Godło Rzeczypospolitej Polskiej

Portal Orzeczeń

DostępnośćBIP
Decision logo
Warszawa, 5 lutego 2026nieprawomocna

Decyzja DKN.5112.1.2023

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2025 r. poz. 1691) oraz art. 7 ust. 1 i 2, art. 60, art. 90, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. i), art. 83 ust. 1 i 2, art. 83 ust. 4 lit. a) w związku z art. 24 ust. 1 i 2, art. 28 ust. 3, art. 29, art. 32 ust. 1 i 4 oraz art. 83 ust. 5 lit. a) w związku z art. 5 ust. 1 lit. a) i lit. f) oraz art. 5 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwanego dalej „rozporządzeniem 2016/679”,
po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez X. (…) sp. z o.o. z siedzibą w C., przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych,
1)
stwierdzając naruszenie przez X. (…) sp. z o.o. z siedzibą w C. przy ul. (…) przepisu art. 28 ust. 3 rozporządzenia 2016/679, polegające na korzystaniu przez X. (…) sp. z o.o. z usług transportowych zewnętrznych przewoźników (…), realizujących transport przesyłek pomiędzy oddziałami X. (…) sp. z o.o., bez uprzedniego zawarcia z nimi umów powierzenia przetwarzania danych osobowych, skutkujące naruszeniem zasady przetwarzania danych zgodnie z prawem uregulowanej w art. 5 ust. 1 lit. a) rozporządzenia 2016/679, a także zasady rozliczalności uregulowanej w art. 5 ust. 2 rozporządzenia 2016/679,
nakłada na X. (…) sp. z o.o. administracyjną karę pieniężną w wysokości 6 251 471 zł (słownie: sześć milionów dwieście pięćdziesiąt jeden tysięcy czterysta siedemdziesiąt jeden złotych);
2)
stwierdzając naruszenie przez X. (…) sp. z o.o. z siedzibą w C. przy ul. (…) przepisów art. 24 ust. 1 i 2, art. 29 oraz art. 32 ust. 1 i 4 rozporządzenia 2016/679, polegające na przetwarzaniu danych osobowych bez wdrożenia środków organizacyjnych służących zapewnieniu odpowiedniego bezpieczeństwa danych, tj. środków zapewniających przetwarzanie danych osobowych przez osoby działające z jej upoważnienia, mające dostęp do danych osobowych, wyłącznie na polecenie i w oparciu o stosowne upoważnienia administratora, a także na niewdrożeniu postanowień obowiązującej w X. (…) sp. z o.o. polityki ochrony danych w zakresie wyznaczenia osoby upoważnionej do udzielania w jej imieniu upoważnień do przetwarzania danych, skutkujące naruszeniem zasady poufności uregulowanej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, a także zasady rozliczalności uregulowanej w art. 5 ust. 2 rozporządzenia 2016/679,
nakłada na X. (…) sp. z o.o. – za naruszenie przepisów art. 29, art. 32 ust. 1 i 4, art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679 – administracyjną karę pieniężną w wysokości 5 209 559 zł (słownie: pięć milionów dwieście dziewięć tysięcy pięćset pięćdziesiąt dziewięć złotych).

Uzasadnienie

1.
Prezes Urzędu Ochrony Danych Osobowych, zwany dalej „Prezesem UODO”, na podstawie art. 78 ust. 1, art. 79 ust. 1 pkt 1 oraz art. 84 ust. 1 pkt 1-4 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (zwanej dalej „ustawą”), w związku z art. 57 ust. 1 lit. a) i h) oraz art. 58 ust. 1 lit. b) i e) rozporządzenia 2016/679, w celu kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych, dokonał czynności kontrolnych w X. (…) sp. z o.o. z siedzibą w C. przy ul. (…), zwanej dalej „Spółką” (sygn. akt: DKN.5112.1.2023).
2.
Prezes UODO przeprowadził czynności kontrolne w dniach (…) r. Zakresem kontroli objęto przetwarzanie przez Spółkę danych osobowych w związku ze świadczeniem usługi w zakresie doręczania przesyłek kurierskich w rozumieniu art. 3 pkt 19 ustawy z dnia 23 listopada 2012 r. Prawo pocztowe (Dz. U. z 2025 r. poz. 366 ze zm.), w szczególności ich odpowiedniego zabezpieczania przed utratą i zniszczeniem, poprzez ustalenie, między innymi:
1)
Źródła pozyskania danych osobowych.
2)
Zakresu, celu i rodzaju przetwarzanych danych osobowych.
3)
Czy Spółka powierza przetwarzanie danych podmiotom przetwarzającym, a jeśli tak, to na jakich zasadach.
4)
Czy zostały wdrożone odpowiednie środki techniczne i organizacyjne, aby przetwarzanie danych osobowych zawartych w przesyłkach kurierskich odbywało się zgodnie z rozporządzeniem 2016/679 oraz z uwzględnieniem charakteru, zakresu, kontekstu, celów przetwarzania i ryzyka naruszenia praw i wolności osób fizycznych, a także czy środki te są w razie potrzeby poddawane przeglądom i uaktualniane (art. 24 i art. 32 rozporządzenia 2016/679).

I. Ustalenia w zakresie stanu faktycznego

3.
W toku kontroli odebrano od pracowników Spółki ustne wyjaśnienia i pozyskano kopie dokumentów mających związek z zakresem kontroli. Ustalony przez Prezesa UODO w czasie kontroli stan faktyczny został opisany w podpisanym przez osobę upoważnioną do reprezentowania Spółki protokole kontroli. W oparciu o cały materiał dowodowy zgromadzony w toku przeprowadzonej kontroli, Prezes UODO dokonał następujących ustaleń w zakresie stanu faktycznego:
1)
Spółka została utworzona w (…) r. i od tego roku przedmiotem jej działalności jest świadczenie usług w zakresie dostarczania, w tym transportowania, przygotowywania, pakowania i magazynowania przesyłek kurierskich. Ww. działalność jest prowadzona na terenie (…). Spółka dysponowała w dniu kontroli na ww. terenie: (…) oraz (…) punktami obsługi klienta. Spółka, na dzień kontroli, zatrudniała (…) kurierów i przewoziła średnio ok. (…) dziennie.
2)
Dane osobowe klientów Spółki, tj. nadawców i adresatów przesyłek kurierskich będących osobami fizycznymi, są przetwarzane w systemach informatycznych Spółki (w formie elektronicznej) oraz w formie papierowej, tj. na etykietach adresowych stanowiących także list przewozowy. Spółka przetwarza dane klientów w celu świadczenia usług doręczania przesyłek kurierskich. Ponadto Spółka przetwarza ww. dane do celów finansowo-księgowych, marketingowych oraz reklamacyjnych.
3)
W związku z realizacją usług doręczania przesyłek kurierskich Spółka przetwarza następujące dane: imię, nazwisko, adres poczty elektronicznej, numer telefonu, adres nadania, adres doręczenia, adres przekierowania przesyłki, numer konta bankowego (w przypadku usługi doręczenia za pobraniem), oznaczenie (nazwa) działalności gospodarczej, numer przesyłki oraz podpis własnoręczny nadawcy i adresata.
4)
Spółka wdrożyła elektroniczną platformę szkoleniową dotyczącą zasad ochrony danych osobowych. Jak Spółka wyjaśniła w toku kontroli, za pośrednictwem ww. platformy i systemu informatycznego udzielała swoim pracownikom upoważnień do przetwarzania danych. Udzielenie tych upoważnień odbywało się w ten sposób, że przy okazji zaliczenia testu sprawdzającego wiedzę nowo zatrudnionego pracownika w zakresie zasad przetwarzania danych oraz poświadczenia przez niego w systemie informatycznym Spółki faktu zapoznania się z zasadami ochrony danych, ww. system generował automatyczne przesłanie na dysk twardy komputera konkretnego pracownika pliku z treścią, która w założeniu Spółki miała stanowić upoważnienie do przetwarzania danych.
5)
Treść ww. upoważnienia nie była w żaden sposób, czy to elektronicznie czy to w formie pisemnej, podpisana przez członków zarządu albo innych upoważnionych pracowników Spółki (na dzień kontroli w Spółce nie wyznaczono osoby do nadawania upoważnień do przetwarzania danych), nie było zatem także możliwości wygenerowania z systemu Spółki dokumentu, z którego treści wynikałoby, kto podpisał (autoryzował) oświadczenie o nadaniu pracownikowi upoważnienia oraz któremu (imiennie) pracownikowi upoważnienie zostało nadane. Zarząd Spółki na dzień kontroli nie upoważnił żadnego pracownika (pracowników) do udzielania upoważnień do przetwarzania danych, pomimo treści postanowienia obowiązującej w Spółce Polityki ochrony danych (…).
6)
System informatyczny Spółki, na którym została oparta elektroniczna platforma szkoleniowa, powodował automatyczne dodanie danych pracownika do elektronicznej listy ewidencjonującej fakt przejścia przez pracownika ww. szkolenia i złożenia oświadczenia o zapoznaniu się z zasadami ochrony danych obowiązującymi w Spółce. Ww. listę Spółka traktuje jako rejestr osób upoważnionych przez nią do przetwarzania danych. Spółka w toku kontroli oświadczyła, że traktuje fakt złożenia w systemie platformy szkoleniowej przez pracownika oświadczenia o zapoznaniu się zasadami ochrony danych jako udzielenie mu upoważnienia do przetwarzania danych.
7)
Ponadto, ustalono, że Spółka zleca podmiotom zewnętrznym (tzw. przewoźnikom (…)[1]) wykonywanie usługi transportu, między innymi, przesyłek kurierskich. Ww. podmioty wykonują transport przesyłek pomiędzy oddziałami Spółki oraz od dużych klientów biznesowych Spółki do jej oddziałów na terenie (…). Na dzień kontroli Spółka nie zawarła z ww. podmiotami umów powierzenia przetwarzania danych. Powyższe Spółka uzasadnia w ten sposób, iż, według niej, tzw. przewoźnicy (…) nie mają dostępu do przesyłek ani ich nie doręczają, wykonują wyłącznie czynność przewozu przesyłek, prowadzą jedynie pojazdy transportowe i w związku z powyższym nie przetwarzają danych osobowych znajdujących się na etykietach adresowych przesyłek.
8)
Jednocześnie podczas kontroli ustalono, że zgodnie z treścią (…) umów o świadczenie usług transportowych (…) zawartych z tzw. przewoźnikami (…) podmioty świadczące przewozy (…) czynią to, co do zasady, przy pomocy środków transportu, do których posiadania mają tytuł prawny, nie ma go natomiast Spółka, poza wyjątkami wskazanymi w (…) ww. umów, gdy udostępnia ona do transportu (…) przewoźnikom własne naczepy. Z postanowień umów o świadczenie transportu (…) wynika ponadto (…), że przewoźnicy (…) obowiązani są do pomocy przy załadunku (wyładunku) przesyłek.
3.
W związku z powyższymi ustaleniami, Prezes UODO pismem z 7 września 2023 r. skierowanym do Spółki (znak: DKN.5112.1.2023.(…)), wszczął z urzędu postępowanie administracyjne, w zakresie możliwości naruszenia przez Spółkę, jako administratora, obowiązków wynikających z przepisów art. 24 ust. 1 i ust. 2, art. 28 ust. 3, art. 29 oraz art. 32 ust. 1 i ust. 4 rozporządzenia 2016/679.

II. Wyjaśnienia Spółki w piśmie z 18 września 2023 r. oraz w piśmie z 11 października 2023 r.

4.
W odpowiedzi na ww. pismo, Spółka, pismem z 18 września 2023 r. skierowanym do Prezesa UODO, ustosunkowała się do postawionych jej zarzutów dotyczących naruszeń przepisów o ochronie danych osobowych, stanowiących przedmiot postępowania administracyjnego:
1)
Spółka wyjaśniła, że zaczęła modyfikować procedurę udzielania upoważnień, wskazując, iż treść wzoru upoważnienia została zmodyfikowana w ten sposób, że wskazuje ona imiennie osobę, której upoważnienie jest udzielane (wraz z informacją o miejscu pracy oraz stanowisku), oraz osobę udzielającą upoważnienia w imieniu Spółki. Ponadto, według wyjaśnień Spółki, nadawane upoważnienie ma być sygnowane niekwalifikowanym podpisem składanym przez osobę udzielającą upoważnienia w imieniu Spółki, a wydanie upoważnienia (umożliwienie wygenerowania dokumentu upoważnienia) poprzedzone będzie koniecznością złożenia oświadczenia przez osobę, której udzielane jest upoważnienie, poprzez naciśnięcie właściwego przycisku o zapoznaniu się z zasadami ochrony danych osobowych w Spółce.
2)
Spółka oświadczyła także, że proces udzielenia upoważnienia będzie dokumentowany w sposób umożliwiający zarządzanie listą osób upoważnionych. Według wskazań Spółki, nowa procedura udzielania upoważnień ma uwzględniać także wyznaczenie w drodze uchwały zarządu Spółki osoby uprawnionej do udzielania ww. upoważnień osobom fizycznym przetwarzającym dane osobowe.
3)
Spółka poinformowała również Prezesa UODO, że w związku z zarzutem postawionym jej w zawiadomieniu o wszczęciu postępowania, dotyczącym relacji Spółki z tzw. przewoźnikami (…), Spółka rozpoczęła proces aneksowania umów z przewoźnikami, zmierzający do zawarcia z nimi umów powierzenia przetwarzania. Spółka zadeklarowała, że ww. umowy zostaną aneksowane do (…) r. Spółka wskazała także iż, w jej opinii, w przypadku usług wykonywanych przez tzw. przewoźników (…), nie przetwarzają oni danych osobowych w związku z przewożeniem przez nich przesyłek. Spółka oświadczyła, że w celu faktycznego zapewnienia, że przewoźnicy nie uzyskują dostępu do przesyłek, wdrożyła środki techniczne i organizacyjne, tzn. przesyłki przewożone są w naczepie, naczepa zabezpieczona jest elektroniczną plombą, której ewentualne nieuprawnione otwarcie czy zniszczenie jest monitorowane. Naczepa jest załadowywana przesyłkami i następnie plombowana samodzielnie przez Spółkę w magazynie. Podobna sekwencja czynności jest przy rozładunku pojazdu, tj. otwarcie plomby oraz rozładowanie przesyłek wykonywane jest przez Spółkę.
4)
Spółka w ww. wyjaśnieniach z 18 września 2023 r. dalej twierdziła, że „na żadnym etapie usługi przewoźnik nie uzyskuje dostępu do danych osobowych, co zapewnianie jest przez (…) techniczne i organizacyjne środki bezpieczeństwa.” Spółka oświadczyła ponadto, że pomimo treści swoich wyjaśnień oraz jej przekonania o niewystępowaniu pomiędzy nią a przewoźnikami (…) stosunku powierzenia danych do przetwarzania, zawrze jednak z nimi umowy powierzenia przetwarzania danych.
5.
W kolejnym piśmie z 11 października 2023 r., skierowanym przez Spółkę do Prezesa UODO, Spółka wyjaśniła, że wprowadziła zmiany w procedurach obowiązujących w (…) odnoszących się do kwestii stosowania technicznych środków służących bezpieczeństwu danych osobowych, w tym, między innymi, procedurę zarządzania dostępem do systemów IT (…), w której doprecyzowano sposób przeprowadzania czynności nadawania uprawnień administracyjnych do systemów informatycznych Spółki oraz odbierania i tymczasowego blokowania uprawnień w zakresie dostępu do tych systemów.

III. Wyjaśnienia Spółki w piśmie z 28 sierpnia 2025 r.

6.
Przed wydaniem decyzji, Prezes UODO zwrócił się do Spółki pismem z 5 sierpnia 2025 r., celem uzyskania od niej dodatkowych wyjaśnień. Ww. pismem Prezes UODO rozszerzył także zakres postępowania o możliwość naruszenia przez Spółkę przepisów art. 5 ust. 1 lit. a) i lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679.
7.
W odpowiedzi, Spółka, pismem z 28 sierpnia 2025 r., złożyła wyjaśnienia, w których wskazała, że wyznaczyła osobę uprawnioną do nadawania upoważnień do przetwarzania danych w imieniu i na wyłączne polecenie Spółki, dostarczając na potwierdzenie powyższego w załączeniu dowody w postaci pełnomocnictw udzielonych Pani K. T. z (…) r., (…) r. oraz (…) r.
8.
Spółka oświadczyła w ww. piśmie, że udzieliła swoim pracownikom (współpracownikom) upoważnień do przetwarzania danych, na potwierdzenie czego dołączyła do akt sprawy wydruki dokumentów elektronicznych udzielonych trzem wybranym pracownikom upoważnień. Ponadto, Spółka ponownie wyraziła pogląd, że przed udzieleniem ww. pełnomocnictw, udzielanie pracownikom pełnomocnictw przy pomocy zautomatyzowanego systemu informatycznego przy okazji zaliczania przez nich testu z wiedzy o ochronie danych osobowych było w jej ocenie prawidłowe i zgodne z przepisami rozporządzenia 2016/679. Spółka wskazała, że w treści art. 29 oraz art. 32 ust. 4 rozporządzenia 2016/679 nie określono wymogów udzielenia upoważnienia przez administratora w określony sposób lub w określonej formie (np. papierowej czy elektronicznej) oraz nie wskazano „minimalnych elementów formalnych samego dokumentu upoważnienia (np. że powinno ono zawierać imię i nazwisko osoby udzielającej upoważnienia lub osoby, której upoważnienie jest udzielane), ani też w jaki sposób powinno być opracowywane i odkładane (czy np. jako wydruk papierowy w segregatorze, czy jako dokument elektroniczny generowany automatycznie i przesyłany na dysk osoby upoważnionej)”. Spółka stwierdziła również, że „przepisy wymagają jedynie, aby każda osoba działająca z upoważnienia administratora przetwarzała dane osobowe wyłącznie na polecenie administratora”, a „mechanizmy zastosowane przez Spółkę służyły wyłącznie automatyzacji, usprawnieniu procesu udzielania upoważnień przez Spółkę, bez jakiegokolwiek uszczerbku dla rozliczalności procesu i świadomości pracowników i współpracowników co do faktu przetwarzania danych na wyłączne polecenie administratora.”
9.
Spółka wyjaśniła w piśmie z 28 sierpnia 2025 r., że zawarła z tzw. przewoźnikami (…) umowy powierzenia przetwarzania danych. Spółka dołączyła do ww. pisma kopie trzech przykładowych umów powierzenia przetwarzania zawartych z tzw. przewoźnikami (…). Spółka w treści pisma powtórzyła wyrażany w treści wcześniejszych pism z wyjaśnieniami w sprawie oraz w treści protokołu kontroli, że w jej ocenie zawarcie umów powierzenia przetwarzania danych z tzw. przewoźnikami (…) nie było konieczne w świetle przepisów rozporządzenia 2016/679, ponieważ „przewoźnicy nie uzyskują dostępu do przesyłek (…). Przesyłki przewożone są w naczepie, naczepa zabezpieczona jest elektroniczną plombą, której ewentualne nieuprawnione otwarcie czy zniszczenie jest monitorowane. Naczepa jest załadowywana przesyłkami i następnie plombowana samodzielnie przez X. w magazynie”. Spółka nadmieniła również, że „uwzględniając odmienne stanowisko UODO w przedmiocie charakteru relacji z przewoźnikami (…), X. zawarło odpowiednie umowy powierzenia przetwarzania danych osobowych”.
10.
W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

IV. Naruszenie art. 28 ust. 3 rozporządzenia 2016/679 poprzez brak zawarcia umowy powierzenia przetwarzania danych osobowych

11.
Zgodnie z brzmieniem art. 28 ust. 3 rozporządzenia 2016/679 przetwarzanie danych przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający: a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny; b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy; c) podejmuje wszelkie środki wymagane na mocy art. 32; d) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4; e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III; f) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36; g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych; h) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich. W związku z obowiązkiem określonym w akapicie pierwszym lit. h) podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.
12.
Należy przy tym przypomnieć, że w myśl art. 4 pkt 8 rozporządzenia 2016/679, „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
13.
Biorąc pod uwagę treść ww. przepisów należy stwierdzić, że Spółka naruszyła art. 28 ust. 3 rozporządzenia 2016/679 w ten sposób, iż w umowach o świadczenie usług transportowych (…) zawartych przez nią z podmiotami wykonującymi ww. usługi nie zamieszczono postanowień dotyczących powierzenia przetwarzania danych, mimo że powierzenie takie ma faktycznie miejsce, z uwagi na sposób i zakres świadczenia usług przez tzw. przewoźników (…), wskazany wyraźnie w treści ww. umów.
14.
Należy wskazać, że zgodnie z treścią (…) ww. umów zawartych przez Spółkę, przedłożonych Prezesowi UODO w toku kontroli, podmioty świadczące usługi tzw. przewozów (…) czynią to, co do zasady, przy pomocy środków transportu, do których posiadania mają tytuł prawny, nie ma go natomiast Spółka, poza wyjątkami wskazanymi w (…) ww. umów, gdy udostępnia ona do transportu (…) przewoźnikom własne naczepy. Powyższe oznacza, że w czasie realizacji transportów (…) podmioty świadczące przewozy mają fizyczne, i zarazem wyłączne, faktyczne władztwo (kontrolę) nad powierzonymi im przez Spółkę przesyłkami oraz danymi osobowymi zawartymi na etykietach adresowych. Ponadto, podmioty te mają zazwyczaj wyłączny tytuł prawny do dysponowania pojazdami (w tym naczepami), którymi ww. przewozy są realizowane.
15.
Z postanowień umów o świadczenie transportu (…) wynika ponadto (…), że przewoźnicy (…) obowiązani byli na dzień kontroli do pomocy przy załadunku (wyładunku) przesyłek. Powyższe oznacza z kolei, że przewoźnicy (…) mieli nie tylko prawo, ale i wyraźnie zastrzeżony z umowie obowiązek wykonywania czynności wymagających bezpośredniego dostępu do przesyłek i znajdujących się na ich etykietach adresowych danych osobowych. Powyższe przeczy wyjaśnieniom złożonym w toku kontroli przez pracowników Spółki oraz wyjaśnieniom zawartym w pismach Spółki skierowanych do Prezesa UODO z 18 września oraz 11 października 2023 r., a także z 28 sierpnia 2025 r., według których przewoźnicy (…) nie mają w ogóle kontaktu z przesyłkami.
16.
Ponadto, faktu przetwarzania przez przewoźników (…) powierzonych im przez Spółkę danych osobowych nie zmienia okoliczność, że naczepy pojazdów (…) po ich załadowaniu przesyłkami, są plombowane. Zarówno wobec faktu umownego zobowiązania przewoźników (…) do pomocy przy szeroko rozumianym załadunku, jak i wobec okoliczności przewożenia (a więc i przechowywania na czas realizacji transportu) przesyłek, także przy użyciu środków transportu, do których tytuł prawny przysługuje wyłącznie ww. przewoźnikom, nie ulega wątpliwości, że tzw. przewoźnicy (…) przetwarzają powierzone im przez Spółkę dane osobowe, mając do nich (i przesyłek) bezpośredni dostęp i mając faktyczne władztwo nad nimi w czasie przewozu przesyłek.
17.
Innymi słowy, tzw. przewoźnicy (…), świadcząc usługi na rzecz Spółki, faktycznie przetwarzają dane osobowe nadawców i adresatów przesyłek również dlatego, że przechowują je (poprzez umieszczenie przesyłek podczas transportu w przestrzeni ładunkowej pojazdów (…)) i mają do nich dostęp, przy czym czynią to z zasady przy pomocy środków transportu, do których posiadania przysługuje tytuł prawny nie Spółce, ale ww. przewoźnikom. Powyżej wskazane okoliczności świadczą, iż Spółka, przekazując przewoźnikom (…) przesyłki wraz z danymi do transportu, pozbawia się w jego czasie faktycznej kontroli i władztwa nad nimi, a dane osobowe znajdujące się na przesyłkach są powierzone do przetwarzania w imieniu Spółki jako organizatora procesu doręczania i administratora tych danych – przewoźnikom (…) (co najmniej w zakresie przechowywania danych).
18.
Zważywszy przy tym na fakt, że przewoźnicy (…) wykonując usługi na rzecz Spółki nie określają samodzielnie ani wspólnie ze Spółką celów ani sposobów przetwarzania danych zgodnie z definicją administratora zawartą w treści art. 4 pkt 7 rozporządzenia 2016/679 (czyni to wyłącznie Spółka jako administrator danych osobowych nadawców i adresatów przesyłek zawartych na etykietach adresowych w związku z jej odpowiedzialnością wobec klientów za cały proces doręczenia przesyłki wynikającą ze stosownych przepisów prawa, np. ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2025 r. poz.1071 ze zm.), ustawy z dnia 23 listopada 2012 r. Prawo pocztowe (Dz. U. z 2025 r. poz. 366 ze zm.), itd.), należy uznać, że faktycznie przewoźnicy (…), działając na zlecenie Spółki jako administratora danych i w jej imieniu, przetwarzają dane osobowe zawarte na etykietach adresowych jako podmioty przetwarzające.
19.
Należy zauważyć, że przewoźników (…) nie można uznać za oddzielnych od Spółki administratorów danych ani ich współadministratorów razem ze Spółką, skoro dane te nie są im niezbędne do realizowanych przez nich samodzielnie celów prowadzonej działalności gospodarczej (np. rachunkowo-księgowych, wystawiania faktur, celów operacyjnych związanych z doręczaniem przesyłek nie mających związku z działaniem w ramach systemu organizacyjnego i metodologii działania narzuconego przez Spółkę itp.). Ww. dane są przetwarzane wyłącznie na polecenie Spółki jako administratora, tak więc po ich przekazaniu tzw. przewoźnikom (…) przez Spółkę, ci pierwsi nie decydują samodzielnie i niezależnie od Spółki, w jakim celu i w jaki sposób będą te dane przetwarzać. Z powyższego wynika również, że w opisanych wyżej okolicznościach nie może być mowy o – jedynie – udostępnieniu danych osobowych przez Spółkę tzw. przewoźnikom (…). Charakter wykonywanych przez nich usług oraz postanowień umownych w zawartych z nimi przez Spółkę umowach, świadczy o tym, że przewoźnicy (…) świadcząc swoje usługi na rzecz Spółki jednocześnie przetwarzają na jej zlecenie powierzone im dane osobowe klientów Spółki i czynią to w celu oraz w sposób ustalony wyłącznie przez Spółkę. Należy bowiem pamiętać, że przetwarzanie danych przez przewoźników (…) odbywa się wyłącznie w związku z procesem doręczania przesyłek, który w całości jest organizowany i zlecany przez Spółkę, aczkolwiek bez bezpośredniego kierowania działaniami ww. przewoźników. Trudno byłoby w takiej sytuacji uznać, że ww. przewoźnicy w ramach swojego częściowego udziału w procesie doręczania przesyłek operacyjnie kontrolowanego w całości przez Spółkę, mieliby w jakimkolwiek stopniu określać cele i sposoby przetwarzania danych, do których mają dostęp i które przechowują w momencie realizacji tzw. przewozów (…).
20.
Zgodnie z Wytycznymi Europejskiej Rady Ochrony Danych 07/2020, dotyczącymi pojęć administratora i podmiotu przetwarzającego zawartych w RODO (Wersja 2.0 przyjęta 7 lipca 2021, s. 29), dalej Wytyczne 07/2020, „Przetwarzanie danych osobowych w imieniu administratora wymaga przede wszystkim, aby odrębny podmiot przetwarzał dane osobowe na rzecz administratora. W art. 4 ust. 2 przetwarzanie definiuje się jako pojęcie obejmujące szeroki zakres operacji, począwszy od gromadzenia, przechowywania i przeglądania, a skończywszy na wykorzystaniu, rozpowszechnianiu lub udostępnianiu w inny sposób i niszczeniu. Pojęcie "przetwarzania" opisano bardziej szczegółowo w pkt 2.1.5. 80. Po drugie, przetwarzanie musi odbywać się w imieniu administratora, ale poza jego bezpośrednim zwierzchnictwem lub kontrolą. Działanie "w czyimś imieniu" oznacza działanie w interesie innego podmiotu i przypomina pojęcie prawne "przekazania uprawnień". W przepisach dotyczących ochrony danych wzywa się podmiot przetwarzający dane do wykonania instrukcji wydanych przez administratora, przynajmniej w odniesieniu do celu przetwarzania oraz istotnych elementów sposobu przetwarzania. Legalność przetwarzania danych zgodnie z art. 6, a w stosownych przypadkach art. 9 rozporządzenia, wynika z działalności administratora danych, a podmiot przetwarzający nie może przetwarzać danych inaczej niż zgodnie z instrukcjami administratora. Mimo to, jak opisano powyżej, możliwe jest pozostawienie w ramach tych instrukcji pewnej swobody co do tego, jak najlepiej służyć interesom administratora i umożliwienie podmiotowi przetwarzającemu wybór najodpowiedniejszych środków technicznych i organizacyjnych”.
21.
Wobec powyższego stwierdzić należy, że angażowani przez Spółkę przewoźnicy (…), wbrew jej twierdzeniom, pełnią funkcję podmiotów przetwarzających, o których mowa w art. 4 pkt 8 rozporządzenia 2016/679, przetwarzających dane osobowe w imieniu administratora, jednak czynią to bez formalnego umocowania, wymaganego w treści art. 28 ust. 3 rozporządzenia 2016/679, tj. bez zawarcia stosownych umów dotyczących kwestii powierzenia danych, zawierających elementy treści wymagane w ww. przepisie, co stanowi jego naruszenie.
22.
Prezes UODO nie może zatem uznać za miarodajne i wiarygodne wyjaśnienia, w których Spółka zdaje się twierdzić, że co prawda w zawartych przez nią umowach z przewoźnikami (…) literalnie nałożony był na nich obowiązek używania do przewozu własnych pojazdów oraz obowiązek pomocy przy załadunku przesyłek opatrzonych danymi osobowymi (a więc i bezpośredniego dostępu do danych), jednak Spółka faktycznie, rzekomo, nie egzekwowała ww. postanowień umownych. Powyższe tłumaczenie Spółki jest nieprzekonywające, a przede wszystkim sprzeczne z zasadami logicznego myślenia oraz wiedzą wynikającą z doświadczenia życiowego.
23.
Oczywistym jest bowiem fakt, że Spółka jako profesjonalny podmiot gospodarczy o globalnym zasięgu działania i wieloletnim doświadczeniu w biznesie, wyposażony we wszelakie instrumenty wspierające prowadzenie działalności gospodarczej (np. obsługa prawna, wypracowane przez lata „know-how”), optymalizujący swoją aktywność w sposób pozwalający na osiągnięcie maksymalnego zysku ekonomicznego, nie zamieściłaby w treści umów zawartych z przewoźnikami (…) postanowień, których nie egzekwuje i które nie są w praktyce stosowane.
24.
Prezes UODO nie dał zatem wiary ww. wyjaśnieniu i uznał, że już sam fakt uwzględnienia w treści umów zawartych przez Spółkę z przewoźnikami (…) klauzul nakładających na tych przewoźników ww. obowiązki przesądza o fakcie powierzenia im przetwarzania danych. Jeżeli Spółka rzeczywiście byłaby zdeterminowana pozbawić przewoźników (…) dostępu do przesyłek opatrzonych danymi osobowymi nadawców i adresatów i korzystać z ich usług w sposób wykluczający przetwarzanie przez nich tych danych, to nie powinna była zawierać umów o tak wyraźnie sformułowanej treści, jak wskazano powyżej. Zatem przeciwne działanie należy poczytać za powierzenie przez Spółkę danych do przetwarzania przewoźnikom (…) ze świadomością, że przewoźnicy ci będą mieli dostęp do danych zamieszczonych na przesyłkach (obowiązek pomocy przy załadunku) oraz faktyczne władztwo nad nimi w trakcie transportowania.
25.
Należy przy tym zwrócić uwagę na niekonsekwencję w działaniu Spółki jako administratora danych w sytuacji, w której formalne powierzenie przetwarzania danych jest przewidziane postanowieniami umów zawieranych z przewoźnikami-kurierami, zaś umowy z przewoźnikami świadczącymi usługi transportowe (…) takich postanowień nie zawierają, mimo że z ich treści wynika, iż przewoźnicy ci mają dostęp do przesyłek i znajdujących się na nich danych.
26.
Należy jednocześnie podnieść, że zgodnie z Wytycznymi 07/2020 (s. 35-36), „100. Wszelkie przetwarzanie danych osobowych przez podmiot przetwarzający musi być uregulowane umową lub innym aktem prawnym na mocy prawa Unii lub państwa członkowskiego zawartym między administratorem a podmiotem przetwarzającym, zgodnie z wymogami art. 28 ust. 3 RODO. Taki akt prawny ma formę pisemną, w tym formę elektroniczną. W związku z tym niepisanych umów (niezależnie od stopnia ich szczegółowości lub skuteczności) nie można uznać za wystarczające do spełnienia wymogów określonych w art. 28 RODO. Aby uniknąć jakichkolwiek trudności w wykazaniu, że umowa lub inny akt prawny faktycznie obowiązują, EROD zaleca dopilnowanie, aby w akcie prawnym znalazły się niezbędne podpisy, zgodnie z obowiązującym prawem (np. prawem zobowiązań). (…) Ponieważ rozporządzenie ustanawia wyraźny obowiązek zawarcia umowy na piśmie, w przypadku gdy nie obowiązuje żaden inny odpowiedni akt prawny, jej brak stanowi naruszenie RODO. Zarówno administrator, jak i podmiot przetwarzający są odpowiedzialni za zapewnienie zawarcia umowy lub innego aktu prawnego regulującego przetwarzanie. Z zastrzeżeniem przepisów art. 83 RODO właściwy organ nadzorczy będzie mógł nałożyć grzywnę administracyjną zarówno na administratora, jak i podmiot przetwarzający, biorąc pod uwagę okoliczności każdej indywidualnego przypadku”.
27.
Zgodnie z wyjaśnieniami Spółki zawartymi w piśmie z 28 sierpnia 2025 r. oraz dołączonymi do niej dowodami (aneksy do umów o świadczenie usług transportowych (…)), Spółka zawarła umowy powierzenia przetwarzania z tzw. przewoźnikami (…) dopiero w dniu (…) r. W tej sytuacji, niezawarcie przez Spółkę umów powierzenia przetwarzania danych w okresie od dnia 25 maja 2018 r. (data rozpoczęcia stosowania przepisów rozporządzenia 2016/679) do dnia (…) r. stanowiło naruszenie art. 28 ust. 3 rozporządzenia 2016/679.
28.
Naruszenie przez Spółkę art. 28 ust. 3 rozporządzenia 2016/679 wiązało się również z naruszeniem przez nią art. 5 ust. 1 lit. a) rozporządzenia 2016/679, bowiem zlecenie przetwarzania danych osobowych tzw. przewoźnikom (…) bez zawarcie umowy powierzenia przetwarzania danych, stanowiło naruszenie zasady przetwarzania danych zgodnie z prawem. Ponadto, wobec powyższego, Spółka dopuściła się naruszenia art. 5 ust. 2 rozporządzenia 2016/679 i uregulowanej nim zasady, bowiem nie wykazała przed Prezesem UODO w toku postępowania, że przestrzega przepisu art. 28 ust. 3 rozporządzenia 2016/679 oraz związanej z nim zasady przetwarzania danych zgodnie z prawem.

V. Naruszenie art. 29 oraz art. 32 ust. 4 rozporządzenia 2016/679 poprzez niezapewnienie, aby każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzała je wyłącznie na polecenie administratora

29.
Według treści art. 29 rozporządzenia 2016/679, podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarza je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego. Z kolei, w myśl art. 32 ust. 4 rozporządzenia 2016/679, administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.
30.
Wobec powyżej przytoczonych przepisów art. 29 oraz art. 32 ust. 4 rozporządzenia 2016/679 należy uznać, że administrator dla wykazania, iż przetwarzanie danych odbywa się wyłącznie na jego polecenie, obowiązany jest uczynić to w sposób pozwalający na potwierdzenie powyższego w przedłożonych przez niego organowi nadzorczemu dowodach, np. w dokumentach w formie papierowej lub elektronicznej. Jedną z form wykazania, że przetwarzanie odbywa się wyłącznie na polecenie administratora, jest udzielenie stosownych upoważnień osobom mającym dostęp do danych osobowych. Należy przy tym zwrócić uwagę, że wykazanie powyższego bez ich udzielenia w formie pisemnej albo elektronicznej lub bez zastosowania innego zapewniającego rozliczalność środka potwierdzającego, że przetwarzanie danych odbywa się na wyłączne polecenie administratora, a więc Spółki, nie jest możliwe.
31.
Jak wynika z zebranego w toku kontroli materiału dowodowego, zaliczenie testu sprawdzającego dotyczącego wiedzy o ochronie danych w Spółce oraz poświadczenie w systemie informatycznym przez pracownika faktu zapoznania się z zasadami ochrony danych generuje automatyczne przesłanie na dysk twardy komputera konkretnego pracownika treści upoważnienia do przetwarzania danych. Treść klauzuli ww. upoważnienia zawiera ograniczenie zakresu przetwarzanych przez pracownika danych poprzez odwołanie się do zakresu jego obowiązków.
32.
Treść ww. upoważnienia nie była jednak do dnia kontroli w żaden sposób, czy to elektronicznie czy to w formie pisemnej, podpisana przez członków zarządu albo inne upoważnione przez Spółkę osoby, nie było także możliwości wygenerowania z systemu Spółki dokumentu, z którego treści wynikałoby, kto podpisał (autoryzował) oświadczenie o nadaniu pracownikowi upoważnienia. Ponadto, treść ww. oświadczenia nie zawiera żadnych danych pracownika, któremu upoważnienie miało zostać nadane. Na dzień kontroli zarząd Spółki nie upoważnił żadnego pracownika do udzielania upoważnień do przetwarzania danych, pomimo zawarcia w (…) Polityki ochrony danych stosownego postanowienia zobowiązującego Spółkę do wyznaczenia takiej osoby (…).
33.
Powyższe stanowi także przejaw częściowego niewdrożenia postanowień Polityki ochrony danych, do wdrożenia której Spółka, z uwagi na dużą skalę przetwarzania przez nią danych osobowych, w tym stosowanie rozbudowanych systemów informatycznych, jest zobowiązana w świetle treści art. 24 ust. 2 rozporządzenia 2016/679. W konsekwencji powyższego Spółka naruszyła ww. postanowienie własnej Polityki ochrony danych oraz przepis art. 24 ust. 2 rozporządzenia 2016/679.
34.
Wobec powyższych ustaleń poczynionych w toku kontroli należy stwierdzić, że w Spółce nie są prawidłowo udzielane upoważnienia do przetwarzania danych w rozumieniu ww. przepisów prawa. Przez upoważnienie należy bowiem rozumieć oświadczenie woli, którego treść można przypisać konkretnej osobie fizycznej, która je złożyła, a więc która złożyła pod nim podpis, odręczny (w formie pisemnej) albo elektroniczny lub opatrzyła je innymi cechami pozwalającymi powiązać to oświadczenie z tą upoważniającą, konkretną osobą.
35.
W ww. przepisie obowiązującej w Spółce Polityki ochrony danych Spółka przyjęła upoważnienie jako formę skierowania wobec swoich pracowników poleceń dotyczących przetwarzania danych. Przy czym niezależnie od formy jaką przyjmuje polecenie kierowane przez administratora danych, np. do swoich pracowników w zakresie przetwarzania danych, wydanie takiego polecenia w ocenie Prezesa UODO zawsze wymaga podjęcia przez tego administratora takich działań, z których klarownie i bezspornie wynika jego wola w zakresie nałożenia na swoich pracowników (współpracowników) obowiązków (zadań) polegających na przetwarzaniu w określonym zakresie i sposób danych osobowych. Ww. wola, w ocenie Prezesa UODO, powinna być wyrażona w sposób wyraźny, tj. jasno wskazujący, któremu konkretnie określonemu pracownikowi, w jakim zakresie i która osoba działająca w imieniu administratora świadomie wydaje polecenie przetwarzania danych.
36.
Innymi słowy, pliki elektroniczne przesyłane do komputerów pracowników Spółki, zawierające szablon oświadczenia mającego być w zamyśle Spółki poleceniem przetwarzania danych, nie są takim poleceniem w rozumieniu ww. przepisów rozporządzenia 2016/679. Wyżej opisany sposób działania de facto sprowadza się do tego, że w pewnym stopniu osoba, której ma być udzielone upoważnienie, chociaż pod pewnymi warunkami (obowiązek zaliczenia szkolenia z zasad ochrony danych w Spółce), ale jednak udziela upoważnienia sama sobie, co w świetle treści wyżej powołanych przepisów prawa, jest niemożliwe.
37.
Tak więc w Spółce przyjęto błędne założenie, że funkcję upoważnień do przetwarzania danych będą pełnić treści zawarte w plikach elektronicznych, przesyłanych w zautomatyzowany sposób do komputerów poszczególnych pracowników, nieopatrzonych podpisem w formie pisemnej czy elektronicznej, ani innymi cechami, które wyraźnie i bez wątpliwości łączyłyby każdorazowo treść upoważnień ze świadomym działaniem uprawnionej do ich udzielenia osoby. Można by bowiem rozpatrywać hipotetyczną możliwość udzielenia przedmiotowych upoważnień bez opatrzenia ich podpisem, ale wówczas nie mógłby podlegać żadnym wątpliwościom fakt wygenerowania, a następnie skierowania treści upoważnienia do konkretnego pracownika Spółki przez konkretną, umocowaną w tym celu osobę reprezentującą Spółkę, tj. członka jej zarządu albo inną osobę, o której mowa w (…) Polityki ochrony danych Spółki (…), a która, wbrew postanowieniu tego dokumentu, nie została przez Spółkę na dzień kontroli wyznaczona.
38.
Dopuszczalnym byłoby rozwiązanie, w którym upoważnienia są generowane i doręczane w specjalnym, wewnętrznym systemie informatycznym Spółki, w którym określone oświadczenia woli byłyby przypisane konkretnej osobie fizycznej mającej unikalne uprawnienia w takim systemie, pozwalające wykluczyć możliwość, że określone oświadczenie zostało złożone przez osobę inną i nieuprawnioną, pomimo że nie zostało ono opatrzone podpisem elektronicznym w rozumieniu odrębnych przepisów prawa. Poza tym, w takim przypadku powinna być zapewniona możliwość weryfikacji daty złożenia oświadczenia, w tym także poprzez sprawdzenie unikalnych danych logowania uprawnionej osoby w ww. systemie służącym do obiegu dokumentacji. Tak więc, system informatyczny, w którym ww. oświadczenie zostałoby wygenerowane, musiałby cechować się pełną rozliczalnością, czego nie można powiedzieć o systemie Spółki, w zakresie udzielania upoważnień. W tej sytuacji należy podkreślić, że system teleinformatyczny Spółki nie wykazywał cech, o których wyżej mowa, przez co wskazane wyżej, potencjalnie możliwe do zastosowania rozwiązanie, nie zostało przez Spółkę wdrożone, zaś sam system w ww. zakresie nie był rozliczalny, tj. nie można było przy jego pomocy w sposób niebudzący wątpliwości ustalić, które osoby są adresatami oświadczeń, które w zamyśle Spółki miały pełnić rolę upoważnień do przetwarzania danych, oraz która osoba składa ww. oświadczenia i czy jest w związku z powyższym do tego uprawniona.
39.
W przypadku Spółki, na dzień kontroli ww. możliwości nie było, bowiem system przesyłał oświadczenie o upoważnieniu i to w dodatku na skutek działania osoby, której ma być ono udzielone, bez związku z „zachowaniem się” innej uprawnionej osoby, a więc, przykładowo, złożeniem przez nią podpisu, logowaniem w systemie zarządzania dokumentacją itd. Biorąc ponadto pod uwagę okoliczność, iż treść plików informatycznych, o których wyżej mowa, nie zawiera w ogóle imion, nazwisk czy innych danych pracowników, którzy mają być upoważnieni do przetwarzania danych, a także brak w niej danych osoby, która byłaby umocowana do udzielenia upoważnień, z formalnego punktu widzenia Spółka oznacza, że nie zostały one udzielone w prawidłowy pod względem prawnym, a przy tym rozliczalny sposób. Z powyższego względu nie może być ona także uznana za upoważnienie.
40.
Jak wskazuje się w komentarzu do rozporządzenia 2016/679 pod redakcją naukową Edyty Bielak-Jomaa oraz Dominika Lubasza („RODO Ogólne rozporządzenie o ochronie danych”, wyd. Wolters Kluwer Polska S.A., 2018, s. 658), „Wobec braku wskazania przez prawodawcę wymogów formalnych w zakresie udzielania polecenia osobie upoważnionej, teoretycznie możliwe jest zastosowanie każdej formy. Przy uwzględnieniu jednak ogólnego podejścia prawodawcy europejskiego do kwestii dokumentowania oświadczeń lub czynności sugerowaną formą dokumentowania poleceń powinna być forma pisemna, w tym elektroniczna. W przypadku polecenia udzielanego przez administratora zawsze należy mieć na uwadze wiążącą go zasadę rozliczalności, w świetle której odpowiada on za poszanowanie pozostałych zasad przetwarzania i musi być w stanie wykazać ich przestrzeganie. Tym samym zalecić należy stosowanie udokumentowanej formy tak, by administrator miał możliwość zapewnienia rozliczalności na tym poziomie. Niezależnie od powyższych argumentów, za stosowaniem wyłącznie odpowiednio dokumentowanych poleceń przemawia także samo związanie osoby upoważnionej poleceniem. Dla pociągnięcia osoby upoważnionej do odpowiedzialności z tytułu przekroczenia zakresu polecenia niezbędne jest wykazanie przez administratora, że polecenie zostało wydane, a także udowodnienie, jaki miało zakres.” Skoro zatem, jak wskazuje się w wyżej cytowanym komentarzu, nie może być wątpliwości co do zakresu polecenia (upoważnienia), to tym bardziej nie może być wątpliwości co do tożsamości osoby, która kieruje polecenie oraz co do tożsamości osoby, wobec której skierowano to polecenie (upoważnienie).
41.
Należy podnieść, że przedstawiona w piśmie Spółki do Prezesa UODO z 11 października 2023 r. procedura zarządzania dostępem do systemów IT (…) nie zawiera postanowień o upoważnieniu do przetwarzania danych, tylko regulacje dotyczące nadawania uprawnień do modyfikacji danych w systemach informatycznych Spółki, co nie jest równoznaczne z zapewnieniem przetwarzania danych wyłącznie na polecenie administratora w rozumieniu art. 32 ust. 4 rozporządzenia 2016/679, a odnosi się bardziej do sposobu zarządzania dostępem do danych (nie tylko osobowych) znajdujących się w systemach informatycznych i nie obejmuje już np. kwestii dostępu do danych znajdujących się na etykietach adresowych przesyłek przez pracowników sortowni, oddziałów Spółki, itp. Powyższa okoliczność nie wnosi zatem zasadniczo nic do sprawy.
42.
Zgodnie z wyjaśnieniami Spółki zawartymi w piśmie z 28 sierpnia 2025 r. oraz dołączonymi do niej dowodami (trzy przykładowe upoważnienia udzielone pracownikom), Spółka zaczęła udzielać swoim pracownikom upoważnień, według jej wyjaśnień i przedstawionych dowodów, dopiero od (…) r. W tej sytuacji należy stwierdzić naruszenie przez Spółkę przepisu art. 29 oraz art. 32 ust. 4 rozporządzenia 2016/679 w okresie od 25 maja 2018 r. (dzień rozpoczęcia stosowania przepisów rozporządzenia 2016/679) do (…) r. Powyższe wynika z wyjaśnień Spółki i przedstawionych przez nią dowodów (kopii upoważnień z (…) r., (…) r. oraz (…) r. udzielonych Pani K. T.), zgodnie z którymi ww. upoważnienia zaczęły być prawidłowo udzielane od (…) r. z tego względu, że dopiero od tego dnia Spółka, zgodnie z (…) Polityki ochrony danych, upoważniła po raz pierwszy właściwą osobę, Panią K. T., do udzielania upoważnień pracownikom Spółki do przetwarzania danych osobowych (pismo Spółki do Prezesa UODO z 28 sierpnia 2025 r.).
43.
Naruszenie przez Spółkę art. 29 oraz art. 32 ust. 4 rozporządzenia 2016/679 wiązało się również z naruszeniem przez nią art. 5 ust. 1 lit. f) rozporządzenia 2016/679, albowiem nieudzielenie przez Spółkę swoim pracownikom i współpracownikom upoważnień do przetwarzania danych oraz niezastosowanie innego środka zapewniającego, aby przetwarzanie danych przez te osoby odbywało się wyłącznie na polecenie administratora, stanowiło także naruszenie zasady poufności, o której mowa art. 5 ust. 1 lit. f) rozporządzenia 2016/679. W myśl ww. przepisu, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie ich bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
44.
Wdrożenie środka zapewniającego przetwarzanie danych wyłącznie na polecenie administratora stanowi istotny element zapewnienia przez administratora bezpieczeństwa przetwarzania ze względu na poufność danych w rozumieniu art. 5 ust. 1 lit. f) rozporządzenia 2016/679. W ten sposób administrator zapewnia sobie należytą kontrolę nad wewnętrznymi regułami przetwarzania danych osobowych przez jego pracowników, tj. nad tym, kto, w jakim czasie i w jakim zakresie może przetwarzać dane w związku z jego poleceniem. Administrator, zapewniając sobie kontrolę nad procesami przetwarzania danych, może zawczasu reagować na wszelkiego rodzaju potencjalne nieprawidłowości w tym zakresie, w tym także w przypadku przetwarzania wykraczającego poza zakres jego polecenia, tj. np. w przypadku, gdy pracownik zacząłby w nieautoryzowany i niekontrolowany sposób wykorzystywać dane w innych celach, niż objęte poleceniem administratora, ujawniać dane innym podmiotom itd. (utrata poufności).
45.
Podsumowując, zaniechanie Spółki w zakresie wdrożenia środka zapewniającego przetwarzanie danych wyłącznie na jej polecenie jako administratora naruszyło zasadę poufności w ten sposób, że przetwarzane przez Spółkę dane były z tego powodu narażone na niedozwolone lub niezgodne z prawem przetwarzanie oraz przypadkową utratę, zniszczenie lub uszkodzenie, bowiem Spółka nie wdrożyła żadnego środka pozwalającego jej właściwie kontrolować przebieg operacji przetwarzania danych przez jej pracowników i współpracowników. Brak tych środków powodował niejasność co do zakresu i sposobu przetwarzania danych przez ww. osoby, przez co dane te potencjalnie mogły być przetwarzane niezgodnie z poleceniem Spółki jako administratora, a przez to mogło dojść do potencjalnego naruszenia ich poufności.
46.
Ponadto, wobec powyższego, Spółka dopuściła się naruszenia art. 5 ust. 2 rozporządzenia 2016/679 i uregulowanej nim zasady rozliczalności, bowiem nie wykazała przed Prezesem UODO w toku postępowania, że przestrzega art. 29 oraz art. 32 ust. 4 rozporządzenia 2016/679, a tym samym, że przestrzega przepisu art. 5 ust. 1 lit. f) rozporządzenia 2016/679 oraz uregulowanej nim zasady poufności i integralności.

VI. Naruszenie 32 ust. 1 oraz art. 24 ust. 1 i ust. 2 rozporządzenia 2016/679 poprzez niewdrożenie środków organizacyjnych służących zapewnieniu, by każda osoba fizyczna działająca z upoważnienia Spółki jako administratora, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora oraz niewłaściwe wdrożenie polityki ochrony danych

47.
Zgodnie z treścią art. 32 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: a) pseudonimizację i szyfrowanie danych osobowych; b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
48.
Z kolei w myśl art. 24 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane (ust. 1) Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych (ust. 2).
49.
W nawiązaniu do powyżej powołanych przepisów rozporządzenia 2016/679 stwierdzić należy, że w świetle zebranego w toku kontroli Prezesa UODO materiału dowodowego, wyjaśnienia Spółki w przedmiocie zapewnienia przez nią, by każda osoba fizyczna działająca z jej upoważnienia jako administratora, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, są nieprzekonywające i nie spełniają wymogów tych przepisów.
50.
Innymi słowy, Spółka naruszyła art. 32 ust. 1 oraz art. 24 ust. 1 i ust. 2 rozporządzenia 2016/679 w ten sposób, że nie wdrożyła do stosowania środków organizacyjnych służących zapewnieniu, by każda osoba fizyczna działająca z upoważnienia Spółki jako administratora, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora. Powyższe z kolei stanowiło w konsekwencji niewdrożenie odpowiednich środków organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób, których dane dotyczą, w związku z ich przetwarzaniem przez Spółkę.
51.
Należy przy tym zaznaczyć, że przez „wdrożenie” określonego środka organizacyjnego lub technicznego służącego bezpieczeństwu przetwarzania, o którym jest mowa w treści art. 32 ust. 1 rozporządzenia 2016/679, należy rozumieć takie działanie, dzięki któremu środek ten jest realnie stosowany. Zgodnie z definicją Słownika Języka Polskiego PWN, pojęcia „wdrożyć” oznacza: 1. «ćwiczeniem wyrobić w kimś jakąś umiejętność lub jakiś nawyk», 2. «podjąć jakieś działania», 3. «zacząć stosować coś w praktyce».
52.
Ponadto, w przedmiotowej sprawie doszło do naruszenia przez Spółkę art. 24 ust. 2 rozporządzenia 2016/679, polegające na niewdrożeniu części postanowień polityki ochrony danych, tj. jej (…) w (…), poprzez niewyznaczenie, zgodnie z ww. postanowieniem, osoby upoważnionej do udzielania upoważnień do przetwarzania danych w imieniu Spółki. Należy bowiem wskazać, że każdy administrator danych, dla zachowania bezpieczeństwa ich przetwarzania, obowiązany jest przestrzegać nie tylko przepisów rozporządzenia 2016/679, ale także własne wewnętrzne przepisy, wdrożone przez niego dla celów ochrony danych, chyba że byłyby one sprzeczne z przepisami rozporządzenia 2016/679. Wobec powyższego, Spółka nie realizując postanowienia (…) w (…) Polityki ochrony danych przedłożonej przez nią w toku kontroli jako środek organizacyjny służący zapewnieniu bezpieczeństwa danych osobowych, tj. nie wyznaczając osoby upoważnionej do udzielania upoważnień do przetwarzania danych w imieniu Spółki, naruszyła w ten sposób także art. 24 ust. 1 i art. 32 ust. 1 rozporządzenia 2016/679, tzn. nie wdrożyła środka organizacyjnego, którym jest takie upoważnienie, a tym samym również nie wdrożyła w bardzo istotnej części (kwestii) środka organizacyjnego, jakim jest polityka ochrony danych wskazana w art. 24 ust. 2 rozporządzenia 2016/679. W treści motywu 78 preambuły rozporządzenia 2016/679 europejski prawodawca wskazuje, między innymi, że „Ochrona praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych wymaga wdrożenia odpowiednich środków technicznych i organizacyjnych, by zapewnić spełnienie wymogów niniejszego rozporządzenia. Aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych.”
53.
Należy zwrócić uwagę na fakt, że biorąc pod uwagę chociażby wielką skalę przetwarzania danych przez Spółkę, wdrożenie przez nią polityki ochrony danych – także w zakresie postanowień dotyczących wyznaczenia osoby uprawnionej do nadawania upoważnień do przetwarzania danych – było proporcjonalne – w rozumieniu art. 24 ust. 2 rozporządzenia 2016/679 – w stosunku do realizowanych przez nią czynności przetwarzania.
54.
W tej sytuacji należy stwierdzić naruszenie przez Spółkę przepisów art. 24 ust. 1 i ust. 2 oraz art. 32 ust. 1 rozporządzenia 2016/679 w okresie od 25 maja 2018 r. (dzień rozpoczęcia stosowania przepisów rozporządzenia 2016/679) do (…) r., z uwagi na niewyznaczenie w ww. okresie, wbrew postanowieniu (…) w (…) obowiązującej w Spółce Polityki ochrony danych, osoby upoważnionej do udzielania upoważnień do przetwarzania danych w imieniu Spółki, a także niewdrożenie innego środka zapewniającego, by każda osoba fizyczna działająca z upoważnienia Spółki jako administratora, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na jej polecenie jako administratora. Ww. osoba została stosownie upoważniona przez Spółkę dopiero z dniem (…) r.
55.
Należy zauważyć, że naruszenie przez Spółkę art. 24 ust. 1 i ust. 2 oraz art. 32 ust. 1 rozporządzenia 2016/679 wiązało się również z naruszeniem przez nią art. 5 ust. 1 lit. f) rozporządzenia 2016/679, bowiem niewłaściwe wdrożenie środka organizacyjnego w postaci polityki ochrony danych, stanowiło zarazem naruszenie uregulowanej w ww. przepisie zasady poufności, zgodnie z którą dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
56.
Ponadto, wobec powyższego, Spółka dopuściła się naruszenia art. 5 ust. 2 rozporządzenia 2016/679 i uregulowanej nim zasady rozliczalności, bowiem nie wykazała przed Prezesem UODO w toku postępowania, że przestrzega przepis art. 24 ust. 1 i ust. 2 oraz art. 32 ust. 1 rozporządzenia 2016/679 oraz związaną z nim zasadę poufności.

VII. Administracyjne kary pieniężne

57.
Postępowanie administracyjne prowadzone przez Prezesa UODO służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej w celu zastosowania uprawnień naprawczych określonych w art. 58 ust. 2 rozporządzenia 2016/679.
58.
Zgodnie z art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast środków naprawczych, o których mowa w art. 58 ust. 2 lit. a) – h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy.
59.
Wedle art. 83 ust. 4 lit. a) rozporządzenia 2016/679 naruszenia przepisów kształtujących obowiązki administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 – 39 oraz 42 i 43, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
60.
Zgodnie z art. 83 ust. 5 lit. a) i b) rozporządzenia 2016/679, naruszenia przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, i praw osób, których dane dotyczą, o których mowa w art. 12-22, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
61.
Oceniając, czy, a jeśli tak, to w jakim wymiarze powinna być nałożona administracyjna kara pieniężna, organ nadzorczy ma obowiązek uwzględnić następujące okoliczności (przesłanki wymiaru kary) określone w art. 83 ust. 2 rozporządzenia 2016/679:
a)
charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody,
b)
umyślny lub nieumyślny charakter naruszenia,
c)
działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
d)
stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32,
e)
wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego,
f)
stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,
g)
kategorie danych osobowych, których dotyczyło naruszenie,
h)
sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie,
i)
jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków,
j)
stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42,
k)
wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.
62.
Ponadto organ nadzorczy – zgodnie z art. 83 ust. 1 rozporządzenia 2016/679 – zapewnia by stosowane administracyjne kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające (zasady wymiaru kary).
63.
Art. 83 ust. 3 rozporządzenia 2016/679 stanowi natomiast, że jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów rozporządzenia 2016/679, całkowita wysokość administracyjnej kary pieniężnej nie przekroczy wysokości kary za najpoważniejsze naruszenie.

A. Zachowania Administratora podlegające administracyjnym karom pieniężnym – ocena zastosowania art. 83 ust. 3 rozporządzenia 2016/679

64.
W związku ze stwierdzeniem w niniejszej sprawie wielu naruszeń przepisów rozporządzenia 2016/679 (art. 5 ust. 1 lit. a) i f), art. 5 ust. 2, art. 24 ust. 1 i 2, art. 28 ust. 3, art. 29, art. 32 ust. 1 i 4) Prezes UODO uprawniony jest do zastosowania jednego lub kilku środków naprawczych określonych w art. 58 ust. 2 rozporządzenia 2016/679. Wśród tych uprawnień organu nadzorczego znajduje się uprawnienie do zastosowania, oprócz lub zamiast innych środków, o których mowa w tym przepisie, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy. Okoliczności niniejszej sprawy, w szczególności powaga stwierdzonych naruszeń, o czym będzie mowa w dalszych częściach uzasadnienia, wskazują, że stosownym i koniecznym będzie skorzystanie z tego uprawnienia.
65.
Ustalając konkretne sankcje za stwierdzone w niniejszej sprawie naruszenia Prezes UODO skorzystał ze wskazówek zawartych w Wytycznych EROD 04/2022 dotyczących obliczania administracyjnych kar pieniężnych na podstawie RODO (wersja 2.1) przyjętych 24 maja 2023 r., zwanych dalej Wytycznymi 04/2022. Pierwszym krokiem przyjętej tam metodyki obliczania administracyjnych kar pieniężnych jest „określenie operacji przetwarzania w danej sprawie i ocena zastosowania art. 83 ust. 3 RODO” (zob. pkt 17 Wytycznych 04/2022). Rozwijając tę wskazówkę w pkt 24 Wytycznych 4/2022 EROD zaleca w pierwszej kolejności ustalić:
a)
czy okoliczności wskazują na jedno zachowanie, czy też na wiele zachowań podlegających karze;
b)
w przypadku jednego zachowania, czy zachowanie to stanowi jedno naruszenie czy większą liczbę naruszeń;
c)
w przypadku jednego zachowania, które stanowi wiele naruszeń, czy przypisanie jednego naruszenia wyklucza przypisanie innego naruszenia, czy też należy je przypisać równolegle.
66.
Wykładnię pojęcia „jedno zachowanie” zawiera – w nawiązaniu do art. 83 ust. 3 rozporządzenia 2016/679, w którym mowa jest o „tych samych lub powiązanych operacjach przetwarzania” – pkt 28 Wytycznych 04/2022. Zgodnie z nim „[t]ermin «powiązane» odnosi się do zasady, zgodnie z którą jedno zachowanie może składać się z kilku części, które są realizowane na skutek jednego aktu woli i są kontekstowo (w szczególności jeśli chodzi o tożsamość osoby, której dane dotyczą, cel i charakter przetwarzania), przestrzennie i czasowo tak blisko powiązane, że z obiektywnego punktu widzenia można uznać je za jedno spójne zachowanie”.
67.
Stosując wyżej przedstawione wskazówki zawarte w Wytycznych 04/2022 do okoliczności niniejszej sprawy Prezes UODO dokonał analizy zachowań Administratora (zaniechań) prowadzących do przedstawionych powyżej (zob. pkt 11-56 uzasadnienia Decyzji) naruszeń przepisów rozporządzenia 2016/679. Analiza ta pozwoliła zidentyfikować dwa odrębne niezależne od siebie zachowania Administratora naruszające różne przepisy tego aktu prawnego.
68.
Jedno zachowanie Administratora, a właściwie zaniechanie, naruszające art. 5 ust. 1 lit. a) i art. 5 ust. 2 oraz art. 28 ust. 3 rozporządzenia 2016/679 polegało na tym, że w umowach o świadczenie usług transportowych (…) (bądź w odrębnych umowach) zawartych przez Spółkę z podmiotami wykonującymi te usługi nie zawarto postanowień dotyczących powierzenia przetwarzania danych osobowych, mimo że powierzenie takie miało faktycznie miejsce, z uwagi na sposób i zakres świadczenia usług przez przewoźników (…) (zob. pkt 13-28 uzasadnienia Decyzji). Charakter tego naruszenia dotyczy relacji między administratorem a podmiotem zewnętrznym i dotyczy naruszenia obowiązków formalnych i organizacyjnych administratora wobec procesora (administrator-procesor). Źródłem naruszenia było błędne przyjęcie przez Spółkę, że nie doszło do przetwarzania danych osobowych w imieniu administratora. To zachowanie należy odróżnić od opisanego niżej naruszenia o charakterze wewnętrznym, związanego z błędami w zarządzaniu dostępami wewnętrznymi i dotyczącego relacji wewnątrz organizacji (administrator-personel).
69.
Drugim zachowaniem Administratora prowadzącym do naruszenia przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24, art. 29 oraz art. 32 ust. 1 i 4 rozporządzenia 2016/679 są jego zaniechania związane z procesem nadania upoważnień do przetwarzania danych osobowych w organizacji Administratora. Po pierwsze na to zachowanie składa się niezapewnienie by upoważnienia do przetwarzania danych były udzielane w prawidłowy pod względem prawnym, a przy tym w rozliczalny sposób (zob. pkt 29-46 uzasadnienia Decyzji). Po drugie Administrator nie wdrożył własnych regulacji nie wyznaczając osoby upoważnionej do udzielania upoważnień do przetwarzania danych w imieniu Spółki (zob. pkt 47-56 uzasadnienia Decyzji). Źródłem omawianego naruszenia był jeden akt woli – decyzja Administratora o procedurze nadawania upoważnień do przetwarzania danych w jego organizacji. Decyzja Administratora o przyjętych mechanizmach związanych z nadawaniem upoważnień była świadoma i motywowana potrzebą automatyzacji i usprawnienia procesu udzielania upoważnień przez Spółkę. Konsekwencją i kontynuacją tego zaniechania było niewdrożenie odpowiednich środków organizacyjnych mających zapewnić maksymalny poziom bezpieczeństwa przetwarzania danych osobowych, takich jak wyznaczenie osoby odpowiedzianej za nadawanie upoważnień w imieniu Spółki. Na to, że zachowania te stanowiące przedmiot rozpatrywanego naruszenia przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24, art. 29 oraz art. 32 ust. 1 i 4 rozporządzenia 2016/679 są tymi samymi operacjami przetwarzania w rozumieniu art. 83 ust. 3 rozporządzenia 2016/679 (i stanowią w konsekwencji „jedno zachowanie”), wskazuje – poza objęciem ich jednym aktem woli Administratora – również wspólny kontekst. Łączy te operacje w ocenie Prezesa UODO cel, charakter i sposób przetwarzania – naruszenie bezpośrednio nie dotyczy konkretnego procesu przetwarzania danych osobowych. Naruszenie jednak we wszystkich swoich aspektach dotyczy procedury nadawania upoważnień do przetwarzania danych osobowych, które są jednym ze środków mających zapewnić kontrolę nad procesami przetwarzania danych. Brak tych środków lub nieprawidłowe ich wdrożenie może powodować niejasność co do zakresu i sposobu przetwarzania danych, przez co dane te potencjalnie mogłyby być przetwarzane niezgodnie z poleceniem Spółki jako Administratora, a przez to być narażone na potencjalne naruszenia ich poufności.
70.
Zachowanie opisane powyżej (zob. pkt 69 uzasadnienia Decyzji) stanowi naruszenie kilku przepisów, przy czym naruszenie art. 24 rozporządzenia 2016/679 nie podlega ukaraniu administracyjną karą pieniężną (art. 24 nie jest wymieniony w przepisach art. 83 ust. 4 i 5 rozporządzenia 2016/679 stanowiących podstawę wymierzania kar za naruszenia tego aktu prawnego), w związku z czym Prezes UODO nie brał tego naruszenia pod uwagę przy ustalaniu wysokości administracyjnej kary pieniężnej za naruszenie zawiązane ze stosowaniem środków bezpieczeństwa przetwarzanych danych. Konsekwencją naruszenia jednym zachowaniem kilku przepisów rozporządzenia 2016/679 jest zastosowanie do takiego zbiegu naruszeń przepisu art. 83 ust. 3 rozporządzenia 2016/679. Zgodnie z nim całkowita kara za te naruszenia nie może przekroczyć wysokości kary za najpoważniejsze z nich (za naruszenie zagrożone najwyższą karą). Ponieważ najpoważniejszymi naruszeniami spośród wyżej wskazanych są naruszenia podstawowych zasad przetwarzania określone w art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679 i zagrożone – zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679 – karą w wysokości do 20 000 000 euro lub do 4 % obrotu przedsiębiorstwa, kara wymierzona za naruszenie wszystkich wskazanych wyżej przepisów (art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 29 oraz art. 32 ust. 1 i 4) nie może przekroczyć tych limitów. W niniejszej sprawie w odniesieniu do Spółki maksymalne zagrożenie karą to kwota (…) euro, stanowiąca 4 % jego obrotu w roku 2024. Tak więc kwota orzeczonej niniejszą decyzją kary za omawiane naruszenie – 5 209 559,40 zł (równowartość kwoty 1 240 105,55 euro) zdecydowanie nie przekracza tego limitu.
71.
Podsumowując powyższe stwierdzić należy, że – dokonując analizy materiału dowodowego zabranego w sprawie – Prezes UODO zauważył i poddał ocenie dwa różne zachowania Spółki prowadzące do naruszenia różnych przepisów rozporządzenia 2026/679 (zob. pkt 67-70 powyżej). W związku z tym, że są to odrębne od siebie zachowania Administratora, to znaczy nie dotyczą „tych samych lub powiązanych operacji przetwarzania”, przepis art. 83 ust. 3 rozporządzenia 2016/679 nie będzie miał zastosowania do ich zbiegu w jednej decyzji administracyjnej. Oznacza to, że suma orzeczonych za naruszenia przypisane tym zachowaniom administracyjnych kar pieniężnych („całkowita wysokość administracyjnej kary pieniężnej”) może przekroczyć wysokość kary „za najpoważniejsze naruszenie”; nieistotne jest w związku z tym, które naruszenie jest „najistotniejsze” i jakie zagrożenie karą jest z nim związane. Zachodzi tu sytuacja, do której ma zastosowanie tzw. „zasada wielości działań” (zob. pkt 44 i 45 Wytycznych 04/2022): „[…] powodem, dla którego naruszenia te mogą być rozpatrywane w ramach jednej decyzji, jest to, że przypadkowo zwróciły one uwagę organu nadzorczego w tym samym czasie, przy czym nie stanowiły one tych samych ani powiązanych operacji przetwarzania w rozumieniu art. 83 ust. 3 RODO”. Konsekwencją tego jest zaś to, że „[w] decyzji nakładającej karę organ nałoży indywidualne kary pieniężne za każde z nich, przy czym do ich sumy nie będzie miała zastosowania jedna prawnie określona maksymalna wysokość kary” (zob. Przykład 3 do pkt 45 Wytycznych 04/2022). Niezależnie jednak od wynikającej z powyższego stwierdzenia możliwości orzeczenia w niniejszej sprawie wobec Administratora kar o łącznej wysokości przekraczającej maksymalną kwotę kary dla najpoważniejszego naruszenia (najpoważniejszym naruszeniem Administratora stwierdzonym niniejszą decyzją jest naruszenie podstawowych zasad przetwarzania określonych w art. 5 ust. 1 lit. a) i lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679 zagrożone – zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679 – karą w wysokości do 20 000 000 euro lub do 4 % obrotu przedsiębiorstwa), Prezes UODO wskazuje, że łączna kwota kar orzeczona wobec niego w tych indywidualnych okolicznościach sprawy stanowiąca równowartość 2 728 232,21 euro, daleka jest od limitu określonego dla Spółki na kwotę (…) euro.

B. Administracyjna kara pieniężna nałożona na Administratora za naruszenie art. 5 ust. 1 lit. a) i art. 5 ust. 2 oraz art. 28 ust. 3 rozporządzenia 2016/679

Przesłanki wymiaru kary – zastosowanie art. 83 ust. 2 rozporządzenia 2016/679

72.
Decydując o nałożeniu administracyjnej kary pieniężnej na Administratora za naruszenie przepisu art. art. 5 ust. 1 lit. a) i art. 5 ust. 2 oraz art. 28 ust. 3 rozporządzenia 2016/679, Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.
73.
Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
Przy wymierzaniu kary istotne znaczenie miała okoliczność, że w przedmiotowej sprawie doszło do naruszenia przepisów rozporządzenia 2016/679 nakładających na Administratora jedne z podstawowych i kluczowych dla bezpieczeństwa powierzanych innemu podmiotowi do przetwarzania danych obowiązków, tj. zawarcie umowy powierzenia w odpowiedniej formie i stosownej treści. Umowa powierzenia regulująca m.in obowiązki zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, tak by przetwarzanie odpowiadało wymogom rozporządzenia 2016/679, podnosi poziom bezpieczeństwa tych danych.
Prezes UODO wziął pod uwagę fakt, że naruszenie nie wpływało bezpośrednio na osoby, których dane były przetwarzane. Niemniej jednak dla całościowej oceny powagi naruszenia Prezes UODO uwzględnił również rodzaj powierzonych danych (tzw. dane zwykłe, szeroki zakres zestawów danych jednoznacznie identyfikujących adresata i nadawcę – zob. pkt 3 ppkt 3 uzasadnienia Decyzji). Organ nadzorczy miał na uwadze także sposób przetwarzania danych przez Administratora (użycie systemów teleinformatycznych) oraz jego dużą skalę (zob. pkt 3 ppkt 1 uzasadnienia Decyzji). Od Administratora odpowiedzialnego za przetwarzanie danych w tak szerokim zakresie należy oczekiwać gwarancji wysokiego poziomu zapewnienia bezpieczeństwa danych, w tym prawidłowego uregulowania relacji i nadzoru nad podmiotem przetwarzającym dane w jego imieniu.
Dodatkowo, jak wynika z zebranego materiału dowodowego w toku przeprowadzonej w Spółce kontroli, przetwarzanie danych z naruszeniem przepisów rozporządzenia 2016/679 odbywało się w sposób ciągły i zaplanowany, zasadniczo od dnia wejścia w życie przepisów rozporządzenia 2016/679, tj. od 25 maja 2018 r. Spółka zawarła umowy powierzenia przetwarzania z tzw. przewoźnikami (…) dopiero (…) r.
Nie stwierdzono wyrządzenia osobom, których dane dotyczą, szkód spowodowanych naruszeniem przepisów rozporządzenia 2016/679 przez Spółkę, niemniej jednak z uwagi na wyżej wskazane naruszenia, niestwierdzenie szkód nie może stanowić okoliczności wpływającej łagodząco na wysokość nałożonej na Spółkę kary pieniężnej.
Brak umowy powierzenia przetwarzania danych osobowych jest naruszeniem nie tylko art. 28 rozporządzenia 2016/679. Stanowi ono również naruszenie zasady zgodności z prawem (art. 5 ust. 1 lit. a), ponieważ dane są przetwarzane bez określonej podstawy prawnej, oraz naruszenie zasady rozliczalności (art. 5 ust. 2), ponieważ administrator nie jest w stanie udowodnić, że spełnia obowiązki w zakresie ochrony danych. Administrator musi mieć pewność, że podmiot któremu powierza dane, przetwarza je zgodnie z prawem i w określonym celu. Podstawę do legalnego przekazania danych stanowi właśnie umowa powierzenia danych (art. 5 ust. 1 lit. a rozporządzenia 2016/679). Brak umowy uniemożliwia administratorowi wykazanie, że wdrożył odpowiednie środki i procedury, aby zapewnić zgodność z przepisami o ochronie danych osobowych. Zasada rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679) wymaga od administratora udowodnienia, że przestrzega przepisów, a umowa powierzenia jest kluczowym dowodem na dopełnienie tego obowiązku wobec powierzonego podmiotu. Ustawodawca unijny zasadom określonym w art. 5 rozporządzenia 2016/679 przypisuje poważniejszy charakter niż naruszeniom przepisów materialnych. Naruszenie zasad z art. 5 rozporządzenia 2016/679 sankcjonowane jest też najwyższą kategorią kar.
74.
Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
W okolicznościach przedmiotowej sprawy brak zawarcia stosownych umów powierzenia należało uznać za działanie stanowiące o umyślnym naruszeniu art. 28 ust. 3 rozporządzenia 2016/679. Z materiału dowodowego zebranego w toku kontroli oraz z wyjaśnień Spółki zawartych w pismach z dnia 18 września 2023 r. oraz 11 października 2023 r. wynika, że Spółka świadomie nie zawarła umów powierzenia przetwarzania danych z tzw. przewoźnikami (…), (naruszenie art. 28 ust. 3 rozporządzenia 2016/679). Motywacją takiego działania było błędne i niezgodne ze stanem faktycznym przyjęcie, że przewoźnicy nie mają dostępu do danych. Twierdzenie takie nie znalazło jednak potwierdzenia z uwagi na treść umów zawartych przez Spółkę z tzw. przewoźnikami (…) (np. postanowienia zobowiązujące przewoźników do pomocy przy załadunku przesyłek do pojazdów, a więc również do dostępu do danych) (zob. pkt. 14-17 uzasadnienia Decyzji). Okoliczności sprawy wskazują zatem, że Spółka miała świadomość ww. zaniechań oraz potencjalnych skutków z nich wynikających, wpływających na przestrzeganie art. 28 ust. 3 rozporządzenia 2016/679, jednak godziła się na ich potencjalne wystąpienie. W konsekwencji należało przyjąć, że zaniechanie nosiło znamiona umyślnego działania.
75.
Wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e rozporządzenia 2016/679).
Przy podejmowaniu decyzji o nałożeniu i wysokości administracyjnej kary pieniężnej, organ nadzorczy zobowiązany jest do zwrócenia uwagi na wszelkie wcześniejsze naruszenia rozporządzenia 2016/679. EROD w Wytycznych 04/2022 wprost wskazuje: „Istnienie wcześniejszych naruszeń można uznać za czynnik obciążający przy obliczaniu wysokości kary pieniężnej. Waga przypisywana temu czynnikowi powinna być ustalana z uwzględnieniem charakteru i częstotliwości wcześniejszych naruszeń. Brak wcześniejszych naruszeń nie może jednak zostać uznany za okoliczność łagodzącą, ponieważ przestrzeganie przepisów [rozporządzenia 2016/679] stanowi normę”. I choć jak wskazują ww. wytyczne „większe znaczenie należy przypisać naruszeniom dotyczącym tego samego przedmiotu, ponieważ są one bliższe naruszeniu będącemu przedmiotem obecnego postępowania, w szczególności gdy administrator lub podmiot przetwarzający dopuścili się wcześniej tego samego naruszenia (powtarzające się naruszenia)” (zob. pkt 88 Wytycznych 04/2022), to jednak „wszystkie wcześniejsze naruszenia mogą stanowić informację o ogólnym podejściu administratora lub podmiotu przetwarzającego do przestrzegania przepisów rozporządzenia 2016/679”.
Organ nadzorczy stwierdził już we wcześniej wydawanych decyzjach administracyjnych naruszenie przez Spółkę przepisów o ochronie danych osobowych:
1)
w decyzji z dnia (…) (sygn. (…)) naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679;
2)
w decyzji z dnia (…) (sygn. (…)) naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679;
3)
w decyzji z dnia (…) (sygn. (…)) naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679;
4)
w decyzji z dnia (…) (sygn. (…)) naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679;
5)
w decyzji z dnia (…) (sygn. (…)) naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679;
6)
w decyzji z dnia (…) (sygn. (…)) naruszenie przepisu art. 12 ust. 3 w zw. z art. 15 ust. 3 rozporządzenia 2016/679;
7)
w decyzji z dnia (…) (sygn. (…)) naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679;
8)
w decyzji z dnia (…) (sygn. (…)) naruszenie przepisu art. 12 ust. 3 i 4 w zw. z art. 17 ust. 1 lit. a rozporządzenia 2016/679;
9)
w decyzji z dnia (…) (sygn. (…)) naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679;
10)
w decyzji z dnia (…) (sygn. (…)) naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679.
Wymienione powyżej wcześniejsze naruszenia Prezes UODO ocenia jako jednostkowe przypadki, które nie są wyrazem wadliwego systemu ochrony danych w organizacji czy problemów we wdrożeniu środków technicznych i organizacyjnych. Niemniej jednak zastosowane uprzednio wobec Spółki w ww. sprawach środki naprawcze w postaci upomnienia wpływają negatywnie na ocenę rozpatrywanego naruszenia i w pełni uzasadniają wymierzenie w niniejszym postępowaniu sankcji finansowej, a także jej wymiar.
Nie bez znaczenia pozostaje fakt, iż ostatnia decyzja za naruszenie przepisów rozporządzenia 2016/679 w stosunku do Spółki, w której to organ nadzorczy zastosował względem niej środek naprawczy (…) została wydana w 2024 r., a więc w nieodległym czasie poprzedzającym wydanie niniejszej decyzji. Powyższą okoliczność należy odnieść do treści Wytycznych 04/2022, zgodnie z którą „Należy uwzględnić moment, w którym miało miejsce wcześniejsze naruszenie, biorąc pod uwagę to, że im dłuższy jest czas pomiędzy tym naruszeniem a naruszeniem będącym przedmiotem obecnie trwającego postępowania, tym mniejsze jest znaczenie owego wcześniejszego naruszenia. W konsekwencji, im dawniej doszło do naruszenia, tym mniejsze znaczenie powinny mu przypisywać organy nadzorcze” (zob. pkt 84 Wytycznych 04/2022). Tak więc, powyższa okoliczność powinna mieć wpływ na ostateczną decyzję organu nadzorczego oraz wymiar nałożonej administracyjnej kary pieniężnej.
Z uwagi na powyższe, w przedmiotowej sprawie należy uznać, że istnieją podstawy do traktowania przesłanki z art. 83 ust. 2 lit. e) rozporządzenia 2016/679 jako obciążającej.
76.
Ustalając wysokość administracyjnej kary pieniężnej Prezes UODO uwzględnił na korzyść Administratora, w ramach przesłanki „stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków” (art. 83 ust. 2 lit. f rozporządzenia 2016/679), fakt, że w związku z zarzutem postawionym w zawiadomieniu o wszczęciu postępowania, dotyczącym relacji Spółki z tzw. przewoźnikami (…), Spółka rozpoczęła proces aneksowania umów z przewoźnikami, zmierzający do uregulowania powierzenia przetwarzania danych osobowych. Ostatecznie zatem Administrator doprowadził do usunięcia stanu naruszenia, co miało wpływ dla określenia wymiaru kary i zostało ocenione jako istotna okoliczność łagodząca jej wymiar.
77.
Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie przepisów rozporządzenia 2016/679, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
78.
Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).
Prezes UODO nie stwierdził, aby naruszenie przez Administratora przepisów rozporządzenia 2016/679, tj. brak sporządzenia umów powierzenia przetwarzania danych, doprowadził do poniesienia szkód przez osoby, których dane zostały powierzone do przetwarzania. Wobec tego żadne działania mające na celu zminimalizowanie szkody nie były wymagane. Zważywszy na charakter naruszenia przepisów rozporządzenia 2016/679, omawiana przesłanka nie miała wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
79.
Stopień odpowiedzialności Administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
Naruszenie przepisu art. 5 ust. 1 lit. a) i art. 5 ust. 2 oraz art. 28 ust. 3 rozporządzenia 2016/679 nie ma związku ze stosowanymi przez Administratora środkami technicznymi i organizacyjnymi, o których mowa w art. 25 i 32 rozporządzenia 2016/679, zatem przesłanka wskazana w art. 83 ust. 2 lit. d) rozporządzenia 2016/679 nie ma w rozpatrywanym przypadku wpływu ani obciążającego, ani łagodzącego na wymiar orzeczonej administracyjnej kary pieniężnej.
80.
Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Ze względu na okoliczność, że naruszenie polegające na braku sporządzenia umów powierzenia przetwarzania danych, nie wiąże się bezpośrednio z naruszeniem ochrony jakichkolwiek danych osobowych (i ich kategorii), przesłanka ta ze swej istoty nie może mieć zastosowania do oceny tego naruszenia.
81.
Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).
Organ nadzorczy dowiedział się o naruszeniu przepisów rozporządzenia 2016/679 w wyniku przeprowadzenia czynności kontrolnych u Administratora. Jak stanowią Wytyczne 04/2022 w pkt 99: „W przypadku gdy organ nadzorczy dowiedział się o naruszeniu na przykład w wyniku skargi lub w toku postępowania, co do zasady element ten należy uznać […] za okoliczność neutralną”.
82.
Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
83.
Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).
Administrator w toku postępowania nie poinformował, czy stosuje zatwierdzone kodeksy postępowania czy też zatwierdzone mechanizmy certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów i podmiotów przetwarzających w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na korzyść Administratora natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.
84.
Inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy (art. 83 ust. 2 lit. k rozporządzenia 2016/679) – Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.
Ustalenie wysokości kary z zastosowaniem Wytycznych 04/2022.
85.
Jako podstawę obliczenia administracyjnej kary pieniężnej Prezes UODO przyjął wartość przychodów przedstawioną w sprawozdaniu finansowym Spółki za rok 2024, załączonym do jej pisma z 28 sierpnia 2025 r. Zgodnie z tym dokumentem przychód Spółki w roku 2024 wyniósł (…) zł, co – w przeliczeniu na euro (wg średniego kursu euro z 28 stycznia 2026 r. wynoszącego 1 EUR: 4,2009 PLN – przyjętego dla tego oraz dla wszelkich innych poniższych przeliczeń walutowych zgodnie z art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) – stanowi kwotę (…) euro.
86.
Zgodnie z przedstawionymi w Wytycznych 04/2022 Prezes UODO dokonał kategoryzacji stwierdzonego w niniejszej sprawie naruszenia przepisów rozporządzenia 2016/679 (Rozdział 4.1 Wytycznych 04/2022). Wśród naruszonych przez Administratora przepisów rozporządzenia 2016/679 znajdują się przepisy art. 5 ust. 1 lit. a) oraz art. 5 ust. 2 rozporządzenia 2016/679 określające podstawowe zasady przetwarzania. Naruszenia tych przepisów należą – zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą wyższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 20 000 000 euro lub do 4 % całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Są one więc in abstracto poważniejsze od drugiej grupy naruszeń (wskazanych w art. 83 ust. 4 rozporządzenia 2016/679) naruszeń.
87.
Prezes UODO ustalił prawnie określoną maksymalną wysokość kary możliwą do orzeczenia wobec Administratora w niniejszej sprawie (Rozdział 6.1 Wytycznych 04/2022). Przepis art. 83 ust. 5 lit. a) Rozporządzenia 2016/679 zobowiązuje Prezesa UODO do określenia czy w sprawie zastosowanie będzie miała tzw. „statyczna kwota maksymalna” (20 000 000 euro), czy „dynamiczna kwota maksymalna” (4 % obrotu z poprzedniego roku obrotowego), i do przyjęcia kwoty wyższej jako kwoty maksymalnej, której orzeczona w sprawie administracyjna kara pieniężna nie może przekroczyć. Wartość 4 % obrotu Spółki za poprzedni rok obrotowy to kwota (…) zł (równowartość (…) euro). W związku z tym, że jest to kwota wyższa niż statyczna kwota maksymalna (20 000 000 euro), Prezes UODO zobligowany jest do jej przyjęcia jako maksimum, którego nie może przekroczyć orzekając administracyjną karę pieniężną.
88.
Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o średnim poziomie powagi (Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które dotyczą strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679) oraz umyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej. W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest średni. Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 10 % do 20 % maksymalnej wysokości kary możliwej do orzeczenia wobec Administratora (Podrozdział 4.2.4 Wytycznych 04/2022). Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę (…) zł, stanowiącej równowartość (…) euro.
89.
Stosownie do wskazówki EROD przedstawionej w pkt 66 tiret czwarte Wytycznych 04/2022 (odnoszącej się do przedsiębiorstw, których roczny obrót wynosi powyżej 500 mln euro) Prezes UODO nie uznał za zasadne skorzystanie z możliwości obniżenia przyjętej w oparciu o ocenę powagi naruszenia kwoty wyjściowej, którą to możliwość wytyczne te (w Rozdziale 4.3) przewidują dla przedsiębiorstw o mniejszej wielkości i sile gospodarczej. Jak bowiem wskazuje EROD, w przypadku wielkich podmiotów (a takim w niniejszej sprawie niewątpliwie jest Spółka, o czym świadczą osiągane przez nią obroty (zob. pkt 85 uzasadnienia Decyzji) „wielkość przedsiębiorstwa jest już odzwierciedlona w dynamicznej ustawowej maksymalnej kwocie” (zob. pkt 66 Wytycznych 04/2022).
90.
Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się – jak zakładają Wytyczne 04/2022 – do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej. Przesłanki, o których mowa w art. 83 ust. 2 lit. c), d), g), h), i), j), k) rozporządzenia 2016/679) – jak wskazano wyżej – nie miały wpływu ani łagodzącego, ani obciążającego na ocenę naruszenia i w konsekwencji na wymiar kary. Ze względu na zaistnienie w sprawie jednej okoliczności łagodzącej (stopnia współpracy w celu usunięcia naruszenia), która doprowadziła do przywrócenia stanu zgodnego z prawem oraz jednej obciążającej (wcześniejsze naruszenia), za zasadne Prezes UODO, oceniając ich łączny wpływ na ocenę naruszenia, uznał za zasadne istotne, bo aż w 40 %, zmniejszenie kwoty kary ustalonej na podstawie oceny powagi naruszenia. Adekwatnym do łącznego wpływu przesłanek na ocenę naruszenia jest zdaniem Prezesa UODO jej obniżenie do kwoty (…) zł, stanowiącej równowartość (…) euro.
91.
Prezes UODO stwierdził, że ustalona w przedstawiony wyżej sposób kwota administracyjnej kary pieniężnej nie przekracza - stosownie do art. 83 ust. 3 rozporządzenia 2016/679 – prawnie określonej maksymalnej wysokości kary przewidzianej dla najpoważniejszego naruszenia. Najpoważniejszymi (o równie wysokim poziomie powagi) w ocenianej tutaj grupie naruszeń przepisów rozporządzenia 2016/679 są naruszenia art. 5 ust. 1 lit. a) oraz art. 5 ust. 2 rozporządzenia 2016/679 (zob. pkt 86 uzasadnienia Decyzji; zob. również Rozdział 6 Wytycznych 04/2022). Pomimo tego, że ustalona zgodnie z powyższymi zasadami kwota kary nie przekracza prawnie określonego maksimum kary Prezes UODO uznał, że wymaga ona dodatkowej korekty ze względu na zasadę proporcjonalności wymienioną w art. 83 ust. 1 rozporządzenia 2016/679 jako jedną z trzech dyrektyw wymiaru kary (vide Rozdział 7 Wytycznych 04/2022). Niewątpliwie kara pieniężna w wysokości (…) euro byłaby karą skuteczną (przez swoją dolegliwość pozwoliłaby osiągnąć swój cel represyjny, którym jest ukaranie za bezprawne zachowanie) i odstraszającą (pozwalającą skutecznie zniechęcić zarówno Spółkę, jak i innych administratorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679). Kara taka byłaby jednak – w ocenie Prezesa UODO – karą nieproporcjonalną ze względu na swoją nadmierną dolegliwość. Zasada proporcjonalności wymaga bowiem m.in., by przyjęte przez organ nadzorczy środki nie wykraczały poza to, co odpowiednie i konieczne do realizacji uzasadnionych celów (zob. pkt 137 i pkt 139 Wytycznych 04/2022). Innymi słowy: „Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku” (P. Litwiński (red.), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. […]; Komentarz do art. 83 [w:] P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz). Mając więc na uwadze proporcjonalność kary, Prezes UODO dokonał dalszego obniżenia wysokości kary z tytułu naruszenia art. 5 ust. 1 lit. a, art. 5 ust. 2, art. 28 ust. 3 rozporządzenia 2016/679 – do 50% kwoty uzyskanej po uwzględnieniu okoliczności obciążających i łagodzących (zob. pkt 90 powyżej), to jest do kwoty 6 251 471,28 zł (równowartość kwoty 1 488 126,66 euro). W jego ocenie takie określenie ostatecznej wysokości orzeczonej kary nie wpłynie na obniżenie jej skuteczności i odstraszającego charakteru. Kwota ta bowiem stanowi próg, powyżej którego dalsze zwiększanie wysokości kary nie będzie wiązało się ze wzrostem jej skuteczności i odstraszającego charakteru. Z drugiej natomiast strony obniżenie w większym stopniu wysokości kary mogłoby się odbyć kosztem jej skuteczności i odstraszającego charakteru, a także spójnego stosowania i egzekwowania rozporządzenia 2016/679 i zasady równego traktowania podmiotów na rynku wewnętrznym UE i EOG.
Odnosząc się do wysokości wymierzonej Spółce administracyjnej kary pieniężnej, Prezes UODO uznał, iż jest ona proporcjonalna zarówno do wagi stwierdzonego w niniejszej sprawie naruszenia, jak i do sytuacji finansowej Spółki i nie będzie stanowiła dla niej nadmiernego obciążenia. Należy zwrócić uwagę na to, że kwota nałożonej w niniejszej sprawie administracyjnej kary pieniężnej stanowi ok. (…)% przychodów osiągniętych przez Spółkę w okresie, za który Spółka przedstawiła dane finansowe. Jednocześnie warto podkreślić, że kwota nałożonej kary to jedynie ok. (…)% maksymalnej wysokości kary, którą Prezes UODO mógł nałożyć na Spółkę za stwierdzone w niniejszej sprawie naruszenie przepisów rozporządzenia 2016/679 (zob. pkt 87 uzasadnienia Decyzji).

C. Administracyjna kara pieniężna nałożona na Administratora za naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 29 oraz art. 32 ust. 1 i 4 rozporządzenia 2016/679

Przesłanki wymiaru kary – zastosowanie art. 83 ust. 2 rozporządzenia 2016/679

92.
Decydując o nałożeniu na Administratora za naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 29 oraz art. 32 ust. 1 i 4 rozporządzenia 2016/679, administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.
93.
Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiar poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
Naruszenie przez Administratora obowiązków zastosowania odpowiednich środków organizacyjnych w postaci prawidłowego upoważnienia do przetwarzania danych osobowych w jego imieniu, pociąga za sobą nie tylko potencjalną, ale również realną możliwość wykorzystania tych danych przez osoby trzecie bez wiedzy i wbrew woli osób, których dane dotyczą, niezgodnie z przepisami rozporządzenia 2016/679.
W niniejszej sprawie brak jest dowodów, aby osoby, których dane Administrator przetwarzał, doznały szkody majątkowej z powodu wadliwego procesu nadawania upoważnień w organizacji. Niemniej jednak ochrona przed nieuprawnionym dostępem ma kluczowe znaczenie z punktu widzenia bezpieczeństwa informacji oraz odpowiedzialności zarządczej. Właściwe zarządzanie procesami i systemami przetwarzania danych osobowych pozwala kontrolować przebieg operacji przetwarzania danych przez pracowników i współpracowników Administratora.
Za okoliczność obciążającą Prezes UODO uznaje długi czas trwania naruszenia przez Administratora przepisów o ochronie danych osobowych. Mając na uwadze, że stosowanie przepisów rozporządzenia 2016/679 rozpoczęło się w dniu 25 maja 2018 r., należy uznać, że to od tego czasu trwał stan naruszenia w powyższym zakresie. Upoważnienia zaczęły być prawidłowo udzielane od (…) r., tj. od dnia upoważnienia przez Spółkę właściwej osoby do udzielania upoważnień pracownikom Spółki do przetwarzania danych osobowych.
Wdrożenie środka zapewniającego przetwarzanie danych wyłącznie na polecenie administratora stanowi istotny element zapewnienia przez administratora bezpieczeństwa przetwarzania ze względu na poufność danych, w rozumieniu art. 5 ust. 1 lit. f) rozporządzenia 2016/679. Ponadto Spółka dopuściła się naruszenia art. 5 ust. 2 rozporządzenia 2016/679 i uregulowanej nim zasady rozliczalności, bowiem nie wykazała przed Prezesem UODO w toku postępowania, że przestrzega przepis art. 24 ust. 1 i ust. 2 oraz art. 32 ust. 1 rozporządzenia 2016/679 oraz związaną z nim zasadę poufności. Z uwagi na to, że powyższe zasady stanowią rdzeń systemu ochrony danych osobowych, kwalifikowane są jako naruszenia o podwyższonej wadze, a nie jedynie techniczne i organizacyjne obowiązki.
94.
Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
Z materiału dowodowego zebranego w toku kontroli oraz z wyjaśnień Spółki wynika, że decyzja Administratora o przyjętych mechanizmach związanych z nadawaniem upoważnień była świadoma i motywowana potrzebą automatyzacji i usprawnienia procesu udzielania upoważnień przez Spółkę. Ocena Prezesa UODO co do przypisania umyślnego działania opiera się na analizie zachowania Spółki, która z jednej strony określa pewne zasady i przyjmuje politykę ochrony danych w organizacji, a jednocześnie w praktyce postępuje wbrew własnym procedurom. Treść oświadczenia mającego pełnić rolę upoważnienia generowanego przez system informatyczny Spółki oraz niewyznaczenie – wbrew postanowieniom obowiązującej w Spółce Polityki ochrony danych osoby upoważnionej do nadawania upoważnień do przetwarzania danych - świadczą o umyślnym charakterze stwierdzonego naruszenia. Biorąc pod uwagę zasady logicznego myślenia, doświadczenia życiowego oraz przepisy regulujące działanie każdej spółki, nie jest możliwe by przyjęte rozwiązania można było wprowadzić bez świadomości zarządu Spółki.
95.
Wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e rozporządzenia 2016/679).
W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 75 uzasadnienia Decyzji.
96.
Ustalając wysokość administracyjnej kary pieniężnej Prezes UODO uwzględnił na korzyść Administratora, w ramach przesłanki „stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków” (art. 83 ust. 2 lit. f rozporządzenia 2016/679), fakt, że w związku z zarzutem postawionym w zawiadomieniu o wszczęciu postępowania, Spółka zaczęła modyfikować procedurę udzielania upoważnień. Treść wzoru upoważnienia została zmodyfikowana w ten sposób, że wskazuje ona imiennie osobę, której upoważnienie jest udzielane (wraz z informacją o miejscu pracy oraz stanowisku) oraz osobę udzielającą upoważnienia w imieniu Spółki. Z dniem (…) r. wyznaczono osobę do udzielania upoważnień do przetwarzania danych w mieniu Administratora. Ostatecznie zatem Administrator doprowadził do usunięcia stanu naruszenia co miało wpływ dla określenia wymiaru kary i zostało ocenione jako istotna okoliczność łagodząca.
97.
Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie przepisów rozporządzenia 2016/679, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
98.
Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).
Prezes UODO nie stwierdził, aby naruszenie przez Administratora przepisów rozporządzenia 2016/679, tj. niewdrożenie środków organizacyjnych służących zapewnieniu, by każda osoba fizyczna działająca z upoważnienia Spółki jako administratora, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora oraz niewłaściwe wdrożenie polityki ochrony danych - doprowadził do poniesienia szkód przez osoby, których dane zostały powierzone do przetwarzania. Wobec tego żadne działania mające na celu zminimalizowanie szkody nie były wymagane. Zważywszy na charakter naruszenia przepisów rozporządzenia 2016/679, omawiana przesłanka nie miała wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
99.
Stopień odpowiedzialności Administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
Wytyczne 04/2022 w pkt 77 wskazują, że rozpatrując tę przesłankę „organ nadzorczy musi odpowiedzieć na pytanie, w jakim stopniu administrator zrobił wszystko, czego można by było oczekiwać, zważywszy na charakter, cele lub zakres przetwarzania oraz w świetle obowiązków nałożonych na niego przez rozporządzenie”. Prezes UODO stwierdził w niniejszej sprawie naruszenie przez Administratora przepisów m.in. art. 32 ust. 1 i 4 rozporządzenia 2016/679. Oczywistym jest, że w rozważanym kontekście charakteru, celu i zakresu przetwarzania danych osobowych Administrator nie zrobił wszystkiego, czego można by było od niego oczekiwać, tym samym nie wywiązał się z nałożonych na niego przepisami art. 32 ust. 1 i 4 rozporządzenia 2016/679 obowiązków. W niniejszej sprawie okoliczność ta stanowi jednak o istocie samego naruszenia, nie jest jedynie czynnikiem wpływającym – łagodząco lub obciążająco – na jego ocenę. Z tego też względu brak odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 32 rozporządzenia 2016/679, nie może zostać przez Prezesa UODO uznany w niniejszej sprawie za okoliczność mogącą dodatkowo wpłynąć na surowszą ocenę naruszenia i wymiar nałożonej na Administratora administracyjnej kary pieniężnej.
100.
Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Ze względu na okoliczność, że naruszenie polegające na niewdrożeniu środków organizacyjnych służących zapewnieniu, by każda osoba fizyczna działająca z upoważnienia Spółki jako administratora, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora oraz niewłaściwe wdrożenie polityki ochrony danych, nie wiąże się bezpośrednio z naruszeniem ochrony jakichkolwiek danych osobowych (i ich kategorii), przesłanka ta ze swej istoty nie może mieć zastosowania do oceny tego naruszenia.
101.
Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).
W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 81 uzasadnienia Decyzji.
102.
Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).
W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 82 uzasadnienia Decyzji.
103.
Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).
W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 83 uzasadnienia Decyzji.
104.
Inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy (art. 83 ust. 2 lit. k rozporządzenia 2016/679) - Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężne.

Ustalenie wysokości kary z zastosowaniem Wytycznych 04/2022.

105.
Jako podstawę obliczenia administracyjnej kary pieniężnej orzeczonej wobec Administratora za naruszenie przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 29 oraz art. 32 ust. 1, 2 i 4 rozporządzenia 2016/679, Prezes UODO przyjął kwotę przychodu osiągniętego przez Spółkę w roku 2024 – jak w pkt 85 uzasadnienia Decyzji.
106.
Prezes UODO dokonał kategoryzacji stwierdzonych naruszeń przepisów rozporządzenia 2016/679 (Rozdział 4.1 Wytycznych 04/2022). Wśród naruszonych przez Administratora przepisów rozporządzenia 2016/679 znajdują się przepisy art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679 określające podstawowe zasady przetwarzania. Naruszenia tych przepisów należą – zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą wyższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 20 000 000 euro lub do 4 % całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Są one więc in abstracto poważniejsze od drugiej grupy naruszeń (wskazanych w art. 83 ust. 4 rozporządzenia 2016/679) naruszeń.
107.
Prezes UODO ustalił prawnie określoną maksymalną wysokość kary możliwą do orzeczenia wobec Administratora w niniejszej sprawie (Rozdział 6.1 Wytycznych 04/2022). Przepis art. 83 ust. 5 lit. a) Rozporządzenia 2016/679 zobowiązuje Prezesa UODO do określenia czy w sprawie zastosowanie będzie miała tzw. „statyczna kwota maksymalna” (20 000 000 euro), czy „dynamiczna kwota maksymalna” (4 % obrotu z poprzedniego roku obrotowego), i do przyjęcia kwoty wyższej jako kwoty maksymalnej, której orzeczona w sprawie administracyjna kara pieniężna nie może przekroczyć. Wartość 4 % obrotu Administratora za poprzedni rok obrotowy to kwota (…) zł (równowartość (…) euro). W związku z tym, że jest to kwota wyższa niż statyczna kwota maksymalna (20 000 000 euro), Prezes UODO zobligowany jest do jej przyjęcia jako maksimum, którego nie może przekroczyć orzekając administracyjną karę pieniężną.
108.
Prezes UODO ocenił stwierdzone naruszenie jako naruszenie o niskim poziomie powagi (Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które dotyczą strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679) oraz umyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej. W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest niski. Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 10 % do 20 % maksymalnej wysokości kary możliwej do orzeczenia wobec Administratora (Podrozdział 4.2.4 Wytycznych 04/2022). Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę (…) zł (równowartość (…) euro).
109.
Stosownie do wskazówki EROD przedstawionej w pkt 66 tiret czwarte Wytycznych 04/2022 (odnoszącej się do przedsiębiorstw, których roczny obrót wynosi powyżej 500 mln euro) Prezes UODO nie uznał za zasadne skorzystanie z możliwości obniżenia przyjętej w oparciu o ocenę powagi naruszenia kwoty wyjściowej, którą to możliwość wytyczne te (w Rozdziale 4.3) przewidują dla przedsiębiorstw o mniejszej wielkości i sile gospodarczej. Jak bowiem wskazuje EROD, w przypadku wielkich podmiotów (a takim w niniejszej sprawie niewątpliwie jest Spółka, o czym świadczą osiągane przez nią obroty (zob. pkt 85 uzasadnienia Decyzji) „wielkość przedsiębiorstwa jest już odzwierciedlona w dynamicznej ustawowej maksymalnej kwocie” (zob. pkt 66 Wytycznych 04/2022).
110.
Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się – jak zakładają Wytyczne 04/2022 – do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej. Przesłanki, o których mowa w art. 83 ust. 2 lit. c), d), g), h), i), j), k) rozporządzenia 2016/679) – jak wskazano wyżej – nie miały wpływu ani łagodzącego, ani obciążającego na ocenę naruszenia i w konsekwencji na wymiar kary. Ze względu na zaistnienie w sprawie jednej okoliczności łagodzącej (stopnia współpracy w celu usunięcia naruszenia), która doprowadziła do przywrócenia stanu zgodnego z prawem oraz jednej obciążającej (wcześniejsze naruszenia), za zasadne Prezes UODO, oceniając ich łączny wpływ na ocenę naruszenia, uznał za zasadne istotne, bo aż w 40 %, zmniejszenie kwoty kary ustalonej na podstawie oceny powagi naruszenia. Adekwatnym do łącznego wpływu przesłanek na ocenę naruszenia jest zdaniem Prezesa UODO jej obniżenie do kwoty (…) zł, stanowiącej równowartość (…) euro.
111.
Prezes UODO stwierdził, że ustalona w przedstawiony wyżej sposób kwota administracyjnej kary pieniężnej nie przekracza - stosownie do art. 83 ust. 3 rozporządzenia 2016/679 – prawnie określonej maksymalnej wysokości kary przewidzianej dla najpoważniejszego naruszenia. Najpoważniejszymi (o równie wysokim poziomie powagi) w ocenianej tutaj grupie naruszeń przepisów rozporządzenia 2016/679 są naruszenia art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 tego rozporządzenia (zob. pkt 106 uzasadnienia Decyzji; zob. również Rozdział 6 Wytycznych 04/2022). Pomimo tego, że ustalona zgodnie z powyższymi zasadami kwota kary nie przekracza prawnie określonego maksimum kary, Prezes UODO uznał, że wymaga ona dodatkowej korekty ze względu na zasadę proporcjonalności wymienioną w art. 83 ust. 1 rozporządzenia 2016/679 jako jedną z trzech dyrektyw wymiaru kary (vide Rozdział 7 Wytycznych 04/2022). Niewątpliwie kara pieniężna w wysokości (…) euro byłaby karą skuteczną (przez swoją dolegliwość pozwoliłaby osiągnąć swój cel represyjny, którym jest ukaranie za bezprawne zachowanie) i odstraszającą (pozwalającą skutecznie zniechęcić zarówno Spółkę, jak i innych administratorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679). Kara taka byłaby jednak – w ocenie Prezesa UODO – karą nieproporcjonalną ze względu na swoją nadmierną dolegliwość. W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 91 uzasadnienia Decyzji.
Mając więc na względzie proporcjonalność kary, Prezes UODO dokonał dalszego obniżenia wysokości kary z tytułu naruszenia art. 5 ust. 1 lit. a, art. 5 ust. 2, art. 28 ust. 3 rozporządzenia 2016/679 – do 50% kwoty uzyskanej po uwzględnieniu okoliczności obciążających i łagodzących (zob. pkt 110 powyżej), to jest do kwoty 5 209 559,40 zł (równowartość kwoty 1 240 105,55 euro). W jego ocenie takie określenie ostatecznej wysokości orzeczonej kary nie wpłynie na obniżenie jej skuteczności i odstraszającego charakteru. Kwota ta bowiem stanowi próg, powyżej którego dalsze zwiększanie wysokości kary nie będzie wiązało się ze wzrostem jej skuteczności i odstraszającego charakteru. Z drugiej natomiast strony obniżenie w większym stopniu wysokości kary mogłoby się odbyć kosztem jej skuteczności i odstraszającego charakteru, a także spójnego stosowania i egzekwowania rozporządzenia 2016/679 i zasady równego traktowania podmiotów na rynku wewnętrznym UE i EOG.
Należy zwrócić uwagę na to, że kwota nałożonej w niniejszej sprawie administracyjnej kary pieniężnej stanowi ok. (…)% przychodów osiągniętych przez Spółkę w okresie, za który Spółka przedstawiła dane finansowe. Jednocześnie warto podkreślić, że kwota nałożonej kary to jedynie ok. (…)% maksymalnej wysokości kary, którą Prezes UODO mógł nałożyć na Spółkę za stwierdzone w niniejszej sprawie naruszenie przepisów rozporządzenia 2016/679 (zob. pkt 107 uzasadnienia Decyzji).
W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji niniejszej decyzji.
[1] (…).