Decyzja DKN.5112.13.2023

Na podstawie art. 104 § 1 oraz 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2025 r. poz. 1691), zwanej dalej „k.p.a.”, art. 7 ust. 1 i 2, art. 60, art. 90, art. 101, art. 101a ust. 2 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej „u.o.d.o.”, art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. d) oraz i), art. 83 ust. 1-3, art. 83 ust. 4 lit. a) w związku z art. 24 ust. 1 i 2 oraz art. 32 ust. 1 i 2, art. 83 ust. 5 lit. a) w związku art. 5 ust. 1 lit. f) i art. 5 ust. 2 oraz art. 58 ust. 2 lit. b) i d) w związku z art. 5 ust. 1 lit. a) i f), art. 5 ust. 2, art. 12 ust. 1 i 2, art. 13 ust. 1 i 2, art. 28 ust. 3, art. 29, art. 30 ust. 1 lit. f) oraz art. 32 ust. 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej „rozporządzeniem 2016/679”, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez T. (…) z siedzibą w W. (ul. (…), (…) W., zwany dalej: „T.” lub „Administratorem”) Prezes Urzędu Ochrony Danych Osobowych,

I.

stwierdzając naruszenie przez T. przepisów art. 24 ust. 1 i 2 w zw. z art. 32 ust. 1 i 2 rozporządzenia 2016/679, polegające na:

1)

niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych oraz ochronę praw osób, których dane dotyczą, dobranych na podstawie przeprowadzonej analizy ryzyka uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych,

2)

niewdrożeniu w rozliczalny sposób dokumentu pełniącego funkcję polityki ochrony danych oraz niedostosowaniu jego treści do specyfiki przetwarzania danych osobowych przez ten podmiot, co skutkowało naruszeniem zasady integralności i poufności wynikającej z art. 5 ust. 1 lit. f) rozporządzenia 2016/679 oraz zasady rozliczalności określonej w art. 5 ust. 2 rozporządzenia 2016/679,

A.

nakłada na T., za naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, administracyjną karę pieniężną w kwocie 975 zł (słownie: dziewięćset siedemdziesiąt pięć złotych),

B.

nakazuje T. dostosowanie operacji przetwarzania do przepisów rozporządzenia 2016/679 poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zminimalizowania ryzyka wiążącego się z przetwarzaniem danych osobowych, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, na podstawie przeprowadzonej analizy ryzyka przetwarzania danych osobowych, uwzględniającej stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, w terminie 90 dni od dnia doręczenia niniejszej decyzji;

II.

stwierdzając naruszenie przez T. przepisów art. 12 ust. 1 i 2 oraz art. 13 ust. 1 i 2 rozporządzenia 2016/679, polegające na niespełnieniu w sposób przejrzysty obowiązku informacyjnego wobec osób, których dane osobowe są przetwarzane, co skutkowało naruszeniem zasad określonych w art. 5 ust. 1 lit. a) oraz w art. 5 ust. 2 rozporządzenia 2016/679, udziela T. upomnienia;

III.

stwierdzając naruszenie przez T. przepisów art. 28 ust. 3 rozporządzenia 2016/679, polegające na powierzeniu przetwarzania danych osobowych Z. sp. z o.o. z siedzibą w C. oraz U. (…) sp. z o.o. z siedzibą w R. na podstawie umów lub innych instrumentów prawnych, niespełniających wymogów określonych w art. 28 ust. 3 rozporządzenia 2016/679, co skutkowało naruszeniem zasad określonych w art. 5 ust. 1 lit. a) oraz w art. 5 ust. 2 rozporządzenia 2016/679,

A.

udziela T. upomnienia,

B.

nakazuje T. dostosowanie operacji przetwarzania danych osobowych poprzez zaprzestanie powierzania przetwarzania danych osobowych U. (…) sp. z o.o. z siedzibą w R. w oparciu o umowę powierzenia przetwarzania danych osobowych, która nie zawiera wszystkich elementów wskazanych w art. 28 ust. 3 rozporządzenia 2016/679, tj.: rodzaju danych osobowych oraz kategorii osób, których dane dotyczą, obowiązków i praw administratora oraz elementów wskazanych w lit. a), e) i f) tego artykułu, w terminie 30 dni od dnia doręczenia niniejszej decyzji;

IV.

stwierdzając naruszenie przez T. art. 29 oraz art. 32 ust. 4 rozporządzenia 2016/679, polegające na nadaniu upoważnień do przetwarzania danych niezapewniających odpowiedniego poziomu bezpieczeństwa danych osobowych, co skutkowało naruszeniem zasad określonych w art. 5 ust. 1 lit. f) oraz w art. 5 ust. 2 rozporządzenia 2016/679, udziela T. upomnienia;

V.

stwierdzając naruszenie przez T. art. 30 ust. 1 lit. f) rozporządzenia 2016/679, polegające na niewskazaniu w rejestrze czynności przetwarzania planowanego terminu usunięcia danych dla większości wymienionych w nim czynności, udziela T. upomnienia;

VI.

w pozostałym zakresie postępowanie umarza.

Uzasadnienie

A. Stan faktyczny.

I. Podmiot, którego działania objęto kontrolą.

1.

T. (…) z siedzibą w W. (ul. (…), (…) W.) jest prowadzony przez G. z siedzibą (…) w D. (ul. (…), (…) P.), zwane dalej „G.” (zob.: § 1 obowiązującego w T. „Regulaminu Organizacyjnego T. (…) w W.”). T. jest wydzieloną jednostką organizacyjną tego G. (co wynika m.in. z § 3 ust. 3 ww. Regulaminu).

2.

G. posiada osobowość prawną, co potwierdza zaświadczenie Ministra Spraw Wewnętrznych i Administracji z 16 października 2023 r. (znak: (…)). Zgodnie zaś z oświadczeniem Dyrektora kierującego działaniem T. i uprawnionego do jego reprezentacji, T. takiej osobowości nie posiada. T. nie jest jednostką budżetową, ani zakładem budżetowym (zgodnie z § 3 ust. 3 ww. Regulaminu). Jest jednak administratorem w rozumieniu art. 4 pkt 7 rozporządzenia 2016/679, a jego działania, co do których nie ma zastosowania art. 91 rozporządzenia 2016/679, stanowiące przedmiot analizy w niniejszej sprawie, prowadzone są na podstawie decyzji Wojewody (…):

–

Nr (…) z 26 czerwca 2007 r., znak: (…), w której Wojewoda zezwolił G. na prowadzenie (…) na czas nieokreślony,

–

Nr (…) z 22 listopada 2012 r., znak: (…), w której Wojewoda zmienił decyzję, o której mowa w tiret powyżej, poprzez wskazanie, że (…).

Swoje zadania T. wykonywał w latach 2021-2025 w oparciu o „Umowę nr (…) o realizację zadania publicznego, o której mowa w art. 16 ust. 1 ustawy z dnia 24 kwietnia 2003 r. o działalności pożytku publicznego i o wolontariacie” zawartą 9 grudnia 2020 r. z Powiatem W.. Umową tą zlecono G. (zgodnie z przepisami ustawy wymienionej w tytule umowy) realizację zadania publicznego polegającego na prowadzeniu T. (…) w latach budżetowych 2021-2025.

3.

Z ww. Umowy nr (…) wynika również m.in., że „w zakresie związanym z realizacją zadania publicznego, w tym z gromadzeniem, przetwarzaniem i przekazywaniem danych osobowych, a także wprowadzaniem ich do systemów informatycznych, Zleceniobiorca postępuje zgodnie z postanowieniami [rozporządzenia 2016/679]” (zob.: § 14 ust. 2 tej umowy).

4.

T. jest przeznaczony dla (…) i tyle również osób mieszkało w nim w czasie kontroli przeprowadzonej przez pracowników upoważnionych przez Prezesa Urzędu Ochrony Danych Osobowych (dalej zwanego „Prezesem UODO” lub „organem nadzorczym”), o której to kontroli mowa jest w dalszej części uzasadnienia niniejszej decyzji. T. zapewnia osobom w nim przebywającym całodobową opiekę oraz zaspokojenie ich indywidualnych, niezbędnych potrzeb bytowych, rehabilitacyjnych, edukacyjnych, społecznych i religijnych. T. umożliwia również osobom w nim przebywającym korzystanie z przysługujących im na podstawie odrębnych przepisów świadczeń zdrowotnych oraz pokrywa opłaty ryczałtowe i częściową odpłatność do wysokości limitu ceny, przewidzianych w przepisach o powszechnym ubezpieczeniu zdrowotnym.

5.

Podopieczni Administratora umieszczani są w T. na podstawie decyzji wydawanych przez Starostę W.. Wraz z wydaną przez ten organ decyzją, do T. przekazywane są przez starostwo dokumenty zawierające dane osobowe osób tam kierowanych, w tym dokumenty dotyczące ich stanu zdrowia i sytuacji rodzinnej, poświadczające, że osoby te kwalifikują się do umieszczenia w T.. Dokumentacja medyczna podopiecznych Administratora jest prowadzona odrębnie od ich dokumentacji personalnej. Dla nowego mieszkańca T. zakładana jest teczka papierowa, opisana jego imieniem i nazwiskiem, w której tworzona jest jego dokumentacja medyczna. T. gromadzi informacje o zdiagnozowanych i leczonych chorobach, a także o przyjmowanych przez podopiecznego lekach. Do takiej nowoutworzonej teczki dołączana jest wcześniejsza dokumentacja medyczna przyjmowanej osoby przekazana w formie papierowej przez nowego mieszkańca lub jego opiekuna prawnego. Osoby przebywające w T. korzystają z pomocy nie tylko zatrudnionych w nim pielęgniarek, lecz również lekarzy specjalistów oraz psychiatrów. Wystawiane są dla nich również recepty na leki przyjmowane stale lub doraźnie.

6.

Administrator przetwarza nie tylko dane osobowe podopiecznych, ale również pracowników.

7.

Dane osobowe podopiecznych T., a także jego pracowników (w obu przypadkach: zarówno byłych jak i obecnych), przetwarzane są nie tylko w formie papierowej lecz również elektronicznej – przy pomocy komputerów stacjonarnych znajdujących się w budynkach T.. Dostęp do tych komputerów mają pracownicy, a także podmiot realizujący obsługę informatyczną Administratora, tj. U. (…) sp. z o.o. z siedzibą w R., z którym T. zawarł umowę powierzenia przetwarzania danych osobowych szczegółowo opisaną w dalszej części uzasadnienia niniejszej decyzji.

II. Ustalenia dokonane w trakcie kontroli.

8.

Na podstawie art. 78 ust. 1, art. 79 ust. 1 oraz art. 84 ust. 1 pkt 1-4 u.o.d.o., na podstawie upoważnienia udzielonego przez Prezesa UODO, przeprowadzono w T. w dniach od 8 do 12 maja 2023 r. kontrolę zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, tj. z rozporządzeniem 2016/679 oraz z u.o.d.o. (zwaną dalej: „Kontrolą”). Z czynności tych sporządzono protokół, zwany dalej: „Protokołem kontroli”, do którego załączono obszerną dokumentację (w aktach oznaczoną jako załączniki). Protokół ten został podpisany 12 maja 2023 r. przez osobę reprezentującą T., przy czym nie wniosła ona do niego żadnych zastrzeżeń ani uwag. Na podstawie znajdujących się w tych dokumentach informacji dokonano m.in. ustaleń, o których mowa w pkt 1-7 uzasadnienia niniejszej decyzji, a także tych wskazanych w dalszych jego punktach (zob. pkt 11-20).

9.

Zakresem Kontroli objęto wypełnienie przez T. obowiązków administratora w zakresie m.in. spełniania obowiązków informacyjnych wobec osób, których dotyczą przetwarzane dane osobowe, wdrożenia odpowiednich środków technicznych i organizacyjnych oraz polityki ochrony danych osobowych, spełnienia warunków z art. 28 rozporządzenia 2016/679, a ponadto Kontroli poddano nadawane przez T. upoważnienia do przetwarzania danych osobowych oraz prowadzenie rejestru czynności przetwarzania.

10.

W toku Kontroli odebrano od pracowników T. ustne wyjaśnienia oraz dokonano oględzin pomieszczeń, w których są przetwarzane dane osobowe. Stan faktyczny ustalony przez kontrolujących szczegółowo opisano w Protokole kontroli.

11.

Podczas Kontroli ustalono, że Administrator nie przeprowadził analizy ryzyka wiążącego się z przetwarzaniem przez niego danych osobowych (informacja ta pojawiła się w wyjaśnieniach zaprotokołowanych przez osoby przeprowadzające Kontrolę – dowód: załącznik (…) do Protokołu kontroli).

12.

Ponadto kontrolującym przedstawiono w czasie Kontroli dwa dokumenty stanowiące odpowiednio załącznik (…) oraz (…) do Protokołu kontroli:

a)

„Politykę bezpieczeństwa danych osobowych w T. (…) ul. (…), (…) W.” z lipca 2018 r. – wraz z załącznikami, dalej zwaną „Polityką nr 1”,

b)

„Politykę bezpieczeństwa danych osobowych w T. (…) prowadzonym przez G. z siedzibą: (…) W., ul. (…)” opatrzoną datą 1 października 2019 r., która nie zawierała z kolei załączników, dalej zwaną „Polityką nr 2”.

Przedstawiona przez T. dokumentacja nie pozwoliła ustalić, w jaki sposób wdrożono do stosowania powyższe polityki ochrony danych osobowych – nie uczyniono tego żadnym dokumentem lub w inny rozliczalny, przejrzysty sposób wskazujący, że faktycznie zostały one usankcjonowane przez Administratora jako obowiązujące pracowników tego podmiotu dokumenty. Treść obu tych Polityk nie koresponduje w wystarczającym stopniu ze specyfiką działalności T. oraz czynnościami przetwarzania danych osobowych dokonywanymi przez ten podmiot – dotyczy to również wskazanych w nich środków organizacyjnych i technicznych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych. Przedstawiona dokumentacja nie pozwoliła również stwierdzić, by Administrator wdrożył procedury lub instrukcje dokonywania okresowych przeglądów wdrożonych środków technicznych i organizacyjnych w celu weryfikacji, czy nie zachodzi potrzeba aktualizacji środków już wdrożonych.

13.

W Polityce nr 2 (której data wskazuje na obowiązywanie w czasie Kontroli) wpisano, że zastosowane środki ochrony technicznej i organizacyjnej są adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii danych. Ponadto wskazano w niej, że:

1)

środki ochrony technicznej obejmują (zgodnie z § 11 ust. 3 tej Polityki) w szczególności:

a)

(…),

b)

(…),

c)

(…),

d)

(…),

e)

(…),

f)

(…),

g)

(…),

h)

(…),

2)

środki ochrony organizacyjnej obejmują zaś (zgodnie z dalszą częścią § 11 Polityki nr 2) w szczególności:

a)

(…),

b)

(…),

c)

(…),

d)

(…).

W kontekście ostatniego z wymienionych w tym punkcie środków, należy zaznaczyć, że w toku Kontroli ustalono, że ostatnie szkolenie z zasad przetwarzania danych osobowych zostało przeprowadzone 21 czerwca 2018 r. i objęło jedynie (…) z (…) osób zatrudnionych (w czasie Kontroli) w T..

14.

Z dalszych ustaleń osób upoważnionych przez organ nadzorczy wynikało, że w czasie przeprowadzonej przez nich Kontroli u Administratora obowiązywały dwa wzory klauzuli informacyjnej. Jedna z nich dotyczyła danych osobowych osób zamieszkałych w T. (która nie została zamieszczona w widocznym miejscu w budynku, w którym udzielane są świadczenia lub świadczone usługi T.), druga zaś pracowników Administratora.

15.

Treść „(…)” (zwanej dalej: „Klauzulą dla mieszkańców”) stanowi załącznik (…) do Protokołu kontroli. Jej analiza przeprowadzona najpierw w ramach prowadzonej Kontroli, a następnie wszczętego w niniejszej sprawie postępowania, pozwoliła ustalić, że klauzula ta:

a)

zawiera sprzeczne informacje: w pkt 1 wskazuje się w niej jako administratora danych osobowych T., zaś w pkt 2 informuje się, że funkcję tę sprawuje Dyrektor T. – (…) K. H.;

b)

nie precyzuje podstaw prawnych przetwarzania danych osobowych – wskazano w niej bowiem jedynie:

–

art. 6 ust. 1 lit. c) i e), art. 9 ust. 2 lit. b) rozporządzenia 2016/679 w szczególności w zw. z ustawą z dnia 12 marca 2004 r. o pomocy społecznej, ustawą z dnia 19 sierpnia 1994 r. o ochronie zdrowia psychicznego, rozporządzeniem Ministra Pracy i Polityki Społecznej z dnia 23 sierpnia 2012 r. w sprawie T. (…),

–

art. 6 ust. 1 lit. c) i e), art. 9 ust. 2 lit. c) rozporządzenia 2016/679 w zw. z ustawą o narodowym zasobie archiwalnym i archiwach oraz wydanych na jej podstawie aktach wykonawczych – jako że dane osobowe będą przetwarzane w celach archiwalnych i kontrolnych,

–

art. 6 ust. 1 lit. a) i b) rozporządzenia 2016/679 – odpowiednio: w celu promocji, budowy pozytywnego wizerunku Administratora, informowania o jego działalności (na podstawie zgody osoby, której dane dotyczą) oraz w celu zawarcia lub wykonania umowy;

Klauzula ta nie zawiera dodatkowych informacji pozwalających ustalić, spełnienie jakich konkretnie obowiązków ciążących na Administratorze wymaga przetwarzania danych osobowych. Jej treść nie pozwala stwierdzić również, do wykonania jakiego zadania realizowanego w interesie publicznym takie przetwarzanie jest niezbędne;

c)

nie zawiera czytelnych informacji na temat tego, w jakich przypadkach osoba, której dane są przetwarzane, może skorzystać ze wskazanych w niej praw. Poinformowano w niej jedynie, że osobom tym przysługuje prawo:

–

dostępu do tych danych, ich sprostowania, usunięcia (o ile brak jest podstaw do ich dalszego przetwarzania lub ograniczenia przetwarzania (przy spełnieniu odpowiednich przesłanek), przenoszenia danych osobowych (otrzymania ich kopii), jeżeli są spełnione odpowiednie przesłanki, wniesienia sprzeciwu wobec przetwarzania danych, chyba że realizacja tych praw jest niezgodna z przepisami obowiązującego prawa,

–

wniesienia skargi do organu nadzorczego,

–

w stosunku do danych osobowych, które są przetwarzane na podstawie zgody: prawo jej wycofania w dowolnym momencie;

d)

nie precyzuje czasu przetwarzania danych osobowych; w pkt 5 Klauzuli dla mieszkańców wskazano jedynie, że dane będą przechowywane przez okres niezbędny do zrealizowania celów, o których mowa w pkt 3 i że będzie to okres wymagany przepisami prawa oraz przepisami wewnętrznymi, natomiast w przypadku danych osobowych przetwarzanych na podstawie zgody wyrażonej przez osobę, której dane dotyczą, będą one przetwarzane do momentu jej cofnięcia;

e)

nie zawiera informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 rozporządzenia 2016/679.

16.

Dokumenty mające stanowić klauzulę informacyjną dla pracowników T. (zwane dalej: „Klauzulą dla pracowników”), których wzory stanowią załącznik (…) do Protokołu kontroli zostały opatrzone tytułami:

a)

(…), które zawiera stwierdzenie zapoznania się z polityką bezpieczeństwa przetwarzania danych osobowych w T. oraz powszechnie obowiązującymi przepisami w zakresie ochrony danych osobowych. Podpisując je, pracownik T. zobowiązuje się również do ochrony danych osobowych przed przypadkowym lub niezgodnym z prawem zniszczeniem, utraceniem, zmodyfikowaniem, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych oraz do zachowania ich w tajemnicy w czasie trwania jak i po ustaniu zatrudnienia;

b)

(…), które zawiera miejsce na wpisanie aktualnych danych osoby je podpisującej oraz oświadczenie o wyrażeniu zgody na przetwarzanie danych osobowych przez T. „w celach doboru zawodowego”, zawartych w kwestionariuszach, ankietach, dokumentach lub innych materiałach ujawnionych, przekazywanych lub udostępnionych w rozumieniu u.o.d.o.

17.

W toku Kontroli T. przedstawił m.in. dwie zawarte przez siebie umowy powierzenia przetwarzania danych osobowych:

a)

z Z. sp. z o.o. z siedzibą w C., opatrzoną datą 2 lipca 2018 r. (załącznik (…) do Protokołu kontroli),

b)

z U. (…) sp. z o.o. z siedzibą w R., również opatrzoną datą 2 lipca 2018 r. (załącznik (…) do Protokołu kontroli).

Obie te umowy nie określały obowiązków i praw administratora, a także elementów wymaganych w myśl art. 28 ust. 3 lit. a), e) oraz f) rozporządzenia 2016/679. Dodatkowo, w przypadku ww. umowy zawartej z U. (…) sp. z o.o. z siedzibą w R. stwierdzono, że nie określa ona również rodzaju danych osobowych oraz kategorii osób, których dane dotyczą.

18.

Do Protokołu kontroli załączono (jako załącznik (…)) kserokopie trzech „Upoważnień do przetwarzania danych osobowych” udzielonych pracownikom T. zatrudnionym na różnych stanowiskach: kierownika, magazyniera i pokojowej. Mimo odmiennych zadań, jakie każda z tych osób wykonywała, co wiązać się zwykle powinno z odmiennym zakresem oraz sposobem przetwarzania danych osobowych w T., wszystkim tym osobom udzielono upoważnienia do przetwarzania danych osobowych „w zakresie statusowych zadań placówki”. Osoba piastująca stanowisko kierownika uprawniona została do przetwarzania danych osobowych podopiecznych, pracowników, a także byłych i potencjalnych podopiecznych. Pokojowa upoważniona została do przetwarzania danych osobowych wszystkich tych kategorii osób z wyłączeniem pracowników, zaś magazynierka: tylko dostawców. Przedstawione trzy dokumenty nie precyzują zakresu danych osobowych, do których przetwarzania upoważniają poszczególnych pracowników.

19.

Nieprawidłowości stwierdzono również podczas kontroli treści „Rejestru czynności przetwarzania danych osobowych prowadzonym przez ADMINISTRATORA DANYCH na podstawie art. 30 ust. 1 RODO” (stanowiącego załącznik (…) do Protokołu kontroli). Jako planowany termin usunięcia danych: podopiecznych, byłych oraz potencjalnych podopiecznych, pracowników oraz byłych pracowników, dostawców, a także danych nadawców i adresatów korespondencji wpisano w nim jedynie: „zgodnie z przepisami prawa”. Wskazano ponadto, że dane dotyczące potencjalnych pracowników usunięte zostaną po zakończeniu procesu rekrutacji, zaś dane darczyńców przetwarzane mają być „do momentu żądania usunięcia danych”. Rejestr ten nie zawiera wprost określonych terminów usunięcia tych danych, co musi utrudniać w praktyce przestrzeganie przez Administratora terminów usunięcia danych wynikających z właściwych przepisów prawa.

20.

Ww. rejestr czynności przetwarzania danych osobowych obejmuje zarówno opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych. Zgodnie z tym rejestrem Administrator przetwarza dane:

–

ww. podopiecznych, których zakres obejmuje: nazwiska, imiona, datę i miejsce urodzenia, numery PESEL, adresy zameldowania oraz miejsce pobytu dziecka przed umieszczeniem w placówce oraz nazwiska i imiona rodziców (prawnych opiekunów), adresy ich zamieszkania, numery PESEL rodziców i/lub opiekunów prawnych, a także dokumenty: postanowienie sądu lub zgodę rodziców, dokumentację z sądu, akt urodzenia, akt zgonu, świadectwa szkolne, książeczki zdrowia, karty informacyjne ze szpitala, dokumenty ubezpieczenia, zeszyty wizyt lekarskich i badań,

–

pracowników i byłych pracowników w zakresie: nazwisk, imion, dat urodzenia, miejsc urodzenia, adresów zamieszkania lub pobytu, numerów PESEL, NIP, wykształcenia, przebiegu dotychczasowego zatrudnienia, serii i numerów dowodu osobistego, numerów telefonu, informacji o stanie zdrowia, imion rodziców, dat urodzenia dzieci, zaświadczeń o niekaralności, danych osób do kontaktu,

–

nadawców i adresatów korespondencji w zakresie: imion, nazwisk, nazwy firmy, adresu zamieszkania, numerów telefonu, adresów e-mail, NIP, REGON,

–

dostawców usług i produktów dla placówki, które obejmują: imię, nazwisko, nazwę firmy, adres siedziby, adres zamieszkania, NIP, REGON, numer rachunku bankowego, adres e-mail, adres strony internetowej, numer telefonu, numer faxu,

–

darczyńców w zakresie: imion, nazwisk, nazwy firmy, adresów korespondencyjnych, adresów siedzib, adresów zamieszkania, NIP, REGON, numerów rachunków bankowych, adresów e-mail, adresów stron internetowych, numerów telefonu, numerów faxu,

–

osób aplikujących o pracę w zakresie: imion, nazwisk, wykształcenia, przebiegu kariery zawodowej, numerów telefonu lub adresów e-mail.

III. Wszczęcie postępowania administracyjnego i dalsze ustalenia dotyczące stanu faktycznego.

21.

Na podstawie zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych T., jako administrator danych, naruszył przepisy o ochronie danych osobowych. Uchybienia te, stwierdzone w trakcie przedmiotowej Kontroli w T., zostały wskazane Administratorowi w przesłanym mu przez Prezesa UODO zawiadomieniu o wszczęciu postępowania z 12 czerwca 2024 r. (sygn. DKN.5112.13.2023). Postępowanie to zostało następnie rozszerzone – pismo w tej sprawie zostało przesłane do T. 13 sierpnia 2025 r. w związku ze wskazanymi w tym zawiadomieniu nieprawidłowościami dotyczącymi przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1 oraz 32 ust. 1 i 2 rozporządzenia 2016/679.

22.

W odpowiedzi na zawiadomienie o wszczęciu postępowania, która wpłynęła do Prezesa UODO 3 lipca 2024 r., a także w kolejnych pismach T. z 1 i 5 sierpnia 2024 r. oraz 29 sierpnia 2025 r. (daty wpływu), Administrator zawarł wyjaśnienia wskazane w kolejnych punktach uzasadnienia niniejszej decyzji (zob. pkt: 23-29).

23.

Administrator w swoich wyjaśnieniach złożonych po przeprowadzeniu Kontroli podniósł, że przeprowadził analizę ryzyka i że była ona przeprowadzona na spotkaniach organizowanych przez Dyrektora T. z osobami, których obowiązki wiązały się z przetwarzaniem danych osobowych w tym podmiocie. Na spotkaniach tych „wskazywano na miejsca i sytuacje, w których szczególnie trzeba zwrócić uwagę na dane osobowe”. Administrator wyjaśnił również, że w T. „nie doszło do naruszenia zasady integralności i poufności, a dobieran[i]e odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych oraz ochronę praw osób, których dane dotyczą, następowało prawidłowo z uwzględnieniem okoliczności faktycznych i wynikających z prawa”.

24.

Administrator wskazał również, że w T. obowiązuje jedna polityka ochrony danych osobowych, tj. Polityka nr 2, a także że przedłożona w trakcie kontroli Polityka nr 1 była dokumentem obowiązującym poprzednio. Wyjaśnił ponadto, że nie jest dużym podmiotem, wobec czego wystarczającym jest – jego zdaniem – zatwierdzenie danej polityki przez osobę uprawnioną do reprezentacji Administratora (tj. Dyrektora T.) oraz przedłożenie pracownikom obecnym dwa tygodnie przed rozpoczęciem stosowania, a nowym od razu po przyjściu do pracy. Ponadto T. wskazał, że w obecnych wzorach upoważnień zawarto oświadczenia o zapoznaniu się z polityką ochrony danych. Administrator zakwestionował także twierdzenie, jakoby nie wdrożył procedur lub instrukcji dokonywania okresowych przeglądów wdrożonych środków technicznych i organizacyjnych w celu weryfikacji potrzeby aktualizacji polityki. Wskazał w tym zakresie na treść § 16 Polityki nr 2, który zawiera następujące postanowienie: „1) Polityka może być aktualizowana przez Administratora Danych m.in.: ze względu na zmianę powszechnie obowiązujących przepisów lub w sytuacji gdy zostanie stwierdzone, że nie spełnia swoich zadań związanych z właściwym zabezpieczeniem danych osobowych. 2) Przeprowadzone zmiany wymienione w ust. 1 nie mogą skutkować zmniejszeniem stopnia ochrony danych”. Zdaniem T. powyższy zapis oznacza wprowadzenie podstawy formalnej do dokonywania okresowych przeglądów wdrożonych środków technicznych i organizacyjnych. T. wskazał ponadto, że 5 lipca 2024 r. wprowadzono „Zarządzenie o dokonywaniu okresowych przeglądów wdrożonych środków technicznych i organizacyjnych”, które załączył do wyjaśnień i z którego wynika, że:

–

Administrator dokonuje przeglądu treści Polityki bezpieczeństwa danych osobowych w T. nie rzadziej niż raz na rok oraz dodatkowo w każdym przypadku zmiany stanu prawnego mającego zastosowanie w działalności Administratora oraz zgłoszenia jej nieadekwatności lub nieaktualności,

–

Administrator dokonuje przeglądu wdrożonych środków technicznych i organizacyjnych (innych niż ww. Polityka) zastosowanych w celu ochrony przetwarzanych danych osobowych w T. nie rzadziej niż raz na rok oraz dodatkowo w każdym przypadku zmiany stanu prawnego mającego zastosowanie w działalności Administratora oraz zgłoszenia ich nieadekwatności lub nieaktualności.

25.

T. wyjaśnił nadto, że w trakcie Kontroli nie przedłożono przez omyłkę prawidłowej klauzuli informacyjnej dla pracowników i że treść tej, która stosowana była w czasie przeprowadzonej w T. Kontroli, stanowiła załącznik nr (…) do Polityki nr 1. Klauzula ta (zwana dalej: „Właściwą Klauzulą dla pracowników”) zawierała zarówno informacje typowo kierowane do pracowników jak i do innych kategorii osób, co miało negatywny wpływ na stopień przejrzystości udzielanych nią informacji. Ponadto klauzula ta:

a)

nie zawiera czytelnych informacji na temat tego, w jakich przypadkach osoba, której dane są przetwarzane, może skorzystać ze wskazanych w niej praw. Poinformowano w niej jedynie, że osobom tym przysługuje prawo:

–

wniesienia skargi do organu nadzorczego,

–

dostępu do tych danych, otrzymania ich kopii, sprostowania ich oraz uzupełnienia, usunięcia, ograniczenia przetwarzania, przenoszenia danych osobowych, a także do wniesienia sprzeciwu wobec przetwarzania danych,

–

w stosunku do danych osobowych, które są przetwarzane na podstawie zgody: prawo jej wycofania w dowolnym momencie,

b)

nie precyzuje podstaw prawnych przetwarzania danych osobowych – w jej treści odniesiono się jedynie do art. 6 ust. 1 lit. a), e) i f) oraz art. 9 ust. 2 lit. a) rozporządzenia 2016/679 – i to jedynie w kontekście praw osób, których dane są przetwarzane; Klauzula ta nie zawiera dodatkowych informacji pozwalających ustalić, spełnienie jakich konkretnie obowiązków ciążących na Administratorze wymaga przetwarzania danych osobowych,

c)

nie precyzuje okresu, przez który dane osobowe będą przechowywane,

d)

nie zawierała również informacji wymaganych zgodnie z art. 13 ust. 2 lit. e) rozporządzenia 2016/679 (tj. informacji, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych) oraz informacji, o których mowa w lit. f) ww. artykułu (tj. informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 ww. rozporządzenia).

W swoich wyjaśnieniach Administrator wskazał także, że w trakcie kontroli istniała praktyka spełniania obowiązku informacyjnego względem pracowników także ustnie.

26.

T. wskazał, że po zakończeniu Kontroli dokonano przeglądu stosowanych klauzul informacyjnych i je poprawiono. Przekazana przez Administratora po zakończeniu Kontroli „(…)” (zwana dalej: „Poprawioną Klauzulą dla mieszkańców”) nie wykazywała braków i błędów stwierdzonych w przypadku pierwotnie przedstawionej przez T. Klauzuli dla mieszkańców. Również przedstawiona przez Administratora „(…)” (zwana dalej: „Poprawioną Klauzulą dla pracowników”) nie budziła większych zastrzeżeń (poza pomijalnymi w niniejszej sprawie) w kontekście podstawowych wymogów co do jej treści określonych w przepisach dotyczących ochrony danych osobowych.

27.

T. wyjaśnił, że umowę powierzenia przetwarzania danych zawartą z U. (…) sp. z o.o. z siedzibą w R. zmieniono aneksem, zgodnie z którym w zawartej z tą spółką umowie dodano:

–

w § 2 lit. g) słowa: „oraz zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy”,

–

§ 2 lit. i) o treści: „ Po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji Powierzającego Procesor usuwa lub zwraca Powierzającemu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.”

Ponadto Administrator wskazał, że zawarta przez niego umowa z Z. sp. z o.o. z siedzibą w C. uległa rozwiązaniu, na dowód czego przedłożył kopię wypowiedzenia umowy z T. z 29 września 2023 r. (w którym zastrzeżono zachowanie współpracy do 31 grudnia 2023 r.).

28.

Z wyjaśnień Administratora wynika również, że po przeprowadzonej Kontroli dokonał przeglądu udzielonych upoważnień i postanowił stworzyć nowy wzór upoważnienia, którego treść została poprawiona w stosunku do przedstawionych w trakcie Kontroli trzech przykładowych upoważnień, opisanych w pkt 18 uzasadnienia niniejszej decyzji. Administrator zwrócił również w swoich wyjaśnieniach uwagę na specyfikę funkcjonowania T., podkreślając, że w codziennej działalności placówki wiele zadań pracowników wykracza poza „standardowe” obowiązki danego stanowiska. Odwołał się przy tym do przykładów magazyniera i pokojowej, w przypadku których załączone do Protokołu kontroli wzory upoważnień budziły zastrzeżenia organu nadzorczego. Administrator wyjaśnił, że magazynier w T. nie tylko jednak odbiera, wydaje i układa paczki – »jest zobowiązany do dostarczenia paczki do konkretnego mieszkańca, a nierzadko ma przypomnieć, gdy dany asortyment się skończy lub zamówić go. Tym samym bierze udział bezpośrednio w opiece nad mieszkańcami, a zatem w „statutowych zadaniach placówki”. Zamawiając artykuły dla danego pracownika (a takie zamówienia – dedykowane konkretnym mieszkańcom, wynikają z przepisów, które przyznają dotację dla konkretnego mieszkańca na konkretne jego potrzeby i nie pozwalają na zamówienie hurtem dla wszystkich mieszkańców, aby nie było wiadomo, ile asortymentu zużyła określona osoba) pośrednio będzie miał on wiedzę podobną do kierownika co do zakresu danych«. Należy przy tym niestety zauważyć, że wyjaśnienia te pozostają niespójne z treścią upoważnienia udzielanego magazynierce wskazaną w pkt 18 uzasadnienia niniejszej decyzji – obejmowało ono bowiem jedynie uprawnienie do przetwarzania danych osobowych dostawców. Administrator w wyjaśnieniach wskazał ponadto, że „[r]ównież pokojowa będzie wiedzieć o specjalnych potrzebach naszych mieszkańców, gdyż swoją pracą pomaga w opiece nad nimi”. T. podkreślił, że „[t]aki rozkład zadań nie jest niedbałością o prywatność mieszkańców, lecz jest koniecznością w umożliwieniu opieki nad nimi na prawidłowym poziomie. Ponadto pracowników nie jest wielu. Zdecydowana większość z nich ma styczność z mieszkańcami, a przez to mają wgląd w dane ich dotyczące poprzez rozmowę z nimi lub pośrednio z uwagi na konieczność odpowiedniej opieki lub obowiązek działania w sytuacji zagrożenia życia lub zdrowia mieszkańca. Ponadto następuje często zmiana pracowników lub konieczność zastąpienia ich przy urlopach lub innych dłuższych czy krótszych nieobecnościach. W związku z tym wszystkim pracownicy mają dostęp do podobnego zakresu danych, a ich obowiązki różnią się wagą a nie zakresem (magazynier zna asortyment potrzebny mieszkańcowi, lecz wykonuje swoją pracę bez obciążenia sprawami organizacyjnymi, a kierownik dodatkowo jest obciążony obowiązkami organizacyjnymi w zakresie kadry lub zasobów dobieranych ze względu na potrzeby mieszkańców). Osoby jednak, które mają dostęp do danych, mają obowiązek zachowania poufności, także po zakończeniu pracy w T.”.

29.

T. zapewnił również, że po przeprowadzonej Kontroli dokonał przeglądu właściwego rejestru i w piśmie, które wpłynęło do Prezesa UODO 1 sierpnia 2024 r., przedstawił m.in. poprawiony „Rejestr czynności przetwarzania danych osobowych prowadzonych przez ADMINISTRATORA DANYCH na podstawie art. 30 ust. 1 RODO”. Wskazano w nim już planowane terminy usunięcia danych: podopiecznych, byłych i potencjalnych podopiecznych, pracowników, byłych oraz potencjalnych pracowników, dostawców, darczyńców oraz danych nadawców i adresatów korespondencji.

Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

B. Stan prawny oraz ocena Prezesa UODO.

30.

Zgodnie z art. 34 ust. 1 i 2 u.o.d.o., Prezes UODO jest organem właściwym w sprawie ochrony danych i organem nadzorczym w rozumieniu rozporządzenia 2016/679. Stosownie do art. 57 ust. 1 lit. a) i h) rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia oraz prowadzi postępowania w sprawie stosowania niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego. Stosowanie zaś do art. 60 u.o.d.o. postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych jest prowadzone przez Prezesa UODO. Art. 7 ust. 1 u.o.d.o. stanowi z kolei, że w sprawach nieuregulowanych w tej ustawie do postępowań administracyjnych przed Prezesem UODO (w tym w postępowaniach w przedmiocie nałożenia administracyjnej kary pieniężnej, o których mowa w Rozdziale 11 u.o.d.o.) stosuje się przepisy k.p.a. Zgodnie z art. 7 ust. 2 u.o.d.o. postępowania te są postępowaniami jednoinstancyjnymi.

I. Naruszenia przepisów o ochronie danych osobowych, w związku ze stwierdzeniem których, nałożono na T. administracyjną karę pieniężną oraz skierowano do T. nakaz, o których mowa w punkcie I sentencji niniejszej decyzji.

I.1. Naruszenia wskazane w pkt I ppkt 1 sentencji niniejszej decyzji.

31.

Z treści art. 32 ust. 1 rozporządzenia 2016/679 wynika, że administrator jest zobowiązany do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Przepis precyzuje, że decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze.

32.

Z przytoczonego przepisu art. 32 ust. 1 rozporządzenia 2016/679 wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w tym artykule, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, powinny obejmować środki takie, jak:

a)

pseudonimizację i szyfrowanie danych osobowych,

b)

zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,

c)

zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,

d)

regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

33.

W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

34.

Jak wskazuje art. 24 ust. 1 rozporządzenia 2016/679, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze są czynnikami, które administrator ma obowiązek uwzględniać w procesie budowania systemu ochrony danych, również z punktu widzenia pozostałych obowiązków wskazanych m.in. w art. 32 ust. 1, czy art. 32 ust. 2 rozporządzenia 2016/679. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych (art. 24 ust. 2 rozporządzenia 2016/679).

35.

Wskazane przepisy art. 24 ust. 1 i 2 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 uszczegóławiają zasadę integralności i poufności określoną w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, a przestrzeganie tej zasady jest konieczne dla prawidłowej realizacji zasady rozliczalności wynikającej z art. 5 ust. 2 rozporządzenia 2016/679.

36.

Art. 5 ust. 1 lit. f) rozporządzenia 2016/679 wprowadza wymóg, by dane osobowe były przetwarzane w sposób zapewniający odpowiednie ich bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

37.

Z kolei zasada rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679 jest naczelną zasadą w tym akcie prawnym. Zgodnie z tym przepisem, administrator jest odpowiedzialny za przestrzeganie przepisów art. 5 ust. 1 rozporządzenia 2016/679 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”). Zasada rozliczalności nakłada zatem na administratora danych ciężar dowodowy, polegający na konieczności wykazania przez niego zarówno przed organem nadzorczym, jak również przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych.

38.

Analizując przepisy przytoczone powyżej, należy podkreślić, że jedną z podstaw prawnej ochrony danych osobowych wprowadzoną rozporządzeniem 2016/679 jest obowiązek zapewnienia bezpieczeństwa przetwarzanych danych, określony między innymi w art. 32 ust. 1 rozporządzenia 2016/679. Przepis ten wprowadza podejście oparte na ryzyku, wskazując jednocześnie kryteria, w oparciu o które administrator powinien dokonać wyboru odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Obok ryzyka naruszenia praw lub wolności osób fizycznych należy zatem uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania.

39.

Rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty, które przetwarzają dane osobowe, zobligowane są nie tylko do zapewnienia zgodności z wytycznymi ww. rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka. Konsekwencją takiej orientacji jest rezygnacja z list wymagań w zakresie bezpieczeństwa narzuconych przez prawodawcę, na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa.

40.

W świetle powyższego wskazać należy, że analiza ryzyka przeprowadzana przez administratora danych powinna zostać udokumentowana oraz uzasadniona na podstawie przede wszystkim określenia stanu faktycznego istniejącego w momencie jej przeprowadzania. Należy wziąć pod uwagę w szczególności charakterystykę zachodzących procesów, aktywa, podatności, zagrożenia oraz istniejące zabezpieczenia, w ramach zachodzących procesów przetwarzania danych osobowych. Nie można również w trakcie tego procesu pominąć zakresu oraz charakteru danych osobowych przetwarzanych w toku czynności realizowanych przez administratora danych, albowiem w zależności właśnie od zakresu oraz charakteru przetwarzanych danych zależeć będą potencjalne negatywne skutki dla osoby fizycznej w przypadku wystąpienia naruszenia ochrony jej danych osobowych.

41.

Aby analiza ryzyka została przeprowadzona w sposób właściwy, winny być zdefiniowane dla każdego z aktywów zagrożenia, mogące wystąpić w procesach przetwarzania danych. Określenie aktywa używane jest dla wskazania wszystkiego, co stanowi wartość dla administratora danych. Pewne aktywa stanowić będą wartość wyższą od innych, i również z tej perspektywy winny być oceniane i zabezpieczane. Bardzo istotne są również wzajemne powiązania występujących aktywów, np. poufność aktywów (danych osobowych) zależna będzie od rodzaju i sposobu przetwarzania tych danych. Ustalenie wartości aktywów jest konieczne do oszacowania skutków ewentualnego incydentu (naruszenia ochrony danych osobowych). Jest oczywistym, że szeroki zakres danych osobowych lub przetwarzanie danych osobowych, o których mowa w art. 9 lub art. 10 rozporządzenia 2016/679, może spowodować (w przypadku wystąpienia naruszenia ochrony danych osobowych) daleko idące negatywne skutki dla osób, których dane dotyczą, więc winny one być oceniane jako aktywa o wysokiej wartości, a co za tym idzie stopień ich ochrony powinien być odpowiednio wysoki.

42.

Określenie istniejących lub stosowanych zabezpieczeń jest konieczne, między innymi w tym celu, aby ich nie powielać. Należy również bezwzględnie sprawdzić skuteczność funkcjonowania tych zabezpieczeń, ponieważ istnienie zabezpieczenia niesprawdzonego po pierwsze może wyeliminować jego wartość, po drugie zaś może dać fałszywe poczucie bezpieczeństwa oraz może skutkować pominięciem (niewykryciem) krytycznej podatności, która wykorzystana spowoduje bardzo negatywne skutki, w tym w szczególności może doprowadzić do naruszenia ochrony danych osobowych.

43.

Konieczność przeprowadzenia analizy ryzyka podkreślona jest także w orzecznictwie. W tym przedmiocie wypowiedział Wojewódzki Sąd Administracyjny w Warszawie (zwany dalej: „WSA”) m.in. w wyroku z 5 października 2023 r., sygn. akt II SA/Wa 502/23, gdzie podniósł, że: „Administrator danych powinien zatem przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia”.

44.

WSA w uzasadnieniu wyroku z 26 sierpnia 2020 r., sygn. akt II SA/Wa 2826/19 (utrzymanym przez NSA wyrokiem z 28 lutego 2024 r., sygn. akt III OSK 3839/21), wskazał, że: „(…) Przepis ten [art. 32 rozporządzenia 2016/679] nie wymaga od administratora danych wdrożenia jakichkolwiek środków technicznych i organizacyjnych, które mają stanowić środki ochrony danych osobowych, ale wymaga wdrożenia środków adekwatnych. Taką adekwatność oceniać należy pod kątem sposobu i celu, w jakim dane osobowe są przetwarzane, ale też należy brać pod uwagę ryzyko związane z przetwarzaniem tych danych osobowych, które to ryzyko charakteryzować się może różną wysokością. Przyjęte środki mają mieć charakter skuteczny, w konkretnych przypadkach niektóre środki będą musiały być środkami o charakterze niwelującym niskie ryzyko, inne – muszą niwelować ryzyko wysokie, ważne jednak jest, aby wszystkie środki (a także każdy z osobna) były adekwatne i proporcjonalne do stopnia ryzyka (…) czynności o charakterze techniczno-organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych (…)”. Ponadto, w wyroku z 5 października 2023 r., sygn. akt II SA/Wa 502/23, WSA podniósł, że: „organ nadzorczy nie jest zobowiązany do wskazywania Administratorowi rozwiązań technicznych i organizacyjnych, które powinien on wdrożyć, aby przetwarzanie danych osobowych odbywało się zgodnie z prawem. To zadaniem Administratora jest wprowadzenie tych środków, a następnie - jeżeli pojawi się taka konieczność - wykazanie, że przestrzega on zasad przetwarzania danych osobowych określonych w rozporządzeniu 2016/679, zgodnie z zasadą rozliczalności (art. 5 ust. 2 ww. rozporządzenia)”. Podobnie wypowiedział się WSA w wyroku z 27 listopada 2024 r., sygn. II SA/Wa 251/24, dodatkowo wskazując, że: „[z]adaniem Prezesa UODO jest natomiast weryfikacja adekwatności tych środków, którą organ przeprowadza w oparciu o przedłożone przez administratora dokumenty, takie jak między innymi analiza ryzyka, polityka bezpieczeństwa, czy umowa powierzenia przetwarzania danych”.

45.

Odnosząc powyższe rozważenia do stanu faktycznego przedmiotowej sprawy wskazać należy, że z ustaleń utrwalonych w Protokole kontroli wynikało, że T. nie przeprowadził analizy ryzyka wiążącego się z przetwarzaniem danych osobowych, których jest administratorem. Wyjaśnienia złożone przez T. po zakończeniu Kontroli nie pozwoliły przyjąć odmiennej oceny w tym zakresie. Za właściwie przeprowadzoną analizę ww. ryzyka nie sposób bowiem uznać omawiania na spotkaniach organizowanych przez Dyrektora T. z osobami, których obowiązki wiązały się z przetwarzaniem danych osobowych, miejsc i sytuacji „w których szczególnie trzeba zwrócić uwagę na dane osobowe”. Tym bardziej, że rezultaty tego typu rozważań nie zostały w żaden sposób utrwalone.

46.

Fakt nieprzeprowadzenia przez Administratora właściwej analizy ryzyka wiążącego się z przetwarzaniem przez niego danych osobowych w sposób oczywisty przekłada się na niemożność dobrania na jej podstawie adekwatnych środków organizacyjnych lub technicznych, których wdrożenie miałoby zapewnić bezpieczeństwo przetwarzanych danych osobowych. Środki, na które wskazywano w Polityce nr 2 (przytoczone w pkt 13 uzasadnienia niniejszej decyzji) zostały określone w sposób bardzo ogólny, nieuwzględniający specyfiki działalności Administratora, który przetwarza m.in. dane o stanie zdrowia osób o różnym stopniu niepełnosprawności. Co więcej, ustalenia dokonane w trakcie przeprowadzonej w T. Kontroli pozwalają stwierdzić, że środki te w pewnym zakresie nie były stosowane. Ostatnie szkolenie z zasad przetwarzania danych osobowych zostało bowiem przeprowadzone 21 czerwca 2018 r. i objęło jedynie (…) z (…) osób zatrudnionych w czasie Kontroli w T. (zob.: pkt 13 ust. 2 lit. d) uzasadnienia niniejszej decyzji). Polityka nr 2 nie zawierała konkretnych procedur służących zapewnieniu bezpieczeństwa danych, dopasowanych organizacyjnie i technicznie do działalności T. (a także zapewnieniu regularnego testowania stosowanych środków organizacyjnych i technicznych celem weryfikacji, czy pozostają one adekwatne do rozpoznanego ryzyka wiążącego się z przetwarzaniem danych osobowych).

47.

Oceniając działania oraz zaniechania Administratora omówione w tej części (pkt I.1) uzasadnienia niniejszej decyzji, należy wziąć pod uwagę – we właściwym zakresie – argumentację Prezesa UODO przytoczoną w kolejnej części (pkt I.2) tego uzasadnienia. Jest to uzasadnione tym, że obowiązki administratora, tj. przeprowadzenie analizy ryzyka wiążącego się z przetwarzaniem danych osobowych oraz dobranie na jej podstawie adekwatnych środków organizacyjnych i technicznych mających zapewnić bezpieczeństwo przetwarzanych danych, a także obowiązek wdrożenia polityki ochrony danych osobowych, w której takie środki są wskazywane, w sposób oczywisty się łączą.

I.2. Naruszenia wskazane w pkt I ppkt 2 sentencji niniejszej decyzji.

48.

Zgodnie z motywem 78 rozporządzenia 2016/679, ochrona praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych wymaga wdrożenia odpowiednich środków technicznych i organizacyjnych, by zapewnić spełnienie wymogów niniejszego rozporządzenia. Aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych. Takie środki mogą polegać m.in. na minimalizacji przetwarzania danych osobowych, jak najszybszej pseudonimizacji danych osobowych, przejrzystości co do funkcji i przetwarzania danych osobowych, umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń.

49.

Przez pojęcie polityki ochrony danych należy rozumieć strategię ochrony danych, a więc przemyślany plan działań w dziedzinie ochrony danych, mający umożliwić osiągnięcie celu, jakim jest skuteczna ochrona danych. W tym rozumieniu polityka ochrony danych oznacza ogólny dokument wskazujący podstawowe założenia i cele, natomiast nie jest to akt normujący szczegółowe zagadnienia związane z technicznymi i organizacyjnymi środkami zabezpieczenia danych. Art. 24 ust. 2 rozporządzenia 2016/679 nakazuje administratorowi wdrożenie odpowiednich polityk ochrony danych, jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania.^[1]

50.

Analizując zaistniały w sprawie stan faktyczny, należy uznać, że ze względu na charakter, zakres, kontekst i cele przetwarzania danych przez T. (w tym tzw. danych wrażliwych, dotyczących stanu zdrowia) oraz ryzyko naruszenia praw lub wolności osób fizycznych (utrata danych, naruszenie ich poufności, itd.), wdrożenie przez T. adekwatnej polityki ochrony danych jest jego obowiązkiem.

51.

Przedstawiona przez T. dokumentacja nie pozwoliła ustalić, w jaki sposób wdrożono do stosowania Politykę nr 1, czy Politykę nr 2. Nie uczyniono tego żadnym dokumentem lub w inny rozliczalny, przejrzysty sposób wskazujący, że faktycznie zostały one usankcjonowane przez T. jako obowiązujące pracowników tego podmiotu dokumenty.

52.

Z uwagi na powyższe niejasności co do momentu wdrożenia i obowiązywania Polityki nr 1 i Polityki nr 2, analizując stan faktyczny należy również omówić pokrótce Politykę nr 1. Jest to uzasadnione przede wszystkim tym, że Polityka nr 1 – w odróżnieniu od Polityki nr 2 – zawierała załączniki, z których przynajmniej jeden (tj. załącznik nr (…)) zgodnie z wyjaśnieniami Administratora nadal był stosowany w czasie Kontroli (zob. pkt 25 uzasadnienia niniejszej decyzji).

53.

Polityka nr 1 została przekazana w toku Kontroli bez podpisu administratora danych w przeznaczonym do tego miejscu. Załączniki do tej Polityki tworzą: wzór oświadczenia pracownika o zapoznaniu się z polityką bezpieczeństwa danych osobowych, wzór rejestru czynności przetwarzania danych osobowych, wzór klauzuli informacyjnej ogólnej, wzór upoważnienia, wzór zgłoszenia naruszenia danych osobowych do organu nadzorczego, wzór raportu wewnętrznego z naruszenia danych osobowych, wzór umowy powierzenia z załącznikami oraz wzór rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora przez podmiot przetwarzający. Brak jest dowodu potwierdzającego zapoznanie z treścią ww. polityki osób zatrudnionych w T.. Należy również wskazać, że dokument ten nie zawiera istotnych postanowień, które ze względu na przedmiot działalności T. powinny się znaleźć w polityce ochrony danych w rozumieniu art. 24 ust. 2 rozporządzenia 2016/679. Ww. dokument nie zawiera bowiem skonkretyzowanych, kompleksowych i spójnych procedur lub instrukcji działania związanych z zachowaniem bezpieczeństwa ochrony danych osobowych w konkretnych procesach i sytuacjach ich przetwarzania, a w szczególności w kontekście pozyskiwania i przetwarzania danych osobowych osób ubiegających się lub korzystających z pomocy T..

54.

W ocenie organu nadzorczego treść Polityki nr 1 oraz jej załączników nie korespondowała w wystarczającym stopniu ze specyfiką działalności T. oraz czynnościami przetwarzania przez nią danych osobowych. Ograniczono się w niej (z nielicznymi wyjątkami dotyczącymi np. pkt II w rozdziale „Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych”, s. 7) do określenia jedynie ogólnych, podstawowych kwestii określonych rozporządzeniem 2016/679. W tej sytuacji Polityka nr 1 nie stanowiła dokumentu odzwierciedlającego i zarazem regulującego w należytym stopniu procesy pozyskiwania i przetwarzania danych osób przez T..

55.

Administrator w wyjaśnieniach złożonych po wszczęciu postępowania administracyjnego w niniejszej sprawie wskazał, iż w T. „obowiązuje jedna polityka ochrony danych osobowych - Polityka bezpieczeństwa danych osobowych w T. (…) prowadzonym przez G. z siedzibą w W.. Obowiązuje ona od dnia 1 października 2019 roku [Polityka nr 2 – przyp. własny]. Przedłożona w trakcie kontroli druga polityka była dokumentem obowiązującym poprzednio [Polityka nr 1 – przyp. własny]”. Wyjaśnienia Administratora w tym zakresie są jednak niespójne. Z jednej strony wynika z nich, że Polityka nr 2 miała zastąpić Politykę nr 1 (wobec stwierdzonych w niej braków), a z drugiej, Administrator wskazywał na załączniki do Polityki nr 1 jako obowiązujące w czasie Kontroli, gdy powinna już obowiązywać Polityka nr 2 (zob. wyjaśnienia dotyczące klauzuli informacyjnej przeznaczonej dla pracowników zawarte w pkt 25 uzasadnienia niniejszej decyzji). Taki sposób konstruowania zasad przetwarzania danych osobowych, którymi ma się kierować zarówno Administrator, jak i jego pracownicy, w sposób oczywisty nie ułatwia ich stosowania. Trudno bowiem rozstrzygnąć, czy w praktyce funkcjonuje tylko Polityka nr 2, czy jednocześnie obie ww. Polityki (co byłoby uzasadnionym przypuszczeniem z uwagi na fakt, iż Polityka nr 2, w odróżnieniu od Polityki nr 1, nie zawiera załączników w postaci m.in. wzorów klauzul informacyjnych, wzoru upoważnienia do przetwarzania danych osobowych udzielanego pracownikom, czy wzoru rejestru czynności przetwarzania). Nie jest też oczywiste, czy w T. obowiązuje Polityka nr 2 wraz z załącznikami z Polityki nr 1, a jeśli tak, niejasne pozostaje to, czy obowiązują wszystkie załączniki do Polityki nr 1, czy jedynie ich część (zob.: pkt 25 uzasadnienia niniejszej decyzji).

56.

Polityka nr 2 (zgodnie z wyjaśnieniami Administratora złożonymi w toku Kontroli) została opracowana wobec ujawnionych braków w Polityce nr 1 oraz w celu zapewnienia odpowiedniego bezpieczeństwa przetwarzanych danych osobowych. Okoliczności jej wdrożenia budzą jednak uzasadnione wątpliwości. W toku czynności kontrolnych ustalono bowiem, że podanie do wiadomości informacji o powstaniu ww. polityki bezpieczeństwa osobom zatrudnionym odbywało się poprzez indywidualne zaznajomienie pracownika w obecności kadrowej, natomiast nowi pracownicy poświadczają zapoznanie się z polityką bezpieczeństwa poprzez podpisanie oświadczenia o zapoznaniu się z ww. dokumentem. Niemożliwe jest więc pisemne wykazanie, że wszyscy pracownicy T. zapoznali się z treścią tej Polityki.

57.

Odnosząc się do zawartości Polityki nr 2 wskazać należy, że (podobnie jak Polityka nr 1) nie zawiera istotnych postanowień, które ze względu na przedmiot działalności T. powinny się znaleźć w polityce ochrony danych w rozumieniu art. 24 ust. 2 rozporządzenia 2016/679. Ww. dokument nie zawiera bowiem skonkretyzowanych, kompleksowych i spójnych procedur lub instrukcji działania związanych z zachowaniem bezpieczeństwa ochrony danych osobowych w konkretnych procesach i sytuacjach ich przetwarzania, a w szczególności w kontekście pozyskiwania i przetwarzania danych osobowych osób ubiegających się lub korzystających z pomocy T.. Treść Polityki nr 2 nie koresponduje w wystarczającym stopniu ze specyfiką działalności T. oraz czynności przetwarzania przez nią danych osobowych, ograniczając się z nielicznymi wyjątkami (zob.: § 11 pkt 3 przytoczony w pkt 13 uzasadnienia niniejszej decyzji) do określenia jedynie ogólnych, podstawowych kwestii określonych rozporządzeniem 2016/679. Wskazane w niej środki organizacyjne i techniczne mające zapewnić bezpieczeństwo przetwarzanych danych osobowych nie uwzględniają również specyficznych warunków przetwarzania danych – w tym przez pracowników podejmujących działania wykraczające czasem poza standardowe zadania magazyniera, czy pokojowej (zob. wyjaśnienia zawarte w pkt 28 uzasadnienia niniejszej decyzji).

58.

Przedstawiona dokumentacja nie pozwoliła również stwierdzić, by w czasie Kontroli obowiązywały w T. procedury lub instrukcje dokonywania okresowych przeglądów wdrożonych środków technicznych i organizacyjnych w celu weryfikacji, czy nie zachodzi potrzeba aktualizacji środków już wdrożonych. Administrator w piśmie przesłanym po przeprowadzeniu Kontroli, podnosił, że: „Nie jest (…) prawdą, że administrator nie wdrożył procedur lub instrukcji dokonywania okresowych przeglądów wdrożonych środków technicznych i organizacyjnych w celu weryfikacji potrzeby aktualizacji. W § 16 Polityki [Polityki nr 2 – przyp. własny] zawarto następujące postanowienie: 1) Polityka może być aktualizowana przez Administratora Danych m.in.: ze względu na zmianę powszechnie obowiązujących przepisów lub w sytuacji gdy zostanie stwierdzone, że nie spełnia swoich zadań związanych z właściwym zabezpieczeniem danych osobowych. 2) Przeprowadzone zmiany wymienione w ust. 1 nie mogą skutkować zmniejszeniem stopnia ochrony danych. Z powyższego wynika, że wprowadzono podstawy formalne do dokonywania okresowych przeglądów wdrożonych środków technicznych i organizacyjnych”. Rozważając zasadność tych twierdzeń, należy jednak zaznaczyć, że samo dopuszczenie możliwości zmian w obowiązującej polityce ochrony danych osobowych było w analizowanej sytuacji niewystarczające. W toku czynności kontrolnych ustalono bowiem, że Administrator nie przeprowadził ani jednego przeglądu wdrożonych środków technicznych i organizacyjnych.

59.

Z wyjaśnień Administratora złożonych już po zakończeniu Kontroli wynika jednak, że wprowadził w powyższym zakresie pewne zmiany, opisane szczegółowo w pkt 24 uzasadnienia niniejszej decyzji. Mimo dużego stopnia ogólności postanowień omówionego w tym pkt „Zarządzenia o dokonywaniu okresowych przeglądów wdrożonych środków technicznych i organizacyjnych”, można je w tym przypadku uznać za wystarczające, o ile coroczne przeglądy polityk oraz wdrożonych środków technicznych i organizacyjnych będą przez Administratora faktycznie rzetelnie przeprowadzane.

I.3. Podsumowanie dotyczące naruszeń wskazanych w pkt I sentencji niniejszej decyzji w kontekście zasad z art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679.

60.

Podkreślenia wymaga, że rozporządzenie 2016/679 zakłada neutralność technologiczną, organizacyjną, długą perspektywę czasową stosowania, a także założoną swobodę działania administratora w zakresie wyboru środków realizacji. Art. 24 rozporządzenia 2016/67 stanowi potwierdzenie odejścia od dotychczasowego statycznego, formalnego i de facto reaktywnego modelu ochrony danych na rzecz podejścia opartego na całościowym spojrzeniu na ochronę danych osobowych (z perspektywy konkretnego administratora) uwzględniającego występujące zagrożenia i ryzyko z tym związane, co wymusza zastosowanie modelu ochrony proaktywnej, prewencyjnej, bez sztywnych (określonych z góry) narzuconych przez prawodawcę formalnych techniczno-organizacyjnych ram przetwarzania^[2]. Nie oznacza to jednak całkowitej swobody działań administratorów. Prawodawca w art. 24 rozporządzenia 2016/679 odnoszącym się m.in. do polityk, ustanowił dodatkowe wymaganie skierowane do administratora, który powinien być w stanie wykazać spełnienie wymogów dotyczących zabezpieczenia danych i zgodności z przepisami tego rozporządzenia. Służyć temu może dokumentowanie przeprowadzonej analizy ryzyka i innych działań podjętych w celu zapewnienia zgodności z przepisami komentowanego rozporządzenia. Taka konstrukcja nawiązuje do ogólnego obowiązku rozliczalności, o którym mowa w przepisie art. 5 ust. 2 rozporządzenia 2016/679, ustanawiającym zasady ogólne przetwarzania danych^[3].

Art. 5 ust. 1 lit. f) rozporządzenia 2016/679 stanowi, że dane osobowe muszą być przez administratora przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). Zgodnie ze wskazaną powyżej zasadą zawartą w art. 5 ust. 2 rozporządzenia 2016/679, administrator jest odpowiedzialny za przestrzeganie omówionych powyżej zasad i powinien być w stanie wykazać ich przestrzeganie, co zostało w rozporządzeniu nazwane „rozliczalnością”. Przepisy nakładają na administratora obowiązki w zakresie przestrzegania zasad i obarczają go odpowiedzialnością za ich naruszenie. Administrator danych powinien przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia, aby móc zastosować odpowiednie środki pozwalające skutecznie zabezpieczyć przetwarzane dane.^[4]

Tymczasem z ustaleń dokonanych w toku Kontroli wynika, że w T. nie została przeprowadzona analiza ryzyka. W takiej sytuacji nie tylko niemożliwe było prawidłowe rozpoznanie ryzyka wiążącego się z przetwarzaniem danych osobowych przez T., ale również dobór i wdrożenie adekwatnych do rozpoznanych ryzyk środków organizacyjnych i technicznych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych. Na marginesie warto również podkreślić, że wdrożenie i skuteczne stosowanie tych środków wymaga zwykle regularnych szkoleń osób zobowiązanych do ich stosowania, tymczasem w toku Kontroli ustalono, że ostatnie szkolenie z zasad przetwarzania danych osobowych zostało przeprowadzone 21 czerwca 2018 r. i objęło jedynie (…) z (…) osób zatrudnionych (w czasie Kontroli) w T..

61.

Podsumowując, należy wskazać, że niewyciągnięcie właściwych wniosków płynących z rzetelnie przeprowadzonej analizy ryzyka wiążącego się z przetwarzaniem danych osobowych przez T., wiąże się z kolei z brakiem wdrożenia adekwatnych do stwierdzonych ryzyk środków organizacyjnych i technicznych mających na celu zapewnienie bezpieczeństwa tych danych. Sformułowanie przez Administratora Polityki nr 2 nie doprowadziło w tym zakresie do stanu zgodności z przepisami o ochronie danych osobowych. Nadto, w sytuacji, gdy T. nie jest w stanie przedstawić dowodu wskazującego wyraźnie datę wdrożenia żadnej z przedstawionych w toku Kontroli polityk (tj. wejścia w życie ich postanowień), osób uprawnionych do wdrożenia oraz niebudzącego wątpliwości stosownego ich oświadczenia w tym względzie, należy uznać, że wdrożenie tych polityk nastąpiło w niedostatecznym stopniu i jest przez to nierozliczalne.

62.

Działaniami i zaniechaniami omówionymi w ppkt I.1 i I.2 tej części uzasadnienia niniejszej decyzji, Administrator naruszył nie tylko art. 24 ust. 1 i 2 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, lecz również zasadę integralności i poufności określoną w art. 5 ust. 1 lit. f) rozporządzenia 2016/679 oraz zasadę rozliczalności, o której stanowi art. 5 ust. 2 rozporządzenia 2016/679.

63.

Stwierdzone w tym zakresie naruszenia dodatkowo uzasadniają nakazanie Administratorowi dostosowania operacji przetwarzania do przepisów rozporządzenia 2016/679 poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zminimalizowania ryzyka wiążącego się z przetwarzaniem danych osobowych, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, na podstawie przeprowadzonej analizy ryzyka przetwarzania danych osobowych, uwzględniającej stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, w terminie 90 dni od dnia doręczenia niniejszej decyzji.

II. Naruszenia przepisów o ochronie danych osobowych, w związku ze stwierdzeniem których udzielono T. upomnień.

II.1. Naruszenia przepisów w zakresie, o jakim mowa w pkt II sentencji niniejszej decyzji.

64.

Stosownie do zasady wyrażonej w art. 5 ust. 1 lit. a) rozporządzenia 2016/679 in fine, dane osobowe powinny być przetwarzane „w sposób przejrzysty dla osoby, której dane dotyczą”. Oznacza to, że podmiot danych powinien być informowany o przetwarzaniu jego danych, powinien mieć także świadomość typowych konsekwencji, jakie z przetwarzaniem się wiążą. Wyrazem realizacji tej zasady są rozbudowane obowiązki dotyczące realizacji uprawnień osób, których dane dotyczą, wśród których szczególną rolę odgrywają prawa informacyjne. Można bowiem stwierdzić przejrzystość procesów przetwarzania danych wówczas, gdy osoba, której dane dotyczą, została należycie poinformowana o istotnych dla niej aspektach tego przetwarzania.

65.

Na gruncie rozporządzenia 2016/679 wymóg przejrzystości przetwarzania danych został skonkretyzowany w obowiązkach wynikających z art. 12 rozporządzenia 2016/679, który określa m.in. standard komunikacji z podmiotem danych w razie realizacji przysługujących mu uprawnień. Na ideę transparentności przetwarzania wskazuje również motyw 58 rozporządzenia 2016/679, stanowiąc, iż dane osobowe są przetwarzane w sposób przejrzysty, jeżeli informacje, o których mowa w motywie 39 rozporządzenia 2016/679, są formułowane jasnym i prostym językiem, a w stosownych przypadkach dodatkowo wizualizowane. Administrator powinien ponadto zadbać o to, aby osoba, której dane dotyczą, była świadoma ryzyka, zasad, zabezpieczeń i praw związanych z przetwarzaniem jej danych. Wyklucza to możliwość tajnego i ukrytego przetwarzania danych osobowych, chyba że jest to wyraźnie dozwolone prawem. Generalnie można stwierdzić, że zasada ta statuuje obowiązek aktywnego podejmowania przez administratora wskazanych działań^[5].

66.

W motywie 39 preambuły rozporządzenia 2016/679 wyjaśniono, że dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane. Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących. Osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem.

67.

Konsekwencją wprowadzenia omawianego wymogu jest rozszerzenie obowiązków informacyjnych, określonych przepisami art. 12–14 rozporządzenia 2016/679 (przy czym następne przepisy, tj. art. 15–22 tego rozporządzenia, określają prawa podmiotów przetwarzanych danych osobowych).

68.

T., jak sam wskazał w Klauzuli dla mieszkańców przedstawionej w toku Kontroli, przetwarza dane osobowe m.in. na podstawie ustawy o pomocy społecznej^[6]. Zgodnie z art. 100 ust. 2 tej ustawy, podmioty i osoby realizujące zadania w zakresie pomocy społecznej określone w ustawie przetwarzają dane osobowe osób, do których stosuje się ustawę, oraz członków ich rodzin w zakresie i celu niezbędnych do realizacji zadań wynikających z ustawy. Zgodnie zaś z ust. 3 tego artykułu, w związku z przetwarzaniem danych osobowych w celu udzielenia świadczeń, o których mowa w art. 106 ust. 2, oraz w celu świadczenia usług m.in. w T. (…), wykonanie obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, następuje przez zamieszczenie informacji, o których mowa w art. 13 ust. 1 i 2 tego rozporządzenia, w widocznym miejscu w budynku, w którym udzielane są świadczenia lub świadczone usługi. W toku Kontroli nie stwierdzono, by klauzula taka została w ten sposób udostępniona osobom, których dane są przetwarzane przez T..

69.

W kontekście stwierdzonych przez organ nadzorczy nieprawidłowości związanych ze stosowanymi przez Administratora klauzulami informacyjnymi należy przytoczyć przepisy art. 12 ust. 1 i 2 oraz art. 13 ust. 1 i 2 rozporządzenia 2016/679, które stanowią, że:

1)

administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację na mocy art. 15-22 i 34 w sprawie przetwarzania. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą (art. 12 ust. 1 rozporządzenia 2016/679),

2)

administrator ułatwia osobie, której dane dotyczą, wykonanie praw przysługujących jej na mocy art. 15-22. W przypadkach, o których mowa w art. 11 ust. 2, administrator nie odmawia podjęcia działań na żądanie osoby której dane dotyczą pragnącej wykonać prawa przysługujące jej na mocy art. 15-22, chyba że wykaże, iż nie jest w stanie zidentyfikować osoby, której dane dotyczą (art. 12 ust. 2 rozporządzenia 2016/679),

3)

(art. 13 ust. 1 rozporządzenia 2016/679:) jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:

a)

swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;

b)

gdy ma to zastosowanie - dane kontaktowe inspektora ochrony danych;

c)

cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;

d)

jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;

e)

informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

f)

gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia,

4)

(art. 13 ust. 2 rozporządzenia 2016/679:) poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

a)

okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

b)

informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

c)

jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;

d)

informacje o prawie wniesienia skargi do organu nadzorczego;

e)

informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

f)

informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz - przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

70.

Obowiązek informacyjny przy przetwarzaniu danych jest ściśle związany z jednym z uprawnień składających się na prawo do ochrony danych osobowych – uprawnieniem osoby, której dane dotyczą, do „bycia poinformowanym” o fakcie i okolicznościach przetwarzania danych. Podmiot danych powinien wiedzieć (móc się dowiedzieć) o tym, że administrator przetwarza (zamierza przetwarzać) jego dane osobowe, gdyż tego rodzaju wiedza pozwala na decydowanie o przetwarzaniu danych (prawo do informacyjnego samookreślenia), daje także możliwość reagowania w sytuacjach, gdy przetwarzanie odbywa się z naruszeniem prawa. Uprawnienie do uzyskania informacji o przetwarzaniu warunkuje możliwość korzystania z innych uprawnień przyznanych podmiotowi danych, gdyż tylko osoba poinformowana może domagać się skorygowania nieprawidłowych danych, wnieść sprzeciw wobec przetwarzania danych bądź skorzystać z innych uprawnień przyznanych jej w przepisach o ochronie danych. Osoba pozbawiona możliwości uzyskania informacji o przetwarzaniu danych jej dotyczących nie wie o fakcie (bądź zamiarze) przetwarzania danych, a co za tym idzie – nie jest w stanie zareagować i korzystać z przysługujących jej uprawnień^[7].

71.

Nałożone na administratora obowiązki informacyjne i odpowiadające im po stronie podmiotu danych uprawnienia informacyjne stanowią przejaw realizacji zasady przejrzystości przetwarzania dla osoby, której dane dotyczą, określonej w art. 5 ust. 1 lit. a) rozporządzenia 2016/679. W specyficznych warunkach działania takich podmiotów jak T., zasady te nabierają szczególnego znaczenia – zwłaszcza z uwagi na rodzaj przetwarzanych danych (dane o stanie zdrowia).

72.

W toku Kontroli ustalono, że obowiązująca w T. Klauzula dla mieszkańców (szczegółowo opisana w pkt 15 uzasadnienia niniejszej decyzji) poza tym, że zawierała sprzeczne informacje dotyczące tego, kto jest administratorem danych, dotknięta jest również innymi wadami dotyczącymi jej treści. Nie tylko nie precyzowała czasu przetwarzania danych osobowych i nie zawierała informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 rozporządzenia 2016/679, ale również wykazywała pozostałe braki wskazane w pkt 15 uzasadnienia decyzji, które zostaną omówione dodatkowo w kolejnych pkt niniejszej jego części. Kontrolujący ustalili również, że nie została ona przedstawiona do publicznej wiadomości (np. wywieszona na korytarzu w T., czy zamieszczona na stronie internetowej Administratora).

73.

Należy w tym miejscu przypomnieć również, że w Klauzuli dla mieszkańców jako podstawę przetwarzania danych osobowych wskazano m.in. art. 6 ust. 1 lit. c) i e) oraz art. 9 ust. 2 lit. b) rozporządzenia 2016/679 „w zw. z ustawą z dnia 12 marca 2004 r. o pomocy społecznej, ustawą z dnia 19 sierpnia 1994 r. o ochronie zdrowia psychicznego, rozporządzeniem Ministra Pracy i Polityki Społecznej z dnia 23 sierpnia 2012 r. w sprawie T. (…)”, art. 6 ust. 1 lit. c) i e) oraz art. 9 ust. 2 lit. c) rozporządzenia 2016/679 „w zw. z ustawą o narodowym zasobie archiwalnym i archiwach oraz wydanych na jej podstawie aktach wykonawczych” oraz art. 6 ust. 1 lit. a) i b) ww. rozporządzenia. Zgodnie z art. 6 ust. 1 lit. a), b), c) i e) rozporządzenia 2016/679, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a)

osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b)

przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c)

przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

e)

przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

Z kolei art. 9 ust. 2 lit. b) i c) rozporządzenia 2016/679 stanowi, że wyrażony w ustępie 1 tego artykułu zakaz przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby, nie ma zastosowania, jeżeli:

b)

przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą,

c)

przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody.

Odnosząc się do faktu wskazania w tej klauzuli ustaw (zob. cytowany powyżej fragment), należy podkreślić, że trudno jest mówić o czytelności klauzuli odsyłającej do całej ich treści.

74.

Zamieszczona w Klauzuli dla mieszkańców informacja o podstawie prawnej przetwarzania danych osobowych nie ujmuje istoty rzeczy, bowiem samo odesłanie np. do ww. artykułów rozporządzenia 2016/679 nie spełnia wymogu przejrzystości informowania – przepisy te określają jedynie warunki, w których takie przetwarzanie jest prawnie dopuszczone. Zatem odesłanie do art. 6 ust. 1 lit. c) lub e) i art. 9 ust. 2 rozporządzenia 2016/679 nie spełnia tego wymogu, jeśli nie wskazano konkretnych przepisów prawa (UE lub krajowego), z których wynika obowiązek lub zadanie oraz zakres danych – w tym miejscu warto dodatkowo zaznaczyć, że odsyłanie do całych tekstów aktów prawnych nie jest zrozumiałe. Ponadto, klauzula informacyjna winna zawierać wyraźne wskazanie, że poza zwykłymi danymi osobowymi, będą przetwarzane dane szczególnej kategorii, w przypadku których rozporządzenie 2016/679 stawia bardziej surowe wymogi niż w sytuacji przetwarzania danych osobowych niewymienionych w art. 9 ust. 1 i art. 10 rozporządzenia 2016/679.

75.

W ocenie Prezesa UODO, nie jest wystarczające wskazanie, że dane osobowe będą przetwarzane na podstawie art. 6 ust. 1 lit. a), b), c) i e) czy art. 9 ust. 2 lit. b) i c) rozporządzenia 2016/679 – przepisy te odnoszą się jedynie do warunków, jakie należy spełnić by przetwarzanie danych osobowych było dopuszczalne, nie zaś do kwestii podstawy prawnej przetwarzania danych. Podobnie niewystarczające (a przede wszystkim niespełniające warunku przejrzystości) jest odsyłanie w klauzulach informacyjnych do całych tekstów ustaw.

76.

Powyżej wskazana okoliczność ma szczególne znaczenie, jako że T. przetwarza – jak już wyżej wspomniano – dane szczególnej kategorii, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, tj. dane osób korzystających z pomocy T. dotyczące m.in.: informacji o niepełnosprawności, chorobie, czy informacji zawartych w orzeczeniach lekarskich.

77.

Ukształtowanie klauzuli informacyjnej w sposób opisany powyżej jest objęte również wadami w postaci wskazania na możliwość zrealizowania praw z art. 15-22 rozporządzenia 2016/679, które w praktyce nie mogłyby być wyegzekwowane (zob.: pkt 15 lit. c) uzasadnienia niniejszej decyzji).

78.

Przepisy art. 15 – 22 rozporządzenia 2016/679 odnoszą się do praw przysługującym osobom, których te dane dotyczą, tj. prawo dostępu do danych (art. 15), prawo do sprostowania danych (art. 16), prawo do usunięcia danych (art. 17), prawo do ograniczenia przetwarzania danych (art. 18), prawo do przenoszenia danych (art. 20), prawo do sprzeciwu (art. 21), prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu. Katalog praw przysługujących w świetle rozporządzenia 2016/679 osobom, których dane dotyczą, nie będzie wykorzystywany w pełnym zakresie przy każdym procesie przetwarzania. Przeciwnie, jest on elastyczny w zależności od podstawy prawnej, zakresu i celu przetwarzania. Podmiotom, których dane dotyczą, przysługuje możliwość skorzystania z uprawnień, o których mowa w ww. przepisach rozporządzenia 2016/679. Uprawnienia te nie mają charakteru bezwzględnego, tzn. znaczna ich część przysługuje po spełnieniu określonych przepisami przesłanek, dlatego też informowanie w tym zakresie również będzie ograniczone jedynie do tych przypadków, w których poszczególne uprawnienia przysługują.

79.

Należy wskazać, że Klauzula dla mieszkańców w zakresie, w jakim zawierała informacje dotyczące ww. uprawnień, nie została sformułowana w sposób jasny i zrozumiały. Biorąc pod uwagę te błędy oraz niejasne zapisy dotyczące osoby administratora oraz okresu przechowywania danych osobowych, należy uznać, że nie spełniono wymogów z właściwych przepisów zawartych w art. 12 i 13 rozporządzenia 2016/679.

80.

Ze względu na wyjaśnienia Administratora, z których wynika, że „Klauzula dla pracowników” opisana w pkt 16 uzasadnienia niniejszej decyzji (która nie spełniała kryteriów, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, gdyż nie zawiera żadnego z elementów wymaganych tymi przepisami) jednak nie była tą, która obowiązywała w czasie Kontroli, analizą należy objąć Właściwą Klauzulę dla pracowników (szczegółowo opisaną w pkt 25 uzasadnienia niniejszej decyzji).

81.

Niestety, również Właściwa Klauzula dla pracowników dotknięta jest brakami. Jak już wskazywano w pkt 25 lit. a) uzasadnienia niniejszej decyzji, nie zawiera ona czytelnych informacji na temat tego, w jakich przypadkach osoba, której dane są przetwarzane, może skorzystać ze wskazanych w niej praw. Poinformowano w niej jedynie, że osobom tym przysługuje prawo:

–

wniesienia skargi do organu nadzorczego,

–

dostępu do tych danych, otrzymania ich kopii, sprostowania ich oraz uzupełnienia, usunięcia, ograniczenia przetwarzania, przenoszenia danych osobowych, a także do wniesienia sprzeciwu wobec przetwarzania danych,

–

w stosunku do danych osobowych, które są przetwarzane na podstawie zgody: prawo jej wycofania w dowolnym momencie.

82.

Klauzula, o której mowa w poprzednim punkcie uzasadnienia niniejszej decyzji, nie precyzowała również podstaw prawnych przetwarzania danych osobowych – w jej treści odniesiono się jedynie do art. 6 ust. 1 lit. a), e) i f) oraz art. 9 ust. 2 lit. a) rozporządzenia 2016/679 – i to jedynie w kontekście praw osób, których dane są przetwarzane. Klauzula ta nie zawiera dodatkowych informacji pozwalających ustalić, spełnienie jakich konkretnie obowiązków ciążących na Administratorze wymaga przetwarzania danych osobowych. Przepisy przywołane w tym zakresie przez T. zostały już wcześniej w części przytoczone przy omawianiu braków dotyczących Klauzuli dla mieszkańców (zob. pkt 73 uzasadnienia niniejszej decyzji). Pozostały art. 6 ust. 1 lit. f) rozporządzenia 2016/679 stanowi, że przetwarzanie jest zgodne z prawem wyłącznie w przypadku, gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Art. 9 ust. 2 lit. a) rozporządzenia 2016/679 z kolei dopuszcza możliwość przetwarzania danych szczególnej kategorii, gdy osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1. Taki sposób informowania o podstawach prawnych przetwarzania danych osobowych przez pracodawcę nie spełnia celów, o których mowa w art. 13 ust. 1 lit. c) rozporządzenia 2016/679. Ponadto klauzula ta nie precyzuje okresu przechowywania danych osobowych (o którym mowa w art. 13 ust. 2 lit. a) rozporządzenia 2016/679) oraz nie zawiera informacji wymaganych zgodnie z art. 13 ust. 2 lit. e) rozporządzenia 2016/679 (tj. informacji, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych) oraz informacji, o których mowa w lit. f) ww. artykułu (tj. informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 ww. rozporządzenia).

83.

Między innymi z uwagi na obowiązującą Administratora zasadę przejrzystości z art. 5 ust. 1 lit. a) rozporządzenia 2016/679 oraz zasadę rozliczalności z art. 5 ust. 2 tego rozporządzenia nie można uznać istniejącej w trakcie Kontroli (zgodnie z wyjaśnieniami T.) praktyki spełniania obowiązku informacyjnego względem pracowników także ustnie za właściwą, choćby z punktu widzenia tej ostatniej zasady (wybór takiej formy pozbawia zwykle administratorów jasnych dowodów na spełnienie ich obowiązków). Ponadto taki sposób spełniania obowiązku informacyjnego nie pozwala stwierdzić, że braki wskazane w poprzednich dwóch punktach uzasadnienia niniejszej decyzji zostały faktycznie i skutecznie uzupełnione w przypadku każdego z pracowników – treść tej Klauzuli była niekompletna i niespójna, a Administrator nie wykazał spełnienia obowiązku z art. 13 rozporządzenia 2016/679 wobec każdego z pracowników.

84.

Z uwagi na wskazane w poprzednich punktach części II.1 uzasadnienia niniejszej decyzji braki dotyczące Klauzuli dla mieszkańców oraz Właściwej klauzuli dla pracowników obowiązujących w dacie prowadzenia Kontroli, należy stwierdzić, że T. nie realizował wówczas obowiązku informacyjnego w sposób właściwy, o którym mowa w art. 12 ust. 1 i ust. 2 w zw. z art. 13 ust. 1 i ust. 2 rozporządzenia 2016/679, naruszając tym samym zasadę określoną w art. 5 ust. 1 lit. a) ww. rozporządzenia. Administrator nie zapewnił przetwarzania danych osobowych w sposób przejrzysty dla osób, których dane dotyczą, co stanowi również naruszenie art. 5 ust. 2 tego rozporządzenia. Należy jednak przy tym odnotować, że przedstawione przez Administratora po zakończeniu Kontroli poprawione dokumenty, tj. Poprawiona Klauzula dla pracowników oraz Poprawiona Klauzula dla mieszkańców spełniały już zasadniczo wymagania wynikające z przepisów o ochronie danych osobowych. Z uwagi na te działania Administratora zmierzające do doprowadzenia do stanu zgodności z prawem, Prezes UODO zdecydował się na zastosowanie środka naprawczego z art. 58 ust. 2 lit. b) rozporządzenia 2016/679 (tj. upomnienia), którego zasadność została opisana w części G uzasadnienia niniejszej decyzji.

II.2. Naruszenia przepisów w zakresie, o jakim mowa w pkt III sentencji niniejszej decyzji.

85.

Poddając ocenie ustalenia dokonane w trakcie Kontroli dotyczące zawartych przez Administratora umów powierzenia przetwarzania danych osobowych z dwiema spółkami: Z. sp. z o.o. z siedzibą w C. oraz U. (…) sp. z o.o. z siedzibą w R., należy wziąć pod uwagę art. 28 ust. 3 rozporządzenia 2016/679. Zgodnie z tym przepisem, przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:

a)

przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;

b)

zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

c)

podejmuje wszelkie środki wymagane na mocy art. 32;

d)

przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4;

e)

biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;

f)

uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36;

g)

po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;

h)

udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

W związku z obowiązkiem określonym w akapicie pierwszym lit. h) podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.

86.

Analiza zawartych przez T. umów powierzenia przetwarzania danych ze spółkami: Z. sp. z o.o. z siedzibą w C. (w związku z realizowaniem stałych zleceń na rzecz T., polegających na dostawie dla podopiecznych T. artykułów higienicznych) oraz U. (…) sp. z o.o. z siedzibą w R. (w przedmiocie obsługi informatycznej T.) przedstawionych w czasie Kontroli, wykazała, że umowy te nie spełniają wymogów określonych w art. 28 ust. 3 rozporządzenia 2016/679.

87.

W przypadku umowy powierzenia zawartej przez Administratora z Z. sp. z o.o. z siedzibą w C. brak było postanowień dotyczących obowiązków i praw administratora, a także zapisów wymaganych zgodnie z art. 28 ust. 3 lit. a), e) oraz f) rozporządzenia 2016/679.

88.

Prezes UODO stwierdził również, że umowa zawarta przez Administratora z U. (…) sp. z o.o. z siedzibą w R., dotknięta jest tymi samymi, co wyżej wymienione (w pkt 87) brakami, a ponadto nie zawiera w jego ocenie prawidłowego wskazania rodzaju danych osobowych oraz kategorii osób, których dane dotyczą. Oceniając treść zapisu z § 5 pkt 2 umowy powierzenia zawartej przez T. z tą spółką wskazać należy, że określenie zakresu poprzez „wszelkie dane osobowe przetwarzane w systemach teleinformatycznych” należy uznać za niewłaściwe i zbyt generalne. Przedstawiony w omawianej umowie opis powierzenia nie zawiera postanowień pozwalających na jednoznaczne ustalenie jego zakresu.

89.

Braki stwierdzone w przypadku obu ww. umów powierzenia nie tylko pozwalają uznać, że Administrator naruszył przepisy art. 28 ust. 3 rozporządzenia 2016/679, ale również, że doszło tym samym do naruszenia zasady zgodności z prawem art. 5 ust. 1 lit. a) rozporządzenia 2016/679, a także wskazanej w art. 5 ust. 2 ww. rozporządzenia zasady rozliczalności w związku z nieodpowiednim udokumentowaniem przez administratora czynności powierzenia danych osobowych.

90.

Formułując na podstawie art. 58 ust. 2 lit. d) rozporządzenia 2016/679 nakaz wskazany pkt III lit. B) sentencji niniejszej decyzji należało oczywiście wziąć pod uwagę wyjaśnienia T. złożone po zakończeniu Kontroli, z których wynika, że umowa z Z. sp. z o.o. z siedzibą w C. uległa rozwiązaniu (zob.: pkt 27 uzasadnienia niniejszej decyzji) – nakaz byłby więc w tym zakresie zupełnie niezasadny. Umowa z U. (…) sp. z o.o. z siedzibą w R. jednak nadal obowiązuje. Co prawda w swoich wyjaśnieniach T. wskazał, że po zakończeniu Kontroli w umowie zawartej z tą spółką wprowadzono zmiany rozszerzające postanowienia o zobowiązania opisane w ww. pkt 27 uzasadnienia niniejszej decyzji, lecz nie doprowadziło to do stanu pełnej zgodności z wymogami art. 28 ust. 3 rozporządzenia 2016/679 (w ramach tych zmian wprowadzono jednak zapis zgodny z art. 28 ust. 3 lit. b) rozporządzenia 2016/679). Z uwagi na to, Prezes UODO zdecydował o nakazaniu Administratorowi dostosowania operacji przetwarzania danych osobowych poprzez zaprzestanie powierzania przetwarzania danych osobowych U. (…) sp. z o.o. z siedzibą w R. w oparciu o umowę powierzenia przetwarzania danych osobowych, która nie zawiera wszystkich elementów wskazanych w art. 28 ust. 3 rozporządzenia 2016/679, tj.: rodzaju danych osobowych oraz kategorii osób, których dane dotyczą, obowiązków i praw administratora oraz elementów wskazanych w lit. a), e) i f) tego artykułu. Środek ten służy doprowadzeniu działań Administratora do stanu zgodności z prawem na przyszłość. Ponadto w związku ze stanem faktycznym stwierdzonym w czasie Kontroli (nieprawidłowości dotyczące umów z obiema ww. spółkami, które wówczas były zawarte przez Administratora). Prezes UODO zdecydował się na zastosowanie środka naprawczego z art. 58 ust. 2 lit. b) rozporządzenia 2016/679 (tj. upomnienia), którego zasadność została opisana w części G uzasadnienia niniejszej decyzji.

II.3. Naruszenia przepisów w zakresie, o jakim mowa w pkt IV sentencji niniejszej decyzji.

91.

Przy rozważaniach dotyczących stwierdzonych w toku Kontroli nieprawidłowości dotyczących upoważnień do przetwarzania danych osobowych nadawanych przez Administratora, należy przytoczyć art. 29 i 32 ust. 4 rozporządzenia 2016/679, które stanowią, że:

1)

podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego (art. 29 rozporządzenia 2016/679),

2)

administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego (art. 32 ust. 4 rozporządzenia 2016/679).

92.

W toku Kontroli ustalono, że upoważnienia udzielane przez Administratora niektórym pracownikom były dotknięte brakami opisanymi w pkt 18 uzasadnienia niniejszej decyzji. Na podstawie dalszych wyjaśnień Administratora ustalono również m.in., że dochodziło do przetwarzania danych osobowych ponad zakres wskazany w upoważnieniu (zob.: opisany w pkt 28 uzasadnienia niniejszej decyzji przypadek upoważnienia udzielanego magazynierce, która przetwarzała dane osobowe nie tylko dostawców, ale również mieszkańców T.).

93.

Biorąc pod uwagę treść przepisów art. 29 i art. 32 ust. 4 rozporządzenia 2016/679, należy uznać, że prawodawca z jednej strony wymaga, aby administrator był w stanie wykazać, że przetwarzanie danych przez jego pracowników odbywa się wyłącznie na jego polecenie i że podjął działania w celu zapewnienia, by każda osoba fizyczna działająca z jego upoważnienia, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na jego polecenie, np. w drodze udzielenia upoważnień osobom przetwarzającym dane na polecenie administratora, z drugiej zaś udzielenie rzeczonych upoważnień powinno być dokonane w formie umożliwiającej wykazanie tej czynności przed organem nadzorczym (np. pisemny lub elektroniczny dokument). T. nie wykazał również w toku Kontroli, że wdrożył inne środki, niż ww. upoważnienia, zapewniające przetwarzanie danych przez pracowników wyłącznie na jego polecenie (w sytuacji „nadmiarowego” przetwarzania w stosunku do treści upoważnienia) i że podjął działania w celu zapewnienia, by każda osoba fizyczna działająca z jego upoważnienia, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na jej polecenie. W tej sytuacji naruszenie art. 29 oraz art. 32 ust. 4 powołanych wyżej przepisów rozporządzenia 2016/679 nie budzi wątpliwości.

94.

Ponadto, należy zaznaczyć, że wdrożenie środka zapewniającego przetwarzanie danych wyłącznie na polecenie administratora stanowi istotny element zapewnienia przez administratora bezpieczeństwa przetwarzania ze względu na poufność danych, w rozumieniu art. 5 ust. 1 lit. f) rozporządzenia 2016/679. W myśl tego przepisu, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie ich bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). W ten sposób administrator zapewnia sobie należytą kontrolę nad wewnętrznymi regułami przetwarzania danych osobowych przez jego pracowników, tj. nad tym, kto, w jakim czasie i w jakim zakresie może przetwarzać dane w związku z jego poleceniem. Administrator zapewniając sobie kontrolę nad procesami przetwarzania danych, może zawczasu reagować na wszelkiego rodzaju potencjalne nieprawidłowości w tym zakresie, w tym także w przypadku przetwarzania wykraczającego poza zakres jego polecenia, tj. np. w przypadku, gdy pracownik zacząłby w nieautoryzowany i niekontrolowany sposób wykorzystywać dane w innych celach, niż objęte poleceniem administratora, ujawniać dane innym podmiotom itd. (utrata poufności). Podsumowując ten aspekt rozważań, należy wskazać, że wdrożenie takiego środka jest obowiązkiem administratora w świetle zasad wynikających z art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679. Administrator umożliwia tym zarówno sobie, jak i organowi nadzorczemu (np. na wypadek kontroli), rozeznanie w zakresie dotyczącym wszelkich okoliczności związanych z dopuszczeniem określonych osób fizycznych do określonych czynności przetwarzania.

95.

W nawiązaniu do wspomnianej wyżej zasady rozliczalności, warto również zwrócić uwagę na poglądy doktryny wyrażane w tym kontekście. W komentarzu do rozporządzenia 2016/679 pod redakcją naukową Edyty Bielak-Jomaa oraz Dominika Lubasza („RODO Ogólne rozporządzenie o ochronie danych”, wyd. Wolters Kluwer Polska S.A., 2018, s. 658), podniesiono, że: „Wobec braku wskazania przez prawodawcę wymogów formalnych w zakresie udzielania polecenia osobie upoważnionej, teoretycznie możliwe jest zastosowanie każdej formy. Przy uwzględnieniu jednak ogólnego podejścia prawodawcy europejskiego do kwestii dokumentowania oświadczeń lub czynności sugerowaną formą dokumentowania poleceń powinna być forma pisemna, w tym elektroniczna. W przypadku polecenia udzielanego przez administratora zawsze należy mieć na uwadze wiążącą go zasadę rozliczalności, w świetle której odpowiada on za poszanowanie pozostałych zasad przetwarzania i musi być w stanie wykazać ich przestrzeganie. Tym samym zalecić należy stosowanie udokumentowanej formy tak, by administrator miał możliwość zapewnienia rozliczalności na tym poziomie. Niezależnie od powyższych argumentów, za stosowaniem wyłącznie odpowiednio dokumentowanych poleceń przemawia także samo związanie osoby upoważnionej poleceniem. Dla pociągnięcia osoby upoważnionej do odpowiedzialności z tytułu przekroczenia zakresu polecenia niezbędne jest wykazanie przez administratora, że polecenie zostało wydane, a także udowodnienie, jaki miało zakres”.

96.

Podsumowując, zaniechanie T. w zakresie prawidłowego wdrożenia środka zapewniającego przetwarzanie danych wyłącznie na jego polecenie jako administratora, stanowiło naruszenie nie tylko przepisów art. 29 i art. 32 ust. 4 rozporządzenia 2016/679, ale również zasady poufności, o której mowa art. 5 ust. 1 lit. f) tego rozporządzenia. Niewykazanie przed Prezesem UODO przestrzegania tych zasad stanowiło jednocześnie naruszenie zasady rozliczalności uregulowanej w art. 5 ust. 2 rozporządzenia 2016/679.

97.

Mając na uwadze, iż Administrator po zakończeniu Kontroli przedłożył organowi nadzorczemu materiał dowodowy w postaci skorygowanych i zgodnych z obowiązującym prawem upoważnień, brak było konieczności skorzystania przez Prezesa UODO z uprawnienia opisanego w art. 58 ust. 2 lit. d) rozporządzenia 2016/679. Prezes UODO zdecydował się więc jedynie na zastosowanie środka naprawczego z art. 58 ust. 2 lit. b) rozporządzenia 2016/679 (tj. upomnienia), którego zasadność została opisana w części G uzasadnienia niniejszej decyzji.

98.

Analizując na koniec zasadność zarzucanego Administratorowi w zawiadomieniu o wszczęciu postępowania z 12 czerwca 2024 r. w powyższym zakresie naruszenia art. 5 ust. 1 lit. a) oraz c) rozporządzenia 2016/679 (w których określono: „zasadę zgodności z prawem, rzetelności i przejrzystości” zgodnie z którą dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą oraz „zasadę minimalizacji danych”, z której wynika, że dane te muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane) należy uznać, że w świetle całokształtu uzyskanych przez organ nadzorczy wyjaśnień, postępowanie w tym zakresie należy umorzyć (zob.: część H uzasadnienia niniejszej decyzji). Nie można bowiem założyć, że z uwagi na specyfikę działalności T. udzielenie upoważnienia dla pokojowej do przetwarzania danych byłych podopiecznych oraz potencjalnych podopiecznych jest ponad wszelką wątpliwość nadmiarowe, czy naruszające zasadę z lit. a) ww. artykułu.

II.4. Naruszenia przepisów w zakresie, o jakim mowa w pkt V sentencji niniejszej decyzji.

99.

Poddając ocenie stwierdzone w toku Kontroli nieprawidłowości dotyczące rejestru czynności przetwarzania danych osobowych prowadzonego przez Administratora, należy przytoczyć treść art. 30 ust. 1 lit. f) rozporządzenia 2016/679, z którego wynika, że każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają, przy czym w rejestrze tym zamieszcza się, jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych.

100.

W toku Kontroli ustalono, że rejestr czynności przetwarzania danych prowadzony w T. obowiązuje od 25 maja 2018 r. Został on przekazany osobom przeprowadzającym Kontrolę bez podpisu administratora danych w przeznaczonym do tego miejscu – choć przepisy rozporządzenia 2016/679 nie wymagają podpisania rejestru, brak jednoznacznego potwierdzenia jego zatwierdzenia przez administratora utrudnia wykazanie realizacji obowiązku z art. 30 ust. 1 tego rozporządzenia w świetle zasady rozliczalności. Rejestr ten zasadniczo zawiera wymagane prawem elementy, o których mowa w art. 30 ust. 1 rozporządzenia 2016/679, przy czym zaznaczyć należy, że niewystarczające jest wskazanie w kolumnie dotyczącej planowanego terminu usunięcia danych: „zgodnie z przepisami prawa”, jak miało to miejsce w przypadku większości zbiorów w tym rejestrze wymienionych (zob. pkt 19 uzasadnienia niniejszej decyzji).

101.

Informacje z art. 30 ust. 1 lit. f) mają być podawane przez Administratora „jeżeli jest to możliwe”. Sformułowanie to należy interpretować w ten sposób, że powinny one zostać ujawnione w sytuacji, gdy są one znane administratorowi. Z uwagi na fakt, że w odniesieniu do przeważającej części kategorii danych przetwarzanych przez T. możliwe było wskazanie konkretnych okresów przechowywania wynikających z przepisów prawa lub z przyjętych zasad archiwizacji (przepisy nie zawsze określają „termin usunięcia” – czasem określają okres przechowywania, a usunięcie zależy od dalszych czynników, np. brak podstaw archiwalnych), nie ma zastosowania w niniejszej sytuacji zastrzeżenie, w którym Administrator mógłby powołać się na brak obowiązku ich podawania w związku z niemożnością ustalenia tych informacji. Brak takiej możliwości powinien mieć bowiem obiektywny, a nie subiektywny charakter.

102.

Należy tym samym uznać, że T. nie wskazał w każdym przypadku w rejestrze czynności przetwarzania planowanego terminu usunięcia danych, a tym samym naruszył art. 30 ust. 1 lit. f) rozporządzenia 2016/679. Jednak po zakończeniu Kontroli Administrator dokonał odpowiednich zmian i przedstawił organowi nadzorczemu nową wersję ww. rejestru niedotkniętą stwierdzonymi w toku Kontroli brakami, czy niedokładnościami w zakresie podawanego terminu planowanego usunięcia danych (zob. pkt 29 uzasadnienia niniejszej decyzji), co skutkuje brakiem konieczności skorzystania przez Prezesa UODO z uprawnienia opisanego w art. 58 ust. 2 lit. d) rozporządzenia 2016/679. Z uwagi na to, Prezes UODO zdecydował się jedynie na zastosowanie środka naprawczego z art. 58 ust. 2 lit. b) rozporządzenia 2016/679 (tj. upomnienia), którego zasadność została opisana w części G uzasadnienia niniejszej decyzji.

C. Administracyjna kara pieniężna.

103.

Postępowanie administracyjne prowadzone przez Prezesa UODO służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej w celu zastosowania uprawnień naprawczych określonych w art. 58 ust. 2 rozporządzenia 2016/679.

104.

Mając na uwadze powyższe, jak również stwierdzone w niniejszym postępowaniu naruszenie przepisów o ochronie danych osobowych, Prezes UODO – korzystając z uprawnienia określonego w art. 58 ust. 2 lit. i) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)-h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej – stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Administratora administracyjnej kary pieniężnej.

105.

Zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 - 39 oraz 42 i 43, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

106.

Z kolei zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, podlegają administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

107.

Art. 83 ust. 3 rozporządzenia 2016/679 natomiast stanowi, że jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.

108.

Oceniając, czy, a jeśli tak, to w jakim wymiarze powinna być nałożona administracyjna kara pieniężna, organ nadzorczy ma obowiązek uwzględnić następujące okoliczności (przesłanki wymiaru kary) określone w art. 83 ust. 2 rozporządzenia 2016/679:

a)

charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody,

b)

umyślny lub nieumyślny charakter naruszenia,

c)

działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,

d)

stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32,

e)

wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego,

f)

stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,

g)

kategorie danych osobowych, których dotyczyło naruszenie,

h)

sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie,

i)

jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 - przestrzeganie tych środków,

j)

stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42,

k)

wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

109.

Ponadto organ nadzorczy – zgodnie z art. 83 ust. 1 rozporządzenia 2016/679 – zapewnia by stosowane administracyjne kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające (zasady wymiaru kary).

110.

Celem ustalenia podstawy wymiaru administracyjnej kary pieniężnej, zgodnie z art. 101a u.o.d.o., podmiot, wobec którego toczy się postępowanie w sprawie nałożenia administracyjnej kary pieniężnej zobowiązany jest na żądanie Prezesa UODO dostarczyć mu, w terminie 30 dni od dnia otrzymania żądania, danych niezbędnych do określenia tejże podstawy. W przypadku niedostarczenia danych przez podmiot, o którym mowa w tym przepisie, lub gdy dostarczone przez ten podmiot dane uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej, Prezes UODO ustala podstawę wymiaru administracyjnej kary pieniężnej w sposób szacunkowy uwzględniając wielkość podmiotu, specyfikę prowadzonej przez niego działalności lub ogólnie dostępne dane finansowe dotyczące podmiotu.

111.

Równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku, gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego, o czym stanowi art. 103 u.o.d.o.

D. Zachowania Administratora prowadzące do naruszenia przepisów rozporządzenia 2016/679 – ocena zastosowania art. 83 ust. 3 rozporządzenia 2016/679.

112.

Art. 83 ust. 3 rozporządzenia 2016/679 stanowi, że jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie. Natomiast, zgodnie z Wytycznymi 04/2022 Europejskiej Rady Ochrony Danych (dalej: „EROD”) w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO przyjętych 24 maja 2023 r. (zwanych dalej „Wytycznymi 04/2022”)^[8] termin „całkowita wysokość” oznacza, że przy ocenie wysokości kary pieniężnej należy wziąć pod uwagę wszystkie popełnione naruszenia, a sformułowanie „wysokość kary za najpoważniejsze naruszenie” odnosi się do ustawowych maksymalnych kwot kar pieniężnych (np. art. 83 ust. 4-6 RODO).

113.

Wobec stwierdzenia, że Administrator dopuścił się w analizowanym stanie faktycznym naruszeń wielu przepisów rozporządzenia (tj. art. 24 ust. 1 i 2, art. 32 ust. 1 i 2, a w konsekwencji również art. 5 ust. 1 lit. f) i art. 5 ust. 2), Prezes UODO zobowiązany był uwzględnić przytoczoną w ww. punkcie regulację celem rozważenia, czy okoliczności niniejszej sprawy determinują skorzystanie przez organ nadzorczy z wyłącznie jednego, czy też z kilku środków naprawczych przewidzianych w art. 58 ust. 2 rozporządzenia 2016/679 – a precyzyjniej, czy organ powinien nałożyć na Administratora wyłącznie jedną administracyjną karę pieniężną, stanowiącą odpowiedź na wszystkie popełnione przez niego naruszenia, czy też odrębne i samoistne kary dla każdego z tych naruszeń rozpatrywanych osobno.

114.

Ustalając konkretne sankcje za stwierdzone w niniejszej sprawie naruszenia Prezes UODO skorzystał z metodyki obliczania administracyjnych kar pieniężnych przyjętej przez EROD w Wytycznych 04/2022, zgodnie z którą pierwszym krokiem do dalszych obliczeń jest „ocena zastosowania art. 83 ust. 3 [rozporządzenia 2016/679]” poprzez ustalenie:

a)

czy okoliczności wskazują na jedno zachowanie, czy też na wiele zachowań podlegających karze,

b)

w przypadku jednego zachowania, czy zachowanie to stanowi jedno naruszenie czy większą liczbę naruszeń, oraz

c)

w przypadku jednego zachowania, które stanowi wiele naruszeń, czy przypisanie jednego naruszenia wyklucza przypisanie innego naruszenia, czy też należy je przypisać równolegle^[9].

115.

Określenie „jedno zachowanie” należy przy tym interpretować w nawiązaniu do art. 83 ust. 3 rozporządzenia 2016/679, w którym mowa jest o „tych samych lub powiązanych operacjach przetwarzania”. Zgodnie z przyjętą przez EROD wykładnią, „[t]ermin «powiązane» odnosi się do zasady, zgodnie z którą jedno zachowanie może składać się z kilku części, które są realizowane na skutek jednego aktu woli i są kontekstowo (w szczególności jeśli chodzi o tożsamość osoby, której dane dotyczą, cel i charakter przetwarzania), przestrzennie i czasowo tak blisko powiązane, że z obiektywnego punktu widzenia można uznać je za jedno spójne zachowanie”^[10].

116.

Odnosząc powyższe do okoliczności rozpatrywanej sprawy Prezes UODO uznał, że stwierdzone zaniechania Administratora - polegające na braku wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz ochronę praw osób, których dane dotyczą, mających zapewnić bezpieczeństwo przetwarzania - stanowią „jedno spójne zachowanie” w rozumieniu przedstawionym przez EROD. Za taką interpretacją przemawia fakt, że brak aktywności Administratora w wyżej wskazanym obszarze (skutkujący naruszeniem art. 24 ust. 1, i art. 32 ust. 1 i 2 rozporządzenia 2016/679, a w konsekwencji również art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679), choć nie jest on efektem jednego aktu woli Administratora, stanowi wypadkową długotrwałych zaniedbań w sferze wdrażania stosowania środków ochrony danych osobowych, które byłyby adekwatne do zidentyfikowanych zagrożeń. Zaniedbania te pojawiły się już na etapie określania sposobów przetwarzania - czego wyrazem było nieprzeprowadzenie analizy ryzyka – a następnie kontynuowane były w czasie samego przetwarzania. Brak odpowiednich działań Administratora w analizowanym zakresie, jako proces ciągły i długotrwały, skutkujący naruszeniem elementarnych zasad dotyczących przetwarzania danych osobowych, prowadził do utrzymywania się stanu, w którym Administrator nie był zdolny do wykazania przed organem nadzorczym zgodności przetwarzania z przepisami rozporządzenia 2016/679. Poza długim czasem trwania stwierdzonych naruszeń przepisów rozporządzenia 2016/679, rozpatrywanych jako jedno spójne zachowanie Administratora, tożsamy w odniesieniu do nich jest również cel, charakter i zakres przetwarzania realizowanego przez tego Administratora. Wskazać bowiem należy, że wszystkie aspekty stwierdzonego w niniejszej sprawie naruszenia oraz zachowania Administratora prowadzącego do tego naruszenia (brak analizy ryzyka, brak adekwatnych środków technicznych i organizacyjnych) dotyczą jednych i tych samych procesów przetwarzania, to jest przetwarzania danych osobowych wynikających z realizowanego przez Administratora zadania z zakresu pomocy społecznej świadczonej w związku z prowadzeniem T. (…) w W.. Wszystkie stwierdzone przez Prezesa UODO zaniechania Administratora dotyczą też (mają wpływ na bezpieczeństwo ich przetwarzania) tych samych danych osobowych (tego samego ich zakresu i tych samych kategorii). Wpływają one negatywnie na bezpieczeństwo wszystkich danych osobowych przetwarzanych przez Administratora. Podkreślić należy, że pomimo braku materializacji ryzyka naruszenia bezpieczeństwa danych osobowych – to ono istnieje; a jego istnienie wynika ze stwierdzonego w niniejszej sprawie naruszenia przepisów art. 24 ust. 1, art. 32 ust. 1 i 2, a także art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679.

117.

Przyjmując więc, że zaniechania Administratora polegające na niezastosowaniu (zarówno w fazie projektowania, jak i w trakcie przetwarzania) odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych stanowią jedno spójne zachowanie, a przy tym zachowanie to narusza kilka przepisów rozporządzenia 2016/679 (art. 24 ust. 1, art. 32 ust. 1 i 2, a w konsekwencji także art. 5 ust. 1 lit. f) oraz art. 5 ust. 2) - stwierdzić należy w dalszej kolejności, że żadne z tych naruszeń nie wyklucza możliwości przypisania Administratorowi innego z nich. W szczególności stwierdzenie naruszenia przepisów określających podstawowe, ogólne zasady przetwarzania, o których mowa w art. 5 rozporządzenia 2016/679, nie wyklucza możliwości przypisania administratorowi naruszenia przepisów szczegółowych stanowiących konkretyzację tych zasad, tj. art. 24 ust. 1, art. 32 ust. 1 i 2 rozporządzenia 2016/679. Przy tym należy jednak wyraźnie podkreślić, że podstawą prawną nałożenia administracyjnej kary pieniężnej są naruszenia przepisów wymienionych w art. 83 ust. 4–6 rozporządzenia 2016/679, tj. w niniejszej sprawie art. 32 ust. 1 i 2 oraz art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679. Stwierdzenie naruszenia art. 24 ust. 1 i 2 tego rozporządzenia stanowi w tym zakresie element opisu i oceny zachowania Administratora, pozostający w ścisłym związku z naruszeniami sankcjonowanymi.

118.

Konsekwencją powyższego jest ustalenie, że do odpowiedzialności Administratora w niniejszym postępowaniu zastosowanie będzie mieć przepis art. 83 ust. 3 rozporządzenia 2016/679. Jego zachowanie wypełniające znamiona naruszenia kilku wskazanych powyżej przepisów rozporządzenia 2016/679 miało bowiem miejsce „w ramach tych samych operacji przetwarzania” - operacji dotyczących tych samych procesów i sposobów przetwarzania danych oraz tych samych zbiorów (zakresów i kategorii) danych osobowych.

119.

Podsumowując stwierdzić należy, że administracyjna kara pieniężna wobec Administratora nałożona została za naruszenie art. 32 ust. 1 i 2 rozporządzenia 2016/679 na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a) rozporządzenia 2016/679, natomiast za naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679 - na podstawie art. 83 ust. 5 lit. a) tego rozporządzenia. Jednocześnie administracyjna kara pieniężna w wysokości 975 zł nałożona na Administratora łącznie za naruszenie wszystkich powyższych przepisów – stosownie do przepisu art. 83 ust. 3 rozporządzenia 2016/679 – nie przekracza wysokości kary za najpoważniejsze stwierdzone w niniejszej sprawie naruszenie, tj. naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679, które stosownie do art. 83 ust. 5 lit. a) rozporządzenia 2016/679 podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 euro, a w przypadku przedsiębiorstwa - w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

E. Przesłanki wymiaru kary – zastosowanie art. 83 ust. 2 rozporządzenia 2016/679.

120.

Decydując o nałożeniu na Administratora za naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 32 ust. 1 i 2 rozporządzenia 2016/679, administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.

121.

Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiar poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).

Naruszenie przez Administratora obowiązków zastosowania odpowiednich środków technicznych i organizacyjnych, poprzedzonych przeprowadzeniem stosownej analizy ryzyka naruszenia praw i wolności osób, których dane są przetwarzane w bardzo szerokim zakresie, zarówno co do kategorii osób (podopiecznych, byłych i potencjalnych podopiecznych, pracowników i byłych pracowników, nadawców i adresatów korespondencji, dostawców, darczyńców, czy osób aplikujących o pracę), jak i kategorii danych, ma znaczną wagę i poważny charakter, jako że nieprzeprowadzenie analizy ryzyka stwarza rzeczywisty czynnik ryzyka naruszenia poufności danych osobowych, utraty dostępności, zniszczenia, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych, a co za tym stwarza wysokie ryzyko negatywnych skutków dla osób, których dane dotyczą.

Przy wymierzaniu kary znaczenie ma także okoliczność, że Administrator naruszył te przepisy rozporządzenia 2016/679, które wprowadzają podstawowe obowiązki dokumentacyjne w zakresie wszelkich czynności przetwarzania danych osobowych zachodzących u danego Administratora.

Analiza ryzyka przeprowadzana przez administratora danych powinna zostać udokumentowana oraz uzasadniona na podstawie przede wszystkim określenia stanu faktycznego istniejącego w momencie jej przeprowadzania. Przy ocenie ryzyka nie można pominąć zakresu oraz charakteru danych osobowych przetwarzanych w toku czynności realizowanych przez administratora, albowiem w zależności właśnie od zakresu oraz charakteru przetwarzanych danych zależeć będą potencjalne negatywne skutki dla osoby fizycznej w przypadku wystąpienia naruszenia ochrony jej danych osobowych. Oczywistym jest, że szeroki zakres danych osobowych lub przetwarzanie danych osobowych, o których mowa w art. 9 lub art. 10 rozporządzenia 2016/679, może spowodować (w przypadku wystąpienia naruszenia ochrony danych osobowych) daleko idące negatywne skutki dla osób, których dane dotyczą, więc winny one być oceniane jako aktywa o wysokiej wartości, a co za tym idzie stopień ich ochrony powinien być odpowiednio wysoki.

Wobec powyższego, Administrator powinien przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia i wprowadzić właściwe środki techniczne i organizacyjne, a następnie – jeżeli pojawi się taka konieczność – wykazać, że przestrzega on zasad przetwarzania danych osobowych określonych w rozporządzeniu 2016/679, zgodnie z zasadą rozliczalności (art. 5 ust. 2 tego rozporządzenia). A organ nadzorczy zweryfikować adekwatność zastosowanych środków w oparciu o przedłożone przez administratora dokumenty, takie jak między innymi analiza ryzyka, czy polityka bezpieczeństwa.

Administrator nie udokumentował realizacji swoich obowiązków poprzez wykazanie przeprowadzenia i wdrożenia analizy ryzyka wiążącego się z przetwarzaniem danych osobowych (i dobrania na jej podstawie adekwatnych środków organizacyjnych i technicznych mających zapewnić bezpieczeństwo przetwarzanych danych) oraz nie udokumentował wdrożenia polityki ochrony danych osobowych.

Za okoliczność obciążającą Prezes UODO uznaje długi czas trwania naruszenia przez Administratora przepisów o ochronie danych osobowych. Mając na uwadze, że stosowanie przepisów rozporządzenia 2016/679 rozpoczęło się w dniu 25 maja 2018 r., należy uznać, że to od tego czasu trwał stan naruszenia (tj. brak analizy ryzyka oraz dobranych i wdrożonych na jej podstawie adekwatnych środków organizacyjnych i technicznych ujętych w ramy właściwie wprowadzonej polityki ochrony danych osobowych) i stan ten trwa nadal. Okoliczność utrzymywania się stanu naruszenia przez okres ponad siedmiu lat należy poczytywać jako przesłankę wpływającą w znacznym stopniu zarówno na decyzję organu o nałożeniu administracyjnej kary pieniężnej w niniejszej sprawie, jak i na wysokość samej kary. Mając na względzie wyżej wskazane okoliczności, przesłankę określoną w art. 83 ust. 2 lit. a) rozporządzenia 2016/679, rozpatrywaną w sposób całościowy, organ ocenił jako w znacznym stopniu obciążającą.

122.

Nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).

Zgodnie z Wytycznymi Grupy Roboczej Art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 WP253 (przyjętymi w dniu 3 października 2017 r., zatwierdzonymi przez EROD w dniu 25 maja 2018 r.), umyślność „obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego”. Nie może budzić wątpliwości fakt, że Administrator przetwarzając dane osobowe w bardzo szerokim zakresie, zarówno co do kategorii osób, jak i kategorii danych, musi mieć wiedzę w zakresie ochrony danych osobowych. Organ nadzorczy nie stwierdził jednak, by naruszenie przepisów rozporządzenia 2016/679 miało w przedmiotowej sprawie charakter umyślny – wynikało raczej z niedbalstwa po stronie Administratora, co nie zmienia faktu, że przesłankę z art. 83 ust. 2 lit. b rozporządzenia 2016/679 należy w tym przypadku brać pod uwagę przy wymiarze administracyjnej kary pieniężnej jako ogólnie obciążającą.

123.

Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).

W tym miejscu należy wskazać w pierwszej kolejności, że naruszenie przepisów rozporządzenia 2016/679 rozpatrywane w niniejszej sprawie dotyczy wszelkich danych osobowych (i wszystkich ich kategorii) przetwarzanych przez Administratora.

Nie bez znaczenia pozostaje fakt, że T. w W., jako podmiot realizujący zadania z zakresu pomocy społecznej przetwarza dane osobowe w bardzo szerokim zakresie zarówno co do kategorii osób, jak i co do kategorii danych, w tym dane o stanie zdrowia, które to dane w myśl art. 9 ust 1 rozporządzenia 2016/679 ustawodawca unijny zakwalifikował do danych o wysokim stopniu wrażliwości. Także fakt przetwarzania danych osobowych takich kategorii danych, które zezwalają na jednoznaczne ustalenie tożsamości osoby fizycznej (jak numer ewidencyjny PESEL wraz z imieniem i nazwiskiem), może realnie i negatywnie wpływać na ochronę praw lub wolności tej osoby. Numer ewidencyjny PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający m.in. datę jej urodzenia oraz oznaczenie płci - a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679 - jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga.

Niewdrożenie przez Administratora odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych oraz ochronę praw osób, których dane dotyczą, dobranych na podstawie przeprowadzonej analizy ryzyka uwzględniającej, w szczególności ryzyko naruszenia praw lub wolności osób fizycznych, daje podstawę Prezesowi UODO do uznania, że w procesie przetwarzania danych osobowych przez Administratora zagrożona jest poufność tak szerokiego zakresu kategorii danych osobowych.

„Ogólnie rzecz biorąc, im większej liczby takich kategorii danych dotyczy naruszenie lub im bardziej wrażliwe są dane, tym większą wagę organ nadzorczy może przypisać temu czynnikowi. Znaczenie ma również ilość danych dotyczących każdej osoby, której dane dotyczą, ponieważ wraz z ilością danych dotyczących każdej osoby, której dane dotyczą, wzrasta skala naruszenia prawa do prywatności i ochrony danych osobowych”^[11].

Mając powyższe na uwadze, uwzględniając szeroki zakres danych objętych naruszeniem, organ ocenił omawianą w tym miejscu przesłankę jako okoliczność obciążającą - wpływającą w sposób istotny na wysokość orzeczonej administracyjnej kary pieniężnej.

124.

Ustalając wysokość administracyjnej kary pieniężnej Prezes UODO nie znalazł podstaw do uwzględnienia okoliczności łagodzących, mających wpływ na obniżenie ostatecznego wymiaru kary orzeczonej wobec Administratora.

125.

Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679 (zob. pkt 126-134 uzasadnienia Decyzji), po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy niemające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.

126.

Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).

Prezes UODO nie stwierdził, aby naruszenie przez Administratora przepisów rozporządzenia 2016/679, tj. niezastosowanie przez Administratora odpowiednich środków technicznych i organizacyjnych, poprzedzonych przeprowadzeniem stosownej analizy ryzyka naruszenia praw i wolności osób, których dane są przetwarzane, przyczyniło się do poniesienia szkód przez osoby, których dane obejmował proces przetwarzania. Wobec tego żadne działania mające na celu zminimalizowanie szkody nie były wymagane. Zważywszy na charakter naruszenia przepisów rozporządzenia 2016/679, omawiana przesłanka nie miała wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.

127.

Stopień odpowiedzialności Administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).

Wytyczne 04/2022 wskazują (w pkt 77), że rozpatrując tę przesłankę „organ nadzorczy musi odpowiedzieć na pytanie, w jakim stopniu administrator zrobił wszystko, czego można by było oczekiwać, zważywszy na charakter, cele lub zakres przetwarzania oraz w świetle obowiązków nałożonych na niego przez rozporządzenie”. Prezes UODO stwierdził w niniejszej sprawie naruszenie przez Administratora przepisów art. 32 ust. 1 i 2 rozporządzenia 2016/679. W jego ocenie na Administratorze ciąży w wysokim stopniu odpowiedzialność za niewdrożenie odpowiednich środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa procesom przetwarzania danych. Oczywistym jest, że w rozważanym kontekście charakteru, celu i zakresu przetwarzania danych osobowych Administrator nie zrobił wszystkiego, czego można by było od niego oczekiwać, tym samym nie wywiązał się z nałożonych na niego przepisami art. 32 ust. 1 i 2 rozporządzenia 2016/679 obowiązków. W niniejszej sprawie okoliczność ta stanowi jednak o istocie samego naruszenia, nie jest jedynie czynnikiem wpływającym – łagodząco lub obciążająco – na jego ocenę. Z tego też względu brak odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 32 rozporządzenia 2016/679, nie może zostać przez Prezesa UODO uznany w niniejszej sprawie za okoliczność mogącą dodatkowo wpłynąć na surowszą ocenę naruszenia i wymiar nałożonej na Administratora administracyjnej kary pieniężnej.

128.

Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679).

W toku postępowania wyjaśniającego oraz w toku wszczętego postępowania administracyjnego Administrator udzielał na wezwania organu nadzorczego odpowiedzi. W takim przypadku fakt udzielania odpowiedzi na wezwania organu należało potraktować jako wyraz realizacji „procesowych” obowiązków prawnych spoczywających na Administratorze. Natomiast, współpraca z Prezesem UODO „w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków” nie w pełni została przez T. zrealizowana. Jednakże organ nadzorczy biorąc pod uwagę działania podjęte przez Administratora w celu usunięcia wielości innych uchybień w procesie przetwarzania danych osobowych, ocenił przesłankę z art. 83 ust. 2 lit. f) rozporządzenia 2016/679, jako nie mająca wpływu na wymiar orzeczonej kary pieniężnej.

129.

Wszelkie stosowne wcześniejsze naruszenia ze strony Administratora (art. 83 ust. 2 lit. e rozporządzenia 2016/679).

Prezes UODO nie stwierdził po stronie Administratora jakichkolwiek wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. Jednocześnie jednak obowiązkiem każdego administratora jest przestrzeganie przepisów prawa, z uwagi na co, brak wcześniejszych naruszeń nie może być traktowany jako okoliczność łagodząca przy wymierzaniu sankcji. Taka ocena zgodna jest ze stanowiskiem wyrażonym przez EROD w Wytycznych 04/2022, zgodnie z którym „[b]rak wcześniejszych naruszeń nie może (…) zostać uznany za okoliczność łagodzącą, ponieważ przestrzeganie przepisów [rozporządzenia 2016/679] stanowi normę. Brak wcześniejszych naruszeń można uznać za okoliczność o charakterze neutralnym”^[12].

130.

Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).

Prezes UODO stwierdził naruszenie przez Administratora przepisów o ochronie danych osobowych z urzędu – w rezultacie postępowania kontrolnego prowadzonego przez kontrolujących w siedzibie Administratora.

Zgodnie z art. 83 ust. 2 lit. h) rozporządzenia 2016/679 sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, może stanowić istotną okoliczność obciążającą albo łagodzącą. Jak słusznie wskazuje EROD w Wytycznych 04/2022, w przypadku gdy organ nadzorczy dowiedział się o naruszeniu na przykład w wyniku skargi lub w toku postępowania, co do zasady element ten należy uznać za okoliczność neutralną.

131.

Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).

Przed wydaniem niniejszej decyzji Prezes UODO nie stosował w wobec Administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.

132.

Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).

Administrator nie poinformował, czy stosuje zatwierdzone kodeksy postępowania czy też zatwierdzone mechanizmy certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów i podmiotów przetwarzających w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na korzyść Administratora natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.

133.

Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679).

Prezes UODO nie stwierdził, żeby Administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Administratora. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez Administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla Administratora. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu zgłaszającego naruszenie.

134.

Inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k rozporządzenia 2016/679).

Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.

F. Ustalenie wysokości kary z zastosowaniem Wytycznych 04/2022.

135.

Ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej nałożonej na Administratora Prezes UODO zastosował metodykę przyjętą przez EROD w Wytycznych 04/2022. Zgodnie z przedstawionymi w tym dokumencie wskazówkami Prezes UODO przeprowadził niżej przedstawiony proces kalkulacji.

136.

Wskazać należy, że Administrator pomimo, że realizuje zadania publiczne nie należy do grupy podmiotów wymienionych w art. 102 ust. 1 i 2 u.o.d.o. i w związku z tym w przedmiotowej sprawie nie mają zastosowania ograniczenia wysokości (do 10 000 lub 100 000 zł) orzekanej administracyjnej kary pieniężnej. Wobec powyższego, stosownie do art. 101 u.o.d.o., administracyjna kara pieniężna nałożona zostaje na Administratora na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679.

137.

Jako podstawę obliczenia administracyjnej kary pieniężnej wobec Administratora za naruszenie przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 Prezes UODO wziął pod uwagę dostępne dane finansowe Administratora z umowy nr (…) o realizację zadania publicznego, o której mowa w art. 16 ust. 1 ustawy z dnia 24 kwietnia 2003 r. o działalności pożytku publicznego i o wolontariacie zawartej 9 grudnia 2020 r. pomiędzy Administratorem a Powiatem W., które wykazują, że w 2025 r. Administrator realizując zadania z zakresu pomocy społecznej, w formie dotacji otrzymał środki finansowe w wysokości (…) zł. Natomiast T. w W. wniósł wkład finansowy w wysokości (…) zł, co razem stanowi kwotę (…) zł. W związku z tym Administrator w 2025 r. dysponował budżetem w kwocie (…) zł, który w tym przypadku stanowił podstawę obliczenia administracyjnej kary pieniężnej, Prezes UODO przyjął kwotę (…) zł (równowartość kwoty (…) euro według średniego kursu euro z 28 stycznia 2026 r. wynoszącego 1 EUR = 4,2009 PLN, który to kurs przyjęty został dla tego oraz dla wszelkich innych poniższych przeliczeń walutowych zgodnie z art. 103 u.o.d.o.).

138.

Prezes UODO dokonał kategoryzacji stwierdzonych naruszeń przepisów rozporządzenia 2016/679 (Rozdział 4.1 Wytycznych 04/2022). Wśród naruszonych przez Administratora przepisów rozporządzenia 2016/679 znajdują się przepisy art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679 określające podstawowe zasady przetwarzania. Naruszenia tych przepisów należą – zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą wyższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 20 000 000 euro. Są one więc in abstracto poważniejsze od drugiej grupy naruszeń (wskazanych w art. 83 ust. 4 rozporządzenia 2016/679).

139.

Prezes UODO ustalił prawnie określoną maksymalną wysokość kary możliwą do orzeczenia wobec Administratora w niniejszej sprawie (Rozdział 6.1 Wytycznych 04/2022). Przepis art. 83 ust. 5 lit. a) Rozporządzenia 2016/679 zobowiązuje Prezesa UODO do określenia czy w sprawie zastosowanie będzie miała tzw. „statyczna kwota maksymalna” (20 000 000 euro), czy „dynamiczna kwota maksymalna” (4 % obrotu Administratora), i do przyjęcia kwoty wyższej jako kwoty maksymalnej, której orzeczona w sprawie administracyjna kara pieniężna nie może przekroczyć. W tym przypadku, obliczając „dynamiczną kwotę maksymalną”, Prezes UODO wziął pod uwagę dostępne dane finansowe Administratora – jego przychód (obrót) za 2025 r. w wysokości (…) zł (równowartość (…)). 4 % wartości tego przychodu to kwota (…) zł (równowartość (…) euro). W związku z tym, że jest to kwota niższa niż statyczna kwota maksymalna (20 000 000 euro), Prezes UODO zobligowany jest do przyjęcia jako maksimum kwoty wynoszącej 20 000 000 euro, którego nie może przekroczyć orzekając administracyjną karę pieniężną.

140.

Prezes UODO ocenił stwierdzone naruszenie jako naruszenie o niskim poziomie powagi (Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które dotyczą strony przedmiotowej naruszeń (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszeń (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), nieumyślny charakter naruszeń (art. 83 ust. 2 lit. b) rozporządzenia 2016/679) oraz kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej. W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest niski. Ocena ta wynika w szczególności z braku stwierdzenia materializacji ryzyka w postaci naruszenia ochrony danych osobowych skutkującego szkodą po stronie osób, których dane dotyczą, oraz z uwzględnienia skali i siły gospodarczej Administratora. Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 0 % do 10 % maksymalnej wysokości kary możliwej do orzeczenia wobec Administratora, to jest od 0 euro do kwoty 2 000 000 euro (Podrozdział 4.2.4 Wytycznych 04/2022). Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę 400 000 euro (równowartość 1 680 360 zł).

141.

Prezes UODO dostosował kwotę wyjściową odpowiadającą powadze stwierdzonego naruszenia do obrotu Administratora jako miernika jego wielkości i siły gospodarczej (Rozdział 4.3 Wytycznych 04/2022). Zgodnie z Wytycznymi 04/2022, w przypadku, gdy roczny obrót wynosi (…) euro, w tym przypadku jest to budżet, którym dysponuje Administrator, organ nadzorczy może rozważyć dokonanie dalszych obliczeń wysokości kary na podstawie wartości mieszczącej się w przedziale (…)% kwoty wyjściowej. Zważywszy, że budżet Administratora w roku 2025 wyniósł (…) zł, to jest (…) euro, Prezes UODO za stosowne uznał skorygowanie podlegającej obliczeniom kwoty kary do wartości odpowiadającej (…)% kwoty wyjściowej, to jest do kwoty (…) euro (równowartość (…) zł).

142.

Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się – jak zakładają Wytyczne 04/2022 – do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej. Organ nadzorczy przeprowadzając analizę w niniejszej sprawie nie uwzględnił żadnej okoliczności łagodzącej ani też żadnej okoliczności obciążającej, mających wpływ na obniżenie, czy też podwyższenie wymiaru sankcji. Natomiast, przesłanki, o których mowa w art. 83 ust. 2 lit. c), d), e), f), h), i), j), k) rozporządzenia 2016/679) – jak wskazano wyżej – nie miały wpływu, ani łagodzącego ani obciążającego, na ocenę naruszenia i w konsekwencji na wymiar kary.

143.

Prezes UODO uznał, że ustalona zgodnie z powyższymi zasadami kwota kary wymaga dodatkowej korekty ze względu na zasadę proporcjonalności wymienioną w art. 83 ust. 1 rozporządzenia 2016/679 jako jedną z trzech dyrektyw wymiaru kary (vide Rozdział 7 Wytycznych 04/2022). Niewątpliwie kara pieniężna w wysokości (…) zł byłaby karą skuteczną (przez swoją dolegliwość pozwoliłaby osiągnąć swój cel represyjny, jakim jest ukaranie za bezprawne zachowanie) i odstraszającą (pozwalającą skutecznie zniechęcić zarówno Administratora, jak i innych administratorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679). Kara taka byłaby jednak dla Administratora – w ocenie Prezesa UODO – karą nieproporcjonalną ze względu na swoją nadmierną dolegliwość w indywidualnych okolicznościach niniejszej sprawy (w szczególności wobec tego, że Administrator w ramach swojej działalności realizuje zadania z zakresu pomocy społecznej). Środki finansowe na realizację tego zadania są skierowane na konkretny cel, tj. na utrzymanie i prowadzenie T. (…) w W., w szczególności z przeznaczeniem ich na pensjonariuszy tego domu. Podkreślić także należy, że Administrator świadczy pomoc społeczną na niewielką skalę. Zasada proporcjonalności wymaga bowiem m.in., by przyjęte przez organ nadzorczy środki nie wykraczały poza to, co odpowiednie i konieczne do realizacji uzasadnionych celów (vide pkt 137 i pkt 139 Wytycznych 04/2022). Innymi słowy: „Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku” (P. Litwiński (red.), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. […]; Komentarz do art. 83 [w:] P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz). Biorąc pod uwagę wyjątkowe okoliczności, w których funkcjonuje T., i mając na uwadze, by kara orzeczona za rozpatrywane tutaj naruszenie nie wykraczała stopniem swojej dolegliwości poza stopień wystarczający do osiągnięcia celów kary – represyjnego i prewencyjnego – Prezes UODO zastosował kolejne obniżenia jej wysokości – do (…)% kwoty uzyskanej po uwzględnieniu powagi naruszenia, wielkości Administratora, specyfiki prowadzonej działalności oraz wszelkich okoliczności obciążających i łagodzących (zob. pkt 121-134 powyżej), to jest do kwoty 975 zł (stanowiącej równowartość kwoty 232 euro). W jego ocenie takie określenie ostatecznej wysokości orzeczonej kary – proporcjonalnej w ocenie Prezesa UODO w określonych, indywidualnych okolicznościach tej sprawy – nie wpłynie na obniżenie jej skuteczności i odstraszającego charakteru. Jej wyraźna dolegliwość dla Administratora pozwoli na zrealizowanie zakładanych celów – ukaranie go za dopuszczenie się naruszenia o istotnej powadze oraz zapewnienie na przyszłość przestrzegania przepisów rozporządzenia 2016/679 zarówno przez niego samego, jak i przez innych administratorów.

144.

Zdaniem Prezesa UODO, nałożona na Administratora administracyjna kara pieniężna nie będzie stanowiła nadmiernego dla niego obciążenia. Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność jej uiszczenia pociągnie za sobą negatywne następstwa w postaci istotnego pogorszenia sytuacji finansowej Administratora. Zdaniem Prezesa UODO, Administrator powinien i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, stąd nałożenie administracyjnej kary pieniężnej w wysokości 975 zł (słownie: dziewięćset siedemdziesiąt pięć złotych) jest w pełni uzasadnione.

145.

Ponadto, odnosząc się do wysokości wymierzonej administracyjnej kary pieniężnej, Prezes UODO uznał także, że jest ona w tym konkretnym przypadku odstraszająca oraz proporcjonalna do zaistniałych naruszeń. Warto podkreślić, że kwota nałożonej administracyjnej kary pieniężnej, tj. 975 zł, to jedynie (…)% maksymalnej wysokości kary, którą Prezes UODO mógł nałożyć na Administratora za stwierdzone w niniejszej sprawie naruszenia - stosując zgodnie z art. 83 ust. 5 rozporządzenia 2016/679.

Mając na uwadze przepis art. 103 u.o.d.o., Prezes UODO za naruszenie opisane w sentencji niniejszej decyzji administracyjnej, nałożył na Administratora – stosując średni kurs euro z dnia 28 stycznia 2026 r., zgodnie z którym 1 EUR = 4,2009 PLN – administracyjną karę pieniężną w kwocie 975 zł (słownie: dziewięćset siedemdziesiąt pięć złotych) co stanowi równowartość 232 euro.

G. Uzasadnienie adekwatności zastosowania środka naprawczego z art. 58 ust. 2 lit. b) rozporządzenia 2016/679 wskazanego w pkt II - V sentencji niniejszej decyzji wraz z dokonanym we właściwym zakresie podsumowaniem.

146.

Prezes UODO, działając na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu, w przypadku naruszenia przepisów tego rozporządzenia przez operacje przetwarzania, uznał za uzasadnione udzielenie Administratorowi upomnień w zakresie stwierdzonego naruszenia przepisów art. 5 ust. 1 lit. a) i f), art. 5 ust. 2, art. 12 ust. 1 i 2, art. 13 ust. 1 i 2, art. 28 ust. 3, art. 29, art. 30 ust. 1 lit. f) oraz art. 32 ust. 4 rozporządzenia 2016/679 (opisanych w części B.II.1-B.II.4 uzasadnienia niniejszej decyzji).

147.

Motyw 148 rozporządzenia 2016/679 stanowi, że aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.

148.

Prezes UODO uznał, że w ustalonych okolicznościach niniejszej sprawy wystarczającą reakcją na stwierdzone naruszenia wskazane w pkt II – V sentencji niniejszej decyzji jest udzielenie Administratorowi upomnień. Za okoliczność, która za tym przemawia, Prezes UODO przyjął brak podstaw do uznania, że naruszenia te wynikają z umyślnego działania Administratora, a ponadto: działania podjęte przez Administratora po zakończeniu Kontroli zmierzające do doprowadzenia do stanu zgodności z prawem. Prezes UODO nie stwierdził również, by w tym zakresie osoby, których dane są przetwarzane przez T., poniosły rzeczywiste szkody. Na udzielenie upomnień za naruszenia wskazane w pkt II – V sentencji niniejszej decyzji miał wpływ również fakt, że ewentualne administracyjne kary pieniężne nałożone również w tym zakresie stanowiłaby nieproporcjonalne obciążenie dla administratora. Powyższe okoliczności uzasadniają udzielenie za ww. naruszenia przepisów o ochronie danych osobowych Administratorowi upomnień za stwierdzone naruszenia, co zapewni także, aby w przyszłości podobne zdarzenia nie miały miejsca. Niemniej jednak, gdyby podobne zdarzenie powtórzyło się w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Administratora będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia administracyjnej kary pieniężnej, zgodnie z zasadami określonymi w art. 83 ust. 2 rozporządzenia 2016/679.

H. Umorzenie z pkt VI sentencji niniejszej decyzji.

149.

Zasadność zastosowania przez Prezesa UODO w niniejszej sprawie środków naprawczych z art. 58 ust. 2 lit. i) oraz b) rozporządzenia 2016/679 została już wykazana w poprzednich częściach uzasadnienia niniejszej decyzji wraz ze wskazaniem przepisów, z których naruszeniem wiązać należy zastosowane środki. W pozostałym zakresie Prezes UODO umorzył postępowanie na podstawie art. 105 § 1 k.p.a. wobec stwierdzenia braku podstaw pozostałych stawianych Administratorowi w zawiadomieniu o wszczęciu postępowania z 12 czerwca 2024 r. zarzutów.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.