Decyzja DKN.5131.7.2022

Na podstawie art. 104 § 1 oraz art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2025 r. poz. 1691), zwanej dalej: „k.p.a.”, art. 7 ust. 1 i 2, art. 60, art. 101 oraz art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781 ze zm.), zwanej dalej: „u.o.d.o.”, a także art. 57 ust. 1 lit. a) oraz h), art. 58 ust. 2 lit. b) oraz i), art. 83 ust. 1-3, art. 83 ust. 4 lit. a) w zw. z art. 32 ust. 1 i 2 w zw. z art. 28 ust. 4, a także: art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1, 3 i 4 oraz art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej: „rozporządzeniem 2016/679”,

po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez:

–

T. (…) z siedzibą w U. (al. (…), (…) U.),

–

Pana K. F. prowadzącego działalność gospodarczą pod nazwą: X. (…) (ul. (…), (…) D.),

–

Panią K. P. prowadzącą działalność gospodarczą pod nazwą: W (…) (ul. (…), (…) S.),

–

Pana L. A. prowadzącego działalność gospodarczą pod nazwą: A. (…) (D. (…), (…) P.),

Prezes Urzędu Ochrony Danych Osobowych:

1)

stwierdzając naruszenie przez T. (…) z siedzibą w U. (al. (…), (…) U.) art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, polegające na:

a)

niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych oraz ochronę praw osób, których dane dotyczą, odpowiadających ryzyku przetwarzania danych przy użyciu niezweryfikowanej aplikacji zainstalowanej na urządzeniach przenośnych, regularnie testowanych, mierzonych i ocenianych pod kątem ich skuteczności, mających zapewnić bezpieczeństwo przetwarzania danych osobowych przez Pana L. A. prowadzącego działalność gospodarczą pod nazwą: A. (…) (D. (…), (…) P.),

b)

braku właściwej weryfikacji podmiotu przetwarzającego, czy zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą,

skutkujące naruszeniem zasady integralności i poufności (art. 5 ust. 1 lit. f) rozporządzenia 2016/679) oraz zasady rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679),

udziela T. (…) z siedzibą w U. (al. (…), (…) U.), za naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, upomnienia,

2)

stwierdzając naruszenie przez Pana K. F. prowadzącego działalność gospodarczą pod nazwą: X. (…) (ul. (…), (…) D.) art. 32 ust. 1 i 2 w zw. z art. 28 ust. 4 rozporządzenia 2016/679, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych oraz ochronę praw osób, których dane dotyczą, odpowiadających ryzyku przetwarzania danych przy użyciu niezweryfikowanej aplikacji zainstalowanej na urządzeniach przenośnych, regularnie testowanych, mierzonych i ocenianych pod kątem ich skuteczności, mających zapewnić bezpieczeństwo przetwarzania danych osobowych przez Pana L. A. prowadzącego działalność gospodarczą pod nazwą: A. (…) (D. (…), (…) P.), udziela Panu K. F. prowadzącemu działalność gospodarczą pod nazwą: X. (…) (ul. (…), (…) D.) upomnienia,

3)

stwierdzając naruszenie przez Panią K. P. prowadzącą działalność gospodarczą pod nazwą W (…) (ul. (…), (…) S.) art. 32 ust. 1 i 2 w zw. z art. 28 ust. 4 rozporządzenia 2016/679, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych oraz ochronę praw osób, których dane dotyczą, odpowiadających ryzyku przetwarzania danych przy użyciu niezweryfikowanej aplikacji zainstalowanej na urządzeniach przenośnych, regularnie testowanych, mierzonych i ocenianych pod kątem ich skuteczności, mających zapewnić bezpieczeństwo przetwarzania danych osobowych przez Pana L. A. prowadzącego działalność gospodarczą pod nazwą: A. (…) (D. (…), (…) P.), udziela Pani K. P. prowadzącej działalność gospodarczą pod nazwą W (…) (ul. (…), (…) S.) upomnienia,

4)

stwierdzając naruszenie przez Pana L. A. prowadzącego działalność gospodarczą pod nazwą: A. (…) (D. (…), (…) P.), art. 32 ust. 1 i 2 w zw. z art. 28 ust. 4 rozporządzenia 2016/679, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych oraz ochronę praw osób, których dane dotyczą, odpowiadających ryzyku przetwarzania danych przy użyciu niezweryfikowanej aplikacji zainstalowanej na urządzeniach przenośnych, mających zapewnić bezpieczeństwo przetwarzania danych osobowych przez ten podmiot,

nakłada na Pana L. A. prowadzącego działalność gospodarczą pod nazwą: A. (…) (D. (…), (…) P.), administracyjną karę pieniężną w wysokości 10 145 PLN (słownie: dziesięć tysięcy sto czterdzieści pięć złotych),

5)

w pozostałym zakresie postępowanie umarza.

Uzasadnienie

A. Stan faktyczny.

I. Zgłoszenie naruszenia ochrony danych osobowych.

1.

14 kwietnia 2021 r. do Prezesa Urzędu Ochrony Danych Osobowych (zwanego dalej: „Prezesem UODO” lub „organem nadzorczym”) wpłynęło zgłoszenie naruszenia ochrony danych osobowych dokonane przez T. (…) z siedzibą w U. (al. (…), (…) U.), dalej zwaną: „Spółką” lub „Administratorem”, zarejestrowane pod sygn. DKN.5130.3468.2021. W formularzu zgłoszenia naruszenia ochrony danych osobowych Administrator ujął m.in. informacje przytoczone w pkt 2-6 poniżej.

2.

Spółka w przesłanym formularzu wskazała, że (poza nią) uczestnikami procesu przetwarzania danych osobowych, których była administratorem, byli również:

a)

Pan K. F. prowadzący działalność gospodarczą pod nazwą: X. (…) (ul. (…), (…) D.), zwany dalej: „Agentem 1”,

b)

Pan L. A. prowadzący działalność gospodarczą pod nazwą: A. (…) (D. (…), (…) P.), zwany dalej: „Sub-Agentem”.

3.

Opisując, na czym polegało zgłaszane naruszenie ochrony danych osobowych, Spółka wyjaśniła, że Sub-Agent jako podmiot przetwarzający (któremu dalsze przetwarzanie zostało powierzone przez Agenta 1), bez zgody tego Agenta oraz Spółki, wprowadził u siebie samowolnie nieautoryzowane przez Spółkę narzędzia przetwarzania danych osobowych. Miało to miejsce w lipcu 2020 r. i trwało do czasu interwencji, którą Spółka podjęła po tym, gdy uzyskała informację o jego wykorzystywaniu od byłego pracownika Sub-Agenta w marcu 2021 r. Narzędziem tym była aplikacja Y., z której korzystano na telefonach typu smartfon. Pracownicy Sub-Agenta, którzy posiadali upoważnienia do przetwarzania danych osobowych wydawane na mocy postanowień umów powierzenia przetwarzania danych osobowych, wykorzystywali tę aplikację do wzajemnego wysyłania sobie zdjęć lub skanów dokumentów klienta, w szczególności umów.

4.

W ramach przeprowadzonego przez siebie postępowania wyjaśniającego Spółka ustaliła, że aplikacja Y. była wykorzystywana do wysyłania zdjęć umów lub widoku ekranu z danymi osób, które zamieszkiwały odwiedzane adresy w trakcie sprzedaży typu „door to door” (dalej zwanej: „D2D”). W ramach ujawnionej praktyki, pracownik Sub-Agenta odwiedzając klienta w domu otrzymywał od drugiego pracownika tego podmiotu, który posiadał dostęp do systemu Administratora, zdjęcie ekranu z dotychczasową umową. Pracownik odwiedzający klienta uprzednio przygotowywał aneks do umowy i przedstawiał gotowy dokument do podpisu klientowi. Działania takie odbywały się, jak wyżej już wspomniano, bez zgody Administratora oraz Agenta 1. Opisany sposób przetwarzania danych osobowych powodował, że osoby korzystające z wymienionej aplikacji wchodziły w posiadanie zdjęć umów klientów. Jak wskazał Administrator, aplikacja Y., mimo że zapewnia domyślnie szyfrowanie wysyłanych wiadomości, umożliwia zgrywanie załączników do zasobów telefonu, a nawet (w zależności od ustawień) zgrywa je automatycznie. Ponadto sama aplikacja posiada historię korespondencji z załącznikami. Administrator dokonując zgłoszenia stwierdzonego naruszenia ochrony danych osobowych zaznaczył, że Sub-Agent nie kontrolował usuwania danych z aplikacji oraz telefonów handlowców, z którymi kończył współpracę. W konsekwencji dane te, jak słusznie podkreśliła Spółka w zgłoszeniu, mogły pozostawać na prywatnych telefonach pracowników nawet po zakończeniu pracy pracownika u Sub-Agenta. Zwróciła przy tym uwagę na fakt przekazania tych danych przez byłego już wówczas pracownika Sub-Agenta dziennikarzowi radia H. (jako jednego z dowodów nieprawidłowości w zawieraniu umów przez Sub-Agenta).

5.

Spółka oceniła, że opisana sytuacja skutkuje naruszeniem ochrony danych osobowych (stwierdziła je ostatecznie 13 kwietnia 2021 r.). Jako czas zakończenia tego naruszenia Spółka wskazała marzec 2021 r., gdy doszło do odebrania certyfikatów oraz upoważnień Sub-Agentowi, ale zwróciła uwagę również na możliwość, że jego byli pracownicy nadal posiadają na swoich telefonach zdjęcia dokumentów osób (klientów), których danych Spółka była administratorem.

6.

Administrator stwierdził, że naruszenie poufności danych osobowych dotyczyło przynajmniej (…) osób - obecnych lub potencjalnych klientów Spółki, zwanych dalej: „Podmiotami Danych”. Administrator zaznaczył przy tym, że istnieje wysokie prawdopodobieństwo, że stwierdzone naruszenie ochrony danych osobowych mogło dotyczyć większej liczby osób. Spółka w dokonanym zgłoszeniu wskazała również, że stwierdzone naruszenie dotyczyło: imion, nazwisk, adresów zamieszkania lub pobytu, numerów ewidencyjnych PESEL, adresów e-mail, numerów telefonu, a także innych danych Podmiotów Danych, tj.: numerów klienta oraz numerów punktu przyłączenia do sieci elektroenergetycznej. Wymienione dane osobowe objęte zgłoszonym naruszeniem zwane będą dalej: „Danymi Klientów”.

II. Wyniki postępowania przeprowadzonego przez organ nadzorczy.

7.

Prezes UODO przeprowadził postępowanie wyjaśniające w sprawie ww. zgłoszonego naruszenia ochrony danych osobowych, a następnie, 2 marca 2022 r., wszczął z urzędu postępowanie administracyjne (sygn.: DKN.5131.7.2022) w przedmiocie możliwości naruszenia przez:

–

Spółkę (jako administratora danych),

–

Agenta 1 (jako podmiot przetwarzający),

–

Sub-Agenta (jako inny podmiot przetwarzający, o którym mowa w art. 28 ust. 4 rozporządzenia 2016/679),

obowiązków wynikających z przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1, art. 28 ust. 3 oraz art. 28 ust. 4, a także art. 32 ust. 1 i 2 rozporządzenia 2016/679, w związku z naruszeniem ochrony danych osobowych polegającym na nieuprawnionym gromadzeniu i przetwarzaniu danych osobowych Podmiotów Danych, zgłoszonym Prezesowi UODO przez Spółkę - jako administratora danych - 14 kwietnia 2021 roku i zarejestrowanym pod numerem DKN.5130.3468.2021. W wyniku analizy kolejnych wyjaśnień udzielanych w niniejszej sprawie, organ nadzorczy podjął decyzję o objęciu prowadzonym postępowaniem administracyjnym jeszcze jednego podmiotu przetwarzającego: Pani K. P. prowadzącej działalność gospodarczą pod nazwą W (…) (ul. (…), (…) S.), zwanej dalej: „Agentem 2” (o czym zawiadomiono wszystkie cztery strony pismami z 15 lipca 2025 r.).

8.

Prezes UODO, w wyniku przeprowadzonego postępowania wyjaśniającego w sprawie zgłoszonego naruszenia ochrony danych osobowych oraz wszczętego postępowania administracyjnego, ustalił stan faktyczny opisany w kolejnych punktach niniejszej części uzasadnienia (zob.: pkt. 9 i następne), uzupełniając poprzez to opis stanu faktycznego dokonany przez Administratora w formularzu zgłoszenia naruszenia ochrony danych osobowych (o którym mowa w części A.I uzasadnienia niniejszej decyzji).

9.

Spółka, której przedmiotem przeważającej działalności był wówczas (oraz jest nadal) handel energią elektryczną, w istotnym dla przedmiotu postępowania okresie swojej działalności oferowała sprzedaż tej energii m.in. w kanale sprzedaży bezpośredniej D2D. System ten zorganizowany był poprzez budowanie przez Spółkę sieci sprzedaży, w ramach której powierzała przetwarzanie danych osobowych swoich klientów innym podmiotom, które z kolei miały możliwość dalszego powierzania przetwarzania tych danych kolejnym podmiotom lub osobom. Taki model współpracy został nawiązany również w analizowanym przypadku: Spółka najpierw powierzyła przetwarzanie danych osobowych Agentowi 2, a następnie Agentowi 1, którzy z kolei dokonali dalszego powierzenia przetwarzania danych osobowych Sub-Agentowi zatrudniającemu handlowców (z których część zarejestrowana była u Agenta 2, a część u Agenta 1).

10.

Badając szczegóły organizowania sieci sprzedaży obejmującej Spółkę, Agenta 1, Agenta 2 oraz Sub-Agenta, Prezes UODO w ramach prowadzonego postępowania ustalił, że:

a)

Spółka najpierw zawarła z Agentem 2 Umowę Franczyzy nr (…) (podpisaną (…) r.), po czym strony tej umowy zawarły (…) r. „Umowę (…)” (zwaną dalej: „Umową powierzenia Spółki z Agentem 2”). Mimo że ta ostatnia umowa została zawarta przed rozpoczęciem stosowania rozporządzenia 2016/679, odnosiła się do jego przepisów i została skonstruowana z uwzględnieniem treści art. 28 ust. 3 tego rozporządzenia. Następnie, (…) r. ww. Umowa Franczyzy nr (…) została zmieniona „(…)”, w którym m.in.:

–

Spółka wyraziła zgodę na zawieranie przez Agenta 2 umów sub-agencyjnych, na mocy których sub-agent zobowiąże się w ramach prowadzonej działalności gospodarczej do zawierania z klientami umów na energię elektryczną, umów na paliwo gazowe, sprzedaż produktów okołoenergetycznych znajdujących się w ofercie Spółki, w ramach działalności D2D, na warunkach określonych w tym Aneksie oraz w Wytycznych do umowy sub-agencyjnej stanowiących załącznik do tego Aneksu,

–

wskazano, że „sieć sprzedaży” (w przypadku sprzedaży w ramach D2D) to: Agent 2, pracownik Agenta 2, sub-agent oraz pracownik sub-agenta,

–

ustalono, że świadczenie przez Agenta 2 usług w ramach D2D może odbywać się przez pracowników sub-agenta, o ile wcześniej Agent 2 podpisze z nim umowę zgodną w treści z wytycznymi określonymi przez Spółkę w stanowiących załącznik do tego Aneksu „(…)”;

b)

(…) r. Agent 2 podpisał z Sub-Agentem „Umowę (…)”, w której Sub-Agent zobowiązał się za wynagrodzeniem należnym od Agenta 2 do świadczenia usług agencyjnych w postaci: skutecznego pozyskiwania na rzecz Spółki nowych klientów, skutecznego odzyskiwania klientów Spółki utraconych na rzecz firm konkurencyjnych oraz zawierania z klientami w imieniu i na rzecz Spółki umów sprzedaży produktów i dokonywania zmian (aneksowania) umów sprzedaży produktów Spółki zgodnie z ofertą Spółki. By właściwie opisać, w jaki sposób była skonstruowana ww. sieć sprzedaży, należy w tym miejscu wskazać np., że zgodnie z ww. Umową Sub-Agencyjną:

–

to Agent 2 zobowiązał się udzielić Sub-Agentowi pełnomocnictwa do zawierania i aneksowania umów z klientami (pkt 2.4 tej umowy), przy czym Sub-Agent nie był uprawniony do udzielania dalszych pełnomocnictw - pełnomocnictw w tym zakresie miał udzielić pracownikom Sub-Agenta (wskazanym przez Sub-Agenta) Agent 2 (pkt 2.5 tej umowy) pod warunkiem uzyskania przez nich certyfikatu od Spółki uprawniającego ich do realizacji sprzedaży w ramach D2D,

–

Agent 2 oraz Spółka mieli prawo wydawać Sub-Agentowi wiążące polecenia w zakresie sprzedaży prowadzonej w ramach D2D, szkoleń pracowników Sub-Agenta, zmian personelu i wprowadzania wszelkich zmian zmierzających do usunięcia stwierdzonych przez Agenta 2 lub Spółkę uchybień w realizacji procesu sprzedaży prowadzonej w ramach D2D (pkt 13.3 ww. umowy);

Z zawarciem i realizacją ww. Umowy Sub-Agencyjnej wiązała się konieczność dalszego powierzenia przetwarzania przez Agenta 2 danych osobowych, których administratorem była Spółka. W związku z tym, tego samego dnia, w którym podpisana została ww. Umowa Sub-Agencyjna (tj. (…) r.) Agent 2 podpisał z Sub-Agentem „Umowę (…)”, zwaną dalej: „Umową powierzenia Agenta 2 z Sub-Agentem”;

a ponadto organ ustalił, że:

c)

(…) r. Spółka zawarła z Agentem 1 „Umowę (…)”, na podstawie której również Agent 1 zobowiązał się do skutecznego pozyskiwania na rzecz Spółki nowych klientów i utrzymywania dotychczasowych, a także do zawierania z nimi w imieniu i na rzecz Spółki umów sprzedaży jej produktów oraz dokonywania zmian (aneksowania) takich umów. W umowie tej strony ustaliły m.in., że:

–

Spółka udzieli Agentowi 1 pełnomocnictwa do zawierania i aneksowania umów z klientami, przy czym Agent 1 był uprawniony do udzielania dalszych pełnomocnictw zgodnie m.in. ze wskazanymi wytycznymi (art. 2 pkt 3 tej umowy),

–

Agent 1 zobowiązany był do współpracy ze Spółką w zakresie organizacji procesu sprzedaży realizowanej przez Sieć Sprzedaży Agenta (tj. sieć sub-agentów, handlowców, a także pracowników i współpracowników, przez których należy rozumieć back-office Agenta i osoby upoważnione przez Agenta do kontaktu ze Spółką, którym Agent powierzył wykonywanie ww. Umowy na zasadach w niej określonych oraz w wykazie instrukcji, procedur i wytycznych) - art. 3 pkt 1 ppkt 1.1 lit. a) oraz art. 1 pkt 1.21 ww. umowy),

–

Agent 1 mógł powierzyć wykonywanie tej umowy wybranemu przez siebie sub-agentowi lub handlowcowi zgodnie z zasadami określonymi w tej umowie (art. 4 pkt 4 ww. umowy);

W celu wykonania ww. umowy, Spółka zawarła z Agentem 1 tego samego dnia także „Umowę (…)” (zwaną dalej: „Umową powierzenia Spółki z Agentem 1”);

d)

po zawarciu Umowy powierzenia Spółki z Agentem 1, Agent ten podpisał (…) r. z Sub-Agentem „Umowę (…)”, w której Agent 1 wyznaczył Sub-Agenta jako pośrednika w dystrybucji oferty Spółki. Jako że z zawarciem i realizacją tej umowy również wiązała się konieczność dalszego powierzenia przetwarzania przez Agenta 1 danych osobowych, których administratorem była Spółka, tego samego dnia (tj. (…) r.) strony tej umowy współpracy podpisały „Umowę (…)”, zwaną dalej: „Umową powierzenia Agenta 1 z Sub-Agentem”.

11.

Sub-Agent zatrudniał w analizowanym czasie pracowników, którzy w ramach sprzedaży D2D spotykali się z klientami oraz potencjalnymi klientami celem podpisywania nowych oraz zmiany dotychczasowych umów zawartych ze Spółką. Część pracowników Sub-Agenta, jak już wyżej wspomniano, zarejestrowana była u Agenta 1, a część u Agenta 2. Jak wyjaśniła Spółka, taka organizacja sieci sprzedaży wynikała z przyjętej przez nią polityki, w ramach której każdy agent zgłaszał handlowców do certyfikacji umożliwiającej im oferowanie usług Spółki - zarówno tych zatrudnionych przez niego jak i u sub-agentów^[1].

12.

Pracownicy Sub-Agenta korzystali z baz danych osobowych, których administratorem była Spółka, które to bazy przekazywane były im w ramach sieci sprzedaży. Dane klientów, które były przekazywane agentom na ich prośbę to: adres Punktu Poboru Energii, imię, nazwisko, numer telefonu, przy czym warunkiem otrzymania kolejnej bazy z danymi było rozliczenie się z otrzymanych wcześniej baz oraz przesłanie protokołu zniszczenia przekazanych dotychczas baz^[2]. Handlowcy ci spotykali się z klientami Spółki udając się pod wskazane adresy. Umowy z klientami były podpisywane przez handlowców w formie papierowej^[3], a następnie dokumenty te przekazywane były do agentów (lub do centrali Spółki)^[4].

13.

We wszystkich czterech umowach powierzenia przetwarzania danych osobowych (o których mowa w pkt 10 uzasadnienia niniejszej decyzji) wskazano, że dane przetwarzane będą^[5]:

a)

(…):

–

(…),

–

(…);

b)

(…):

–

(…),

–

(…).

(…).

14.

Agent 1 i Sub-Agent zgodnie wyjaśnili, że przetwarzanie danych osobowych odbywało się przy użyciu urządzeń i systemów dostarczanych przez Spółkę^[6]. Również Agent 2 nie składał wyjaśnień, które wskazywałyby na inne rozwiązania w tym zakresie. Spółka wyjaśniła^[7], że dostarczała rozwiązania technologiczne do przetwarzania danych osobowych w bazach danych. Zastosowanym rozwiązaniem był zdalny dostęp do systemu za pośrednictwem serwera V. (jest to pulpit zdalny, który użytkownikowi wyświetla sesję graficznie, która w rzeczywistości odbywa się na zasobach wewnątrz Spółki). Takie rozwiązanie nie dostarcza danych na komputer użytkownika i nie można ich skopiować bezpośrednio na komputer. Zgodnie z wyjaśnieniami Spółki, zasadą sprzedaży nowych umów było pozyskiwanie klientów lub zawieranie aneksów w imieniu Spółki i ich wprowadzanie do systemu. Dostęp do systemu po stronie agentów miała jedna lub kilka wskazanych osób, które pracowały w formie back-office. Osoby, które uczestniczyły w procesie zawierania umów lub aneksów nie miały takich dostępów. Jednak, jak zapewniła^[8] Spółka, ani Agent 1, ani Agent 2, ani Sub-Agent, nie zgłaszali do niej wniosków dotyczących używania innych narzędzi niż przez nią dostarczone.

Jak można zakładać, taka organizacja przetwarzania danych osobowych mogła być w praktyce niewystarczająco wygodna dla osób, które zajmowały się bezpośrednim kontaktem z klientami i które, odwiedzając ich w domach, musiały wypełniać ręcznie druki umów, uzupełniając je danymi osobowymi klientów. Zwłaszcza w sytuacji, gdy przynajmniej od marca 2020 r. w Polsce panowały specyficzne warunki wynikające z pandemii wirusa COVID-19 i czas spędzony na jakimkolwiek kontakcie z innymi osobami wielu ograniczało do niezbędnego minimum. Niezależnie od tego, co dokładnie było przyczyną wprowadzenia nieformalnych „usprawnień” w systemie sprzedaży D2D polegających na wykorzystywaniu aplikacji Y. do przetwarzania danych osobowych, których administratorem była Spółka, należy stwierdzić, że w organizacji Sub-Agenta doszło w tym zakresie do nieprawidłowości, które wykryto dopiero po pewnym czasie ich trwania.

15.

W marcu 2021 r. były pracownik Sub-Agenta (dalej zwany: „Byłym Pracownikiem”, zarejestrowany u Agenta 1) zgłosił się do Spółki, chcąc uzyskać pomoc w wyegzekwowaniu zaległej należności od swojego dawnego pracodawcy. W trakcie rozmowy z przedstawicielami Spółki, Były Pracownik poinformował, że handlowcy zatrudnieni przez Sub-Agenta komunikowali się ze sobą wykorzystując aplikację Y.. W komunikacji tej, oprócz poleceń służbowych, znalazły się skany lub zdjęcia umów z klientami Spółki. Były Pracownik okazał nawet jako dowód ekran swojego prywatnego telefonu^[9] (zrzut ekranu znajduje się w aktach niniejszej sprawy^[10]). Okazany widok konwersacji prowadzonej przy pomocy tej aplikacji wskazywał, iż jest to konwersacja grupowa. Były Pracownik wyjaśnił Spółce, że został wyłączony z tej grupy na Y., ale nadal posiada archiwalne informacje^[11].

16.

Od chwili powzięcia wiadomości o ww. zdarzeniu przez Biuro (…) (tj. od 17 marca 2021 r.) Administrator prowadził postępowanie wyjaśniające i 8 kwietnia 2021 r. Inspektor Ochrony Danych Spółki otrzymał informacje niezbędne by stwierdzić, że ww. aplikacja nie spełnia wystarczających gwarancji bezpieczeństwa, a pliki wymieniane w ramach grupy na Y. mogli widzieć również byli pracownicy Sub-Agenta. Administrator przeprowadził ocenę zdarzenia i ostatecznie stwierdził zaistnienie naruszenia ochrony danych osobowych 13 kwietnia 2021 r. - tego samego dnia zgłoszono je Prezesowi UODO^[12].

17.

Spółka pierwotnie ustaliła, że Sub-Agent rozpoczął wykorzystywanie nieautoryzowanej przez Spółkę aplikacji Y. w procesie przetwarzania danych osobowych, które zostało mu powierzone, w lipcu 2020 r.^[13]. Jak wskazała Spółka w swoich wyjaśnieniach, na polecenie Sub-Agenta wszyscy zatrudnieni przez niego handlowcy używali komunikatora Y. (co zostało według oświadczenia Spółki potwierdzone przez Sub-Agenta), przy czym nie poinformował on o tym żadnego z Agentów^[14]. Co więcej aplikacja Y. instalowana była również na prywatnych telefonach komórkowych^[15].

18.

Administrator ustalił, że naruszenie dotyczyło z pewnością (…) osób, których dane osobowe pracownicy Sub-Agenta wymienili w procesie sprzedaży w aplikacji Y.^[16]. Ponadto Spółka wskazała, że Pan L. A. (Sub-Agent) w trakcie prowadzonego przez nią postępowania wyjaśniającego „potwierdził, że korzysta wraz z jego handlowcami z komunikatora Y.. Potwierdził również, że komunikatorem były przesyłane dane klientów”^[17]. Spółka przekazała organowi nadzorczemu w tym zakresie również treść wiadomości e-mail przesłanej 8 kwietnia 2021 r. jednemu z pracowników Spółki (jak należy zakładać z uwagi na domenę „(…)” w jego adresie) przez Sub-Agenta^[18]. W wiadomości tej Pan L. A. wskazał, że: „(…) w okresie od 17 marca, w ramach wymiany korespondencji pomiędzy współpracownikami było przesyłanych ok. (…) umów. Ponieważ komunikator Y. spełniał rolę jedynie narzędzia pomocniczego przy realizacji umów, nie każda umowa była procedowana za jego pośrednictwem. Jego zadaniem było usprawnienie pracy pomiędzy współpracownikami. Komunikacja była szyfrowana i odbywała się tylko z udziałem współpracowników. Nie jestem w stanie określić ilości przesyłanych danych. Do zawarcia umowy weryfikowane były dane osobowe takie jak: imię i nazwisko, PESEL, adres zamieszkania, tel kom. email, dodatkowo nr licznika (co nie może być traktowane jako dana osobowa). Przetwarzanie ww. danych następowało z zachowaniem zasad poufności. Do grupy na komunikatorze należały tylko osoby, które miały upoważnienie do zawierania umów i z danych korzystały jedynie w celu zweryfikowania klienta i zawarcia z nim umowy. Nie naruszono zasad poufności, dostępności lub integralność danych. Żadne dodatkowe dane nie były przekazywane ani przetwarzane. Ww. dane były niezbędne do zawarcia umowy. W mojej ocenie nie doszło do naruszenia zasad związanych z ochroną danych osobowych. Każdy z uczestników grupy Y. to współpracownik mojej firmy. Z każdą taką osobą jest zawarte stosowne upoważnienie do przetwarzania konkretnych danych osobowych T. (…) w celu zawierania umów z klientami. Poza upoważnieniem do przetwarzania danych, współpracownicy mają podpisane oświadczenia o zakazie konkurencji i zachowaniu poufności w stosunku do T. (…)”.

19.

Spółka przekazała Prezesowi UODO także treść dokumentu: „Wstępnego raportu oraz oceny wagi naruszenia według metody ENISA”, w którym dokonano uporządkowanego podsumowania ustalonego przez Administratora stanu faktycznego^[19]. Spółka wskazała w nim m.in. na to, że podejrzewa się, że komunikacja aplikacji odbywa się przynajmniej częściowo poza EOG. Dokonując oceny wagi naruszenia, Administrator przyjął, że przynajmniej jedna osoba upubliczniła dane osobowe, przekazując je do dziennikarza radia H.. Artykuł dotyczący m.in. nieprawidłowości w zakresie przetwarzania danych osobowych przez Spółkę został opublikowany (…) 2021 r. na stronie internetowej o adresie: https://(…).

20.

Administrator przekazał Prezesowi UODO również uzyskane oświadczenia pracowników Sub-Agenta dotyczące m.in. wykonania polecenia usunięcia grup na komunikatorze Y. z 1 i 2 kwietnia 2021 r. oraz treści się tam znajdujących, a także o tym, że nie udostępniali oni treści przekazywanych za pośrednictwem tych grup osobom trzecim^[20]. Oświadczenia te przekazał organowi również w późniejszym terminie Sub-Agent^[21]. Analiza tych dokumentów doprowadziła organ nadzorczy do ustalenia, że:

1)

wśród nich zabrakło np. oświadczenia złożonego przez ww. Byłego Pracownika, co pozwala na wniosek o niezweryfikowaniu przez Sub-Agenta, czy wszystkie osoby, które z jego upoważnienia przetwarzały powierzone mu dane osobowe, ostatecznie trwale je usunęły ze swoich sprzętów,

2)

były one składane nie tylko przez pracowników Sub-Agenta przypisanych do Agenta 1, lecz również do Agenta 2, który został pominięty przez Spółkę w zgłoszeniu naruszenia ochrony danych osobowych (co wynikało najprawdopodobniej z faktu, że Były Pracownik, którego zgłoszenie się do Spółki stanowiło przyczynek do wszczęcia postępowania wyjaśniającego przez Administratora i stwierdzenia naruszenia ochrony danych osobowych, był zarejestrowany u Agenta 1^[22]); Prezes UODO rozszerzył więc prowadzone już wówczas postępowanie administracyjne o sygn. DKN.5131.7.2022 wobec Agenta 2.

21.

Spółka wskazała, że po okresie zawieszenia działań spowodowanym opisywanym naruszeniem, 2 lipca 2021 r. rozwiązano umowy na sprzedaż D2D (zgodnie z przepisami ustawy z dnia 20 maja 2021 r. o zmianie ustawy Prawo energetyczne oraz niektórych innych ustaw) i Spółka nie współpracuje już w ww. zakresie z Agentem 1, ani Sub-Agentem^[23]. Współpraca Spółki z Agentem 2 w obszarze D2D również się już zakończyła (co jak wskazywał Agent 2 nastąpiło w czerwcu 2021 r.)^[24].

22.

Ustalenia dotyczące stanu faktycznego w niniejszej sprawie zostały dokonane między innymi w oparciu o wyjaśnienia Spółki, Agenta 1, Agenta 2 oraz Sub-Agenta, które zostaną przytoczone odpowiednio w częściach A.II.1 - A.II.4 uzasadnienia niniejszej decyzji.

II.1. Wyjaśnienia Spółki.

23.

Prezes UODO uzyskał m.in. wyjaśnienia Spółki, które zostaną przytoczone w kolejnych punktach niniejszej części uzasadnienia (pkt 24-35).

24.

Co roku w spółkach Grupy T. realizowany jest przegląd ryzyka ochrony danych osobowych. W obszarze sprzedaży analizowane są kwestie współpracy z podmiotami przetwarzającymi^[25]. Z przedłożonego przez Spółkę raportu z przeglądu ryzyka ochrony danych osobowych przeprowadzonego w 2020 r. nie wynika jednak, by ryzyko wykorzystywania nieautoryzowanej aplikacji do przetwarzania danych klientów Spółki zostało przez Administratora przewidziane i mitygowane w okresie jego zaistnienia^[26].

25.

Po tym, jak Spółka stwierdziła, że do przetwarzania danych osobowych, których była administratorem, wykorzystywana była aplikacja Y., w analizie przeprowadzonej w 2021 r. Spółka ujęła aspekt zdarzenia, które miało miejsce z wykorzystaniem nieautoryzowanej aplikacji - wskazała je jako ryzyko braku zabezpieczenia systemów IT, w których przetwarzane są dane osobowe. W analizie tej wskazano, że niezwłocznie po wykryciu źródła incydentu został nałożony zakaz korzystania z podobnych narzędzi i wysłano w tym zakresie stosowny komunikat, a także odebrano certyfikaty siedemnastu handlowcom. W ramach planu działania wskazano również:

–

bardziej rozbudowaną weryfikację podmiotów, które realizują pozyskiwanie oraz obsługę klienta,

–

wsparcie w przygotowywaniu wewnętrznych zasad ochrony danych osobowych dla podmiotów, którym Spółka powierza przetwarzanie danych osobowych (w tym: przekazywanie własnych formularzy, czy wykazów w zakresie ochrony danych, aby podmioty te nie musiały tworzyć własnych),

a ponadto:

–

dodatkowe szkolenia dla osób bezpośrednio odpowiedzialnych za współpracę, aby już oni stanowili dla tych podmiotów wsparcie nie tylko w zakresie samego pozyskiwania klientów, ale również poprawności przetwarzania danych.

Zaplanowano również audyty w zakresie ochrony danych osobowych u właściwych podmiotów^[27].

26.

Spółka w okresie zaistnienia przedmiotowego naruszenia ochrony danych osobowych posiadała opracowaną i wdrożoną „Politykę (…)” (wydanie II)^[28]. W pkt (…) załącznika nr (…) do tej Polityki pt. „Zasady (…)” wskazano, że właściciel biznesowy (tj. osoba odpowiedzialna za zawarcie i realizację umowy, w ramach której następuje powierzenie) weryfikuje podmiot przetwarzający poprzez analizę przesłanej do tego podmiotu karty weryfikacji kontrahenta lub analizę oświadczenia podmiotu przetwarzającego dotyczącego spełnienia przez niego niezbędnych wymogów organizacyjnych i technicznych lub na innej podstawie. Z pkt (…) tego samego dokumentu wynikało z kolei, że bieżące monitorowanie realizacji postanowień umowy powierzenia, w ramach której podmiot przetwarzający lub inny podmiot przetwarzający ma dostęp do danych osobowych administratora, przeprowadza właściciel biznesowy. Monitorowanie obejmuje ponadto, zgodnie z zapisami tego punktu, stopień zapewnienia bezpieczeństwa powierzonych danych osobowych przez wszystkie podmioty przetwarzające, w szczególności pod kątem warunków technicznych i organizacyjnych, gwarantujących ochronę danych osobowych, spełniania innych wymogów i wytycznych Administratora, a także zaistniałych w okresie obowiązywania umowy powierzenia incydentów, naruszeń oraz innych problemów powstałych w trakcie jej realizacji.

27.

Zapytana o to, w jaki sposób zweryfikowała, czy podmioty przetwarzające, w tym Agent 1, Agent 2 i Sub-Agent, dają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie danych spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą, zgodnie z art. 28 ust. 1 tego rozporządzenia, Spółka udzieliła wyjaśnień, z których wynika, że:

a)

w zakresie weryfikacji podmiotów Spółka dokonywała głównie weryfikacji spełniania wymagań w zakresie gwarancji uczciwości i zachowania poufności. Badała doświadczenie przyszłego podmiotu przetwarzającego (m.in. w sprzedaży energii elektrycznej), strukturę tego podmiotu (pod kątem zasobu zatrudnionych pracowników), biznes plan, fakt współpracy wyłącznie ze Spółką, infrastrukturę, ocenę ryzyka (biznesowego, wystąpienia konfliktu interesów oraz wizerunkowego), a także inne warunki (według indywidualnej oceny agenta)^[29];

b)

w przypadku Agenta 1 przemawiało za nim głównie doświadczenie, które nabył jako pracownik nadzorujący sprzedaż agencyjną w Spółce^[30]. Nie był to jednak, jak doprecyzowała w kolejnych wyjaśnieniach^[31] Spółka, jedyny czynnik, który brała pod uwagę. Podkreśliła bowiem, że znała Agenta 1, który jako pracownik przechodził szkolenia z zakresu (…) oraz przywołała opinię osoby weryfikującej Agenta 1, która wskazywała na jego (…) doświadczenie w sprzedaży bezpośredniej, w budowaniu zespołów sprzedaży oraz ich zarządzaniu, a także na to, że bardzo dobrze znał rynek i specyfikę branży D2D;

c)

udzielając odpowiedzi na powyższe pytanie w zakresie, w jakim weryfikacja ta miała dotyczyć Agenta 2, Spółka wyjaśniła^[32], że prowadziła weryfikację swoich kontrahentów i każdy potencjalny Agent był weryfikowany przez komórkę organizacyjną ds. ryzyka w celu przygotowania oceny i wymogów dotyczących zabezpieczenia potencjalnego Agenta na podstawie uzyskanych informacji (przy czym posiłkować się mogli informacjami publicznie dostępnymi);

d)

w zakresie wyboru Sub-Agenta Spółka wskazała w swoich wyjaśnieniach^[33], że za certyfikację pracowników, w tym pracowników Sub-Agenta oraz samego Sub-Agenta, odpowiadał Agent. Zatem czynności te były prowadzone przez Agenta bezpośrednio ze Spółką. Spółka wskazała, że w dużej mierze właśnie na tym polegała weryfikacja. Zgodnie natomiast z wcześniejszymi wyjaśnieniami^[34] Administratora (złożonymi w czasie, gdy postępowanie wyjaśniające było prowadzone przez Prezesa UODO jedynie wobec Spółki, Agenta 1 i Sub-Agenta), odpowiedzialność za dalszą weryfikację została scedowana, w ramach stosownych umów, na Agenta 1, który wykorzystywał te same kryteria, o których mowa w lit. a) powyżej. Spółka wyjaśniała również^[35], że to Agent 1 odpowiadał za weryfikację Sub-Agenta, z którym chciał współpracować - obowiązkiem Agenta 1 było podpisanie umowy powierzenia przetwarzania danych osobowych i umowy subagencyjnej, w której miały się znaleźć wszystkie wytyczne, jakie zostały przekazane w załączniku do umowy agencyjnej pt.: „Wytyczne (…)”. W wytycznych tych^[36] w powyższym zakresie wskazano jedynie, że umowa sub-agencyjna musi określać zasady dotyczące powierzenia przetwarzania danych osobowych, bezpieczeństwa informacji oraz tajemnicy przedsiębiorstwa Spółki zgodne z umową powierzenia przetwarzania danych osobowych oraz umową agencyjną łączącą Spółkę oraz Agenta (pkt (…) tych wytycznych). Z uwagi na systemowość rozwiązań stosowanych przez Spółkę, o których mowa w niniejszym punkcie, należy zakładać, że wyjaśnienia Spółki w zakresie, w jakim odnoszą się do Agenta 1, można przyjąć również w odniesieniu do Agenta 2.

Udzielając wyjaśnień dotyczących działań weryfikacyjnych Spółka zwróciła uwagę^[37], że działalność agentów sprzedaży D2D nie jest typową działalnością: mającą siedzibę, w której znajdują się pracownicy objęci nadzorem. Taka działalność może być zarejestrowana w domu, a rolą pracowników agentów jest poruszać się pomiędzy mieszkaniami klientów lub potencjalnych klientów. W procesie weryfikacji Spółce zależało, aby osoby ją reprezentujące, kontaktujące się bezpośrednio z klientami, spełniały wymagania, stąd skupiono się na weryfikacji osób w procesie certyfikacji. Spółka wskazała^[38], że zanim przedstawiciel handlowy otrzyma od Spółki certyfikat wraz z identyfikatorem potwierdzającym pełnomocnictwo do zawierania umów w imieniu Spółki, Agent musi - zgodnie z procedurami - dostarczyć wniosek z potwierdzeniem, że dana osoba ukończyła z wynikiem pozytywnym szkolenie oraz wypełnić lub otrzymać dokumenty, w tym m.in.: dyplom ukończenia szkolenia z zakresu ochrony danych osobowych oraz bezpieczeństwa informacji w Spółce, upoważnienie do przetwarzania danych osobowych, oświadczenie o zachowaniu poufności, a także zobowiązanie do nieujawniania informacji stanowiących tajemnice przedsiębiorstwa. Spółka wskazała, że w przypadku braku któregokolwiek z wymienionych w tych wyjaśnieniach elementów przedstawiciel handlowy nie zostaje dopuszczony do reprezentowania Spółki - w związku z czym nie będzie również przetwarzał danych osobowych jej klientów. Spółka podkreślała też, że dokonała certyfikacji pracowników zarówno Agenta 1, jak i Sub-Agenta, co w jej ocenie było formą weryfikacji^[39].

28.

Odpowiadając na pytanie dotyczące zgody administratora danych udzielonej podmiotowi przetwarzającemu na dalsze powierzenie przetwarzania danych osobowych innemu podmiotowi przetwarzającemu, Spółka wskazała, że zgoda ta „jest spełniana poprzez realizację zapisów wynikających z umowy agencyjnej” zawartej między Spółką a Agentami, z którymi Spółka bezpośrednio współpracowała^[40]. Spółka wskazała^[41] również, że po podpisaniu Umowy Agencyjnej, Agent otrzymywał pełnomocnictwa do wydawania upoważnień do przetwarzania danych osobowych. Pełnomocnictwo pozwalało Agentowi na wydawanie pracownikom Agenta lub osobom świadczącym dla niego usługi w oparciu o umowę cywilnoprawną, upoważnień do przetwarzania danych osobowych. Zasady wydawania przez Agentów upoważnień pracownikom Agenta lub osobom świadczącym dla niego usługi w oparciu o umowę cywilnoprawną były szczegółowo opisane w umowie powierzenia przetwarzania danych osobowych, w tym m.in.:

–

upoważnienia były imienne, wydawane osobom świadczącym usługi dla Agenta w oparciu o umowę cywilnoprawną,

–

każda osoba fizyczna działająca z upoważnienia Agenta, która miała dostęp do danych osobowych, mogła przetwarzać je wyłącznie w celu i w zakresie określonym w ww. umowie i wyłączenie na polecenie Agenta.

29.

Zarówno w Umowie powierzenia Spółki z Agentem 1, jak i w Umowie powierzenia Spółki z Agentem 2 (przy czym w jej przytoczonych fragmentach Agent 1 oraz Agent 2 określeni zostali poniżej jako Agenci), ustalono m.in., że:

a)

rodzaj przetwarzanych danych osobowych to: imię i nazwisko klienta/osoby reprezentującej klienta, adres dostarczania energii elektrycznej, dane kontaktowe, dane dotyczące zakupu i odbioru energii elektrycznej, dane dotyczące celu zużycia energii elektrycznej, dane dotyczące dokumentacji potwierdzającej posiadanie tytułu prawnego do lokalu, dane dotyczące układu pomiarowo-rozliczeniowego, dane dotyczące rozliczeń, dane dotyczące dodatkowo wyrażonych zgód (§ 2 pkt 1 lit. c),

b)

Agent zobowiązany jest przetwarzać dane osobowe wyłącznie w miejscu ustalonym w Umowie głównej oraz (…) Agenta lub Spółkę (§ 2 pkt 4),

c)

Agent nie może powierzyć przetwarzania danych osobowych, objętych tą umową innej osobie lub podmiotowi (…) bez uprzedniej szczegółowej zgody Spółki wyrażonej w formie pisemnej pod rygorem nieważności (§ 2 pkt 5),

d)

w przypadku udzielenia zgody, o której mowa powyżej, Spółka może upoważnić do przetwarzania danych osobowych współpracującą z Agentem sieć sprzedaży. Upoważnienie wydaje się na czas obowiązywania umowy pomiędzy Agentem a przedstawicielem jego sieci sprzedaży, maksymalnie na czas trwania umowy głównej (§ 2 pkt 6),

e)

za działania i zaniechania osób trzecich w razie powierzenia przetwarzania danych osobowych współpracującej z Agentem sieci sprzedaży, Agent ten ponosi taką samą odpowiedzialność jak za swoje własne działania i zaniechania (§ 2 pkt 7),

f)

jeżeli do wykonania w imieniu Spółki konkretnych czynności przetwarzania Agent korzysta z usług dalszego podmiotu przetwarzającego, na dalszy podmiot przetwarzający nałożone zostają te same obowiązki ochrony danych jak w ww. umowie między Spółką a tym Agentem - w szczególności obowiązek zapewnienia wystarczających gwarancji, wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. Jeżeli ta inna osoba lub podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Spółki za wypełnienie obowiązków tej innej osoby lub podmiotu przetwarzającego spoczywa na właściwym Agencie (§ 2 pkt 8),

g)

dalsze podmioty przetwarzające muszą spełniać przynajmniej taki sam poziom ochrony danych osobowych jak ten określony w ww. umowach powierzenia przez Agenta (§ 2 pkt 9),

h)

obowiązkiem Agenta jest zapewnienie, aby osoby, które będą przetwarzały dane w jego imieniu, zostały odpowiednio przeszkolone w zakresie i celu przetwarzania danych osobowych. Poziom, zakres oraz częstotliwość szkolenia powinny być odpowiednie do funkcji, jaką pełnią poszczególne osoby, ponoszonej przez nie odpowiedzialności oraz częstotliwości, z jaką będą oni przetwarzali dane osobowe (§ 3 ust. 6),

i)

uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, Agent wdraża wszelkie odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: pseudonimizację i szyfrowanie danych osobowych; zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; regularne testowanie, monitorowanie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (§ 3 ust. 7),

j)

Agent ponosi odpowiedzialność za dobór i wdrożenie środków bezpieczeństwa, o których mowa w art. 32 rozporządzenia 2016/679, adekwatnych do zidentyfikowanych przez siebie ryzyk związanych z przetwarzaniem danych osobowych na podstawie umowy, a oceniając stopień bezpieczeństwa, Agent uwzględnia ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (§ 3 ust. 8).

30.

Wobec wątpliwości co do treści umów powierzenia przetwarzania danych osobowych zawartych w ramach zbudowanej w analizowanym przypadku sieci sprzedaży, Prezes UODO zbadał dodatkowo m.in. kwestię powierzania do przetwarzania szczególnej danej osobowej w postaci numeru ewidencyjnego PESEL klientów Spółki. Numer ten nie został bowiem wskazany wprost w § 2 pkt 1 lit. c) żadnej z umów powierzenia przetwarzania danych osobowych analizowanych w niniejszej sprawie (wskazanych w pkt 10 uzasadnienia niniejszej decyzji), lecz wymieniono go, jako jedną z kategorii danych, której dotyczyło zgłaszane przez Spółkę naruszenie ochrony danych osobowych. Spółka wyjaśniła jednak ostatecznie, że numer ten zawierał się w zbiorze dokumentów potwierdzających tytuł prawny do lokalu (o którym mowa w ww. § 2 pkt 1 lit. c) ww. umów), przy czym obecnie Spółka w zawieranych umowach powierzenia przetwarzania danych osobowych wskazuje już wprost na te numery^[42].

31.

Spółka wskazała w przesłanym zgłoszeniu naruszenia ochrony danych osobowych (w rubryce 9A), że zarówno pracownicy Agenta, jak i Sub-Agenta, byli szkoleni przez Spółkę. W swoich późniejszych wyjaśnieniach^[43] Spółka doprecyzowała, że wszyscy zgłaszani pracownicy Agentów i Sub-Agenta w procesie certyfikacji byli szkoleni e-learningiem i wskazała, że w ramach szkolenia najważniejsze elementy określające bezpieczeństwo w odniesieniu do zgłoszonego naruszenia to:

a)

w zakresie szkolenia dotyczącego danych osobowych m.in.:

–

co to jest przetwarzanie danych osobowych,

–

jakie operacje stanowią przetwarzanie,

–

informacje o obowiązku zabezpieczenia danych,

–

przekazanie informacji o możliwości kontaktowania się z IOD,

–

jakie przykładowe zdarzenia mogą stanowić naruszenie ochrony danych osobowych.

b)

w zakresie szkolenia dotyczącego bezpieczeństwa informacji i cyberbezpieczeństwa m.in.:

–

przedstawienie celów szkolenia,

–

przekierowanie do polityk, które zawierają zapisy o zakazie używania sprzętu prywatnego,

–

przedstawienie zakazu przechowywania danych i informacji dotyczących Spółki na prywatnych komputerach i nośnikach, zakazu kopiowania i używania oprogramowania niezgodnego z licencją, zakazu korzystania z usług przetwarzania danych w prywatnych „chmurach” użytkownika,

–

w ramach sekcji cyberbezpieczeństwo określono zagrożenia, jak mogą zostać wykradzione dane z firmy i tu wymieniono: chmurę danych, komunikatory internetowe oraz zrzuty ekranów.

Ponadto Spółka wyjaśniła, że przedstawiciele handlowi mieli obowiązek zrealizowania szkoleń w zakresie między innymi: „(…)” oraz „(…)”. Szkolenie zakończone były testem. Zaliczenie testu z wynikiem na poziomie minimum 80% uprawniało do ubiegania się o otrzymanie legitymacji uprawniającej do sprzedaży w ramach „door to door”. Dodatkową weryfikacją były przeprowadzane co miesiąc ankiety telefoniczne ze 100 wybranymi losowo klientami, którzy podpisali umowy u siebie w domu, w obecności agenta. W badaniu sprawdzano kilka kwestii związanych z procesem sprzedaży, między innymi także sposób prezentacji warunków oferty przez agenta^[44].

32.

W zakresie regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych Spółka wskazała^[45], że odbywa się w niej:

a)

przegląd i ocena ryzyka,

b)

audyty z zakresu ochrony danych osobowych,

c)

przegląd uprawnień dostępowych do systemów sprzedaży w Spółce,

d)

coroczny przegląd dostosowania Spółki do obowiązujących aktów prawnych w obszarach ochrony danych osobowych oraz cyberbezpieczeństwa, prowadzony systemowo.

33.

Spółka nie przeprowadziła ani u Agenta 1, ani u Sub-Agenta, audytu w zakresie przetwarzania danych osobowych w ramach sprzedaży usług i obsługi klienta^[46]. Prowadziła takie audyty zanim nawiązała współpracę z Agentem 1, lecz w późniejszym czasie zostały one wstrzymane z uwagi na sytuację epidemiologiczną^[47]. Z wyjaśnień Spółki wynika również, że wszelkie bieżące czynności wiążące się z przetwarzaniem danych osobowych klientów, z którymi Agent 1 zawarł umowy, były rejestrowane przez kanały zdalne Spółki - konsultacje zawierające zgłoszenia dotyczące danych osobowych wysyłane były dodatkowo do Inspektora Ochrony Danych. W ramach współpracy z agentami odbywały się cykliczne telekonferencje (co najmniej raz w tygodniu)^[48]. Odpowiadając na pytanie, czy Spółka przeprowadzała audyty w zakresie przetwarzania przez Agenta 2 danych osobowych w ramach sprzedaży usług i obsługi klienta (w tym przez osoby zarejestrowane przez Agenta 2, a zatrudnione przez Sub-Agenta), Spółka wskazała^[49], że „Agent 2 i stworzona przez niego sieć podlegała weryfikacji realizacji zadań w następujący niżej opisany sposób. Agenci sprzedaży byli pod stałą opieką Regionalnych Kierowników Sprzedaży (RKS), których jest kilku w zależności od lokalizacji w Polsce. Są to osoby zatrudnione po stronie Spółki w celu nadzoru nad siecią sprzedaży. RKS spotykał się z danym Agentem raz w miesiącu w celu kontroli. Spotkanie mogło być osobiste lub online. Kontrola pod kątem jakości wyglądała również w następujący sposób. Do wybranych klientów zewnętrzna firma na nasze zlecenie przeprowadza telefoniczną ankietę. Rozmowa przeprowadzana była według scenariusza, w którym również oceniano usługi bezpośrednie. Na podstawie tych ankiet kierownicy regionalni (RKS) odbywali spotkania z Agentami, informując ich o wynikach ankiet i zobowiązując ich na tej podstawie do wdrażania zmian. Za weryfikację uznajemy też informacje zwrotne od klientów. W przypadku skarg na danego pracownika sprzedaży agencyjnej zawieszano lub odbierano certyfikat. W ramach nadzoru elektronicznego wspomniany (…) system V. nagrywał sesje pracy w systemie. Można było w takim systemie dokładnie odtworzyć jakie operacje na kontach klientów były wykonywane przez wskazaną osobę po stronie Agenta, która miała dostęp do systemu. Niestety w ramach nadzoru nie było technicznych ani organizacyjnych możliwości, aby Spółka mogła wyłapać a tym bardziej powstrzymać działanie, kiedy dany pracownik Agenta lub Subagenta instaluje nieautoryzowaną aplikację na własnym telefonie komórkowym i tam przepisuje dane klientów lub wręcz robi zdjęcie ekranu systemu z danymi klientów. Po naruszeniu trwały w Spółce analizy jak zabezpieczyć proces. Niestety nie ma na rynku technicznych rozwiązań, które w sposób nieingerujący w prywatność ochronią spółkę przed wykonaniem zdjęcia obrazu ekranu. Obecnie Spółka nie prowadzi w stosunku do konsumentów sprzedaży door to door w obszarze umów na energię elektryczną. Natomiast pozostała sprzedaż w takim systemie kierowana do konsumentów pozostała w obszarze produktów materialnych takich jak panele fotowoltaiczne, pompy ciepła, stacje ładowania i inne podobne produkty związane z zasilaniem w energię elektryczną. Na tą okoliczność powstał osobny system tego typu sprzedaży a pracownicy podmiotów wynajętych do tego procesu posługują się tabletami. Tablet wyeliminował dokumenty papierowe, nie ma więc pokusy by pracownicy robili zdjęcia dokumentów i je sobie wzajemnie przesyłali. Klient na tablecie może sam wypełniać swoje dane lub wykonuje to pracownik. Dane trafiają do systemu Spółki”.

34.

Spółka wskazała ponadto^[50], że w 2022 r. przeprowadzony został audyt podmiotów przetwarzających w obrębie realizacji sprzedaży w sieciach partnerskich. W ramach audytu:

–

wykonano analizę przygotowania i realizacji umowy powierzenia przetwarzania u osiemnastu podmiotów przetwarzających w określonym obszarze działania,

–

zadano pytania dotyczące obszarów wymaganych umową (takich, jak: posiadanie polityki bezpieczeństwa danych osobowych, szkolenia, wydawanie upoważnień, procedury dotyczące naruszeń),

–

dokonano weryfikacji dodatkowych czynników zwiększających bezpieczeństwo (w tym między innymi: powołanie inspektora ochrony danych, prowadzenie rejestrów, bezpieczeństwo informatyczne na urządzeniach i rodzaje wykorzystywanych przy realizacji umowy urządzeń).

Po realizacji audytu Spółka zdefiniowała zalecenia wymagane umową oraz zalecane działania dodatkowe, przy czym:

–

wymagane do wprowadzenia działania skupiały się na kształtowaniu polityki bezpieczeństwa, w tym procedur w zakresie naruszeń, aktualizacji części upoważnień, wykonania szkoleń na e-learningowych platformach Administratora,

–

wskazano na dodatkowe zalecenia przekazane podmiotom danych w ramach podpowiedzi mających na celu podniesienie poziomu bezpieczeństwa, zasugerowano powołanie inspektora ochrony danych, szyfrowanie dysków komputerów, czy częstsze rozliczanie się z administratorem z przygotowanej dokumentacji,

–

podczas audytu nie wykazano nieprawidłowości w postaci przechowywania danych na urządzeniach przenośnych poza rozwiązaniami dostarczonymi lub zaakceptowanymi przez Administratora (co istotne w odniesieniu do zaistniałego w niniejszej sprawie naruszenia ochrony danych osobowych). Stwierdzenie to opierało się jednak jedynie na deklaracji słownej, bowiem nie ma prawnych podstaw, aby Administrator kontrolował urządzenia i telefony wykonawców.

Spółka wyjaśniła także, że aktualnie podmioty przetwarzające nie „podpowierzają” danych osobowych, co wynika również z obecnego, zmienionego, procesu sprzedaży w sieciach partnerskich. Zostało to potwierdzone podczas audytu. Na dzień rozpoczęcia opisanego audytu Administrator nie współpracował już z podmiotami wskazanymi w zgłoszeniu naruszenia (Agentem 1 oraz Sub-Agentem), stąd audyt ich nie obejmował.

35.

Finalnie, należy ponownie wskazać na wyjaśnienia Spółki dotyczące jej wiedzy i zgody na korzystanie przez Sub-Agenta z aplikacji Y.. Administrator w tym zakresie wskazał, że na podstawie zapisów zawartej umowy powierzenia przetwarzania danych osobowych, przetwarzanie danych osobowych przy użyciu jakichkolwiek komunikatorów, czy prywatnych telefonów komórkowych było niedopuszczalne, a Sub-Agent nigdy nie zwrócił się do Spółki o wyrażenie zgody na wykorzystanie w procesie przetwarzania danych osobowych innych nośników, systemów informatycznych czy komunikatorów^[51]. Spółka oświadczyła^[52], że ani Agent 1, ani Agent 2, ani Sub-Agent, nie zgłaszał się do Spółki z pytaniem o możliwość wykorzystywania dodatkowych narzędzi pracy, w tym komunikacji, a także żaden z nich nie uzyskał zgody Spółki na możliwość wykorzystywania dodatkowych narzędzi pracy, w tym Y..

II.2. Wyjaśnienia Agenta 1.

36.

Prezes UODO uzyskał m.in. wyjaśnienia Agenta 1, które zostaną przytoczone w kolejnych punktach niniejszej części uzasadnienia (pkt 37-46).

37.

Z przedłożonej przez Agenta 1 analizy ryzyka dla czynności „Kontakt z klientem”^[53] nie wynika, by przewidział on możliwość wykorzystania w procesie przetwarzania danych osobowych klientów Spółki nieautoryzowanej aplikacji, której zastosowanie umożliwiło (np. Byłemu Pracownikowi) dalszy dostęp do tych danych, a nawet ich dalsze przekazywanie. Z wyjaśnień Agenta 1 wynika również, że nie dostrzegał swojej roli w procesie zapewniania bezpieczeństwa przetwarzania danych osobowych powierzonych przez Administratora - zamiast tego podkreślał on decydującą rolę Spółki w tym zakresie^[54].

38.

Agent 1 tuż przed zawarciem umowy współpracy ze Spółką oraz Umowy powierzenia Spółki z Agentem 1, wprowadził w swojej organizacji politykę bezpieczeństwa danych osobowych^[55]. Wyjaśnił również, że polityka ta była wdrożona i stosowana w okresie trwania tej współpracy^[56]. Poza ogólnymi zapisami (np. stanowiącymi powtórzenie art. 32 ust. 1 rozporządzenia 2016/679 w pkt 5.3 tej polityki), dokument ten nie zawierał postanowień istotnych dla mitygowania ryzyka przetwarzania danych osobowych z wykorzystaniem nieautoryzowanej aplikacji przez podmioty, którym Agent 1 powierzał przetwarzanie danych osobowych, których administratorem była Spółka.

39.

Pomimo podkreślanej przez Agenta 1 roli Spółki w procesie przetwarzania danych osobowych, których była administratorem, a których przetwarzanie powierzała kolejnym podmiotom, należy zauważyć, że Umowa powierzenia Spółki z Agentem 1 nakładała na Agenta 1 pewne obowiązki (zob. np. § 3 ust. 6-8 tej umowy, które zostały przytoczone w pkt 29 lit. h)-j) uzasadniania niniejszej decyzji).

40.

Agent 1 w swoich wyjaśnieniach^[57], wskazał, że w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych były wdrożone odpowiednie środki techniczne i organizacyjne, zapewniające właściwy stopień bezpieczeństwa danych osobowych odpowiadający przeprowadzonej analizie ryzyka. Środki techniczne i organizacyjne były dobierane na podstawie przeprowadzonej analizy ryzyka - w taki sposób, by to ryzyko maksymalnie minimalizować i sprowadzać do poziomu akceptowalnego. Agent 1 wyjaśnił, że w zakresie przekazanych przez Spółkę rozwiązań technicznych był zapewniany o tym, że rozwiązania techniczne systemów przetwarzających dane umożliwiały ich szyfrowanie. Agent 1 podkreślił również, że przetwarzane dane osobowe klientów były pozyskiwane z przekazanych przez Spółkę baz danych, a praca na wskazanych danych osobowych odbywała się przy użyciu urządzeń i systemów dostarczanych przez Spółkę. Każdy współpracownik odbywał szkolenie z zakresu ochrony danych osobowych, a za organizację szkoleń odpowiedzialna była Spółka. Każdy współpracownik był również upoważniony do przetwarzania danych i potwierdził pisemnie fakt zapoznania się z dokumentacją bezpieczeństwa ochrony danych oraz zrozumieniem wszystkich zasad bezpieczeństwa.

41.

Ponadto, Agent 1 składając wyjaśnienia^[58] dotyczące tego, jakie środki techniczne i organizacyjne były stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych klientów Spółki, wskazał, iż jako podmiot przetwarzający nie decydował ani o celach przetwarzania danych, ani o stosowanych środkach. W ramach świadczonych usług nie były przez niego wykonywane żadne czynności związane z dalszym przekazywaniem danych osobowych nieuregulowanych w umowie. Agent 1 wskazał, że każda osoba przetwarzająca dane jako współpracownik jego firmy była zobowiązana do:

–

zachowania w tajemnicy danych osobowych oraz do zabezpieczenia danych poprzez stosowanie środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa powierzonych do przetwarzania danych osobowych odpowiadający ryzyku naruszenia praw i wolności osób fizycznych - w szczególności poprzez zastosowania urządzeń i systemów (za pośrednictwem których przetwarzane były dane osobowe) zapewniających anonimizację lub szyfrowanie tych danych,

–

zgłaszania Administratorowi naruszenia ochrony powierzonych do przetwarzania danych osobowych bez zbędnej zwłoki po stwierdzeniu tego naruszenia,

–

pomagania Administratorowi w wywiązywaniu się z jego obowiązków związanych z przetwarzaniem powierzonych do przetwarzania danych osobowych,

–

niezwłocznego zwrócenia Administratorowi danych osobowych po rozwiązaniu, wypowiedzeniu lub wygaśnięciu umowy oraz usunięcia tych danych oraz ich kopii ze wszelkich elektronicznych nośników danych, na których zostały one utrwalone przez podmiot przetwarzający dla realizacji umowy, chyba, że przepisy prawa nakazują przechowywanie tych danych,

–

wdrożenia wymaganych przepisami prawa środków zapewniających poufność, integralność, dostępność danych osobowych i odporność systemów wykorzystanych do ich przetwarzania.

42.

Agent 1 wskazał również^[59], że monitorowanie wykorzystywania danych następowało poprzez ciągły kontakt stron w związku z realizacją umowy. Każdy współpracownik, z którym Agent 1 podpisał umowę, miał udostępnioną bazę danych adresowych klientów, którą przetwarzał celem realizacji zawartej umowy o świadczenie usług. Współpracownicy mieli udostępnione do pracy telefony komórkowe oraz laptopy. Na tych urządzeniach zakazane było instalowanie oraz wykorzystywanie do pracy narzędzi przetwarzania danych osobowych niezapewniających bezpieczeństwa danych oraz powodujących ryzyko naruszenia praw. Agent wskazał ponadto^[60], że zgodnie z dokumentami, w oparciu o które nawiązywał współpracę ze swoimi współpracownikami, każdy pracownik otrzymywał upoważnienie do przetwarzania danych osobowych. Po rozwiązaniu umowy, współpracownik był wzywany do zwrotu wskazanych upoważnień. Względem każdego byłego współpracownika następowało zablokowanie dostępu do systemu umożliwiającego przetwarzanie danych osobowych klientów. Współpracownicy byli zobowiązani do niezwłocznego zwrócenia danych osobowych po rozwiązaniu, wypowiedzeniu lub wygaśnięciu umowy oraz usunięcia tych danych oraz ich kopii ze wszelkich elektronicznych nośników danych, na których zostały one utrwalone dla realizacji umowy, chyba, że przepisy prawa nakazują przechowywanie tych danych.

43.

Wezwany przez organ nadzorczy do przesłania dowodów regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych, Agent 1 wyjaśnił, że nie były one konieczne „bowiem w sytuacjach gdyby pojawiało się podejrzenie zaistnienia podatności, byłyby na bieżąco wdrażane działania zabezpieczające”^[61]. Agent 1 podkreślił przy tym również, że narzędzia niezbędne do pracy były dostarczane przez Spółkę, więc nie widział możliwości, by mógł - jako podwykonawca - przeprowadzać testowanie, mierzenie i ocenianie skuteczności środków technicznych dostarczonych przez Spółkę. Wskazał również na uprawnienie do przeprowadzania przez Spółkę audytów dotyczących Agenta 1.

44.

Odpowiadając z kolei na pytanie, jak wyglądała procedura wyboru i weryfikacji Sub-Agenta, a w szczególności, jakie kryteria okazały się kluczowe w tym zakresie, Agent 1 wyjaśnił^[62], że o powierzeniu Sub-Agentowi wykonywania usług zadecydowała przede wszystkim wiedza i doświadczenie jaką posiadał w zakresie ich świadczenia - od ponad roku prowadził sprzedaż na rzecz Spółki u innego Agenta na innym terenie. Przed podpisaniem umowy z Sub-Agentem, Agent 1 otrzymał pozytywne rekomendacje dotyczące jego dotychczasowej współpracy ze Spółką. Na pierwszym spotkaniu przedstawił szczegółowy biznes plan i swoje dotychczasowe wyniki jakościowe i ilościowe^[63], z których wynikało, że miał jedne z najlepszych wyników pośród wszystkich Agentów pracujących w ramach sprzedaży D2D w Spółce. Po przeanalizowaniu wyników i biznes planu Agent 1 postanowił podpisać umowę z Sub-Agentem. Agent 1 w kolejnych wyjaśnieniach^[64] wskazał ponadto, że Sub-Agent posiadał doświadczenie we współpracy ze Spółką, znał procedury i uczestniczył w szkoleniach, zarówno tych produktowych, jak i dotyczących ochrony danych osobowych i okoliczności te zadecydowały o nawiązaniu z nim współpracy.

45.

Agent 1 zapytany o to, czy dokonywał regularnych audytów lub kontroli wykonywania przez Sub-Agenta jego obowiązków w zakresie zapewnienia bezpieczeństwa przetwarzanych danych osobowych, których administratorem była Spółka, wyjaśnił^[65], że kontrole te wykonywane były cyklicznie. Z przekazanych organowi nadzorczemu przez Agenta 1 dokumentów oznaczonych datami: (…) r. (kiedy to została zawarta umowa o współpracy oraz Umowa powierzenia Spółki z Agentem 1) oraz 10 lutego 2021 r., wynika, że kontrolował on m.in. to, czy pracownicy zachowują ostrożność przy przekazywaniu danych osobowych. Z dokumentów tych nie wynika, by Agent 1 stwierdził jakiekolwiek nieprawidłowości dotyczące bezpieczeństwa danych osobowych.

46.

Agent 1 w trakcie prowadzonego przez Spółkę postępowania wyjaśniającego oświadczył, że (podobnie jak Spółka) nie miał wiedzy na temat wykorzystywania przez Sub-Agenta komunikatora Y.^[66]. Ponadto Agent 1 w swoich wyjaśnieniach^[67] wskazał, że nie zna okoliczności korzystania przez pracowników Sub-Agenta z aplikacji Y., ani zasad dostępu do niej. Nie wyrażał też zgody na jej użycie - Sub-Agent o nią nie występował, ani nie informował go o zamiarze jej użycia. Zgodnie z tymi wyjaśnieniami Agent 1 nie miał też wiedzy o tym, czy Sub-Agent lub Agent 2 występowali o udzielenie zgody przez Spółkę na użycie przedmiotowej aplikacji.

II.3. Wyjaśnienia Agenta 2.

47.

Prezes UODO uzyskał m.in. wyjaśnienia Agenta 2, które zostaną przytoczone w kolejnych punktach niniejszej części uzasadnienia (pkt 48-56).

48.

Z całokształtu składanych przez Agenta 2 wyjaśnień wynika, że nie dostrzega on swojej roli w procesie organizacji przetwarzania danych osobowych, których administratorem była Spółka. Odpowiadając na pytania organu nadzorczego, konsekwentnie podkreślał on w tym zakresie rolę Spółki i Sub-Agenta. Również udzielając odpowiedzi na pytanie, czy przeprowadził analizę ryzyka wiążącego się z przetwarzaniem ww. danych przez pracowników u niego „zarejestrowanych” wskazał^[68], że analiza ryzyka przeprowadzana była przez Spółkę, która organizowała cały proces sprzedaży. Podkreślał również, że osoby te nie były przez niego zatrudnione - był to personel Sub-Agenta, który jako podmiot zaakceptowany przez Spółkę prowadził sprzedaż D2D. Tłumaczenia Agenta 2, zgodnie z którymi jego pracownicy nie prowadzili sprzedaży D2D^[69], należy jednak skonfrontować nie tylko z dotychczasowymi ustaleniami dotyczącymi tego, w jaki sposób zorganizowana była sieć sprzedaży w analizowanym stanie faktycznym, ale również z wyjaśnieniami Spółki^[70], która wskazywała, że pracownicy Agenta 2 (wymienieni w piśmie organu nadzorczego z 17 lipca 2024 r.) byli zgłoszeni przez niego jako handlowcy w ramach sprzedaży D2D.

49.

Agent 2 wyjaśnił^[71], że w jego organizacji wdrożona została „Polityka bezpieczeństwa” i przekazał organowi nadzorczemu jej kopię. Dokument ten (opatrzony datą 25 maja 2018 r.) poza ogólnymi postanowieniami dotyczącymi np. wdrożonych zabezpieczeń mających służyć zapewnieniu m.in. poufności danych, nie zawiera zapisów, które miałyby istotne znaczenie w kontekście naruszenia ochrony danych osobowych zaistniałego w analizowanym stanie faktycznym.

50.

Zapytany o wdrożone przez niego środki techniczne i organizacyjne mające służyć zapewnieniu bezpieczeństwa przetwarzanych danych osobowych, Agent 2 wskazał^[72] jedynie na te, które zostały określone w ww. Polityce bezpieczeństwa w dziale „Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzania danych”. W dziale tym wskazano m.in., że osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych oraz w zakresie zabezpieczeń systemu informatycznego, a także zobowiązane do zachowania ich w tajemnicy. Wskazano również, że przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych. W swoich wyjaśnieniach^[73] Agent 2 wskazywał również, że pracownicy Sub-Agenta posiadali upoważnienia do zawierania umów (przy czym warunkiem do ich uzyskania było zdanie testu wiedzy) i do przetwarzania danych osobowych, a także przechodzili szkolenia prowadzone przez Spółkę (obejmujące zarówno sam proces sprzedaży, jak i zasady ochrony danych osobowych). Agent 2 wyjaśnił^[74] również, że „Handlowcy pracujący w terenie nie posiadali dostępu do bazy danych klientów. Znali jedynie kody pocztowe, w ramach których mogą poszukiwać klientów. Dane osobowe były pozyskiwane bezpośrednio od klienta. Umowy z klientami zawierane były w formie tradycyjnej i proces sprzedaży bezpośredniej nie wymagał dostępu do sprzętu oraz systemów informatycznych. W przypadku konieczności uzyskania dostępu do danych klientów, np. numeru punktu poboru, handlowcy mogli korzystać z dedykowanej infolinii prowadzonej przez T. (…), za pośrednictwem której Spółka udzielała informacji po uprzedniej weryfikacji tożsamości. Spółka zapewniała dostęp do systemu teleinformatycznego, poprzez który wprowadzane były też umowy zawarte w formie papierowej. Dostęp do systemu nadawała T. (…) wybranym osobom, zapewniającym tzw. back office, w tym był to Pan L. A.. Handlowcy nie posiadali dostępu do systemu”. W tym samym piśmie^[75] Agent 2 wskazał również, że proces sprzedaży nie wymagał komunikowania się przez Y., czy też inne komunikatory, a także powtórzył, że handlowcy pozyskiwali dane osobowe bezpośrednio od klientów. Wyjaśnienia te wskazują na to, że Agent 2 nie wziął pod uwagę tego, że pracownicy Sub-Agenta mogli dostrzec potrzebę usprawnienia procesu sprzedaży w systemie D2D wymagającego bieżącego uzupełniania danych osobowych w domu klienta.

51.

W swoich wyjaśnieniach^[76] Agent 2 zaznaczył też, że zgodnie z umową powierzenia, po zakończeniu współpracy dane miały być usunięte lub zwrócone. Podkreślił również, że nie udostępniał pracownikom Sub-Agenta sprzętu do realizacji umowy, zatem nie sprawował kontroli nad jego zawartością. Handlowcy w terenie posługiwali się dokumentami papierowymi - nie wprowadzali danych do systemów informatycznych, zatem nie były one tam przechowywane. Wszystkie umowy zawarte przez handlowców w terenie zostały zwrócone Spółce.

52.

Analizując wyjaśnienia Agenta 2 w zakresie wdrożonych środków organizacyjnych i technicznych mających na celu zapewnienie bezpieczeństwa przetwarzanych danych, należy wziąć pod uwagę, że również Umowa powierzenia Spółki z Agentem 2 nakładała na Agenta 2 pewne obowiązki (zob. np. § 3 ust. 6-8 tej umowy, które zostały przytoczone w pkt 29 lit. h)-j) uzasadniania niniejszej decyzji).

53.

Agent 2 w swoich wyjaśnieniach wskazał też, że nie dokonywał oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych i (również w tym miejscu) podkreślił, że pracownicy (którzy przetwarzali dane osobowe klientów Spółki przy użyciu nieautoryzowanego narzędzia jakim była aplikacja Y. - co należy wnioskować z kontekstu udzielonych przez Agenta 2 wyjaśnień) byli zatrudnieni przez Sub-Agenta^[77]. Agent 2 wskazał^[78] również, że zapewnienie środków technicznych i organizacyjnych leżało po stronie Spółki, która jako administrator odpowiadała jego zdaniem za „regularne testowanie, mierzenie stosowanych środków”.

54.

Agent 2 dokonał wyboru Sub-Agenta z polecenia innej osoby^[79]. Agent 2 podkreślił^[80] również, że Sub-Agent był podmiotem zaakceptowanym i przeszkolonym przez Spółkę (przekazał również certyfikat odbycia przez Pana L. A. szkolenia z zakresu (…) w (…)). Zaznaczył też, że Spółka dokonywała weryfikacji sub-agentów pod kątem spełniania wymogów i prowadziła Kartę analizy ryzyka. Aktualizacja Karty analizy ryzyka miała następować raz na trzy lata, ale z uwagi na fakt, że współpraca z Sub-Agentem zakończyła się przed upływem trzech lat, do aktualizacji karty ryzyka nie doszło.

55.

W ramach kontroli prawidłowości przetwarzania przez Sub-Agenta powierzonych mu danych osobowych (pod kątem ich bezpieczeństwa), Agent 2 przeprowadzał z nim rozmowy na ten temat. Agent 2 zaznaczył przy tym, że nie docierały do niego żadne niepokojące sygnały o ewentualnych nieprawidłowościach^[81].

56.

Z wyjaśnień^[82] Agenta 2 wynika, że nie wyrażał zgody na używanie aplikacji Y., ani żadnego innego narzędzia, poza tymi dopuszczonymi przez Spółkę, która organizowała cały proces sprzedaży. Proces ten nie zakładał korzystania z tego typu aplikacji. Zgodnie z tymi wyjaśnieniami, Sub-Agent nie zgłaszał potrzeby korzystania z dodatkowych narzędzi. Agent 2 oświadczył^[83] również, że o zaistniałej sytuacji dowiedział się z mediów i od Sub-Agenta. Agent 2 zapewnił, że nie wiedział wcześniej o tym, że pracownicy Sub-Agenta korzystali z aplikacji Y., ani nie wie nic o tym, by pracownicy Sub-Agenta otrzymali od kogokolwiek polecenie przetwarzania przy pomocy tej aplikacji danych osobowych, których administratorem była wówczas Spółka. Oświadczył też, że nie był uczestnikiem jakiejkolwiek konwersacji utworzonej za pomocą komunikatora Y. ani innego, w której dochodziło do przetwarzania ww. danych osobowych. Zapewnił także, że nie wie przy użyciu jakich sprzętów (służbowego, czy prywatnego, komputerów, tabletów, czy telefonów) komunikowali się ze sobą pracownicy Sub-Agenta. W ramach ustalania okoliczności analizowanego zdarzenia Agent 2 przeprowadził rozmowę z Sub-Agentem, którego wezwał do złożenia wyjaśnień (również w tym zakresie podkreślił, że pracownicy prowadzący sprzedaż w systemie D2D nie byli zatrudnieni przez niego, a ich pracodawcą był Sub-Agent).

II.4. Wyjaśnienia Sub-Agenta.

57.

Prezes UODO uzyskał m.in. wyjaśnienia Sub-Agenta, które zostaną przytoczone w kolejnych punktach niniejszej części uzasadnienia (pkt 58-73).

58.

Z przedłożonej przez Sub-Agenta analizy ryzyka dla czynności „Kontakt z klientem”^[84] nie wynika, by przewidział on możliwość wykorzystania w procesie przetwarzania danych osobowych klientów Spółki nieautoryzowanej aplikacji, której zastosowanie umożliwiło (np. Byłemu Pracownikowi) dalszy dostęp do tych danych, a nawet ich dalsze przekazywanie. Z wyjaśnień złożonych przez Sub-Agenta wynika również, że Sub-Agent nie dostrzegał swojej roli w procesie zapewniania bezpieczeństwa przetwarzania danych osobowych - zamiast tego w wyjaśnieniach podkreślał decydującą rolę Spółki w tym zakresie.

59.

Sub-Agent niedługo przed zawarciem umowy współpracy z Agentem 2 oraz Umowy powierzenia Agenta 2 z Sub-Agentem (z którym rozpoczął współpracę wcześniej niż z Agentem 1, bo już (…) r.), wprowadził w swojej organizacji politykę bezpieczeństwa danych osobowych^[85]. Poza ogólnymi zapisami (np. stanowiącymi powtórzenie art. 32 ust. 1 rozporządzenia 2016/679 w pkt 5.3 tej polityki), dokument ten nie zawierał postanowień istotnych dla mitygowania ryzyka przetwarzania z wykorzystaniem nieautoryzowanej aplikacji danych osobowych, których administratorem była Spółka.

60.

Pomimo podkreślanej przez Sub-Agenta roli Spółki w procesie przetwarzania danych osobowych, których była administratorem, a których przetwarzanie powierzała kolejnym podmiotom, należy zauważyć, że zarówno Umowa powierzenia Agenta 1 z Sub-Agentem, jak i Umowa powierzenia Agenta 2 z Sub-Agentem, nakładały na Sub-Agenta pewne obowiązki. Obowiązki te były analogiczne do tych obciążających Agentów wynikających z zawartych przez nich umów powierzenia ze Spółką (zob.: np. § 3 ust. 6-8 przytoczone w pkt 29 lit. h)-j) uzasadniania niniejszej decyzji).

61.

Sub-Agent opisując wdrożone środki techniczne i organizacyjne mające na celu zapewnienie bezpieczeństwa przetwarzanych danych osobowych, złożył wyjaśnienia^[86] o bardzo zbliżonej treści do tych złożonych w tym zakresie przez Agenta 1 (zob.: pkt 41 niniejszej decyzji). Sub-Agent wskazał w nich, że jako podmiot przetwarzający nie decydował ani o celach przetwarzania danych, ani o stosowanych środkach. W ramach świadczonych usług nie były przez niego wykonywane żadne czynności związane z dalszym przekazywaniem i przetwarzaniem danych osobowych niż w celu realizacji umowy. Sub-Agent oświadczył, że każda osoba przetwarzająca dane jako współpracownik jego firmy była zobowiązana do:

–

zachowania w tajemnicy danych osobowych oraz do zabezpieczenia danych poprzez stosowanie środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa powierzonych do przetwarzania danych osobowych odpowiadający ryzyku naruszenia praw i wolności osób fizycznych - w szczególności poprzez zastosowania urządzeń i komunikatorów (za pośrednictwem których przetwarzane były dane osobowe) zapewniających anonimizację lub szyfrowanie tych danych,

–

zgłaszania Administratorowi naruszenia ochrony powierzonych do przetwarzania danych osobowych bez zbędnej zwłoki po stwierdzeniu tego naruszenia,

–

pomagania Administratorowi w wywiązywaniu się z jego obowiązków związanych z przetwarzaniem powierzonych do przetwarzania danych osobowych,

–

niezwłocznego zwrócenia Administratorowi danych osobowych po rozwiązaniu, wypowiedzeniu lub wygaśnięciu umowy oraz usunięcia tych danych oraz ich kopii ze wszelkich elektronicznych nośników danych, na których zostały one utrwalone przez podmiot przetwarzający dla realizacji umowy, chyba, że przepisy prawa nakazują przechowywanie tych danych,

–

wdrożenia wymaganych przepisami prawa środków zapewniających poufność, integralność, dostępność danych osobowych i odporność systemów wykorzystanych do ich przetwarzania.

Sub-Agent wskazał również^[87], że w jego firmie nie były stosowane inne zasady pracy niż zgodne z wytycznymi udzielonymi przez Spółkę (co do procesu sprzedaży i zawierania umów), a ewentualne odstępstwa od tych wytycznych były niedopuszczalne. Zaznaczył przy tym, że jeżeli jednak odstępstwa te zaistniały, to z wyłącznej inicjatywy tych osób - bez jakiegokolwiek udziału i wiedzy Sub-Agenta.

62.

Również wyjaśnienia Sub-Agenta dotyczące monitorowania wykorzystywania danych osobowych oraz kontrolowania i obligowania pracowników do zwrócenia lub usunięcia danych osobowych klientów Spółki, których mogli być w posiadaniu, były bardzo podobne do tych złożonych w tym zakresie przez Agenta 1 (zob.: pkt 42 uzasadnienia niniejszej decyzji). Sub-Agent wskazał w nich^[88], że monitorowanie wykorzystywania danych następowało poprzez ciągły kontakt stron w związku z realizacją umowy. Każdy współpracownik, z którym Sub-Agent podpisał umowę, miał udostępnioną bazę danych klientów, którą przetwarzał celem realizacji zawartej umowy o świadczenie usług. Współpracownicy mieli udostępnione do pracy telefony komórkowe oraz laptopy. Na tych urządzeniach zakazane było instalowanie oraz wykorzystywanie do pracy narzędzi przetwarzania danych osobowych niezapewniających bezpieczeństwa danych oraz powodujących ryzyko naruszenia praw. Sub-Agent wskazał ponadto^[89], że zgodnie z dokumentami, w oparciu o które nawiązywał współpracę ze swoimi współpracownikami, każdy pracownik otrzymywał upoważnienie do przetwarzania danych osobowych. Po rozwiązaniu umowy, współpracownik był wzywany do zwrotu wskazanych upoważnień. Względem każdego byłego współpracownika następowało zablokowanie dostępu do systemu umożliwiającego przetwarzanie danych osobowych klientów. Współpracownicy byli zobowiązani do niezwłocznego zwrócenia danych osobowych po rozwiązaniu, wypowiedzeniu lub wygaśnięciu umowy oraz usunięcia tych danych oraz ich kopii ze wszelkich elektronicznych nośników danych, na których zostały one utrwalone dla realizacji umowy, chyba, że przepisy prawa nakazują przechowywanie tych danych.

63.

W swoich wyjaśnieniach Sub-Agent wskazywał na szkolenia, jakie przechodzili jego pracownicy, a które były organizowane przez Spółkę^[90]. Zapytany o sposób, w jaki Sub-Agent weryfikował przestrzeganie przez pracowników zasad przetwarzania danych osobowych, wskazał dodatkowo na szkolenia oraz na przypominanie o zasadach przetwarzania danych co najmniej raz na kwartał^[91].

64.

Sub-Agent wezwany przez organ nadzorczy do przesłania dowodów regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych, również w tym przypadku złożył wyjaśnienia^[92] niemal identyczne jak te złożone przez Agenta 1 (zob. pkt 43 uzasadnienia niniejszej decyzji). W tym zakresie Sub-Agent wskazał, że nie były one konieczne „bowiem w sytuacjach gdyby pojawiało się podejrzenie zaistnienia podatności, byłyby na bieżąco wdrażane działania zabezpieczające”. Sub-Agent podkreślił przy tym również, że narzędzia niezbędne do pracy były dostarczane przez Spółkę, więc nie widział możliwości, by mógł - jako podwykonawca - przeprowadzać testowanie, mierzenie i ocenianie skuteczności środków technicznych dostarczonych przez Spółkę. Wskazał również na uprawnienie do przeprowadzania przez Spółkę audytów dotyczących Sub-Agenta.

65.

Sub-Agent był przez organ nadzorczy wielokrotnie pytany o kwestie związane z wykorzystywaną przez jego pracowników aplikacją Y. i w tym zakresie składał wyjaśnienia, które nie w każdym aspekcie były ze sobą spójne. Wykazane zostanie to w kolejnych punktach poniżej.

66.

Sub-Agent składał między innymi wyjaśnienia, w których generalnie potwierdzał korzystanie z aplikacji Y.. W jednym z nadesłanych przez siebie pism^[93] wskazał, że używa aplikacji Y. w sprzedaży od 2016 r. i że „została ona zaprezentowana na warsztatach sprzedażowych Q. (…) i od tego czasu służy mi do komunikacji wewnątrz firmy”. Wyjaśnił ponadto, że nie dokonuje za pomocą aplikacji rzeczy niedozwolonych w świetle zapisów umowy (mając zapewne na myśli umowy łączące go z Agentami), dlatego „nie występuje do spółek, agentów i innych podmiotów o zgodę gdyż Aplikacja służy mi jedynie do lepszej komunikacji organizacyjnej wewnątrz firmy”. W swoich innych wyjaśnieniach^[95] Sub-Agent wskazał inną datę rozpoczęcia stosowania aplikacji Y. (tj. 2015 r., co nie jest w niniejszej sprawie aż tak istotne z uwagi na nawiązanie współpracy z Agentem 1 i Agentem 2 w późniejszym niż ten okresie), jednak konsekwentnie wskazywał, że: „[n]ie pytałem i nie zwracałem się do [Agenta 2] o zgodę na korzystanie z aplikacji Y. gdyż aplikacja służy w mojej firmie od 2015 r. do systemu raportowania sprzedaży i szybkiej komunikacji z pracownikami terenowymi w całej Polsce, jest to wewnętrzne narzędzie do zarządzania własnej firmy i nie było konieczności pytania o zgodę firm trzecich gdyż ich procedury nie były wykorzystywane przez aplikacje Y. oraz nie było to stroną umowy”. W tych samych wyjaśnieniach Sub-Agent oświadczył, że nie uprzedzał również Agenta 2 o zamiarze korzystania z aplikacji Y.. W swoich wcześniejszych wyjaśnieniach Sub-Agent wskazywał^[96], że „Do przetwarzania danych osobowych klientów wykorzystywana była aplikacja Y. jedynie w celu wewnętrznej wymiany korespondencji pomiędzy współpracownikami. Nigdy nie otrzymałem wytycznych, iż korzystanie z komunikatora Y. jest niedozwolone i może stanowić zagrożenie dla przetwarzanych danych osobowych”. Sub-Agent wskazał^[97] także, że „[z]aakceptowany jako forma komunikacji przez [Spółkę] komunikator Y. zapewnia szyfrowanie danych oraz zdolność do ciągłego zapewnienia poufności” oraz że „Aplikacja była wskazywana jako jeden ze sposób komunikacji pomiędzy współpracownikami. Zostałem powiadomiony, że pełne szyfrowanie na Y. jest wykorzystywane podczas wszystkich rozmów z osobami, które używają aplikacji Y. N.. Dzięki temu nikt poza uczestnikami konwersacji, nawet Y., nie może odczytać ani odsłuchać przesyłanych wiadomości”. W swoich wyjaśnieniach^[98] Sub-Agent wskazał, że aplikacja Y. była dostępna jako jedna z form kontaktu i że nie było podjętej decyzji o tym, że z tej konkretnej aplikacji należy korzystać jako z narzędzia komunikacji pomiędzy pracownikami. Zapytany przez organ nadzorczy o to, w jakiej formie została wyrażona przez Spółkę akceptacja dla korzystania z aplikacji Y. przez pracowników Sub-Agenta, wskazał on^[99], że nie pamięta z kim dokładnie rozmawiał o tej aplikacji i który z agentów lub kierowników ją polecał bądź wskazywał, a także że nie uznał na podstawie zawartej z Agentem umowy, by korzystanie z tej aplikacji było zabronione.

67.

Organ nadzorczy zwracał się również do Sub-Agenta o wyjaśnienia dotyczące wskazywanej przez Spółkę okoliczności, iż Były Pracownik okazał jej pracownikom zrzuty ekranu, o których mowa w pkt 15 uzasadnienia niniejszej decyzji, na swoim prywatnym telefonie. Sub-Agent w swoich wyjaśnieniach^[100] wskazał, że „Współpracownicy zobowiązani byli do korzystania z telefonów służbowych. Zabronione było korzystanie do celów firmowych z urządzeń prywatnych, na których zainstalowana była aplikacja Y.. Nie mam wiedzy na temat tego, czy aplikacja Y. była zainstalowana zarówno na komputerach jak i telefonach”. Następnie powtórzył^[101], że każdy współpracownik przetwarzając dane korzystał jedynie z telefonu służbowego - zabronione było korzystanie z urządzeń prywatnych do celów firmowych. Sub-Agent nie zauważył, by ktokolwiek korzystał z telefonu prywatnego. W swoich późniejszych wyjaśnieniach^[102] Sub-Agent wskazywał już jednak, że „Nie jestem w stanie stwierdzić, czy współpracownicy w trakcie świadczenia usług korzystali z własnych czy powierzonych telefonów, niemniej jednak jak zostało [w]skazane powyżej, każdy współpracownik miał możliwość korzystania z telefonu firmowego”.

68.

Z wyjaśnień przytoczonych powyżej generalnie wynikało, że wykorzystywanie aplikacji Y. przez pracowników Sub-Agenta do przetwarzania danych osobowych było zaakceptowane przez Spółkę, odbywało się za wiedzą Sub-Agenta (przy przyjęciu przez niego założenia, iż takie przetwarzanie danych jest prawidłowe), a korzystanie przy tym z telefonów prywatnych było niedozwolone.

69.

Niestety, Sub-Agent składał również wyjaśnienia, których nie da się w pewnym zakresie pogodzić ani z wyjaśnieniami przytoczonymi w pkt 66 i 67 powyżej, ani z informacjami zawartymi w wiadomości e-mail wysłanej przez Sub-Agenta 8 kwietnia 2021 r. do Spółki (której dokładniejszą treść w odpowiednim fragmencie wskazano w pkt 18 niniejszej decyzji), a z której wynikało m.in. „(…) w ramach wymiany korespondencji pomiędzy współpracownikami było przesyłanych ok. (…) umów. Ponieważ komunikator Y. spełniał rolę jedynie narzędzia pomocniczego przy realizacji umów, nie każda umowa była procedowana za jego pośrednictwem. (…). Komunikacja była szyfrowana i odbywała się tylko z udziałem współpracowników. (…). Do zawarcia umowy weryfikowane były dane osobowe takie jak: imię i nazwisko, PESEL, adres zamieszkania, tel kom. email, dodatkowo nr licznika (co nie może być traktowane jako dana osobowa). (…). Do grupy na komunikatorze należały tylko osoby, które miały upoważnienie do zawierania umów i z danych korzystały jedynie w celu zweryfikowania klienta i zawarcia z nim umowy. (…). Ww. dane były niezbędne do zawarcia umowy”.

70.

W ramach wykazywania ww. niespójności, warto przytoczyć np. wyjaśnienia^[103] złożone przez Sub-Agenta, w których wskazał, że „nic [mu] nie wiadomo o przetwarzaniu danych przez aplikacje WH [Y.]”, przy czym w tym samym piśmie wskazał^[104], że „[h]andlowcy którzy pracowali i komunikowali się za pomocą aplikacji Y. nigdy nie mieli polecenia by dokonywać za pomocą aplikacji przetwarzania danych osobowych klientów, grupy służyły do wymiany komunikacji mi[ę]dzy pracownikami a nie przetwarzania danych, jeżeli pracownicy stworzyli jakąś inn[ą] grupę i wysyłali dane osobowe robili to poza moją wiedzą i informacją”. Sub-Agent zaznaczył w tych wyjaśnieniach również, że do grup na Y. mieli dostęp jedynie pracownicy z trwającą umową - pracownicy bez ważnej umowy byli usuwani z grup dotyczących raportowania i sprzedaży. Pominął przy tym okoliczność, której istnienia musiał być świadomy ze względu na postępowanie wyjaśniające prowadzone przez Spółkę, tj. fakt okazania przez Byłego Pracownika zrzutów ekranu Spółce (zob. pkt 15 uzasadnienia niniejszej decyzji), co dowodzi tego, że osoba nieuprawniona nadal miała dostęp do treści wymienianych poprzez Y. (choćby archiwalnych). Co również istotne dla oceny wyjaśnień Sub-Agenta, w piśmie przesłanym Prezesowi UODO dwa miesiące później^[105], Sub-Agent podkreślał, że nigdy nie zauważył, by przetwarzano dane osobowe klientów w ramach grup na Y. służących komunikacji między pracownikami oraz grup, na których dodano jego prywatny numer telefonu.

71.

Organ nadzorczy, ustalając stan faktyczny, w trakcie postępowania administracyjnego wezwał Sub-Agenta do wyjaśnienia niespójności pomiędzy:

–

wyjaśnieniami złożonymi 31 maja 2021 r., w których wskazał on, że: „Do przetwarzania danych osobowych klientów wykorzystywana była aplikacja Y. jedynie w celu wewnętrznej wymiany korespondencji pomiędzy współpracownikami. Nigdy nie otrzymałem wytycznych, iż korzystanie z komunikatora Y. jest niedozwolone i może stanowić zagrożenie dla przetwarzanych danych osobowych”,

a

–

wyjaśnieniami złożonymi 24 lipca 2023 r., w których wskazał, że: „Handlowcy którzy pracowali i komunikowali się za pomocą aplikacji Y. nigdy nie mieli polecenia by dokonywać za pomocą aplikacji przetwarzania danych osobowych klientów , grupy służyły do wymiany komunikacji miedzy pracownikami a nie przetwarzania danych, jeżeli pracownicy stworzyli jakąś inna grupę i wysyłali dane osobowe robili to poza moją wiedzą i informacją”.

Sub-Agent w odpowiedzi^[106] oświadczył, że: »W przesłanym dokumencie z dnia 31 maja 2021 r. wkradł się błąd w zdaniu[.] Prawidłowa forma: Do przetwarzania danych osobowych klientów nie wykorzystywana była aplikacja Y., jedynie w celu wewnętrznej wymiany korespondencji pomiędzy współpracownikami. Błędna treść przesłana w piśmie z 31 maja 2021 gdzie pojawiła się literówka nie zawierała słowa „nie” natomiast świadczy o tej niespójności druga część zdania - „… jedynie w celu wewnętrznej wymiany korespondencji pomiędzy współpracownikami”«.

72.

Poważne wątpliwości budziły również wyjaśnienia Sub-Agenta dotyczące tego, czy wszyscy jego pracownicy, którzy przetwarzali dane osobowe klientów Spółki przy pomocy aplikacji Y., byli „zarejestrowani” w firmie Agenta 1, czy też pracownicy, którzy podejmowali takie działania byli „zarejestrowani” u innych podmiotów pełniących w procesie przetwarzania danych osobowych klientów Spółki funkcję analogiczną do tej pełnionej przez Agenta 1. Sub-Agent najpierw oświadczył bowiem w odpowiedzi, że: »pracownicy byli „zarejestrowani” u danego agenta«^[107], a następnie, w swoich kolejnych wyjaśnieniach^[108], Sub-Agent oświadczył jednak, że rejestracja wskazanych w tych pismach osób miała miejsce u dwóch agentów Spółki: Agenta 1 oraz Agenta 2. Prezes UODO zwrócił się więc do Sub-Agenta o wyjaśnienie, z jakich przyczyn pierwotnie udzielił innej odpowiedzi. Sub-Agent wyjaśnił, że: »W odpowiedzi udzielonej w sierpniu 2023 nie wskazałem firmy K. F. jako jedynego agenta z którym moja firma współpracowała. Określenie „danego” określało możliwość współpracy z różnymi podmiotami, natomiast w przed ostatnim zapytaniu konkretnym na temat zarejestrowanych pracowników, wymienionych z imienia i nazwiska jasno wskazałem iż pracownicy by[l]i zarejestrowani w dwóch firmach tj O. oraz I. . Nie uważam, że odpis mój z sierpnia wprowadzał państwa w błąd i miał na celu ukrywać stan faktyczny gdyż nie miało by to logicznego uzasadnienia«^[109]. Sub-Agent zaznaczył^[110], że poprzez aplikację Y. komunikowali się wyłącznie pracownicy danego projektu sprzedażowego, a po zakończeniu współpracy ze Spółką wszelkie grupy związane z tematyką sprzedażową zostały usunięte z komputerów czy urządzeń przenośnych (czym Sub-Agent uzasadniał brak wiedzy na temat tego, kto był uczestnikiem konwersacji grupowych prowadzonych poprzez tę aplikację). Wartość co najmniej tego ostatniego stwierdzenia należy w ocenie Prezesa UODO oceniać z uwzględnieniem faktu, że Sub-Agent sam przekazywał temu organowi imienne oświadczenia swoich pracowników dotyczące m.in. wykonania polecenia usunięcia grup na komunikatorze Y. z 1 i 2 kwietnia 2021 r. oraz treści się tam znajdujących, a także o tym, że nie udostępniali oni treści przekazywanych za pośrednictwem tych grup osobom trzecim^[111], więc musiał mieć wiedzę o tym, że pracownicy Ci byli przypisani nie tylko do Agenta 1.

73.

Sub-Agent już we wcześniejszych wyjaśnieniach podejmował próby umniejszania swojej roli w procesie przetwarzania danych osobowych klientów Spółki i przenoszenia odpowiedzialności za ewentualne nieprawidłowości na inne osoby. W jednym ze swoich pism^[112] Sub-Agent wskazał, że w jego firmie nigdy nie były stosowane inne zasady pracy niż te wynikające z wytycznych Spółki co do procesu sprzedaży i zawierania umów - ewentualne odstępstwa od tych wytycznych były niedopuszczalne „(…) a jeżeli zaistniały to z wyłącznej inicjatywy tych osób bez jakie[go]kolwiek udziału i wiedzy z mojej strony”. Sub-Agent w swoich późniejszych wyjaśnieniach wskazał^[113] ponadto, że zgodnie z umową nie miał możliwości oraz dostępu do CRM Spółki - nie miał więc dostępu do danych klientów „a tym samym ja i moja firma nie mogła ich przesyłać gdyż dostęp do Crm posiadali jedynie AGENCI i sama T. (…)”. Takie stwierdzenia zaskakują wobec całości ustalonego przez organ nadzorczy w niniejszej sprawie stanu faktycznego, podobnie jak stanowisko wyrażone przez Sub-Agenta w jednych z jego późniejszych wyjaśnień, w których wskazał^[114], że

„

(…) wadliwe jest kierowanie ze strony Organu korespondencji, w której podnoszone jest, że nastąpiło naruszenie ochrony danych osobowych. Jak już było wskazywane przeprowadziłem w swojej firmie wewnętrzne postępowanie wyjaśniające, które miało na celu zweryfikowanie procesu przetwarzania przez moich współpracowników danych osobowych klientów spółki T. (…) S.A, prawidłowości prowadzonego procesu sprzedaży produktów T. (…) S.A. z uwzględnieniem współpracowników. W toku postępowania wyjaśniającego ustalono, iż:

1)

nie doszło do naruszenia przetwarzania danych osobowych klientów T. (…) S.A,

2)

proces sprzedażowy prowadzony przez tych współpracowników był zgodny z zasadami sprzedaży produktów T. (…) S.A.”.

Na tym etapie Prezes UODO uznał, że zgromadzony materiał dowodowy wystarcza do wydania decyzji administracyjnej (o czym zawiadomił Spółkę, Agenta 1, Agenta 2 i Sub-Agenta pismami z dnia 4 lutego 2026 r.). Agent 2 przesłał 3 marca 2026 r. pismo zawierające przedstawienie jego stanowiska, lecz nie zawierało ono informacji zmieniających jakkolwiek ustalony przez organ nadzorczy stan faktyczny.

B. Stan prawny oraz ocena Prezesa UODO.

Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie Prezes UODO zważył, co następuje:

I. Stan prawny.

74.

Art. 5 rozporządzenia 2016/679 formułuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Tę funkcję w przetwarzaniu danych osobowych w niniejszej sprawie pełniła Spółka.

75.

Zgodnie z art. 5 ust. 1 lit. f) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). Konkretyzację tej zasady stanowią dalsze przepisy rozporządzenia 2016/679.

76.

Zgodnie zaś z art. 5 ust. 2 rozporządzenia 2016/679, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”). Jak wskazano w Wytycznych 07/2020 dotyczących pojęć administratora i podmiotu przetwarzającego zawartych w RODO, wersja 2.0 przyjęta 7 lipca 2021 r. (dalej zwanych: „Wytycznymi 07/2020”) Europejskiej Rady Ochrony Danych (dalej: „EROD”): „Celem włączenia zasady rozliczalności do RODO i uczynienia jej główną zasadą było podkreślenie, że administratorzy danych muszą wdrożyć odpowiednie i skuteczne środki oraz być w stanie wykazać zgodność z przepisami. Zasada rozliczalności została doprecyzowana w art. 24 (…). Zasada rozliczalności znajduje również odzwierciedlenie w art. 28, w którym określono obowiązki administratora podczas korzystania z usług podmiotu przetwarzającego”.

77.

Stosownie do art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Oznacza to, że administrator przy dokonywaniu oceny adekwatności zabezpieczeń powinien wziąć pod uwagę czynniki i okoliczności dotyczące przetwarzania (np. rodzaj, sposób przetwarzania danych) i ryzyko, jakie się z nim wiąże. Jednocześnie wdrożenie odpowiednich zabezpieczeń stanowi obowiązek będący przejawem realizacji ogólnej zasady przetwarzania danych - zasady integralności i poufności, określonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679. Wdrożenie środków technicznych i organizacyjnych powinno polegać na implementowaniu przez administratora odpowiednich przepisów, zasad przetwarzania danych osobowych w danej organizacji, ale także na dokonywaniu regularnych przeglądów tych środków, a w razie potrzeby na uaktualnianiu uprzednio przyjętych zabezpieczeń. Zasadę integralności i poufności, wyrażoną w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, oprócz przywołanego wyżej art. 24 ust. 1 rozporządzenia 2016/679, konkretyzują także i inne przepisy tego aktu prawnego, tj. art. 25 ust. 1 i art. 32 ust. 1 i 2.

78.

Zgodnie z treścią art. 25 ust. 1 rozporządzenia 2016/679 uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator - zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania - wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

79.

W myśl art. 28 ust. 1 rozporządzenia 2016/679, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

80.

Zgodnie z art. 28 ust. 3 rozporządzenia 2016/679, przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:

a)

przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora - co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej - chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;

b)

zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

c)

podejmuje wszelkie środki wymagane na mocy art. 32;

d)

przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4;

e)

biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;

f)

uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36;

g)

po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;

h)

udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

W związku z obowiązkiem określonym w akapicie pierwszym lit. h) podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.

81.

Art. 28 ust. 4 rozporządzenia 2016/679 przewiduje z kolei, że jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają - na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego - te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym, o których to obowiązkach mowa w ust. 3, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym.

82.

Z treści art. 32 ust. 1 rozporządzenia 2016/679 wynika, że uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, zgodnie z lit. a) - d) tego artykułu, powinny obejmować środki takie, jak:

a)

pseudonimizację i szyfrowanie danych osobowych;

b)

zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c)

zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d)

regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

83.

Art. 32 ust. 2 rozporządzenia 2016/679 stanowi, że oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

II. Ocena Prezesa UODO.

II.1 Naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679.

84.

Jak wynika z przytoczonych w poprzedniej części (B.I) niniejszej decyzji przepisów rozporządzenia 2016/679, nakładają one określone obowiązki w zakresie zapewniania bezpieczeństwa przetwarzanych danych osobowych na administratorów, ale niektóre z nich obciążają również podmioty przetwarzające. Zgodnie z art. 32 ust. 1 i 2 rozporządzenia 2016/679 oba typy tych podmiotów zobowiązane są do przyjęcia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych. W przedmiotowej sprawie należy więc najpierw zbadać, czy właściwe podmioty przed rozpoczęciem przetwarzania Danych Klientów przeprowadziły w sposób prawidłowy wyżej wskazany dwuetapowy proces, tj.:

1)

czy dokonały analizy ryzyka wiążącego się z prowadzeniem sprzedaży usług Spółki w systemie D2D. Przy takim systemie sprzedaży wiele podmiotów przetwarzało bowiem dane osobowe o szerokim zakresie i w specyficznych warunkach, tj. poza siedzibą swojego pracodawcy (przemieszczając się pomiędzy wskazanymi adresami), bez bezpośredniego dostępu do baz danych klientów i wypełniając papierowe druki umów. Rozpoczęcie przetwarzania danych osobowych w ramach sieci sprzedaży D2D choćby z uwagi na swoją specyfikę powinno zostać poprzedzone dokonaniem przez Spółkę, Agenta 1, Agenta 2 i Sub-Agenta, szczegółowych analiz bezpieczeństwa przetwarzanych danych, które to analizy powinny wskazać na możliwe zagrożenia (np. wynikające z „usprawniania sobie” pracy przez osoby mające ręcznie wypełniać druki umów podczas odwiedzin w domach klientów),

2)

czy (na podstawie ww. analizy) określiły oraz zastosowały środki techniczne i organizacyjne zapewniające stopień bezpieczeństwa danych osobowych (przetwarzanych w ww. sposób) odpowiadający stwierdzonemu ryzyku.

85.

Aby analiza ryzyka została przeprowadzona w sposób właściwy, konieczna jest pełna znajomość struktury wszystkich elementów systemu przetwarzania danych, zarówno służących do samego przetwarzania, jak i jego zabezpieczenia przed - w tym przypadku - niewłaściwym przetwarzaniem oraz nieuprawnionym dostępem. Każdy z uczestników zorganizowanego procesu przetwarzania danych osobowych powinien przeprowadzić własną analizę ryzyka wiążącego się z tym przetwarzaniem, ale uzasadnionym rozwiązaniem byłaby co najmniej konsultacja w tym zakresie z pozostałymi uczestnikami - choćby z uwagi na możliwość przeoczenia przez jeden podmiot jakiegoś aspektu przetwarzania danych osobowych, który jest istotny z punktu widzenia innego podmiotu, a którego uwzględnienie zapewni większe bezpieczeństwo danych. Należy też zwrócić uwagę, że takie zorganizowane procesy przetwarzania danych osobowych mogą ulegać zmianie w trakcie ich trwania: również z uwagi na dołączanie lub zmianę uczestników tego procesu. Dlatego zarówno rozpoczęcie procesu przetwarzania danych osobowych (zwłaszcza wymagające dopuszczania do przetwarzania danych osobowych podmiotów przetwarzających zatrudniających osoby pracujące w specyficznych warunkach, tj. poza siedzibą pracodawcy, w systemie D2D wymuszającym specyficzny sposób przetwarzania danych osobowych klientów Spółki), jak i wszelkie istotne dla bezpieczeństwa przetwarzania danych osobowych zmiany w tym procesie, wymagają od administratorów danych, a także od podmiotów przetwarzających odpowiednio:

a)

przeprowadzenia nowej analizy ryzyka w sytuacji wprowadzania takiego systemu przetwarzania danych,

b)

zweryfikowania, czy dotychczas przeprowadzona analiza ryzyka uwzględnia zagrożenia związane z planowanymi lub wprowadzanymi zmianami (o ile, oczywiście, zmiany te uzasadniają przeprowadzenie takiej analizy).

Obowiązkiem zarówno administratorów jak i podmiotów przetwarzających jest bowiem dokonanie (i w uzasadnionych przypadkach aktualizacja) rzetelnej, wszechstronnej i szczegółowej analizy ryzyka, aby podmioty te mogły właściwie zidentyfikować zagrożenia dla bezpieczeństwa danych osobowych i określić środki sprowadzające prawdopodobieństwo ich wystąpienia do poziomu ryzyka akceptowalnego.

86.

Rozważając powyższe, warto zwrócić uwagę na wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie (dalej zwanego: „WSA”) z 5 października 2023 r., sygn. akt II SA/Wa 502/23, w którym wskazano, że: „w pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, powinny obejmować środki takie, jak pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania”, a także że: „Administrator dla prawidłowej realizacji obowiązków wynikających z wyżej przywołanych przepisów rozporządzenia 2016/679 powinien w pierwszej kolejności przeprowadzić analizę ryzyka i na jej podstawie określić i wdrożyć adekwatne środki zapewniające bezpieczeństwo w procesie przetwarzania danych osobowych”.

87.

Z kolei Naczelny Sąd Administracyjny (dalej zwany: „NSA”) w wyroku z 9 lutego 2023 r., sygn. III OSK 3945/21, stwierdził, że: „Na gruncie RODO prawodawca odszedł od statycznego określenia wymaganych od administratora środków technicznych i organizacyjnych na rzecz dynamicznej oceny przyjętych środków bezpieczeństwa. Powyższe oznacza, że to na administratorze i podmiocie przetwarzającym spoczywa obowiązek określenia odpowiednich (adekwatnych) środków bezpieczeństwa, z zachowaniem kompetencji organu nadzorczego do weryfikacji przyjętego poziomu zabezpieczeń”.

88.

Omawiając kwestię wagi właściwej analizy ryzyka, warto również zwrócić uwagę na fakt, że to rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Uczestnicy procesu przetwarzania danych osobowych (administratorzy i podmioty przetwarzające) zobligowani są nie tylko do zapewnienia zgodności z wytycznymi ww. rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Konsekwencją takiej orientacji jest rezygnacja z list wymagań, w zakresie bezpieczeństwa narzuconych przez prawodawcę, na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Podmiotom uczestniczącym w procesie przetwarzania danych nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa - mają one samodzielnie przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.

89.

Jak już wcześniej wskazano, analiza ryzyka oraz zarządzanie ryzykiem są procesami wymagającymi współpracy wszystkich zainteresowanych stron i jako takie wymagają przede wszystkim zaplanowania, zorganizowania, kierowania oraz kontrolowania zasobów wykorzystywanych do przetwarzania, realizacji samych czynności przetwarzania oraz badania i wykrywania ewentualnych podatności oraz luk. Jest to szczególnie istotne w takich przypadkach, jak analizowany w niniejszej sprawie, gdy w procesie przetwarzania uczestniczy wiele podmiotów w specyficznym układzie zależności. Przed wykonaniem jakichkolwiek działań uwzględniających przetwarzanie danych, każdy administrator danych i podmiot przetwarzający powinni bowiem zachować jak najdalej idącą ostrożność. Powinni określić możliwe zagrożenia dla bezpieczeństwa tych danych na wszystkich „odcinkach” procesu przetwarzania, za który ponoszą odpowiedzialność, a następnie na tej podstawie ustalić, w jaki sposób zapewnić odpowiedni poziom bezpieczeństwa przetwarzanych danych (w zakresie, w jakim za to odpowiadają). Ustalenia każdego z tych podmiotów powinny pozwolić na opracowanie i wdrożenie kompleksowego systemu bezpieczeństwa pozwalającego na uniknięcie przewidywalnych zagrożeń lub przynajmniej zmniejszenie prawdopodobieństwa ich wystąpienia. Istnieją oczywiście przypadki, gdy zagrożeń tych nie można całkowicie wyeliminować ani zmniejszyć ryzyka ich wystąpienia, ale nie zmienia to faktu, że uczestnicy procesu przetwarzania danych osobowych - kierując się logiką i doświadczeniem - powinni przynajmniej te przypadki zidentyfikować. Pozwala to chociażby na sprawniejszą reakcję uczestników ww. procesu na materializację takiego zagrożenia. W analizowanej sprawie należy zauważyć, że zlecenie handlowcom przemieszczania się pomiędzy wskazanymi adresami (zwłaszcza w okresie pandemicznym) celem podpisywania papierowych umów, które trzeba było ręcznie, na bieżąco, wypełniać danymi klientów, mogło wiązać się z założeniem, że zaistnieje potrzeba ułatwiania sobie tego zadania. Przy czym było to zagrożenie, którego ryzyko wystąpienia można było mitygować.

90.

Ze zgromadzonego w sprawie materiału dowodowego nie wynika jednak, by Spółka, Agent 1, Agent 2 lub Sub-Agent dokonywali ukierunkowanej analizy ryzyka związanego z wykorzystaniem do przetwarzania Danych Klientów przez osoby prowadzące sprzedaż w ramach systemu D2D innych narzędzi lub sposobów niż ustalone przez tych uczestników procesu przetwarzania (w tym nieautoryzowanych aplikacji). Poprzestano jedynie na ogólnych założeniach nieuwzględniających specyficznych warunków działania handlowców i uciążliwości wypełniania przez nich papierowych umów danymi klientów podczas wizyt w ich domach. Dokonując oceny prawidłowości działań Spółki, Agenta 1, Agenta 2 i Sub-Agenta w powyższym kontekście, należy podkreślić, że przedmiotowej analizy ryzyka dokonać powinny wszystkie te cztery podmioty, a odpowiedzialności za bezpieczeństwo powierzonych do przetwarzania danych osobowych nie zdejmuje z tych Agentów i Sub-Agenta to, że administratorem tych danych i organizatorem sieci sprzedaży była Spółka.

91.

Prawidłowe przeprowadzenie analizy ryzyka przez ww. cztery podmioty pozwoliłoby na dobór odpowiednich środków bezpieczeństwa. Dla właściwego przeprowadzenia drugiego etapu ww. procesu (polegającego na doborze odpowiednich środków organizacyjnych i technicznych), warunkiem niezbędnym jest bowiem - jak już wcześniej podkreślono - prawidłowe wykonanie poprzedzającego go pierwszego etapu (tj. analizy ryzyka).

92.

W ocenie organu nadzorczego, gdyby w analizowanym stanie faktycznym prawidłowo przeprowadzono ww. analizę, uczestnicy procesu przetwarzania danych osobowych mogliby zidentyfikować ryzyko niewłaściwego przetwarzania danych osobowych przez osoby podejmujące bezpośrednie działania w zakresie sprzedaży D2D, a następnie dobrać odpowiednie środki do mitygowania tego ryzyka. Wystąpienia takiego zagrożenia można się było bowiem w tych warunkach spodziewać m.in. z uwagi na:

–

uciążliwość wprowadzonych rozwiązań uwzględniających ręczne (bieżące) wypełnianie przez handlowców druków umów w domach klientów,

–

fakt, że Sub-Agent posługiwał się aplikacją Y. w kontakcie pomiędzy handlowcami jeszcze przed rozpoczęciem przetwarzania danych osobowych w ramach analizowanego w tej sprawie procesu (która to okoliczność dodatkowo uzasadnia słuszność założenia, że przeprowadzenie konsultacji pomiędzy wszystkimi uczestnikami tego procesu byłoby zasadne, by mogli tę informację uzyskać wcześniej i wziąć pod uwagę przy dokonywanej analizie ryzyka - również w kontekście uciążliwości, o której mowa w tiret poprzednim).

Zidentyfikowawszy ryzyko wykorzystania komunikatora (albo innego narzędzia) ułatwiającego pracownikom wykonywanie ich zadań (np. poprzez przekazywanie sobie zdjęć, czy zrzutów ekranów, z danymi osobowymi klientów), można było również przewidzieć ryzyko zachowania dostępu do przekazywanych w taki sposób danych osobowych przez osoby, które nie posiadają już upoważnienia do przetwarzania Danych Klientów.

Uwzględniwszy powyżej omówione ryzyka, podmioty, na które nakładane są obowiązki na podstawie art. 32 ust. 1 i 2 rozporządzenia 2016/679, mogły zadecydować np. o zamieszczeniu w umowach powierzenia przetwarzania danych osobowych wprost wyrażonego zakazu korzystania z jakichkolwiek narzędzi przetwarzania danych osobowych wyraźnie niezaakceptowanych przez Spółkę. W połączeniu z odpowiednimi komunikatami skierowanymi do pracowników dokonujących sprzedaży usług Spółki, uwzględniającymi ten aspekt szkoleniami oraz weryfikacją prawidłowości dokonywanych w tym zakresie czynności, pozwoliłoby to na znaczne zmniejszenie ryzyka wystąpienia nieprawidłowości stwierdzonych w niniejszym stanie faktycznym.

Właściwa analiza ryzyka mogłaby też doprowadzić uczestników procesu przetwarzania danych osobowych klientów Spółki do wniosku, że istnieje uzasadniona potrzeba wprowadzenia zaakceptowanych przez tych uczestników usprawnień w procesie przetwarzania danych osobowych (obecnie wykorzystywane w podobnych sytuacjach przez Spółkę tablety wydają się lepszym rozwiązaniem, o ile dane osobowe pozostają na nich właściwie zabezpieczone - zob. pkt 33 uzasadnienia niniejszej decyzji).

93.

W przedmiotowej sprawie Spółka, Agent 1 i Agent 2 ograniczyli się do wydania Sub-Agentowi polecenia zawierania umów sprzedaży produktów Spółki (lub ich zmian), nie podejmując działań zapobiegawczych wobec zagrożenia zastosowania „usprawnień” przez pracowników. Rozwiązania przyjęte we wszystkich czterech umowach powierzenia przetwarzania danych osobowych (o których mowa w pkt 10 uzasadnienia niniejszej decyzji i które zawarte były zgodnie ze wzorem wykorzystywanym przez Spółkę) są bardzo ogólne. Ta „ogólnikowość” postanowień umownych każe uznać, że Administrator założył, iż podmioty przetwarzające same dokonają analizy ryzyka związanego z praktycznymi aspektami sprzedaży w systemie D2D i dobiorą odpowiednie środki techniczne i organizacyjne mające zapewnić bezpieczeństwo przetwarzanych danych. Administrator nie powinien jednak w taki sposób postępować, ponieważ - zgodnie z przepisem art. 32 ust. 1 i 2 rozporządzenia 2016/679 - obowiązki w tym zakresie spoczywają zarówno na nim, jak i na Agencie 1, na Agencie 2 oraz Sub-Agencie.

94.

Analizując prawidłowość przeprowadzenia drugiego etapu ww. procesu, należy podkreślić, że logiczną konsekwencją niewłaściwego przeprowadzenia pierwszego etapu (tj. analizy ryzyka) jest zwykle brak opracowania i wdrożenia odpowiednich środków organizacyjnych i technicznych mających na celu zapewnienie bezpieczeństwa przetwarzanych danych osobowych. W ocenie organu nadzorczego, również w analizowanym stanie faktycznym takich adekwatnych środków nie wdrożył żaden z uczestników procesu przetwarzania tych danych. Prezes UODO wziął jednak przy tym pod uwagę, że z wyjaśnień udzielonych przez Spółkę, Agenta 1, Agenta 2 i Sub-Agenta (przytoczonych w częściach A.II.1-A.II.4 uzasadnienia niniejszej decyzji) wynika, że każdy z tych podmiotów opracował i stosował pewne środki bezpieczeństwa, co pozwala uznać, że nie doszło do całkowitego zaniedbania przez nich obowiązków w tym zakresie.

95.

W tym miejscu należy przywołać wyrok WSA z 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19 (utrzymany w mocy wyrokiem NSA z 28 lutego 2024 r., sygn. III OSK 3839/21), w którym Sąd wskazał, że „Przyjęte środki mają mieć charakter skuteczny (…)” oraz że: „(…) czynności o charakterze techniczno - organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych”, a także wyrok tego Sądu z 19 stycznia 2021 r., sygn. II SA/Wa 702/20, że „Dane osobowe powinny być bowiem przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu (motyw 39 rozporządzenia 2016/679)”.

96.

Dokonując rozważań w powyższym zakresie warto dodatkowo podkreślić, że nie tylko analiza ryzyka powinna być ciągłym procesem - również dobór adekwatnych środków organizacyjnych i technicznych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych nie powinien być jednorazowy, jeśli do przetwarzania dochodzi w zmieniających się warunkach. Przy doborze tych środków należy stale weryfikować ich skuteczność uwzględniając aktualne możliwości techniczne, a także potencjalne zagrożenia. Środki odpowiednie niegdyś nie muszą bowiem pozostawać skuteczne w zmienionych okolicznościach. Należy przy tym również pamiętać, że środki nawet odpowiednio dobrane do aktualnego możliwego ryzyka powinny być regularnie testowane (obowiązki podmiotów uczestniczących w procesie przetwarzania danych osobowych nie powinny się bowiem kończyć na ww. dwuetapowym procesie). Działania te, polegające na stałej weryfikacji adekwatności i skuteczności dobieranych środków oraz regularnym testowaniu tych już stosowanych, stanowią - jako pewna całość - realizację obowiązku przewidzianego w art. 32 ust. 1 lit. b) rozporządzenia 2016/679 (zdolność do ciągłego zapewnienia poufności).

97.

Obowiązek przeprowadzenia ww. testów, zgodnie z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, spoczywa zarówno na podmiotach przetwarzających, jak i administratorach danych. Stąd zarówno Spółka, Agent 1, Agent 2, jak i Sub-Agent, powinni byli zweryfikować, czy dane osobowe przetwarzane przez pracowników prowadzących sprzedaż w systemie D2D są przetwarzane w sposób zapewniający ich bezpieczeństwo. Zwłaszcza, że w ramach ustalonego procesu dochodziło do przetwarzania szerokiego zakresu danych osobowych wielu osób - z uwzględnieniem powierzania ich przetwarzania innym podmiotom w specyficznych warunkach.

Gdyby w analizowanym stanie faktycznym tego typu testy obejmowały weryfikację prawidłowości wykonywania przez pracowników ich obowiązków (np. przetwarzania danych osobowych jedynie na służbowym sprzęcie i w zaakceptowanych przez Spółkę formach), mogłoby to m.in.:

–

umożliwić wykrycie nieprawidłowości w procesie przetwarzania danych osobowych (polegających na przetwarzaniu danych osobowych przy pomocy aplikacji Y.) oraz wiążących się z nimi ryzyk dla bezpieczeństwa tych danych; naruszenie to zostało bowiem wykryte niejako przypadkiem, dzięki informacji przekazanej przez Byłego Pracownika - zob.: pkt 15 uzasadnienia decyzji;

–

zapobiec zaistnieniu stwierdzonego przez Spółkę 13 kwietnia 2021 r. naruszenia ochrony danych osobowych.

98.

Ze zgromadzonego w sprawie materiału dowodowego wynika, że w przedmiotowej sprawie zabrakło realnego nadzoru nad pracownikami w zakresie przetwarzania przez nich danych osobowych. Tworzenie rozbudowanych sieci sprzedaży sprawia, że powstaje swoisty dystans pomiędzy administratorem a pracownikiem, który bezpośrednio podejmuje czynności w zakresie przetwarzania danych klientów (w ramach sprzedaży w systemie D2D). Zapewnienie w tej sytuacji prawidłowości przebiegu procesu przetwarzania danych osobowych wymaga więc od administratora nie tylko precyzyjnego określenia procedur lub zasad przetwarzania danych osobowych, lecz również zapewnienia, że wszystkie podmioty uczestniczące w procesie przetwarzania danych dobrze je znają, prawidłowo je interpretują i się do nich stosują. Tymczasem, w żadnej z umów powierzenia przetwarzania danych osobowych nie zawarto postanowień zobowiązujących podmioty przetwarzające do podejmowania konkretnych czynności zmierzających do weryfikacji prawidłowości przetwarzania danych przez osoby prowadzące sprzedaż w systemie D2D i odwiedzające w tym celu klientów w domach.

99.

Z wyjaśnień złożonych przez Spółkę, Agenta 1, Agenta 2 oraz Sub-Agenta (przytoczonych w części A.II.1-A.II.4 uzasadnienia niniejszej decyzji) nie wynika, by przeprowadzali testy umożliwiające wykrycie zaistniałej nieprawidłowości w procesie przetwarzania danych osobowych. Zaniechanie w tym zakresie w sposób oczywisty łączy się z omówionym już powyżej faktem, że żaden z tych podmiotów nie wykonał analizy ryzyka umożliwiającej stwierdzenie zagrożenia wprowadzenia „ułatwień” w procesie przetwarzania danych osobowych przez pracowników, ani nie dobrał na podstawie takiej analizy adekwatnych środków organizacyjnych i technicznych mających zapewnić bezpieczeństwo tych danych.

100.

Oceniając dodatkowo działania Spółki w tym aspekcie nie należy zapominać, że nadzór administratora nad działaniami podmiotu przetwarzającego stanowi ważny środek organizacyjny mający na celu ochronę bezpieczeństwa przetwarzanych danych osobowych. W wyroku z 6 czerwca 2023 r., sygn. akt II SA/Wa 1939/22, WSA wskazał, że „(…) powinność regularnego testowania środków technicznych i organizacyjnych, zabezpieczenia przetwarzania danych osobowych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w rozumieniu art. 32 ust. 1 zd. wstępne RODO, wynika wprost z brzmienia lit. d wskazanego art. 32 ust. 1, zaś powinność dokumentowania czynności w danym zakresie statuuje zasada rozliczalności (art. 5 ust. 2 RODO)”. Podobnie wypowiedział się ten Sąd także w wyroku z 21 czerwca 2023 r., sygn. akt II SA/Wa 150/23.

101.

W świetle powyższych ustaleń stwierdzić należy, że brak działań zarówno Spółki, Agenta 1, Agenta 2, jak i Sub-Agenta, w celu:

a)

przeprowadzenia analizy ryzyka w odpowiednim (istotnym dla zaistniałych nieprawidłowości) zakresie,

b)

określenia i wdrożenia adekwatnych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych przetwarzanych w ramach procesu sprzedaży w systemie D2D,

c)

weryfikacji prawidłowości przeprowadzonych przez pracowników działań w zakresie wykorzystywania jedynie przewidzianych przez ustalone procedury sprzętów i sposobów przetwarzania tych danych,

skutkował naruszeniem przez wszystkie ww. podmioty art. 32 ust. 1 i 2 rozporządzenia 2016/679. Dodatkowo, w kontekście naruszenia tych przepisów przez Agenta 1, Agenta 2 oraz Sub-Agenta, należy powołać ponownie przepis art. 28 ust. 4 rozporządzenia 2016/679, który stanowi, że jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają - na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego - te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym, o których to obowiązkach mowa w ust. 3, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym. Z uwagi na treść tego przepisu oraz to, w jaki sposób została zorganizowana sieć sprzedaży w analizowanym przypadku (w którym Agent 1 oraz Agent 2 byli podmiotami przetwarzającymi, które powierzyły z kolei Sub-Agentowi przetwarzanie danych osobowych, których administratorem była Spółka), należy stwierdzić, że w przypadku Agenta 1, Agenta 2 oraz Sub-Agenta naruszenie przepisów art. 32 ust. 1 i 2 nastąpiło w związku z art. 28 ust. 4 rozporządzenia 2016/679.

102.

Biorąc pod uwagę powyższe wskazać ponadto należy, że obowiązki w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679 oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak aby spełniać wymogi tego rozporządzenia, zostały nałożone na administratora danych (i tylko na administratora danych) przepisami art. 24 ust. 1 i art. 25 ust. 1 ww. rozporządzenia. Wobec braku zastosowania przez Spółkę adekwatnych środków bezpieczeństwa, o czym wyżej mowa, uznać należy, iż naruszyła ona także i te przepisy rozporządzenia 2016/679. Konsekwencją zaś ich naruszenia jest konieczność stwierdzenia, że naruszona została również:

–

zasada poufności wyrażona w art. 5 ust. 1 lit. f) rozporządzenia 2016/679,

a także:

–

zasada rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679, zobowiązująca administratora do przestrzegania zasad wynikających z art. 5 ust. 1 rozporządzenia 2016/679 i wykazania tego przestrzegania.

Powyższe potwierdza orzeczenie WSA z 10 lutego 2021 r., sygn. II SA/Wa 2378/20, w którym wskazano, że: „Zasada rozliczalności bazuje (…) na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych”. Podobnie kwestię zasady rozliczalności interpretuje WSA w wyroku z 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19 (utrzymanym w mocy wyrokiem NSA z 28 lutego 2024 r., sygn. III OSK 3839/21): „Biorąc pod uwagę całość norm rozporządzenia 2016/679, podkreślić należy, że administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator danych powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 rozporządzenia 2016/679”.

103.

Biorąc pod uwagę całość powyższych rozważań, należy stwierdzić, że zapewnienie bezpieczeństwa (w tym poufności) przetwarzanych danych jest z punktu widzenia podmiotów uczestniczących w ich przetwarzaniu sprawą kluczową. WSA w wyroku z 15 listopada 2023 r., sygn. II SA/Wa 552/23, stwierdził, że: »(…) organ trafnie odkodował pojęcie „poufności danych”, jako pewnego rodzaju właściwość sprawiającą, że dane nie zostaną udostępnione nieuprawnionym podmiotom. Może być ona osiągana między innymi dzięki zastosowaniu środków technicznych i organizacyjnych, adekwatnych do zakresu danych, kontekstu przetwarzania oraz zidentyfikowanych ryzyk«.

II.2 Naruszenie art. 28 ust. 1 rozporządzenia 2016/679.

104.

Wobec wykazania powyżej, że Spółka, Agent 1, Agent 2 i Sub-Agent nie dopełnili nałożonych na każdy z tych podmiotów obowiązków określonych w art. 32 ust. 1 i 2 rozporządzenia 2016/679, należy dokonać analizy relacji pomiędzy Spółką a: Agentem 1, Agentem 2 oraz Sub-Agentem - w kontekście wymogów określonych art. 28 ust. 1 rozporządzenia 2016/679. Przede wszystkim należy przeanalizować, czy Administrator odpowiednio zweryfikował to, czy podmioty przetwarzające Dane Klientów dawały gwarancje prawidłowego wykonywania swoich zadań. Zgodnie bowiem z art. 28 ust. 1 rozporządzenia 2016/679, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, to korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą.

105.

Z uwagi na fakt, że w żadnej z zawartych umów powierzenia nie zawarto szczegółowych postanowień dotyczących zasad przetwarzania danych osobowych oraz na to, że podmiotom przetwarzającym nie przekazano żadnych konkretnych instrukcji, których przestrzeganie byłoby kontrolowane przez administratora, należy przeanalizować, czy takie działanie Spółki mogło wynikać z uzasadnionej pewności co do kompetencji podmiotów przetwarzających.

106.

Spółka zapytana o to, w jaki sposób zweryfikowała, czy podmioty przetwarzające, w tym Agent 1, Agent 2 i Sub-Agent, dają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie danych spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą, zgodnie z art. 28 ust. 1 tego rozporządzenia, udzieliła wyjaśnień nie budzących poważniejszych wątpliwości w zakresie, w jakim dotyczyły one Agenta 1 oraz Agenta 2 (zob. pkt 27 uzasadnienia niniejszej decyzji). Jednak w przypadku Sub-Agenta Spółka wskazywała na obowiązki weryfikacyjne każdego z Agentów, pomijając swoją rolę w procesie bezpośredniej weryfikacji, czy daje on ww. gwarancje. Spółka wskazała na certyfikację pracowników, w tym pracowników Sub-Agenta oraz samego Sub-Agenta, za którą odpowiadał Agent i podkreśliła, że w dużej mierze właśnie na tym polegała weryfikacja. Agenci podpisywali z Sub-Agentem umowy powierzenia przetwarzania danych osobowych i umowy subagencyjne, w których miały się znaleźć wszystkie wytyczne, jakie zostały przekazane w załączniku do umowy agencyjnej pt.: „Wytyczne (…)”. Z wyjaśnień przytoczonych w tym zakresie w pkt 27 uzasadnienia niniejszej decyzji wynika więc, że Spółka określiła pewne zasady weryfikacji Sub-Agenta, lecz nie podejmowała w tym zakresie własnych, bardziej rozbudowanych, działań. Pomimo stwierdzenia przez organ nadzorczy, że zarówno Agent 1, jak i Agent 2, podjęli pewne działania w zakresie weryfikacji Sub-Agenta w wyżej wskazanym zakresie (zob.: pkt 44 i 54 uzasadnienia niniejszej decyzji), nie można jednak uznać, że Spółka właściwie wywiązała się ze swoich obowiązków w zakresie weryfikacji Sub-Agenta, o których mowa w art. 28 ust. 1 rozporządzenia 2016/679. A to na Spółce jako na administratorze ciążą obowiązki określone tym przepisem.

107.

Dokonując rozważań w powyższym zakresie warto również - choćby na marginesie - odnieść się do pojawiających się w wyjaśnieniach ww. podmiotów argumentów dotyczących wcześniejszej współpracy pomiędzy poszczególnymi podmiotami. Należy przy tym wskazać, że:

–

w poprzednim stanie prawnym, na gruncie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922), zdefiniowane były inne wymagania względem podmiotu przetwarzającego, zaś inne obowiązują od 25 maja 2018 r., tj. od momentu rozpoczęcia stosowania rozporządzenia 2016/679. Zatem dotychczasowa, pozytywnie oceniana współpraca stanowić może jedynie punkt wyjścia przy dokonywaniu weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. Wymóg określony art. 28 ust. 1 rozporządzenia 2016/679 bezwzględnie obowiązuje bowiem każdego administratora danych, który w ramach prowadzonej działalności korzysta z zasobów lub usług podmiotu przetwarzającego podczas przetwarzania danych osobowych. Podkreślić zatem należy, że z obowiązku przeprowadzenia takiej oceny nie zwalnia fakt wieloletniej współpracy i korzystania z usług danego podmiotu przetwarzającego przed dniem 25 maja 2018 r., tj. przed rozpoczęciem stosowania rozporządzenia 2016/679;

–

długotrwała współpraca stron nie poparta okresowym, systematycznym przeprowadzaniem audytów bądź inspekcji nie gwarantuje, iż podmiot przetwarzający zrealizuje w sposób prawidłowy zadania wymagane przepisami prawa oraz wynikające z zawartej umowy powierzenia. W tym miejscu należy zaznaczyć, że we wszystkich czterech umowach powierzenia przetwarzania danych osobowych (wskazanych w pkt 10 uzasadnienia niniejszej decyzji) zawarto postanowienia dotyczące prawa do kontroli, czy środki zastosowane przez podmiot przetwarzający przy przetwarzaniu i zabezpieczaniu powierzonych danych osobowych spełniają postanowienia tej umowy - działania te mogły więc być realizowane m.in. przed wystąpieniem naruszenia ochrony danych osobowych.

108.

Kwestia kryteriów oceny podmiotu przetwarzającego była przedmiotem rozważań również EROD. Jak wskazano w Wytycznych 07/2020, odnosząc się do treści art. 28 ust. 1 i motywu 81 rozporządzenia 2016/679, (cyt.): »Administrator jest (…) odpowiedzialny za ocenę adekwatności gwarancji udzielonych przez podmiot przetwarzający i powinien być w stanie udowodnić, że poważnie wziął pod uwagę wszystkie elementy przewidziane w RODO. Gwarancje „zapewniane” przez podmiot przetwarzający to te, które podmiot przetwarzający jest w stanie wykazać w sposób zadowalający administratora, ponieważ są to jedyne gwarancje, które administrator może skutecznie uwzględnić przy ocenie wypełniania swoich obowiązków. Często będzie to wymagało wymiany odpowiedniej dokumentacji (np. polityki prywatności, warunków świadczenia usług, rejestru czynności przetwarzania, polityki zarządzania dokumentacją, polityki bezpieczeństwa informacji, sprawozdań z zewnętrznych audytów ochrony danych, uznanych międzynarodowych certyfikatów, takich jak normy ISO 27000). Ocena administratora, czy gwarancje są wystarczające, jest formą oceny ryzyka, która w znacznym stopniu zależy od rodzaju przetwarzania powierzonego podmiotowi przetwarzającemu i musi być dokonywana indywidualnie dla każdego przypadku, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania, a także zagrożeń dla praw i wolności osób fizycznych. (…) Administrator powinien wziąć pod uwagę następujące elementy (…), aby ocenić, czy gwarancje są wystarczające: wiedza fachowa (np. wiedza techniczna w zakresie środków bezpieczeństwa i naruszeń ochrony danych); wiarygodność podmiotu przetwarzającego; zasoby podmiotu przetwarzającego. Reputacja podmiotu przetwarzającego na rynku może być również istotnym czynnikiem, który administratorzy powinni wziąć pod uwagę. Ponadto jako element umożliwiający wykazanie wystarczających gwarancji można wykorzystać przestrzeganie zatwierdzonego kodeksu postępowania lub mechanizmu certyfikacji. (…) Obowiązek korzystania wyłącznie z usług podmiotów przetwarzających „zapewniających wystarczające gwarancje” zawarty w art. 28 ust. 1 RODO jest obowiązkiem ciągłym. Nie kończy się w momencie zawarcia umowy lub innego aktu prawnego przez administratora i podmiot przetwarzający. Administrator powinien raczej w odpowiednich odstępach czasu weryfikować gwarancje podmiotu przetwarzającego, w tym w stosownych przypadkach przez audyty i inspekcje (…)«.

109.

Z powyższego płynie wniosek, że przyczyn zaistnienia nieprawidłowości w niniejszej sprawie, a następnie ich trwania przez okres co najmniej kilku miesięcy, należy się doszukiwać także w niepodejmowaniu przez Spółkę właściwych, ciągłych i aktywnych działań weryfikacyjnych, czy Sub-Agent daje wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie danych spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą, zgodnie z art. 28 ust. 1 tego rozporządzenia. Podejmowane przez Spółkę działania kontrolne (wykonywane również przez każdego z Agentów, choć w nierównym zakresie - zob.: pkt 45 i 55 uzasadnienia niniejszej decyzji) na żadnym etapie nie doprowadziły do wykrycia przedmiotowych nieprawidłowości w przetwarzaniu danych osobowych. Wiedzę o wykorzystaniu aplikacji Y. do przetwarzania ww. danych Spółka uzyskała bowiem niejako przypadkiem - od Byłego Pracownika (zob.: pkt 15 uzasadnienia niniejszej decyzji).

110.

Podsumowując całość rozważań dotyczących art. 28 ust. 1 rozporządzenia 2016/679 w kontekście działań (a właściwie zaniechań) Spółki, należy stwierdzić, że doszło do naruszenia przez nią tego przepisu. W tym kontekście warto również zaznaczyć, że brak właściwej realizacji przez Spółkę obowiązków nakładanych na nią art. 28 ust. 1 rozporządzenia 2016/679, wiąże się również z naruszeniem wcześniej omówionego przepisu art. 25 ust. 1 tego rozporządzenia. Przepis ten obliguje bowiem do wdrażania odpowiednich środków technicznych i organizacyjnych, nie tylko przy określaniu sposobów przetwarzania, ale także w czasie samego przetwarzania. Ciągłość wpisana w analizowany obowiązek może więc w praktyce przejawiać się m.in. w konieczności zapewnienia regularnego monitoringu zastosowanych zabezpieczeń oraz prowadzenia stałego nadzoru nad podmiotem przetwarzającym poprzez np. audyty i inspekcje.

II.3 Umorzenie postępowania w zakresie art. 28 ust. 3 rozporządzenia 2016/679.

111.

Zapewnieniu realizacji zasady z wyżej przytoczonego art. 28 ust. 1 rozporządzenia 2016/679 służy wprowadzony w art. 28 ust. 3 rozporządzenia 2016/679 obowiązek zawarcia pomiędzy administratorem a podmiotem przetwarzającym umowy określającej przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora, która to umowa zawiera w szczególności elementy wskazane w lit. a)-h) tego przepisu.

112.

W trakcie prowadzonego przez organ nadzorczy postępowania administracyjnego wyjaśnieniu uległy wątpliwości Prezesa UODO dotyczące prawidłowości wykonania obowiązków wynikających m.in. z art. 28 ust. 3 rozporządzenia 2016/679, które pojawiły się na etapie wszczęcia tego postępowania. Budziły je wówczas kwestie powierzenia do przetwarzania danych osobowych w postaci numerów ewidencyjnych PESEL. Organ nadzorczy przyjął jednak w tym zakresie wyjaśnienia Spółki wraz z jej zapewnieniem, że obecnie zawierane umowy wprost wskazują na te numery jako na przetwarzane dane osobowe (zob.: pkt 30 uzasadnienia niniejszej decyzji). Na etapie wszczęcia ww. postępowania niejasne pozostawały również okoliczności zawierania dalszych umów powierzenia przetwarzania danych osobowych z Sub-Agentem wobec wymogu uzyskania przez Agenta 1 i Agenta 2 pisemnej zgody Spółki na zawarcie takich umów (zob.: § 2 pkt 5 Umowy powierzenia Spółki z Agentem 1 oraz Umowy powierzenia Spółki z Agentem 2 przytoczone w pkt. 29 lit. c) uzasadnienia niniejszej decyzji). Ostatecznie jednak Prezes UODO przyjął wyjaśnienia Spółki, w których wykazywała ona przyjęcie innej formy wyrażenia przez nią takiej zgody (zob.: pkt 28 uzasadnienia niniejszej decyzji) - organ nadzorczy nie podważał decyzji Spółki m.in. z uwagi na fakt, że forma wyrażenia zgody:

–

była wymogiem wprowadzonym umową zawartą pomiędzy Spółką a każdym z Agentów,

–

jest kwestią odrębną od formy zawarcia umowy powierzenia przetwarzania danych osobowych, na podstawie której Agenci powierzali przetwarzanie tych danych Sub-Agentowi. Zarówno Umowa powierzenia Agenta 1 z Sub-Agentem, jak i Umowa powierzenia Agenta 2 z Sub-Agentem, zostały zawarte w formie pisemnej, nie budząc w tym zakresie wątpliwości organu nadzorczego.

113.

Stwierdziwszy w związku z powyższym, że wszystkie cztery umowy powierzenia przetwarzania danych osobowych, o których mowa w pkt 10 uzasadnienia niniejszej decyzji, spełniały generalnie wymogi art. 28 ust. 3 rozporządzenia 2016/679, Prezes UODO uznał za uzasadnione umorzenie na podstawie art. 105 § 1 kpa postępowania administracyjnego w zakresie zarzutu naruszenia wymogów tego przepisu. Na marginesie jedynie warto zwrócić uwagę, że wiele aspektów istotnych z punktu widzenia zapewnienia bezpieczeństwa przetwarzania danych osobowych warto byłoby rozwinąć w tych umowach celem uniknięcia sytuacji podobnej do tej zaistniałej w analizowanej sprawie.

II.4 Podsumowanie.

114.

Podsumowując całość objętych częściami B.II.1-B.II.3 rozważań, należy podkreślić, że stosując przepisy rozporządzenia 2016/679 należy mieć na uwadze, że celem tego rozporządzenia (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów, czy podmioty przetwarzające - nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy opracowywaniu technicznych i organizacyjnych środków bezpieczeństwa mających im zapobiegać - należy w pierwszej kolejności brać pod uwagę te wartości.

115.

Przed przejściem do części decyzji dotyczącej uzasadnienia nałożonych w niniejszej sprawie upomnień oraz administracyjnej kary pieniężnej, warto w tym miejscu wstępnie nakreślić powody, dla których wobec Sub-Agenta zastosowano bardziej uciążliwy środek naprawczy. Otóż, z całości zgromadzonego w sprawie materiału dowodowego wynika, że zaniechania w zakresie ciągłego zapewniania bezpieczeństwa przetwarzanych danych osobowych w największym stopniu obciążają Sub-Agenta. Przed rozpoczęciem korzystania z aplikacji Y. powinien był on zweryfikować, czy aplikacja ta nie umożliwi dostępu do przetwarzanych przy jej pomocy danych osobowych również po zakończeniu współpracy z pracownikiem z niej korzystającym i czy pozwala na bezpieczne przetwarzanie danych. Powinien również przynajmniej poinformować o korzystaniu z tej aplikacji Agenta 1 i Agenta 2, a przede wszystkim Spółkę będącą administratorem przetwarzanych danych klientów. Tymczasem Sub-Agent do żadnego z tych podmiotów nie zwrócił się z wnioskiem o wyrażenie zgody na wykorzystanie tej aplikacji, co każe zakładać, że wprowadził to rozwiązanie samowolnie. Jego postawa w trakcie trwania postępowania prowadzonego przez organ nadzorczy wskazywała również, że nie przyjmuje odpowiedzialności za stwierdzone nieprawidłowości, ani nie dostrzega w pełni własnej roli w ich zaistnieniu.

C. Uzasadnienie adekwatności zastosowania uprawnienia naprawczego z art. 58 ust. 2 lit. b) rozporządzenia 2016/679 wskazanego w pkt 1), 2) i 3) sentencji niniejszej decyzji wobec Spółki, Agenta 1 oraz Agenta 2 - wraz z dokonanym we właściwym zakresie podsumowaniem.

116.

Prezes UODO, działając na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu, w przypadku naruszenia przepisów tego rozporządzenia przez operacje przetwarzania, uznał za uzasadnione udzielenie:

a)

Spółce: upomnienia w zakresie stwierdzonego naruszenia art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679,

b)

Agentowi 1: upomnienia w zakresie stwierdzonego naruszenia art. 32 ust. 1 i 2 w zw. z art. 28 ust. 4 rozporządzenia 2016/679,

c)

Agentowi 2: upomnienia w zakresie stwierdzonego naruszenia art. 32 ust. 1 i 2 w zw. z art. 28 ust. 4 rozporządzenia 2016/679.

117.

Motyw 148 rozporządzenia 2016/679 stanowi, że aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne - oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.

118.

Prezes UODO uznał, że w ustalonych okolicznościach niniejszej sprawy wystarczającą reakcją na stwierdzone naruszenia w przypadku Spółki, Agenta 1 oraz Agenta 2 jest udzielenie każdemu z tych podmiotów upomnienia. Za okoliczność łagodzącą, która za tym przemawia, Prezes UODO przyjął brak podstaw do uznania, że naruszenia te wynikają z umyślnych działań Spółki, Agenta 1 lub Agenta 2. Prezes UODO nie stwierdził również, by działania lub zaniechania tych trzech podmiotów doprowadziły do rzeczywistych szkód po stronie Podmiotów Danych. Na udzielenie upomnienia za wskazane powyżej naruszenia miał wpływ również fakt, że nieprawidłowości stwierdzone w analizowanym stanie faktycznym zaistniały głównie z inicjatywy Sub-Agenta (którego postawa w trakcie postępowania wyjaśniającego i administracyjnego prowadzonego przez Prezesa UODO, była odmienna niż postawa Spółki, Agenta 1 i Agenta 2 - zob. pkt 65-73 oraz pkt 115 uzasadnienia niniejszej decyzji).

Dodatkowo należy podkreślić, że Prezes UODO wziął w przypadku Spółki pod uwagę fakt, że przeprowadziła analizę ryzyka uwzględniającą zaistniałe zagrożenia oraz zmieniła sposób przetwarzania danych (zob.: pkt 25 oraz 33 in fine niniejszej decyzji).

Powyższe okoliczności uzasadniają udzielenie za ww. naruszenia przepisów o ochronie danych osobowych Spółce, Agentowi 1 oraz Agentowi 2 upomnień, co zapewni także, aby w przyszłości podobne zdarzenia nie miały miejsca. Niemniej jednak, gdyby podobne zdarzenie powtórzyło się w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec każdego z tych podmiotów będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia każdemu z nich administracyjnej kary pieniężnej, zgodnie z zasadami określonymi w art. 83 ust. 2 rozporządzenia 2016/679.

D. Administracyjna kara pieniężna nałożona na Sub-Agenta za naruszenie art. 32 ust. 1 i 2 w związku z art. 28 ust. 4 rozporządzenia 2016/679.

119.

Postępowanie administracyjne prowadzone przez Prezesa UODO służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej w celu zastosowania uprawnień naprawczych określonych w art. 58 ust. 2 rozporządzenia 2016/679.

120.

Zgodnie z art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast środków naprawczych, o których mowa w art. 58 ust. 2 lit. a) - h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy.

121.

Zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 naruszenia przepisów kształtujących obowiązki administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 - 39 oraz 42 i 43, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

122.

Oceniając, czy, a jeśli tak, to w jakim wymiarze powinna być nałożona administracyjna kara pieniężna, organ nadzorczy ma obowiązek uwzględnić następujące okoliczności (przesłanki wymiaru kary) określone w art. 83 ust. 2 rozporządzenia 2016/679:

a)

charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody,

b)

umyślny lub nieumyślny charakter naruszenia,

c)

działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,

d)

stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32,

e)

wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego,

f)

stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,

g)

kategorie danych osobowych, których dotyczyło naruszenie,

h)

sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie,

i)

jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 - przestrzeganie tych środków,

j)

stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42,

k)

wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

123.

Ponadto organ nadzorczy - zgodnie z art. 83 ust. 1 rozporządzenia 2016/679 - zapewnia by stosowane administracyjne kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające (zasady wymiaru kary).

124.

Art. 83 ust. 3 rozporządzenia 2016/679 stanowi natomiast, że jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów rozporządzenia 2016/679, całkowita wysokość administracyjnej kary pieniężnej nie przekroczy wysokości kary za najpoważniejsze naruszenie.

125.

Ustalając sankcję za stwierdzone w niniejszej sprawie naruszenie Prezes UODO skorzystał ze wskazówek zawartych w Wytycznych EROD 04/2022 dotyczących obliczania administracyjnych kar pieniężnych na podstawie RODO (wersja 2.1) przyjętych 24 maja 2023 r., zwanych dalej „Wytycznymi 04/2022”. Pierwszym krokiem przyjętej tam metodyki obliczania administracyjnych kar pieniężnych jest „określenie operacji przetwarzania w danej sprawie i ocena zastosowania art. 83 ust. 3 RODO” (zob. pkt 17 Wytycznych 04/2022). Rozwijając tę wskazówkę w pkt 24 swoich wytycznych EROD zaleca w pierwszej kolejności ustalić:

a)

czy okoliczności wskazują na jedno zachowanie, czy też na wiele zachowań podlegających karze;

b)

w przypadku jednego zachowania, czy zachowanie to stanowi jedno naruszenie czy większą liczbę naruszeń;

c)

w przypadku jednego zachowania, które stanowi wiele naruszeń, czy przypisanie jednego naruszenia wyklucza przypisanie innego naruszenia, czy też należy je przypisać równolegle.

126.

Wykładnię pojęcia „jedno zachowanie” zawiera - w nawiązaniu do art. 83. ust. 3 rozporządzenia 2016/679, w którym mowa jest o „tych samych lub powiązanych operacjach przetwarzania” - pkt 28 Wytycznych 04/2022. Zgodnie z nim „[t]ermin «powiązane» odnosi się do zasady, zgodnie z którą jedno zachowanie może składać się z kilku części, które są realizowane na skutek jednego aktu woli i są kontekstowo (w szczególności jeśli chodzi o tożsamość osoby, której dane dotyczą, cel i charakter przetwarzania), przestrzennie i czasowo tak blisko powiązane, że z obiektywnego punktu widzenia można uznać je za jedno spójne zachowanie”.

127.

Stosując wyżej przedstawione wskazówki zawarte w Wytycznych 04/2022 do okoliczności niniejszej sprawy Prezes UODO dokonał analizy zachowań Sub-Agenta prowadzących do naruszeń dwóch przepisów rozporządzenia 2016/679 (art. 32 ust. 1 i 2 w zw. z art. 28 ust. 4 rozporządzenia 2016/679).

128.

Na mocy art. 28 ust. 4 rozporządzenia 2016/679 na Sub-Agenta nałożone zostały obowiązki związane z zapewnieniem bezpieczeństwa przetwarzania danych osobowych wymienione w art. 32 ust. 1 i 2 rozporządzenia 2016/679. W toku postępowania stwierdzono brak działań Sub-Agenta, w celu:

a)

przeprowadzenia analizy ryzyka w odpowiednim (istotnym dla zaistniałych nieprawidłowości) zakresie,

b)

określenia i wdrożenia adekwatnych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych przetwarzanych w ramach procesu sprzedaży w systemie D2D,

c)

regularnego testowania, mierzenia i oceniania wdrożonych środków bezpieczeństwa.

Podstawą takiego zachowania i źródłem omawianego naruszenia był jeden akt woli - świadoma decyzja Sub-Agenta o akceptacji dla korzystania z aplikacji Y. przez pracowników, poza wiedzą i kontrolą Administratora i Agentów 1 i 2. Konsekwencją i kontynuacją tego zachowania było zaniechanie przeprowadzenia dodatkowej analizy ryzyka związanej z użyciem aplikacji do przetwarzania powierzonych danych osobowych. Do takiej analizy Sub-Agent był zobowiązany, jako że - jak zostało to wykazane wyżej (zob. pkt 96 uzasadnienia Decyzji) - szacowanie ryzyka nie jest działaniem jednorazowym lecz ciągłym - skorelowanym m.in. ze zmieniającymi się charakterem, celem i ryzykiem tego przetwarzania. Nieuchronną konsekwencją braku analizy ryzyka było również niewdrożenie odpowiednich - adekwatnych do ryzyk (które przecież nie zostały zidentyfikowane) - środków technicznych i organizacyjnych mających zapewnić maksymalny poziom bezpieczeństwa przetwarzania danych osobowych. Przyjęcie takich środków, przy prawidłowo przeprowadzonej analizie identyfikującej zagrożenia związane z przetwarzaniem przez Sub-Agenta danych osobowych oraz podatności jego zasobów, pozwoliłoby w ocenie Prezesa UODO uniknąć incydentów takich jak ten inicjujący niniejsze postępowanie. Uniknąć tych incydentów pozwoliłoby również regularne testowanie, mierzenie i ocenianie tych środków bezpieczeństwa.

Na to, że operacje przetwarzania stanowiące przedmiot rozpatrywanego naruszenia przepisów art. 32 ust. 1 i 2 w związku z art. 28 ust. 4 rozporządzenia 2016/679 są tymi samymi operacjami przetwarzania w rozumieniu art. 83 ust. 3 rozporządzenia 2016/679 (i stanowią w konsekwencji „jedno zachowanie”), wskazuje - poza objęciem ich jednym aktem woli Sub-Agenta - również wspólny kontekst tego przetwarzania. Łączy te operacje przetwarzania w ocenie Prezesa UODO:

a)

cel, charakter i sposób przetwarzania - naruszenie bezpośrednio dotyczy przetwarzania danych osobowych klientów Spółki podpowierzonych Sub-Agentowi przez Agenta 1 i 2 i przetwarzanych za pośrednictwem nieautoryzowanej aplikacji Y., której zastosowanie umożliwiło dalszy dostęp do tych danych, a nawet ich dalsze przekazywanie. Naruszenie we wszystkich swoich aspektach (brak analizy ryzyka, brak odpowiednich środków technicznych i organizacyjnych, brak środków testowania, mierzenia i oceniania) dotyczy bezpośrednio tych konkretnych procesów przetwarzania dokonywanych przez Sub-Agenta jako uczestnika procesu, któremu zostało powierzone dalsze przetwarzanie;

b)

tożsamość osób, których dane dotyczą - procesy przetwarzania objęte omawianym naruszeniem dotyczą bezpośrednio danych osobowych tej samej, ściśle określonej grupy osób - klientów Spółki podpowierzonych Sub-Agentowi przez Agenta 1 i 2. Skład tej grupy osób jest ściśle określony - była to grupa przynajmniej (…) osób, których dane osobowe pracownicy Sub-Agenta przetwarzali w procesie sprzedaży w ramach wymiany korespondencji pomiędzy współpracownikami w aplikacji Y..

c)

kontekst czasowy przetwarzania - czas trwania niezgodnego z art. 32 ust. 1 i 2 w związku z art. 28 ust. 4 rozporządzenia 2016/679 przetwarzania danych osobowych osób, których dane dotyczą (zob. lit. b powyżej), w celu i w sposób określony pod lit. a) powyżej, jest ściśle określony - obejmuje on okres od zawarcia umów dalszego powierzenia przetwarzania danych Sub-Agentowi (z Agentem 1 od (…) r. oraz z Agentem 2 od (…) r.) Przetwarzanie danych osobowych osób dotkniętych naruszeniem trwało przynajmniej do marca 2021 r., gdy część pracowników Sub-Agenta usunęła ze sprzętów, z których korzystali, konwersacje zawierające dane osobowe, których administratorem była Spółka.

Podsumowując, stwierdzić należy, że zachowanie Sub-Agenta związane z niewdrożeniem odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo powierzonych mu przez Spółkę danych osobowych (w tym brak analizy ryzyka oraz brak środków zapewniających regularne testowanie, mierzenie i ocenianie istniejących środków) jest jednym jego zachowaniem (dotyczącym tych samych - w rozumieniu art. 83 ust. 3 rozporządzenia 2016/679 - operacji przetwarzania) naruszającym przepisy art. 32 ust. 1 i 2 w związku z art. 28 ust. 4 rozporządzenia 2016/679. Jest ono objęte jednym aktem woli i dotyczy tych samych operacji przetwarzania danych.

Przesłanki wymiaru kary - zastosowanie art. 83 ust. 2 rozporządzenia 2016/679

129.

Decydując o nałożeniu administracyjnej kary pieniężnej na Sub-Agenta za naruszenie przepisów art. 32 ust. 1 i 2 w związku z art. 28 ust. 4 rozporządzenia 2016/679, Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające na wymiar nałożonej administracyjnej kary pieniężnej.

130.

Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).

Przy wymierzaniu kary istotne znaczenie miała okoliczność, że naruszenie przepisów rozporządzenia 2016/679, nakładających na Sub-Agenta - jako podmiot, któremu powierzono przetwarzanie danych osobowych - obowiązki w zakresie zastosowania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzanym danym osobowym, miało wpływ na naruszenie poufności danych przynajmniej 15 klientów Spółki (przy czym prawdopodobne jest, że dotyczyło ono większej liczby). Nie można zatem przyjąć, że stosowanie nieautoryzowanej aplikacji, w dodatku w stosunku do powierzonych w łańcuchu powierzeń Sub-Agentowi danych osobowych, miało incydentalny charakter. Sub-Agent świadcząc profesjonalne usługi m.in. w zakresie prowadzenia sprzedaży usług w systemie D2D oraz posiadając odpowiednią wiedzę w tym zakresie nie zastosował zasad bezpieczeństwa m.in. nie weryfikując prawidłowości przebiegu realizowanych przez handlowców procesów przetwarzania powierzonych danych osobowych. Stwierdzone w niniejszej sprawie naruszenie przepisów rozporządzenia 2016/679, skutkujące m.in. umożliwieniem osobom nieuprawnionym dostępu do ww. danych osobowych, ma znaczną wagę i poważny charakter, ponieważ mogło doprowadzić do szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone. Z materiału dowodowego zgromadzonego w sprawie nie wynika co prawda, że osoby, których dane były przetwarzane w sposób nieprawidłowy doznały rzeczywistych szkód (co należy uznać za aspekt pozytywny zaistniałej sytuacji), lecz podkreślić też należy, że już samo naruszenie poufności danych stanowi szkodę niemajątkową (krzywdę). Podmiot danych może bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową. Jak wskazał Sąd Okręgowy w Warszawie w wyroku z 6 sierpnia 2020 r. sygn. akt XXV C 2596/19, obawa, a więc utrata bezpieczeństwa stanowi realną szkodę niemajątkową wiążącą się z obowiązkiem jej naprawienia. Z kolei Trybunał Sprawiedliwości UE w orzeczeniu z 14 grudnia 2023 r. w/s Natsionalna agentsia za prihodite (C-340/21) podkreślił, że »Art. 82 ust. 1 RODO należy interpretować w ten sposób, że obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić „szkodę niemajątkową” w rozumieniu tego przepisu«.

W analizowanej sytuacji należy wziąć pod uwagę również ryzyko wynikające z szerokiego zakresu danych objętych naruszeniem zaistniałym w niniejszej sprawie, a także dużą skalę i profesjonalny charakter przetwarzania danych w działalności Sub-Agenta. Należy stwierdzić, że w badanym stanie faktycznym w wyniku lekkomyślnych działań Sub-Agenta doszło do utraty kontroli nad przetwarzanymi danymi osobowymi - dane te pozostały bowiem dostępne dla osoby nieuprawnionej do ich dalszego przetwarzania, która na dodatek udostępniła je osobie trzeciej.

Naruszenie przepisów art. 32 ust. 1 i 2 w zw. z art. 28 ust. 4 rozporządzenia 2016/679 miało charakter długotrwały, trwało bowiem od zawarcia umów dalszego powierzenia przetwarzania danych Sub-Agentowi (z Agentem 1 od (…) r. oraz z Agentem 2 od (…) r.) Należy przyjąć, że stan taki trwał przynajmniej do marca 2021 r., gdy część pracowników Sub-Agenta usunęła z urządzeń konwersacje zawierające dane osobowe, których administratorem była Spółka. Nie można jednak pominąć przy tym okoliczności, na które zwróciła uwagę sama Spółka w zgłoszeniu naruszenia ochrony danych osobowych, tj. faktu, że byli pracownicy Sub-Agenta mogli zachować część przetwarzanych danych osobowych na swoich sprzętach.

131.

Nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).

Naruszenie przepisów przez Sub-Agenta powstało na skutek niedochowania przez niego należytej staranności. W ich wyniku osoba, która utraciła prawo do przetwarzania Danych Klientów, zachowała do nich dostęp i udostępniła je osobie trzeciej (dziennikarzowi). Sub-Agent jako podmiot podprzetwarzający ponosi odpowiedzialność za stwierdzone nieprawidłowości w procesie przetwarzania danych. Przede wszystkim wobec nieprzeprowadzenia analizy ryzyka w odpowiednim zakresie, Sub-Agent nie był zdolny wykazać, że wdrażając środki techniczne i organizacyjne mające zapewnić zgodność przetwarzania z rozporządzeniem 2016/679, zapewnił, by stopień bezpieczeństwa danych osobowych był odpowiedni. W konsekwencji zaniedbał również podejmowanie konkretnych czynności zmierzających do weryfikacji prawidłowości przetwarzania danych przez osoby prowadzące sprzedaż.

Należy w tym miejscu podkreślić, że do przedmiotowego naruszenia przyczyniła się niewłaściwa komunikacja pomiędzy Administratorem a podmiotami przetwarzającymi i dalszym podmiotem przetwarzającym w łańcuchu powierzenia przetwarzania danych. Dowodem na to jest przerzucanie odpowiedzialności za przedmiotowe zdarzenie przez Agentów i Sub-Agenta na Administratora. Mimo, że to na Administratorze w pierwszej kolejności spoczywa odpowiedzialność za określenie i wdrożenie adekwatnych środków bezpieczeństwa, nie zmienia jednak faktu, że współpraca z podmiotami przetwarzającymi wymaga dodatkowego współdziałania. Treść umów powierzenia danych poprzestawała jedynie na ogólnych założeniach nieuwzględniających specyficznych warunków działania handlowców i uciążliwości wypełniania przez nich papierowych umów danymi klientów podczas wizyt w ich domach. Z drugiej strony jednak Sub-Agent jako podmiot w sposób profesjonalny przetwarzający dane osobowe powinien mieć wiedzę i być świadomy konsekwencji uchybienia obowiązkom wynikającym z podstawowego aktu prawnego regulującego przetwarzanie danych osobowych, to jest z rozporządzenia 2016/679. Prezes UODO wziął pod uwagę te okoliczności i przyjął, że Sub-Agent nieumyślnie - wskutek niedbalstwa - dopuścił się naruszenia przepisów art. 32 ust. 1 i 2 w zw. z art. 28 ust. 4 rozporządzenia 2016/679.

132.

Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).

Dane osobowe, które zostały powierzone do przetwarzania Sub-Agentowi, miały szeroki zakres. Były to imiona, nazwiska, adresy zamieszkania lub pobytu, numery ewidencyjne PESEL, adresy e-mail, a także numery telefonu klientów Spółki. Sub-Agentowi przekazywano ponadto inne dane, tj. numery klienta oraz numery punktu przyłączenia do sieci elektroenergetycznej.

Tak szeroki zakres ww. danych osobowych wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem. Należy podkreślić, iż w szczególności nieuprawnione ujawnienie takiej kategorii danych jak numer ewidencyjny PESEL (w połączeniu z imieniem i nazwiskiem), może realnie i negatywnie wpływać na ochronę praw lub wolności osób fizycznych. Numer ewidencyjny PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający m. in. datę urodzenia oraz oznaczenie płci, a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga. Ponadto objęcie krajowego numeru identyfikacyjnego naruszeniem ochrony danych osobowych zaistniałym w niniejszej sprawie pozwala na potraktowanie tej przesłanki jako obciążającej zgodnie z Wytycznymi 04/2022 EROD w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO przyjętych 24 maja 2023 r. (zwanych dalej „Wytycznymi 04/2022”). W wytycznych tych wskazano: „Jeśli chodzi o wymóg uwzględnienia kategorii danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) [rozporządzenia 2016/679]), w [rozporządzeniu 2016/679] wyraźnie wskazano rodzaje danych, które podlegają szczególnej ochronie, a tym samym bardziej rygorystycznej reakcji przy nakładaniu kar pieniężnych. Dotyczy to co najmniej rodzajów danych objętych art. 9 i 10 [rozporządzenia 2016/679] oraz danych nieobjętych zakresem tych artykułów, których rozpowszechnianie natychmiast powoduje szkody lub dyskomfort osoby, której dane dotyczą (np. danych dotyczących lokalizacji, danych dotyczących komunikacji prywatnej, krajowych numerów identyfikacyjnych lub danych finansowych, takich jak zestawienia transakcji lub numery kart kredytowych). Ogólnie rzecz biorąc, im większej liczby takich kategorii danych dotyczy naruszenie lub im bardziej wrażliwe są dane, tym większą wagę organ nadzorczy może przypisać takiemu czynnikowi. Znaczenie ma również ilość danych dotyczących każdej osoby, której dane dotyczą, ponieważ wraz z ilością danych dotyczących każdej osoby, której dane dotyczą, wzrasta skala naruszenia prawa do prywatności i ochrony danych osobowych”.

133.

Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił na korzyść Sub-Agenta - w ramach przesłanki „wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy (art. 83 ust. 2 lit. k rozporządzenia 2016/679)” - fakt podjęcia działań po stwierdzeniu naruszenia. Wskazać należy, że bezpośrednio po ujawnieniu naruszenia ochrony danych osobowych, jeszcze przed wszczęciem postępowania administracyjnego, zobowiązano część handlowców Sub-Agenta do usunięcia konwersacji prowadzonej w aplikacji i trwałego usunięcia danych osobowych klientów z pamięci sprzętu. Podjęcie działań mających na celu zabezpieczenie danych przed dalszymi naruszeniami ich ochrony należało ocenić jako istotną okoliczność łagodzącą.

134.

Inne, niżej wskazane (w pkt 135-142) okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie przepisów rozporządzenia 2016/679, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.

135.

Działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679). Prezes UODO nie stwierdził, aby osoby, których dane dotyczą doznały szkody majątkowej. Wobec tego żadne działania mające na celu zminimalizowanie szkody nie były wymagane. Jednakże już samo ryzyko naruszenia poufności ich danych stanowi dla nich szkodę niemajątkową (krzywdę). Ponieważ Prezes UODO nie odnotował w niniejszym przypadku działań Sub-Agenta zmierzających do zminimalizowania szkody, przesłankę tę należało ocenić neutralnie.

136.

Stopień odpowiedzialności podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).

Zgodnie z Wytycznymi 4/2022, rozpatrując tę przesłankę, „organ nadzorczy musi odpowiedzieć na pytanie, w jakim stopniu administrator «zrobił wszystko, czego można by było oczekiwać», zważywszy na charakter, cele lub zakres przetwarzania oraz w świetle obowiązków nałożonych na niego przez rozporządzenie”.

Prezes UODO stwierdził w niniejszej sprawie naruszenie przez Sub-Agenta przepisu art. 32 ust. 1 i 2 w zw. z art. 28 ust. 4 rozporządzenia 2016/679. W jego ocenie na Sub-Agencie ciąży w wysokim stopniu odpowiedzialność za niewdrożenie odpowiednich środków technicznych i organizacyjnych, które zapobiegłyby naruszeniu ochrony danych osobowych. Oczywistym jest, że w rozważanym kontekście charakteru, celu i zakresu przetwarzania danych osobowych Sub-Agent nie „zrobił wszystkiego, czego można by było od niego oczekiwać”, tym samym nie wywiązał się z nałożonych na niego przepisem art. 32 rozporządzenia 2016/679 obowiązków.

W niniejszej sprawie okoliczność ta stanowi jednak o istocie samego naruszenia, nie jest jedynie czynnikiem wpływającym - łagodząco lub obciążająco - na jego ocenę. Z tego też względu brak odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 32 rozporządzenia 2016/679, nie może zostać przez Prezesa UODO uznany w niniejszej sprawie za okoliczność mogącą dodatkowo wpłynąć na surowszą ocenę naruszenia i wymiar nałożonej na Sub-Agenta administracyjnej kary pieniężnej.

137.

Wszelkie stosowne wcześniejsze naruszenia ze strony podmiotu przetwarzającego (art. 83 ust. 2 lit. e rozporządzenia 2016/679).

Prezes UODO nie stwierdził jakichkolwiek, dokonanych przez Sub-Agenta, wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. A ponieważ taki stan (przestrzeganie przepisów o ochronie danych osobowych) jest stanem naturalnym, wynikającym z ciążących na Sub-Agencie obowiązków prawnych, nie może mieć on również wpływu łagodzącego na dokonaną przez Prezesa UODO ocenę naruszenia.

138.

Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679)

Po stwierdzeniu naruszenia ochrony danych osobowych podjęto działania zmierzające do usunięcia konwersacji prowadzonej w aplikacji i trwałego usunięcia danych osobowych klientów z pamięci sprzętu. Należało jednak uznać, że czynności te podjęte zostały samodzielnie i spontanicznie, bez wcześniejszego działania czy jakiejkolwiek interwencji ze strony organu nadzorczego. Nie można więc tutaj mówić o „współpracy z organem”, która to współpraca mogłaby być traktowana jako okoliczność łagodząca w ramach przesłanki sformułowanej w art. 83 ust. 2 lit. f) rozporządzenia 2016/679. Natomiast działania Sub-Agenta, o których mowa powyżej, potraktowane zostały przez Prezesa UODO jako inne okoliczności łagodzące, o których mowa w art. 83 ust. 2 lit. k) rozporządzenia 2016/679 - zob. pkt 133 uzasadnienia decyzji.

139.

Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).

Prezes UODO stwierdził naruszenie przepisów w wyniku zgłoszenia naruszenia ochrony danych osobowych dokonanego przez Spółkę. Administrator dokonując tego zgłoszenia realizował jedynie ciążący na nim obowiązek prawny, brak jest podstaw do uznania, że okoliczność ta stanowi okoliczność łagodzącą - zwłaszcza w przypadku Sub-Agenta, który pełni rolę dalszego podmiotu przetwarzającego. Zgodnie z Wytycznymi w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 Wp. 253 „Organ nadzorczy może dowiedzieć się o naruszeniu w wyniku postępowania, skarg, artykułów w prasie, anonimowych wskazówek lub powiadomienia przez administratora danych. Zgodnie z rozporządzeniem administrator ma obowiązek zawiadomić organ nadzorczy o naruszeniu ochrony danych osobowych. Zwykłe dopełnienie tego obowiązku przez administratora nie może być interpretowane jako czynnik osłabiający/łagodzący”. Podobnie do kwestii tej podchodzi EROD w Wytycznych 4/2020, w których wskazano, że w przypadku, gdy administrator podlega szczególnym obowiązkom w zakresie zgłaszania naruszeń ochrony danych (np. obowiązkowi określonemu w art. 33 rozporządzenia 2016/679) fakt dokonania tego zgłoszenia należy uznać za okoliczność neutralną.

140.

Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).

Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Sub-Agenta w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Sub-Agent nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.

141.

Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).

Sub-Agent nie poinformował o tym, że stosuje instrumenty, o których mowa w art. 40 i art. 42 rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak - jak stanowią przepisy rozporządzenia 2016/679 - obowiązkowe dla administratorów i podmiotów przetwarzających, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Sub-Agenta. Na korzyść Sub-Agenta natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.

142.

Inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k rozporządzenia 2016/679).

Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej. W szczególności nie stwierdził, by Sub-Agent osiągnął w związku z naruszeniem jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat.

Ustalenie wysokości kary z zastosowaniem Wytycznych 04/2022

143.

Ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej nałożonej na Sub-Agenta Prezes UODO zastosował metodykę przyjętą przez EROD w Wytycznych 04/2022. Zgodnie z przedstawionymi w tym dokumencie wskazówkami Prezes UODO przeprowadził niżej przedstawiony proces kalkulacji kary.

144.

Jako podstawę obliczenia administracyjnej kary pieniężnej Prezes UODO przyjął wartość przychodów Sub-Agenta za rok 2024 przedstawioną przez niego Bilansie dołączonym do wyjaśnień z 21 października 2025 r. Zgodnie z tym dokumentem przychody przedsiębiorcy w roku 2024 wyniosły (…) zł, co - w przeliczeniu na euro (wg średniego kursu euro z 28 stycznia 2026 r. wynoszącego 1 EUR: 4,2009 PLN - przyjętego dla tego oraz dla wszelkich innych poniższych przeliczeń walutowych zgodnie z art. 103 u.o.d.o.) - stanowi kwotę (…) euro.

145.

Zgodnie z przedstawionymi w Wytycznych 04/2022 wskazówkami Prezes UODO dokonał kategoryzacji stwierdzonego naruszenia przepisów rozporządzenia 2016/679 (Rozdział 4.1 Wytycznych 04/2022). Naruszenie art. 32 rozporządzenia 2016/679 należy - zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 - do kategorii naruszeń zagrożonych karą niższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 10 000 000 euro lub do 2% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Są one więc in abstracto mniej poważne od drugiej grupy naruszeń podlegających administracyjnym karom pieniężnym (wskazanych w art. 83 ust. 5 i 6 rozporządzenia 2016/679).

146.

Prezes UODO ustalił prawnie określoną maksymalną wysokość kary możliwą do orzeczenia wobec Sub-Agenta w niniejszej sprawie (za oceniane w niniejszej decyzji naruszenie art. 32 ust. 1 i 2 w związku z art. 28 ust. 4 rozporządzenia 2016/679) - patrz Rozdział 6.1 Wytycznych 04/2022. Przepis art. 83 ust. 4 lit. a) rozporządzenia 2016/679 zobowiązuje Prezesa UODO do określenia czy w sprawie zastosowanie będzie miała tzw. „statyczna kwota maksymalna” (10 000 000 euro), czy „dynamiczna kwota maksymalna” (2% obrotu z poprzedniego roku obrotowego), i do przyjęcia kwoty wyższej jako kwoty maksymalnej, której orzeczona w sprawie administracyjna kara pieniężna nie może przekroczyć. Wartość 2% obrotu Spółki za poprzedni rok obrotowy to kwota (…) zł (równowartość (…) euro). W związku z tym, że jest to kwota niższa niż statyczna kwota maksymalna (10 000 000 euro), Prezes UODO zobligowany jest do przyjęcia jako maksimum kwoty wynoszącej 10 000 000 euro, którego nie może przekroczyć orzekając administracyjną karę pieniężną.

147.

Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o średnim poziomie powagi (Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które dotyczą strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679) oraz kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej. W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest średni. Konsekwencją tego jest zaś przyjęcie - jako kwoty wyjściowej do obliczenia kary - wartości mieszczącej się w przedziale od 10% do 20% maksymalnej wysokości kary możliwej do orzeczenia wobec Sub-Agenta, to jest - zważywszy na limit określony w art. 83 ust. 4 rozporządzenia 2016/679 - od kwoty 1 000 000 euro do kwoty 2 000 000 euro (Podrozdział 4.2.4 Wytycznych 04/2022). Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę 1 500 000 euro (równowartość 6 301 350 zł).

148.

Prezes UODO dostosował kwotę wyjściową odpowiadającą powadze stwierdzonego naruszenia do obrotu Sub-Agenta jako miernika jego wielkości i siły gospodarczej (Rozdział 4.3 Wytycznych 04/2022). Zgodnie z Wytycznymi 04/2022, w przypadku przedsiębiorstw, których roczny obrót jest niższy lub równy 2 mln euro, organ nadzorczy może rozważyć dokonanie dalszych obliczeń wysokości kary na podstawie wartości mieszczącej się w przedziale od 0,2 % do 0,4 % kwoty wyjściowej. Zważywszy, że przychód Sub-Agenta w roku 2024 wyniósł (…) zł, to jest (…) euro (wg średniego kursu euro z dnia 28 stycznia 2026 r.), Prezes UODO za stosowne uznał skorygowanie podlegającej obliczeniom kwoty kary do wartości odpowiadającej 0,23 % kwoty wyjściowej, to jest do kwoty (…) euro (równowartość (…) zł).

149.

Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się - jak zakładają Wytyczne 04/2022 - do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej. Prezes UODO uznał (co uzasadnione zostało w przedstawionej wyżej części uzasadnienia decyzji), że okolicznościami łagodzącymi w przedmiotowej sprawie, i w związku z tym zmniejszającymi wymiar orzeczonej kary, jest niezwłoczna reakcja Sub-Agenta po stwierdzeniu naruszenia (art. 83 ust. 2 lit. k) rozporządzenia 2016/679). Pozostałe przesłanki (z art. 83 ust. 2 lit. c), d), e), f), h), i), j) rozporządzenia 2016/679) - jak wskazano wyżej - nie miały wpływu, ani łagodzącego ani obciążającego, na ocenę naruszenia i w konsekwencji na wymiar kary. Ze względu na zaistnienie więc w sprawie dodatkowych okoliczności łagodzących, związanych ze stroną podmiotową naruszeń (oceną postępowania Sub-Agenta po naruszeniu), za zasadne Prezes UODO uznał zmniejszenie kwoty kary ustalonej na podstawie oceny powagi naruszeń. Adekwatnym do wpływu tej przesłanki na ocenę naruszenia jest zdaniem Prezesa UODO jej obniżenie do kwoty 10 145 zł, (stanowiącej równowartość 2 415 euro.)

150.

Prezes UODO uznał, że wysokość kary nie wymaga dodatkowej korekty ze względu na zasady skuteczności, proporcjonalności i odstraszającego charakteru kary wymienione w art. 83 ust. 1 rozporządzenia 2016/679 (Rozdział 7 Wytycznych 04/2022). Kara pieniężna w wysokości stanowiącej równowartość 2 415 euro będzie karą skuteczną (przez swoją dolegliwość pozwoli osiągnąć swój cel represyjny, którym jest ukaranie za bezprawne zachowanie) i odstraszającą (pozwalającą skutecznie zniechęcić zarówno Sub-Agenta, jak i innych procesorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679). Zasada proporcjonalności wymaga z kolei m.in., by przyjęte przez organ nadzorczy środki nie wykraczały poza to, co odpowiednie i konieczne do realizacji uzasadnionych celów (pkt 137 i pkt 139 Wytycznych 04/2022). Innymi słowy: „Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku” (P. Litwiński (red.), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. […]; Komentarz do art. 83 [w:] P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz). Kwota 10 145 zł (stanowiąca równowartość 2 415 euro) stanowi próg, powyżej którego dalsze zwiększanie wysokości kary nie będzie wiązało się ze wzrostem jej skuteczności i odstraszającego charakteru. Z drugiej natomiast strony obniżenie w większym stopniu wysokości kary mogłoby się odbyć kosztem jej skuteczności i odstraszającego charakteru, a także spójnego stosowania i egzekwowania rozporządzenia 2016/679 i zasady równego traktowania podmiotów na rynku wewnętrznym UE i EOG.

Mając powyższe na uwadze Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji niniejszej decyzji.