Decyzja DKN.5110.16.2022

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572), art. 7 ust. 1 i 2 oraz art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. b) i d) w związku z art. 38 ust. 6 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwanego dalej rozporządzeniem 2016/679,

po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez Uniwersytet (…) w siedzibą w D. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych

stwierdzając naruszenie przez Uniwersytet (…) w siedzibą w D. przy ul. (…) przepisu art. 38 ust. 6 rozporządzenia 2016/679 polegające na niezapewnieniu, że na inspektora ochrony danych nie są nakładane zadania i obowiązki mogące powodować konflikt interesów,

a)

udziela upomnienia Uniwersytetowi (…) z siedzibą w D. przy ul. (…),

b)

nakazuje Uniwersytetowi (…) w siedzibą w D. przy ul. (…) dostosowanie operacji przetwarzania do przepisów rozporządzenia 2016/679 poprzez wdrożenie środków mających na celu zapewnienie, że na inspektora ochrony danych nie będą nakładane zadania i obowiązki mogące powodować konflikt interesów, w terminie 60 dni od dnia doręczenia niniejszej decyzji.

Uzasadnienie

1.

Uniwersytet (…) w D., zwany dalej również „Administratorem”, jest akademicką uczelnią publiczną. Jako samorządna uczelnia działa m.in. na podstawie ustawy z dnia 20 lipca 2018 r. Prawo o szkolnictwie wyższym i nauce (Dz. U. z 2024 r. poz. 1571 ze zm.), Statutu Uniwersytetu (…) uchwalonego przez Senat Uniwersytetu (…) (ze zm.) oraz Regulaminu Organizacyjnego Uniwersytetu (…) wprowadzonego zarządzeniem nr (…) Rektora Uniwersytetu (…) (ze zm.). W związku z tym, że Administrator jest podmiotem publicznym w rozumieniu art. 13 ust. 1 pkt 1 ustawy Prawo o szkolnictwie wyższym i nauce, to zgodnie z art. 37 ust. 1 lit. a) rozporządzenia 2016/679 spoczywa na nim obowiązek wyznaczenia inspektora ochrony danych, zwanego dalej także „IOD”.

2.

Pismem z 16 marca 2022 r. (sygn. (…)) Prezes Urzędu Ochrony Danych Osobowych, zwany dalej „Prezesem UODO”, działając na podstawie art. 58 ust. 1 lit. a), lit. b) i lit. e) rozporządzenia 2016/679, zwrócił się do Administratora o złożenie następujących wyjaśnień:

1)

Czy w Uniwersytecie (…) w D. został wyznaczony IOD?

2)

Czy na Administratorze ciąży obowiązek wyznaczenia IOD (jeżeli tak, to na jakiej podstawie prawnej) czy też IOD został wyznaczony mimo braku takiego obowiązku?

3)

Czy Administrator opublikował imię i nazwisko oraz kontakt do IOD na swojej stronie internetowej lub – jeżeli nie prowadzi swojej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia swojej działalności?

4)

Czy ww. informacje znajdują się w ogólnie dostępnym miejscu (proszę wskazać to miejsce, w przypadku strony internetowej proszę wskazać jej adres oraz link do tej informacji).

5)

Czy Inspektor Ochrony Danych jest pracownikiem Administratora, a jeśli nie, to na jakiej podstawie prawnej wykonuje swoje obowiązki?

6)

Czy IOD został powołany na wyłączność u Administratora, czy wykonuje obowiązki inspektorskie również u innych administratorów?

7)

Na podstawie jakich kwalifikacji Administrator wyznaczył IOD (np. wykształcenie, doświadczenie, wiedza)?

8)

Jakie niezbędne zasoby, o których mowa w art. 38 ust. 2 rozporządzenia 2016/679 Administrator zapewnia IOD?

9)

W jaki sposób Administrator zapewnia zasoby na utrzymanie wiedzy fachowej IOD?

10)

Jakie stanowisko zajmuje IOD i komu podlega w strukturze organizacyjnej Administratora?

11)

Czy Administrator powołał zastępcę IOD, jeżeli tak, to kiedy?

12)

Czy u Administratora funkcjonuje zespół IOD lub inna forma stałego wsparcia IOD w zakresie wykonywania jego zadań?

13)

W jaki sposób Administrator zapewnia by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych (np. czy zostały opracowane zasady dotyczące tego, jakie sprawy mają być konsultowane z IOD, kto i w jakich sytuacjach powinien zgłaszać się w celu uzyskania konsultacji IOD, czy i na jakich zasadach IOD bierze udział w naradach kierownictwa?)

14)

W jaki sposób Administrator zapewnia IOD dostęp do danych osobowych i operacji przetwarzania?

15)

Czy Administrator przyjął jakiekolwiek regulacje wewnętrzne dotyczące funkcjonowania IOD (w szczególności zapewnienia poszanowania gwarancji jego niezależności oraz jego uprawnień w zakresie dostępu do danych osobowych i operacji przetwarzania, włączania we wszystkie sprawy dotyczące ochrony danych osobowych, unikania konfliktu interesów), a jeżeli tak, to w jakim akcie wewnętrznym zostały one przewidziane?

16)

W jaki sposób Administrator zapewnia, aby IOD nie były wydawane instrukcje co do wykonywania zdań przez IOD?

17)

W jaki sposób Administrator zapewnia, aby IOD nie były karany i odwoływany za wykonywanie swoich zadań?

18)

W jaki sposób Administrator postępuje w przypadku, gdy nie uwzględnia wskazówek lub rekomendacji IOD, np. czy dokumentuje powody niezastosowania tych wskazówek?

19)

W jaki sposób osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych zgodnie z art. 38 ust. 4 rozporządzenia 2016/679?

20)

Czy Inspektor Ochrony Danych wykonuje również inne obowiązki lub sprawuje inną funkcję poza obowiązkami związanymi z ochroną danych osobowych, jeżeli tak to:

a)

jakie oraz w jakim wymiarze czasu pełni funkcję IOD, a w jakim inne zadania,

b)

w jaki sposób Administrator ocenił, że w przypadku każdego z tych zadań nie występuje konflikt interesów, o którym mowa w art. 38 ust 6 rozporządzenia 2016/679 ?

c)

Czy w zakresie wykonywania innych zadań IOD podlega innym osobom niż najwyższe kierownictwo administratora?

21)

Czy Administrator opracował politykę zarządzania konfliktem interesów lub wprowadził inny mechanizm zapewniający niewystępowanie konfliktu interesów?

22)

Czy IOD wykonuje swoje zadania jedynie w siedzibie Administratora, a jeżeli nie, to w jakim miejscu i w jaki sposób zapewniona jest stała dostępność IOD dla kierownictwa i pracowników Administratora?

23)

Czy IOD opracował (systematycznie opracowuje) plan swojej pracy np. w zakresie szkoleń, audytów?

24)

Czy taki plan był prezentowany Administratorowi w celu umożliwienia dokonania oceny czy IOD dysponuje wystarczającymi zasobami i uprawnieniami w obszarach, które IOD obejmuje swoimi zadaniami?

25)

Jak często i w jaki sposób IOD przekazuje Administratorowi wyniki przeprowadzonych audytów?

26)

Czy Administrator występował do IOD o udzielenie zaleceń co do oceny skutków dla ochrony danych, a jeśli tak, to w jakich sytuacjach?

27)

Czy administrator kontroluje pracę inspektora, jeżeli tak, to w jaki sposób?

I. Ustalenia stanu faktycznego

3.

W związku z tym, że złożone przez Uniwersytet (…) wyjaśnienia w piśmie z 1 kwietnia 2022 r. (nr (…)) nie pozwalały na dokonanie prawidłowej oceny stopnia przestrzegania przez niego przepisów rozporządzenia 2016/679 odnoszących się do inspektora ochrony danych, Prezes UODO uznał za konieczne ponowne zwrócenie się do Administratora o złożenie uzupełniających wyjaśnień w sprawie, co uczynił w piśmie z 30 maja 2022 r. Administrator udzielił stosownej odpowiedzi w piśmie z 8 czerwca 2022 r. (nr (…)). Po przeanalizowaniu zebranego w sprawie materiału dowodowego, w związku z istnieniem dalszych wątpliwości co do prawidłowego przestrzegania przepisów rozporządzenia 2016/679 dotyczących inspektora ochrony danych, Prezes UODO zwrócił się do Administratora w piśmie z 25 września 2024 r. o złożenie dodatkowych wyjaśnień. Administrator uczynił to w piśmie z 8 października 2024 r. (nr (…)).

4.

Na podstawie wyjaśnień Administratora zawartych w pismach z 1 kwietnia 2022 r., 8 czerwca 2022 r. i 8 października 2024 r. oraz nadesłanych dowodów, w tym także załączonych do pisma z 7 marca 2025 r., poczyniono następujące ustalenia:

1.

Administrator przyjął model wewnętrznego IOD, co oznacza, że jest on członkiem personelu administratora danych. IOD w Uniwersytecie (…) został wyznaczony na podstawie zarządzenia nr (…) Rektora Uniwersytetu (…) w sprawie (…) zawartego w piśmie z (…) IOD zatrudniony jest u Administratora w oparciu o umowę o pracę. Zakres zadań IOD został zawarty w zarządzeniu nr (…) Rektora Uniwersytetu (…) z (…) w sprawie (…) w Uniwersytecie (…) oraz załącznikach do tego aktu, a także zakresie czynności i odpowiedzialności pracownika.

2.

Administrator w celu wsparcia IOD w wykonywaniu jego obowiązków powołał Zastępcę Inspektora, który wspomaga IOD merytorycznie w bieżących czynnościach oraz zastępuje IOD podczas jego nieobecności. W Uniwersytecie (…) nie został powołany odrębny, stały zespół wspierający pracę IOD.

3.

Zgodnie z pismem Administratora z 1 kwietnia 2022 r., „Uniwersytet (…) nie posiada polityki zarządzania konfliktem interesów rozumianej jako odrębne, pisemne zarządzenie Rektora (…). W ramach uczelni funkcjonują utrwalone w praktyce zasady przeciwdziałania konfliktowi interesów. Działania związane z jego wystąpieniem i prewencją podejmowane są na bieżąco, każdorazowo oceniając zaistnienie tego konfliktu i możliwości działania w danej sprawie. Z uwagi na prowadzoną politykę kadrową kwestia konfliktu interesów jest każdorazowo analizowana przed przyznaniem danej osobie funkcji czy zadań – podobnie jak w przypadku przydzielenia IOD funkcji (…)”. „Nie została wyznaczona do prowadzania takich analiz odrębna osoba czy jednostka organizacyjna (…). W takim przypadku stosuje się zasady ogólne w zakresie decydowania o istotnych dla działalności uczelni kwestiach, w tym poddaje się je pod dyskusję gremiom decyzyjnym. W szczególności sprawy wysokiej wagi dyskutowane są przez Kolegium (…)”. Na potwierdzenie powyższego Administrator nie przedstawił jakichkolwiek dowodów wskazujących na fakt stosowania w praktyce zasad mających na celu przeciwdziałanie ryzyku konfliktu interesów, jak również na fakt dokonania analizy zakresu dodatkowych zdań powierzonych IOD pod kątem ryzyka wystąpienia konfliktu interesów.

4.

(…) Z. G., (…) w Uniwersytecie (…) funkcję IOD, zostały powierzone również obowiązki (…) Biuletynu Informacji Publicznej Uniwersytetu (…), na podstawie (…) w sprawie (…) z dniem (…) Zakres zadań na ww. stanowisku obejmuje m.in. opracowanie regulaminu określającego zasady wprowadzania informacji do Biuletynu Informacji Publicznej Uniwersytetu (…) oraz przekazywanie wiedzy na ten temat członkom zespołu redakcyjnego Biuletynu Informacji Publicznej oraz członkom „zespołu (…)”, nadzór nad prawidłowym funkcjonowaniem Biuletynu Informacji Publicznej Uniwersytetu (…), w tym stały nadzór nad wprowadzaniem informacji do tego Biuletynu, organizowanie spotkań i szkoleń dla zespołu redakcyjnego Biuletynu Informacji Publicznej Uniwersytetu (…) oraz „zespołu (…)”.

5.

Inspektorowi ochrony danych, oprócz obowiązków opisanych powyżej, zostały powierzone z dniem (…) także obowiązki członka zespołu do sprawy przyjmowania zgłoszeń od sygnalistów, na podstawie decyzji nr (…) Rektora Uniwersytetu (…) z (…) w sprawie (…). W skład zespołu, który jest dwuosobowy, wchodzi także Zastępca IOD. Do zadań ww. zespołu należało w szczególności opracowanie regulaminu i wdrożenie procedury (…), przyjmowanie od sygnalistów zgłoszeń naruszeń oraz ich weryfikacja, prowadzenie rejestru zgłoszeń, rozpoznawanie spraw i podejmowanie działań następczych, współpraca w zakresie rozpatrywania zgłoszeń z właściwymi kompetencyjnie jednostkami organizacyjnymi Uniwersytetu (…), koordynowanie postępowań wyjaśniających, implementowanie wiedzy w zakresie dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii, prowadzenie okresowych konsultacji dla kierowników jednostek organizacyjnych (…) oraz planowanie i koordynowanie pracy zespołu.

6.

Na podstawie Decyzji nr (…) Rektora Uniwersytetu (…) z (…) w sprawie (…) oraz zmiany decyzji nr (…) Rektora Uniwersytetu (…) z dnia (…) w sprawie (…), załączonej do pisma Administratora z 7 marca 2025 r., IOD został odwołany z pełnienia funkcji członka Zespołu ds. rozpatrywania zgłoszeń od sygnalistów w Uniwersytecie (…) z dniem (…)

7.

Administrator w odpowiedzi na pytanie Prezesa UODO dotyczące wyjaśnienia, w jaki sposób ocenił, że w przypadku dodatkowych zadań przydzielonych IOD nie występuje konflikt interesów, o którym mowa w art. 38 ust 6 rozporządzenia 2016/679, wyjaśnił, że:

a.

Funkcja (…) BIP „po części jest zbieżna z zadaniami IOD, przede wszystkim w zakresie zgodnego z prawem publikowania danych osobowych w (…) oraz ich retencji” (pismo z 1 kwietnia 2022 r.) i zapewnia „większą kontrolę nad procesami przetwarzania danych oraz usprawnienie tych procesów” (pismo z 8 października 2024 r.).

b.

„Pomiędzy obowiązkami (…) BIP i zadaniami IOD nie występują sprzeczności, które mogłyby wpłynąć na ich realizację, a wręcz występuje spójność tych zadań. Co więcej, funkcja te nie wymaga determinowania celów i sposobów przetwarzania danych osobowych, jako że te w zakresie funkcjonowania BIP wynikają bezpośrednio z regulujących to aktów prawnych i zadań uczelni wyższej” (pismo z 1 kwietnia 2022 r.). „IOD (…) tylko koordynuje działania w ramach BIP (…), nie wykonuje zdań technicznych związanych z zamieszczaniem informacji w BIP (…)” (pismo z 8 października 2024 r.).

c.

„Wykonywanie Funkcji (…) BIP (…) tygodniowo w zależności od natężenia wpływających spraw zajmuje od kilku do kilkunastu godzin. W zakresie wykonywania tej funkcji IOD (…) koordynuje zespołem 70 osób, nie będąc jednak kierownikiem jednostki” (pismo z 1 kwietnia 2022 r.).

d.

Administrator „ocenił także, że również w zakresie przyjmowania zgłoszeń sygnalistów IOD nie będzie decydował o celach i sposobach przetwarzania danych osobowych jako, że ADO określi szczegółowo procedurę postępowania w tych sprawach w aktach wewnętrznych, a cele przetwarzania tych danych wynikają z ustawodawstwa unijnego” (pismo z 1 kwietnia 2022 r.). W odniesieniu zaś do czasu poświęconego na dodatkowe obowiązki, Administrator wskazał, że będzie na bieżąco monitorował czas poświęcany przez IOD na to zadanie w stosunku do liczby wpływających zgłoszeń od sygnalistów (pismo Administratora z 8 października 2024 r.).

e.

W zakresie obydwu przydzielonych IOD funkcji „nie zachodzi także konflikt interesów w wymiarze czasowym, tj. w zakresie niemożności pogodzenia obowiązków z uwagi na brak czasu koniecznego do ich realizacji” (pismo Administratora z 1 kwietnia 2022 r.).

f.

IOD w ramach wszystkich przydzielonych obowiązków podlega służbowo bezpośrednio Rektorowi Uniwersytetu (…) (pismo Administratora z 1 kwietnia 2022 r.).

5.

Poczynione powyżej ustalenia, świadczące o niewypełnianiu przez Administratora obowiązku określonego w art. 38 ust. 6 rozporządzenia 2016/679 stanowiły podstawę wszczęcia z urzędu przez Prezesa UODO postępowania administracyjnego w przedmiocie naruszenia przepisów o ochronie danych osobowych poprzez niezapewnienie, że na inspektora ochrony danych nie są nakładane zadania i obowiązki mogące powodować konflikt interesów (pismo z 16 grudnia 2024 r., znak: (…)). W zakresie pozostałych kwestii będących przedmiotem pytań zawartych w piśmie Prezesa UODO z 16 marca 2022 r. (sygn. (…)) skierowanym do Administratora nie stwierdzono naruszeń przepisów rozporządzenia 2016/679.

6.

Uniwersytet (…) w D. w piśmie z 30 grudnia 2024 r. nie zgodził się zarzutem naruszenia przepisu art. 38 ust. 6 rozporządzenia 2016/679, o którym mowa w zawiadomieniu o wszczęciu postępowania administracyjnego z 16 grudnia 2024 r. (sygn. (…)). W swoim piśmie Administrator podniósł, że Uniwersytet (…) nie ma obowiązku prawnego wdrożenia polityki zarządzania konfliktem interesów lub innego dokumentu potwierdzającego wdrożenie zasad zapewniających niewystępowanie konfliktu interesów. Ponadto Administrator w przywołanym piśmie powiela argumentację zawartą w nadesłanych w niniejszej sprawie pismach, podkreślając, że:

1.

Uniwersytet (…) „przed powołaniem (…) Z. G. do pełnienia funkcji (…) Biuletynu Informacji Publicznej zbadał, czy nie wystąpi w tym przypadku konflikt interesów. Analizując to powołanie Administrator nie stwierdził w tym przypadku konfliktu interesów, a wręcz większą kontrolę nad procesami przetwarzania danych oraz usprawnienie tych procesów. Uniwersytet (…) stwierdził, że pomiędzy obowiązkami (…) BIP i zadaniami IOD nie występują sprzeczności, które mogłyby wpłynąć na ich realizację, a wręcz występuje spójność tych zadań”.

2.

Funkcja (…) Biuletynu Informacji Publicznej „nie wymaga determinowania celów i sposobów przetwarzania danych osobowych, jako że te w zakresie funkcjonowania Biuletynu Informacji Publicznej wynikają bezpośrednio z regulujących to aktów prawnych i zadań uczelni wyższej. Z regulaminu organizacyjnego wynika, że (…) Z. G. jako (…) Biuletynu Informacji Publicznej nie jest kierownikiem jednostki organizacyjnej”, a ponadto „jedynie koordynuje pracę redaktorów zapewniających obsługę organizacyjną procesów zamieszczania dokumentów w Biuletynie Informacji Publicznej, które to dokumenty są przekazywane przez właściwe jednostki Uniwersytetu (…)”.

3.

Powołanie IOD do zespołu ds. przyjmowania zgłoszeń od sygnalistów „wynikało z jego niezależności, bezstronności, podległości bezpośredniej Rektorowi (…), umiejętności rozpatrywania spraw w poufności, a także, znajomości zagadnień z zakresu ochrony danych osobowych i poufności”.

4.

Procedura dotycząca przyjmowania zgłoszeń od sygnalistów obowiązująca w Uniwersytecie (…) „przewiduje przyjęcie zgłoszenia przez Zespół ds. przyjmowania zgłoszeń od sygnalistów, którego członkiem jest IOD i w przypadku stwierdzenia, że zgłoszenie ma charakter naruszenia prawa, powołanie, do jego rozpatrzenia, przez Rektora Komisji (…) składającej się z minimum trzech pracowników Uniwersytetu (…), z wyłączeniem IOD z jej składu osobowego”.

5.

Członkowie zespołu ds. przyjmowania zgłoszeń stanowią „wsparcie administracyjne oraz organizacyjne dla Komisji (…) oraz są gwarancją zapewniania sygnaliście poufności”.

6.

Zadania polegające na przyjmowaniu zgłoszeń od sygnalistów nie wiążą się z określaniem celów i sposobów przetwarzania danych osobowych, gdyż „sprowadzają się do czynności przygotowawczych – administracyjnych i organizacyjnych. Działania następcze związane z naruszeniem wykonywane są już przez inne podmioty”.

7.

Mając na względzie kwestie organizacyjne, związane z funkcjonowaniem Uniwersytetu (…), „w najbliższym czasie IOD zostanie odwołany przez Rektora (…) i nie będzie członkiem Zespołu ds. przyjmowana zgłoszeń od sygnalistów”.

8.

Każdorazowo kwestia powierzenia określonych zadań IOD była analizowana w realiach działania Uniwersytetu (…), „uwzględniając praktyczne względy wykonywania obowiązków (…) Biuletynu Informacji Publicznej oraz członka zespołu ds. przyjmowania zgłoszeń od sygnalistów, a także zderzając te zadania ze strukturą organizacyjną Uniwersytetu (…). Powierzając te obowiązki, Administrator dopilnował, aby nie wykraczały one poza wsparcie administracyjno-organizacyjne, nie miały charakteru decyzyjnego i zarządczego”. IOD został pouczony przez Administratora o pierwszeństwie wykonywania obowiązków inspektorskich.

II. Ocena prawna ustalonego stanu faktycznego

7.

Zgodnie z art. 34 ustawy o ochronie danych osobowych, Prezes UODO jest organem właściwym w sprawie ochrony danych i organem nadzorczym w rozumieniu rozporządzenia 2016/679. Stosownie do art. 57 ust. 1 lit. a) i h) rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie rozporządzenia oraz prowadzi postępowania w sprawie naruszenia rozporządzenia. Zgodnie z art. 58 ust. 2 lit. d) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługują uprawnienia naprawcze, w tym nakazanie administratorowi dostosowania operacji przetwarzania do przepisów tego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu.

8.

Rozporządzenie 2016/679 w art. 37 – 39 nakłada na administratorów konkretne obowiązki związane nie tylko z wyznaczaniem inspektora ochrony danych, posiadania przez niego właściwych kwalifikacji i gwarancji niezależności, ale też skutecznego zapewnienia, aby wyznaczony inspektor mógł prawidłowo realizować swoje zadania.

9.

W niniejszym postępowaniu Prezes Urzędu Ochrony Danych Osobowych stwierdził naruszenie przez Uniwersytet (…) w D. art. 38 ust. 6 rozporządzenia 2016/679, polegające na niezapewnieniu, że na inspektora ochrony danych nie są nakładane zadania mogące powodować konflikt interesów.

10.

Zgodnie z art. 38 ust. 6 rozporządzenia 2016/679, IOD może wykonywać inne zadania i obowiązki, przy czym administrator lub podmiot przetwarzający powinni zapewnić, by takie zadania i obowiązki nie powodowały konfliktu interesów. Wymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań przez IOD w sposób niezależny.

11.

Określenie „zapewnić” użyte na gruncie omawianego przepisu rozporządzenia 2016/679 statuuje obowiązek podjęcia przez kierownictwo podmiotu będącego administratorem konkretnych, realnych i dających się wykazać środków (działań) zmierzających do osiągnięcia celu wyznaczonego przez ten przepis. Według Słownika języka polskiego „zapewnić” to: „1. oświadczyć komuś, że coś jest lub będzie na pewno, 2. sprawić, że coś się stanie lub ktoś uzyska coś”. W związku z powyższym, „zapewnieniem” na gruncie przepisu art. 38 ust. 6 rozporządzenia 2016/679 mogłyby być zatem odpowiednio dobrane w danej sytuacji działania Administratora polegające np. na przyjęciu takich rozwiązań wewnętrznych, które zapewnią warunki do identyfikacji, zapobiegania i zarządzania konfliktem interesów. W tym znaczeniu „zapewnienie” to następnie także kontrolowanie przyjętych rozwiązań w kontekście ich efektywności i w razie potrzeby podejmowanie w tym zakresie korygujących działań.

12.

Innymi słowy prawidłowa realizacja obowiązku wynikającego z ww. przepisu rozporządzenia 2016/679 wymaga zatem od administratora zarządzania konfliktem interesów w celu unikania sytuacji, które mogłyby doprowadzić do powstania konfliktu interesów w związku z powierzeniem IOD wykonywania innych zadań i obowiązków, poprzez opracowanie i wdrożenie rozwiązań o charakterze organizacyjnym, proceduralnym, mających eliminować ryzyko wystąpienia takiego konfliktu. Rolą administratora jest bowiem monitorowanie sytuacji mogących stanowić zagrożenie zasady zapobiegania konfliktowi interesów.

13.

Grupa Robocza art. 29 w Wytycznych dotyczących inspektora ochrony danych rekomenduje, w ramach dobrych praktyk dla administratorów, przykładowo opracowanie wewnętrznych zasad pozwalających uniknąć konfliktu interesów, określenie stanowisk niezgodnych z funkcją IOD, zapewnienie bardziej ogólnego wyjaśnienia dotyczącego konfliktów interesów, zadeklarowanie, że IOD nie ma konfliktu interesów w odniesieniu do pełnionej przez siebie funkcji, celem zwiększenia świadomości na temat tego wymogu.

14.

Nawiązując do brzmienia powołanego przepisu art. 38 ust. 6 rozporządzenia 2016/679 podkreślić należy, że zasada rozliczalności wymaga w szczególności, aby administratorzy wykazywali logikę, na której oparli swoje decyzje, i potrafili uzasadnić, dlaczego przyjęli określone rozwiązania. Zasada ta na gruncie analizowanego przepisu rozporządzenia 2016/679 ulega wzmocnieniu z uwagi na zobowiązanie administratora do tego, aby zapewnił, że inne zadania lub obowiązki nałożone na IOD nie będą generowały konfliktu interesów z zadaniami i obowiązkami inspektora ochrony danych. Nie ulega zatem wątpliwości, że w celu prawidłowego wykonania tego obowiązku Administrator musi przyjąć określone zasady i sposoby postępowania swojego personelu, np. w postaci wprowadzenia regulacji wewnętrznych dotyczących przeciwdziałaniu konfliktowi interesów lub innego środka o charakterze organizacyjnym, za pomocą którego będzie mógł wykazać przyjęcie i wdrożenie odpowiednich rozwiązań w tym zakresie.

15.

Wymóg niepowodowania konfliktu interesów ściśle związany jest z wykonywaniem zadań przez IOD w sposób niezależny i implikuje niemożność powierzenia IOD stanowiska w organizacji, które zapewniałoby mu dostęp do informacji pozwalających mu ustalić cele i sposoby przetwarzania danych osobowych.

16.

W Wytycznych dotyczących inspektora ochrony danych Grupa Robocza art. 29 wskazała stanowiska w organizacji, w przypadku których dochodzi do konfliktu interesów. Należą do nich stanowiska w strukturze kadry kierowniczej wyższego szczebla (takie jak dyrektor generalny, dyrektor ds. operacyjnych, dyrektor ds. finansowych, dyrektor ds. medycznych, kierownik departamentu marketingu, kierownik działu kadr lub kierownik departamentów IT), ale również inne stanowiska na niższych szczeblach struktury organizacyjnej, jeżeli piastowanie tych stanowisk lub pełnienie tych funkcji zapewnia możliwość ustalenia celów i sposobów przetwarzania. Sednem powyższego stanowiska jest, że IOD nie może realizować obowiązków administratora, ponieważ – zgodnie z przepisami prawa – zadaniem IOD jest ocenianie (monitorowanie), czy obowiązki te są realizowane zgodnie z prawem.

17.

Mając powyższe na uwadze, wskazać należy, że ocena, czy w przypadku konkretnej osoby i wykonywanych przez nią zadań nie występuje konflikt interesów, powinna być dokonywana indywidualnie z uwzględnieniem konkretnych okoliczności.

18.

Dla przykładu Belgijski Urząd Ochrony Danych (DPA) w decyzji z 28 kwietnia 2020 r., nakładającej administracyjną karę pieniężną za naruszenie art. 38 ust. 6 rozporządzenia 2016/679, rozpatruje konflikt interesów nawiązując do podejścia w Niemczech i doktryny prawnej, która odwołuje się do kryteriów takich jak: istnienie lub brak samokontroli przez osobę pełniącą wiodącą funkcję w przedsiębiorstwie, istnienie lub brak wewnętrznych przepisów dotyczących konfliktów interesów oraz ponoszenie znaczącej odpowiedzialności operacyjnej mającej wpływ na dane osobowe^[1].

19.

W tej materii wypowiedział się także TSUE, który w wyroku z 9 lutego 2023 r. zauważył, że „(…) zgodnie z celem realizowanym przez art. 38 ust. 6 RODO nie można powierzyć osobie będącej IOD wykonywania zadań lub obowiązków, które mogłyby zaszkodzić pełnieniu funkcji, które wykonuje jako IOD”^[2]. W konsekwencji, identyfikacja potencjalnego konfliktu interesu następować powinna w ścisłym nawiązaniu do wyznaczonych ww. przepisami rozporządzenia 2016/679 zadań i obowiązków IOD.

20.

Ponadto możliwość zaistnienia konfliktu powinna być stale monitorowana, ponieważ przyczyny zaistnienia takiego konfliktu mogą występować również w późniejszym czasie, po rozpoczęciu pełnienia funkcji przez IOD. Administrator powinien przy dokonywaniu takiej oceny uwzględnić m.in. kryteria organizacyjne, merytoryczne oraz czasowe.

21.

Kryterium organizacyjne oznacza, że w przypadku jednoczesnego pełnienia przez tę samą osobę funkcji IOD i wykonywania przez nią innych zadań na rzecz administratora wymagane jest, aby w obu przypadkach podlegała ona bezpośrednio najwyższemu kierownictwu w rozumieniu art. 38 ust. 3 rozporządzenia 2016/679. Kryterium merytoryczne warunkuje z kolei, aby inne obowiązki przydzielone IOD nie wpływały w sposób negatywny na niezależne wykonywanie zadań IOD. Natomiast kryterium czasowe zakłada, że IOD pełniący jednocześnie inną funkcję powinien dysponować czasem pozwalającym mu na prawidłowe realizowanie wszystkich zadań. Uwzględnienie powyższego kryterium powinno obejmować analizę, czy IOD pełniący jednocześnie inną funkcję będzie w stanie rzetelnie wykonywać swoje obowiązki we właściwy sposób, biorąc pod uwagę w szczególności stopień skomplikowania i liczbę innych zadań.

22.

W związku z powyższym Administrator przed powierzeniem IOD wykonywania innych zadań powinien dokonać analizy, z uwzględnieniem powyższych kryteriów, czy IOD będzie w stanie w sposób efektywny wykonywać swoje obowiązki przy pełnieniu wszystkich funkcji jednocześnie. Nieprzeprowadzenie analizy w tym zakresie może w konsekwencji spowodować naruszenie przepisów o ochronie danych osobowych.

23.

Dokumentowanie analizy oceniającej istnienie konfliktu interesów rekomenduje także francuski organ nadzorczy w rozumieniu rozporządzenia 2016/679, tj. Krajowa Komisja ds. Informatyki oraz Wolności (CNIL), która w opublikowanym poradniku zawierającym wytyczne dotyczące roli IOD wskazuje, że organizacja, która wyznaczyła IOD musi być w stanie udowodnić, że IOD spełnia wymagania zawarte w rozporządzeniu 2016/679. Przykładowo wskazuje na wymóg braku występowania konfliktu interesów. Zgodnie z zasadą rozliczalności podmiot ten musi zgromadzić dokumentację wewnętrzną, aby potwierdzić spełnianie tych wymogów, gdyż w przypadku kontroli podmiot może zostać poproszony o przedstawienie np. pisemnej analizy braku konfliktu interesów^[3].

24.

Administrator w odpowiedzi na zawiadomienie o wszczęcie postępowania administracyjnego, a także w uprzednio nadesłanych pismach wyjaśnił, że przed powierzeniem IOD funkcji (…) Biuletynu Informacji Publicznej i zadań członka zespołu ds. przyjmowania zgłoszeń od sygnalistów dokonał analizy pod kątem możliwości wystąpienia konfliktu interesów w zakresie dodatkowych zadań IOD i w tym przedmiocie nie stwierdził sprzeczności. Powyższe wywiódł przede wszystkim ze sposobu ukształtowania obowiązków (…) Biuletynu Informacji Publicznej i członków zespołu do spraw przyjmowania zgłoszeń od sygnalistów, których istota, w ocenie Administratora, sprowadza się do wsparcia administracyjno-organizacyjnego i nie zakłada determinowania celów i sposobów przetwarzania danych osobowych oraz braku konfliktu czasowego pomiędzy tymi dodatkowymi zadaniami a zadaniami IOD, rozumianego przez Administratora jako: „niemożności pogodzenia obowiązków z uwagi na brak czasu koniecznego do ich realizacji”.

25.

Na potwierdzenie powyższych wyjaśnień Administrator nie przedstawił jednak, pomimo wezwania, w żadnym z nadesłanych w sprawie pism, jakichkolwiek dowodów potwierdzających kto, kiedy (w jakich okolicznościach), w jakim zakresie, w jaki sposób i na jakiej podstawie przeprowadził analizę możliwości wystąpienia konfliktu interesów w zakresie powierzenia IOD obowiązków (…) Biuletynu Informacji Publicznej i członka zespołu do spraw przyjmowania zgłoszeń od sygnalistów. Powyższe w konsekwencji uniemożliwia odniesienie się do twierdzeń przedstawionych w tym zakresie przez Administratora i dokonanie oceny spełnienia wymagań określonych w rozporządzeniu 2016/679, a także potwierdza, jak ważne jest wdrożenie w organizacji zasad zarządzania konfliktem interesów.

26.

Jak podkreślono powyżej, powierzenie IOD dodatkowych obowiązków i zadań w organizacji powinno być poprzedzone szczegółową analizą z uwzględnieniem kryterium merytorycznego, organizacyjnego i czasowego w celu wykazania zapewnienia IOD warunków do prawidłowego wykonywania jego roli i braku konfliktu interesów.

27.

W tym aspekcie, nawet gdyby przyjąć wyjaśnienia Administratora za wiarygodne i uznać, iż dokonał on analizy, nawet w sposób nieformalny, w przedmiocie możliwości wystąpienia konfliktu interesów w zakresie powierzenia IOD obowiązków (…) Biuletynu Informacji Publicznej i zadań członka zespołu ds. przyjmowania zgłoszeń od sygnalistów, to Administrator nie odniósł się w swoich wyjaśnieniach do np. czasu, jaki IOD poświęciłby na wykonywanie dodatkowych zadań polegających m.in. na opracowaniu regulaminu i wdrożeniu procedury (…), a także na opracowaniu regulaminu określającego zasady wprowadzania informacji do Biuletynu Informacji Publicznej i organizowaniu spotkań i szkoleń dla zespołu redakcyjnego BIP w Uniwersytecie (…) oraz „zespołu (…)”.

28.

Podkreślić należy, że w ocenie Prezesa UODO ryzyko konfliktu interesów powoduje przypisanie IOD zadań (…) Biuletynu Informacji Publicznej, na podstawie Komunikatu (…) z (…), polegających na opracowaniu i wdrożeniu regulaminu określającego zasady wprowadzania informacji do Biuletynu Informacji Publicznej Uniwersytetu (…), gdyż wiążą się z ryzykiem określania przez IOD celów i sposobów przetwarzania, a także nadzorze nad prawidłowym funkcjonowaniem Biuletynu Informacji Publicznej Uniwersytetu (…), w tym stałym nadzorze nad wprowadzaniem informacji do tego Biuletynu. Ogólnie rzecz ujmując, zadania polegające na nadzorze obejmują ciąg czynności, na które składają się zarówno czynności kontrolne, jak i egzekwowanie poleceń, co wynika z samej istoty nadzoru. Innymi słowy nadzór obejmuje element kontroli (czyli obserwację, ocenę i sformułowanie wniosków) oraz możliwość wiążącego oddziaływania i władczej ingerencji w działanie podmiotu w celu skorygowania jej w określonym kierunku. Przypisanie IOD uprawnień władczych wykracza poza zakres obowiązków wyrażonych w art. 39 rozporządzenia 2016/679 i narusza zasady sprawowania funkcji IOD. Tymczasem zaangażowanie IOD w proces tworzenia i publikowania informacji w Biuletynie Informacji Publicznej powinien sprowadzać się do roli opiniodawczo – doradczej.

29.

Ponadto, w ocenie Prezesa UODO, ryzyko konfliktu interesów powodowało także powierzenie przed dniem (…) IOD zadań członka zespołu ds. przyjmowania zgłoszeń od sygnalistów, na podstawie decyzji nr (…) Rektora Uniwersytetu (…) z (…) w sprawie (…), polegających m.in. na opracowaniu regulaminu i wdrożeniu procedury (…), przyjmowanie od sygnalistów zgłoszeń naruszeń oraz ich weryfikacja, rozpoznawanie spraw i podejmowanie działań następczych, współpraca w zakresie rozpatrywania zgłoszeń z właściwymi kompetencyjnie jednostkami organizacyjnymi Uniwersytetu (…), koordynowanie postępowań wyjaśniających. Taki sposób ukształtowania dodatkowych obowiązków i zadań IOD wiąże się, wbrew twierdzeniu Administratora, z ryzykiem określania przez IOD sposobów i celów przetwarzania, czyli decydowaniem dlaczego i jak dane osobowe będą przetwarzane, a w konsekwencji prowadzi do konfliktu interesów ze względu na fakt sprawowania przez IOD nadzoru nad własną działalnością. W sytuacji, gdy IOD wykonuje określoną czynność, a następnie monitoruje prawidłowość jej wykonania dochodzi do konfliktu interesów, ponieważ w ten sposób IOD jest obciążony zadaniem administratora, którego realizację (pod względem jej zgodności z przepisami o ochronie danych osobowych) ma oceniać. W ten sposób występuje w podwójnej roli i może być zainteresowany pozytywnym recenzowaniem swoich działań, kosztem obiektywnego wskazywania kwestii wymagających korekty.

30.

Zaangażowanie IOD w proces ochrony danych osobowych sygnalistów powinien sprowadzać się do opiniowania procedur, rekomendowania określonych rozwiązań pod kątem zgodności z przepisami o ochronie danych osobowych. IOD nie powinien natomiast podejmować działań związanych z opracowaniem procedur, przyjmowaniem, weryfikacją i rozpatrywaniem zgłoszeń sygnalistów obejmujących naruszenia prawa. Funkcja IOD na tym etapie powinna sprowadzać się zatem do pełnienia roli doradczej w przypadku zaistnienia wątpliwości związanych np. z ochroną danych osobowych sygnalisty. W przeciwnym wypadku IOD realizuje obowiązki administratora, podczas, gdy jego rolą jest monitorowanie, czy obowiązki te są realizowane zgodnie z prawem.

31.

Jednocześnie wskazania wymaga, że w piśmie z 30 grudnia 2024 r. Administrator oświadczył, że „w najbliższym czasie IOD zostanie odwołany przez Rektora (…) i nie będzie członkiem Zespołu ds. przyjmowana zgłoszeń od sygnalistów”. Następnie do pisma z 7 marca 2025 r. Administrator załączył treść Decyzji nr (…) Rektora Uniwersytetu (…) z (…) w sprawie (…) oraz zmiany decyzji nr (…) Rektora Uniwersytetu (…) z dnia (…) w sprawie (…), z której m.in. wynika, że (…) Z. G. (…) funkcję IOD (…) z pełnienia funkcji członka Zespołu ds. rozpatrywania zgłoszeń od sygnalistów w Uniwersytecie (…) z dniem (…) Powyższe świadczy o powzięciu przez Administratora wątpliwości związanych z prawidłowością powierzenia IOD obowiązków członka zespołu do spraw przyjmowania zgłoszeń od sygnalistów.

32.

Podkreślenia wymaga, że z uwagi na charakter zadań IOD skupiających się na doradzaniu oraz monitorowaniu działalności administratora pod kątem zgodności operacji przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz wymóg sprawowania tej funkcji w sposób niezależny, Administrator nie powinien nakładać na IOD zadań, które zgodnie z przepisami rozporządzenia 2016/679 należą do administratora, a które mogą powodować konflikt interesów. Przyjęcie odmiennego założenia, w którym IOD byłby odpowiedzialny za wykonanie określonego zadania administratora, doprowadziłoby w efekcie do sytuacji, gdzie IOD sprawowałby de facto nadzór nad własną działalnością, a więc do konfliktu interesów. Taka sytuacja uniemożliwia pogodzenie prawidłowego wykonywania zadań inspektora ochrony danych, przypisanych mu w art. 38 ust. 4 oraz art. 39 rozporządzenia 2016/679, z realizacją innych zadań, gdyż pomiędzy zadaniami występuje sprzeczność, uniemożliwiająca odpowiednią ich realizację (występowanie IOD jednocześnie w dwóch rolach lub podejmowanie przez niego działań lub decyzji, które następnie muszą podlegać jego ocenie zgodnie z art. 39 ust. 1 lit. a) rozporządzenia 2016/679). Ponadto trudno o rzetelną i obiektywną ocenę przez inspektora ochrony danych własnych działań, podjętych wcześniej na etapie wdrażania w organizacji Administratora przykładowo regulacji wewnętrznych służących ochronie sygnalistów. W konsekwencji powyższego IOD może nie być zainteresowany wykazywaniem niezgodności z przepisami rozporządzenia 2016/679, ponieważ uderzałoby to w niego jako tego, który za to wdrożenie odpowiadał. Takie podejście, oprócz generowania konfliktu interesów, powoduje także osłabienie systemu ochrony danych osobowych funkcjonującego w takiej organizacji, gdyż nikt (a najmniej IOD) nie dąży do jego weryfikacji pod kątem skuteczności przyjętych rozwiązań oraz godzi w same fundamenty instytucji IOD, opartej w pierwszym rzędzie na niezależności jego funkcjonowania.

33.

Ponadto IOD, w przypadku powierzenia mu także innych zadań i obowiązków, powinien mieć zagwarantowany odpowiedni czas pozwalający mu na prawidłowe i efektywne realizowanie swojej roli, z uwzględnieniem w szczególności stopnia skomplikowania i liczby innych zadań, a także podlegać bezpośrednio najwyższemu kierownictwu Administratora w ramach wszystkich pełnionych obowiązków.

34.

Ponownie podkreślić należy, że administrator stosownie do zasady rozliczalności wyrażonej w art. 5 ust. 2 rozporządzenia 2016/679 jest zobowiązany wykazać, że spełnia wymogi rozporządzenia 2016/679 poprzez wykazanie, że opracował i stosuje środki mające na celu przestrzeganie przepisów o ochronie danych osobowych, w tym przypadku, że przyjął wewnętrzne rozwiązania mające na celu rzeczywiste zapewnienie, że inspektor ochrony danych nie będzie realizował zadań i obowiązków, które powodują konflikt interesów. Jak wspomniano powyżej, opracowanie takich zasad rekomenduje Grupa Robocza art. 29 w swoich wytycznych.

35.

Administrator w swoich wyjaśnieniach zawartych m.in. w piśmie z 1 kwietnia 2022 r. wyjaśnił jedynie, że w Uniwersytecie (…) funkcjonują utrwalone w praktyce zasady przeciwdziałania konfliktowi interesów, jednakże nie przedstawił w tym zakresie jakiegokolwiek dowodu potwierdzającego ten fakt.

36.

Mając na uwadze powyższe oraz zgromadzony w sprawie materiał dowodowy, Prezes UODO stwierdził, że Administrator nie spełnia wymogów art. 38 ust. 6 rozporządzenia 2016/679 w zakresie wdrożenia środków zapewniających, by na inspektora ochrony danych nie były nakładane obowiązki i zadania mogące powodować konflikt interesów.

III. Uzasadnienie udzielenia upomnienia.

37.

W związku z powyższym, działając na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznaje za uzasadnione udzielenie Administratorowi upomnienia w zakresie stwierdzonego naruszenia przepisu art. 38 ust. 6 rozporządzenia 2016/679.

38.

Motyw 148 rozporządzenia 2016/679 stanowi, że aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.

39.

Prezes UODO uznał, że w ustalonych okolicznościach niniejszej sprawy wystarczającym środkiem jest udzielenie Administratorowi upomnienia. Za okoliczność łagodzącą, która, między innymi, za tym przemawia, Prezes UODO uznał stosunkowo niewielkie ryzyko bezpośredniego naruszenia praw lub wolności osób, których dane dotyczą w rezultacie stwierdzonych naruszeń przepisów przez Administratora. Należy bowiem podnieść, że Administrator wykazał przed Prezesem UODO, że co do zasady wdrożył najważniejsze środki organizacyjne służące należytemu uregulowaniu działania IOD w organizacji i współpracy z nim. Ponadto, biorąc pod uwagę okoliczności przedmiotowej sprawy i ustalenia w niej poczynione, brak jest również podstaw do uznania, że osoby, których dane dotyczą, poniosły na skutek uchybień Administratora szkodę. Należy także zauważyć, że współdziałanie Administratora z Prezesem UODO przy wyjaśnianiu okoliczności sprawy, należy określić na zasługujące na aprobatę.

40.

Powyższe okoliczności oraz niewielka liczba naruszeń przepisów rozporządzenia 2016/679 w porównaniu do liczby pytań zawartych w piśmie Prezesa UODO z 16 marca 2022 r., uzasadniają udzielenie Administratorowi upomnienia za stwierdzone naruszenia przepisów rozporządzenia 2016/679, mając na względzie możliwość uniknięcia podobnych zdarzeń w przyszłości.

41.

Niezależnie od upomnienia udzielonego Administratorowi niniejszą decyzją, wobec stwierdzonych naruszeń przepisów, Prezes UODO zastosował wobec Administratora środek naprawczy w postaci nakazu dostosowania operacji przetwarzania do przepisów rozporządzenia 2016/679 poprzez wdrożenie środków mających na celu zapewnienie, że na inspektora ochrony danych nie będą nakładane zadania i obowiązki mogące powodować konflikt interesów, w terminie 60 dni od dnia doręczenia niniejszej decyzji.

42.

Należy zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Administratora będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 rozporządzenia 2016/679.

43.

W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji.