Godło Rzeczypospolitej Polskiej

Portal Orzeczeń

DostępnośćBIP
Decision logo
Warszawa, 19 lutego 2026nieprawomocna

Decyzja DKN.5112.33.2022

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2025 r. poz. 1691) w związku z art. 7, art. 60, art. 90, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i h) i art. 58 ust. 2 lit. d) oraz lit. i), art. 83 ust. 1 i 2, art. 83 ust. 5 lit. a) w związku z art. 5 ust. 1 lit. a) i c), art. 5 ust. 2 oraz art. 6 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), dalej rozporządzenie 2016/679,
po przeprowadzeniu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez W. (…) sp. z o.o. z siedzibą w P. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych,
I.
stwierdzając naruszenie przez W. (…) sp. z o.o. z siedzibą w P. przy ul. (…) przepisu art. 6 ust. 1 rozporządzenia 2016/679, polegające na przetwarzaniu bez podstawy prawnej, w sposób nadmiarowy i nieadekwatny do założonych celów, danych osobowych użytkowników aplikacji M. (…) w związku z pozyskiwaniem zdjęcia/skanu dowodu osobistego lub paszportu użytkowników tej aplikacji, co skutkowało naruszeniem zasady zgodności z prawem, rzetelności i przejrzystości, o której mowa w art. 5 ust. 1 lit. a) rozporządzenia 2016/679, zasady minimalizacji danych, określonej w art. 5 ust. 1 lit. c) rozporządzenia 2016/679 oraz zasady rozliczalności, wyrażonej w art. 5 ust. 2 rozporządzenia 2016/679,
nakłada na W. (…) sp. z o.o. z siedzibą w P. administracyjną karę pieniężną w kwocie 5 898 064 zł (słownie: pięć milionów osiemset dziewięćdziesiąt osiem tysięcy sześćdziesiąt cztery złote).
II.
nakazuje W. (…) sp. z o.o. z siedzibą w P. dostosowanie operacji przetwarzania do przepisów rozporządzenia 2016/679 poprzez zaprzestanie zbierania i dalszego przetwarzania danych osobowych użytkowników aplikacji M. (…) w związku z pozyskiwaniem zdjęcia/skanu dowodu osobistego lub paszportu oraz usunięcie zebranych w ten sposób danych osobowych użytkowników aplikacji M. (…) w terminie 30 dni od dnia doręczenia niniejszej decyzji.

Uzasadnienie

1.
Upoważnieni przez Prezesa Urzędu Ochrony Danych Osobowych (dalej także jako: „Prezes UODO”) kontrolujący przeprowadzili w dniach od 10 do 14 października 2022 r. w W. (…) sp. z o.o. z siedzibą w P., ul. (…) (miejsce przeprowadzenia czynności kontrolnych: T. ul. (…)), dalej także jako: „Spółka” lub „Administrator”, kontrolę zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, tj. z rozporządzeniem 2016/679 oraz ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych.
2.
Zakresem kontroli objęto przetwarzanie przez Spółkę danych osobowych przy użyciu aplikacji mobilnej M. (…) (dalej także jako: „Aplikacja”). W ramach powyższego zakresu sprawdzono m.in. podstawę prawną, zakres, rodzaj i cel przetwarzania danych osobowych. W toku kontroli odebrano od inspektora ochrony danych oraz od pracowników i pełnomocnika Spółki wyjaśnienia oraz dokonano oględzin systemów informatycznych, w ramach których odbywa się przetwarzanie danych osobowych. Stan faktyczny szczegółowo opisano w protokole kontroli, który został podpisany przez pełnomocnika Spółki.
3.
Na podstawie zgromadzonego materiału dowodowego w toku przeprowadzonej kontroli ustalono następujący stan faktyczny:
A.
W. (…) sp. z o.o. z siedzibą w P. przy ul. (…) wpisana jest do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego pod numerem (…). Przedmiotem przeważającej działalności Spółki jest prowadzenie pozostałej sprzedaży prowadzonej poza siecią sklepową, straganami i targowiskami. Całość udziałów kontrolowanej Spółki posiada podmiot o nazwie „N. (…)” (obecnie spółka akcyjna) z siedzibą w (…) – twórca platformy, w zakresie której działają zarówno witryna internetowa M., jak i aplikacja mobilna (M. (…)). Za pośrednictwem przedmiotowej platformy handlowcy oferują swoje produkty i usługi. Przedmiotowa platforma umożliwia zawieranie umów o świadczenie usług „na żądanie” drogą elektroniczną na odległość. Aplikacja mobilna, o której mowa powyżej, jest wykorzystywana przez Administratora na podstawie zawartej umowy franczyzy z N. (…) (obecnie S.A.).
Aplikacja M. (…) służy do obsługi mobilnej użytkowników Aplikacji, którzy za jej pomocą mogą zamawiać i kupować produkty oferowane przez partnerów Spółki. W celu zarejestrowania się za pomocą Aplikacji, użytkownik podaje dane w następującym zakresie: nazwa, adres a-mail oraz hasło do konta. Użytkownik Aplikacji może dokonać uprzedniej rejestracji na stronie internetowej https://(…), gdzie ustalone login i hasło będą stanowić dane do logowania również w Aplikacji. Przedmiotowa Aplikacja funkcjonuje w Polsce od 10 lipca 2019 r. (data pierwszego odnotowanego zamówienia w Polsce w produkcyjnej bazie danych). Na dzień 13 października 2021 r. produkcyjna baza danych zawierała informacje o (…) aktywnych użytkowników z Polski.
B.
W przypadku, gdy zachodzi podejrzenie oszustwa, w celu weryfikacji tożsamości użytkownika Aplikacji Spółka może zwrócić się do takiej osoby o przesłanie zdjęcia awersu karty kredytowej/debetowej powiązanej z kontem M., z widocznymi pierwszymi 6 lub 4 ostatnimi cyframi, a także nazwiskiem posiadacza karty (jeśli podano) lub zdjęcia dowodu tożsamości lub paszportu. Dokumenty muszą być ważne, a numer dokumentu czytelny. W celu usystematyzowania postępowania w ramach powyższego procesu została w Spółce opracowana stosowna instrukcja działania dla pracowników, tzw. procedura/instrukcja działania (…) (dalej także jako procedura (…)).
C.
(…):
a)
(…),
b)
(…),
c)
(…).
D.
(…):
a)
(…);
b)
(…);
c)
(…);
d)
(…).
E.
W ramach opisanego powyżej procesu weryfikacji tożsamości Spółka przetwarza następujące dane osobowe użytkownika Aplikacji: imię, nazwisko, nazwisko rodowe, imiona rodziców, data urodzenia, seria i numer dokumentu tożsamości, ważność dokumentu tożsamości, wizerunek, adres stałego zamieszkania (w przypadku obowiązującego uprzednio wzoru dowodu osobistego), miejsce urodzenia, wzrost (w przypadku obowiązującego uprzednio wzoru dowodu osobistego), data wydania dokumentu tożsamości, numer PESEL, nazwa organu, który wydał dokument tożsamości, kolor oczu, numer rachunku bankowego, inne ewentualne dane zawarte w dokumentach potwierdzających tożsamość lub umożliwiające przeprowadzenie transakcji.
F.
Jako podstawę prawną do przetwarzania powyższych danych osobowych Spółka wskazała art. 6 ust. 1 lit. f) rozporządzenia 2016/679 – uzasadniając, że dla omawianego procesu przepis ten stanowi podstawę przetwarzania do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora, tj. w celu weryfikacji tożsamości osoby podejrzanej o oszustwo.
4.
Na podstawie tak zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych Administrator naruszył przepisy o ochronie danych osobowych. Naruszenie to polegało na nadmiarowym i nieadekwatnym do założonych celów przetwarzaniu danych osobowych użytkowników aplikacji M. (…) w zakresie, jaki wynika ze zdjęcia/skanu dowodu osobistego lub paszportu, do przesłania którego użytkownik może być zobowiązany w celu weryfikacji jego tożsamości przez Spółkę.
5.
W związku z powyższym, 1 grudnia 2023 r. Prezes UODO wszczął z urzędu postępowanie administracyjne w zakresie możliwości naruszenia przez Spółkę art. 5 ust. 1 lit. c) i ust. 2 rozporządzenia 2016/679 w celu wyjaśnienia okoliczności sprawy. Następnie, pismem z 30 października 2024 r., Prezes UODO rozszerzył powyższe postępowanie administracyjne o możliwość naruszenia przez W. (…) sp. z o.o., jako administratora danych, przepisów art. 5 ust. 1 lit. a) oraz art. 6 rozporządzenia 2016/679.
6.
W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego, pismami z 22 grudnia 2023 r. oraz z 11 sierpnia 2025 r. przesłano wyjaśnienia dotyczące stwierdzonego przez Prezesa UODO naruszenia przepisów o ochronie danych osobowych oraz stanowisko Spółki w tym zakresie.
7.
Powyższym pismem Spółka wskazała, że W. (…) sp. z o.o. realizuje zasadę minimalizacji, co potwierdza fakt, iż użytkownik aplikacji M. jest proszony o nadesłanie zdjęcia dokumentu tożsamości wyłącznie w nielicznych i wyjątkowych sytuacjach, określonych wyraźnie w procedurze antyfraudowej, przedstawionej organowi nadzorczemu w toku kontroli. Ponadto podkreślono, że Spółka przeprowadziła ocenę skutków dla ochrony danych (DPIA) oraz test równowagi (LIA), które dowiodły, iż jedynym skutecznym środkiem zabezpieczającym przed oszustwami finansowymi, w sytuacji wystąpienia takiego podejrzenia, jest pobranie od użytkownika Aplikacji zdjęcia dokumentu tożsamości, zaś sam fakt przeprowadzania takich czynności oraz przedłożenie w toku kontroli raportów z ich wykonania stanowi wypełnienie i realizację zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679. Jednocześnie Spółka opisała przypadki, w których prosi o przesłanie zdjęcia dokumentu tożsamości, wskazując sytuacje, w których zgodnie z wdrożoną u Administratora procedurą (…) pracownik może o to poprosić użytkownika Aplikacji.
8.
Podsumowując, zgodnie ze stanowiskiem Administratora, działania Spółki są zgodne z art. 5 ust. 1 lit. c) rozporządzenia 2016/679, zaś wykonaniem oceny skutków dla ochrony danych, testu równowagi oraz przyjęciem i wdrożeniem procedury antyfraudowej (…), Spółka udowodniła realizację zasady rozliczalności (art. 5 ust. 2 ww. rozporządzenia).
9.
Spółka nie ustosunkowała się do pisma informującego o rozszerzeniu powyższego postępowania.

W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

Naruszenie przepisów rozporządzenia 2016/679

10.
Art. 5 rozporządzenia 2016/679 formułuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 lit. a) ww. rozporządzenia, dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”). Zaś art. 5 ust. 1 lit. c) powyższego aktu prawnego stanowi iż, dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”). Stosownie zaś do art. 5 ust. 2 rozporządzenia 2016/679, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).
11.
Zasady te „nie są jedynie ideami, wartościami czy postulatami odczytywanymi z całokształtu przepisów o ochronie danych osobowych, a mają charakter normatywny – są wiążącymi normami prawa, wyznaczającymi określony sposób postępowania. (…) Mają one szczególne znaczenie dla stosowania i interpretacji przepisów o ochronie danych osobowych. Z faktu uznania w akcie normatywnym określonych norm prawnych za zasady wywieść można wniosek, że prawodawca pragnął w ten sposób podkreślić ich znaczenie i uczynić z nich swoiste normy nadrzędne nad pozostałymi normami określonymi w tych przepisach. Nadrzędność zasad oznacza m.in. konieczność odczytywania norm zawartych w przepisach o ochronie danych w sposób zgodny z tymi zasadami”[1].
12.
Zasada legalności zakłada, że przetwarzanie danych osobowych powinno odbywać się w sposób zgodny z prawem. W szczególności zaś administrator powinien dysponować jedną z przesłanek przetwarzania określonych w art. 6 ust. 1 lub art. 9 ust. 2 rozporządzenia 2016/679. „Przez pryzmat tej zasady (…) ocenia się dozwolony charakter przetwarzania danych, odpowiednio zwykłych i szczególnych kategorii”[2].
13.
W motywie 40 rozporządzenia 2016/679 wskazano: „Aby przetwarzanie danych było zgodne z prawem, powinno się odbywać na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie przewidzianej prawem: albo w niniejszym rozporządzeniu, albo w innym akcie prawnym Unii lub w prawie państwa członkowskiego, o których mowa w niniejszym rozporządzeniu, w tym musi się ono odbywać z poszanowaniem obowiązku prawnego, któremu podlega administrator, lub z poszanowaniem umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy”.
14.
Zasada zgodności z prawem oznacza nie tylko konieczność spełnienia ww. przesłanek legalności przetwarzania danych określonych w rozporządzeniu 2016/679, ale również konieczność przestrzegania norm ustanowionych w innych przepisach prawa, między innymi wdrożenie pozostałych zasad przetwarzania[3].
15.
Motyw 39 rozporządzenia 2016/679 stanowi, iż „dane osobowe powinny być przetwarzane tylko w przypadkach gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami”. Jeżeli administrator nie może osiągnąć swojego celu innymi sposobami i zdecyduje się na przetwarzanie danych osobowych, wówczas musi kierować się zasadami określonymi w art. 5 rozporządzenia 2016/679, zwłaszcza zasadą minimalizacji danych (lit. c). Jak wskazuje zaś doktryna „w myśl omawianej zasady dane muszą być odpowiednie i stosowne do osiągnięcia celu ich zebrania, lecz zarazem nie mogą być nadmierne. Dane mogą być więc przetwarzane tylko w takim zakresie, który jest niezbędny dla osiągnięcia celu ich zebrania. Tym samym przetwarzanie danych w zakresie zbędnym dla osiągnięcia celu będzie oznaczało naruszenie przepisów rozporządzenia.” (P. Drobek [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, D. Lubasz, Warszawa 2018, art. 5).
16.
Przetwarzane dane powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Ocena spełniania zasady minimalizacji danych powinna być dokonywana zarówno na etapie projektowania operacji przetwarzania, jak i przez cały okres przetwarzania danych osobowych. Zasada ta jest nierozerwalnie powiązana z zasadą ograniczenia celu [art. 5 ust. 1 lit. b) rozporządzenia 2016/679]. Cel przetwarzania determinuje niezbędny zakres przetwarzanych danych osobowych. Pomiędzy celem przetwarzania a zakresem przetwarzanych danych powinien istnieć związek, który administrator powinien móc wykazać. Praktyczne zastosowanie analizowanej zasady wiąże się ze zbieraniem tylko danych niezbędnych do osiągnięcia celu, usuwaniem danych w sytuacji, gdy są one już niepotrzebne do osiągnięcia celu.[4]
17.
W celu wykazania spełnienia powyższych zasad, administrator musi dysponować przesłanką – podstawą – przetwarzania danych. Takie przesłanki zostały określone w treści art. 6 ust. 1 rozporządzenia 2016/679, który to przepis wskazuje, kiedy przetwarzanie danych osobowych jest dozwolone[5].
18.
Zgodnie z treścią art. 6 ust. 1 rozporządzenia 2016/679, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a)
osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b)
przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c)
przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d)
przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e)
przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f)
przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
19.
Biorąc pod uwagę badany proces przetwarzania, tj. gromadzenie skanów/zdjęć dokumentów tożsamości użytkowników w oparciu o przyjętą w Spółce procedurę antyfraudową, jak i przede wszystkim zakres danych – dane znajdujące się w ww. dokumentach (dowód osobisty/paszport) – podkreślić trzeba, że Administrator nie wypełnił żadnej z przesłanek, o których mowa w art. 6 ust. 1 rozporządzenia 2016/679, przesądzających o dopuszczalności takiego działania. W tym miejscu zaznaczenia wymaga, iż powoływanie się przez Spółkę na art. 6 ust. 1 lit. f) rozporządzenia 2016/679 dla wykazania legalności omawianego procesu przetwarzania jest niewłaściwe ze względu na żądany w procesie weryfikacji i wykorzystywany zakres danych, które mają zostać przekazane przez klienta Spółki w związku z żądaniem przedłożenia przez niego skanu lub zdjęcia dokumentu tożsamości.
20.
Koniecznym jest bowiem podkreślenie, iż nie każdy proces przetwarzania może opierać się na przesłance opisanej w art. 6 ust. 1 lit. f) rozporządzenia 2016/679, tylko ze względu na przekonanie Administratora o jego prawnie uzasadnionym interesie. Administrator dokonując przetwarzania na ww. podstawie, musi wykazać nie tylko własny uzasadniony interes, lecz również udowodnić, że wobec tych interesów nadrzędnego charakteru nie mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą.
21.
Co równie istotne, realizowanego przez Spółkę i omawianego na potrzeby niniejszej sprawy, procesu przetwarzania nie mogą także legitymizować dokonane przez Administratora analizy, tj. ocena skutków dla ochrony danych oraz test uzasadnionego interesu (test równowagi). Należy bowiem pamiętać, że z uwagi na charakter przetwarzania, kontekst i cele, które mają być realizowane w ramach badanego procesu, taka przesłanka musi wynikać wyłącznie z przepisów prawa (szerzej – pkt 23-30 uzasadnienia decyzji). Administrator nie może zatem w tym przypadku samodzielnie kreować podstaw prawnych przetwarzania danych. W konsekwencji, powyższe analizy, wykonane w warunkach braku podstaw prawnych do przetwarzania danych, nie mogą stanowić uzasadnienia czy też wzmocnienia dla przyjętego procesu i bez względu na treść będą wadliwe i w takich okolicznościach nie mogą być przyjęte jako wiążące.
22.
Spółka w rzeczonym procesie przetwarza dane w szerokim zakresie, bowiem są to wszystkie dane, jakie zostały zawarte w dokumencie tożsamości (dowód osobisty, paszport). Dane składające się na całość dokumentu tożsamości pozwalają jednoznacznie określić tożsamość osoby legitymującej się tym dokumentem, jednak co istotne z punktu widzenia niniejszych rozważań, przetwarzanie danych zawartych w dowodzie osobistym lub paszporcie (skan, zdjęcie, kserokopia takiego dokumentu) powinno mieć miejsce jedynie w wyjątkowych przypadkach przez konkretne i upoważnione ustawowo podmioty.
23.
Kwestie fraudów, czyli oszustw dokonywanych na tle finansowym oraz przeciwdziałanie takim praktykom, reguluje ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2023 r. poz. 1124), dalej także jako: „ustawa AML”, przyznająca tzw. instytucjom obowiązanym szerokie uprawnienia m.in. w zakresie weryfikacji tożsamości klienta, ściśle związanej z gromadzeniem i dalszym przetwarzaniem jego danych osobowych. W myśl art. 33 ust.1 ustawy AML, instytucje obowiązane stosują wobec swoich klientów środki bezpieczeństwa finansowego. Środki te obejmują m.in. identyfikację klienta oraz weryfikację jego tożsamości (art. 34 ust. 1 pkt 1 ww. ustawy). Zgodnie zaś z art. 37 tej ustawy, weryfikacja tożsamości klienta, osoby upoważnionej do działania w jego imieniu oraz beneficjenta rzeczywistego polega na potwierdzeniu ustalonych danych identyfikacyjnych na podstawie dokumentu stwierdzającego tożsamość osoby fizycznej, dokumentu zawierającego aktualne dane z wyciągu z właściwego rejestru lub innych dokumentów, danych lub informacji pochodzących z wiarygodnego i niezależnego źródła.
24.
(…).
25.
Ponadto, mając na uwadze treść art. 2 (katalog instytucji obowiązanych) oraz art. 35 (przesłanki stosowania środków bezpieczeństwa finansowego) ustawy AML, jak również powyższe przypadki włączenia działań określonych w antyfraudowej procedurze Spółki, należy uznać, że przepisy ww. aktu prawnego podmiotowo i przedmiotowo nie odnoszą się do Administratora, Spółka bowiem nie należy do grona instytucji obowiązanych, którym przypisano obowiązki stosowania wobec swoich klientów szczególnych środków bezpieczeństwa w celu realizacji postanowień przepisów ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, w tym identyfikacji takich osób oraz weryfikacji ich tożsamości. Tym samym Spółka nie może opierać omawianego procesu przetwarzania danych na podstawie wdrożonej i realizowanej polityki antyfraudowej, argumentując to uzasadnionym interesem administratora, w sytuacji kiedy konkretne, wyżej wymienione przepisy nie uprawniają Spółki do weryfikacji danych klienta w przyjęty sposób. Wyłącznie podmioty – instytucje obowiązane, określone w ustawie AML – korzystają ze środków bezpieczeństwa finansowego i identyfikacji klienta, o której mowa w art. 36 powołanej ustawy.
26.
Działania Spółki nie znajdują również oparcia w przepisach ustawy dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2024 r. poz. 1513 ze zm.), w szczególności nawiązując do treści art. 18 ust. 1 i 2 ww. ustawy. Przepis ten dopuszcza przetwarzanie konkretnych danych w zakresie niezbędnym do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego między usługodawcą a usługobiorcą, a także dla celów prawidłowej realizacji usługi świadczonej drogą elektroniczną. Tymczasem sposób oraz zakres przetwarzania danych osobowych przez Spółkę w związku z pozyskiwaniem skanu/zdjęcia dowodu osobistego lub paszportu nie spełniają wymogu niezbędności w rozumieniu ww. przepisu. Co więcej, Spółka nie wykazała również, że zbieranie danych znajdujących się na skanach/zdjęciach dokumentów tożsamości służy któremukolwiek z celów, określonych w ww. przepisie ustawy o świadczeniu usług drogą elektroniczną. Jednocześnie, jak ustalono, Spółka przetwarza powyższe dane dla weryfikacji tożsamości zmierzając do przeciwdziałania oszustwom, a zatem w celach niezdefiniowanych w powołanej ustawie. Zakładając także, iż gdyby następstwem takiej weryfikacji tożsamości mogłoby być rozwiązanie stosunku prawnego (mimo, iż nie wynika to z dokonanych ustaleń), to również w tym zakresie działania Spółki nie mieszczą się w regulacji określonej w art. 18 ust. 1 i 2 ww. ustawy – bowiem zakres przetwarzanych w omawianym procesie danych jest szerszy, zaś ich pozyskanie następuje w sposób nieprzewidziany powołanymi przepisami. Z kolei art. 18 w ust. 4 i 5 ustawy o świadczeniu usług drogą elektroniczną przewiduje możliwość przetwarzania innych danych, w tym danych eksploatacyjnych, jedynie w ściśle określonym celu, w oznaczonym zakresie oraz przez ograniczony czas.
27.
Analiza działań Spółki w zakresie przetwarzania danych użytkowników Aplikacji w związku z pozyskiwaniem skanów/zdjęć dokumentów tożsamości wskazuje, że nie mieszczą się one w granicach legalności wyznaczonych regulacjami ustawy o świadczeniu usług drogą elektroniczną, a w szczególności nie dotyczą one realizacji usługi świadczonej drogą elektroniczną. Tym samym należy uznać, że przepisy powołanej ustawy nie mogą stanowić podstawy prawnej dla realizowanego przez Spółkę w tym zakresie procesu przetwarzania danych.
28.
Pomimo, iż w obrocie prawnym istnieją regulacje stanowiące podstawę prawną dla przetwarzania danych w omawianym zakresie, takie jak przepisy ustawy AML, która wprost przewiduje możliwość żądania przez instytucje obowiązane przekazania kopii dokumentu potwierdzającego tożsamość, należy zauważyć, że działanie to jest dopuszczalne wyłącznie w ramach realizacji obowiązków ustawowych. Fakt ten – mając na uwadze okoliczność, iż Spółka, ze względu na charakter prowadzonej działalności, nie posiada uprawnień by w ramach wykorzystywanego procesu przetwarzania danych powołać się na przepisy ustawy AML – ma istotne znaczenie dla stwierdzenia naruszenia przepisów rozporządzenia 2016/679 w zakresie braku podstaw prawnych do przetwarzania przedmiotowych danych osobowych.
29.
W świetle powyższych rozważań, konieczne staje się również uwzględnienie przepisów ustawy z dnia 22 listopada 2018 r. o dokumentach publicznych (Dz. U. z 2024 r. poz. 1669 ze zm.), która przewiduje szczególny reżim ochronny wobec dokumentów publicznych pierwszej kategorii, do których należy dowód osobisty oraz paszport. Choć przepisy ww. ustawy nie wprowadzają bezpośredniego zakazu kopiowania dokumentów tożsamości, trzeba mieć na uwadze, że utrwalanie obrazu dowodu osobistego lub paszportu, w szczególności w formie skanu czy zdjęcia, w sposób niezabezpieczony lub bez wyraźnej podstawy prawnej może wiązać się z ryzykiem naruszenia bezpieczeństwa dokumentu publicznego oraz sprzyjać jego potencjalnemu wykorzystaniu w sposób nieuprawniony. Z tego względu praktyka polegająca na żądaniu przez Spółkę przesyłania skanu/zdjęcia dokumentu tożsamości powinna być oceniana jako wątpliwa z punktu widzenia systemowej wykładni przepisów powołanej ustawy, których celem jest ochrona najistotniejszych, z punktu widzenia powyższego aktu prawnego, dokumentów publicznych.
30.
Analizując stosowany przez Spółkę proces należy również stwierdzić, że jej działania zmierzają niewątpliwie do weryfikacji tożsamości użytkowników Aplikacji poprzez czynność legitymowania, realizowaną w formie żądania przesłania skanu/zdjęcia dokumentu tożsamości. Co jednak istotne, prawo do legitymowania osób przysługuje określonym w przepisach prawa funkcjonariuszom, w tym Policji, Straży Granicznej, czy też Agencji Bezpieczeństwa Wewnętrznego, w związku z realizacją ich ustawowych zadań. Podmioty nieposiadające wymienionego uprawnienia, takie jak Spółka, nie są wyposażone w kompetencje do przeprowadzania czynności legitymowania w jakiejkolwiek formie, w tym żądania przesłania skanu/zdjęcia dowodu osobistego czy paszportu. W przedstawionym kontekście, sposób działania Spółki w zakresie weryfikowania tożsamości pozbawiony podstaw prawnych jest zatem nieuprawniony i nie znajduje uzasadnienia w obowiązującym porządku prawnym.
31.
W sytuacji, kiedy w obrocie prawnym obowiązują przepisy w tym zakresie, stanowiące podstawę prawną przetwarzania danych przez konkretne podmioty, nie można tak przyjętych zasad rozszerzać dla własnych celów w oparciu o treść art. 6 ust. 1 lit. f) rozporządzenia 2016/679. Dopuszczenie takiego działania pomimo istnienia w tym zakresie stosownych regulacji stanowiłoby bowiem akceptację dla omijania prawa, podważając jednocześnie sens ich wprowadzenia przez krajowego ustawodawcę. Na marginesie należy również zauważyć, że wskazane powyżej sytuacje, o których mowa w opracowanej przez Spółkę procedurze antyfraudowej, ze względu na swój przestępczy charakter, wymagają natychmiastowego zaalarmowania uprawnionych służb, czy też organów (policja, prokuratura) w celu ochrony bezpieczeństwa i porządku publicznego oraz ścigania potencjalnych sprawców, nie zaś zobowiązywania klienta korzystającego z Aplikacji mobilnej do przesłania własnego dowodu osobistego czy też paszportu, w celu weryfikacji jego tożsamości.
32.
Ponownie zatem należy podkreślić, że bez wpływu na niniejsze rozważania pozostaje okoliczność opracowania przez Spółkę oceny skutków dla ochrony danych, jak również testu równowagi, które w ocenie Spółki uzasadniają zasadność przetwarzania danych osobowych znajdujących się na skanach/zdjęciach dokumentów tożsamości. Analiza powyższych ocen jednoznacznie wskazuje, że przy ich dokonywaniu nadrzędne znaczenie nadano interesom Administratora, a nie interesom podmiotu danych. Należy podkreślić, że w sytuacji dokonywania oceny przesłanki prawnej w postaci tzw. uzasadnionego interesu, pierwszeństwo powinno zostać przyznane ochronie praw osób, których dane dotyczą. W ocenie organu nadzorczego, Administrator nie posiada w ramach przywoływanego procesu prawnie uzasadnionego interesu umożliwiającego przetwarzanie danych, wobec czego wynik przeprowadzonego przez niego testu równowagi, czy też oceny skutków dla ochrony danych pozostaje prawnie bezprzedmiotowy, a zatem nie może być traktowany jako podstawa dopuszczalności przetwarzania danych w tym zakresie.
33.
Odnosząc się do pozostałych przesłanek przetwarzania, o których mowa w art. 6 ust. 1 rozporządzenia 2016/679, należy podkreślić, że Spółka nie wykazała, by osoby, których dane dotyczą, wyraziły zgodę na ich przetwarzanie, jak również nie wskazano, iż powyższy proces przetwarzania opierał się na realizacji zawartej pomiędzy Spółką a klientem umowy. Przetwarzanie danych w opisywanym zakresie nie wynika również z obowiązku prawnego ciążącego na administratorze, nie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, jak również nie służy do celów wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
34.
Spółka w konsekwencji nie wskazała podstaw prawnych do przetwarzania danych, wykorzystywanych dla realizowania wyznaczonego celu. Należy zatem stwierdzić, że gromadzenie skanów/zdjęć dokumentów tożsamości w sytuacjach przedstawianych przez Spółkę nie znajduje podstaw w treści art. 6 ust. 1 rozporządzenia 2016/679. Brak podstawy prawnej do przetwarzania danych w omawianym zakresie przesądza tym samym o naruszeniu przez Spółkę zasady zgodności z prawem, rzetelności i przejrzystości, określonej w art. 5 ust. 1 lit. a) rozporządzenia 2016/679.
35.
Odnosząc się do naruszonej zasady minimalizacji danych (art. 5 ust. 1 lit. c) rozporządzenia 2016/679) wskazania wymaga, że w ocenie Prezesa UODO Administrator, wobec braku podstaw do przetwarzania danych zawartych w dokumentach tożsamości, dokonuje ich gromadzenia w sposób nadmiarowy oraz nieadekwatny w stosunku do założonych celów. Gromadzenie danych w sposób przyjęty przez Spółkę narusza tym samym przepisy rozporządzenia 2016/679. Fakt, że Spółka na etapie zakładania konta w Aplikacji dąży do ułatwienia procesu rejestracji, by dotrzeć do jak największej liczby potencjalnych klientów, nie może powodować, że na dalszym etapie prowadzenia procesów i czynności przetwarzania dochodzi do gromadzenia nadmiarowej ilości danych, wyłącznie z tego powodu, że o weryfikację tożsamości nie zadbano na wcześniejszym (np. pierwszym) etapie tworzenia profilu klienta/użytkownika Aplikacji. Zaznaczenia wymaga, że podstawowa działalność Spółki w badanym obszarze obejmuje obsługę mobilną użytkowników Aplikacji, którzy za jej pomocą mogą zamawiać i kupować produkty oferowane przez partnerów Spółki. W celu założenia konta wystarczającym działaniem jest podanie jedynie nazwy użytkownika oraz adresu e-mail.
36.
Oczywistym również jest, że Spółka ma prawo chronić się przed oszustwami, wdrożyć odpowiednie zabezpieczenia i procedury w celu przeciwdziałania fraudom, jednak wykonywanie tych działań nie zwalnia z obowiązku przestrzegania przepisów o ochronie danych osobowych i zasad dotyczących ich przetwarzania. Spółka powinna opracować sposób ustalania tożsamości klienta/użytkownika Aplikacji, który jednocześnie będzie stanowił skuteczną realizację celów założonych przez Administratora, jak również pozwoli uniknąć w przyszłości zarzutów odnoszących się do naruszenia obowiązków, wynikających z treści przepisów rozporządzenia 2016/679.
37.
W konsekwencji działanie Administratora, jakim jest przetwarzanie danych osobowych klientów Spółki w zakresie zdjęcia/skanu dokumentu tożsamości, nie znajduje podstawy prawnej, co stanowi zarazem poważne naruszenie przepisów rozporządzenia 2016/679. Należy zauważyć, że zarówno charakter prowadzonej przez Spółkę działalności, jak również możliwe, czy też pojawiające się zagrożenia naruszenia prawa, płynące z jej wykonywania, nie dają Spółce legitymacji do wykorzystywania danych osobowych swoich klientów w sposób nieuprawniony i pozbawiony podstaw prawnych.
38.
Przetwarzając dane osobowe nie należy skupiać się wyłącznie na wypełnianiu celów i założeń administratora. Pamiętać należy o obowiązkach, którymi administrator jest obarczony wobec przetwarzania danych swoich klientów, pracowników, czy też innych osób. Im szerszy zakres przetwarzanych danych, tym większa odpowiedzialność ciąży na administratorze, który w celu wykazania przestrzegania przepisów rozporządzenia 2016/679 powinien dostosować wdrażane i wykorzystywane środki techniczne i organizacyjne do ryzyka naruszenia praw lub wolności osób fizycznych, których dane są przetwarzane.
39.
Wobec powyższych rozważań, należy w tym miejscu odnieść się do argumentacji przedstawionej w piśmie z 11 sierpnia 2025 r., a nawiązującej do sprawy o sygn. DS.523.652.2021. W tym kontekście podkreślenia wymaga, że decyzją Prezesa UODO z 20 stycznia 2026 r., sygn. DS.523.652.2021, stwierdzono nieważność decyzji administracyjnej z 24 czerwca 2025 r., wydanej w ww. sprawie, z uwagi na rażące naruszenie prawa.
40.
Mając na uwadze powyższe, Prezes UODO uznał, że Spółka dokonując gromadzenia danych zawartych w skanach/zdjęciach dowodu osobistego i paszportu bez podstawy prawnej do ich przetwarzania, naruszyła także zasadę minimalizacji danych, określoną w art. 5 ust. 1 lit. c) rozporządzenia 2016/679.
41.
Konsekwencją zaś naruszenia przez Spółkę zasad określonych w art. 5 ust. 1 lit. a) i c) rozporządzenia 2016/679 jest naruszenie zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679.
42.
Ze względu na powyższe ustalenia, jak również trwający nieprzerwanie stan naruszenia przepisów, należało nakazać Spółce dostosowanie operacji przetwarzania do przepisów rozporządzenia 2016/679 poprzez zaprzestanie przetwarzania ww. danych osobowych oraz ich usunięcie.

Administracyjna kara pieniężna

43.
Postępowanie administracyjne prowadzone przez Prezesa UODO służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej w celu zastosowania uprawnień naprawczych określonych w art. 58 ust. 2 rozporządzenia 2016/679.
44.
Mając na uwadze powyższe, jak również stwierdzone w niniejszym postępowaniu naruszenia przepisów o ochronie danych osobowych, Prezes UODO – korzystając z uprawnienia określonego w art. 58 ust. 2 lit. i) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast środków, o których mowa w niniejszym ustępie, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy – stwierdził, że w rozpatrywanej sprawie zmaterializowały się przesłanki uzasadniające nałożenie na W. (…) sp. z o.o. z siedziba w P. administracyjnej kary pieniężnej, o której mowa w art. 83 ust. 5 lit. a) rozporządzenia 2016/679.
45.
Zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, podlegają administracyjnej karze pieniężnej w wysokości do 20 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
46.
Jednocześnie należy wskazać, że zgodnie z art. 83 ust. 1 rozporządzenia 2016/679 każdy organ nadzorczy zapewnia, by stosowane na mocy niniejszego artykułu za naruszenia niniejszego rozporządzenia administracyjne kary pieniężne, o których mowa w ust. 4, 5 i 6, były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające.
47.
Stosownie zaś do art. 83 ust. 2 rozporządzenia 2016/679 administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)–h) oraz j). Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na:
a)
charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;
b)
umyślny lub nieumyślny charakter naruszenia;
c)
działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
d)
stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32;
e)
wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
f)
stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
g)
kategorie danych osobowych, których dotyczyło naruszenie;
h)
sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
i)
jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków;
j)
stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42; oraz
k)
wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

Zachowania podlegające administracyjnej karze pieniężnej i zastosowanie art. 83 ust. 3 rozporządzenia 2016/679

48.
Stosownie do brzmienia art. 83 ust. 3 rozporządzenia 2016/679, jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.
49.
Wobec stwierdzenia, że w analizowanym stanie faktycznym Administrator dopuścił się naruszenia art. 6 ust. 1 rozporządzenia 2016/679, skutkującego równoczesnym naruszeniem art. 5 ust. 1 lit. a) i c) oraz art. 5 ust. 2 rozporządzenia 2016/679, Prezes UODO zobowiązany był rozważyć, czy okoliczności niniejszej sprawy determinują skorzystanie przez organ nadzorczy z wyłącznie jednego, czy też z kilku środków naprawczych przewidzianych w art. 58 ust. 2 rozporządzenia 2016/679 – a precyzyjniej, czy organ powinien nałożyć na Administratora wyłącznie jedną administracyjną karę pieniężną, stanowiącą odpowiedź na wszystkie popełnione przez niego naruszenia, czy też odrębne i samoistne kary dla każdego z tych naruszeń rozpatrywanych osobno.
50.
Mimo, że w okolicznościach niniejszej sprawy doszło do naruszenia przez Spółkę kilku przepisów rozporządzenia 2016/679, tj. art. 6 ust. 1 (przetwarzanie danych osobowych bez podstawy prawnej, w sposób nadmiarowy i nieadekwatny do założonych celów), art. 5 ust. 1 lit. a) i c) (naruszenie zasady zgodności z prawem, rzetelności, przejrzystości i zasady minimalizacji danych) oraz art. 5 ust. 2 (naruszenie zasady rozliczalności), to wskazane naruszenia miały miejsce w ramach tej samej operacji przetwarzania danych osobowych.
51.
Zgodnie z art. 4 pkt 2 rozporządzenia 2016/679, przetwarzanie danych osobowych oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Operacje te mogą, z uwagi na swój charakter oraz wspólny cel, tworzyć zintegrowaną całość.
52.
Taka sytuacja ma miejsce w przedmiotowej sprawie. Działania Spółki polegające na zbieraniu i wykorzystywaniu danych osobowych klientów w zakresie zdjęcia/skanu dokumentu tożsamości mają na celu – jak wynika z wyjaśnień Spółki – weryfikację użytkowników Aplikacji podejrzanych o oszustwo. W związku z tym nie ulega wątpliwości, że stanowią one elementy składowe jednego procesu i tym samym należy je rozpatrywać jako jedną operację przetwarzania danych osobowych. Obie opisane wyżej czynności dotyczące przetwarzania (tj. zbieranie danych oraz ich wykorzystywanie) nie znajdowały oparcia w przepisach prawa, ponieważ Administrator nie legitymował się żadną z ważnych przesłanek przetwarzania, enumeratywnie wymienionych w art. 6 ust. 1 rozporządzenia 2016/679. Brak spełnienia choćby jednego warunku zgodności przetwarzania danych osobowych z prawem skutkował bezpośrednio naruszeniem normy wyrażonej w art. 5 ust. 1 lit. a) oraz art. 5 ust. 1 lit. c) rozporządzenia 2016/679, a w dalszym następstwie naruszeniem art. 5 ust. 2 rozporządzenia 2016/679 (zob. pkt 34-41 uzasadnienia decyzji), a zatem ogólnych zasad przetwarzania danych osobowych, wyznaczających ramy całego systemu ochrony danych. W tym kontekście należy wyjaśnić, że stwierdzenie naruszenia przepisów określających podstawowe, ogólne zasady przetwarzania (w niniejszej sprawie – art. 5 ust. 1 lit. a) i c) oraz art. 5 ust. 2) rozporządzenia 2016/679 nie wyklucza przypisania Administratorowi naruszenia przepisów szczegółowych stanowiących konkretyzację tych zasad (w tym wypadku – art. 6 ust. 1) i nałożenia za to sankcji finansowej.
53.
Stwierdzając zatem, że w analizowanym stanie faktycznym Administrator naruszył w ramach tej samej operacji przetwarzania więcej aniżeli jeden przepis rozporządzenia 2016/679 oraz że żadne ze stwierdzonych naruszeń nie wyklucza – w ocenie Prezesa UODO – możliwości przypisania Administratorowi drugiego z nich, w niniejszym postępowaniu odpowiedzialność Spółki powinna kształtować się „równolegle” w stosunku do wszystkich popełnionych przez nią naruszeń.
54.
Jednocześnie należy podkreślić, że w świetle Wytycznych 04/2022 Europejskiej Rady Ochrony Danych (dalej jako „EROD”) w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO (wersja 2.1) przyjętych 24 maja 2023 r., zwanych dalej Wytycznymi 04/2022, naruszenia różnych przepisów dotyczące jednej operacji lub zestawu powiązanych operacji powinny być oceniane łącznie. W efekcie możliwe jest nałożenie jednej administracyjnej kary pieniężnej, co zapobiega wielokrotnemu karaniu Administratora za te same faktyczne czynności dotyczące przetwarzania danych osobowych (zob. Rozdział 3 Wytycznych 04/2022). Dlatego też – w ocenie Prezesa UODO – w okolicznościach niniejszej sprawy zastosowanie znajdzie przepis art. 83 ust. 3 rozporządzenia 2016/679.
55.
Wskazówki dotyczące identyfikacji „najpoważniejszego naruszenia” również zostały zawarte w Wytycznych 04/2022. Zgodnie ze stanowiskiem tam wyrażonym „sformułowanie «wysokość kary za najpoważniejsze naruszenie» odnosi się do ustawowych maksymalnych kwot kar pieniężnych” określonych w art. 83 ust. 4–6 rozporządzenia 2016/679 (zob. pkt 43 Wytycznych 04/2022). Tym samym najpoważniejszym naruszeniem w indywidualnej sprawie będzie to, dla którego prawodawca unijny przewidział wyższy próg maksymalnego zagrożenia administracyjną karą pieniężną.
56.
Podsumowując, w przedmiotowej sprawie administracyjna kara pieniężna została nałożona na Spółkę za naruszenie art. 5 ust. 1 lit. a) i c), art. 5 ust. 2 oraz art. 6 ust. 1 rozporządzenia 2016/679. W stosunku do wszystkich tych naruszeń zastosowany został przepis art. 83 ust. 3 rozporządzenia 2016/679, przy czym – w związku z tym, że wszystkie te naruszenia zagrożone są (in abstracto) taką samą karą wynikającą z art. 83 ust. 5 lit. a) rozporządzenia 2016/679, w wysokości do 20 000 000 euro – każde z nich uznać należy za „najpoważniejsze” w rozumieniu art. 83 ust. 3 rozporządzenia 2016/679 (każde z nich zagrożone jest karą o tej samej maksymalnej wysokości – 20 000 000 euro). Konsekwencją tego jest zaś niemożność orzeczenia za wszystkie wymienione powyżej naruszenia oceniane łącznie kary w wysokości wyższej niż maksymalna wysokość kary możliwa do orzeczenia za każde z nich rozpatrywane z osobna. Ze względu na konieczność przyjęcia w odniesieniu do Spółki tzw. „statycznego maksimum kary” (zob. pkt 74 uzasadnienia decyzji) kara ta nie może w niniejszej sprawie być więc wyższa niż 20 000 000 euro.

Przesłanki wymiaru kary – zastosowanie art. 83 ust. 2 rozporządzenia 2016/679

57.
Decydując o nałożeniu na Spółkę administracyjnej kary pieniężnej Prezes UODO –stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności (zob. pkt 58-60 uzasadnienia decyzji), stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.
58.
Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a) rozporządzenia 2016/679).
Przypisywane Spółce naruszenie dotyczyło przetwarzania zdjęć, bądź skanów dokumentów tożsamości klientów, czyli dokumentów zawierających szeroki zakres danych jednoznacznie identyfikujący osoby fizyczne (zob. pkt 60 uzasadnienia decyzji).
Przetwarzanie powyższych danych osobowych odbywało się bez podstawy prawnej w rozumieniu art. 6 ust. 1 rozporządzenia 2016/679, a tym samym naruszało zasadę zgodności z prawem określoną w art. 5 ust. 1 lit. a) rozporządzenia 2016/679. Legalność jest podstawowym warunkiem dopuszczalności przetwarzania danych osobowych, zaś jej brak stanowi ciężkie naruszenie przepisów rozporządzenia 2016/679. Jednocześnie, sposób pozyskiwania danych, tj. wymaganie od użytkowników Aplikacji przesłania skanów lub zdjęć dokumentów tożsamości w pełnym zakresie, jest niezgodne z punktu widzenia zasady minimalizacji danych określonej w art. 5 ust. 1 lit. c) rozporządzenia 2016/679. Zakres zbieranych informacji jest niewspółmierny do celu, który został określony przez Administratora jako weryfikacja tożsamości osoby podejrzanej o oszustwo. Wskazana weryfikacja nie wymaga posiadania przez Administratora tak szerokiego zakresu danych osobowych klienta, jaki zawiera się w dokumencie tożsamości. Nie ulega zatem wątpliwości, że żądanie od użytkowników aplikacji mobilnej przesłania zdjęcia lub skanu dowodu osobistego, bądź paszportu, celem weryfikacji tożsamości, było rażąco nadmiarowe. Dodatkowo, konsekwentne powoływanie się przez Spółkę na błędną podstawę prawną, tj. art. 6 ust. 1 lit. f) rozporządzenia 2016/679, dla wykazania legalności omawianego procesu przetwarzania, wskazuje na naruszenie zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679.
Przypisane Spółce naruszenia mają zatem wysoką wagę i poważny charakter wyrażający się w tym, że godzą one w podstawowe zasady przetwarzania danych osobowych, które w ramach całego systemu ochrony danych mają charakter fundamentalny, wyznaczający jego ramy. Tego rodzaju naruszenia – obejmujące podstawowe zasady przetwarzania danych osobowych, tj. zgodność z prawem, minimalizacja danych oraz rozliczalność – podlegają szczególnie surowej ocenie, co znajduje odzwierciedlenie w art. 83 ust. 5 lit. a) rozporządzenia 2016/679 zastrzegającym możliwość zastosowania najwyższego wymiaru administracyjnych kar pieniężnych w przypadku ich wystąpienia.
Mając na względzie, że w dniu 13 października 2021 r. produkcyjna baza danych Spółki zawierała informacje o (…) aktywnych użytkownikach z Polski należało uznać, że potencjalna skala tego naruszenia była wysoka.
W toku postępowania nie ujawniono żadnych dowodów wskazujących na to, że osoby których dane dotyczyły, doznały szkody. Mimo to, należało uznać, że samo już pozyskanie przez Spółkę zdjęć lub skanów dokumentów tożsamości klientów rodzi ryzyko wystąpienia po ich stronie szkody niemajątkowej (krzywdy). Osoby fizyczne, których dane pozyskano w sposób nieuprawniony, mogą bowiem odczuwać co najmniej obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie – stratą finansową. Jak wskazał Sąd Okręgowy w Warszawie w wyroku z dnia 6 sierpnia 2020 r. sygn. akt XXV C 2596/19, obawa, a więc utrata bezpieczeństwa stanowi realną szkodę niemajątkową wiążącą się z obowiązkiem jej naprawienia. Z kolei Trybunał Sprawiedliwości UE w orzeczeniu z 14 grudnia 2023 r. w/s Natsionalna agentsia za prihodite (C-340/21) podkreślił, że „art. 82 ust. 1 RODO należy interpretować w ten sposób, że obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić "szkodę niemajątkową" w rozumieniu tego przepisu”. Dlatego też w ocenie Prezesa UODO przetwarzanie danych osobowych przez Spółkę bez podstawy prawnej, jak również nadmiarowo, potencjalnie mogło doprowadzić do powstania krzywdy po stronie osób, których dane dotyczyły. Niektórzy użytkownicy Aplikacji udostępnili bowiem Administratorowi zdjęcia lub skany swoich dokumentów tożsamości nie będąc do tego prawnie zobowiązanymi, a proces ten został ostatecznie przez Prezesa UODO uznany za bezprawny. Mimo, że konsekwencje zaistniałego naruszenia nie muszą się zmaterializować, niniejsze może rodzić w tych osobach poczucie wykorzystania oraz obawę o własne bezpieczeństwo i w sposób obciążający wpływa na wysokość administracyjnej kary pieniężnej wymierzonej wobec Administratora.
Na niekorzyść Spółki należy zaliczyć również długi czas trwania naruszenia. EROD w Wytycznych 04/2022 wyjaśnia bowiem, że „organ nadzorczy może zasadniczo przypisać większą wagę naruszeniu o dłuższym czasie trwania. Im dłuższy czas trwania naruszenia, tym większą wagę organ nadzorczy może przypisać temu czynnikowi”. Zgromadzony w toku postępowania materiał dowodowy nakazuje bowiem przyjąć, że stan niezgodności przetwarzania z przepisami rozporządzenia 2016/679 trwa nieprzerwanie od 10 lipca 2019 r. (tj. od daty odnotowania pierwszego zamówienia złożonego w aplikacji M.) aż do chwili obecnej. Administrator nie wskazał bowiem innych ram czasowych przetwarzania danych w związku z pozyskiwaniem skanów i zdjęć dokumentów tożsamości klientów. Okoliczność utrzymywania się stanu naruszenia przez okres blisko sześciu lat należy poczytywać jako kryterium wpływające w znacznym stopniu zarówno na decyzję organu o nałożeniu administracyjnej kary pieniężnej w niniejszej sprawie, jak i wysokość samej kary.
Ponadto Grupa Robocza ds. Ochrony Danych Art. 29 w Wytycznych w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 (zwanych dalej „Wytycznymi WP253”) wskazała, że „czas trwania naruszenia może przykładowo świadczyć o: a) celowym działaniu administratora danych; b) braku podjęcia odpowiednich środków zapobiegawczych; c) niemożności wprowadzenia wymaganych środków technicznych i organizacyjnych”. W odniesieniu do powyższego, w ocenie Prezesa UODO nieustający czas trwania naruszenia w niniejszej sprawie wskazuje na świadome działania Administratora (zob. pkt 59 uzasadnienia decyzji) i wpływa obciążająco na wysokość kary administracyjnej.
Mając na względzie wyżej wskazane okoliczności, przesłankę określoną w art. 83 ust. 2 lit. a) rozporządzenia 2016/679, rozpatrywaną w sposób całościowy, organ ocenił jako obciążającą w wysokim stopniu.
59.
Umyślny charakter naruszenia przepisów rozporządzenia 2016/679 (art. 83 ust. 2 lit. b rozporządzenia 2016/679)
Analizując tę przesłankę Prezes UODO uwzględnił stanowisko wyrażone przez EROD, zgodnie z którym umyślność „obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego”[6]. Mając na względzie okoliczności niniejszej sprawy, Prezes UODO uznał, że działanie Spółki może być zakwalifikowane jako umyślne.
W tym miejscu wskazać należy, że Spółka w 2021 roku podjęła współpracę z kancelarią prawną, specjalizującą się w dziedzinie ochrony danych osobowych, w zakresie wsparcia bieżącego w obszarze RODO, a także wyznaczyła inspektora ochrony danych osobowych. Nadto, w Spółce opracowano procedurę antyfraudową, wykonano test równowagi oraz przeprowadzono ocenę skutków dla ochrony danych w związku z ich przetwarzaniem w zakresie zdjęcia, bądź skanu dokumentu tożsamości.
Mimo powyższych działań Administratora, po przeprowadzonej kontroli, organ nadzorczy zadecydował o wszczęciu postępowania administracyjnego wobec Spółki w związku z naruszeniem art. 5 ust. 1 lit. c) oraz art. 5 ust. 2 rozporządzenia 2016/679, a następnie rozszerzył niniejsze postępowanie o możliwość naruszenia przez Spółkę, jako administratora danych, przepisów art. 5 ust. 1 lit. a) oraz art. 6 rozporządzenia 2016/679.
Wobec tego, wraz z wszczęciem postępowania administracyjnego, Spółka powzięła wiedzę o tym, że organ nadzorczy ocenił przetwarzanie przez nią danych osobowych w związku z pozyskiwaniem zdjęć lub skanów dokumentów tożsamości jako nieprawidłowe i mimo to, nie podjęła żadnych działań w celu usunięcia tych nieprawidłowości. Co więcej, mimo świadomości negatywnej oceny tego procesu przez Prezesa UODO, Spółka w dalszym ciągu przetwarza dane osobowe klientów w powyższym zakresie. W efekcie, oprócz nałożenia administracyjnej kary pieniężnej, Prezes UODO nakazał w niniejszej decyzji dostosowanie przez Spółkę operacji przetwarzania do przepisów rozporządzenia 2016/679 poprzez zaprzestanie zbierania i dalszego przetwarzania danych osobowych użytkowników Aplikacji w omawianym zakresie oraz usunięcie zebranych w ten sposób danych osobowych.
Mając na względzie, że Administrator posiadał wiedzę na temat obowiązków wynikających z rozporządzenia 2016/679 oraz współpracował w tym zakresie ze specjalistami w dziedzinie ochrony danych osobowych, już samo wszczęcie przez Prezesa UODO niniejszego postępowania powinno co najmniej wzbudzić wątpliwość Administratora co do słuszności przyjętego przez niego stanowiska. Jednakże w okolicznościach niniejszej sprawy Administrator nie zmienił swojego postępowania, ani stanowiska w przedmiotowej sprawie. Do dnia wydania niniejszej decyzji Spółka przetwarza dane osobowe klientów w związku z pozyskiwaniem zdjęć lub skanów dokumentów tożsamości w sposób nadmiarowy, bez podstawy prawnej, jak również nie wykazała przestrzegania przepisów rozporządzenia 2016/679.
W konsekwencji, Prezes UODO ocenił zachowanie Spółki jako umyślne, co stanowi okoliczność wpływającą obciążająco na wysokość kary administracyjnej.
60.
Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679)
Dane osobowe przetwarzane przez Spółkę, zawarte w dowodach osobistych oraz paszportach, obejmują: imię, nazwisko, nazwisko rodowe, imiona rodziców, datę urodzenia, serię i nr dokumentu tożsamości, ważność dokumentu tożsamości, wizerunek, adres stałego zamieszkania, miejsce urodzenia, wzrost, datę wydania dokumentu tożsamości, numer PESEL, nazwę organu, który wydał dokument tożsamości, kolor oczu, obywatelstwo, płeć oraz datę wydania dokumentu.
Mimo, że powyższe dane nie należą do danych osobowych szczególnych kategorii, określonych w art. 9 i 10 rozporządzenia 2016/679, podlegających szczególnej ochronie oraz wymagających bardziej rygorystycznej reakcji organu nadzorczego przy nakładaniu kar pieniężnych, to jednak szeroki zakres tych danych, zezwalający na natychmiastową identyfikację osób, których dane dotyczą, nakazuje traktować tę przesłankę obciążająco. W tym kontekście warto przywołać stanowisko EROD, zgodnie z którym „im większej liczby takich kategorii danych dotyczy naruszenie lub im bardziej wrażliwe są dane, tym większą wagę organ nadzorczy może przypisać takiemu czynnikowi. Znaczenie ma również ilość danych dotyczących każdej osoby, której dane dotyczą, ponieważ wraz z ilością danych dotyczących każdej osoby, której dane dotyczą, wzrasta skala naruszenia prawa do prywatności i ochrony danych osobowych”[7].
W kwestii szczególnego charakteru informacji identyfikacyjnej w postaci numeru ewidencyjnego PESEL oraz postulatu szczególnej jego ochrony wypowiedział się Naczelny Sąd Administracyjny w wyroku z 6 grudnia 2023 r. wydanym w sprawie o sygn. akt III OSK 2931/21 wskazując, że udostępnienie „(…) danych m.in. w zakresie imion i nazwisk, a także numerów PESEL osób fizycznych, a więc danych względnie trwałych, niezmiennych (…) zawsze może rodzić ryzyko negatywnych skutków dla ww. osób”.
Tym samym organ nadzorczy uznał w niniejszej sprawie, że szeroki zakres danych przetwarzanych przez Spółkę bez podstawy prawnej i w sposób nadmiarowy stwarza wysokie ryzyko naruszenia praw lub wolności osób fizycznych, których te dane dotyczą i ocenił niniejszą przesłankę obciążająco – w stopniu istotnie wpływającym na wysokość orzeczonej administracyjnej kary pieniężnej.
61.
Ustalając wysokość administracyjnej kary pieniężnej, Prezes Urzędu nie znalazł podstaw do uwzględnienia okoliczności łagodzących, mających wpływ na ostateczny wymiar kary. Wszystkie przesłanki wymienione w art. 83 ust. 2 lit. a)-j) rozporządzenia 2016/679 w ocenie organu nadzorczego stanowią albo przesłanki obciążające albo jedynie neutralne. Również stosując przesłankę wymienioną w art. 83 ust. 2 lit. k) rozporządzenia 2016/679 (nakazującą wzięcie pod uwagę wszelkich innych obciążających lub łagodzących czynników mających zastosowanie do okoliczności sprawy) nie znaleziono żadnych okoliczności łagodzących, a jedynie neutralne.
62.
Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679)
W niniejszej sprawie nie udowodniono powstania rzeczywistej szkody po stronie osób, których dane dotyczą, wobec czego nie można było oczekiwać od Administratora podjęcia działań w celu jej zminimalizowania. Jednocześnie nie stwierdzono, aby Administrator podejmował działania mające na celu zminimalizowanie choćby potencjalnej szkody. Z tych przyczyn przedmiotową przesłankę należało ocenić jako neutralną.
63.
Stopień odpowiedzialności Administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 rozporządzenia 2016/679 (art. 83 ust. 2 lit. d rozporządzenia 2016/679)
Ze względu na charakter naruszeń przepisów rozporządzenia 2016/679 stwierdzonych w niniejszej sprawie (przetwarzanie danych osobowych w związku z pozyskiwaniem skanów lub zdjęć dokumentów tożsamości, mimo braku podstawy prawnej, z naruszeniem zasady minimalizacji danych oraz zasady rozliczalności) – które to naruszenia w swej istocie nie wiążą się ze stosowanymi przez administratora środkami technicznymi i organizacyjnymi, a jedynie z oceną poprawności dokonanej przez Spółkę interpretacji przepisów legalizujących to przetwarzanie – należy przyjąć, iż przesłanka wskazana w art. 83 ust. 2 lit. d) rozporządzenia 2016/679 nie ma wpływu ani obciążającego, ani łagodzącego na wymiar orzeczonej administracyjnej kary pieniężnej. Nie ma ona znaczenia w ocenie naruszenia przez Spółkę przepisów art. 5 ust. 1 lit. a) i c), art. 5 ust. 2 oraz art. 6 ust. 1 rozporządzenia 2016/679.
64.
Wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e rozporządzenia 2016/679)
Prezes UODO nie stwierdził po stronie Spółki jakichkolwiek wcześniejszych naruszeń przepisów o ochronie danych osobowych, wobec czego brak jest podstaw do traktowania tej okoliczności jako obciążającej. Jednocześnie wskazać należy, że obowiązkiem każdego administratora jest przestrzeganie przepisów prawa, z uwagi na co brak wcześniejszych naruszeń nie może być traktowany jako okoliczność łagodząca przy wymierzaniu sankcji. Taka ocena spójna jest ze stanowiskiem wyrażonym przez EROD, zgonie z którym „brak wcześniejszych naruszeń nie może (…) zostać uznany za okoliczność łagodzącą, ponieważ przestrzeganie przepisów RODO stanowi normę. Brak wcześniejszych naruszeń można uznać za okoliczność o charakterze neutralnym”[8]. Z tych przyczyn niniejszą przesłankę oceniono w przedmiotowej sprawie jako neutralną.
65.
Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679)
Analizując powyższą przesłankę należy wskazać, że Administrator współpracował z Prezesem UODO w zakresie przeprowadzonych czynności kontrolnych, jak również w toku postępowania administracyjnego. Współpraca ta miała jednak na celu doprowadzenie do rozstrzygnięcia sprawy, a nie usunięcie naruszenia oraz złagodzenie jego ewentualnych negatywnych skutków i mieściła się w granicach obowiązku określonego w art. 31 rozporządzenia 2016/679. Administrator – po wszczęciu postępowania administracyjnego przez Prezesa UODO – nie podjął żadnych działań w celu usunięcia naruszenia, gdyż stanął na stanowisku, że posiada legitymację do przetwarzania danych w związku z pozyskiwaniem skanów lub zdjęć dokumentów tożsamości na podstawie art. 6 ust. 1 lit. f) rozporządzenia 2016/679 i w oparciu o procedurę antyfraudową, ocenę skutków dla ochrony danych oraz test równowagi. Mając zatem na względzie powyższe oraz Wytyczne EROD 04/2022 należało uznać, że wypełnienie zwykłego obowiązku współpracy – jako obligatoryjnego – stanowi okoliczność neutralną w niniejszej sprawie.
66.
Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie (art. 83 ust. 2 lit. h rozporządzenia 2016/679)
Prezes UODO dowiedział się o naruszeniu przepisów rozporządzenia 2016/679 w wyniku przeprowadzonych przez niego czynności kontrolnych. Jak wskazała EROD w Wytycznych 04/2022, „zgodnie z art. 83 ust. 2 lit. h) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, może stanowić istotny czynnik obciążający lub łagodzący. Przy ocenie tego aspektu szczególną wagę można przypisać kwestii, czy administrator lub podmiot przetwarzający powiadomił o naruszeniu z własnej inicjatywy, a jeśli tak, to w jakim zakresie, zanim organ nadzorczy został poinformowany o naruszeniu w drodze – na przykład – skargi lub dochodzenia. […] W przypadku gdy organ nadzorczy dowiedział się o naruszeniu na przykład w wyniku skargi lub w toku postępowania, co do zasady element ten należy uznać również za okoliczność neutralną”[9]. Dlatego też, mając na względzie okoliczności niniejszej sprawy, organ nadzorczy ocenił powyższą przesłankę jako neutralną.
67.
Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków (art. 83 ust. 2 lit. i rozporządzenia 2016/679)
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Spółki w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Spółka nie miała obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie organu nadzorczego, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia. Z uwagi na powyższe przesłanka ta pozostaje bez wpływu zarówno na decyzję o nałożeniu administracyjnej kary pieniężnej, jak i jej wymiar.
68.
Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 (art. 83 ust. 2 lit. j rozporządzenia 2016/679)
Spółka na dzień wydania decyzji nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Spółki. Na jej korzyść mogłaby być natomiast uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzania danych osobowych. W przedmiotowej sprawie okoliczność taka jednak nie wystąpiła.
69.
Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679)
W toku postępowania nie stwierdzono wpływu naruszenia przepisów rozporządzenia 2016/679 na osiągnięcie przez Spółkę korzyści finansowej lub uniknięcie strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Nieosiągnięcie przez Spółkę takich korzyści należy natomiast ocenić jako stan naturalny, niezależny od naruszenia i jego skutków, gdyż okoliczność ta z istoty rzeczy nie może być łagodząca. Interpretację tę potwierdza już samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.
70.
Inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy (art. 83 ust. 2 lit. k rozporządzenia 2016/679)
Prezes UODO rozpatrując niniejszą sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.

Ustalenie wysokości kary z zastosowaniem Wytycznych 04/2022

71.
Ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej nałożonej na Spółkę Prezes UODO zastosował metodykę przyjętą przez EROD w Wytycznych 04/2022. Zgodnie z przedstawionymi w tym dokumencie wskazówkami Prezes UODO przeprowadził niżej przedstawiony proces kalkulacji kary.
72.
Jako podstawę obliczenia administracyjnej kary pieniężnej Prezes UODO przyjął wartość obrotu Spółki za rok 2024 przedstawioną przez nią w sprawozdaniu finansowym załączonym do pisma Spółki z 30 czerwca 2025 r. Zgodnie z tym dokumentem obrót Spółki w roku 2024 (w „poprzednim roku obrotowym”) wyniósł (…) zł, co – w przeliczeniu na euro (wg średniego kursu euro z 28 stycznia 2026 r. – 1 euro = 4,2009 zł – przyjętego dla tego oraz dla wszelkich innych poniższych przeliczeń walutowych zgodnie z art. 103 u.o.d.o.) – stanowi równowartość kwoty (…) euro.
73.
Prezes UODO dokonał kategoryzacji stwierdzonych w niniejszej sprawie naruszeń przepisów rozporządzenia 2016/679 (zob. Rozdział 4.1 Wytycznych EROD 04/2022). Wśród naruszonych przez Spółkę przepisów, oprócz art. 6 ust. 1 rozporządzenia 2016/679, znajdują się także przepisy art. 5 ust. 1 lit. a) i c) oraz art. 5 ust. 2 rozporządzenia 2016/679 określające podstawowe zasady przetwarzania. Naruszenie tych przepisów należy – zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą wyższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 20 000 000 euro lub do 4% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Są one, więc in abstracto poważniejsze od innych (tj. wskazanych w art. 83 ust. 4 rozporządzenia 2016/679) naruszeń.
74.
Prezes UODO ustalił prawnie określoną maksymalną wysokość kary możliwą do orzeczenia wobec Spółki w niniejszej sprawie (za oceniane w niniejszej decyzji naruszenie art. 6 ust. 1, art. 5 ust. 1 lit. a) i c) oraz art. 5 ust. 2) – zob. Rozdział 6.1 Wytycznych 04/2022. Przepis art. 83 ust. 5 lit. a) rozporządzenia 2016/679 zobowiązuje Prezesa UODO do określenia, czy w sprawie zastosowanie będzie miała tzw. „statyczna kwota maksymalna” (20 000 000 euro), czy „dynamiczna kwota maksymalna” (4 % obrotu z poprzedniego roku obrotowego), i do przyjęcia kwoty wyższej jako kwoty maksymalnej, której orzeczona w sprawie administracyjna kara pieniężna nie może przekroczyć. Wartość 4 % obrotu Spółki za poprzedni rok obrotowy to kwota (…) zł (równowartość (…) euro), zaś statyczna kwota maksymalna wynosi 20 000 000 euro. Wobec tego Prezes UODO zobligowany jest do przyjęcia kwoty wyższej (20 000 000 euro) jako maksimum, którego nie może przekroczyć orzekając wobec Spółki administracyjną karę pieniężną.
75.
Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o wysokim poziomie powagi (zob. Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które tyczą się strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679) oraz kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej (zob. pkt 58, 59 i 60 uzasadnienia decyzji). W tym miejscu wskazać należy jedynie, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest wysoki. Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 20 % do 100 % maksymalnej wysokości kary możliwej do orzeczenia wobec Spółki (zob. pkt 60 tiret trzeci Wytycznych 04/2022), to jest od kwoty 16 803 600 zł (4 000 000 euro) do kwoty 84 018 000 zł (20 000 000 euro). Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę 25 205 400 zł stanowiącą równowartość 6 000 000 euro (30% prawnie określonej maksymalnej wysokości kary dla Spółki).
76.
Prezes UODO dostosował kwotę wyjściową odpowiadającą wysokiej powadze stwierdzonego naruszenia do obrotu Administratora jako miernika jego wielkości i siły gospodarczej (vide Rozdział 4.3 Wytycznych 04/2022). Zgodnie z Wytycznymi 04/2022, w przypadku przedsiębiorstw, których roczny obrót wynosi od 50 do 100 mln euro, organ nadzorczy może rozważyć dokonanie dalszych obliczeń wysokości kary na podstawie wartości mieszczącej się w przedziale od 8% do 20% kwoty wyjściowej. Zważywszy na przychód Administratora osiągnięty przez niego w roku 2024 (zob. pkt 72 uzasadnienia decyzji) Prezes UODO za stosowne uznał skorygowanie podlegającej obliczeniom kwoty kary do wartości odpowiadającej 18% kwoty wyjściowej, to jest do kwoty 1 080 000 euro (równowartość 4 536 972 zł).
77.
Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (zob. Rozdział 5 Wytycznych EROD 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się do strony podmiotowej naruszenia (tj. do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie i po jego zaistnieniu) oraz ewentualnie do innych okoliczności mogących mieć znaczenie dla jego oceny. Szczegółowa analiza i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przestawione zostały powyżej (zob. pkt 61-70 uzasadnienia decyzji). W tym zakresie wskazać należy, że w ocenie Prezesa UODO, żadna spośród przesłanek z art. 83 ust. 2 lit. c), d), e), f), h), i), j) oraz k) rozporządzenia 2016/679 nie miała wpływu ani łagodzącego, ani obciążającego na ocenę naruszenia i w konsekwencji na wymiar kary.
78.
Zgodnie z art. 83 ust. 1 rozporządzenia 2016/679 każdy organ nadzorczy zapewnia, by administracyjne kary pieniężne stosowane za naruszenia tego rozporządzenia były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Natomiast Wytyczne EROD 04/2022 wskazują, że ostatnim krokiem kalkulacji kary dokonywanej zgodnie z przedstawioną tam metodyką powinno być przeanalizowanie, czy ostateczna kwota obliczonej kary pieniężnej spełnia te wymogi, oraz (ewentualnie) odpowiednie zwiększenie lub zmniejszenie kary pieniężnej[10]. Dokonując takiej analizy w niniejszej sprawie Prezes UODO uznał, że administracyjna kara pieniężna w kwocie 4 536 972 zł wymaga dodatkowej korekty ze względu na zasady skuteczności, proporcjonalności i odstraszającego charakteru kary (art. 83 ust. 1 rozporządzenia 2016/679).
79.
W okolicznościach niniejszej sprawy Prezes UODO dostrzegł, że Spółka jest w sposób pośredni częścią międzynarodowej grupy kapitałowej Z. (…) o dużym potencjale ekonomicznym i globalnym zasięgu działalności. Na czele wskazanej grupy znajduje się (…) spółka Y. (…) z siedzibą w E., która posiada 94% udziałów w (…) spółce N. (…).A. z siedzibą w Q.. Ta z kolei jest jedynym wspólnikiem w spółce W. (…) sp. z o.o. z siedzibą w P., będącej stroną niniejszej sprawy. Z. (…) jest jednym z liderów w branży dostawy produktów i jedzenia, a swoją działalność prowadzi za pośrednictwem licznych spółek-córek oraz marek w około (…) krajach na (…) kontynentach[11]. W 2024 roku grupa kapitałowa osiągnęła przychód w wysokości około (…) euro, w tym segment europejski, do którego należy m.in. marka M., osiągnął przychód w wysokości około (…) euro[12]. Biorąc pod uwagę powyższe wyniki finansowe całej grupy kapitałowej stwierdzić należy, że administracyjna kara pieniężna w kwocie 4 536 972 zł nie będzie dla Spółki nadmiernie dotkliwa, lecz jednocześnie nie będzie wystarczająco skuteczna, proporcjonalna i odstraszająca.
80.
W zakresie pojęcia „przedsiębiorstwo” Wytyczne EROD 04/2022 (zob. pkt 118) wskazują, że zgodnie z Motywem 150 rozporządzenia 2016/679 „[j]eżeli administracyjna kara pieniężna jest nakładana na przedsiębiorstwo, to "przedsiębiorstwo" należy do tych celów rozumieć zgodnie z art. 101 i 102 TFUE. "Przedsiębiorstwo" – w rozumieniu wskazanych przepisów – dotyczy zatem każdego podmiotu wykonującego działalność gospodarczą, niezależnie od jego statusu prawnego i sposobu jego finansowania[13]. W oparciu o tak rozumiane, funkcjonalne pojęcie "przedsiębiorstwa", TSUE w wyroku C-807/21 z dnia 5 grudnia 2023 roku wskazał, że gdy organ nadzorczy postanawia (…) nałożyć na administratora, który jest przedsiębiorstwem lub jego częścią w rozumieniu art. 101 i 102 TFUE, administracyjną karę pieniężną na podstawie art. 83 tego rozporządzenia, organ ten przy obliczaniu administracyjnych kar pieniężnych za naruszenia, o których mowa w ust. 4–6 tego art. 83, jest zobowiązany (…) oprzeć się na pojęciu "przedsiębiorstwa" w rozumieniu art. 101 i 102 TFUE”[14]. Niniejsze oznacza, że obrót całej grupy kapitałowej powinien stanowić podstawę określenia maksymalnej wysokości kary, jak również powinien być brany pod uwagę przy ocenie skuteczności, proporcjonalności oraz odstraszającego charakteru.
81.
W przedmiotowej sprawie organ nadzorczy określił maksymalną wysokość administracyjnej kary pieniężnej w oparciu wyłącznie o obrót Spółki, jednakże na etapie dostosowywania niniejszej kary postanowił wziąć pod uwagę obrót i pozycję całej grupy kapitałowej. Wysokość administracyjnej kary pieniężnej musi bowiem odzwierciedlać potencjał ekonomiczny Spółki w obrębie grupy kapitałowej, aby kara realizowała swój cel.
82.
Z tych przyczyn Prezes UODO zadecydował o zwiększeniu dotychczas ustalonej wysokości kary o 30%, tj. do kwoty 5 898 064 zł (równowartość 1 404 000 euro), gdyż dopiero taka kwota – w jego ocenie – będzie skuteczna, proporcjonalna i odstraszająca.
83.
Oceniając skuteczność wskazanej wyżej kwoty należy wyjaśnić, że kara powinna być na tyle dotkliwa, aby faktycznie zmusić przedsiębiorstwo do przestrzegania przepisów. W tym kontekście administracyjna kara pieniężna ustalona wyłącznie na podstawie obrotu Spółki mogłoby okazać się zbyt niska, a tym samym nieskuteczna. Nie ulega bowiem wątpliwości, że obroty Spółki w 2024 roku stanowiły jedynie (…)% obrotów całej grupy. Kara w wysokości 4 536 972 zł miałaby zatem marginalne znaczenie nie tylko dla Spółki, ale również dla całej grupy kapitałowej, biorąc pod uwagę jej siłę ekonomiczną. Dlatego też – w ocenie organu nadzorczego – skorygowanie wysokości kary do kwoty 5 898 064 zł pozwoli na osiągnięcie jej głównego celu, jakim jest przymuszenie Spółki do przywrócenia zgodności przetwarzania danych osobowych z przepisami rozporządzenia 2016/679. Kara pieniężna orzeczona w ww. wymiarze będzie skuteczna, bowiem doprowadzi do stanu, w którym administrator zaprzestanie zbierania i dalszego przetwarzania danych osobowych użytkowników aplikacji M. w zakresie zdjęcia/skanu dowodu osobistego lub paszportu bez podstawy prawnej oraz usunie zebrane w ten sposób dane. Skuteczność tej kary równoważna jest zatem z gwarancją, że Spółka od momentu zakończenia niniejszego postępowania będzie ze starannością podchodzić do wymogów stawianych przez przepisy o ochronie danych osobowych. Dodatkowo kara ta, jako środek o charakterze represyjnym, zezwoli na realne ukaranie Spółki za jej bezprawne, utrzymujące się długotrwale zachowanie.
84.
Zdaniem Prezesa UODO administracyjna kara pieniężna w skorygowanej wysokości jest również proporcjonalna do stwierdzonych naruszeń przepisów rozporządzenia 2016/679, w tym zwłaszcza ich charakteru i wagi. Proporcjonalność zastosowanej sankcji wyraża się również w tym, że ustalona przez organ kwota kary nie będzie stanowić dla Spółki nadmiernego obciążenia. Nie ma przy tym znaczenia okoliczność, że Spółka w 2024 roku wykazała stratę w wysokości (…) zł. Niniejsza kwota stanowi bowiem jedynie wynik rachunkowy, który nie odzwierciedla w pełni sytuacji ekonomicznej Spółki. Strata wykazana w sprawozdaniu finansowym może wynikać m.in. z przyjętego modelu rozliczeń w grupie kapitałowej, strategii podatkowej lub nakładów inwestycyjnych i niekoniecznie świadczy o złej sytuacji finansowej Spółki. Jak wynika ze sprawozdania finansowego, Y. (…) z siedzibą w E. uznał sytuację finansową Spółki i na podstawie biznesplanu na lata przyszłe, będzie finansować działalność tego podmiotu zgodnie z potrzebami. W sprawozdaniu finansowym podkreślono nadto, że Spółka jest ważną częścią grupy Y. (…) i jest w trakcie realizacji istotnych inwestycji, wobec czego intencją grupy jest dalsze wspieranie finansowe Spółki.
85.
Tym samym w ocenie organu nadzorczego rzeczywista kondycja finansowa Spółki, a tym samym odczuwalność nałożonej sankcji, powinna być oceniana w odniesieniu do całej grupy, której Spółka jest integralnym elementem. Wobec powyższego Spółka powinna i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych osobowych, stąd nałożenie administracyjnej kary pieniężnej w wysokości 5 898 064 zł jest w pełni uzasadnione.
86.
Ponadto tak skorygowana administracyjna kara pieniężna w kwocie 5 898 064 zł spełni w tych konkretnych okolicznościach również funkcję prewencyjną, albowiem wskaże tak Spółce, jak i całej grupie kapitałowej oraz innym administratorom danych, że organ nadzorczy – stojąc na straży przepisów o ochronie danych osobowych będzie z pełną mocą egzekwował odpowiedzialność ww. podmiotów za stwierdzone naruszenia przepisów rozporządzenia 2016/679. Tym samym zastosowana w niniejszym postępowaniu sankcja zniechęci zarówno Spółkę, jak i innych podobnych jej administratorów do popełniania w przyszłości takich samych lub też innych naruszeń rozporządzenia 2016/679. W tym zakresie istotne jest również, że w ostatnim czasie organy nadzorcze w różnych państwach Unii Europejskiej kilkukrotnie podejmowały działania wobec innych spółek należących do tej samej grupy kapitałowej (Y. (…)), nakładając na nie administracyjne kary pieniężne. Przykładowo, decyzją z (…) 2024 roku, włoski organ nadzorczy (…) nałożył na spółkę K. s.r.l. z siedzibą w H. (analogicznie do niniejszej sprawy – spółkę zależną od N. (…) z siedzibą w Q.) karę w wysokości 5 000 000 euro m.in. za naruszenie art. 5 a), c) i d) oraz art. 6 ust. 1 b) rozporządzenia 2016/679[15]. W przywołanej sprawie ustalono, że spółka K. s.r.l. dopuściła się licznych i ciągłych naruszeń polegających m.in. na stałym monitorowaniu geolokalizacji kurierów oraz automatycznym przypisywaniu im godzin pracy na podstawie danych z geolokalizacji, historii aktywności, czy dostępności. Działania te miały miejsce bez podstawy prawnej, z naruszeniem zasady minimalizacji danych oraz przepisów o zautomatyzowanym podejmowaniu decyzji. Z kolei decyzją z 10 czerwca 2021 r. włoski organ nadzorczy nałożył na spółkę K. s.r.l. z siedzibą w H. karę w wysokości (…) euro za naruszenie art. 5 ust. 1 lit. a), c) i e), art. 13, art. 22, art. 25, art. 30, art. 32, art. 35 i art. 37, powstałe w związku ze stosowaniem algorytmów do zarządzania dostawcami żywności[16]. Również sama spółka N. (…) z siedzibą w Q. została ukarana przez (…) organ nadzorczy F. (…) (dalej jako „F.”). Decyzją z 9 czerwca 2020 roku F. nałożył na N. (…) z siedzibą w Q. karę w wysokości 25 000 euro za naruszenie art. 37 i 83 ust. 4 rozporządzenia 2016/679 oraz 34 ust. 1 i 34 ust. 3 (…) ustawy o ochronie danych osobowych ((…)), polegające na niewyznaczeniu inspektora ochrony danych[17]. Z kolei decyzją z 9 lipca 2024 roku F. nałożył na N. (…) z siedzibą w Q. karę w wysokości (…) euro za naruszenie art. 15 rozporządzenia 2016/679, poprzez nieudzielenie odpowiedzi na wniosek osoby o dostęp do danych. Niniejsze świadczy o utrzymującym się problemie z zapewnieniem zgodności przetwarzania z przepisami o ochronie danych osobowych w obrębie całej grupy kapitałowej. Wobec tego należało uznać, że nałożenie na Spółkę administracyjnej kary pieniężnej w zwiększonej wysokości, może przyczynić się do weryfikacji i udoskonalenia wewnętrznych procedur w całej grupie kapitałowej w celu zapobiegania podobnym naruszeniom.
87.
Końcowo należało się odnieść do argumentacji Spółki przedstawionej w piśmie z 22 grudnia 2023 roku, że za odstąpieniem od nałożenia na nią administracyjnej kary pieniężnej przemawia dotychczasowa praktyka organu nadzorczego. W tym zakresie Spółka wskazała przykładowe sprawy toczące się przed tutejszym organem nadzorczym, dotyczące przetwarzania skanów dokumentów tożsamości, w których Prezes UODO nie nałożył administracyjnej kary pieniężnej, lecz poprzestał na upomnieniu (decyzja z dnia 17 stycznia 2023 r. o sygn. DS.523.1175.2020) oraz na nakazie zaprzestania przetwarzania danych (decyzja z dnia 14 lipca 2023 r. o sygn. DS.523.3058.2022). Przywołana argumentacja nie znalazła uzasadnienia w okolicznościach niniejszej sprawy i nie doprowadziła do odstąpienia od nałożenia na Spółkę administracyjnej kary pieniężnej w określonej wyżej wysokości. Nie ulega wątpliwości organu nadzorczego, że przytoczone rozstrzygnięcia dotyczą skarg poszczególnych osób na nieprawidłowości w przetwarzaniu ich danych osobowych w ramach procesów charakterystycznych dla specyfiki sektora bankowego. Każda sprawa jest rozpatrywana indywidualnie, z uwzględnieniem jej okoliczności faktycznych oraz kontekstu przetwarzania danych osobowych. Sprawy przywołane przez Spółkę, choć również dotyczyły przetwarzania skanów dowodów osobistych, odnosiły się do działalności banków, a więc instytucji objętych szczególnym reżimem prawnym, wobec czego nie należy ich porównywać ze sprawą niniejszą. Jednocześnie, w przedmiotowej sprawie nie zostały spełnione warunki, które w innych postępowaniach (jak przywołana sprawa o sygn. DS.523.1175.2020) uzasadniały zastosowanie jedynie upomnienia. Spółka nie podjęła bowiem do tej pory skutecznych działań zmierzających do usunięcia naruszenia. Podobnie, chybione było powoływanie się przez Spółkę na rozstrzygnięcie w sprawie o sygn. DKE.523.5.2021, w której organ nadzorczy odmówił uwzględnienia wniosku skarżącego o usunięcie skanu jego dowodu osobistego oraz zaprzestanie przetwarzania danych osobowych w celach marketingowych przez operatora telekomunikacyjnego. Zgodnie z ustaleniami faktycznymi wydanej w tej sprawie decyzji, administrator zaprzestał przetwarzania danych osobowych skarżącego w kwestionowany w skardze sposób, co było przyczyną odstąpienia od zastosowania środków naprawczych. Z kolei w okolicznościach przedmiotowej sprawy naruszenie nadal trwa.
88.
Mając na względzie powyższe należy wskazać, że wymierzenie w niniejszej sprawie administracyjnej kary pieniężnej było konieczne. Zastosowanie wobec Spółki wyłącznie innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b) rozporządzenia 2016/679), nie spełniałoby bowiem wymogu proporcjonalności, rozumianego jako konieczność zastosowania przez organ nadzorczy środka, który adekwatny jest do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych. Odstąpienie od nałożenia administracyjnej kary pieniężnej nie gwarantowałoby również tego, że Administrator dobrowolnie zaprzestanie przetwarzania danych osobowych użytkowników Aplikacji zawartych w zdjęciach/skanach dokumentów tożsamości bez podstawy prawnej, w tym w sposób nadmiarowy oraz nieadekwatny w stosunku do założonych celów (w szczególności, iż nie wykazał tego w toku trwającego postępowania administracyjnego), ani też, że Administrator nie dopuści się w przyszłości kolejnych naruszeń. W ocenie organu nadzorczego jedynie administracyjna kara pieniężna w połączeniu ze środkiem naprawczym w postaci nakazu zezwoli w przedmiotowej sprawie na skuteczne egzekwowanie przepisów rozporządzenia 2016/679.
89.
Prezes UODO stwierdził, że ustalona w przedstawiony powyżej sposób kwota administracyjnej kary pieniężnej nie przekracza – stosownie do art. 83 ust. 3 rozporządzenia 2016/679 – prawnie określonej maksymalnej wysokości kary przewidzianej dla najpoważniejszego naruszenia (zob. Rozdział 6 Wytycznych 04/2022). Stwierdzone w niniejszej sprawie naruszenia przepisów rozporządzenia 2016/679 (art. 5 ust. 1 lit. a) i c), art. 5 ust. 2 oraz art. 6 ust. 1) zagrożone są taką samą karą w wysokości do 20 000 000 euro lub do 4 % rocznego obrotu Spółki z poprzedniego roku obrotowego. Kwota orzeczonej kary – 5 898 064 zł (równowartość 1 404 000 euro) – stanowi 7,02% kwoty 84 018 000 zł (20 000 000 euro), czyli maksymalnej wysokości kary, którą zgodnie z art. 83 ust. 6 rozporządzenia 2016/679 mógł orzec Prezes UODO za stwierdzone w niniejszej sprawie naruszenia (zob. pkt 74 uzasadnienia decyzji).
Mając powyższe na uwadze Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji niniejszej decyzji.
[1] P. Fajgielski (w:) Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 5. https://sip.lex.pl/#/commentary/587773149/670977/fajgielski-pawel-komentarz-do-rozporzadzenia-nr-2016-679-w-sprawie-ochrony-osob-fizycznych-w...?cm=URELATIONS
[2] D. Lubasz, W. Chomiczewski [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, Warszawa 2018, art. 6. https://sip.lex.pl/#/commentary/587747147/544587/bielak-jomaa-edyta-red-lubasz-dominik-red-rodo-ogolne-rozporzadzenie-o-ochronie-danych-komentarz?cm=URELATIONS
[3] D. Lubasz, Zasady dotyczące przetwarzania danych osobowych [w:] Meritum. Ochrona danych osobowych, red. D. Lubasz, Warszawa 2022, s. 112.
[4] A. Maciaszczyk, Zasada ograniczenia celu, zasada minimalizacji danych i zasada prawidłowości w ochronie danych osobowych, LEX/el. 2023.
[5] Zob. P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 6.
[6] Wytyczne EROD 04/2022, str. 20, pkt. 55.
[7] Wytyczne EROD 04/2022, str. 21, pkt 57-58.
[8] Wytyczne EROD 04/2022, str. 30, pkt 94.
[9] Wytyczne EROD 04/2022, str. 31, pkt 98.
[10] Wytyczne EROD 04/2022, str. 9, pkt.17.
[11] Annual Report 2024, dostępne w Internecie: https://(…) [dostęp 13.06.2025 r.];
[12] Tamże;
[13] Wyrok TSUE z 27.04.2017 r., Akzo Nobel and Others v Commission, C-516/15 P, EU:C:2017:314;
[14] Wyrok TSUE z 05.102.2023 r., Deutsche Wohnen, C-807/21, EU:C:2023:950.
[15] (…), https://(…) [dostęp 16.07.2025 r.]
[16] (…), https://(…) [dostęp 16.07.2025 r.]
[17] (…), https://(…) [dostęp 16.07.2025 r.]
[18] (…), https://(…) [dostęp 16.07.2025 r.]