Decyzja DKN.5112.27.2022

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572 ze zm.) w związku z art. 7 ust. 1 i ust. 2, art. 60, art. 90 oraz art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. i), art. 83 ust. 1 – 3, art. 83 ust. 4 lit. a) w związku z art. 24 ust. 1, art. 29, art. 30 ust. 1 i ust. 3 oraz art. 32 ust. 1, ust. 2 i ust. 4 i art. 83 ust. 5 lit. a) w związku z art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwanego dalej „rozporządzeniem 2016/679”,

po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez D. C., prowadzącego działalność gospodarczą pod firmą W. (…) z miejscem wykonywania działalności w U. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych

1)

stwierdzając naruszenie przez D. C., prowadzącego działalność gospodarczą pod firmą W. (…) z miejscem wykonywania działalności w U. przy ul. (…), przepisów art. 24 ust. 1, art. 32 ust. 1 i 2 oraz art. 29 i art. 32 ust. 4 rozporządzenia 2016/679, polegające na:

a)

niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych w systemach informatycznych oraz ochronę praw osób, których dane dotyczą, na podstawie przeprowadzonej analizy ryzyka uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych,

b)

przetwarzaniu danych osobowych bez wprowadzenia środków organizacyjnych zapewniających, by przetwarzanie to odbywało się wyłącznie na polecenie administratora,

skutkujące naruszeniem zasady integralności i poufności (art. 5 ust. 1 lit. f) rozporządzenia 2016/679) oraz zasady rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679),

nakłada na D. C., prowadzącego działalność gospodarczą pod firmą W. (…) z miejscem wykonywania działalności w U. przy ul. (…), za naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 29 oraz art. 32 ust. 1, 2 i 4 rozporządzenia 2016/679 administracyjną karę pieniężną w wysokości 7 577 zł (słownie: siedem tysięcy pięćset siedemdziesiąt siedem złotych);

2)

stwierdzając naruszenie przez D. C., prowadzącego działalność gospodarczą pod firmą W. (…) z miejscem wykonywania działalności w U. przy ul. (…), przepisów art. 30 ust. 1 i 3 rozporządzenia 2016/679, polegające na nieprowadzeniu rejestru czynności przetwarzania danych osobowych,

nakłada na D. C., prowadzącego działalność gospodarczą pod firmą W. (…) z miejscem wykonywania działalności w U. przy ul. (…), administracyjną karę pieniężną w wysokości 3 157 zł (słownie: trzy tysiące sto pięćdziesiąt siedem złotych).

Uzasadnienie

1.

D. C., prowadzący działalność gospodarczą pod firmą W. (…) z miejscem wykonywania działalności w U. przy ul. (…), zwany dalej także „Administratorem” lub „Przedsiębiorcą”, dokonał 10 czerwca 2021 r. zgłoszenia naruszenia ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych (dalej także jako „Prezes UODO” lub „organ nadzorczy”). Ww. naruszenie zostało zarejestrowane w Urzędzie Ochrony Danych Osobowych pod sygnaturą DKN.5130.8687.2021.

2.

Przedmiotowe zgłoszenie naruszenia ochrony danych osobowych stało się dla organu nadzorczego impulsem do dokonania oceny realizacji przez Administratora spoczywających na nim obowiązków wynikających z przepisów rozporządzenia 2016/679 dotyczących właściwego zabezpieczenia danych oraz organizacji systemu ochrony danych osobowych. W tym celu Prezes UODO skierował do Administratora pisma z 4 listopada 2021 r. oraz z 10 maja 2022 r., w których wezwał go do złożenia wyjaśnień. Następnie, w związku z podejrzeniem naruszenia przez Administratora przepisów o ochronie danych osobowych (którego skutkiem było zgłoszone przez niego naruszenie ochrony danych osobowych), Prezes UODO podjął decyzję o przeprowadzeniu kontroli w jego siedzibie.

3.

Upoważnieni przez Prezesa UODO pracownicy Urzędu Ochrony Danych Osobowych przeprowadzili u Administratora w dniach (…) 2022 r. kontrolę zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, tj. z rozporządzeniem 2016/679 oraz ustawą z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwaną dalej ustawą.

4.

Zakresem kontroli objęto przetwarzanie danych osobowych w związku z ww. naruszeniem ochrony danych osobowych. W ramach tej kontroli sprawdzono m.in. czy:

–

Administrator wdrożył odpowiednie środki techniczne i organizacyjne związane z funkcjonowaniem systemu informatycznego wykorzystywanego do przetwarzania danych osobowych objętych naruszeniem ochrony danych osobowych,

–

przetwarzanie danych odbywa się na podstawie nadanych upoważnień,

–

Przedsiębiorca prowadzi rejestr czynności przetwarzania danych osobowych, w którym zamieszczone są wszystkie informacje określone w art. 30 ust. 1 rozporządzenia 2016/679,

–

czy pracownicy Przedsiębiorcy odbyli szkolenie w zakresie ochrony informacji, zabezpieczenia danych osobowych oraz zachowania środków bezpieczeństwa przy korzystaniu z systemów informatycznych.

5.

W toku kontroli odebrano wyjaśnienia od Przedsiębiorcy oraz od wyznaczonego przez niego pracownika oraz dokonano oględzin systemów informatycznych, w ramach których odbywa się przetwarzanie danych osobowych. Stan faktyczny szczegółowo opisano w protokole kontroli, który został podpisany przez Przedsiębiorcę.

6.

Na podstawie tak zgromadzonego materiału dowodowego ustalono następujący stan faktyczny:

1)

na dzień kontroli D. C. prowadził jednoosobową działalność gospodarczą pod firmą W. (…) z miejscem wykonywania działalności w U. przy ul. (…). Głównym przedmiotem działalności Przedsiębiorcy jest sprzedaż artykułów ogrodniczych zarówno poprzez sklepy stacjonarne, jak i sieć Internet, tj. sklep internetowy. Sklepy stacjonarne są zlokalizowane w dwóch następujących miejscach: U., ul. (…) oraz M., ul. (…).

2)

Przedsiębiorca korzystał z usług G. T. prowadzącego działalność gospodarczą pod firmą „B. (…)” z miejscem wykonywania działalności w U. przy ul. (…), w zakresie przeprowadzania testów działania sklepu internetowego pod względem jego konfiguracji funkcjonalnej i wizualnej, ustawiania funkcji sklepu internetowego i usuwania usterek w jego działaniu. Ponadto, G. T. pośredniczył pomiędzy Przedsiębiorcą a podmiotem oferującym usługi udostępniania oprogramowania służącego do prowadzenia sklepów internetowych pod nazwą handlową „R.”. Przedsiębiorca, przy pośrednictwie B. (…), zawarł umowę z R. S.A. z siedzibą w U. w przedmiocie korzystania z ww. oprogramowania w przypisanej domenie www.(…) celem prowadzenia sklepu internetowego.

3)

w związku ze świadczeniem ww. usług, Administrator (…) 2018 r. zawarł z G. T. w formie pisemnej umowę powierzenia przetwarzania danych osobowych. Ponadto, Przedsiębiorca zawarł z G. T. (…) 2020 r. umowę z w przedmiocie wykonania prac celem promowania sklepu internetowego w wynikach wyszukiwania wyszukiwarki internetowej Z. dostępnej pod adresem www.(…). Umowa z (…) 2018 r. zawierała postanowienia dotyczące powierzenia B. (…) (jako podmiotowi przetwarzającemu) przez Przedsiębiorcę (jako administratora) przetwarzania danych klientów Przedsiębiorcy dokonujących zakupów w sklepie internetowym.

4)

Przedsiębiorca dowiedział się o fakcie wystąpienia naruszenia ochrony danych osobowych (…) 2021 r. z treści wiadomości elektronicznej wysłanej do niego przez podmiot przetwarzający (B. (…)). W ww. wiadomości Przedsiębiorca został poinformowany o najważniejszych okolicznościach incydentu bezpieczeństwa danych. Z treści ww. wiadomości wynikało, że naruszenie ochrony danych osobowych polegało na nieuprawnionym dostępie do danych osobowych jego klientów, tj. na naruszeniu poufności tych danych, poprzez dwukrotne, nieuprawnione logowanie na konto administracyjne sklepu internetowego, przypisane do pracownika podmiotu przetwarzającego, tj. B. (…). Naruszenie to miało miejsce bez udziału pracowników Przedsiębiorcy i jego sieci teleinformatycznej, poprzez przejęcie konta pracownika ww. podmiotu przetwarzającego w serwisie Z., na którym zapisane było hasło dostępowe do konta panelu administracyjnego sklepu internetowego Przedsiębiorcy w serwisie (na platformie) (…).

5)

w następstwie uzyskania dostępu do ww. hasła doszło do uzyskania przez nieuprawnione osoby dostępu do panelu administracyjnego sklepu internetowego Przedsiębiorcy w serwisie (…) oraz do przechowywanych w nim danych osobowych klientów dokonujących zakupów w sklepie internetowym Przedsiębiorcy o adresie (…). Innymi słowy, nieuprawniony dostęp do danych klientów Przedsiębiorcy został uzyskany za pomocą panelu administracyjnego ww. sklepu, poprzez platformę webową (…), w rezultacie nieautoryzowanego wykorzystania hasła dostępowego zapisanego na koncie Z., którego zabezpieczenia zostały przełamane. Ww. konto Z. było z założenia dostępne jedynie pracownikowi podmiotu przetwarzającego, tj. B. (…).

6)

jak ustalono w toku kontroli, w związku z ww. naruszeniem ochrony danych osobowych nie doszło do naruszenia integralności lub dostępności danych. Dane te znajdowały się na serwerach podmiotu oferującego usługi udostępniania oprogramowania służącego do prowadzenia sklepów internetowych pod nazwą handlową „R.”. Były to dane następujących kategorii: imiona, nazwiska, adresy poczty elektronicznej, numery telefonów, wysyłkowe adresy pocztowe, na które wysyłane są paczki z towarem oferowanym przez sklep internetowy, NIP przedsiębiorców, informacja o specyfikacji zamówień. Przedsiębiorca, co do zasady, przetwarzał dane osobowe klientów sklepu internetowego w zakresie tożsamym z danymi wymienionymi powyżej. Sporadycznie zdarzało się, że Przedsiębiorca przetwarzał także numery PESEL klientów, celem wystawienia faktur VAT osobom fizycznym nieprowadzącym działalności gospodarczej, jednak działo się tak w marginalnej liczbie przypadków. Przetwarzanie numerów PESEL odbywało się poza systemem informatycznym obsługującym sklep internetowy. Naruszenie poufności dotyczyło danych ponad 6 000 klientów.

7)

do dnia wystąpienia naruszenia ochrony danych osobowych Przedsiębiorca nie sporządził analizy ryzyka dla operacji przetwarzania danych osobowych, w formie pisemnej lub elektronicznej. Przedsiębiorca, po wystąpieniu ww. incydentu, przeprowadził analizę ryzyka związanego z przetwarzaniem, w tym ze względu na możliwość naruszenia praw lub wolności osób, których dane dotyczą. Ww. analiza została sporządzona w formie elektronicznej w dokumencie pod nazwą „Raport (…) wykonany przez administratora – D. C., w związku z naruszeniem nr (…), jakie miało miejsce w dniu (…).2021”.

8)

Przedsiębiorca, przed wystąpieniem naruszenia ochrony danych osobowych nie przeprowadzał szkoleń z zakresu ochrony informacji, w tym bezpieczeństwa danych osobowych przez wyspecjalizowane podmioty, np. podmioty gospodarcze świadczące doradztwo w ww. dziedzinie, kancelarie prawnicze itp. Prowadzone były jedynie wewnętrzne spotkania z pracownikami Przedsiębiorcy, podczas których przez D. C. lub przez W. A., zatrudnionego na stanowisku kierownika Przedsiębiorstwa, przekazywane były im między innymi informacje dotyczące ochrony danych. Udokumentowane szkolenie zostało natomiast przeprowadzone (…) 2022 r., wydruk prezentacji którego Przedsiębiorca przesłał Prezesowi UODO wraz z protokołem kontroli w załączeniu do pisma z 26 sierpnia 2022 r. W ww. piśmie Administrator zobowiązał się do opracowania planu szkoleń oraz do podjęcia działań zwiększających świadomość pracowników oraz do wdrożenia szkolenia personelu uczestniczącego w operacjach przetwarzania. Ponadto, Przedsiębiorca oświadczył, że stosowne szkolenia będą dodatkowo przeprowadzane dla każdego nowego pracownika Przedsiębiorcy.

9)

każdemu pracownikowi przetwarzającemu dane osobowe, w związku z zatrudnieniem go przez Przedsiębiorcę, udzielane jest stosowne upoważnienie. Udzielanie upoważnień było realizowane przed wystąpieniem naruszenia ochrony danych osobowych jedynie w formie ustnej. Administrator, jak wynika z ustaleń kontroli, nie dysponuje dokumentami potwierdzającymi udzielenie upoważnień w tamtym czasie. Po wystąpieniu naruszenia ochrony danych osobowych, tj. od dnia (…) 2022 r., Przedsiębiorca udziela pracownikom upoważnienia do przetwarzania danych osobowych na piśmie.

10)

Przedsiębiorca prowadzi rejestr czynności przetwarzania danych. Ww. rejestr nie był prowadzony w dniu wystąpienia naruszenia ochrony danych osobowych. W Przedsiębiorstwie nie sporządzono dokumentu (np. zarządzenia) potwierdzającego fakt i datę wprowadzenia ww. rejestru w życie. Przedsiębiorca nie pamięta dokładnej daty, od której rejestr czynności przetwarzania danych osobowych jest prowadzony.

7.

Przedsiębiorca złożył na piśmie z 26 sierpnia 2022 r. wyjaśnienia po kontroli Prezesa UODO, w których wskazał, między innymi, że:

1)

stara się samodzielnie uświadamiać i szkolić swoich pracowników w zakresie ochrony danych osobowych, mimo że do czasu wystąpienia incydentu w 2021 r. nie organizował dla nich szkoleń prowadzonych przez zewnętrzny podmiot;

2)

(…) 2022 r. zostało przeprowadzone godzinne szkolenie dla pracowników Przedsiębiorcy z zakresu ochrony danych (wydruk prezentacji szkolenia załączony do pisma);

3)

szkolenie, jak wymienione w pkt 2, będzie przeprowadzane dla każdego nowego członka personelu, a także regularnie w celu przypominania i uzupełniania wiedzy w obszarze bezpieczeństwa danych – zgodnie z planem szkoleń;

4)

wszystkie procesy przetwarzania danych osobowych „istniały jeszcze przed wejściem w życie RODO i już po tej dacie nie następowały istotne zmiany w sposobie realizacji tych procesów”;

5)

ocena skutków nie wymaga udokumentowania dla żadnego z procesów a charakter działalności Przedsiębiorcy „nie jest tego rodzaju, żeby z natury istniało wysokie ryzyko wystąpienia naruszeń praw i wolności osób, których dane dotyczą, a w przypadku już zmaterializowania się takiego ryzyka – żeby miało ono daleko idące konsekwencje dla praw i wolności tych osób”;

6)

działalność Przedsiębiorcy, biorąc pod uwagę jej skalę, zakres przetwarzanych danych oraz sposób ich przetwarzania, „nie wymagała również drobiazgowych analiz jeżeli chodzi o występujące ryzyka”.

8.

W związku z powyższymi ustaleniami, Prezes UODO, pismem z 13 marca 2024 r., wszczął z urzędu postępowanie administracyjne w sprawie naruszenia przez D. C., prowadzącego działalność gospodarczą pod firmą W. (…) z miejscem wykonywania działalności w U. przy ul. (…), przepisów art. 5 ust. 1 lit. f) i ust. 2, art. 24 ust. 1, art. 29, art. 30 ust. 1 i ust. 3 oraz art. 32 ust. 1, ust. 2 i ust. 4 rozporządzenia 2016/679. Przedsiębiorca nie ustosunkował się do pisma zawiadamiającego o wszczęciu postępowania administracyjnego.

9.

Następnie, po dokonaniu dalszej analizy stanu faktycznego sprawy, pismem z 20 sierpnia 2025 r. (znak: DKN.5112.27.2022.(…)), Prezes UODO rozszerzył postępowanie o możliwość naruszenia przez Przedsiębiorcę przepisu art. 5 ust. 1 lit. f) rozporządzenia 2016/679 oraz uregulowanej nim zasady poufności, w związku z niewdrożeniem przez niego środka zapewniającego przetwarzanie danych wyłącznie na jego polecenie jako administratora.

W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

I. Naruszenie przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679.

10.

Art. 5 rozporządzenia 2016/679 formułuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 lit. f) ww. rozporządzenia, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie ich bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („poufność i integralność”). Stosownie zaś do art. 5 ust. 2 rozporządzenia 2016/679, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

11.

Zgodnie z art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie ze wskazanym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

12.

Z treści art. 32 ust. 1 rozporządzenia 2016/679 wynika zaś, że administrator jest zobowiązany do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. W powyższym przepisie stanowi się, że decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych, uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 ww. rozporządzenia, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, powinny obejmować środki takie, jak pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

13.

Jak wskazano w motywie 76 preambuły do rozporządzenia 2016/679, prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określić poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko. Motyw 83 preambuły do rozporządzenia 2016/679 wskazuje zaś, iż w celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z rozporządzeniem 2016/679, administrator powinien oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki – takie jak szyfrowanie – minimalizujące to ryzyko. Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.

14.

Jak wynika z materiału dowodowego zgormadzonego w toku kontroli, Administrator przed wystąpieniem naruszenia ochrony danych osobowych, zgłoszonego Prezesowi UODO i zarejestrowanego pod sygn. DKN.5130.8687.2021, nie dokonał stosownej analizy ryzyka w ramach procesu przetwarzania danych objętego tym naruszeniem. Tymczasem, w celu prawidłowego wywiązania się z obowiązków nałożonych ww. przepisami rozporządzenia 2016/679, Administrator był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych, a także działań zmierzających do zapewnienia wymaganego zabezpieczenia wykorzystywanych systemów informatycznych. Charakter i rodzaj tych działań powinien wynikać z przeprowadzonej analizy ryzyka, w której należało zidentyfikować podatności odnoszące się do wykorzystywanych zasobów oraz wynikające z nich zagrożenia, a następnie określić adekwatne środki bezpieczeństwa. Błędne oszacowanie poziomu ryzyka, a przede wszystkim zaniechanie takiego działania, uniemożliwia zastosowanie odpowiednich środków bezpieczeństwa dla danego zasobu oraz zwiększa prawdopodobieństwo materializacji ryzyk dla przetwarzanych danych osobowych.

15.

Przedmiotem ww. analizy powinny być także zagrożenia związane z korzystaniem w procesie przetwarzania danych osobowych z usług innych podmiotów, gdyż zagrożenia dla danych osobowych mogą się także zmaterializować np. w wyniku przełamania zabezpieczeń systemów informatycznych, z których korzysta podmiot przetwarzający zaangażowany przez Administratora. W konsekwencji, w przypadku gdy administrator korzysta z usług podmiotu przetwarzającego, okoliczność ta powinna mieć swoje odzwierciedlenie w zakresie przeprowadzonej przez administratora analizie ryzyka dla określonego procesu przetwarzania.

16.

Specyfika relacji zachodzącej pomiędzy administratorem a podmiotem przetwarzającym i biorące się z niej zagrożenia dla przetwarzania danych wymaga szczególnego potraktowania i ujęcia w treści analizy ryzyka. Specyfika ta wynika przede wszystkim z faktu, że przy powierzeniu danych do przetwarzania administrator faktycznie udostępnia podmiotowi przetwarzającemu określone dane osobowe i przenosi na niego np. ciężar przetwarzania związany z technicznymi jego aspektami. Powyżej wskazana sytuacja wymaga zatem analizy wszystkich możliwych do przewidzenia ryzyk z nią związanych tak, ażeby administrator mógł następnie w związku z nią wdrożyć adekwatne środki techniczne lub organizacyjne służące bezpieczeństwu przetwarzania z uwzględnieniem jego specyfiki, czyli w warunkach jego powierzenia podmiotowi przetwarzającemu.

17.

Należy przy tym pamiętać, że do zakresu analizy ryzyka w przedmiotowym przypadku należy także kwestia samego doboru podmiotu przetwarzającego przez administratora tak, ażeby podmiot ten zapewniał wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych w zakresie bezpieczeństwa przetwarzania.

18.

Potwierdzenie powyższego stanowiska Prezesa UODO w ww. kwestii zawarte jest w treści Wytycznych 07/2020 dotyczących pojęć administratora i podmiotu przetwarzającego zawartych w RODO (wersja 2.0), przyjętych 7 lipca 2021 r. Europejskiej Rady Ochrony Danych (dalej: EROD), która w pkt 96 wskazała, że „Ocena administratora, czy gwarancje są wystarczające, jest formą oceny ryzyka, która w znacznym stopniu zależy od rodzaju przetwarzania powierzonego podmiotowi przetwarzającemu i musi być dokonywana indywidualnie dla każdego przypadku, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania, a także zagrożeń dla praw i wolności osób fizycznych.” Ponadto EROD wskazała w pkt. 127 ww. Wytycznych, że „Poziom instrukcji przekazywanych podmiotowi przetwarzającemu przez administratora dotyczących środków, które należy wdrożyć, będzie zależał od konkretnych okoliczności. W niektórych przypadkach administrator może przedstawić jasny i szczegółowy opis środków bezpieczeństwa, które mają zostać wdrożone. W innych przypadkach administrator może opisać minimalne cele w zakresie bezpieczeństwa, które należy osiągnąć, zwracając się do podmiotu przetwarzającego o zaproponowanie wdrożenia konkretnych środków bezpieczeństwa. W każdym przypadku administrator musi dostarczyć podmiotowi przetwarzającemu opis czynności przetwarzania i celów bezpieczeństwa (w oparciu o ocenę ryzyka dokonaną przez administratora), a także zatwierdzić środki zaproponowane przez podmiot przetwarzający. Opis można zawrzeć w załączniku do umowy. Administrator wykonuje swoje uprawnienia decyzyjne w odniesieniu do głównych cech środków bezpieczeństwa, czy to przez wyraźne wymienienie środków, czy też przez zatwierdzenie tych zaproponowanych przez podmiot przetwarzający.”

19.

Tymczasem, jak wynika ze zgromadzonego w sprawie materiału dowodowego, Administrator nie był w ogóle w stanie wykazać ani potwierdzić przeprowadzenia analizy ryzyka dla czynności przetwarzania danych osobowych przed wystąpieniem naruszenia ochrony danych osobowych, nie wspominając o analizie w zakresie samego stosunku powierzenia przetwarzania danych. W ramach wyjaśnień Administrator wskazał, że taka analiza została sporządzona w formie elektronicznej dopiero po dniu wystąpienia naruszenia ochrony danych osobowych w dokumencie pod nazwą „Raport (…) wykonany przez administratora – D. C., w związku z naruszeniem nr (…), jakie miało miejsce w dniu (…).2021”. W konsekwencji należy przyjąć, że do dnia wystąpienia ww. naruszenia Przedsiębiorca nie sporządził – w formie pisemnej lub elektronicznej – analizy ryzyka wystąpienia zagrożeń naruszających bezpieczeństwo przetwarzania (utrata poufności, integralności lub dostępności danych), a także możliwości naruszenia przez to praw lub wolności osób, których dane dotyczą.

20.

W ocenie organu nadzorczego, taki sposób działania Administratora nie zapewniał należytej kontroli nad procesem przetwarzania danych osobowych w kontekście zagwarantowania jego bezpieczeństwa, jak również możliwości wykazania jego zgodności z przepisami rozporządzenia 2016/679, stosownie do zasady rozliczalności wynikającej z art. 5 ust. 2 ww. rozporządzenia. Jak podniesiono w literaturze przedmiotu^[1],

„

rozliczalność, czyli w szczególności obowiązek wykazania zgodności z przepisami prawa, składa się w opinii Grupy Roboczej Art. 29 [Opinia z 13.7.2010 r. 3/2010 w sprawie zasady rozliczalności (WP 173), (…)] z następujących obowiązków cząstkowych:

1)

obowiązek wdrożenia środków (w tym wewnętrznych procedur) gwarantujących przestrzeganie przepisów o ochronie danych w związku z operacjami ich przetwarzania;

2)

obowiązek sporządzenia dokumentacji, która wskazuje osobom, których dane dotyczą, oraz organom nadzorczym, jakie środki podjęto, aby zapewnić przestrzeganie przepisów o ochronie danych osobowych. (…) W tym sensie rozliczalność powinna być więc rozumiana jako pewna właściwość czynności przetwarzania, pozwalająca na dowodzenie zgodności z przepisami prawa operacji na danych osobowych, w szczególności za pomocą dokumentacji ochrony danych osobowych. Konsekwencją zasady rozliczalności jest to, że w razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym administrator powinien być w stanie przedstawić dowody na to, że przestrzega przepisów o ochronie danych osobowych. Dowodami takimi mogą być przede wszystkim dokumenty opisujące zasady przetwarzania i ochrony danych osobowych”.

21.

Wobec nieprzeprowadzenia analizy ryzyka wiążącego się z przetwarzaniem danych osobowych przed wystąpieniem naruszenia ochrony danych osobowych, Przedsiębiorca uniemożliwił sobie identyfikację ryzyk związanych z procesem przetwarzania danych, jakim jest „prowadzenie sklepu internetowego”. Tym samym nie miał możliwości wykazania, że wdrożył adekwatne środki techniczne i organizacyjne zapobiegające zagrożeniom dla przetwarzania, w celu ich eliminacji lub znacznego ograniczenia ich wystąpienia. Przeprowadzenie stosownej analizy ryzyka, w szczególności dla tak istotnego, w zasadzie przewodniego procesu przetwarzania danych, jakim dla prowadzenia tej konkretnej działalności przez Przedsiębiorcę jest „prowadzenie sklepu internetowego”, było obowiązkiem Administratora, który powinien być spełniony przed rozpoczęciem przetwarzania danych, a nie dopiero na skutek wystąpienia naruszenia ochrony danych osobowych. Jak podkreślił Wojewódzki Sąd Administracyjny w Warszawie w wyrokach z 13 maja 2021 r. (sygn. akt II SA/Wa 2129/20) oraz z 5 października 2023 r. (sygn. akt II SA/Wa 502/23), „administrator danych powinien zatem przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia”. Podobnie Sąd ten orzekł w wyroku z 10 kwietnia 2025 r., sygn. II SA/Wa 1266/24, wskazując, że „(…) administrator danych osobowych jest zobowiązany wdrożyć środki techniczne i organizacyjne, które odpowiadają ustalonemu stopniowi ryzyka naruszenia praw i wolności osób fizycznych. Aby zatem przyjęte środki techniczne i organizacyjne były adekwatne, konieczne jest w pierwszej kolejności prawidłowe ustalenie przez administratora stopnia ryzyka”.

22.

Wobec powyżej przedstawionego wywodu, przywołanej literatury przedmiotu, wytycznych Grupy Roboczej Art. 29 oraz orzecznictwa, bezprzedmiotowe jest tłumaczenie Przedsiębiorcy zawarte w jego piśmie z 26 sierpnia 2022 r., w którym wskazuje on, że wszystkie procesy przetwarzania danych osobowych „istniały jeszcze przed wejściem w życie RODO i już po tej dacie nie następowały istotne zmiany w sposobie realizacji tych procesów”. W ww. piśmie, Przedsiębiorca argumentuje również, że ocena skutków nie wymaga udokumentowania dla żadnego z procesów a charakter działalności Przedsiębiorcy „nie jest tego rodzaju, żeby z natury istniało wysokie ryzyko wystąpienia naruszeń praw i wolności osób, których dane dotyczą, a w przypadku już zmaterializowania się takiego ryzyka – żeby miało ono daleko idące konsekwencje dla praw i wolności tych osób”. Przedsiębiorca wskazał też, że jego działalność, biorąc pod uwagę jej skalę, zakres przetwarzanych danych oraz sposób ich przetwarzania, „nie wymagała również drobiazgowych analiz jeżeli chodzi o występujące ryzyka”.

23.

Z powyższymi twierdzeniami Przedsiębiorcy nie sposób się zgodzić. Przede wszystkim nie stanowi argumentu w niniejszej sprawie powoływanie się przez Przedsiębiorcę na okoliczność, że warunki, w których przetwarzał on dane przed rozpoczęciem stosowania przepisów rozporządzenia 2016/679 (25 maja 2018 r.), nie uległy zmianie. Okoliczność ta nie ma znaczenia dla oceny naruszenia ww. przepisów, bowiem zgodnie z nimi każdy administrator danych powinien był dostosować się do ich wymogów od 25 maja 2018 r. Równie chybiony jest argument Przedsiębiorcy, zgodnie z którym ocena skutków i analiza ryzyka nie muszą być „dokumentowane”. Należy w tym miejscu raz jeszcze stanowczo podkreślić, że zgodnie z zasadą rozliczalności uregulowaną w art. 5 ust. 2 rozporządzenia 2016/679, administrator danych osobowych jest obowiązany wykazać, że przestrzega zasady wskazane w art. 5 ust. 1 rozporządzenia 2016/679, a tym samym i przepisy, które z tymi zasadami są immanentnie powiązane.

24.

Zatem twierdzenie Administratora o braku obowiązku, jak to określa Przedsiębiorca, „dokumentowania” sporządzenia analizy ryzyka, którą też najwyraźniej wydaje się on mylić z oceną skutków, jest z gruntu błędne. Przy czym należy podkreślić, że obowiązek wykazania przez administratora danych przestrzegania przepisów rozporządzenia 2016/679 nie musi polegać na przedstawieniu dokumentu na piśmie sensu stricto. Administrator danych osobowych może wykazać przestrzeganie przepisów rozporządzenia 2016/679 także w każdy inny, rozliczalny sposób, a więc taki, który pozwala Prezesowi UODO na miarodajne, rzeczowe potwierdzenie oświadczeń administratora. Tak więc, sposób ten musi się opierać o jakąkolwiek realnie istniejącą i możliwą do zweryfikowania formę utrwalenia działań administratora na piśmie, w dokumencie elektronicznym lub poprzez inny materialny dowód, wskazujący i potwierdzający bez żadnych wątpliwości konkretne działania administratora.

25.

Nie do przyjęcia jest twierdzenie Przedsiębiorcy, iż skala, zakres i sposób przetwarzania przez niego danych osobowych nie wymagały przeprowadzenia, jak to ujął Przedsiębiorca, „drobiazgowej” analizy ryzyka. Pomijając nieostrość ww. terminu, wskazać należy, że zgodnie z brzmieniem art. 32 ust. 1 rozporządzenia 2016/679, bezwzględnie każdy administrator danych ma obowiązek uwzględnienia przy przetwarzaniu ryzyka z nim związanego, przy zastosowaniu takich kryteriów jak między innymi stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania. W związku z powyższym, sugestia Przedsiębiorcy, jakoby z uwagi na stosunkowo niewielką skalę prowadzonej przez niego działalności nie miał obowiązku przeprowadzenia rzetelnej („drobiazgowej”) analizy ryzyka przetwarzania, jest sprzeczna z wyżej powołanymi przepisami rozporządzenia 2016/679 i nie może być potraktowana jako argument w sprawie.

26.

W tym miejscu należy podkreślić, że obowiązek zapewnienia bezpieczeństwa przetwarzanych danych, określony między innymi w art. 32 ust. 1 rozporządzenia 2016/679, jest jedną z podstaw prawnej ochrony danych osobowych wprowadzonej rozporządzeniem 2016/679. Obowiązujące przepisy prawa nie określają katalogu odpowiednich środków bezpieczeństwa, to na administratorze spoczywa obowiązek dokonania oceny w tym zakresie. Przepis ten wprowadza podejście oparte na ryzyku, wskazując jednocześnie kryteria, w oparciu o które administrator powinien dokonać wyboru odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Obok ryzyka naruszenia praw lub wolności osób fizycznych należy zatem uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw lub wolności osób fizycznych. Jak wskazał Wojewódzki Sąd Administracyjny w Warszawie w przywołanym wyżej wyroku z dnia 5 października 2023 r. (sygn. akt II SA/Wa 502/23), „organ nadzorczy nie jest zobowiązany do wskazywania Administratorowi rozwiązań technicznych i organizacyjnych, które powinien on wdrożyć, aby przetwarzanie danych osobowych odbywało się zgodnie z prawem. To zadaniem Administratora jest wprowadzenie tych środków, a następnie – jeżeli pojawi się taka konieczność – wykazanie, że przestrzega on zasad przetwarzania danych osobowych określonych w rozporządzeniu 2016/679, zgodnie z zasadą rozliczalności (art. 5 ust. 2 ww. rozporządzenia)”. Podobnie ww. Sąd wskazał w wyroku z 27 listopada 2024 r., sygn. II SA/Wa 251/24.

27.

W ślad za wypowiedzią Wojewódzkiego Sądu Administracyjnego w Warszawie zawartą w wyroku z 19 stycznia 2021 r. (sygn. akt II SA/Wa 702/20, Legalis nr 2821108) należy podkreślić, że „administrator danych powinien odpowiednio zabezpieczyć dane osobowe przed ich przypadkową utratą za pomocą odpowiednich środków technicznych i organizacyjnych. Dane osobowe powinny być bowiem przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu (motyw 39 rozporządzenia 2016/679) (…) administrator danych jest odpowiedzialny nie tylko za działania swoich pracowników, ale także za przetwarzanie danych w systemie informatycznym, z którego korzysta”.

28.

Z kolei jak wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 10 lutego 2021 r. (sygn. akt II SA/Wa 2378/20, Legalis nr 2579568), „(…) administrator danych jest odpowiedzialny za przestrzeganie wszystkich zasad przy przetwarzaniu danych osobowych (wymienionych w art. 5 ust. 1) i musi być w stanie wykazać ich przestrzeganie. Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych”. Podobnie kwestię tę zinterpretował Wojewódzki Sądu Administracyjny w Warszawie w wyroku z 26 sierpnia 2020 r. (sygn. akt II SA/Wa 2826/19, Legalis nr 2480051, utrzymanym przez NSA wyrokiem z 28 lutego 2024 r., sygn. akt III OSK 3839/21), stwierdzając, iż „biorąc pod uwagę całość norm rozporządzenia 2016/679, podkreślić należy, że administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 rozporządzenia 2016/679”.

29.

Administrator podjął czynności zmierzające do zapewnienia bezpieczeństwa przetwarzania danych, m.in.: opracował i wdrożył dokument o nazwie „Polityka (…)”, a także przeprowadził analizę ryzyka, jednak uczynił to dopiero po wystąpieniu naruszenia ochrony danych osobowych w dniach (…) 2021 r. Prezes UODO wziął pod uwagę podjęcie przez Administratora przywołanych powyżej oraz innych działań naprawczych oraz zapobiegawczych, jednakże podkreślenia wymaga, iż przyjęcie tych rozwiązań powinno nastąpić znacznie wcześniej, tj. od dnia rozpoczęcia stosowania przepisów rozporządzenia 2016/679 (tj. od 25 maja 2018 r.), a więc znacznie przed wystąpieniem naruszenia ochrony danych osobowych.

30.

Należy zauważyć, że jednym z najistotniejszych środków organizacyjnych służących zapewnieniu bezpieczeństwa przetwarzania danych jest należyte przeszkolenie pracowników administratora z zakresu ochrony danych osobowych. Co do zasady, każdy administrator, przed upoważnieniem i dopuszczeniem pracownika do przetwarzania danych, powinien go stosownie przeszkolić. Ww. szkolenia powinny być dostosowane do specyfiki działalności administratora i procesów przetwarzania oraz do charakteru wykonywanych obowiązków przez określonego pracownika administratora. Takie szkolenia z jednej strony mają zapewnić uświadomienie pracownika co do obowiązywania regulacji dotyczących ochrony danych osobowych i jego obowiązków z tym związanych, a z drugiej strony przekazać mu informację o wdrożonych w organizacji administratora rozwiązaniach zapewniających zgodność przetwarzania danych osobowych z przepisami o ochronie danych osobowych, w tym z zakresu bezpieczeństwa danych. Oczywiście, administrator ten cel może osiągnąć za pomocą innych środków o charakterze organizacyjnym, tym niemniej wydaje się, że właściwie przeprowadzane i cyklicznie powtarzane szkolenia pracowników są jednym z najskuteczniejszych narzędzi pozwalających to zrealizować. Należy przyjąć, że na rozwiązanie ze szkoleniami zdecydował się Administrator, skoro prowadził wewnętrzne spotkania z pracownikami, podczas których przez D. C. lub przez W. A., zatrudnionego na stanowisku kierownika Przedsiębiorstwa, przekazywane były im między innymi informacje dotyczące ochrony danych, jednak działania te należy ocenić jako niewystarczające, o czym jeszcze poniżej.

31.

Dopuszczenie do przetwarzania danych nieprzeszkolonego pracownika wiąże się ze znaczącym ryzykiem naruszenia bezpieczeństwa przetwarzania, w tym ryzykiem naruszenia praw lub wolności osób, których dane dotyczą. Działania nieprzeszkolonego lub nienależycie przeszkolonego pracownika administratora, mogą doprowadzić do utraty poufności, integralności lub dostępności danych osobowych, co stanowi istotne zagrożenie bezpieczeństwa przetwarzania i naruszenie zasady poufności i integralności, o której mowa w art. 5 ust. 1 lit. f) rozporządzenia 2016/679. Tak więc, brak szkolenia pracowników administratora, biorących udział w przetwarzaniu danych, lub brak wdrożenia innego porównywalnego rozwiązania w tym zakresie, należy zawsze uznać za naruszenie art. 24 ust. 1 i art. 32 ust. 1 rozporządzenia 2016/679.

32.

Należy przy tym nadmienić, że analiza ryzyka, której Przedsiębiorca w ogóle nie sporządził do dnia kontroli Prezesa UODO, powinna obejmować także ryzyka związane z brakiem odpowiedniego przeszkolenia (wiedzy, kompetencji) dopuszczonego do przetwarzania pracownika. Uwzględnienie ww. ryzyka w analizie i oszacowanie jego poziomu powinno być z kolei powodem do wdrożenia przez Administratora stosownych działań naprawczych, np. szkoleniowych.

33.

Jak wynika z materiału dowodowego, Przedsiębiorca przed wystąpieniem naruszenia ochrony danych osobowych nie przeprowadzał szkoleń z zakresu ochrony informacji, w tym danych osobowych, które byłyby prowadzone przez osoby posiadające kompetencje i wiedzę w zakresie ochrony danych osobowych. Pierwsze szkolenie w ww. zakresie przeprowadzone przez osobę mającą odpowiednie kwalifikacje, zostało przeprowadzone dopiero po przeprowadzeniu kontroli przez Prezesa UODO u Przedsiębiorcy. Należy przy tym zaznaczyć, że Przedsiębiorca mógł przeprowadzić szkolenie pracowników również w innej formie, bez angażowania osoby prowadzącej szkolenie osobiście, tj. za pomocą łączy telekomunikacyjnych. Szkolenie takie mógł przeprowadzić również np. z pomocą przewodnika (kursu) internetowego (online) w trybie samouczenia lub w innej formie wskazującej na to, że szkolenie takie zostało przygotowane wcześniej przez osoby posiadające kwalifikacje i wiedzę w zakresie ochrony danych osobowych. Przedsiębiorca nie wykazał jednak przed Prezesem UODO, że podjął którekolwiek z ww. działań, wskazując jedynie na swoje osobiste działania oraz jego pracownika Pana W. A., a więc osób, które nie posiadają ww. kwalifikacji.

34.

Należy jednak zauważyć, iż ww. działania Przedsiębiorca powinien był podjąć zdecydowanie wcześniej, tj. przed rozpoczęciem przetwarzania. Szkolenia prowadzone przez administratora na rzecz pracowników są rodzajem środka organizacyjnego, o którym mowa w art. 32 ust. 1 w związku z art. 24 ust. 1 rozporządzenia 2016/679, które administrator powinien przedsięwziąć celem zapewnienia przetwarzania danych zgodnie z przepisami rozporządzenia 2016/679. Zaniechanie w ww. względzie, z uwagi na brak przeprowadzenia analizy ryzyka oraz brak wdrożenia innego adekwatnego środka bezpieczeństwa, należy potraktować zatem również jako uchybienie art. 24 ust. 1 i art. 32 ust. 1 rozporządzenia 2016/679 przez Przedsiębiorcę.

35.

Należy również wskazać, że art. 24 ust. 1 rozporządzenia 2016/679 zawiera wymóg wprowadzenia przez administratora m.in. środków organizacyjnych, aby przetwarzanie odbywało się zgodnie z ww. rozporządzeniem w taki sposób, żeby można było to wykazać. Z kolei z treści art. 5 ust. 2 rozporządzenia 2016/679 wynika obowiązek wykazania przez administratora przestrzegania zasad uregulowanych w art. 5 ust. 1 rozporządzenia 2016/679. W opisanej sytuacji Przedsiębiorca nie wykazał, np. poprzez utrwalony w formie elektronicznej albo papierowej dokument, że przeprowadził wśród swoich pracowników – przed ich upoważnieniem i dopuszczeniem do przetwarzania danych – stosowne szkolenie w przedmiocie zasad ochrony danych osobowych i że pracownicy rzeczywiście w ww. szkoleniach wzięli udział (np. składając podpisy na właściwym dokumencie). Tym samym nie można mówić o wykazaniu przez Administratora wprowadzenia środków organizacyjnych w postaci szkoleń dla pracowników Przedsiębiorcy, zaangażowanych w przetwarzanie danych osobowych, przed dniem wystąpienia naruszenia ochrony danych osobowych. Administrator wdrożył szkolenia pracowników dopiero po wystąpieniu naruszenia ochrony danych i po przeprowadzeniu kontroli, tj. dopiero z dniem (…) 2022 r.

36.

Mając na uwadze powyższe należy wskazać, iż przeprowadzona u Przedsiębiorcy kontrola zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz postępowanie administracyjne wykazały naruszenie przez niego przepisów art. 24 ust. 1 oraz art. 32 ust. 1 i ust. 2 rozporządzenia 2016/679 z uwagi na niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych w systemach informatycznych oraz ochronę praw osób, których dane dotyczą, na podstawie przeprowadzonej analizy ryzyka uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych.

37.

Administrator, zgodnie z jego oświadczeniem złożonym do protokołu kontroli, nie przeprowadził analizy ryzyka do dnia wystąpienia naruszenia ochrony danych osobowych, tj. do (…) 2021 r. Prezes UODO przyjął zatem możliwie najbardziej korzystne dla Administratora założenie (domniemanie), że przeprowadził on ww. analizę z dniem następującym bezpośrednio po dniu wystąpienia naruszenia ochrony danych osobowych, tj. z dniem (…) 2021 r. Z kolei szkoleń pracowników Administrator nie przeprowadzał w okresie od dnia rozpoczęcia stosowania przepisów rozporządzenia 2016/679 aż do dnia (…) 2022 r., co wynika z jego wyjaśnień złożonych po kontroli w piśmie skierowanym do Prezesa UODO. Wyżej wymienione naruszenia przepisów art. 24 ust. 1 i art. 32 ust. 1 i ust. 2 rozporządzenia 2016/679 stanowiły w konsekwencji również naruszenie zasady poufności oraz rozliczalności, a tym samym naruszenie odpowiednio art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 ww. rozporządzenia. Administrator wskazał bowiem, co prawda, w protokole kontroli, że przeprowadzał spotkania z pracownikami, podczas których przekazywał im informacje dotyczące sfery ochrony danych osobowych, jednak, pomijając nikłą wartość ww. działań, o czym wyżej, Administrator nie wykazał przed Prezesem UODO, tj. nie przedstawił miarodajnego dowodu na to, że wyżej wymienione działania rzeczywiście były realizowane.

38.

Z uwagi na okoliczność, że na dzień wydania decyzji Przedsiębiorca przeprowadził analizę ryzyka, na podstawie której wdrożył odpowiednie środki zapewniające bezpieczeństwo przetwarzania danych osobowych, w tym szkolenia pracowników, przez co stan naruszenia ww. przepisów ustał, Prezes UODO nie wydał wobec Przedsiębiorcy nakazu dostosowania operacji przetwarzania do przepisów rozporządzenia 2016/679.

II. Naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 29 i art. 32 ust. 4 rozporządzenia 2016/679

39.

Na podstawie art. 29 rozporządzenia 2016/679, podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.

40.

Jak wynika zaś z art. 32 ust. 4 rozporządzenia 2016/679, administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego. Powyższy przepis w sposób bezpośredni wskazuje zatem na jeden z kluczowych elementów stosowanych środków organizacyjnych, jakim jest upoważnienie konkretnej osoby do przetwarzania danych osobowych w imieniu administratora lub podmiotu przetwarzającego.

41.

Według doktryny prawniczej powyższy „artykuł dotyczy przetwarzania danych osobowych zgodnie z instrukcjami (na polecenie) administratora, przy czym wymóg ten adresowany jest zarówno do podmiotu przetwarzającego dane na zlecenie administratora, jak również do osób działających z upoważnienia administratora oraz z upoważnienia podmiotu przetwarzającego dane na zlecenie administratora”^[2].

42.

Ponadto, jak wskazuje się w komentarzu do rozporządzenia 2016/679 pod redakcją naukową Edyty Bielak-Jomaa oraz Dominika Lubasza („RODO Ogólne rozporządzenie o ochronie danych”, wyd. Wolters Kluwer Polska S.A., 2018, s. 658), „Wobec braku wskazania przez prawodawcę wymogów formalnych w zakresie udzielania polecenia osobie upoważnionej, teoretycznie możliwe jest zastosowanie każdej formy. Przy uwzględnieniu jednak ogólnego podejścia prawodawcy europejskiego do kwestii dokumentowania oświadczeń lub czynności sugerowaną formą dokumentowania poleceń powinna być forma pisemna, w tym elektroniczna. (…)”

43.

Jednym ze sposobów spełnienia wymogu art. 32 ust. 4 oraz art. 29 rozporządzenia 2016/679 dotyczącego zapewnienia, by przetwarzanie danych przez pracowników (współpracowników) Przedsiębiorcy odbywało się z jego upoważnienia i wyłącznie na jego polecenie, może być udzielenie pracownikom (współpracownikom) stosownych upoważnień. Zapewnienie przetwarzania danych osobowych wyłącznie na polecenie administratora, może polegać także na innych działaniach, niż udzielenie upoważnienia, np. poprzez skierowanie do pracownika określonego komunikatu w drodze korespondencji elektronicznej itp. Niemniej jednak ww. działania nie mogą budzić wątpliwości co do zakresu polecenia administratora i powinny być rozliczalne. Tak więc, każdy administrator musi wykazać, np. przedstawić stosowne dowody, że podjął ww. działania i że były one adekwatne do potrzeb i warunków przetwarzania. Innymi słowy, z przedstawionych przez Przedsiębiorcę dowodów powinno przede wszystkim jasno wynikać, kto przetwarza dane na polecenie administratora, w jakim zakresie, w jakim celu oraz w jakim czasie jest upoważniony to czynić.

44.

Przedsiębiorca w przedmiotowej sprawie naruszył art. 29 oraz art. 32 ust. 4 rozporządzenia 2016/679 z uwagi na okoliczność, że jako administrator przetwarzał dane osobowe klientów, co najmniej do dnia (…) 2022 r. bez wdrożenia środków zapewniających, by przetwarzanie to odbywało się wyłącznie na polecenie Przedsiębiorcy jako administratora. Na dzień wystąpienia naruszenia ochrony danych Administrator nie podjął rozliczalnych działań, z których wynikałoby, iż pracownicy Przedsiębiorstwa zostali przed przystąpieniem do przetwarzania danych upoważnieni do takich czynności, tj. że wykonują ww. czynności wyłącznie na polecenie Przedsiębiorcy.

45.

Z materiału dowodowego zgromadzonego w toku kontroli wynika, iż każdemu pracownikowi przetwarzającemu dane osobowe, w związku z zatrudnieniem go przez Przedsiębiorcę, udzielane jest stosowne upoważnienie. Administrator wskazał, iż udzielanie upoważnień było realizowane przed wystąpieniem naruszenia jedynie w formie ustnej. Jednocześnie Przedsiębiorca oświadczył, iż nie dysponuje dokumentami, które mogłyby to potwierdzić. Dopiero po wystąpieniu naruszenia ochrony danych osobowych i przeprowadzeniu kontroli Prezesa UODO, tj. od dnia (…) 2022 r., Przedsiębiorca udziela pracownikom upoważnień do przetwarzania danych osobowych na piśmie oraz prowadzi także rejestr upoważnień w formie elektronicznej. Na dzień wydania niniejszej decyzji pracownicy Przedsiębiorstwa potwierdzają na piśmie zapoznanie się z treścią oceny ryzyka zawodowego, w tym zakresem obowiązków na stanowiskach, na których są zatrudnieni, zaś stosowne upoważnienia są sporządzane i przechowywane w formie papierowej.

46.

Biorąc pod uwagę treść przepisów art. 29 oraz art. 32 ust. 4 rozporządzenia 2016/679, a także art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679, należy uznać, że prawodawca z jednej strony wymaga zastosowania możliwych do wykazania środków zapewniających przetwarzanie danych przez osoby działające w imieniu administratora wyłącznie na jego polecenie, np. udzielenia upoważnień osobom przetwarzającym dane na polecenie administratora, z drugiej zaś zastosowanie tych środków, w tym np. udzielenie rzeczonych upoważnień powinno być dokonane w formie umożliwiającej wykazanie tej czynności przed organem nadzorczym (np. pisemnego lub elektronicznego dokumentu).

47.

Ze złożonych w toku kontroli wyjaśnień wynika, że nie tylko do dnia wystąpienia naruszenia ochrony danych osobowych, ale aż do dnia (…) 2022 r. upoważnienia do przetwarzania danych osobowych, jako forma zapewnienia, by przetwarzanie to odbywało się wyłącznie na polecenie Przedsiębiorcy jako administratora, nie zostały przez Przedsiębiorcę udzielone w rozliczalny sposób, zatem naruszenie powołanych wyżej przepisów rozporządzenia 2016/679 nie budzi wątpliwości.

48.

Na dzień wydania niniejszej decyzji Przedsiębiorca wykazał jedynie, iż każdy pracownik Przedsiębiorstwa przetwarza dane osobowe na podstawie wydanego mu upoważnienia, ale dopiero od dnia (…) 2022 r. Mając jednak na uwadze stan naruszenia przepisów mający miejsce u Administratora przed ww. datą, należy wskazać, iż przeprowadzona u niego kontrola zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz wszczęte postępowanie administracyjne wykazały naruszenie przez niego przepisów art. 29 i art. 32 ust. 4 rozporządzenia 2016/679.

49.

Należy również wskazać, że w konsekwencji powyższego Przedsiębiorca naruszył nie tylko zasadę rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679, ale także zasadę poufności uregulowaną w art. 5 ust. 1 lit. f) ww. rozporządzenia. Nieudzielenie przez Przedsiębiorcę swoim pracownikom i współpracownikom upoważnień do przetwarzania danych oraz niezastosowanie innego środka zapewniającego, aby przetwarzanie danych przez te osoby odbywało się wyłącznie na jego polecenie jako administratora, stanowiło naruszenie zasady poufności z tego względu, że wdrożenie środka zapewniającego przetwarzanie danych wyłącznie na polecenie administratora stanowi istotny element zapewnienia przez niego bezpieczeństwa przetwarzania z uwagi na poufność danych. W ten sposób, administrator zapewnia sobie należytą kontrolę nad wewnętrznymi regułami przetwarzania danych osobowych przez jego pracowników, tj. nad tym, kto, w jakim czasie i w jakim zakresie może przetwarzać dane w związku z jego poleceniem. Administrator zapewniając sobie kontrolę nad procesami przetwarzania danych realizowanymi przez pracowników, może zawczasu reagować na wszelkiego rodzaju potencjalne nieprawidłowości w tym zakresie, w tym także w przypadku przetwarzania wykraczającego poza zakres jego polecenia, tj. np. gdy pracownik zacząłby w nieautoryzowany i niekontrolowany sposób wykorzystywać dane w innych celach, niż objęte poleceniem administratora, ujawniać dane innym podmiotom itd. (utrata poufności).

50.

Zaniechanie Przedsiębiorcy w zakresie wdrożenia środka zapewniającego przetwarzanie danych wyłącznie na jego polecenie jako administratora naruszyło zatem zasadę poufności w ten sposób, że przetwarzane przez Przedsiębiorcę dane były z tego powodu narażone na niedozwolone lub niezgodne z prawem przetwarzanie oraz przypadkową utratę, zniszczenie lub uszkodzenie, bowiem Przedsiębiorca nie wdrożył żadnego środka pozwalającego mu właściwie kontrolować przebieg operacji przetwarzania danych przez jego pracowników i współpracowników. Brak tych środków powodował niejasność co do zakresu i sposobu przetwarzania danych przez ww. osoby, przez co dane te potencjalnie mogły być przetwarzane niezgodnie z poleceniem Przedsiębiorcy jako administratora, a przez to mogło dojść także do potencjalnego naruszenia ich poufności (poprzez niekontrolowane udostępnienie).

III. Naruszenie przepisów art. 30 ust. 1 i 3 rozporządzenia 2016/679.

51.

Art. 30 ust. 1 rozporządzenia 2016/679 wskazuje na obowiązek prowadzenia przez administratora oraz – gdy ma to zastosowanie – przedstawiciela administratora rejestru czynności przetwarzania danych osobowych. W rejestrze tym zamieszcza się wszystkie następujące informacje:

a)

imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie - przedstawiciela administratora oraz inspektora ochrony danych;

b)

cele przetwarzania;

c)

opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

d)

kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;

e)

gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;

f)

jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;

g)

jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

Powyższy rejestr ma formę pisemną, w tym formę elektroniczną, o czym mowa w art. 30 ust. 3 rozporządzenia 2016/679.

52.

Jak wskazano w motywie 82 preambuły do rozporządzenia 2016/679, dla zachowania zgodności z niniejszym rozporządzeniem, administrator lub podmiot przetwarzający powinni prowadzić rejestry czynności przetwarzania, za które są odpowiedzialni. „Oznacza to, że prowadzenie rejestru operacji przetwarzania jest jednym z wymogów służących zapewnieniu przestrzegania przepisów komentowanego rozporządzenia i umożliwiających organowi sprawowanie czynności nadzorczych”^[3]. Rejestr czynności przetwarzania jest dokumentem, którego treść powinna być kompletna i przejrzysta i która stanowi „punkt wyjściowy” do przeprowadzenia rzetelnej analizy ryzyka przetwarzania z uwagi na zagrożenia bezpieczeństwa przetwarzania, w tym na potencjalną możliwość naruszenia praw lub wolności osób, których dane dotyczą. Aby przeprowadzić rzetelną analizę ryzyka przetwarzania administrator danych musi mieć najpierw rzetelną wiedzę w przedmiocie procesów przetwarzania zachodzących w jego organizacji i ich specyfiki. Aby taką wiedzę posiąść, każdy administrator powinien najpierw skatalogować procesy przetwarzania w swojej organizacji oraz opisać je zgodnie z ich rzeczywistym przebiegiem.

53.

Rejestr czynności przetwarzania w zamyśle europejskiego prawodawcy jest środkiem służącym do ww. skatalogowania i powinien zawierać opis procesów przetwarzania z uwzględnieniem elementów wskazanych w art. 30 ust. 1 rozporządzenia 2016/679. Z powyższego wynika zatem, że rejestr czynności przetwarzania zawiera informacje stanowiące podstawę do podjęcia przez administratora danych osobowych wszystkich niezbędnych czynności pozwalających mu na ocenę ryzyka przetwarzania, jego skutków, a w rezultacie do wdrożenia adekwatnych środków służących bezpieczeństwu przetwarzania. Brak rejestru uniemożliwia podjęcie ww. działań, co wpływa bezpośrednio na stan bezpieczeństwa przetwarzania u danego administratora danych.

54.

Należy przy tym zauważyć, że w przypadku Przedsiębiorcy nie zachodzą przesłanki uzasadniające zwolnienie go z obowiązku prowadzenia rejestru czynności przetwarzania, o których mowa w art. 30 ust. 5 rozporządzenia 2016/679. Zgodnie z treścią ww. przepisu, obowiązki, o których mowa w art. 30 ust. 1 i 2 rozporządzenia 2016/679, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

55.

W przedmiotowej sprawie nie można uznać, że przetwarzanie danych realizowane przez Przedsiębiorcę ma charakter sporadyczny lub że nie może powodować ryzyka naruszenia praw lub wolności osób, których dane dotyczą. Przetwarzanie danych przez Przedsiębiorcę w warunkach prowadzenia stałej działalności handlowej ma charakter zdecydowanie ciągły i regularny, a jego skalę co do zasady należy uznać za znaczącą. Przedsiębiorca stale zbiera zamówienia dla prowadzonego przez niego sklepu internetowego, wystawia faktury, a w związku z tym gromadzi i przechowuje dane osobowe w sposób ciągły. Nie ma również wątpliwości co do tego, że przetwarzanie przez Przedsiębiorcę danych swoich klientów powoduje ryzyko naruszenia ich praw lub wolności, czego dowodem jest chociażby zgłoszone Prezesowi UODO przez Przedsiębiorcę naruszenie ochrony danych osobowych (sygn. DKN.5130.8687.2021).

56.

Jak wynika z ustaleń poczynionych w toku kontroli, Przedsiębiorca do dnia wystąpienia naruszenia ochrony danych osobowych nie prowadził rejestru czynności przetwarzania, o którym mowa w art. 30 ust. 1 rozporządzenia 2016/679, w tym w formie pisemnej i elektronicznej, o czym mowa w art. 30 ust. 3 ww. rozporządzenia. Powyższy rejestr został wdrożony przez Przedsiębiorcę dopiero po dacie wystąpienia przedmiotowego naruszenia, jednakże Administrator nie wskazał dokładnie, od kiedy dokument ten został w Przedsiębiorstwie wprowadzony oraz oświadczył w toku kontroli, że nie pamięta dokładnie, od kiedy został on wdrożony. Treść ww. rejestru uwzględnia czynności, których dotyczyło ww. naruszenie, tj. opisanej w tym rejestrze pozycji pod nazwą „(…)”.

57.

Wobec powyższego, Prezes UODO przyjął najbardziej korzystne założenie (domniemanie), że Przedsiębiorca sporządził rejestr czynności przetwarzania w dniu następującym po dniu wystąpienia naruszenia ochrony danych osobowych, tj. (…) 2021 r. Przedsiębiorca naruszył zatem art. 30 ust. 1 i 3 rozporządzenia 2016/679 w ten sposób, że do (…) 2021 r. nie prowadził ww. rejestru, w szczególności w formie pisemnej, w tym elektronicznej.

IV. Administracyjne kary pieniężne

58.

Biorąc pod uwagę powyższe ustalenia oraz stwierdzone naruszenia przepisów rozporządzenia 2016/679, Prezes UODO, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. i) rozporządzenia 2016/679, zgodnie, z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a)-h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 ust. 4 lit. a) i ust. 5 lit. a) i b) rozporządzenia 2016/679, stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Administratora administracyjnej kary pieniężnej.

59.

Zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 - 39 oraz 42 i 43, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

60.

Zgodnie z art. 83 ust. 5 lit. a) i b) rozporządzenia 2016/679, naruszenia przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, i praw osób, których dane dotyczą, o których mowa w art. 12-22, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Zachowania Administratora podlegające administracyjnym karom pieniężnym – ocena zastosowania art. 83 ust. 3 rozporządzenia 2016/679

61.

Art. 83 ust. 3 rozporządzenia 2016/679 stanowi, że jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.

62.

W związku ze stwierdzeniem w niniejszej sprawie wielu naruszeń przepisów rozporządzenia 2016/679 (art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 29, art. 30 ust. 1 i 3, art. 32 ust. 1, 2 i 4) Prezes UODO uprawniony jest do zastosowania jednego lub kilku środków naprawczych określonych w art. 58 ust. 2 rozporządzenia 2016/679. Wśród tych uprawnień organu nadzorczego znajduje się uprawnienie do zastosowania, oprócz lub zamiast innych środków, o których mowa w tym przepisie, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy. Okoliczności niniejszej sprawy, w szczególności powaga stwierdzonych naruszeń, o czym będzie mowa w dalszych częściach uzasadnienia, wskazują, że stosownym i koniecznym będzie skorzystanie z tego uprawnienia.

63.

Ustalając konkretne sankcje za stwierdzone w niniejszej sprawie naruszenia Prezes UODO skorzystał ze wskazówek zawartych w Wytycznych Europejskiej Rady Ochrony Danych Osobowych 04/2022 w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO (wersja 2.1), przyjętych 24 maja 2023 r., zwanych dalej „Wytycznymi 04/2022”. Pierwszym krokiem przyjętej tam metodyki obliczania administracyjnych kar pieniężnych jest „określenie operacji przetwarzania w danej sprawie i ocena zastosowania art. 83 ust. 3 RODO” (zob. pkt 17 Wytycznych 04/2022). Rozwijając tę wskazówkę w pkt 24 Wytycznych 4/2022 EROD zaleca w pierwszej kolejności ustalić:

a)

czy okoliczności wskazują na jedno zachowanie, czy też na wiele zachowań podlegających karze;

b)

w przypadku jednego zachowania, czy zachowanie to stanowi jedno naruszenie czy większą liczbę naruszeń;

c)

w przypadku jednego zachowania, które stanowi wiele naruszeń, czy przypisanie jednego naruszenia wyklucza przypisanie innego naruszenia, czy też należy je przypisać równolegle.

64.

Wykładnię pojęcia „jedno zachowanie” zawiera – w nawiązaniu do art. 83 ust. 3 rozporządzenia 2016/679, w którym mowa jest o „tych samych lub powiązanych operacjach przetwarzania” – pkt 28 Wytycznych 04/2022. Zgodnie z nim „[t]ermin «powiązane» odnosi się do zasady, zgodnie z którą jedno zachowanie może składać się z kilku części, które są realizowane na skutek jednego aktu woli i są kontekstowo (w szczególności jeśli chodzi o tożsamość osoby, której dane dotyczą, cel i charakter przetwarzania), przestrzennie i czasowo tak blisko powiązane, że z obiektywnego punktu widzenia można uznać je za jedno spójne zachowanie”.

65.

Stosując wyżej przedstawione wskazówki zawarte w Wytycznych 04/2022 do okoliczności niniejszej sprawy Prezes UODO dokonał analizy zachowań Administratora (zaniechań) prowadzących do przedstawionych powyżej (zob. pkt 10-55 uzasadnienia Decyzji) naruszeń przepisów rozporządzenia 2016/679. Analiza ta pozwoliła zidentyfikować dwa stanowiące odrębne zachowania Administratora naruszające różne przepisy tego aktu prawnego.

66.

Jednym zachowaniem Administratora naruszającym art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24, art. 29 oraz art. 32 ust. 1, 2 i 4 rozporządzenia 2016/679 są jego zaniechania związane z wdrożeniem i stosowaniem środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa przetwarzania danych osobowych klientów dokonujących zakupów w sklepie internetowym powierzonych do przetwarzania B. (…) jako podmiotowi przetwarzającemu. Fundamentem tego zachowania i źródłem omawianego naruszenia był jeden akt woli – decyzja Administratora o zaniechaniu przeprowadzenia analizy ryzyka związanego z przetwarzaniem tych danych osobowych. Decyzja Administratora była świadoma i motywowana oceną, że skala, zakres i sposób przetwarzania przez niego danych osobowych nie wymagały przeprowadzenia i udokumentowania analizy ryzyka. Konsekwencją i kontynuacją tego zaniechania było niewdrożenie odpowiednich – adekwatnych do ryzyk (które w ogóle nie zostały zidentyfikowane) – środków technicznych i organizacyjnych mających zapewnić maksymalny poziom bezpieczeństwa przetwarzania danych osobowych, takich jak szkolenie pracowników oraz nadanie upoważnień. Przyjęcie takich środków, przy prawidłowo przeprowadzonej analizie identyfikującej zagrożenia oraz podatności jego zasobów, pozwoliłoby w ocenie Prezesa UODO zminimalizować ryzyko wystąpienia incydentów takich jak inicjujący niniejsze postępowanie. Na to, że operacje przetwarzania stanowiące przedmiot rozpatrywanego naruszenia przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24, art. 29 oraz art. 32 ust. 1, 2 i 4 rozporządzenia 2016/679 są tymi samymi operacjami przetwarzania w rozumieniu art. 83 ust. 3 rozporządzenia 2016/679 (i stanowią w konsekwencji „jedno zachowanie”), wskazuje – poza objęciem ich jednym aktem woli Administratora – również wspólny kontekst tego przetwarzania. Łączy te operacje przetwarzania w ocenie Prezesa UODO:

a)

cel, charakter i sposób przetwarzania – naruszenie bezpośrednio dotyczy przetwarzania danych osobowych klientów dokonujących zakupów w sklepie internetowym powierzonych do przetwarzania podmiotowi przetwarzającemu. Naruszenie we wszystkich swoich aspektach (brak analizy ryzyka, brak odpowiednich środków technicznych i organizacyjnych) dotyczy bezpośrednio tych konkretnych procesów przetwarzania;

b)

tożsamość osób, których dane dotyczą – procesy przetwarzania objęte omawianym naruszeniem dotyczą bezpośrednio danych osobowych tej samej, ściśle określonej grupy osób – klientów dokonujących zakupów w sklepie internetowym;

c)

kontekst czasowy przetwarzania – czas trwania niezgodnego z art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24, art. 29 oraz art. 32 ust. 1, 2 i 4 rozporządzenia 2016/679 przetwarzania danych osobowych osób, których dane dotyczą (zob. lit. b powyżej), w celu i w sposób określony pod lit. a) powyżej, jest ściśle określony – obejmuje on okres od dnia rozpoczęcia stosowania przepisów rozporządzenia 2016/679 (tj. od 25 maja 2018 r.) do czasu gdy Administrator podjął czynności zmierzające do zapewnienia bezpieczeństwa przetwarzania danych, tj. przeprowadził analizę ryzyka (w dniu (…) 2021 r.), wdrożył szkolenia pracowników i rozpoczął udzielanie pracownikom upoważnień do przetwarzania danych osobowych na piśmie oraz prowadzi także rejestr upoważnień (z dniem (…) 2022 r.).

67.

Drugim zachowaniem Administratora podlegającym ocenie i ukaraniu, jest zaniechanie obowiązku prowadzenia rejestru czynności przetwarzania. Prowadzenie rejestru czynności przetwarzania stanowi formę dokumentowania wszystkich procesów przetwarzania danych przez podmiot, który realizuje czynności przetwarzania i ponosi za nie odpowiedzialność. Rejestracja czynności przetwarzania i jej materialny rezultat w postaci rejestru ma umożliwić organowi nadzorczemu monitorowanie podmiotu i sprawowanie nadzoru na zgodnością przetwarzania danych z przepisami rozporządzenia 2016/679. Należy wskazać, że akt woli Administratora dotyczący rezygnacji z prowadzenia rejestru odróżnia go od poprzednio opisanych (i skutkujących innymi naruszeniami rozporządzenia 2016/679) tym, że dotyczy innego aspektu przetwarzania danych. Nie dotyczy mianowicie samego w sobie procesu przetwarzania danych, lecz dokumentowania przez Administratora, ale również monitorowania i kontrolowania tego procesu przez organ nadzorczy. Wprawdzie może ono pośrednio wpływać negatywnie na właściwe bezpieczeństwo przetwarzania danych oraz na właściwą ochronę praw, wolności i interesów osób, których dane są przetwarzane, lecz nie jest to wpływ bezpośredni i automatyczny. Okoliczność ta odróżnia to zachowanie Administratora od poprzednio omawianych i uzasadnia postawienie mu odrębnego zarzutu.

Administracyjna kara pieniężna nałożona na Administratora za naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 29 oraz art. 32 ust. 1, 2 i 4 rozporządzenia 2016/679

Przesłanki wymiaru kary – zastosowanie art. 83 ust. 2 rozporządzenia 2016/679

68.

Decydując o nałożeniu na Administratora za naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 29 oraz art. 32 ust. 1, 2 i 4 rozporządzenia 2016/679, administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.

69.

Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiar poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).

Naruszenie przez Administratora obowiązków zastosowania odpowiednich środków technicznych i organizacyjnych, poprzedzonych przeprowadzeniem stosownej analizy ryzyka naruszenia praw i wolności osób, których dane są przetwarzane, jak również brak przeprowadzenia stosownych szkoleń pracowników oraz upoważnienia ich do przetwarzania danych osobowych, pociąga za sobą nie tylko potencjalną, ale również realną możliwość wykorzystania tych danych przez osoby trzecie bez wiedzy i wbrew woli osób, których dane dotyczą, niezgodnie z przepisami rozporządzenia 2016/679.

W niniejszej sprawie brak jest dowodów, aby osoby, których dotyczyło naruszenie, doznały szkody majątkowej. Niemniej jednak już samo ryzyko naruszenia poufności ich danych stanowić może szkodę niemajątkową (krzywdę). Osoby fizyczne, których dotyczyło zaistniałe naruszenie, mogą bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, dyskryminacją, czy wreszcie przed stratą finansową. Jak wskazał Sąd Okręgowy w Warszawie w wyroku z dnia 6 sierpnia 2020 r. sygn. akt XXV C 2596/19, obawa, a więc utrata bezpieczeństwa stanowi realną szkodę niemajątkową wiążącą się z obowiązkiem jej naprawienia. Z kolei Trybunał Sprawiedliwości UE w orzeczeniu z dnia 14 grudnia 2023 r. w/s Natsionalna agentsia za prihodite (C-340/21) podkreślił, że „[a]rt. 82 ust. 1 RODO należy interpretować w ten sposób, że obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić »szkodę niemajątkową« w rozumieniu tego przepisu”.

Za okoliczność obciążającą Prezes UODO uznaje długi czas trwania naruszenia przez Administratora przepisów o ochronie danych osobowych. Mając na uwadze, że stosowanie przepisów rozporządzenia 2016/679 rozpoczęło się w dniu 25 maja 2018 r., należy uznać, że to od tego czasu trwał stan naruszenia w powyższym zakresie, przynajmniej do dnia wystąpienia naruszenia/incydentu. Administrator nie przeprowadził analizy ryzyka wiążącego się z przetwarzaniem danych osobowych, zatem nie wykonał nałożonego na niego obowiązku, który został uregulowany w powyższym rozporządzeniu. Wobec brak wskazania konkretnej daty sporządzenia analizy ryzyka, Prezes UODO przyjął, że Administrator przeprowadził ww. analizę z dniem następującym bezpośrednio po dniu wystąpienia naruszenia ochrony danych osobowych, tj. z dniem (…) 2021 r. Do dnia przeprowadzenia kontroli Administrator nie przeprowadzał oraz nie zapewniał szkoleń pracowników z zakresu ochrony danych osobowych, zatem stan naruszenia trwał od dnia wejścia w życie rozporządzenia 2016/679 do dnia (…) 2022 r. czyli pierwszego udokumentowanego szkolenia. Przedsiębiorca nie był w stanie wykazać również, czy upoważnił swoich pracowników do przetwarzania danych osobowych, należy stwierdzić, iż stan naruszenia przepisów trwał zatem od 25 maja 2018 r. do (…) 2022 r., kiedy to Przedsiębiorca rozpoczął proces udzielania upoważnień w formie umożliwiającej wykazanie tej czynności.

70.

Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).

Zgodnie z Wytycznymi Grupy Roboczej Art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 WP253 (przyjętymi w dniu 3 października 2017 r., zatwierdzonymi przez EROD w dniu 25 maja 2018 r.), umyślność „obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego”. Nie ulega wątpliwości, że Administrator, przetwarzając dane osobowe w związku z prowadzoną działalnością, powinien posiadać wiedzę w zakresie ochrony danych osobowych, obejmującą konsekwencje braku identyfikacji ryzyk związanych z konkretnym procesem przetwarzania danych. Administrator mając świadomość przetwarzania danych, ich powierzania konkretnemu podmiotowi, zaniechał przeprowadzenia stosownej analizy ryzyka, pozwalającej mu wdrożyć odpowiednie środki techniczne i organizacyjne, w tym dotyczące szkoleń pracowników, odpowiadające ryzyku naruszenia praw lub wolności osób, których dane są przetwarzane w ramach procesu „prowadzenie sklepu internetowego”. Mając świadomość obowiązków wynikających z treści art. 29, art. 32 ust. 4 rozporządzenia 2016/679, jak również konieczności wykazania ich spełnienia przed organem nadzoru (art. 5 ust. 2 rozporządzenia 2016/679), Administrator zaniechał powyższego, czym dopuścił się w powyższym zakresie naruszenia wymienionych powyżej przepisów prawa.

71.

Ustalając wysokość administracyjnej kary pieniężnej Prezes UODO uwzględnił na korzyść Administratora, w ramach przesłanki „innych łagodzących czynników, mających zastosowanie do okoliczności sprawy” (art. 83 ust. 2 lit. k rozporządzenia 216/679), jego działania podjęte w celu usunięcia naruszenia i ostatecznie usuwające stan tego naruszenia. Po wystąpieniu naruszenia ochrony danych osobowych Administrator podjął określone działania w celu przywrócenia stanu zgodnego z prawem, w tym przeprowadził szkolenie dla pracowników, wdrożył „Politykę (…)” oraz wdrożył środki w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia, w tym przeprowadził stosowną analizę ryzyka oraz upoważnił pracowników do przetwarzania danych osobowych, co jest w stanie wykazać. Zatem nie ulega wątpliwości, że Administrator po stwierdzeniu naruszenia ochrony danych osobowych podjął szereg działań w celu poprawy bezpieczeństwa przetwarzania danych osobowych, a w ostateczności usunął stan naruszenia związany z przetwarzaniem danych. Wdrożone przez Administratora działania, podjęte z własnej inicjatywy, zasługują zatem na dostrzeżenie i akceptację w ramach rozpatrywanej przesłanki

72.

Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679 (zob. pkt 73-81 uzasadnienia Decyzji), po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie przepisów rozporządzenia 2016/679, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.

73.

Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).

Jak wskazano powyżej, w niniejszej sprawie brak jest dowodów, aby osoby, których dane dotyczą, doznały szkody majątkowej. Jednakże już samo ryzyko naruszenia poufności ich danych stanowi dla nich szkodę niemajątkową (krzywdę).

Jak wskazał Administrator w piśmie z 26 sierpnia 2022 r., zawiadomił on osoby, których dane dotyczą o powyższym naruszeniu. Takie działanie należy ocenić jako prawidłowe, jednakże stanowi ono obowiązek Administratora w przypadku spełnienia konkretnych, opisanych w art. 34 ust. 1 rozporządzenia 2016/679 przesłanek. Zatem działania Przedsiębiorcy w tym zakresie nie można ocenić jako okoliczności łagodzącej przy wymierzaniu administracyjnej kary pieniężnej.

74.

Stopień odpowiedzialności Administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).

Wytyczne 04/2022 wskazują (w pkt 77), że rozpatrując tę przesłankę „organ nadzorczy musi odpowiedzieć na pytanie, w jakim stopniu administrator zrobił wszystko, czego można by było oczekiwać, zważywszy na charakter, cele lub zakres przetwarzania oraz w świetle obowiązków nałożonych na niego przez rozporządzenie”. Prezes UODO stwierdził w niniejszej sprawie naruszenie przez Administratora przepisów art. 32 ust. 1, 2 i 4 rozporządzenia 2016/679. W jego ocenie na Administratorze ciąży w wysokim stopniu odpowiedzialność za niewdrożenie odpowiednich środków technicznych i organizacyjnych, które zapobiegłyby naruszeniu ochrony danych osobowych. Oczywistym jest, że w rozważanym kontekście charakteru, celu i zakresu przetwarzania danych osobowych Administrator nie zrobił wszystkiego, czego można by było od niego oczekiwać, tym samym nie wywiązał się z nałożonych na niego przepisami art. 32 ust. 1, 2 i 4 rozporządzenia 2016/679 obowiązków. W niniejszej sprawie okoliczność ta stanowi jednak o istocie samego naruszenia, nie jest jedynie czynnikiem wpływającym – łagodząco lub obciążająco – na jego ocenę. Z tego też względu brak odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 32 rozporządzenia 2016/679, nie może zostać przez Prezesa UODO uznany w niniejszej sprawie za okoliczność mogącą dodatkowo wpłynąć na surowszą ocenę naruszenia i wymiar nałożonej na Administratora administracyjnej kary pieniężnej.

75.

Wszelkie stosowne wcześniejsze naruszenia ze strony Administratora (art. 83 ust. 2 lit. e rozporządzenia 2016/679).

Prezes UODO nie stwierdził wcześniejszych naruszeń rozporządzenia 2016/679 dokonanych przez D. C., prowadzącego działalność gospodarczą pod firmą W. (…). Do obowiązków każdego administratora należy przestrzeganie przepisów prawa (w tym przepisów dotyczących ochrony danych osobowych), w związku z czym brak wcześniejszych naruszeń ochrony danych osobowych nie może zostać uznany za okoliczność łagodzącą przy wymierzaniu sankcji.

76.

Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679).

Po stwierdzeniu naruszenia ochrony danych osobowych Administrator podjął szereg działań mających na celu doprowadzenie procesów przetwarzania danych osobowych do stanu zgodnego z przepisami rozporządzenia 2016/679. Działania te Administrator podjął z własnej inicjatywy, samodzielnie i bez jakiejkolwiek interwencji ze strony organu nadzorczego. Nie można więc tutaj mówić o „współpracy z organem”, która to współpraca mogłaby być traktowana jako okoliczność łagodząca w ramach przesłanki sformułowanej w art. 83 ust. 2 lit. f) rozporządzenia 2016/679. Natomiast działanie Administratora, o którym mowa powyżej, potraktowane zostało przez Prezesa UODO jako „inny łagodzący czynnik”, o którym mowa w art. 83 ust. 2 lit. k) rozporządzenia 2016/679 – zob. pkt 71 uzasadnienia Decyzji.

77.

Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).

Dane osobowe, których dotyczy naruszenie przepisów rozporządzenia 2016/679, obejmowały swoim zakresem: imiona, nazwiska, adresy poczty elektronicznej, numery telefonów, wysyłkowe adresy pocztowe, na które wysyłane są paczki z towarem oferowanym przez sklep internetowy, NIP przedsiębiorców, informacje o specyfikacji zamówień.

Powyższe dane nie wchodzą w zakres szczególnych kategorii danych osobowych, jednakże stanowią istotne informacje w celu bezpośredniej identyfikacji osoby fizycznej.

Mając na uwadze powyższe, ustalony zakres danych osobowych, których dotyczyło naruszenie, nie stanowi w tym przypadku okoliczności wpływającej łagodząco lub obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.

78.

Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).

Prezes UODO stwierdził naruszenie przez Administratora przepisów o ochronie danych osobowych w wyniku zgłoszenia naruszenia ochrony danych osobowych dokonanego przez Administratora. Administrator dokonując zgłoszenia realizował ciążący na nim obowiązek prawny, brak jest zatem podstaw do uznania, że fakt ten stanowi okoliczność łagodzącą. Jak wskazała EROD w Wytycznych 04/2022 (zob. pkt. 98), „[z]godnie z art. 83 ust. 2 lit. h) RODO sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, może stanowić istotną okoliczność obciążającą albo łagodzącą. Przy ocenie tego aspektu szczególną wagę można przypisać kwestii, czy administrator lub podmiot przetwarzający powiadomił o naruszeniu organ nadzorczy z własnej inicjatywy, a jeśli tak, to w jakim zakresie, zanim organ nadzorczy został poinformowany o naruszeniu w drodze – na przykład – skargi lub postępowania. Okoliczność ta nie ma znaczenia, gdy administrator podlega szczególnym obowiązkom w zakresie zgłaszania naruszeń (np. obowiązkowi zgłaszania naruszenia ochrony danych osobowych określonemu w art. 33 RODO). W takich przypadkach fakt dokonania zgłoszenia należy uznać za okoliczność neutralną”.

79.

Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).

Przed wydaniem niniejszej decyzji Prezes UODO nie stosował w wobec Administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.

80.

Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).

Przedsiębiorca nie poinformował, czy stosuje zatwierdzone kodeksy postępowania czy też zatwierdzone mechanizmy certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów i podmiotów przetwarzających w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na korzyść Administratora natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.

81.

Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679).

Prezes UODO nie stwierdził, żeby Administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Administratora. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez Administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla Administratora. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu zgłaszającego naruszenie.

Ustalenie wysokości kary z zastosowaniem Wytycznych 04/2022.

82.

Jako podstawę obliczenia administracyjnej kary pieniężnej wobec Administratora za naruszenie przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 29 oraz art. 32 ust. 1, 2 i 4 rozporządzenia 2016/679, Prezes UODO przyjął przedstawioną w oświadczeniu załączonym do pisma z 25 sierpnia 2025 r. Zgodnie z tym dokumentem przychód Przedsiębiorcy w roku 2024 wyniósł (…) zł, co – w przeliczeniu na euro (wg średniego kursu euro z 28 stycznia 2025 r. wynoszącego 1 EUR = 4,2092 PLN – przyjętego dla tego oraz dla wszelkich innych poniższych przeliczeń walutowych zgodnie z art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) – stanowi kwotę (…) euro.

83.

Prezes UODO dokonał kategoryzacji stwierdzonych naruszeń przepisów rozporządzenia 2016/679 (Rozdział 4.1 Wytycznych 04/2022). Wśród naruszonych przez Administratora przepisów rozporządzenia 2016/679 znajdują się przepisy art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679 określające podstawowe zasady przetwarzania. Naruszenia tych przepisów należą – zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą wyższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 20 000 000 euro lub do 4 % całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Są one więc in abstracto poważniejsze od drugiej grupy naruszeń (wskazanych w art. 83 ust. 4 rozporządzenia 2016/679) naruszeń.

84.

Prezes UODO ustalił prawnie określoną maksymalną wysokość kary możliwą do orzeczenia wobec Administratora w niniejszej sprawie (Rozdział 6.1 Wytycznych 04/2022). Przepis art. 83 ust. 5 lit. a) Rozporządzenia 2016/679 zobowiązuje Prezesa UODO do określenia czy w sprawie zastosowanie będzie miała tzw. „statyczna kwota maksymalna” (20 000 000 euro), czy „dynamiczna kwota maksymalna” (4 % obrotu z poprzedniego roku obrotowego), i do przyjęcia kwoty wyższej jako kwoty maksymalnej, której orzeczona w sprawie administracyjna kara pieniężna nie może przekroczyć. Wartość 4 % obrotu Administratora za poprzedni rok obrotowy to kwota (…) zł (równowartość (…) euro). W związku z tym, że jest to kwota niższa niż statyczna kwota maksymalna (20 000 000 euro), Prezes UODO zobligowany jest do przyjęcia jako maksimum kwoty wynoszącej 20 000 000 euro, którego nie może przekroczyć orzekając administracyjną karę pieniężną.

85.

Prezes UODO ocenił stwierdzone naruszenie jako naruszenie o średnim poziomie powagi (Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które dotyczą strony przedmiotowej naruszeń (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszeń (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny charakter naruszeń (art. 83 ust. 2 lit. b) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej. W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest średni. Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 10 % do 20 % maksymalnej wysokości kary możliwej do orzeczenia wobec Administratora (Podrozdział 4.2.4 Wytycznych 04/2022). Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę (…) euro (równowartość (…) zł).

86.

Prezes UODO dostosował kwotę wyjściową odpowiadającą powadze stwierdzonego naruszenia do obrotu Administratora jako miernika jego wielkości i siły gospodarczej (Rozdział 4.3 Wytycznych 04/2022). Zgodnie z Wytycznymi 04/2022, w przypadku przedsiębiorstw, których roczny obrót wynosi od 2 do 10 mln euro, organ nadzorczy może rozważyć dokonanie dalszych obliczeń wysokości kary na podstawie wartości mieszczącej się w przedziale od 0,3 % do 2,0 % kwoty wyjściowej. Zważywszy, że przychód Administratora w roku 2024 wyniósł (…) zł, to jest (…) euro (wg średniego kursu euro z dnia 28 stycznia 2025 r.), Prezes UODO za stosowne uznał skorygowanie podlegającej obliczeniom kwoty kary do wartości odpowiadającej (…) kwoty wyjściowej, to jest do kwoty (…) euro (równowartość (…) zł).

87.

Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się – jak zakładają Wytyczne 04/2022 – do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej. Prezes UODO uznał (co uzasadnione zostało w przedstawionej wyżej części uzasadnienia decyzji), że okolicznościami łagodzącymi w przedmiotowej sprawie, i w związku z tym zmniejszającymi wymiar orzeczonej kary, są działania podjęte przez Administratora prowadzące ostatecznie do usunięcia stanu naruszenia (art. 83 ust. 2 lit. k) rozporządzenia 2016/679) (zob. pkt 69 uzasadnienia Decyzji). Pozostałe przesłanki (z art. 83 ust. 2 lit. c), d), e), f), h), i), j) rozporządzenia 2016/679) – jak wskazano wyżej – nie miały wpływu, ani łagodzącego ani obciążającego, na ocenę naruszenia i w konsekwencji na wymiar kary. W ocenie Prezesa UODO działania Administratora (przeprowadzenie analizy ryzyka, zastosowanie stosownych środków organizacyjnych w postaci szkoleń pracowników i nadawanie upoważnień do przetwarzania danych osobowych) zrealizowały główny cel postępowania jakim jest usunięcie naruszenia i przywrócenie stanu zgodnego z prawem. Ze względu na zaistnienie okoliczności łagodzącej, za zasadne Prezes UODO uznał istotne, bo aż o 50%, zmniejszenie kwoty kary ustalonej na podstawie oceny powagi naruszeń. Adekwatnym do wpływu tych przesłanek na ocenę naruszeń jest zdaniem Prezesa UODO jej obniżenie do kwoty (…) zł, stanowiącej równowartość (…) euro.

88.

Prezes UODO uznał, że ustalona zgodnie z powyższymi zasadami kwota kary wymaga dodatkowej korekty ze względu na zasadę proporcjonalności wymienioną w art. 83 ust. 1 rozporządzenia 2016/679 jako jedną z trzech dyrektyw wymiaru kary (vide Rozdział 7 Wytycznych 04/2022). Niewątpliwie kara pieniężna w wysokości (…) zł byłaby karą skuteczną (przez swoją dolegliwość pozwoliłaby osiągnąć swój cel represyjny, jakim jest ukaranie za bezprawne zachowanie) i odstraszającą (pozwalającą skutecznie zniechęcić zarówno Przedsiębiorcę, jak i innych administratorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679). Kara taka byłaby jednak dla Przedsiębiorcy – w ocenie Prezesa UODO – karą nieproporcjonalną ze względu na swoją nadmierną dolegliwość w indywidualnych okolicznościach niniejszej sprawy (w szczególności wobec aktualnej sytuacji finansowej Przedsiębiorcy). Zasada proporcjonalności wymaga bowiem m.in., by przyjęte przez organ nadzorczy środki nie wykraczały poza to, co odpowiednie i konieczne do realizacji uzasadnionych celów (vide pkt 137 i pkt 139 Wytycznych 04/2022). Innymi słowy: „Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku” (P. Litwiński (red.), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. […]; Komentarz do art. 83 [w:] P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz). Ukaraną w niniejszej sprawie jest osoba fizyczna prowadząca działalność gospodarczą na niewielką skalę. Świadczy o tym osiągnięty przez Przedsiębiorcę w 2024 r. obrót (przychody) w wysokości (…) zł (zob. pkt 82 uzasadnienia Decyzji). Przy tej wysokości przychodów zysk netto z działalności Przedsiębiorcy wyniósł (…) zł. Należy przy tym jednak uwzględnić wykazane przez Przedsiębiorcę (w „Wyjaśnieniach do rachunku zysku i strat”) związane z działalnością przedsiębiorstwa dodatkowe – nie stanowiące kosztów uzyskania przychodów – koszty w wysokości (…) zł, które pomniejszyły jego rzeczywisty, rozporządzalny zysk z działalności. W pierwszym półroczu 2025 r. sytuacja finansowa Przedsiębiorcy uległa radykalnemu pogorszeniu, co wykazane zostało „Zestawieniem do zaliczki na rozliczenie roczne (PIT-36L)” za miesiąc czerwiec 2025 r. Z dokumentu tego wynika, że przychód Przedsiębiorcy z półrocznej działalności gospodarczej wyniósł (…) zł (proporcjonalnie mniej niż w analogicznym okresie poprzedniego roku), natomiast jego dochód (zysk z działalności gospodarczej) w całym tym okresie – jedynie (…) zł. Oznacza to, co Przedsiębiorca podniósł w swoim piśmie z 25 sierpnia 2025 r., że kwota, którą miesięcznie mógł przeznaczyć na utrzymanie swoje i swojej rodziny, wynosiła ok. (…) zł (w 2024 r. była to kwota ok. (…) zł). Stwierdzić należy, że obiektywnie jest to kwota sytuująca się na granicy możliwości zaspokojenia potrzeb życiowych Przedsiębiorcy (i jego rodziny) i na granicy jakiejkolwiek rentowności jego przedsiębiorstwa. Biorąc pod uwagę te wyjątkowe okoliczności, i mając na uwadze, by kara orzeczona za rozpatrywane tutaj naruszenie (łącznie z karą orzeczoną za naruszenie art. 30 ust. 1 i 3 rozporządzenia 2016/679) nie wykraczała stopniem swojej dolegliwości poza stopień wystarczający do osiągnięcia celów kary – represyjnego i prewencyjnego – Prezes UODO dokonał dalszego obniżenia jej wysokości – do 50% kwoty uzyskanej po uwzględnieniu powagi naruszenia, wielkości przedsiębiorstwa Przedsiębiorcy oraz wszelkich okoliczności obciążających i łagodzących (zob. pkt 85-87 powyżej), to jest do kwoty 7 577 zł (stanowiącej równowartość kwoty 1 800 euro). W jego ocenie takie określenie ostatecznej wysokości orzeczonej kary – proporcjonalnej w ocenie Prezesa UODO w określonych, indywidualnych okolicznościach tej sprawy – nie wpłynie na obniżenie jej skuteczności i odstraszającego charakteru. Jej wyraźna dolegliwość dla Przedsiębiorcy pozwoli na zrealizowanie zakładanych celów – ukaranie go za dopuszczenie się naruszenia o istotnej powadze oraz zapewnienie na przyszłość przestrzegania przepisów rozporządzenia 2016/679 zarówno przez niego samego, jak i przez innych administratorów.

Administracyjna kara pieniężna nałożona na Administratora za naruszenie art. 30 ust. 1 i 3 rozporządzenia 2016/679

Przesłanki wymiaru kary – zastosowanie art. 83 ust. 2 rozporządzenia 2016/679

89.

Decydując o nałożeniu administracyjnej kary pieniężnej na Administratora za naruszenie przepisu art. 30 ust. 1 i 3 rozporządzenia 2016/679, Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.

90.

Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).

Przy wymierzaniu kary znaczenie miała okoliczność, że Administrator naruszył te przepisy rozporządzenia 2016/679, które wprowadzają podstawowe obowiązki dokumentacyjne w zakresie wszelkich czynności przetwarzania danych osobowych zachodzących u danego Administratora. Jak to zostało już wskazane wcześniej (pkt. 51-57 uzasadnienia Decyzji), rejestr czynności przetwarzania jest kluczowym narzędziem, które pozwala usystematyzować wykonywane czynności oraz całościowo spojrzeć na wykonywane operacje przetwarzania danych pod względem zgodności z wymaganiami prawnymi. Rejestr pozwala zidentyfikować wszystkie procesy przetwarzania danych osobowych, monitorować ryzyka, podejmować odpowiednie środki zabezpieczające dane, szybko reagować na incydenty i lepiej przygotować się do realizacji praw osób, których dane są przetwarzane. Z drugiej strony rejestr ma stanowić wsparcie w razie kontroli organu nadzorczego, prawidłowe prowadzenie i aktualizowanie rejestru ułatwia organowi nadzorczemu kontrolę wszystkich procesów przetwarzania danych w organizacji.

Za okoliczność obciążającą Prezes UODO uznaje długi czas trwania naruszenia przez Administratora przepisów o ochronie danych osobowych. Mając na uwadze fakt, że stosowanie przepisów rozporządzenia 2016/679 rozpoczęło się 25 maja 2018 r., należy uznać, że to od tego czasu trwał stan naruszenia w powyższym zakresie. Przedsiębiorca do dnia wystąpienia naruszenia ochrony danych osobowych nie prowadził rejestru czynności przetwarzania, o którym mowa w art. 30 ust. 1 rozporządzenia 2016/679, w tym w formie pisemnej i elektronicznej, o czym mowa w art. 30 ust. 3 rozporządzenia 2016/679. Ponieważ Administrator nie był w stanie wskazać dokładnej daty sporządzenia rejestru, Prezes UODO przyjął, że Przedsiębiorca sporządził rejestr czynności przetwarzania w dniu następującym po dniu wystąpienia naruszenia ochrony danych osobowych, tj. (…) 2021 r.

91.

Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).

W okolicznościach przedmiotowej sprawy brak prowadzenia rejestru czynności przetwarzania należało uznać za działanie stanowiące o umyślnym naruszeniu art. 30 ust. 1 i 3 rozporządzenia 2016/679. Prowadzenie rejestru jest bowiem wymogiem formalnym wynikającym wprost z przepisów rozporządzenia 2016/679. Administrator, przetwarzając dane osobowe w związku z prowadzoną działalnością, powinien posiadać wiedzę w zakresie obowiązków dotyczących dokumentacji procesów przetwarzania danych osobowych, w tym również w zakresie konsekwencji braku ich wypełnienia.

92.

Ustalając wysokość administracyjnej kary pieniężnej Prezes UODO uwzględnił na korzyść Administratora, w ramach przesłanki „innych łagodzących czynników, mających zastosowanie do okoliczności sprawy” (art. 83 ust. 2 lit. k rozporządzenia 216/679), fakt, że po stwierdzeniu naruszenia ochrony danych osobowych Administrator ostatecznie sporządził rejestr czynności przetwarzania. Usunięcie przez Administratora stanu naruszenia miało wpływ dla określenia wymiaru kary i zostało ocenione jako istotna okoliczność łagodząca.

93.

Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679 (zob. pkt 94-101 uzasadnienia decyzji), po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie przepisów rozporządzenia 2016/679, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.

94.

Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).

Prezes UODO nie stwierdził, aby naruszenie przez Administratora przepisów rozporządzenia 2016/679, tj. brak sporządzenia rejestru czynności przetwarzania danych, przyczynił się bezpośrednio do wystąpienia naruszenia ochrony danych osobowych czy też poniesienia szkód przez osoby, których dane obejmował proces przetwarzania. Wobec tego żadne działania mające na celu zminimalizowanie szkody nie były wymagane. Zważywszy na charakter naruszenia przepisów rozporządzenia 2016/679, omawiana przesłanka nie miała wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.

95.

Stopień odpowiedzialności Administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).

Naruszenie przepisu art. 30 ust. 1 i 3 rozporządzenia 2016/679 nie ma związku ze stosowanymi przez Administratora środkami technicznymi i organizacyjnymi, o których mowa w art. 25 i 32 rozporządzenia 2016/679, zatem przesłanka wskazana w art. 83 ust. 2 lit. d) rozporządzenia 2016/679 nie ma w rozpatrywanym przypadku wpływu ani obciążającego, ani łagodzącego na wymiar orzeczonej administracyjnej kary pieniężnej.

96.

Wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e rozporządzenia 2016/679).

W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 75 uzasadnienia decyzji.

97.

Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679).

Prezes UODO w toku postępowania ustalił, że Administrator sporządził rejestr czynności przetwarzania, czym usunął stan naruszenia (zob. pkt 56-57 uzasadnienia decyzji). Było to jednak jego samodzielne, podjęte z własnej inicjatywy działanie. I chociaż miało ono miejsce już po wszczęciu niniejszego postępowania nie można uznać, że było ono efektem „współpracy z organem nadzorczym”. Prezes UODO nie kierował do Administratora zaleceń czy też sugestii w tym zakresie. W związku z powyższym okoliczność podjęcia przez Administratora działań skutkujących usunięciem naruszenia nie może być traktowana jako okoliczność łagodząca w ramach przesłanki sformułowanej w art. 83 ust. 2 lit. f) rozporządzenia 2016/679. Natomiast działania te, jako zasługujące na akceptację i pozytywną ocenę, potraktowane zostały przez Prezesa UODO jako „inny łagodzący czynnik”, o którym mowa w art. 83 ust. 2 lit. k) rozporządzenia 2016/679 – zob. pkt 92 uzasadnienia decyzji.

98.

Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).

Ze względu na okoliczność, że naruszenie polegające na braku prowadzenia rejestru czynności przetwarzania, nie wiąże się bezpośrednio z naruszeniem ochrony jakichkolwiek danych osobowych (i ich kategorii), przesłanka ta ze swej istoty nie może mieć zastosowania do oceny tego naruszenia.

99.

Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).

W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 78 uzasadnienia decyzji.

100.

Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).

W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 79 uzasadnienia decyzji.

101.

Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).

W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 80 uzasadnienia decyzji.

Ustalenie wysokości kary z zastosowaniem Wytycznych 04/2022.

102.

Jako podstawę obliczenia administracyjnej kary pieniężnej Prezes UODO przyjął wartość obrotu (przychodu) Administratora za rok 2024 – jak w pkt 82 uzasadnienia decyzji.

103.

Zgodnie z przedstawionymi w Wytycznych 04/2022 Prezes UODO dokonał kategoryzacji stwierdzonego w niniejszej sprawie naruszenia przepisów rozporządzenia 2016/679 (Rozdział 4.1 Wytycznych 04/2022). Naruszenie art. 30 ust. 1 i 3 rozporządzenia 2016/679 należy – zgodnie z art. 83 ust. 4 lit. a) tego aktu prawnego – do kategorii naruszeń zagrożonych karą niższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 10 000 000 euro lub do 2% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Jest ono więc in abstracto mniej poważne od drugiej grupy naruszeń podlegających administracyjnym karom pieniężnym (wskazanych w art. 83 ust. 5 i 6 rozporządzenia 2016/679).

104.

Prezes UODO ustalił prawnie określoną maksymalną wysokość kary możliwą do orzeczenia wobec Administratora za oceniane naruszenie art. 30 ust. 1 i 3 rozporządzenia 2016/679 (patrz Rozdział 6.1 Wytycznych 04/2022). Przepis art. 83 ust. 4 lit. a) Rozporządzenia 2016/679 zobowiązuje Prezesa UODO do określenia czy w sprawie zastosowanie będzie miała tzw. „statyczna kwota maksymalna” (10 000 000 euro), czy „dynamiczna kwota maksymalna” (2 % obrotu z poprzedniego roku obrotowego), i do przyjęcia kwoty wyższej jako kwoty maksymalnej, której orzeczona w sprawie administracyjna kara pieniężna nie może przekroczyć. Wartość 2 % obrotu Przedsiębiorcy za poprzedni rok obrotowy to kwota (…) zł (równowartość (…) euro). W związku z tym, że jest to kwota niższa niż statyczna kwota maksymalna (10 000 000 euro), Prezes UODO zobligowany jest do przyjęcia jako maksimum kwoty wynoszącej 10 000 000 euro, którego nie może przekroczyć orzekając administracyjną karę pieniężną.

105.

Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o średnim poziomie powagi (Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które dotyczą strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679) oraz umyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej. W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest średni. Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 10 % do 20 % maksymalnej wysokości kary możliwej do orzeczenia wobec Administratora (Podrozdział 4.2.4 Wytycznych 04/2022). Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę 1 000 000 euro (równowartość 4 209 200 zł).

106.

Prezes UODO dostosował kwotę wyjściową odpowiadającą powadze stwierdzonego naruszenia do obrotu Administratora jako miernika jego wielkości i siły gospodarczej (Rozdział 4.3 Wytycznych 04/2022). Zgodnie z Wytycznymi 04/2022, w przypadku przedsiębiorstw, których roczny obrót wynosi do od 2 do 10 mln euro, organ nadzorczy może rozważyć dokonanie dalszych obliczeń wysokości kary na podstawie wartości mieszczącej się w przedziale od 0,3 % do 2,0 % kwoty wyjściowej. Zważywszy, że przychód Administratora w roku 2024 wyniósł (…) zł, to jest (…) euro (wg średniego kursu euro z dnia 28 stycznia 2025 r.), Prezes UODO za stosowne uznał skorygowanie podlegającej obliczeniom kwoty kary do wartości odpowiadającej (…) kwoty wyjściowej, to jest do kwoty (…) euro (równowartość (…) zł).

107.

Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się – jak zakładają Wytyczne 04/2022 – do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej. Prezes UODO uznał (co uzasadnione zostało w przedstawionej wyżej części uzasadnienia decyzji), że okolicznością łagodzącą w przedmiotowej sprawie, i w związku z tym zmniejszająca wymiar orzeczonej kary, jest sporządzenie rejestru czynności przetwarzania po stwierdzeniu naruszenia (art. 83 ust. 2 lit. k) rozporządzenia 2016/679). Pozostałe przesłanki (z art. 83 ust. 2 lit. c), d), e), f), g), h), i), j) rozporządzenia 2016/679) – jak wskazano wyżej – nie miały wpływu ani łagodzącego, ani obciążającego na ocenę naruszenia i w konsekwencji na wymiar kary. Zaistnienie okoliczności łagodzącej, związanej ze stroną podmiotową naruszenia miało istotny wpływ na ocenę wysokości kary. Rejestr czynności przetwarzania został wdrożony przez Przedsiębiorcę po wystąpieniu naruszenia ochrony danych osobowych, co doprowadziło do osiągnięcia celu postępowania czyli przywrócenia stanu zgodnego z prawem. Za zasadne Prezes UODO uznał zatem istotne, bo aż o 50 %, zmniejszenie kwoty kary ustalonej na podstawie oceny powagi naruszeń Adekwatnym do łącznego wpływu tej przesłanki na ocenę naruszenia jest zdaniem Prezesa UODO jej obniżenie do kwoty (…) zł, stanowiącej równowartość kwoty (…) euro.

108.

Prezes UODO uznał, że ustalona zgodnie z powyższymi zasadami kwota kary wymaga dodatkowej korekty ze względu na zasadę proporcjonalności wymienioną w art. 83 ust. 1 rozporządzenia 2016/679 jako jedną z trzech dyrektyw wymiaru kary (Rozdział 7 Wytycznych 04/2022). Mając na uwadze powyższą zasadę, zważywszy też okoliczności przedstawione w pkt 88 uzasadnienia decyzji, Prezes UODO dokonał dalszego obniżenia wysokości kary – do 50% kwoty uzyskanej po uwzględnieniu powagi naruszenia, wielkości przedsiębiorstwa Przedsiębiorcy oraz wszelkich okoliczności obciążających i łagodzących (zob. pkt 105-107 powyżej), to jest do kwoty 3 157 zł (stanowiącej równowartość kwoty 750 euro). W jego ocenie takie określenie ostatecznej wysokości orzeczonej kary – proporcjonalnej w ocenie Prezesa UODO w określonych, indywidualnych okolicznościach tej sprawy – nie wpłynie na obniżenie jej skuteczności i odstraszającego charakteru. Wyraźna dolegliwość dla Przedsiębiorcy zarówno tej kary, jak i kary orzeczonej za naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 29 oraz art. 32 ust. 1, 2 i 4 rozporządzenia 2016/679, ujmowanych łącznie (łączna ich wysokość to kwota 10 734 zł), pozwoli na zrealizowanie zakładanych celów – ukaranie go za dopuszczenie się naruszeń o istotnej powadze oraz zapewnienie na przyszłość przestrzegania przepisów rozporządzenia 2016/679 zarówno przez niego samego, jak i przez innych administratorów.

W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji niniejszej decyzji.