co najmniej dnia zawarcia umowy z Ministrem Sprawiedliwości ((…) 2019 r.) do dnia (…) 2022 r. nie wdrożyła żadnego środka, celem zapewnienia przetwarzania danych przez jej pracowników na jej wyłączne polecenie jako administratora. Zaniechanie wdrożenia ww. środków we wskazanym okresie, w tym np. w postaci udzielenia pracownikom upoważnień do przetwarzania, stanowiło naruszenie art. 29 i art. 32 ust. 4 w związku z art. 5 ust. 2 rozporządzenia 2016/679.

53.

Biorąc pod uwagę treść ww. przepisów oraz treść art. 5 ust. 2 rozporządzenia 2016/679 (zasady rozliczalności), należy uznać, że prawodawca z jednej strony wymaga, aby administrator był w stanie wykazać, że przetwarzanie danych przez jego pracowników odbywa się wyłącznie na jego polecenie i że podjął działania w celu zapewnienia, by każda osoba fizyczna działająca z jego upoważnienia, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na jego polecenie, np. w drodze udzielenia upoważnień osobom przetwarzającym dane na polecenie administratora, z drugiej zaś udzielenie rzeczonych upoważnień powinno być dokonane w formie umożliwiającej wykazanie tej czynności przed organem nadzorczym (np. pisemny lub elektroniczny dokument). Ze złożonych w toku kontroli przez świadków zeznań wynika, że na dzień kontroli Prezesa UODO w Fundacji upoważnienia nie zostały udzielone pracownikom i współpracownikom Fundacji w ogóle. Fundacja nie wykazała również w toku kontroli, że wdrożyła inne środki, niż ww. upoważnienia, zapewniające przetwarzanie danych przez pracowników Fundacji wyłącznie na jej polecenie i że podjęła działania w celu zapewnienia, by każda osoba fizyczna działająca z jej upoważnienia, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na jej polecenie. W tej sytuacji, naruszenie przez Fundację art. 29 oraz art. 32 ust. 4 powołanych wyżej przepisów rozporządzenia 2016/679 nie budzi wątpliwości.

54.

Jednym ze środków organizacyjnych, o których mowa w rzeczonym przepisie, jest, jak podniesiono wyżej, nadanie osobom przetwarzającym dane osobowe stosownych upoważnień, dzięki którym możliwe jest potwierdzenie nie tylko przetwarzania przez nie danych wyłącznie na polecenie administratora, ale i zakresu oraz terminu, w jakim osoby te mogą to czynić. Udzielając upoważnień do przetwarzania danych, administrator w podstawowym zakresie zapewnia sobie kontrolę nad tym przetwarzaniem i zarazem rozliczalność, tj. umożliwia zarówno sobie, jak i organowi nadzorczemu (np. na wypadek kontroli), rozeznanie w zakresie dotyczącym wszelkich okoliczności związanych z dopuszczeniem określonych osób fizycznych do określonych czynności przetwarzania.

55.

Należy zwrócić przy tym uwagę na fakt, że nieudzielenie przez Fundację upoważnień osobom przetwarzającym dane osobowe nastąpiło pomimo treści postanowienia § 5 polityki bezpieczeństwa przedłożonej przez Fundację w toku kontroli jako środek organizacyjny służący zapewnieniu bezpieczeństwa danych osobowych. Zgodnie z treścią ww. postanowienia, osobom przetwarzającym dane w Fundacji powinny być udzielone upoważnienia. Tak więc, nieudzielenie upoważnień pracownikom Fundacji stanowiło nie tylko naruszenie ww. przepisów art. 29 oraz 32 ust. 4 rozporządzenia 2016/679, ale także postanowień dokumentu wewnętrznego (Polityki bezpieczeństwa) obowiązującego w Fundacji na dzień kontroli, przez co postawę Fundacji należy ocenić tym bardziej krytycznie. Fundacja podejmowała, co prawda, pewne działania, których skutkiem miało być zapewne, w jej zamyśle, udzielenie ww. upoważnień, np. sporządzając ich wzór i przedstawiając go do wglądu swoim pracownikom. Jednakże samo sporządzenie wzoru upoważnienia i przedstawienie go do wglądu pracownikom Fundacji jako niewypełnionego blankietu, nie może być poczytywane za skuteczne, z prawnego punktu widzenia, udzielenie takich upoważnień.

56.

Należy przy tym wskazać, że administrator, dla zachowania bezpieczeństwa przetwarzania danych, obowiązany jest przestrzegać nie tylko przepisów rozporządzenia 2016/679, ale także własne wewnętrzne przepisy, wdrożone przez niego dla celów ochrony danych, chyba że byłyby one sprzeczne z przepisami rozporządzenia 2016/679. Wobec powyższego, Fundacja naruszając postanowienie § 5 Polityki bezpieczeństwa przedłożonej przez nią w toku kontroli jako środek organizacyjny służący zapewnieniu bezpieczeństwa danych osobowych, tj. nie udzielając osobom przetwarzającym dane w Fundacji upoważnień, naruszyła w ten sposób także art. 24 ust. 1 i art. 32 ust. 1 rozporządzenia 2016/679, tzn. nie wdrożyła środka organizacyjnego, którym jest takie upoważnienie.

57.

Jak wskazuje się w komentarzu do rozporządzenia 2016/679 pod redakcją naukową Edyty Bielak-Jomaa oraz Dominika Lubasza („RODO Ogólne rozporządzenie o ochronie danych”, wyd. Wolters Kluwer Polska S.A., 2018, s. 658), „Wobec braku wskazania przez prawodawcę wymogów formalnych w zakresie udzielania polecenia osobie upoważnionej, teoretycznie możliwe jest zastosowanie każdej formy. Przy uwzględnieniu jednak ogólnego podejścia prawodawcy europejskiego do kwestii dokumentowania oświadczeń lub czynności sugerowaną formą dokumentowania poleceń powinna być forma pisemna, w tym elektroniczna. W przypadku polecenia udzielanego przez administratora zawsze należy mieć na uwadze wiążącą go zasadę rozliczalności, w świetle której odpowiada on za poszanowanie pozostałych zasad przetwarzania i musi być w stanie wykazać ich przestrzeganie. Tym samym zalecić należy stosowanie udokumentowanej formy tak, by administrator miał możliwość zapewnienia rozliczalności na tym poziomie. Niezależnie od powyższych argumentów, za stosowaniem wyłącznie odpowiednio dokumentowanych poleceń przemawia także samo związanie osoby upoważnionej poleceniem. Dla pociągnięcia osoby upoważnionej do odpowiedzialności z tytułu przekroczenia zakresu polecenia niezbędne jest wykazanie przez administratora, że polecenie zostało wydane, a także udowodnienie, jaki miało zakres.”

58.

Kwestię rozliczalności, o której wyżej mowa, podniesiono także w literaturze przedmiotu (P. Barta, P. Litwiński, M. Kawecki, Komentarz do art. 5, w: Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, red. P. Litwiński, Legalis 2021), wskazując, że „[r]ozliczalność, czyli w szczególności obowiązek wykazania zgodności z przepisami prawa, składa się w opinii Grupy Roboczej Art. 29 [Opinia z 13.7.2010 r. 3/2010 w sprawie zasady rozliczalności (WP 173), (…)] z następujących obowiązków cząstkowych: obowiązek wdrożenia środków (w tym wewnętrznych procedur) gwarantujących przestrzeganie przepisów o ochronie danych w związku z operacjami ich przetwarzania; obowiązek sporządzenia dokumentacji, która wskazuje osobom, których dane dotyczą, oraz organom nadzorczym, jakie środki podjęto, aby zapewnić przestrzeganie przepisów o ochronie danych osobowych. W tym sensie rozliczalność powinna być więc rozumiana jako pewna właściwość czynności przetwarzania, pozwalająca na dowodzenie zgodności z przepisami prawa operacji na danych osobowych, w szczególności za pomocą dokumentacji ochrony danych osobowych. Konsekwencją zasady rozliczalności jest to, że w razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym administrator powinien być w stanie przedstawić dowody na to, że przestrzega przepisów o ochronie danych osobowych. Dowodami takimi mogą być przede wszystkim dokumenty opisujące zasady przetwarzania i ochrony danych osobowych”.

59.

Nieudzielenie przez Fundację swoim pracownikom i współpracownikom upoważnień do przetwarzania danych oraz niezastosowanie innego środka zapewniającego, aby przetwarzanie danych przez te osoby odbywało się wyłącznie na polecenie administratora, stanowiło także naruszenie zasady poufności, o której mowa art. 5 ust. 1 lit. f) rozporządzenia 2016/679. W myśl ww. przepisu, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie ich bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). Niewykazanie przed Prezesem UODO przestrzegania ww. zasady stanowiło jednocześnie naruszenie zasady rozliczalności uregulowanej w art. 5 ust. 2 rozporządzenia 2016/679.

60.

Wdrożenie środka zapewniającego przetwarzanie danych wyłącznie na polecenie administratora stanowi istotny element zapewnienia przez administratora bezpieczeństwa przetwarzania ze względu na poufność danych, w rozumieniu art. 5 ust. 1 lit. f) rozporządzenia 2016/679. W ten sposób, jak już wskazano powyżej, administrator zapewnia sobie należytą kontrolę nad wewnętrznymi regułami przetwarzania danych osobowych przez jego pracowników, tj. nad tym, kto, w jakim czasie i w jakim zakresie może przetwarzać dane w związku z jego poleceniem. Administrator zapewniając sobie kontrolę nad procesami przetwarzania danych, może zawczasu reagować na wszelkiego rodzaju potencjalne nieprawidłowości w tym zakresie, w tym także w przypadku przetwarzania wykraczającego poza zakres jego polecenia, tj. np. w przypadku, gdy pracownik zacząłby w nieautoryzowany i niekontrolowany sposób wykorzystywać dane w innych celach, niż objęte poleceniem administratora, ujawniać dane innym podmiotom itd. (utrata poufności).

61.

Podsumowując, zaniechanie Fundacji w zakresie wdrożenia środka zapewniającego przetwarzanie danych wyłącznie na jej polecenie jako administratora, naruszyło zasadę poufności w ten sposób, że przetwarzane przez Fundację dane były z tego powodu narażone na niedozwolone lub niezgodne z prawem przetwarzanie oraz przypadkową utratę, zniszczenie lub uszkodzenie, bowiem Fundacja nie wdrożyła żadnego środka pozwalającego jej właściwie kontrolować przebieg operacji przetwarzania danych przez jej pracowników i współpracowników. Brak tych środków powodował niejasność co do zakresu i sposobu przetwarzania danych przez ww. osoby, przez co dane te potencjalnie mogły być przetwarzane niezgodnie z poleceniem Fundacji jako administratora, a przez to mogło dojść do potencjalnego naruszenia ich poufności.

IV.3. Naruszenie art. 24 ust. 1 i ust. 2 oraz art. 32 ust. 1 rozporządzenia 2016/679 (niewłaściwie wdrożone środki organizacyjne służące zabezpieczeniu przetwarzania danych osobowych)

62.

W myśl art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Zgodnie natomiast z treścią art. 24 ust. 2 rozporządzenia 2016/679, jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

63.

Z kolei w myśl art. 32 ust. 1 rozporządzenia 2016/679, Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: a) pseudonimizację i szyfrowanie danych osobowych; b)zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

64.

Biorąc powyższe pod uwagę, stwierdzić należy, że Fundacja naruszyła art. 24 ust. 1 i 2 oraz art. 32 ust. 1 rozporządzenia 2016/679 w ten sposób, że co najmniej od dnia zawarcia umowy z Ministrem Sprawiedliwości ((…) 2019 r.) do (…) 2022 r. nie wdrożyła w przejrzysty i niebudzący wątpliwości sposób polityki ochrony danych zawierającej konkretne postanowienia (procedury, instrukcje itp.) służące zapewnieniu bezpieczeństwa danych i dostosowane organizacyjnie i technicznie do specyfiki działalności Fundacji. Dopiero wdrożenie przez Fundację (…) 2022 r. Systemu (…), w skład którego wchodzi Polityka (…), Polityka (…) oraz metodologia w przedmiocie szacowania ryzyka i oceny skutków dla przetwarzania danych, można uznać za spełnienie wymogu wynikającego z wyżej przywołanych przepisów rozporządzenia 2016/679.

65.

Należy zaznaczyć, że przez „wdrożenie” określonego środka organizacyjnego lub technicznego służącego bezpieczeństwu przetwarzania, o którym jest mowa w treści art. 32 ust. 1 rozporządzenia 2016/679, należy rozumieć takie działanie, dzięki któremu środek ten jest realnie stosowany. Zgodnie z definicją Słownika Języka Polskiego PWN^[1] pojęcia „wdrożyć”, oznacza ono:

1.

«ćwiczeniem wyrobić w kimś jakąś umiejętność lub jakiś nawyk»,

2.

«podjąć jakieś działania»,

3.

«zacząć stosować coś w praktyce».

66.

Trudno zatem przyjąć, że przedłożenie w toku kontroli Prezesa UODO dokumentu mającego pełnić rolę polityki ochrony danych w rozumieniu art. 24 ust. 2 rozporządzenia 2016/679, co do którego nie ma jasności w kwestii daty, od której on obowiązuje, a także w kwestii zapoznania z jego treścią pracowników Fundacji, mogło stanowić spełnienie wymogu ww. przepisu. Należy przy tym zaznaczyć, że z uwagi na kontekst, charakter, cel oraz zakres przetwarzania danych przez Fundację (dane przetwarzane za pomocą systemów teleinformatycznych, do zakresu danych należały dane szczególne, tj. dotyczące zdrowia, dane były udostępniane organowi administracji państwowej, tj. Ministrowi Sprawiedliwości), wdrożenie przez nią polityki ochrony danych było jej obowiązkiem w świetle treści art. 24 ust. 2 rozporządzenia 2016/679, bowiem było to, w ocenie Prezesa UODO, „proporcjonalne w stosunku do czynności przetwarzania.”

67.

Przedłożona wcześniej, tj. w toku kontroli, przez Fundację „Polityka bezpieczeństwa” nie została wdrożona do stosowania żadnym dokumentem lub w inny rozliczalny, przejrzysty sposób wskazujący, czy i od jakiej daty faktycznie została ona usankcjonowana przez zarząd Fundacji jako obowiązujący jej pracowników i współpracowników dokument. Powyższą okoliczność Fundacja potwierdziła w zeznaniach świadka, zgodnie z którymi Polityka bezpieczeństwa nie została wprowadzona w życie w Fundacji żadnym dokumentem, a ponadto Fundacja nie posiadała dokumentu potwierdzającego zapoznanie się pracowników Fundacji z Polityką bezpieczeństwa.

68.

Wobec powyższego, nie można uznać, że Polityka bezpieczeństwa była stosowana w praktyce, skoro Fundacja nie wykazała, iż jej treść była znana jej pracownikom i że zaczęła obowiązywać w konkretnej dacie. Samo przedłożenie Prezesowi UODO tekstu dokumentu bez wykazania okoliczności wskazujących na jego realną znajomość i stosowanie przez Fundację jako administratora i jego pracowników, nie jest wystarczające do uznania, że ww. dokument został „wdrożony” w rozumieniu art. 24 ust. 2 rozporządzenia 2016/679. Przedkładając w toku kontroli tekst ww. dokumentu Fundacja wykazała co najwyżej, że podjęła działania celem jego zredagowania, nie zaś wdrożenia, czyli stosowania w praktyce.

69.

Należy przy tym także wskazać, że dokument pod nazwą „Polityka bezpieczeństwa” na dzień kontroli nie zawierał istotnych postanowień, które ze względu na przedmiot działalności Fundacji powinny się znaleźć w polityce ochrony danych w rozumieniu art. 24 ust. 2 rozporządzenia 2016/679. Ww. dokument nie zawierał bowiem skonkretyzowanych, kompleksowych i spójnych procedur lub instrukcji działania związanych z zachowaniem bezpieczeństwa ochrony danych osobowych w konkretnych procesach i sytuacjach ich przetwarzania, a w szczególności w kontekście przedmiotu i specyfiki prowadzonej przez Fundację działalności, tj. pozyskiwania i przetwarzania danych osobowych osób ubiegających się lub korzystających z pomocy Fundacji.

70.

Innymi słowy, treść „Polityki bezpieczeństwa” oraz jej załączników nie korespondowała w wystarczającym stopniu ze specyfiką działalności Fundacji oraz czynnościami przetwarzania przez nią danych osobowych, ograniczając się z nielicznymi wyjątkami (np. § 5, § 13 ust. 10, § 16 Polityki bezpieczeństwa) do określenia jedynie ogólnych, podstawowych kwestii określonych rozporządzeniem 2016/679, takich jak: zasady przetwarzania danych oraz prawa osób, których dane są przetwarzane, intencjonalne wskazania potrzeby stosowania bliżej nieskonkretyzowanych czasowo i sytuacyjnie środków bezpieczeństwa związanych z naruszeniem ochrony danych osobowych, itp. „Polityka bezpieczeństwa” nie określała przykładowo konkretnych zasad ochrony dokumentacji tworzonej i przechowywanej w ramach świadczenia pomocy przez Fundację, zasad przeprowadzania wywiadów z ww. osobami w siedzibie Fundacji w związku z przyjmowaniem od nich wniosków, świadczeniem pomocy prawnej, psychologicznej lub innej. „Polityka bezpieczeństwa” nie określała też zasad monitorowania przestrzegania przepisów rozporządzenia 2016/679 na terenie siedziby Fundacji i w związku wykonywaniem przez nią zadań wynikających z umowy nr (…), zawartej przez Fundację w dniu (…) 2019 r. z Ministrem Sprawiedliwości.

71.

Jak wskazano w Komentarzu do art. 24 ogólnego rozporządzenia o ochronie danych2. „W rozporządzeniu 2016/679 (…) nie zostały przewidziane szczegółowe wymogi dotyczące zarówno zakresu merytorycznego, jak i formy dokumentacji ochrony danych. W tym zakresie prawodawca europejski pozostawia administratorowi swobodę podjęcia decyzji, podkreślając jedynie, że dokumenty te służyć mogą do realizacji zasady rozliczalności, a zatem wykazania przez administratora spełniania wymogów wynikających z rozporządzenia 2016/679. Polityki te mogą sięgać natomiast do standardów i norm w zakresie bezpieczeństwa, stanowić element wdrożonego u administratora systemu compliance, a także dotychczasowych rozwiązań formalnych po ich odpowiednim dostosowaniu do zasad wynikających z rozporządzenia. Dodatkowo mogą lub nawet powinny uwzględniać elementy wskazane jako zadania inspektora ochrony danych w art. 39 ust. 1 lit. b, do którego należy m.in. monitorowanie polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym dotyczących podziału obowiązków, działań zwiększających świadomość, szkoleń personelu uczestniczącego w operacjach przetwarzania oraz powiązanych z tym audytów.”

72.

W ww. komentarzu wskazuje się także, iż

„

warto zwrócić uwagę, że niezależnie od regulacji art. 24 ust. 2 w rozporządzeniu 2016/679 wprowadzono szereg innych obowiązków dokumentacyjnych:

1)

prowadzenie przez administratorów rejestru czynności przetwarzania, zaś przez procesorów – rejestru kategorii przetwarzania (art. 30 ust. 1 i 2) (22);

2)

prowadzenie dokumentacji wszelkich naruszeń ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, skutków naruszenia oraz podjętych działań zaradczych (art. 33 ust. 5), oraz realizacja powiązanego z tym obowiązku notyfikacyjnego naruszenia ochrony danych osobowych organowi nadzorczemu o zakresie informacyjnym określonym w art. 33 ust. 3 (23) ;

3)

zawiadamianie osób, których dane dotyczą, o naruszeniu ochrony danych o zakresie informacyjnym określonym w art. 34 ust. 3 (24) ;

4)

prowadzenie dokumentacji oceny skutków dla ochrony danych (art. 35 ust. 7) (25);

5)

prowadzenie dokumentacji uprzednich konsultacji z organem nadzorczym (art. 36 ust. 3) (26).

Przy ocenie zasadności opracowania i określenia zakresu przedmiotowego polityk ochrony danych należy wziąć pod uwagę także ww. obowiązki w celu analizy zasadności stworzenia kompleksowej dokumentacji ochrony danych obowiązującej u administratora. Może to w konsekwencji ułatwić także wykazanie realizacji obowiązków nałożonych przepisami rozporządzenia 2016/679, w szczególności zasad przetwarzania (art. 5 ust. 1 i 2).”

73.

W tej sytuacji przedłożona przez Fundację podczas kontroli Prezesa UODO „Polityka bezpieczeństwa” nie stanowi dokumentu odzwierciedlającego i zarazem regulującego w należytym stopniu procesy pozyskiwania i przetwarzania danych osób ubiegających się o pomoc Fundacji, w tym także nie zawiera regulacji w przedmiecie ww. zagadnień, mających zasadniczy wpływ na bezpieczeństwo przetwarzania. Niewdrożenie polityki ochrony danych stanowi zaś naruszenie art. 32 ust. 1 i art. 24 ust. 2 w związku z art. 5 ust. 2 rozporządzenia 2016/679 i regulowanej nim zasady rozliczalności wiążącej się z koniecznością wykazania przez administratora wdrożenia środków technicznych i organizacyjnych niezbędnych dla zapewnienia bezpieczeństwa danych osobowych.

74.

Treść ww. postanowień Polityki bezpieczeństwa zawiera zatem głównie ogólnikowe, deklaratywne zobowiązania, bez wskazania ich technicznych szczegółów, takich jak terminy, metody, częstotliwość wykonywania testów, audytów itd. Na str. 1-8 Polityki bezpieczeństwa, poza wyjątkami, w treści ww. dokumentu znalazły się jedynie postanowienia stanowiące w zasadzie kopie treści przepisów rozporządzenia 2016/679 bądź postanowienia na tyle ogólnikowe, że trudno je uznać za spełniające warunek rozliczalności, zgodnie z którym Fundacja jako administrator danych obowiązana jest wykazać, że wprowadziła konkretne rozwiązania organizacyjne wpływające realnie na bezpieczeństwo przetwarzania. Podobnie należy ocenić treść § 14, § 15, § 17 i § 18 ww. Polityki bezpieczeństwa. W treści ww. Polityki znalazły się, co prawda, bardziej skonkretyzowane regulacje, np. odnoszące się do zasady czystego biurka i ekranu (§ 16), systemu informatycznego (Instrukcja zarządzania systemem informatycznym) oraz kwestii związanych z przyjmowaniem przez Fundację wniosków o udzielenie pomocy oraz sporządzaniem i przechowywaniem dokumentów związanych z tymi wnioskami (§ 19), niemniej jednak nie są one wystarczające, aby uznać je za kompleksową treść Polityki bezpieczeństwa.

75.

Stanowią one zatem jedynie wycinkowe skonkretyzowanie obowiązków sformułowanych w art. 32 ust. 1 i art. 24 ust. 1 i 2 rozporządzenia 2016/679, jednak niewystarczające, bowiem sprowadzające się w przeważającej mierze do ogólnikowych stwierdzeń, bądź treści skopiowanych z rozporządzenia 2016/679. Tymczasem postanowienia zamieszczane w dokumentacji dotyczącej ochrony danych przetwarzanych przez administratora (w przypadku Fundacji w Polityce bezpieczeństwa wraz z Instrukcją (…)), pełniącej rolę de facto polityki ochrony danych wskazanej w art. 24 ust. 2 rozporządzenia 2016/679, nie mogą stanowić jedynie swego rodzaju „kopii” przepisów ww. rozporządzenia albo deklaratywnych i ogólnikowych postanowień, bowiem inaczej stają się przez to w praktyce bezużyteczne. Celem europejskiego prawodawcy przy tworzeniu przepisów rozporządzenia 2016/679, a w szczególności art. 32 oraz art. 24, było nałożenie na administratorów obowiązku stosowania konkretnych środków (np. procedur) odpowiadających specyfice zachodzących u każdego z nich indywidualnie procesów przetwarzania. Powyższe determinuje zatem po stronie administratorów obowiązek takiego kształtowania treści stosowanych przez nich procedur składających się na politykę ochrony danych, aby były one dostosowane do zachodzących u tych administratorów czynności przetwarzania.

76.

Tymczasem w przypadku Fundacji, biorąc pod uwagę ww. komentarz do przepisów rozporządzenia 2016/679, w treści Polityki bezpieczeństwa przedstawionej przez Fundację w trakcie kontroli zabrakło przede wszystkim konkretnych i kompleksowych postanowień stanowiących „elementy wskazane jako zadania inspektora ochrony danych w art. 39 ust. 1 lit. b, do którego należy m.in. monitorowanie polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym dotyczących podziału obowiązków, działań zwiększających świadomość, szkoleń personelu uczestniczącego w operacjach przetwarzania oraz powiązanych z tym audytów”. Ww. postanowienia w przedstawionej przez Fundację Polityce bezpieczeństwa nie znalazły się w zasadzie w ogóle, poza ogólnikowo sformułowanym pkt 7 Instrukcji zarządzania systemem informatycznym, dotyczącym przeglądów i konserwacji, ale jedynie nośników danych, a więc jedynie małej części wyłącznie technicznych środków związanych z przetwarzaniem danych.

77.

Brak rozliczalnego wdrożenia Polityki bezpieczeństwa przez Fundację, a także niezawarcie w jej treści postanowień stanowiących skonkretyzowane, kompleksowe i spójne procedury lub instrukcje działania związane z zachowaniem bezpieczeństwa danych osobowych w konkretnych procesach i sytuacjach ich przetwarzania – a w szczególności w kontekście obowiązków inspektora ochrony danych, procedur dotyczących regularnego testowania, mierzenia i oceniania środków technicznych i organizacyjnych służących bezpieczeństwu przetwarzania – stanowiło także naruszenie zasady poufności, o której mowa w art. 5 ust. 1 lit. f) rozporządzenia 2016/679.

78.

W treści motywu 78 preambuły rozporządzenia 2016/679 europejski prawodawca wskazuje, między innymi, że „Ochrona praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych wymaga wdrożenia odpowiednich środków technicznych i organizacyjnych, by zapewnić spełnienie wymogów niniejszego rozporządzenia. Aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych.”

79.

Należy przypomnieć, że wśród wielu kategorii danych, które Fundacja przetwarzała w związku z realizacją programu pomocy ofiarom przestępstw w ramach współpracy z Ministrem Sprawiedliwości, były również dane dotyczące zdrowia, stanowiące dane szczególnej kategorii, których podstawa prawna przetwarzania uregulowana jest w art. 9 rozporządzenia 2016/679. Już chociażby z tego względu, wdrożenie przez Fundację środków w postaci odpowiednich polityk, o których mowa w art. 24 ust. 2 oraz w treści motywu 78 preambuły rozporządzenia 2016/679, stanowiło jej obowiązek.

80.

W ocenie Prezesa UODO, z uwagi na cel przetwarzania danych osobowych przez Fundację (techniczne wspieranie realizacji ważnego programu społecznego będącego w zakresie zadań Ministra Sprawiedliwości), a także ich kategorie (m.in. dane dotyczące zdrowia), w przedmiotowej sprawie wdrożenie polityki ochrony danych było z jednej strony „proporcjonalne w stosunku do czynności przetwarzania”, z drugiej zaś stanowiło obowiązek Fundacji w kontekście właściwego zabezpieczenia przetwarzania tych danych. Nie wdrażając właściwie ww. polityki (brak dowodu na konkretne działania wskazujące na zaznajomienie z treścią polityki pracowników Fundacji, brak dowodu na formalne wejście w życie tego dokumentu, itp.), Fundacja naruszyła w konsekwencji zasadę poufności wskazaną w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, jako że wdrożenie ww. polityki jest jednym ze środków organizacyjnych, zapewniających odpowiednie bezpieczeństwo danych przy przetwarzaniu, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. Tak samo należy ocenić ogólnikowość i brak kompleksowości treści przedłożonej Prezesowi UODO podczas kontroli „Polityki bezpieczeństwa”, której treść w zdecydowanej większości stanowiła jedynie skopiowanie zasad uregulowanych w przepisach rozporządzenia 2016/679, bez zawarcia w niej konkretnych, rzeczowych instrukcji lub procedur odnoszących się do specyfiki przetwarzania danych w związku z realizacją programu na podstawie zawartej z Ministrem Sprawiedliwości umowy. Naruszenie zasady wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679 skutkuje zaś w konsekwencji naruszeniem zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679.

IV.4. Naruszenie art. 13 rozporządzenia 2016/679 (niewłaściwie wykonany obowiązek informacyjny)

81.

Zgodnie z treścią art. 13 ust. 1 lit. c) i lit. e) rozporządzenia 2016/679, w którym stanowi się, że jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:

a)

swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;

b)

gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;

c)

cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;

d)

jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;

e)

informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

f)

gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi rozporządzenia 2016/679, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.

82.

Biorąc pod uwagę treść przepisu art. 13 rozporządzenia 2016/679 oraz treść przedłożonego w toku kontroli wzoru klauzuli informacyjnej, tj. dokumentu zatytułowanego „Informacje dotyczące (…)” stwierdzić należy, że Fundacja nie dopełniła w całości tzw. obowiązku informacyjnego, naruszając tym samym art. 13 ust. 1 lit. c) rozporządzenia 2016/679 w okresie co najmniej od dnia zawarcia umowy z Ministrem Sprawiedliwości ((…) 2019 r.) do dnia zakończenia realizacji ww. umowy, tj. do (…) 2021 r. Wskazać należy, że każda osoba ubiegająca się o pomoc Fundacji powinna być poinformowana o skonkretyzowanej podstawie prawnej przetwarzania jej danych, odnoszącej się do faktu udzielenia zgody na to Fundacji. Treść przedłożonej w toku kontroli klauzuli informacyjnej wskazuje, że tak nie było, bowiem brzmiała ona następująco: „Dane osobowe przetwarzane będą na podstawie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (…); celem realizacji interesu prawnego wynikającego z ustawy z dnia 6 czerwca 1997 r. Kodeks karny wykonawczy (…)” (ust. 4 klauzuli informacyjnej).

83.

W odniesieniu do powyższego stwierdzić należy, że niewystarczające jest wskazanie w klauzuli informacyjnej, jak w przypadku przedłożonego jej wzoru przez Fundację w toku kontroli, że dane osobowe osoby ubiegającej się o pomoc będą przetwarzane na podstawie szeroko rozumianego art. 6 rozporządzenia 2016/679, bez wskazania konkretnej jednostki redakcyjnej ww. przepisu, określającej podstawę prawną przetwarzania. Taka redakcja klauzuli nie wskazuje w ogóle na podstawę prawną przetwarzania, a jedynie – i to ogólnikowo – na przepis, w którym ta podstawa jest uregulowana. Z kolei zaś powołanie się w treści klauzuli na art. 7 rozporządzenia 2016/679 nie stanowi informacji o podstawie prawnej przetwarzania danych z uwagi na przedmiot regulacji tego przepisu odnoszący się do innego zagadnienia. Przepis ten odnosi się bowiem jedynie do warunków, jakie musi spełniać zgoda, aby była ważna, nie zaś do kwestii podstawy prawnej przetwarzania danych i obowiązku informacyjnego administratora. Takie ujęcie w treści klauzuli kwestii podstawy prawnej przetwarzania nie spełnia wymogu art. 13 ust. 1 lit. c) rozporządzenia 2016/679 i stanowi jego naruszenie.

84.

Odnosząc się do treści pkt 6 klauzuli informacyjnej stosowanej przez Fundację na dzień kontroli, należy podnieść, że nie zostali w niej wskazani konkretnie odbiorcy danych lub kategorie odbiorców, którym udostępniane są dane osobowe osób ubiegających się o pomoc Fundacji. Użyte sformułowanie: „Pani/Pana dane osobowe mogą być udostępniane tylko odbiorcom upoważnionym do ich przetwarzania na podstawie przepisów prawa, bądź stosownie do udzielonej zgody” jest niewystarczające. W klauzuli informacyjnej powinny zostać wymienione kategorie odbiorców tych danych, a więc, jak wynika z ustaleń kontroli: prawnicy, psycholodzy, psychiatrzy oraz inni specjaliści świadczący pomoc osobom ubiegającym się o nią. Odbiorcą danych była również spółka Z. w zakresie otrzymywanych od Fundacji danych poprzez tzw. usługę chmurową i w ramach usługi poczty elektronicznej oraz administrator systemu (…). Podmioty te również powinny zostać wskazane wyraźnie w treści klauzuli informacyjnej. Brak wyraźnego wskazania ww. podmiotów w treści klauzuli informacyjnej stanowiło naruszenie art. 13 ust. 1 lit. e) rozporządzenia 2016/679.

85.

Wprawdzie na dzień kontroli Fundacja nie korzystała już z usługi chmurowej oferowanej przez Spółkę Z., jednak, jak ustalono, na dzień kontroli, w celu realizacji zadań wynikających z umowy zawartej z Ministrem Sprawiedliwości, korespondencja elektroniczna prowadzona była z nim z adresu: (…), tj. na bazie usługi poczty elektronicznej świadczonej przez spółkę Z.. Ponadto, w ww. poczcie elektronicznej na dzień kontroli znajdowały się takie dane osobowe, jak: imiona i nazwiska, numery PESEL, numery telefonów oraz miejsce zamieszkania osób, które ubiegają się o pomoc Fundacji.

86.

Dokument zawierający klauzulę informacyjną nie był aktualizowany, tzn. informacje zawarte w klauzuli informacyjnej nie były zmieniane i przez cały okres świadczenia pomocy przez Fundację posługiwano się jednym wzorem klauzuli o niepełnej treści. Oznacza to, że Fundacja nie informowała osób ubiegających się o pomoc o powierzaniu ich danych do przetwarzania spółce Z. oraz U. sp. z o.o., świadczącej usługę informatyczną poprzez aplikację webową na stronie internetowej o adresie (…). W ten sposób Fundacja naruszyła przepis art. 13 ust. 1 lit. e) rozporządzenia 2016/679.

87.

Należy dodać, że nie ma przy tym znaczenia okoliczność, na którą powołała się Fundacja w swoich pokontrolnych wyjaśnieniach w piśmie z 2 listopada 2022 r., że to Minister Sprawiedliwości zawierał umowę z administratorem systemu (…). Powyższa okoliczność nie zwalniała Fundacji z uwzględnienia faktu dostarczania danych osobowych do ww. systemu w klauzuli informacyjnej kierowanej do osób korzystających w pomocy Fundacji. Jak już bowiem wykazano wyżej, Fundacja powinna była zawrzeć we własnym zakresie umowę powierzenia z U. sp. z o.o., co w konsekwencji oznacza konieczność uwzględnienia tego podmiotu w treści klauzuli informacyjnej. Ponownie należy również podkreślić, że wbrew postanowieniom umowy zawartej przez Fundację z Ministrem Sprawiedliwości w sprawie udzielania pomocy osobom pokrzywdzonym w wyniku przestępstw, Fundacja była odrębnym administratorem danych przetwarzanych w związku z ww. działalnością i jako administrator danych faktycznie przekazujący je do U. sp. z o.o., miała obowiązek dopełnienia wymogów art. 13 rozporządzenia 2016/679.

88.

Naruszenie art. 13 ust. 1 lit. c) i lit. e) rozporządzenia 2016/679, o którym wyżej mowa, wiązało się także z naruszeniem przez Fundację art. 5 ust. 1 lit. a) oraz ust. 2 rozporządzenia 2016/679, tj. zasady przejrzystości oraz zasady rozliczalności. Naruszenie pierwszej z ww. zasad polegało na tym, że błędne sformułowanie klauzuli informacyjnej spowodowało, że wbrew dyspozycji art. 5 ust. 1 lit. a) rozporządzenia 2016/679, dane osobowe osób ubiegających się o pomoc Fundacji nie były przetwarzane „w sposób przejrzysty dla osoby, której dane dotyczą”, bowiem na podstawie treści tej klauzuli osoba ta nie mogła być właściwie poinformowana i w pełni świadoma w kwestii zakresu i sposobu przetwarzania jej danych. W treści motywu 39 preambuły rozporządzenia 2016/679 prawodawca europejski wskazał, że „Wszelkie przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne. Dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane. Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. (…)”

89.

Wobec powyższego, niewskazanie w treści klauzuli informacyjnej konkretnej jednostki redakcyjnej art. 6 ust. 1 rozporządzenia 2016/679, określającej podstawę prawną przetwarzania danych, a także niewskazanie w niej wyraźnie odbiorców danych osobowych lub kategorii odbiorców, stanowiło naruszenie zasady przejrzystości uregulowanej w art. 5 ust. 1 lit. a) rozporządzenia 2016/679, bowiem z ww. powodu osoby, których dane dotyczą, nie miały możliwości pozyskania przejrzystej i pełnej informacji co do sposobu i zakresu przetwarzania (udostępniania) ich danych określonym odbiorcom.

90.

Z uwagi na powyższy wywód należy również stwierdzić, że niewykazanie przez Fundację przed Prezesem UODO, iż stosuje ona klauzulę informacyjną spełniającą wymogi art. 13 ust. 1 lit. c) i lit. e) rozporządzenia 2016/679, stanowiło naruszenie zasady rozliczalności, przez co Fundacja dopuściła się naruszenia regulującego tę zasadę przepisu art. 5 ust. 2 rozporządzenia 2016/679.

V. Podsumowanie treści zarzutów

91.

W świetle ww. ustaleń Prezes UODO stwierdził zatem nieprawidłowości polegające na:

–

powierzeniu przez Fundację do przetwarzania danych osób ubiegających się o pomoc innym podmiotom, a przede wszystkim Spółce Z., bez zawarcia stosownych umów, w okresie od co najmniej dnia zawarcia przez Fundację umowy nr (…) z (…) 2019 r. z Ministrem Sprawiedliwości, do dnia zakończenia jej obowiązywania, tj. do (…) 2021 r.,

–

niezapewnieniu w rozliczalny sposób, aby każda osoba fizyczna mająca dostęp do danych przetwarzała je na wyłączne polecenie Fundacji jako administratora, w okresie od 25 maja 2018 r. (data wejścia w życie przepisów rozporządzenia 2016/679) do dnia (…) 2022 r. (przykładowe trzy udzielone przez Fundację upoważnienia do przetwarzania danych, opatrzono datą (…) 2022 r.),

–

niewdrożeniu w rozliczalny sposób do stosowania polityki ochrony danych a także sformułowaniu jej treści w sposób niedostosowany do specyfiki przetwarzania danych osobowych przez Fundację, w tym przede wszystkim z pominięciem kompleksowych i konkretnych postanowień dotyczących obowiązków inspektora ochrony danych oraz przeprowadzania audytów i szkoleń pracowników Fundacji, w okresie od 25 maja 2018 r. (data wejścia w życie przepisów rozporządzenia 2016/679) do dnia (…) 2022 r., w którym wdrożono System (…) składający się m. in. z Polityk dotyczących (…), w tym danych osobowych,

–

stosowaniu niezgodnej z przepisami rozporządzenia 2016/679 treści klauzuli informacyjnej w stosowanych przez Fundację dokumentach w okresie od dnia zawarcia przez Fundację umowy nr (…) z (…) 2019 r. z Ministrem Sprawiedliwości, do dnia zakończenia jej obowiązywania, tj. do (…) 2021 r.

92.

W związku z powyższym, w procesie przetwarzania danych osobowych Fundacja jako administrator naruszyła przepisy o ochronie danych osobowych, tj.: art. 5 ust. 1 lit. a) i lit. f), art. 5 ust. 2, art. 13 ust. 1 lit. c) i lit. e), art. 24 ust. 1 i ust. 2, art. 28 ust. 3 i ust. 9, art. 29 oraz art. 32 ust. 1 i ust. 4 rozporządzenia 2016/679.

93.

Prezes UODO w niniejszej decyzji nie zastosował wobec Fundacji innych środków sankcyjnych niż administracyjna kara pieniężna, a w szczególności nakazu dostosowania operacji przetwarzania do przepisów rozporządzenia 2016/679 z uwagi na okoliczność, że na dzień wydania niniejszej decyzji ustał stwierdzony przez Prezesa UODO w niniejszej sprawie stan naruszeń przepisów rozporządzenia 2016/679, stanowiący podstawę postawienia zarzutów Fundacji.

94.

Na dzień wydania niniejszej decyzji, z uwagi na zakończenie (…) 2021 r. realizacji umowy zawartej przez Fundację z Ministrem Sprawiedliwości, a także deklarację Fundacji w zakresie nieprzetwarzania danych osobowych przy pomocy konta (…), należało uznać, że ustał stan naruszenia przepisu art. 28 ust. 3 i ust. 9 rozporządzenia w zakresie powierzania przetwarzania danych spółce Z. oraz U. sp. z o.o. Z uwagi na powyższe byłoby również bezprzedmiotowym wydanie wobec Fundacji nakazu odnoszącego się do naruszenia art. 13 lit. c) i lit. e) rozporządzenia 2016/679, polegającego na nieprawidłowym spełnieniu obowiązku informacyjnego.

95.

Podobnie należy uznać w przypadku zarzutu dotyczącego niezapewnienia w rozliczalny sposób, aby każda osoba fizyczna mająca dostęp do danych przetwarzała je na wyłączne polecenie Fundacji jako administratora. Fundacja przedłożyła w toku postępowania dowody na to, że udzieliła po kontroli swoim pracownikom upoważnień do przetwarzania danych osobowych, zatem także w tym przypadku wydanie nakazu w stosunku do Fundacji byłoby bezprzedmiotowe.

96.

Ponadto, z uwagi na okoliczność, że wdrożona przez Fundację po kontroli Prezesa UODO kompleksowa dokumentacja związana z bezpieczeństwem informacji, w tym danych osobowych (m.in. Polityka (…), Polityka (…)), zawiera już kompleksowe postanowienia dotyczące przeglądów środków służących bezpieczeństwu przetwarzania (np. § 12 Polityki (…) – „Procedura przeglądu polityk ochrony danych osobowych”), a także udziału inspektora ochrony danych w działaniach testowych, weryfikacyjnych i szkoleniowych, bezprzedmiotowy byłby nakaz w zakresie wdrożenia skonkretyzowanej i odpowiadającej specyfice działalności Fundacji polityki ochrony danych. Z kolei, wobec przedłożenia przez Fundację kopii zarządzenia zarządu Fundacji wdrażającego system V. (którego częścią są ww. Polityki) z dniem (…) 2022 r., nie budzi także wątpliwości fakt, że na dzień wydania niniejszej decyzji, Fundacja wdrożyła do stosowania politykę ochrony danych. W tej sytuacji z ww. dniem ustał także stan naruszenia art. 24 ust. 1 i ust. 2 a także art. 32 ust. 1 rozporządzenia 2016/679.

VI. Uzasadnienie udzielenia upomnienia.

97.

Wobec zebranego w sprawie w toku kontroli oraz prowadzonej z Fundacją korespondencji materiału dowodowego, Prezes UODO stwierdził nieprawidłowości stanowiące naruszenie przez Fundację przepisów rozporządzenia 2016/679, o których mowa powyżej w treści decyzji. Naruszenie przez Fundację przepisów rozporządzenia 2016/679 stwierdzone w niniejszej decyzji, skutkuje z kolei nałożeniem na nią przez Prezesa UODO stosownej, przewidzianej nimi sankcji.

98.

W związku z powyższym, działając na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznaje za uzasadnione udzielenie Fundacji upomnienia w zakresie stwierdzonego naruszenia przepisów art. 5 ust. 1 lit. a) i f), art. 5 ust. 2, art. 13 ust. 1 lit. c) i e), art. 24 ust. 1 i 2, art. 28 ust. 3 i 9, art. 29 oraz art. 32 ust. 1 i 4 rozporządzenia 2016/679.

99.

Motyw 148 rozporządzenia 2016/679 stanowi, że aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.

100.

Prezes UODO uznał, że w ustalonych okolicznościach niniejszej sprawy, wystarczającym środkiem sankcyjnym jest udzielenie Fundacji upomnienia. Za okoliczność łagodzącą, która, między innymi, za tym przemawia, Prezes UODO uznał, że Fundacja wykazała, iż do dnia wydania decyzji przedsięwzięła i wdrożyła działania służące przestrzeganiu przepisów rozporządzenia 2016/679, tj. od (…) 2022 r. wdrożyła System (…) (wraz z polityką ochrony danych) oraz sporządziła upoważnienia do przetwarzania danych osobowych. Ponadto, w części naruszeń popełnionych przez Fundację, m. in. z uwagi na fakt zakończenia przez nią współpracy z Ministrem Sprawiedliwości, stan naruszenia przepisów rozporządzenia 2016/679 ustał, jak w przypadku stosowania klauzuli informacyjnej o nieprawidłowej treści i korzystania z konta Z. bez zawarcia umowy powierzenia przetwarzania danych.

101.

Tak więc, z uwagi na ustanie na dzień wydania decyzji stanu naruszenia przepisów rozporządzenia 2016/679, w tym także w rezultacie poczynionych przez Fundację działań naprawczych, Prezes UODO uznał za zbędne wydanie wobec niej nakazu dostosowania operacji przetwarzania do przepisów ww. rozporządzenia. Ponadto, biorąc pod uwagę okoliczności przedmiotowej sprawy i ustalenia w niej poczynione, brak jest również podstaw do uznania, że osoby, których dane dotyczą, poniosły szkodę na skutek naruszenia przez Fundację ww. przepisów rozporządzenia 2016/679. Prezes UODO nie dopatrzył się również w naruszeniach przepisów rozporządzenia 2016/679 działania umyślnego. Istotna także jest okoliczność, że współdziałanie Fundacji z Prezesem UODO przy wyjaśnianiu stanu faktycznego sprawy należy ocenić jako właściwe i zasługujące na aprobatę.

102.

Powyższe okoliczności uzasadniają zatem udzielenie Fundacji jedynie upomnienia za stwierdzone naruszenia przepisów rozporządzenia 2016/679 popełnione w różnych okresach, o których mowa w decyzji, mając na względzie możliwość uniknięcia podobnych zdarzeń w przyszłości. Należy zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Fundacji będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 rozporządzenia 2016/679.

VII. Umorzenie postępowania

103.

Prezes UODO umorzył postępowanie administracyjne w części dotyczącej naruszenia:

–

art. 7 ust. 2 oraz art. 9 ust. 1 i ust. 2 rozporządzenia 2016/679 w zakresie błędnego sporządzenia wzoru oświadczenia zgody na przetwarzanie danych oraz niewyrażenia wyraźnej zgody w zakresie przetwarzania danych dotyczących zdrowia;

–

art. 24 ust. 1 i art. 32 ust. 1 rozporządzenia 2016/679 w zakresie niewdrożenia środków technicznych służących zabezpieczeniu danych przetwarzanych w laptopie Fundacji przed skutkami cyberataków.

104.

Prezes UODO, po uzyskaniu dodatkowych wyjaśnień pokontrolnych od Fundacji w piśmie z 2 listopada 2022 r., 2 października 2023 r. oraz piśmie z 27 kwietnia 2025 r. uznał, że w zakresie wdrożenia środka technicznego zapewniającego bezpieczeństwo przetwarzania przy pomocy laptopa, jakim jest aktualne oprogramowanie antywirusowe, Fundacja spełniała wcześniej i spełnia aktualnie wymóg art. 24 ust. 1 oraz art. 32 ust. 1 rozporządzenia 2016/679. Prezes UODO uznał, że ww. wyjaśnienia Fundacji, dotyczące zainstalowania w używanym przez nią laptopie narzędzia antywirusowego K. (…) oraz narzędzia zabezpieczającego K. (…), są wiarygodne z tego względu, iż zgodnie z dostępną wiedzą, system operacyjny Q., w który był na dzień kontroli wyposażony laptop Fundacji, co Prezes UODO stwierdził w jej toku, zawiera ww. narzędzia w ramach integralnego pakietu i są one automatycznie instalowane na urządzeniach wyposażonych w ww. system. Powyższa okoliczność jest powszechnie znanym faktem i nie wymaga potwierdzenia w inny, szczególny sposób, tak więc Prezes UODO uznał ją za oczywisty, niewymagający dowodu fakt stwierdzony w sprawie.

105.

Z powyżej wskazanego względu, Prezes UODO stwierdził, że brak aktualizacji dodatkowego oprogramowania antywirusowego W., zainstalowanego w laptopie Fundacji, nie stanowi okoliczności, która uzasadniałaby uznanie, iż Fundacja nie wdrożyła adekwatnego środka technicznego, zabezpieczającego przetwarzanie danych w ww. laptopie. Należy bowiem wskazać, że narzędzie K. (…), szczególnie w połączeniu z narzędziem K. (…), jest uznanym ze względu na swoją skuteczność i stopień zaawansowania technicznego środkiem zapewniającym bezpieczeństwo danych przetwarzanych na urządzeniach informatycznych. Co istotne, ww. narzędzie jest z racji jego fabrycznych funkcjonalności regularnie i automatycznie aktualizowane, zasadniczo bez konieczności aktywnego udziału w tym procesie użytkownika sprzętu informatycznego. W tej sytuacji, Prezes UODO ostatecznie uznał, że ww. narzędzia zapewniają we właściwym stopniu bezpieczeństwo przetwarzania danych w laptopie Fundacji, a jej wyjaśnienia, poparte dodatkowo wydrukami zrzutów ekranowych przedstawiających zainstalowanie i konfigurację ww. narzędzi, są wiarygodne.

106.

Ponadto, Prezes UODO po przeanalizowaniu treści wzoru formularza udzielenia zgody na przetwarzanie danych osobowych osób ubiegających się o pomoc Fundacji uznał, że spełnia ona wymóg art. 7 ust. 2 rozporządzenia 2016/679. Prezes UODO stwierdził, że treść ww. zgody można uznać za odrębną od innych treści zamieszczonych w formularzu, stanowiącym załącznik do umowy nr (…) zawartej przez Fundację (…) 2019 r. z Ministrem Sprawiedliwości. Wątpliwość Prezesa UODO w zakresie przedmiotowego zarzutu wynikała z okoliczności, iż w treści formularza zgody na przetwarzanie danych przewidziano jeden wspólny podpis na udzielenie tej zgody oraz na potwierdzenie zapoznania się z klauzulą informacyjną, stanowiącą spełnienie obowiązku wynikającego z art. 13 rozporządzenia 2016/679. Idealnym sposobem na spełnienie wymogu art. 7 ust. 2 rozporządzenia 2016/679 jest takie sformułowanie obu ww. treści, aby osoba, której dane dotyczą, mogła złożyć swój podpis w ten sposób, że odnosiłby się on wyłącznie i wyraźnie do oświadczenia dotyczącego udzielenia zgody na przetwarzanie danych.

107.

Prezes UODO, po analizie ww. formularza uznał jednak ostatecznie, że treść zgody na przetwarzanie danych jest w nim jednak oddzielnym oświadczeniem woli od oświadczenia w zakresie zapoznania się z klauzulą informacyjną, pomimo zastosowanego rozwiązania polegającego na złożeniu jednego podpisu odnoszącego się do obu ww. oświadczeń. Na powyższe wskazuje redakcja tekstu obu oświadczeń, zarówno w warstwie werbalnej, jak i graficznej. Semantycznie i logicznie klauzula zgody na przetwarzanie nie łączy się w żaden sposób z treścią klauzuli informacyjnej, a nadto treść zgody jest oddzielona od treści klauzuli informacyjnej akapitem, wskazującym na odrębność obu treści.

108.

W tej sytuacji, Prezes UODO uznał także, że w sprawie nie doszło do naruszenia art. 9 ust. 1 i 2 rozporządzenia 2016/679, poprzez przetwarzanie przez Fundację danych o zdrowiu osób ubiegających się o pomoc, bez udzielenia wyraźnej na to zgody.

109.

Zważywszy na powyższe, postępowanie wszczęte w części dotyczącej zarzutów naruszenia przez Fundację art. 7 ust. 2, art. 9 ust. 1 i ust. 2 oraz art. 32 ust. 1 i art. 24 ust. 1 (w kontekście nieaktualizowania oprogramowania antywirusowego W.), należy uznać za bezprzedmiotowe. W tej sytuacji, postępowanie podlega w tej części umorzeniu na podstawie art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572), zwanej dalej „Kpa”, wobec jego bezprzedmiotowości. Zgodnie z ww. przepisem, jeżeli postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości lub w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości lub w części. Brzmienie powołanej wyżej regulacji nie pozostawia wątpliwości, iż w razie stwierdzenia bezprzedmiotowości postępowania organ prowadzący to postępowanie obligatoryjnie je umarza. Jednocześnie w literaturze przedmiotu wskazuje się, że bezprzedmiotowość postępowania administracyjnego, o której stanowi art. 105 § 1 Kpa oznacza, że brak jest określonego elementu materialnego stosunku prawnego, a wobec tego nie można wydać decyzji załatwiającej sprawę przez rozstrzygnięcie jej co do istoty (B. Adamiak, J. Borkowski „Kodeks postępowania administracyjnego. Komentarz”, 7 wydanie, Wydawnictwo C.H. Beck, Warszawa 2005 r., str. 485).

110.

Ustalenie przez organ publiczny istnienia przesłanki, o której mowa w art. 105 § 1 Kpa zobowiązuje go do umorzenia postępowania, nie ma bowiem wówczas podstaw do rozstrzygnięcia sprawy co do istoty, a dalsze prowadzenie postępowania w takim przypadku stanowiłoby o jego wadliwości, mającej istotny wpływ na wynik sprawy. Niniejsze postępowanie, w części, o której wyżej mowa, stało się zatem bezprzedmiotowe, a tym samym, należy stwierdzić, iż Prezes UODO nie jest uprawniony do wydania w tej części przedmiotowej sprawy merytorycznego rozstrzygnięcia.

W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji.