Godło Rzeczypospolitej Polskiej

Portal Orzeczeń

DostępnośćBIP
Decision logo
Warszawa, 1 kwietnia 2025nieprawomocna

Decyzja DKN.5131.10.2023

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572) w związku z art. 7 ust. 1, art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej: „ustawą z dnia 10 maja 2018 r.”, a także art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. d) oraz lit. i), art. 83 ust. 1-3, art. 83 ust. 4 lit. a) w związku z art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 oraz art. 33 ust. 1, a także art. 83 ust. 5 lit. a) w związku z art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej: „rozporządzeniem 2016/679”, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez G. M. prowadzącą działalność gospodarczą pod firmą (…) z miejscem wykonywania działalności w U. przy ul. (…), zwaną dalej Przedsiębiorcą, Właścicielem (…) lub Administratorem, Prezes Urzędu Ochrony Danych Osobowych,
1.
Stwierdzając naruszenie przez G. M. prowadzącą działalność gospodarczą pod firmą (…) (ul. (…), (…)-(…) U.), przepisów art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, polegające na niewdrożeniu:
a)
odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych osobowych w dokumentach dotyczących (…), w tym ich ochrony przed przypadkową utratą, zniszczeniem lub uszkodzeniem oraz ujawnieniem osobom nieuprawnionym;
b)
odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych przetwarzanych w dokumentach przechowywanych w siedzibie Administratora oraz przewożonych do innych miejsc wykonywania działalności gospodarczej, co skutkowało naruszeniem zasad integralności i poufności (art. 5 ust. 1 lit. f) rozporządzenia 2016/679) oraz zasady rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679);
nakłada na G. M. prowadzącą działalność gospodarczą pod firmą (…) ul. (…), (…)-(…) U., za naruszenie przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1, art. 32 ust. 1 i 2 rozporządzenia 2016/679, administracyjną karę pieniężną w kwocie 29 043 PLN (słownie: dwudziestu dziewięciu tysięcy czterdziestu trzech złotych)
2.
Stwierdzając naruszenie przez G. M. prowadzącą działalność gospodarczą pod firmą (…) (ul. (…), (…)-(…) U.) art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia
nakłada na G. M. prowadzącą działalność gospodarczą pod firmą (…) ul. (…), (…)-(…) U. administracyjną karę pieniężną w kwocie 4 630 PLN (słownie: czterech tysięcy sześciuset trzydziestu złotych);
3.
Nakazuje G. M. prowadzącej działalność gospodarczą pod firmą (…) ul. (…), (…)-(…) U., dostosowanie operacji przetwarzania do przepisów rozporządzenia 2016/679, poprzez:
a)
wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zminimalizowania ryzyka wiążącego się z przetwarzaniem danych osobowych w dokumentach przetwarzanych w siedzibie Administratora i przewożonych do innych miejsc wykonywania działalności gospodarczej, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych, po uprzednim przeprowadzeniu analizy ryzyka, uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych,
b)
wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków mających zapewnić bezpieczeństwo przetwarzania,
w terminie 30 dni od dnia doręczenia niniejszej decyzji.

Uzasadnienie

1.
W dniu 1 lutego 2023 r. do Urzędu Ochrony Danych Osobowych wpłynęły przekazane przez Prokuraturę Rejonową w U. odpisy materiałów z akt sprawy o sygnaturze (…) „w sprawie przeciwko G. M. podejrzanej o to, że w dacie bliżej nieustalonej, w B., woj. (…) przetwarzała dane osobowe jako właściciel (…) w U., w ten sposób, że w trakcie transportu dokumentacji udostępniono dane osobowe zawarte w upoważnieniach wystawionych przez (…), co ujawniono w dniu 12 listopada 2022 r., tj. o czyn z art. 107 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019, poz. 1781 tj.)”. Z akt sprawy wynikało, że około 10 pudeł z różnymi dokumentami należącymi do Przedsiębiorcy zostało znalezionych i zabezpieczonych 12 listopada 2022 r. na poboczu drogi krajowej nr (…) w miejscowości G.. Wśród różnego rodzaju dokumentów dotyczących (…) były 82 upoważnienia zawierające (…) przetwarzane przez Administratora. Z dokumentów sprawy wynikało, że osoba zatrudniona przez Przedsiębiorcę w charakterze (…), na jego polecenie, przewoziła wspomnianą wyżej trasą pudła z dokumentami na tzw. odkrytej pace samochodu.
2.
W związku z powyższym, pismami: z 7 lutego 2023 r., 9 marca 2023 r. oraz 6 kwietnia 2023 r. Prezes Urzędu Ochrony Danych Osobowych, zwany dalej również „Prezesem UODO” lub „organem nadzorczym”, na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679, zwrócił się do Administratora o wyjaśnienia dotyczące opisanego wyżej zdarzenia. Przedsiębiorca udzielił odpowiedzi pismami z 21 lutego 2023 r., 21 marca 2023 r. oraz 25 kwietnia 2023 r.
3.
Na podstawie udzielonych wyjaśnień Prezes UODO wszczął postępowanie administracyjne wobec Przedsiębiorcy i zwrócił się do niego o złożenie kolejnych wyjaśnień pismami z 19 maja 2023 r. i 4 kwietnia 2024 r. Administrator odpowiedział pismami z 30 maja 2023 r. oraz 29 maja 2024 r.
Prezes UODO, w wyniku przeprowadzonego postępowania wyjaśniającego oraz postępowania administracyjnego ustalił następujący stan faktyczny:
4.
12 listopada 2022 r. Policja zabezpieczyła dokumenty Przedsiębiorcy, które zostały znalezione przez przypadkową osobę na poboczu drogi w miejscowości G.. Wśród zabezpieczonych dokumentów znajdowały się upoważnienia do (…).
5.
Naruszenie ochrony danych osobowych dotyczyło danych osobowych zawartych w 82 upoważnieniach. Zakres danych osobowych znajdujących się na upoważnieniach obejmował imię i nazwisko bądź nazwisko oraz serię i numer dowodu osobistego.
6.
Pracownik Administratora zatrudniony w charakterze (…) na polecenie Pani G. M. zabrał pudła z różnymi dokumentami dotyczącymi (…), w tym dokumenty zawierające dane osobowe, z niezamykanego pomieszczenia pod schodami, znajdującego się w siedzibie Administratora przy ul. (…) w U.. Ww. pudła zostały zapakowane na tzw. pakę samochodu, przykryte plandeką i bez żadnych dodatkowych zabezpieczeń przewiezione do T. (jednego z miejsc, w którym Przedsiębiorca prowadzi działalność gospodarczą). Na miejscu pracownik nie zorientował się, że zgubił po drodze część dokumentów, ponieważ wcześniej nie policzył pudeł, które zapakował do samochodu.
7.
Dostarczona wraz z pismem z 21 marca 2023 r. analiza ryzyka, która według oświadczenia Administratora (pismo z 30 maja 2023 r.) jest jedyną wykonaną dla operacji przetwarzania danych objętych naruszeniem ochrony danych osobowych, nie zawiera opisu zagrożeń związanych z bezpieczeństwem przetwarzanych danych osobowych, oceny prawdopodobieństwa wystąpienia zdarzenia skutkującego naruszeniem ochrony danych osobowych ani też skutków wystąpienia zagrożenia dla osób fizycznych, których dane dotyczą.
8.
Zgodnie z przyjętymi u Administratora zasadami, dokumentacja zawierająca dane osobowe jest przechowywana w zamykanej na klucz szafie znajdującej się w pomieszczeniu biurowym w siedzibie Przedsiębiorcy.
9.
Administrator nie opracował procedury transportu dokumentacji zawierającej dane osobowe.
10.
W związku z naruszeniem ochrony danych osobowych Administrator sporządził ogólny opis dotyczący okoliczności zdarzenia.
11.
Administrator nie dokonał zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych.
W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
12.
W myśl art. 34 ustawy z dnia 10 maja 2018 r. Prezes UODO jest organem właściwym w sprawie ochrony danych i organem nadzorczym w rozumieniu rozporządzenia 2016/679. Stosownie do art. 57 ust. 1 lit. a) i h) rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia oraz prowadzi postępowania w sprawie naruszenia niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego.

I. Naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679.

13.
Art. 5 rozporządzenia 2016/679 określa zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych.
14.
Zgodnie z art. 5 ust. 1 lit. f) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („poufność i integralność”). Stosownie zaś do art. 5 ust. 2 rozporządzenia 2016/679, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).
15.
Konkretyzację zasady poufności, o której mowa w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, stanowią dalsze przepisy tego rozporządzenia, w tym art. 24 ust. 1 rozporządzenia 2016/679, który wskazuje, że uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679 i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Jak wynika z art. 24 ust. 1 rozporządzenia 2016/679, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze są czynnikami, które administrator ma obowiązek uwzględniać w procesie budowania systemu ochrony danych, również w szczególności z punktu widzenia pozostałych obowiązków wskazanych w art. 25 ust. 1, art. 32 ust. 1 czy art. 32 ust. 2 rozporządzenia 2016/679.
16.
W myśl z art. 25 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.
17.
Z treści art. 32 ust. 1 rozporządzenia 2016/679 wynika, że administrator jest zobowiązany do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Przepis precyzuje, że decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, powinny obejmować środki takie, jak pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
18.
W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
19.
Zarządzanie ryzykiem (przeprowadzenie analizy ryzyka i na tej podstawie wdrożenie odpowiednich zabezpieczeń) jest jednym z podstawowych elementów systemu ochrony danych osobowych i ma charakter ciągłego procesu. Powinna mieć miejsce również okresowa weryfikacja zarówno adekwatności, jak i skuteczności zastosowanych zabezpieczeń, stosownie do wymogu przewidzianego w art. 32 ust. 1 lit. d) rozporządzenia 2016/679. Administrator danych powinien zatem regularnie testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania. Podkreślić należy, że wskazane testowanie, mierzenie i ocenianie, aby stanowiło realizację wymogu wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, musi być dokonywane w sposób regularny, co oznacza świadome zaplanowanie i zorganizowanie, a także udokumentowanie (w związku z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679) tego typu działań w określonych przedziałach czasowych, niezależnie od zmian w organizacji i przebiegu procesów przetwarzania danych.
20.
W niniejszym przypadku Przedsiębiorca, jako administrator danych osobowych znajdujących się na upoważnieniach do (…), miał obowiązek podjęcia działań zapewniających właściwy poziom ochrony danych poprzez wdrożenie odpowiednich środków technicznych oraz organizacyjnych, mających zapewnić bezpieczeństwo tych danych. Charakter i rodzaj tych działań powinien wynikać z rzetelnie przeprowadzonej analizy ryzyka, w której powinno się zidentyfikować podatności odnoszące się do wykorzystywanych zasobów oraz wynikające z nich zagrożenia, a następnie określić adekwatne środki bezpieczeństwa. Błędne oszacowanie ryzyka lub jego pominięcie uniemożliwia zastosowanie odpowiednich środków bezpieczeństwa dla danego zasobu oraz zwiększa prawdopodobieństwo jego wystąpienia.
21.
W przeprowadzonej analizie ryzyka Przedsiębiorca nie zidentyfikował zagrożeń związanych z transportem dokumentów z siedziby Administratora do innego miejsca prowadzenia działalności. Konsekwencją powyższego był brak wdrożenia odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przewożonym dokumentom zawierającym dane osobowe. Efektem powyższego było zmaterializowanie się ryzyka, w wyniku czego upoważnienia wystawione przez (…) zostały zagubione wraz z innymi dokumentami, a osoby nieuprawnione mogły uzyskać dostęp do danych osobowych zawartych w tych upoważnieniach.
22.
Wskazać należy, że rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem stanowi fundament działań związanych z ochroną danych osobowych. Zarządzanie ryzykiem ma charakter ciągłego procesu wymuszającego na administratorze danych nie tylko zapewnienie zgodności z przepisami rozporządzenia 2016/679 poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale także zapewnienie ciągłości monitorowania poziomu zagrożeń oraz zapewnienie rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Wobec powyższego, koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma zatem przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka. Konsekwencją takiego podejścia jest konieczność samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie są wskazywane konkretne środki i procedury w zakresie bezpieczeństwa. W wyroku z 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19, Wojewódzki Sąd Administracyjny w Warszawie wskazał, że „Przepis ten [art. 32 rozporządzenia 2016/679] nie wymaga od administratora danych wdrożenia jakichkolwiek środków technicznych i organizacyjnych, które mają stanowić środki ochrony danych osobowych, ale wymaga wdrożenia środków adekwatnych. Taką adekwatność oceniać należy pod kątem sposobu i celu, w jakim dane osobowe są przetwarzane, ale też należy brać pod uwagę ryzyko związane z przetwarzaniem tych danych osobowych, które to ryzyko charakteryzować się może różną wysokością.”, „Przyjęte środki mają mieć charakter skuteczny, w konkretnych przypadkach niektóre środki będą musiały być środkami o charakterze niwelującym niskie ryzyko, inne – muszą niwelować ryzyko wysokie, ważne jednak jest, aby wszystkie środki (a także każdy z osobna) były adekwatne i proporcjonalne do stopnia ryzyka.”, a także „(…) czynności o charakterze techniczno – organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych.” Natomiast Naczelny Sąd Administracyjny w wyroku z 5 lipca 2024 r., sygn. akt III OSK 2654/22, podkreślił, że „(…) administrator miał obowiązek "wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku". Poprzez wdrożenie takich środków należy rozumieć wprowadzenie zabezpieczeń, które będą adekwatne do przyjętego ryzyka, ergo będą zapobiegać naruszeniu zasad przetwarzania danych osobowych w normalnych warunkach”.
23.
Wobec powyższego, to odpowiednio przeprowadzona ocena ryzyka zapewnia administratorowi możliwość określenia i wprowadzenia środków technicznych i organizacyjnych, które spowodują wyeliminowanie lub co najmniej znaczne obniżenie ustalonego poziomu ryzyka materializacji zidentyfikowanych zagrożeń dla przetwarzanych danych osobowych. Ocena ryzyka przeprowadzona przez administratora powinna zostać udokumentowana oraz uzasadniona stanem faktycznym istniejącym w chwili jej przeprowadzania. Główne czynniki składające się na prawidłową ocenę, które powinny zostać wzięte pod uwagę podczas przeprowadzania analizy, to charakterystyka zachodzących procesów przetwarzania, aktywa, podatności, zagrożenia oraz aktualne zabezpieczenia. Należy pamiętać, że istotne przy ocenianiu ryzyka są również takie czynniki, jak zakres i charakter przetwarzanych przez administratora danych osobowych, gdyż to od nich zależeć będą ewentualne negatywne skutki dla osoby fizycznej występujące w momencie naruszenia ochrony jej danych osobowych. Jak podkreślił Wojewódzki Sąd Administracyjny w Warszawie w wyrokach z 13 maja 2021 r., sygn. II SA/Wa 2129/20, oraz z 5 października 2023 r., sygn. akt II SA/Wa 502/23, „Administrator danych powinien zatem przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia”. Z kolei w wyroku z 27 lutego 2024 r., sygn. akt II SA/Wa 1404/23, Wojewódzki Sąd Administracyjny w Warszawie stwierdził, że „(…) nie ulega wątpliwości to, że aby analiza ryzyka została w ogóle przeprowadzona w sposób właściwy, winny być przez administratora prawidłowo zdefiniowane zagrożenia, mogące wystąpić w procesie przetwarzania danych”.
24.
Przedstawiony w piśmie z 21 marca 2023 r. opis, który według Administratora „(…) stanowi analizę przeprowadzonych skutków planowanych operacji przetwarzania dla ochrony danych osobowych (…)” budzi wiele wątpliwości, które ostatecznie przesądzają o tym, iż nie może zostać on uznany za analizę ryzyka, tj. dokument stanowiący ocenę, czy stopień bezpieczeństwa przetwarzanych danych osobowych jest odpowiedni przy uwzględnieniu ryzyk wiążących się z tym przetwarzaniem, w szczególności wynikających z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych, dokonanej przy zastosowaniu kryteriów opisanych w art. 32 ust. 1 rozporządzenia 2016/679. Podkreślić bowiem należy, że podstawowym celem przeprowadzonej analizy ryzyka jest zidentyfikowanie zagrożeń dla danych osobowych wynikających z podatności przyjętych rozwiązań w procesie przetwarzania, a następnie dobór takich środków bezpieczeństwa (zarówno tych o charakterze organizacyjnym, jak i o charakterze technicznym), które sprowadzą poziom ryzyka materializacji się określonego zidentyfikowanego zagrożenia do poziomu akceptowalnego. Tymczasem ww. dokument żadnego z tych elementów nie zawiera, co w konsekwencji oznacza również brak możliwości oceny przyjętych przez Administratora rozwiązań pod kątem ich adekwatności.
25.
We wspomnianym piśmie Administrator przestawił stosowane u niego rozwiązania dotyczące przechowywania dokumentów w formie papierowej, a w piśmie z 25 kwietnia 2023 r. zasady ich transportu, które jednak nie przybrały formalnie wprowadzonej procedury. W konsekwencji, Administrator nie był w stanie wykazać, stosownie do zasady rozliczalności wyrażonej w art. 5 ust. 2 rozporządzenia 2016/679, że skutecznie zostały one wdrożone w jego organizacji, tym bardziej, że z zebranego materiału dowodowego wynika, że transport dokumentów Przedsiębiorcy, podczas którego doszło do zagubienia teczki z dokumentami zawierającymi dane osobowe, nie był realizowany osobiście przez Panią G. M.. W piśmie z 25 kwietnia 2023 r. Administrator wskazał, że „(…) teczki pakowane są do pudełek, a po ich oklejeniu, osobiście przewożę dokumentację do filii (…). Przewóz dokumentacji zawierającej dane osobowe nie jest zlecany osobom trzecim.” Tak określona procedura nie tylko nie obejmuje wszystkich kwestii związanych z zabezpieczeniem danych osobowych podczas ich transportu, ale – jak wynika z dokonanych ustaleń – nie była również przestrzegana, skoro dokumenty zawierające dane osobowe, które zostały zagubione podczas transportu, były przewożone przez inną osobę niż Przedsiębiorca.
26.
Ponadto, wbrew oświadczeniu Administratora, że dokumenty z danymi, które mają być transportowane, są zapakowane do oklejonych pudełek przechowywanych w zamkniętym pomieszczeniu w siedzibie Przedsiębiorcy, ustalono, że w rzeczywistości znajdowały się one w otwartymi pomieszczeniu pod schodami, skąd zostały zabrane przez pracownika i wrzucone na pakę ciężarowego samochodu w celu przewiezienia ich do innego miejsca działalności Administratora. Z akt dostarczonych przez Prokuraturę wynika, że pracownik przewożący dokumenty na polecenie Właścicielki (…) dopuścił możliwość, że doszło do utraty części dokumentów, ponieważ przykrył wprawdzie pudła i inne zapakowane rzeczy plandeką, ale nie zabezpieczył ich dodatkowo w żaden sposób. Ponadto pudła zawierające dokumenty nie zostały przed transportem policzone, dlatego też pracownik po rozpakowaniu paki samochodu w swoim miejscu zamieszkania nie zorientował się, że utracił część dokumentów.
27.
Z ustaleń dokonanych w niniejszej sprawie wynika, że Administrator, wbrew ciążącemu na nim obowiązkowi, nie przewidział ryzyk, a w konsekwencji i środków bezpieczeństwa, które powinien stosować podczas przewożenia dokumentacji papierowej zawierającej dane osobowe.
28.
Ponadto, z ustaleń dokonanych w niniejszym postępowaniu wynika, że środek bezpieczeństwa opisany w piśmie z 21 marca 2023 r. (przechowywanie dokumentów w zamkniętej szafie znajdującej się w zamykanym pomieszczeniu) w praktyce nie był stosowany. Dokumenty zawierające dane osobowe leżały w niezamykanym pomieszczeniu pod schodami znajdującym się w siedzibie Administratora w U.. Powyższa okoliczność poddaje w wątpliwość praktyczne wdrożenie zabezpieczeń opisywanych w pismach Administratora z 21 marca 2023 r. oraz z 25 kwietnia 2023 r.
29.
Ustalenia poczynione w niniejszym postępowaniu przesądzają również o tym, że Administrator nie był w stanie wykazać, że sprawował faktyczny nadzór nad przetwarzaniem danych osobowych w (…), stosownie do wynikającej z art. 5 ust. 2 rozporządzenia 2016/679 zasady rozliczalności.
30.
Stan faktyczny ustalony w oparciu o materiały przekazane przez Prokuraturę oraz niespójne pisemne wyjaśnienia złożone Prezesowi UODO przez Administratora wskazują ponadto na brak kontroli Administratora nad pracownikami, którzy zajmowali się przetwarzaniem danych osobowych. Z pisma z 21 marca 2023 r. wynika, że jedyną osobą posiadającą zgodę Administratora na dostęp do danych osobowych był pracownik biurowy, tymczasem transport dokumentów został zlecony innemu pracownikowi zatrudnionemu w charakterze (…). Trudno również uwzględnić wiarygodność wyjaśnień Przedsiębiorcy, który twierdzi, że upoważnienia zawierające dane osobowe (…) zostały wydane do transportu przez pomyłkę, skoro Administrator sam przyznał, że nie posiadał sformalizowanych procedur związanych z przewozem dokumentów. W piśmie z 25 kwietnia 2023 r. Pani G. M. wyjaśniła, że „Wskazuję, iż przyjmuję przypadkowe wydanie skoroszytów przy przekazywaniu innych rzeczy do przewiezienia, bowiem pudełka zawierające materiały do utylizacji były zamknięte i oklejone taśmami.” Z ustaleń poczynionych w niniejszym postępowaniu wynika, że dokumenty przed transportem leżały w pudłach, w otwartym pomieszczeniu pod schodami. Nikt ich nie policzył. Nie zostały w żaden sposób zabezpieczone po załadowaniu ich na otwartą pakę samochodu, co skutkowało bardzo wysokim prawdopodobieństwem uzyskania dostępu do danych w nich zawartych przez osoby nieuprawnione w przypadku utracenia ich podczas transportu.
31.
Podkreślić należy, że przeprowadzenie analizy ryzyka uwzględniającej zagrożenia związane z transportem dokumentów zawierających dane osobowe, czy to wykonywanego osobiście przez Właścicielkę (…) czy przez jej pracowników, a następnie monitorowanie przyjętej procedury bezpieczeństwa mogłoby zminimalizować w sposób istotny ryzyko wystąpienia przedmiotowego naruszenia ochrony danych osobowych i czyniłoby zadość obowiązkowi rozliczalności, który został nałożony na Administratora w art. 5 ust. 2 rozporządzenia 2016/679.
32.
Administrator zobowiązany jest przepisami rozporządzenia 2016/679 do stałego monitorowania przestrzegania przez osoby mu podległe procedur chroniących gromadzone przez niego dane osobowe i to właśnie na Administratorze spoczywa odpowiedzialność za niedopełnienie tego obowiązku. Jak wskazał WSA w Warszawie w wyroku z 10 lutego 2021 r., sygn. II SA/Wa 2378/20, „Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych.” Podobnie kwestię zasady rozliczalności WSA w Warszawie interpretuje w wyroku z 26 sierpnia 2020 r., sygn. akt II SA/Wa 2826/19, „Biorąc pod uwagę całość norm rozporządzenia 2016/679, podkreślić należy, że administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator danych powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 rozporządzenia 2016/679”.
33.
W tym miejscu należy wskazać, że przepisy rozporządzenia 2016/679 są prawem bezwzględnie obowiązującym administratorów danych, a zgodnie z art. 24 ust. 1 tegoż rozporządzenia, to właśnie administrator uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Zatem, stosownie do ww. przepisu rozporządzenia 2016/679, jak również do obowiązków wynikających z art. 25 ust. 1 oraz art. 32 ust. 1 i 2 tego rozporządzenia, to administrator danych, a nie pracownik, zobowiązany jest do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z wymaganiami rozporządzenia 2016/679. Jak wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 15 lutego 2022 r., sygn. akt II SA/Wa 3309/21, „Pracownik nie może bowiem zastępować administratora danych w realizacji jego zadań wynikających z tych przepisów [tj. art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 rozporządzenia 2016/679]”. Z powyżej powołanego wyroku wynika, że Administrator powinien nie tylko skutecznie przekazać procedury i zasady odnoszące się do odpowiedniego zabezpieczenia przetwarzanych przez nich danych osobowych, ale również monitorować przestrzeganie tych procedur w ramach regularnego testowania wprowadzonych przez Administratora środków bezpieczeństwa, także tych o charakterze organizacyjnym. Jak wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 6 czerwca 2023 roku, sygn. akt II SA/Wa 1939/22, „(…) powinność regularnego testowania środków technicznych i organizacyjnych, zabezpieczenia przetwarzania danych osobowych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w rozumieniu art. 32 ust. 1 zd. wstępne RODO, wynika wprost z brzmienia lit. d) wskazanego art. 32 ust. 1, zaś powinność dokumentowania czynności w danym zakresie statuuje zasada rozliczalności (art. 5 ust. 2 RODO)”. Podobnie wypowiedział się Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 21 czerwca 2023 roku, sygn. akt II SA/Wa 150/23, stwierdzając, że „Podkreślenia wymaga, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem każdego administratora oraz podmiotu przetwarzającego wynikającym z art. 32 ust 1 lit. d) RODO. Administrator zobowiązany jest więc do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych na każdym etapie przetwarzania. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania”. Działanie w tym zakresie polega przede wszystkim na ich przeglądzie pod kątem skuteczności, na co składa się nie tylko sprawdzanie, czy określona procedura jest stosowana przez pracowników, ale także na zbadaniu, czy wdrożone środki bezpieczeństwa przyczyniają się w sposób realny do obniżenia ryzyka. Natomiast w przedmiotowym stanie faktycznym uznać należy, że Administrator nie wywiązywał się należycie z nałożonego na niego obowiązku dotyczącego regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych.
34.
Należy zatem wskazać, że opisywane testowanie, mierzenie i ocenianie musi dotyczyć nie tylko wprowadzonych środków o charakterze technicznym, ale również tych o charakterze organizacyjnym, a więc m.in. procedur określających zasady przetwarzania danych osobowych.
35.
W świetle wykazanych nieprawidłowości polegających na braku określenia ryzyka dla czynności przetwarzania i w konsekwencji stosowania dowolnych środków mających zapewnić bezpieczeństwo przetwarzanych przez Przedsiębiorcę danych osobowych, należy uznać, że Administrator naruszył zasadę poufności danych (art. 5 ust. 1 lit. f) rozporządzenia 2016/679) w związku z naruszeniem obowiązków administratora przy wdrażaniu środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679 (art. 24 ust. 1 rozporządzenia 2016/679), w celu nadania przetwarzaniu niezbędnych zabezpieczeń (art. 25 ust. 1 rozporządzenia 2016/679) i aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku, w tym zdolność do ciągłego zapewnienia poufności i regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (art. 32 ust. 1 rozporządzenia 2016/679) oraz obowiązku uwzględnienia ryzyka wiążącego się z przetwarzaniem, wynikającego z nieuprawnionego dostępu do przetwarzanych danych osobowych, przy ocenie, czy stopień bezpieczeństwa jest odpowiedni (art. 32 ust. 2 rozporządzenia 2016/679). Konsekwencją naruszenia zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679 jest naruszenie zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679.

II. Naruszenie art. 33 ust. 1 rozporządzenia 2016/679.

36.
Zgodnie z art. 4 pkt 12 rozporządzenia 2016/679, „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
37.
Art. 33 ust. 1 i 3 rozporządzenia 2016/679 stanowi, że w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgłoszenie, o którym mowa w ust. 1 musi, co najmniej:
a)
opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
b)
zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
c)
opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
d)
opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
38.
Należy w tym miejscu podkreślić, że Prezes UODO w piśmie z 7 lutego 2023 r. poinformował Administratora o treści powołanego wyżej przepisu, jednocześnie wskazując sposoby zgłoszenia naruszenia ochrony danych osobowych.
39.
Z analizy ww. przepisów wynika, że w zależności od tego, z jakim poziomem ryzyka naruszenia praw lub wolności osób fizycznych administrator ma do czynienia, inaczej kształtują się jego obowiązki w stosunku do organu nadzorczego, a także osób, których dane dotyczą. Jeżeli wystąpienie ryzyka naruszenia praw lub wolności osób fizycznych nie jest prawdopodobne, administrator nie jest zobligowany do zgłoszenia naruszenia Prezesowi Urzędu Ochrony Danych Osobowych. Wskazane naruszenie musi jedynie wpisać do wewnętrznej ewidencji naruszeń. W przypadku stwierdzenia ryzyka naruszenia praw lub wolności osób fizycznych, obowiązkiem administratora jest zgłoszenie naruszenia ochrony danych Prezesowi UODO, jak również umieszczenie wpisu w wewnętrznej ewidencji naruszeń.
40.
Jak wynika z powyższego, w przypadku wykrycia przez administratora naruszenia ochrony danych osobowych, w pierwszej kolejności konieczne jest dokonanie analizy pod kątem wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. Administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu, jeśli przeprowadzone badanie wykaże, że prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych jest małe. Należy jednak mieć na względzie fakt, iż organ nadzorczy będzie mógł zwrócić się do administratora o uzasadnienie decyzji o niezgłaszaniu naruszenia, w związku z tym wnioski z przeprowadzonej analizy należy odnotować w wewnętrznej ewidencji naruszeń.
41.
Warto przy tym przypomnieć, że w Wytycznych Europejskiej Rady Ochrony Danych (EROD) nr 9/2022[1] przyjętych 28 marca 2023 r., zwanych dalej Wytycznymi 9/2022, znajdują się rekomendacje dotyczące zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu. Wynika z nich, że „zgłoszenie naruszenia właściwemu organowi jest obowiązkowe, chyba że dane naruszenie najprawdopodobniej nie będzie wiązało się z ryzykiem naruszenia praw lub wolności osób fizycznych”. Oznacza to, że występująca w polskiej wersji rozporządzenia 2016/679 przesłanka „małego prawdopodobieństwa” powinna być utożsamiana z brakiem realnych szans na materializację potencjalnych skutków dla osób, których dane dotyczą.
42.
Zgłaszanie naruszeń ochrony danych osobowych przez administratorów stanowi skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Brak zgłoszenia naruszenia pozbawia organ nadzorczy możliwości odpowiedniej reakcji na naruszenie ochrony danych osobowych, która przejawia się nie tylko w ocenie ryzyka naruszenia dla praw lub wolności osoby fizycznej, ale również w weryfikacji, czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą, jak również, czy zastosował odpowiednie środki bezpieczeństwa w celu wyeliminowania ryzyka ponownego wystąpienia naruszenia.
43.
W rozpatrywanym przypadku, jak wynika z wyjaśnień Administratora zawartych w piśmie z 21 marca 2023 r., „Po otrzymaniu informacji o ww. zdarzeniu, w toku wyjaśnień i weryfikacji zaistniałej sytuacji, właściciel firmy zorientował się, iż istniejące i funkcjonujące procedury nie zawierają instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych”. Wobec powyższego wskazać należy, że dobrze zaprojektowana i prawidłowo wdrożona przez Administratora procedura obsługi naruszeń ochrony danych osobowych pozwoliłaby mu dokonać klasyfikacji zdarzenia oraz określić poziom wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych, a w konsekwencji obowiązki wobec organu nadzorczego.
44.
W przedmiotowej sprawie, co jednoznacznie wynika z dokonanych ustaleń, doszło do naruszenia ochrony danych osobowych, polegającego na naruszeniu poufności danych osobowych (…) znajdujących się w wystawionych przez te osoby upoważnieniach, które zostały zagubione podczas transportu dokumentów. Jednak w piśmie z 21 lutego 2023 r. Administrator wyjaśnił, że nie stwierdził naruszenia ochrony danych osobowych, ponieważ dokumenty odnalazły się w nienaruszonym stanie, a czas utraty kontroli był krótki. W odpowiedzi na wezwanie z 6 kwietnia 2023 r. Administrator przyznał jednak, że doszło do ujawnienia danych, ale w jego ocenie nie były one wystarczające do wystąpienia ryzyka ich wykorzystania, a w konsekwencji wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. W przedmiotowej sprawie Administrator nie wykazał jednak, aby rzetelna ocena ryzyka po stwierdzeniu naruszenia ochrony danych osobowych w ogóle została dokonana, w szczególności pod kątem zbadania, czy w związku z tym zdarzeniem na Przedsiębiorcy spoczywa obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu. W reakcji na dwukrotne wezwanie do przedstawienia takiej oceny, Administrator przekazał najpierw ogólny opis (w piśmie z 21 marca 2023 r.), a następnie, w piśmie z 25 kwietnia 2023 r., tabelkę zawierającą analizę opartą na (jak twierdził) takich parametrach jak: czas trwania utraty kontroli nad dokumentami oraz rodzaj danych ujawnionych na utraconych dokumentach. Ostatecznie, nie opierając się na żadnej rzetelnie przeprowadzonej analizie, Administrator uznał, „iż ujawnione dane nie są wystarczające do wystąpienia ryzyka wykorzystania danych (…) należy stwierdzić, iż nie zaistniało ryzyko naruszenia praw lub wolności osób trzecich. Z tego też powodu, wobec braku wystąpienia ryzyka, odstąpiono od informowania organu oraz osób fizycznych o zdarzeniu.” Biorąc pod uwagę okoliczności, w jakich odnaleziono dokumenty, trudno uznać czas utraty kontroli nad danymi osobowymi za krótkotrwały, zwłaszcza, że sam Administrator nie potrafił go jednoznacznie określić. W piśmie z 21 marca 2023 r. Pani G. M. stwierdziła, że było to kilka godzin, podczas, gdy z dokumentów przekazanych przez prokuraturę rejonową wynika, że mogło to być nawet kilka dni. W wyjaśnieniach Administratora pojawiają się również rozbieżności co do ilości upoważnień, które zagubiono podczas transportu. W ww. piśmie Przedsiębiorca wspomniał o 20 upoważnieniach, podczas gdy w wyjaśnieniach z 25 kwietnia 2023 r. stwierdził, że było ich 82. Z uwagi na to, że informacja o 82 upoważnieniach zagubionych podczas transportu znajduje się w późniejszym z ww. pism, to Prezes UODO taką liczbę przyjął jako odpowiadającą rzeczywistości.
45.
Niewątpliwie w wyniku zagubienia powyższych dokumentów miało miejsce naruszenie poufności danych osobowych, ponieważ osoba nieuprawniona, np. ta, która odnalazła dokumenty na poboczu drogi, z łatwością mogła się z nimi zapoznać, co już samo w sobie związane jest z ryzykiem naruszenia praw lub wolności osób, których dane znajdowały się w zagubionych upoważnieniach. Poza tym, nie można wykluczyć, że z danymi osobowymi zawartymi w dokumentach porozrzucanych przy drodze nie zapoznały się inne przypadkowe osoby. Nie ma też pewności, że wszystkie dokumenty zawierające dane osobowe zostały odnalezione, skoro pracownik, który je przewoził, nie wiedział, ile pudeł zapakował do samochodu.
46.
Naruszenie ochrony danych osobowych, jakie wystąpiło w niniejszej sprawie, wbrew twierdzeniom Administratora zawartym w korespondencji kierowanej do Prezesa UODO, skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych objętych przedmiotowym naruszeniem. W rozpatrywanym przypadku z danymi osobowymi zawartymi w upoważnieniach: imieniem i nazwiskiem / bądź nazwiskiem oraz numerem i serią dowodu osobistego mogła zapoznać się co najmniej jedna osoba nieuprawniona. Nie ulega więc wątpliwości, że w oparciu o ujawnione dane osobowe możliwe jest zidentyfikowanie podmiotów danych.
47.
Ryzyko naruszenia praw lub wolności osób fizycznych występuje wówczas, gdy naruszenie ochrony danych może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Zaznaczyć należy, że zgodnie z treścią art. 33 ust. 1 rozporządzenia 2016/679 już samo wystąpienie naruszenia ochrony danych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, zobowiązuje administratora do powiadomienia organu nadzorczego o wystąpieniu naruszenia, niezależnie od zmaterializowania się jego konsekwencji.
48.
W Wytycznych 9/2022 EROD wskazując czynniki, które należy wziąć pod uwagę przy ocenie ryzyka, odsyła do motywów 75 i 76 rozporządzenia 2016/679, które sugerują, że administrator powinien uwzględnić zarówno prawdopodobieństwo wystąpienia, jak i powagę zagrożenia praw lub wolności osoby, której dane dotyczą. W przypadku naruszenia ochrony danych osobowych administrator powinien skupić swoją uwagę na wynikającym z faktu naruszenia ryzyku wpływu naruszenia na osobę fizyczną. Zatem, oceniając ryzyko dla osoby fizycznej powstałe w wyniku naruszenia ochrony danych osobowych, administrator powinien wziąć pod uwagę konkretne okoliczności naruszenia, w tym dotkliwość potencjalnego wpływu oraz prawdopodobieństwo jego wystąpienia. W związku z powyższym, przy ocenie ryzyka, EROD zaleca uwzględnienie takich kryteriów, jak: rodzaj naruszenia, charakter, wrażliwość i ilość danych osobowych, a także łatwość identyfikacji, ponieważ mogą one mieć wpływ na poziom ryzyka dla osób fizycznych. Ryzyko naruszenia praw lub wolności osoby fizycznej zgodnie z Wytycznymi 9/2022 będzie większe, gdy konsekwencje naruszenia są poważniejsze, jak również wtedy, gdy wzrasta prawdopodobieństwo ich wystąpienia. Wytyczne wskazują, aby w przypadku jakichkolwiek wątpliwości administrator zgłosił naruszenie ochrony danych osobowych, nawet jeśli taka ostrożność mogłaby się okazać nadmierna.
49.
Jak wskazują Wytyczne 9/2022, naruszenie ochrony danych osobowych może potencjalnie wywołać szereg negatywnych skutków dla osób fizycznych, których dane są przedmiotem naruszenia. Wśród możliwych skutków naruszenia EROD wymienia: uszczerbek fizyczny, szkody materialne lub niemajątkowe. Jako przykłady takich szkód wymienione są m.in.: dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, straty finansowe, naruszenie dobrego imienia, naruszenie poufności danych osobowych oraz znaczna szkoda gospodarcza lub społeczna.
50.
Warte szczególnego podkreślenia jest to, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować. W treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia ochrony danych osobowych właściwemu organowi nadzorczemu. Potwierdził to jednoznacznie także Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 22 września 2021 r. wydanym w sprawie o sygn. akt II SA/Wa 791/21: „Podkreślić należy, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować. W treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” (przy czym Sąd ten podobnie orzekł w wyroku z 1 lipca 2022 r. wydanym w sprawie o sygn. akt II SA/Wa 4143/21 oraz w wyrokach z 31 sierpnia 2022 r., sygn. akt II SA/Wa 2993/21, z 15 listopada 2022 r., sygn. akt II SA/Wa 546/22 i z 26 kwietnia 2023 r., sygn. akt II SA/Wa 1272/22).
51.
Warto podkreślić, że dokonując oceny pod kątem ryzyka naruszenia praw lub wolności osób fizycznych, od której uzależnione jest m.in. dokonanie zgłoszenia naruszenia ochrony danych osobowych, należy łącznie uwzględnić czynnik prawdopodobieństwa i wagę potencjalnych negatywnych skutków. Wysoki poziom któregokolwiek z tych czynników ma wpływ na wysokość ogólnej oceny, od której uzależnione jest wypełnienie m.in. obowiązku określonego w art. 33 ust. 1 rozporządzenia 2016/679. Mając na uwadze, że ze względu na zakres ujawnionych danych osobowych, tj. imię i nazwisko / bądź nazwisko oraz seria i numer dowodu osobistego, wystąpiła możliwość zmaterializowania się negatywnych konsekwencji dla osoby, której dane dotyczą, to wagę potencjalnego wpływu na prawa lub wolności osoby fizycznej należy uznać za większą niż niska. Prawdopodobieństwo wystąpienia ryzyka w następstwie przedmiotowego naruszenia nie jest małe i nie zostało wyeliminowane. Tym samym stwierdzić należy, że w związku z przedmiotowym naruszeniem wystąpiło ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, co w konsekwencji determinuje obowiązek dokonania zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu.
52.
Jednocześnie Prezes UODO, dokonując oceny naruszenia ochrony danych osobowych, uznał, że analizowane naruszenie ochrony danych osobowych nie stwarza wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, co zwalnia Administratora z obowiązku zawiadomienia osób, których dane dotyczą, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679. W swojej decyzji Prezes UODO uwzględnił fakt, że dane objęte naruszeniem nie obejmują informacji szczególnie wrażliwych (danych szczególnych). Ograniczony zakres danych minimalizuje potencjalne ryzyko ich niewłaściwego wykorzystania.
53.
Z uwagi na powyższe należy uznać, że w przedmiotowej sytuacji nie ma podstaw do stwierdzenia, by Administrator z jakichkolwiek przyczyn zwolniony był z obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu zgodnie z art. 33 ust. 1 rozporządzenia 2016/679. W okolicznościach badanego przypadku nie można rozsądnie twierdzić, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności podmiotów danych. Naruszenie to dotyczyło imion, nazwisk oraz numerów dowodu osobistego zawartych w dokumentach wystawionych w specyficznej sytuacji związanej z (…), a ponadto nie można jednoznacznie stwierdzić czy z danymi osobowymi nie zapoznało się więcej przypadkowych osób. W ocenie organu nadzorczego nie istnieje więc uzasadnienie dla niewykonania przez Administratora obowiązku wynikającego z powyższego przepisu rozporządzenia 2016/679.
54.
Podkreślić w tym miejscu należy, że „małe prawdopodobieństwo” zaistnienia skutku w postaci naruszenia praw lub wolności osoby, której dane dotyczą, powinno być utożsamiane z sytuacją, w której oceniający posiada przesłanki pozwalające na stwierdzenie, że skutek ten nie urzeczywistni się w ogóle – a zatem wtedy, gdy mówimy o „braku ryzyka”. Warto zauważyć, że w polskiej wersji rozporządzenia 2016/679 użyto sformułowania „mało prawdopodobne”, zaś w angielskiej – terminu „unlikely”. Wyraz ten ma silniejsze znaczenie niż nasz rodzimy odpowiednik i służy do określenia czegoś, co jest raczej nieprawdopodobne, wątpliwie lub niemal niemożliwe. Warto również odwołać się w tym miejscu do Wytycznych 9/2022, zwłaszcza do działu II tych wytycznych dotyczącego art. 33 rozporządzenia 2016/679 oraz wynikającego z niego obowiązku powiadomienia organu nadzorczego. W rozdziale D tego działu EROD omówiła warunki, w których powiadomienie takie nie jest wymagane. Wnikliwe przeanalizowanie treści tego rozdziału pozwala stwierdzić, że EROD stoi na stanowisku, że wyjątek z art. 33 ust. 1 rozporządzenia 2016/679 (tj. przypadek, gdy nie powstaje obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu ze względu na małe prawdopodobieństwo wystąpienia naruszenia praw lub wolności osób fizycznych) należy rozumieć wąsko. Inaczej mówiąc: jako wyjątek, który znajdzie zastosowanie w sytuacjach, gdy to prawdopodobieństwo jest w sposób oczywisty małe.
55.
W konsekwencji należy stwierdzić, że Administrator, pomimo wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych, nie dokonał zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych polegającego na naruszeniu poufności danych osobowych (…) znajdujących się w wystawionych przez te osoby upoważnieniach i tym samym nie wykonał obowiązku z art. 33 ust. 1 rozporządzenia 2016/679, co oznacza naruszenie przez Przedsiębiorcę tego przepisu.
56.
Oceniając okoliczności przedmiotowego naruszenia ochrony danych osobowych, należy podkreślić, że stosując przepisy rozporządzenia 2016/679 należy mieć na uwadze, iż celem tego rozporządzenia (wyrażonym w jego art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów – nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy opracowywaniu technicznych i organizacyjnych środków bezpieczeństwa mających im zapobiegać – należy w pierwszej kolejności brać pod uwagę te wartości i ich ochronę.

III. Zachowania podlegające administracyjnym karom pieniężnym. Zastosowanie art. 83 ust. 3 rozporządzenia 2016/679.

57.
Biorąc pod uwagę powyższe ustalenia oraz stwierdzone naruszenia przepisów rozporządzenia 2016/679, Prezes UODO, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. i) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a)-h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 ust. 4 lit. a) i ust. 5 lit. a) rozporządzenia 2016/679, mając na względzie okoliczności ustalone w przedmiotowym postępowaniu stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Administratora administracyjnej kary pieniężnej.
58.
Postępowanie administracyjne prowadzone przez Prezesa UODO służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej w celu zastosowania uprawnień naprawczych określonych w art. 58 ust. 2 rozporządzenia 2016/679.
59.
Zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25-39 oraz 42 i 43, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
60.
Zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
61.
Art. 83 ust. 3 rozporządzenia 2016/679 natomiast stanowi, że jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.
62.
W związku ze stwierdzeniem w niniejszej sprawie naruszenia wielu przepisów rozporządzenia 2016/679 (art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1, art. 32 ust. 1 i 2 oraz art. 33 ust. 1), Prezes UODO uprawniony jest do zastosowania jednego lub kilku środków naprawczych określonych w art. 58 ust. 2 rozporządzenia 2016/679. Wśród tych uprawnień organu nadzorczego znajduje się uprawnienie do zastosowania, oprócz lub zamiast innych środków, o których mowa w tym przepisie, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy. Okoliczności niniejszej sprawy, w szczególności powaga stwierdzonych naruszeń, o czym będzie mowa w dalszych częściach uzasadnienia, wskazują, że stosownym i koniecznym będzie skorzystanie z tego uprawnienia.
63.
Ustalając konkretne sankcje za stwierdzone w niniejszej sprawie naruszenia Prezes UODO skorzystał ze wskazówek zawartych w Wytycznych EROD 04/2022 dotyczących obliczania administracyjnych kar pieniężnych na podstawie RODO (wersja 2.1) przyjętych 24 maja 2023 r., zwanych dalej Wytycznymi 04/2022. Pierwszym krokiem przyjętej tam metodyki obliczania administracyjnych kar pieniężnych jest „określenie operacji przetwarzania w danej sprawie i ocena zastosowania art. 83 ust. 3 RODO” (zob. ust. 17 Wytycznych 04/2022). Rozwijając tę wskazówkę w ust. 24 swoich wytycznych EROD zaleca w pierwszej kolejności ustalić:
a)
czy okoliczności wskazują na jedno zachowanie, czy też na wiele zachowań podlegających karze;
b)
w przypadku jednego zachowania, czy zachowanie to stanowi jedno naruszenie czy większą liczbę naruszeń;
c)
w przypadku jednego zachowania, które stanowi wiele naruszeń, czy przypisanie jednego naruszenia wyklucza przypisanie innego naruszenia, czy też należy je przypisać równolegle.
64.
Wykładnię pojęcia „jedno zachowanie” zawiera natomiast – w nawiązaniu do art. 83. ust. 3 rozporządzenia 2016/679, w którym mowa jest o „tych samych lub powiązanych operacjach przetwarzania” – ust. 28 Wytycznych 04/2022. Zgodnie z nim „[t]ermin «powiązane» odnosi się do zasady, zgodnie z którą jedno zachowanie może składać się z kilku części, które są realizowane na skutek jednego aktu woli i są kontekstowo (w szczególności jeśli chodzi o tożsamość osoby, której dane dotyczą, cel i charakter przetwarzania), przestrzennie i czasowo tak blisko powiązane, że z obiektywnego punktu widzenia można uznać je za jedno spójne zachowanie”.
65.
Odnosząc przedstawione wyżej przepisy rozporządzenia 2016/679 oraz wskazówki zawarte w Wytycznych 04/2022 do okoliczności niniejszej sprawy Prezes UODO stwierdził co następuje:
66.
Po pierwsze, Prezes UODO uznał, że rozpatrywane w sprawie zaniechania Przedsiębiorcy polegały na niezapewnieniu właściwego poziomu ochrony danych osobowych (…) przetwarzanych przez Przedsiębiorcę w zasobach papierowych podczas projektowania prywatności (naruszenie art. 25 ust. 1 rozporządzenia 2016/679), w szczególności Przedsiębiorca nie przeprowadził oceny ryzyka dla ochrony wyżej wskazanych danych w związku z transportem dokumentacji, dzięki której mógłby określić i wdrożyć adekwatne środki bezpieczeństwa dla tego procesu przetwarzania danych (naruszenie art. 32 ust. 1 i 2 rozporządzenia 2016/679). Opisane wyżej zaniechania stanowią „jedno spójne zachowanie” w rozumieniu przedstawionym przez EROD. Oba zaniechania Przedsiębiorcy (stanowiące jednocześnie naruszenie art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679) są w ocenie Prezesa UODO efektem jednego aktu woli Administratora, który nie podjął działań wdrażających i egzekwujących stosowanie środków ochrony danych osobowych (…) zawartych w dokumentach, które były transportowane przez Przedsiębiorcę pomiędzy miejscami wykonywanej przez niego działalności gospodarczej. Następstwem powyższych zaniechań było zagubienie podczas transportu 82 upoważnień udzielonych przez (…). Na to, że wskazane powyżej operacje przetwarzania, stanowiące przedmiot rozpatrywanych naruszeń przepisów rozporządzenia 2016/679 (art. 25 ust. 1 oraz art. 32 ust.1 i 2 rozporządzenia 2016/679), są powiązanymi operacjami przetwarzania w rozumieniu art. 83 ust. 3 rozporządzenia 2016/679, wskazuje – poza objęciem ich jednym aktem woli Przedsiębiorcy – również wspólny kontekst tego przetwarzania. Łączy te operacje przetwarzania w ocenie Prezesa UODO:
a)
cel przetwarzania – był nim (…) na podstawie wystawionych przez (…) współpracujących z Administratorem;
b)
charakter przetwarzania – związany był bezpośrednio z przedmiotem prowadzonej przez Administratora działalności gospodarczej ((…)) i polegał na przetwarzaniu danych osobowych (…). Upoważnienia te były przetwarzane przez Administratora w zasobach papierowych;
c)
poziom ryzyka przetwarzania – zwiększony w stosunku do innych procesów przetwarzania przez Przedsiębiorcę danych osobowych jego klientów. Poziom ryzyka omawianego procesu przetwarzania wynika z faktu, że Przedsiębiorca nie zidentyfikował dla tego procesu zagrożeń, co w konsekwencji doprowadziło do niewdrożenia odpowiednich środków technicznych i organizacyjnych, które mogłyby zapewnić bezpieczeństwo przewożonym dokumentom zawierającym dane osobowe (…);
d)
tożsamość osób, których dane dotyczą – procesy przetwarzania objęte wszystkimi naruszeniami odnoszą się do zachowania Przedsiębiorcy polegającego na niezapewnieniu właściwego poziomu ochrony danych osobowych przetwarzanych w zasobach papierowych, które dotyczą (…) (art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679) i obejmują dane osobowe tej samej, ściśle określonej grupy osób – (…);
e)
kontekst czasowy przetwarzania – czas trwania przetwarzania danych osobowych (…), a więc i czas trwania wszystkich stwierdzonych w odniesieniu do tego przetwarzania naruszeń, jest ten sam – od 25 maja 2018 r. (od momentu rozpoczęcia stosowania przepisów rozporządzenia 2016/679) do chwili obecnej.
Stwierdzić należy, że zaniechania Przedsiębiorcy polegające na niezastosowaniu odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych osobowych (…), doprowadziły do zagubienia 82 upoważnień podczas transportu dokumentacji. Zaniechania te stanowią jedno spójne zachowanie (co wynika z objęcia ich jednym aktem woli oraz kontekstu przetwarzania objętego tym aktem woli), które prowadzi do naruszenia kilku przepisów rozporządzenia 2016/679 (art. 25 ust. 1 oraz art. 32 ust. 1 i 2, co w konsekwencji prowadzi do naruszenia art. 5 ust. 1 lit. f) oraz art. 5 ust. 2), i stwierdzić należy w dalszej kolejności, że żadne z tych stwierdzonych naruszeń nie wyklucza – w ocenie Prezesa UODO – przypisania Przedsiębiorcy innego z nich. W szczególności stwierdzenie naruszenia przepisów określających podstawowe, ogólne zasady przetwarzania (w niniejszej sprawie – art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679) nie wyklucza przypisania administratorowi (i nałożenia za to sankcji finansowej) naruszenia przepisów szczegółowych stanowiących konkretyzację tych zasad (art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679). Powyższe pozwala więc przypisać Przedsiębiorcy wymienione powyżej naruszenia „równolegle” – żadne z nich nie wyklucza przypisania Administratorowi pozostałych z nich. W takiej sytuacji znajdzie zastosowanie w stosunku do wszystkich wskazanych powyżej naruszeń przepis art. 83 ust. 3 rozporządzenia 2016/679.
67.
Po drugie, zaniechanie Przedsiębiorcy prowadzące do naruszenia art. 33 ust. 1 rozporządzenia 2016/679 nie stanowi jednego zachowania wraz z rozpatrywanymi w pkt 1 zaniechaniami prowadzącymi do naruszenia art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679. Świadczą o tym następujące okoliczności:
a)
w przeciwieństwie do zachowania Przedsiębiorcy stanowiącego naruszenie art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, niniejsze zaniechanie polegało na niespełnieniu obowiązku wobec organu nadzorczego polegającego na zgłoszeniu naruszenia ochrony danych osobowych w postaci naruszenia poufności danych osobowych (…) znajdujących się w wystawionych przez te osoby upoważnieniach, które zostały zagubione przez Administratora podczas transportu dokumentów. Materializacja samego naruszenia ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, lecz rozstrzygając naruszenie art. 33 ust. 1 rozporządzenia 2016/679 należy przede wszystkim wziąć pod uwagę realizację obowiązków ciążących na administratorze wobec organu nadzorczego;
b)
w przeciwieństwie do naruszenia art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, omawiane zaniechanie było niezależne od aktu woli Przedsiębiorcy prowadzącego do naruszenia art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, ponieważ dotyczyło częściowo innego obszaru regulacji rozporządzenia 2016/679 (inny był cel i motywacja tego zachowania), podjęte też zostało w innym kontekście czasowym (od listopada 2022 r., podczas gdy zaniechanie opisane w pkt 1 miało miejsce już od 25 maja 2018 r.).
68.
Podsumowując powyższe:
a)
Prezes UODO stwierdził w niniejszej sprawie dokonanie przez Przedsiębiorcę – jednym zachowaniem (opisanym w pkt 65 uzasadnienia niniejszej decyzji) – naruszenia kilku przepisów rozporządzenia 2016/679 (art. 25 ust. 1 oraz art. 32 ust. 1 i 2 oraz – w konsekwencji – art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679). W stosunku do wszystkich tych naruszeń zastosowany został przepis art. 83 ust. 3 rozporządzenia 2016/679, przy czym naruszenia art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 zagrożone jest karą wynikającą z art. 83 ust. 4 rozporządzenia 2016/679 (do 10 000 000 EUR lub do 2% rocznego obrotu), a naruszenie art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679 (będące wynikiem naruszenia przepisów art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679) zagrożone jest karą wynikającą z art. 83 ust. 5 rozporządzenia 2016/679 (do 20 000 000 EUR lub do 4% rocznego obrotu). Za najpoważniejsze naruszenie Prezes UODO uznał naruszenie art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679. Za taką oceną przemawia fakt, że powyższe przepisy rozporządzenia 2016/679 regulują zasady (zasadę integralności i poufności oraz zasadę rozliczalności) stanowiące swoiste normy, które mają charakter nadrzędny nad pozostałymi normami określonymi w przepisach rozporządzenia 2016/679. Nadrzędność ta przejawia się m.in. koniecznością odczytywania norm zawartych w przepisach o ochronie danych w sposób zgodny z tymi zasadami (zob. P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 5). Stąd naruszenie zasad można uznać za konsekwencję naruszenia przepisów szczegółowych określonych w art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679. Ponadto naruszenia przepisów właściwych dla art. 83 ust. 5 rozporządzenia 2016/679 zostały in abstracto (w oderwaniu od indywidualnych okoliczności konkretnej sprawy) uznane przez prawodawcę unijnego za bardziej poważne niż naruszenia wskazane w art. 83 ust. 4 rozporządzenia 2016/679.
b)
odrębnym zachowaniem, opisanym w pkt 66 uzasadnienia niniejszej decyzji (nie stanowiącym tej samej operacji przetwarzania i nie powiązanym w żaden sposób z operacją przetwarzania, której dotyczyło poprzednie naruszenie), Przedsiębiorca naruszył kolejny przepis rozporządzenia 2016/679 – art. 33 ust. 1. Ze względu na tę odrębność zachowania Przedsiębiorcy, Prezes UODO nie rozpatrywał go łącznie z poprzednimi naruszeniami i nie uwzględnił wysokości orzeczonej za nie kary w całkowitej wysokości kary nałożonej na Przedsiębiorcę za naruszenie art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, będącego konsekwencją naruszenia art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679. Oznacza to, że przepis art. 83 ust. 3 rozporządzenia 2016/679 nie ma do tego naruszenia zastosowania.

IV. Uzasadnienie nałożenia i ustalenia wysokości administracyjnej kary pieniężnej za naruszenie przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679.

69.
Administracyjna kara pieniężna wobec Przedsiębiorcy nałożona została za naruszenie art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a) rozporządzenia 2016/679, natomiast za naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679 – na podstawie art. 83 ust. 5 lit. a) tego rozporządzenia.
70.
Jednocześnie administracyjna kara pieniężna w wysokości 29 043 PLN, nałożona na Przedsiębiorcę łącznie za naruszenie wszystkich powyższych przepisów – stosownie do przepisu art. 83 ust. 3 rozporządzenia 2016/679 – nie przekracza wysokości kary za najpoważniejsze stwierdzone w niniejszej sprawie naruszenie, tj. naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679, które stosownie do art. 83 ust. 5 lit. a) rozporządzenia 2016/679 podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
71.
Decydując o nałożeniu za powyższe naruszenie administracyjnej kary pieniężnej w wysokości 29 043 PLN (słownie: dwudziestu dziewięciu tysięcy czterdziestu trzech złotych) Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:
72.
Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody, (art. 83 ust. 2 lit. a) rozporządzenia 2016/679).
Obciążający charakter omawianej przesłanki wynika przede wszystkim z faktu, że naruszone przepisy rozporządzenia 2016/679 określają fundamentalne obowiązki Administratora, który przetwarzał dane osobowe osób fizycznych w związku z (…). W związku z tym na Administratorze ciążył szczególny obowiązek zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzanych danych, zgodnie z przepisami o ochronie danych osobowych.
Naruszenie zasady, o której mowa w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, oznacza, że Przedsiębiorca nie zdołał wdrożyć adekwatnych środków technicznych i organizacyjnych, co ma bezpośredni wpływ na możliwość materializacji ryzyka naruszenia praw lub wolności osób fizycznych, których dane osobowe przetwarza. Podobnie naruszenie zasady rozliczalności wynikającej z art. 5 ust. 2 rozporządzenia 2026/679 związane jest z naruszeniem podstawowych obowiązków przez Administratora. Nieprzestrzeganie tej zasady wiąże się z niepewnością osób fizycznych i obniża poziom zaufania tych osób wobec Przedsiębiorcy. Niezabezpieczenie danych osobowych przekazanych Administratorowi w szczególnych okolicznościach, takich jak (…), niesie za sobą szereg zagrożeń. W (…), w związku z (…) przetwarzane są nie tylko dane identyfikacyjne (…), ale także dane dotyczące (…), w tym informacje związane z jego stanem zdrowia (…). Jednoczesne ujawnienie danych osobowych (…) oraz informacji dotyczących (…) może potęgować dodatkowy stres i poczucie naruszenia prywatności (…).
Podkreślić należy, że charakter i waga naruszenia art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679 jest poważna również dlatego, że naruszenie ww. przepisów zagrożone jest możliwą najwyższą administracyjną karą pieniężną – w wysokości do 20 000 000 EUR.
Naruszenie przepisów art. 24 ust. 1 i art. 25 ust. 1 rozporządzenia 2016/679 również ma poważny charakter, ponieważ przepisy te nakładą na Administratora obowiązek przyjęcia proaktywnego podejścia do kwestii ochrony danych osobowych. Wskazać także należy na istotność norm wynikających z art. 32 ust. 1 i 2 rozporządzenia 2016/679, bowiem te przepisy prawa wskazują na konieczność wdrożenia adekwatnych środków technicznych i organizacyjnych, tak by zapewnić stopień bezpieczeństwa odpowiadający m.in. ryzyku naruszania praw lub wolności osób fizycznych. W świetle powyższego należy podnieść, że naruszenie tych przepisów także ma poważny charakter i znaczną wagę.
Stwierdzone w niniejszej sprawie naruszenie przepisów ochrony danych osobowych, którego skutkiem była możliwość uzyskania dostępu do przetwarzanych przez Administratora danych przez osobę bądź osoby nieuprawnione, a w konsekwencji możliwość pozyskania danych osobowych zawartych w upoważnieniach ma znaczną wagę i poważny charakter, stwarza bowiem wysokie ryzyko negatywnych skutków prawnych dla osób, do których danych dostęp mogła mieć osoba bądź osoby nieuprawnione. Stwarza to realne zagrożenie, że dane te mogą zostać wykorzystane przez podmioty trzecie bez wiedzy i zgody osób zainteresowanych, co narusza przepisy rozporządzenia 2016/679.
Za okoliczność obciążającą Prezes UODO uznaje także długi czas trwania naruszenia przez przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, albowiem stan naruszenia tych przepisów rozpoczął się od dnia rozpoczęcia stosowania przepisów rozporządzenia 2016/679, tj. od 25 maja 2018 r., i trwa nadal. Z dokonanych w niniejszej sprawie ustaleń wynika bowiem, że Administrator w szczególności nadal nie przeprowadził analizy ryzyka uwzględniającej zagrożenia dla przetwarzanych przez niego danych osobowych, w efekcie czego nie zastosował odpowiednich środków bezpieczeństwa w celu zapewnienia ochrony danym osobowym przetwarzanym w ramach prowadzonej działalności.
W niniejszej sprawie naruszenie poufności dotyczyło danych osobowych ponad osiemdziesięciu osób, tyle bowiem upoważnień zawierających dane osobowe w postaci: imię i nazwisko bądź samo nazwisko oraz seria i numer dowodu osobistego zostało znalezionych na poboczu drogi, a następnie zabezpieczonych przez Policję.
73.
Nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
Utrata kontroli nad danymi osobowymi osób, których dane znajdowały się w upoważnieniach do (…), stała się możliwa na skutek niedopełnienia przez Przedsiębiorcę obowiązku zastosowania odpowiednich środków bezpieczeństwa w celu zapewnienia ochrony tym danym. W ocenie organu nadzorczego stanowi to o nieumyślnym charakterze naruszenia, wynikającym z niedbalstwa Administratora, który nie przeprowadził w sposób prawidłowy analizy ryzyka dla operacji przetwarzania danych przetwarzanych w ramach swojej działalności uwzględniającej ryzyko utraty dokumentów podczas ich transportu pomiędzy siedzibą a filią Przedsiębiorcy. Ponadto, Administrator posiadał ustalone rozwiązania w zakresie sposobu i miejsca przechowywania dokumentów zawierających dane osobowe, ale nie były one skutecznie egzekwowane, a pracownicy Administratora nie stosowali się do nich. Reasumując powyższe należy zatem przyjąć, że Administrator przerzucił na swoich pracowników wdrożenie środków bezpieczeństwa w postaci przechowywania dokumentów w przeznaczonym do tego celu pomieszczeniu, a sam nie podjął w tym zakresie żadnych działań mających na celu zastosowanie odpowiednich środków technicznych dla zapewnienia ochrony danym znajdującym się w siedzibie Przedsiębiorcy. Dokumenty przechowywane były w otwartym pomieszczeniu pod schodami zamiast np. w zamkniętej na klucz szafie. Poddaje to w wątpliwość skuteczność prowadzonych przez Administratora działań monitorujących przestrzeganie przez pracowników ustalonych rozwiązań w zakresie ochrony danych osobowych.
74.
Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679).
Wykazane w toku niniejszego postępowania i leżące po stronie Administratora uchybienia wpisują się w kontekst jego braku współpracy z organem nadzorczym, skutkującego nieusunięciem do chwili obecnej stanu naruszenia przepisów art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2, pomimo formalnego wszczęcia przez Prezesa UODO postępowania administracyjnego w niniejszej sprawie. Podkreślić należy, że w celu usunięcia stanu naruszenia przepisów rozporządzenia 2016/679 Administrator powinien w pierwszej kolejności w sposób prawidłowy przeprowadzić analizę ryzyka dla operacji przetwarzania danych osobowych i na jej podstawie wdrożyć adekwatne środki bezpieczeństwa przetwarzania danych osobowych, a następnie dokonywać regularnego testowania, mierzenia i oceniania skuteczności tych środków, a w szczególności zweryfikować wewnętrzne procedury dotyczące przewożenia dokumentacji zawierającej dane osobowe. Dotychczas tych działań nie podjęto, a wobec tego niezbędne było nakazanie Administratorowi dostosowanie operacji przetwarzania do przepisów rozporządzenia 2016/679 w celu przywrócenia zgodności przetwarzania z przepisami o ochronie danych osobowych.
Z powyższej przyczyny stopień współpracy Administratora z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków należy ocenić jako niezadowalający, a przez to stanowi on czynnik obciążający Administratora przy ustalaniu wysokości administracyjnej kary pieniężnej.
75.
Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator zgłosił naruszenie (art. 83 ust. 2 lit. h) rozporządzenia 2016/679).
O naruszeniu przez Przedsiębiorcę przepisów art. 25 ust. 1 i art. 32 ust. 1 i 2 (oraz w konsekwencji art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679) Prezes UODO dowiedział się w postępowaniu wszczętym z urzędu w związku z informacją przekazaną mu przez Prokuraturę Rejonową w U.. Administrator nie wywiązał się z ciążącego na nim obowiązku zgłoszenia Prezesowi UODO naruszenia ochrony danych osobowych, co jest naturalnym i najszybszym sposobem powzięcia przez Prezesa UODO informacji o nieprawidłowościach w przetwarzaniu przez administratorów lub podmioty przetwarzające danych osobowych. I jakkolwiek przy ustaleniu wysokości kary nałożonej na Przedsiębiorcę za naruszenie art. 33 ust. 1 rozporządzenia 2016/679 Prezes UODO nie może potraktować tej okoliczności jako obciążającej (ponieważ stanowi ona o samej istocie naruszenia), to w ocenie naruszenia obowiązków i zasad związanych z bezpieczeństwem przetwarzania (rozpatrywanym w tej części uzasadnienia decyzji) będzie ona musiała mieć – w ocenie Prezesa UODO – obciążający wpływ na wymiar kary. Brak zgłoszenia przez Przedsiębiorcę naruszenia ochrony danych osobowych opóźniło bowiem w sposób znaczący podjęcie przez Prezesa UODO środków naprawczych mających na celu osiągnięcie przez Przedsiębiorcę zgodnego z przepisami rozporządzenia 2016/679 stanu ochrony przetwarzanych przez niego danych osobowych.
75.
Ustalając wysokość administracyjnej kary pieniężnej Prezes UODO nie znalazł podstaw do uwzględnienia okoliczności łagodzących, mających wpływ na obniżenie ostatecznego wymiaru kary orzeczonej wobec Przedsiębiorcy.
76.
Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy niemające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
77.
Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust 2 lit. c) rozporządzenia 2016/679).
W kontekście tej przesłanki znaczenie ma cel, jakiemu ma służyć działanie Administratora, czyli zminimalizowanie szkody poniesionej przez osoby, których dane dotyczą. W następstwie wykazanego niniejszą decyzją naruszenia przepisów rozporządzenia 2016/679 nie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych, których dane osobowe dotyczą, oraz nie stwierdzono, aby osoby te poniosły w związku z tym szkodę. Wobec tego nie było konieczne podjęcie działań w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą.
78.
Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d) rozporządzenia 2016/679).
EROD w Wytycznych 04/2022 wskazuje, że rozpatrując ww. przesłankę „organ nadzorczy musi odpowiedzieć na pytanie, w jakim stopniu administrator »zrobił wszystko, czego można by było oczekiwać«, zważywszy na charakter, cele lub zakres przetwarzania oraz w świetle obowiązków nałożonych na niego przez rozporządzenie”. Organ nadzorczy stwierdził w niniejszej sprawie naruszenie przez Administratora przepisów art. 25 oraz art. 32 rozporządzenia 2016/679. W jego ocenie na Przedsiębiorcy ciąży w wysokim stopniu odpowiedzialność za niewdrożenie odpowiednich środków technicznych i organizacyjnych, które mogłyby zapobiec naruszeniu ochrony danych osobowych. W świetle zebranych w niniejszym postępowaniu dowodów oczywistym jest, że w rozważanym kontekście charakteru, celu i zakresu przetwarzania danych osobowych Administrator nie zrobił wszystkiego, czego można by było oczekiwać, nie wywiązując się tym samym z obowiązków nałożonych na nią mocy art. 25 i 32 rozporządzenia 2016/679.
W niniejszej sprawie okoliczność ta stanowi jednak o istocie samego naruszenia – nie jest zaś jedynie czynnikiem wpływającym – obciążająco lub łagodząco – na jego ocenę. Z tego też powodu brak odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 25 i 32 rozporządzenia 2016/679, nie może zostać uznany w niniejszej sprawie za okoliczność mogącą dodatkowo wpłynąć na ocenę naruszenia i wymiar nałożonej na Przedsiębiorcę administracyjnej kary pieniężnej.
79.
Wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e) rozporządzenia 2016/679).
Prezes UODO nie stwierdził po stronie Administratora jakichkolwiek wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. Obowiązkiem każdego administratora jest przestrzeganie przepisów prawa, a zatem brak wcześniejszych naruszeń nie może być również okolicznością łagodzącą przy wymierzaniu sankcji.
80.
Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679).
Dane osobowe objęte stwierdzonym naruszeniem przepisów rozporządzenia 2016/679 nie należą do szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 i art. 10 rozporządzenia 2016/679, jednakże w niniejszej sprawie organ nadzorczy uznał, że okoliczność ta nie może stanowić przesłanki łagodzącej wymiar orzeczonej administracyjnej kary pieniężnej. Naruszenie ochrony danych jakichkolwiek kategorii musi być automatycznie oceniane negatywnie, jako że jest to naruszenie przepisów rozporządzenia 2016/679. Nie istnieją zatem w tym przypadku podstawy do złagodzenia wymiaru administracyjnej kary pieniężnej ze względu na fakt, że dane, których dotyczy zaistniałe naruszenie ochrony danych osobowych, nie są danymi wyżej wskazanych szczególnych kategorii.
81.
Jeżeli wobec administratora, którego sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków (art. 83 ust. 2 lit. i) rozporządzenia 2016/679).
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Przedsiębiorcy w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie organu nadzorczego, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
82.
Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na moc art. 42 (art. 83 ust. 2 lit. j) rozporządzenia 2016/679).
Przedsiębiorca nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść. Na korzyść Administratora mogłaby być natomiast uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów, jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzania danych osobowych.
83.
Wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięcie straty (art. 83 ust. 2 lit. k) rozporządzenia 2016/679).
Prezes UODO nie stwierdził, żeby Administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Administratora. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez Administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla Administratora. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.
84.
Prezes UODO nie dostrzega innych obciążających lub łagodzących czynników mających zastosowanie do okoliczności niniejszej sprawy.
85.
Koniecznym jest wskazanie, że ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej Prezes UODO zastosował metodykę przyjętą przez EROD w Wytycznych 04/2022. Zgodnie z przedstawionymi w tym dokumencie wskazówkami:
86.
Prezes UODO dokonał kategoryzacji stwierdzonego w niniejszej sprawie naruszenia przepisów rozporządzenia 2016/679 (vide Rozdział 4.1 Wytycznych 04/2022). Wśród naruszonych przez Administratora przepisów rozporządzenia 2016/679 znajdują się przepisy art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679 określające podstawowe zasady przetwarzania. Naruszenie tych przepisów należy – zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą wyższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 20 000 000 EUR lub do 4 % całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Są one więc in abstracto poważniejsze od innych (wskazanych w art. 83 ust. 4 rozporządzenia 2016/679) naruszeń.
87.
Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o średnim poziomie powagi (vide Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które tyczą się strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny lub nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679) oraz kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej. W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest średni. Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 10 % do 20 % maksymalnej wysokości kary możliwej do orzeczenia wobec Administratora, to jest – zważywszy na limit określony w art. 83 ust. 5 rozporządzenia 2016/679 – od kwoty 2 000 000 EUR do kwoty 4 000 000 EUR (vide Podrozdział 4.2.4 Wytycznych 04/2022). Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę 3 000 000 EUR (równowartość 12 627 600 PLN).
88.
Prezes UODO dostosował kwotę wyjściową odpowiadającą średniej powadze stwierdzonego naruszenia do obrotu osiągniętego przez Przedsiębiorcę, jako miernika jego wielkości i siły gospodarczej (vide Rozdział 4.3 Wytycznych 04/2022). Zgodnie z Wytycznymi 04/2022, w przypadku przedsiębiorstw, których roczny obrót wynosi do 2 mln EUR, organ nadzorczy może rozważyć dokonanie dalszych obliczeń wysokości kary na podstawie wartości mieszczącej się w przedziale od 0,2 % do 0,4 % kwoty wyjściowej. Zważywszy, że przychód Administratora w roku 2023 wyniósł (…) PLN, to jest ok. (…) EUR (wg średniego kursu EUR z dnia 28 stycznia 2025 r., 1 EUR = 4,2092 PLN), Prezes UODO za stosowne uznał skorygowanie podlegającej obliczeniom kwoty kary do wartości odpowiadającej (…) kwoty wyjściowej, to jest do kwoty (…) EUR (równowartość (…) PLN).
89.
Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (vide Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się – jak zakładają Wytyczne 04/2022 – do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przepisów rozporządzenia 2016/679 przedstawione zostały powyżej. Prezes UODO uznał, że okolicznościami obciążającymi w niniejszej sprawie, i w związku z tym dodatkowo zwiększającymi wymiar orzeczonej niniejszą decyzją kary jest stopień współpracy Przedsiębiorcy z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679) oraz sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator zgłosił naruszenie (art. 83 ust. 2 lit. h) rozporządzenia 2016/679). Organ nadzorczy przeprowadzając analizę w niniejszej sprawie nie uwzględnił żadnej okoliczności łagodzącej, mającej wpływ na obniżenie wymiaru sankcji. Ze względu na zaistnienie w sprawie okoliczności obciążających, Prezes UODO oceniając ich wpływ na stwierdzone naruszenie, uznał za zasadne zwiększenie o (…) kwoty kary – do kwoty 6 900 EUR (równowartość 29 043,48 PLN).
90.
Prezes UODO uznał, że ustalona zgodnie z powyższymi zasadami wysokość kary nie wymaga dodatkowej korekty ze względu na skuteczność, zasadę proporcjonalności i odstraszający charakter kary (art. 83 ust. 1 rozporządzenia 2016/679). W jego ocenie ustalona wysokość administracyjnej kary pieniężnej, tj. 29 043,48 PLN będzie skuteczna (przez swoją dolegliwość pozwala osiągnąć swój cel represyjny, którym jest ukaranie za bezprawne zachowanie), odstraszająca (pozwala skutecznie zniechęcić zarówno Przedsiębiorcę, jak i innych administratorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679) oraz proporcjonalna (jest adekwatna do stwierdzonej wagi naruszenia, nie wykracza poza możliwości finansowe Przedsiębiorcy oraz pozwala na osiągnięcie celów określonych w rozporządzeniu 2016/679). Kwota 29 043,48 PLN (równowartość 6 900 EUR) stanowi próg, powyżej którego dalsze zwiększanie wysokości kary nie będzie wiązało się ze wzrostem jej skuteczności i odstraszającego charakteru. Z drugiej natomiast strony obniżenie w większym stopniu wysokości kary mogłoby się odbyć kosztem jej skuteczności i odstraszającego charakteru, a także spójnego stosowania i egzekwowania rozporządzenia 2016/679 oraz zasady równego traktowania podmiotów na rynku wewnętrznym UE i EOG.

V. Uzasadnienie nałożenia i ustalenia wysokości administracyjnej kary pieniężnej za naruszenie przepisu art. 33 ust. 1 rozporządzenia 2016/679.

91.
Decydując o nałożeniu administracyjnej kary pieniężnej w wysokości 4 630 PLN (słownie: czterech tysięcy sześciuset trzydziestu złotych) za naruszenie przepisu art. 33 ust. 1 rozporządzenia 2016/679, Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:
92.
Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody, (art. 83 ust. 2 lit. a) rozporządzenia 2016/679).
Administrator naruszył art. 33 ust.1 rozporządzenia 2016/679 nie dokonując zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO. Stwierdzone w tym zakresie naruszenie również ma znaczną wagę i poważny charakter, ponieważ zgłaszanie naruszeń ochrony danych osobowych przez administratorów danych stanowi skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Przede wszystkim na podstawie informacji przekazanych przez administratorów w zgłoszeniach naruszenia ochrony danych osobowych organ nadzorczy może dokonać oceny, czy administrator w sposób prawidłowy dokonał analizy wpływu naruszenia na prawa lub wolności osób, których dotyczą dane objęte naruszeniem, a w konsekwencji, czy występuje wysokie ryzyko naruszenia praw lub wolności osób fizycznych i zachodzi konieczność zawiadomienia tych osób o naruszeniu ich danych. Prawidłowo zrealizowane przez administratorów obowiązki w tym zakresie pozwalają także na ograniczenie negatywnych skutków naruszeń ochrony danych osobowych oraz wyeliminowanie bądź przynajmniej ograniczenie ryzyka wystąpienia tego typu naruszeń w przyszłości, gdyż administratorzy mają obowiązek podjęcia działań, które zapewnią właściwą ochronę danych osobowych poprzez zastosowanie odpowiednich środków bezpieczeństwa oraz kontrolę ich skuteczności.
Naruszenie przepisu art. 33 ust. 1 rozporządzenia 2016/679 trwa od daty stwierdzenia naruszenia ochrony danych osobowych w listopadzie 2022 r. i ma miejsce nadal, bowiem w dalszym ciągu Administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO.
Brak jest dowodów, aby osoby, których dane dotyczą, doznały szkody majątkowej, niemniej już samo naruszenie poufności danych stanowi szkodę niemajątkową (krzywdę); osoby fizyczne, do których danych dostęp uzyskano w sposób nieuprawniony mogą bowiem co najmniej odczuwać strach przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową. Jak wskazał Sąd Okręgowy w Warszawie w wyroku z 6 sierpnia 2020 r. sygn. akt XXV C 2596/19, obawa, a więc utrata bezpieczeństwa stanowi realną szkodę niemajątkową wiążącą się z obowiązkiem jej naprawienia. Z kolei Trybunał Sprawiedliwości UE w orzeczeniu z 14 grudnia 2023 r. w/s Natsionalna agentsia za prihodite (C-340/21) podkreślił, że „Art. 82 ust. 1 RODO należy interpretować w ten sposób, że obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić "szkodę niemajątkową" w rozumieniu tego przepisu”.
93.
Umyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679).
Za umyślne działanie Administratora Prezes UODO uznał podjęcie przez niego świadomej decyzji o niezawiadamianiu organu nadzorczego o zaistniałym naruszeniu ochrony danych osobowych, pomimo kierowanych w tym zakresie do niego pism. Zgodnie z Wytycznymi 04/2022 umyślność „obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego”. Administrator, będąc świadomym ciążącej na nim odpowiedzialności, zlekceważył swoje obowiązki związane z naruszeniem ochrony danych i zaniechał zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO. W końcu samo wszczęcie przez Prezesa UODO niniejszego postępowania w przedmiocie naruszenia obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu powinno nasunąć Administratorowi co najmniej wątpliwości, co do słuszności przyjętego przez niego stanowiska.
Podsumowując, Przedsiębiorca podjął świadomą decyzję, by nie zawiadamiać o naruszeniu ochrony danych osobowych Prezesa UODO, pomimo wskazywania mu na istnienie takiego obowiązku.
94.
Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679).
Administrator, pomimo kierowanej do niego korespondencji, wskazującej na możliwość zaistnienia w niniejszej sprawie ryzyka naruszenia praw lub wolności osób, których dotyczyło naruszenie ochrony danych osobowych, nie podjął oczekiwanych, prawidłowych w świetle art. 33 ust. 1 rozporządzenia 2016/679, działań, tj. nie zgłosił naruszenia ochrony danych osobowych Prezesowi UODO. Z powyższej przyczyny stopień współpracy Administratora z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków należy ocenić jako niezadowalający, a przez to stanowi on czynnik obciążający Administratora przy ustalaniu wysokości administracyjnej kary pieniężnej.
95.
Ustalając wysokość administracyjnej kary pieniężnej Prezes UODO nie znalazł podstaw do uwzględnienia okoliczności łagodzących, mających wpływ na obniżenie ostatecznego wymiaru kary orzeczonej wobec Przedsiębiorcy.
96.
Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy niemające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
97.
Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust 2 lit. c) rozporządzenia 2016/679).
W kontekście tej przesłanki znaczenie ma cel, jakiemu ma służyć działanie Administratora, czyli zminimalizowanie szkody poniesionej przez osoby, których dane dotyczą. Prezes UODO nie odnotował w niniejszym przypadku tego typu działań Administratora.
98.
Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d) rozporządzenia 2016/679).
EROD w Wytycznych 04/2022 wskazuje, że rozpatrując ww. przesłankę „organ nadzorczy musi odpowiedzieć na pytanie, w jakim stopniu administrator »zrobił wszystko, czego można by było oczekiwać«, zważywszy na charakter, cele lub zakres przetwarzania oraz w świetle obowiązków nałożonych na niego przez rozporządzenie”. Organ nadzorczy stwierdził w niniejszej sprawie naruszenie przez Administratora przepisu art. 33 ust. 1 rozporządzenia 2016/679. W jego ocenie na Przedsiębiorcy ciąży odpowiedzialność za niezawiadomienie Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu.
W niniejszej sprawie okoliczność ta stanowi jednak o istocie samego naruszenia – nie jest zaś jedynie czynnikiem wpływającym – obciążająco lub łagodząco – na jego ocenę. Z tego też powodu niezawiadomienie organu nadzorczego o stwierdzonym naruszeniu, nie może zostać uznane w niniejszej sprawie za okoliczność mogącą dodatkowo wpłynąć na ocenę naruszenia i wymiar nałożonej na Przedsiębiorcę administracyjnej kary pieniężnej.
99.
Wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e) rozporządzenia 2016/679).
Prezes UODO nie stwierdził po stronie Administratora jakichkolwiek wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. Obowiązkiem każdego administratora jest przestrzeganie przepisów prawa, a zatem brak wcześniejszych naruszeń nie może być również okolicznością łagodzącą przy wymierzaniu sankcji.
100.
Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679).
Dane osobowe objęte stwierdzonym naruszeniem przepisów rozporządzenia 2016/679 nie należą do szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 i art. 10 rozporządzenia 2016/679, jednakże w niniejszej sprawie organ nadzorczy uznał, że okoliczność ta nie może stanowić przesłanki łagodzącej wymiar orzeczonej administracyjnej kary pieniężnej. Naruszenie ochrony danych jakichkolwiek kategorii musi być automatycznie oceniane negatywnie, jako że jest to naruszenie przepisów rozporządzenia 2016/679. Nie istnieją zatem w tym przypadku podstawy do złagodzenia wymiaru administracyjnej kary pieniężnej ze względu na fakt, że dane, których dotyczy zaistniałe naruszenie ochrony danych osobowych, nie są danymi wyżej wskazanych szczególnych kategorii.
101.
Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator zgłosił naruszenie (art. 83 ust. 2 lit. h) rozporządzenia 2016/679).
Prezes UODO nie został poinformowany o naruszeniu ochrony danych osobowych zgodnie z przewidzianą dla takich sytuacji procedurą określoną w art. 33 rozporządzenia 2016/679. O zaistnieniu przedmiotowego naruszenia związanego ze zdarzeniem polegającym na zagubieniu przez pracownika Administratora podczas transportu dokumentów zawierających dane osobowe, Prezes UODO został poinformowany przez Prokuraturę Rejonową w U.. Brak zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych jest również przedmiotem niniejszego postępowania i w okolicznościach rozważanego stanu faktycznego organ nadzorczy przyjął, że przesłanki tej nie potraktuje jako okoliczności obciążającej, ponieważ stanowi ona o istocie niniejszego naruszenia.
102.
Jeżeli wobec administratora, którego sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków (art. 83 ust. 2 lit. i) rozporządzenia 2016/679).
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Przedsiębiorcy w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie organu nadzorczego, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
103.
Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na moc art. 42 (art. 83 ust. 2 lit. j) rozporządzenia 2016/679).
Przedsiębiorca nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść. Na korzyść Administratora mogłaby być natomiast uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów, jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzania danych osobowych.
104.
Wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięcie straty (art. 83 ust. 2 lit. k) rozporządzenia 2016/679).
Prezes UODO nie stwierdził, żeby Administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Administratora. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez Administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla Administratora. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.
105.
Prezes UODO nie dostrzega innych obciążających lub łagodzących czynników mających zastosowanie do okoliczności niniejszej sprawy.
106.
Uwzględniając wszystkie omówione wyżej okoliczności, Prezes UODO uznał, że nałożenie na Przedsiębiorcę administracyjnej kary pieniężnej jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych mu naruszeń przepisów rozporządzenia 2016/679. Stwierdzić należy, że zastosowanie jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b) rozporządzenia 2016/679), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że Właściciel (…) w przyszłości nie dopuści się kolejnych zaniedbań.
107.
Koniecznym jest wskazanie, że ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej Prezes UODO zastosował metodykę przyjętą przez EROD w Wytycznych 04/2022. Zgodnie z przedstawionymi w tym dokumencie wskazówkami:
108.
Prezes UODO dokonał kategoryzacji stwierdzonego w niniejszej sprawie naruszenia przepisów rozporządzenia 2016/679 (vide Rozdział 4.1 Wytycznych 04/2022). Naruszenie przepisu art. 33 ust. 1 rozporządzenia 2016/679 należy – zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą maksymalną do wysokości 10 000 000 EUR lub do 2 % całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego. Jest ono więc in abstracto mniej poważne od tych wskazanych w art. 83 ust. 5 i 6 rozporządzenia 2016/679).
109.
Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o niskim poziomie powagi (vide Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które tyczą się strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny lub nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679) oraz kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej. W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest niski. Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 0 % do 10 % maksymalnej wysokości kary możliwej do orzeczenia wobec Administratora, to jest – zważywszy na limit określony w art. 83 ust. 4 rozporządzenia 2016/679 – od 0 do kwoty 1 000 000 EUR (vide Podrozdział 4.2.4 Wytycznych 04/2022). Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę 500 000 EUR (tj. równowartość 2 104 600 PLN).
110.
Prezes UODO dostosował kwotę wyjściową odpowiadającą niskiej powadze stwierdzonego naruszenia do obrotu osiągniętego przez Przedsiębiorcę, jako miernika jego wielkości i siły gospodarczej (vide Rozdział 4.3 Wytycznych 04/2022). Zgodnie z Wytycznymi 04/2022, w przypadku przedsiębiorstw, których roczny obrót wynosi do 2 mln EUR, organ nadzorczy może rozważyć dokonanie dalszych obliczeń wysokości kary na podstawie wartości mieszczącej się w przedziale od 0,2 % do 0,4 % kwoty wyjściowej. Zważywszy, że obrót (przychód) Administratora w roku 2023 wyniósł (…) PLN, to jest (…) EUR (wg średniego kursu EUR z dnia 28 stycznia 2025 r., 1 EUR = 4, 2092 PLN), Prezes UODO za stosowne uznał skorygowanie podlegającej obliczeniom kwoty kary do wartości odpowiadającej (…) kwoty wyjściowej, to jest do kwoty (…) EUR (równowartość (…) PLN).
111.
Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (vide Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się – jak zakładają Wytyczne 04/2022 – do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przepisów rozporządzenia 2016/679 przedstawione zostały powyżej. Prezes UODO uznał, że okolicznością obciążającą w niniejszej sprawie jest stopień współpracy Przedsiębiorcy z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679). Organ nadzorczy przeprowadzając analizę w niniejszej sprawie nie uwzględnił żadnej okoliczności łagodzącej, mającej wpływ na obniżenie wymiaru sankcji. Ze względu na zaistnienie w sprawie okoliczności obciążającej, Prezes UODO oceniając jej wpływ na stwierdzone naruszenie uznał za zasadne zwiększenie o (…) kwoty kary – do kwoty 1 100 EUR (równowartość 4 630,12 PLN).
112.
Prezes UODO uznał, że ustalona zgodnie z powyższymi zasadami wysokość kary nie wymaga dodatkowej korekty ze względu na skuteczność, zasadę proporcjonalności i odstraszający charakter kary (art. 83 ust. 1 rozporządzenia 2016/679). W jego ocenie ustalona wysokość administracyjnej kary pieniężnej, tj. 4 630,12 PLN będzie skuteczna (przez swoją dolegliwość pozwala osiągnąć swój cel represyjny, którym jest ukaranie za bezprawne zachowanie), odstraszająca (pozwala skutecznie zniechęcić zarówno Przedsiębiorcę, jak i innych administratorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679) oraz proporcjonalna (jest adekwatna do stwierdzonej wagi naruszenia, nie wykracza poza możliwości finansowe Przedsiębiorcy oraz pozwala na osiągnięcie celów określonych w rozporządzeniu 2016/679). Kwota 4 630,12 PLN (równowartość 1 100 EUR) stanowi próg, powyżej który dalsze zwiększanie wysokości kary nie będzie wiązało się ze wzrostem jej skuteczności i odstraszającego charakteru. Z drugiej natomiast strony obniżenie w większym stopniu wysokości kary mogłoby się odbyć kosztem jej skuteczności i odstraszającego charakteru, a także spójnego stosowania i egzekwowania rozporządzenia 2016/679 oraz zasady równego traktowania podmiotów na rynku wewnętrznym UE i EOG.
113.
Uwzględniając wszystkie omówione wyżej okoliczności, Prezes UODO uznał, że nałożenie na Przedsiębiorcę administracyjnej kary pieniężnej jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych mu naruszeń przepisów rozporządzenia 2016/679. Stwierdzić należy, że zastosowanie jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b) rozporządzenia 2016/679), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że Właściciel (…) w przyszłości nie dopuści się kolejnych zaniedbań.
114.
W ocenie Prezesa UODO, zastosowane administracyjne kary pieniężne w łącznej wysokości 33 673 PLN (słownie: trzydziestu trzech tysięcy sześciuset siedemdziesięciu trzech złotych) za stwierdzone niniejszą decyzją naruszenia przepisów rozporządzenia 2016/679, spełniają w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. będą w tym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Zdaniem Prezesa UODO nałożone na Przedsiębiorcę administracyjne kary pieniężne będą skuteczne, ponieważ doprowadzą do stanu, w którym Przedsiębiorca w przyszłości będzie wywiązywał się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu. Ponadto doprowadzą do stanu, w którym Przedsiębiorca będzie stosował takie środki techniczne i organizacyjne, które zapewnią przetwarzanym danym stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób, których te dane dotyczą, oraz wadze zagrożeń, które towarzyszą tym procesom przetwarzania danych. Oznacza to, że skuteczność kary równoważna jest zatem gwarancji tego, że Administrator od momentu zakończenia niniejszego postępowania będzie z najwyższą starannością podchodzić do wymogów stawianych przez przepisy o ochronie danych osobowych.
115.
Zastosowane administracyjne kary pieniężne są również proporcjonalne do stwierdzonych naruszeń przepisów rozporządzenia 2016/679, w tym zwłaszcza do ich wagi, skutku, liczby dotkniętych nim osób fizycznych oraz do ryzyka negatywnych konsekwencji, jakie w związku z tym naruszeniem mogą one ponieść. W ocenie Prezesa UODO nałożone administracyjne kary pieniężne zostały określone na takim poziomie, aby z jednej strony stanowiły adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków przez Administratora, nie powodując z drugiej strony sytuacji, w której konieczność ich uiszczenia pociągnie za sobą negatywne następstwa w postaci istotnego pogorszenia sytuacji finansowej Przedsiębiorcy.
116.
W ocenie organu nadzorczego administracyjne kary pieniężne spełniają także w tych konkretnych okolicznościach funkcję represyjną, jako że stanowić będą odpowiedź na naruszenia przez Administratora przepisów rozporządzenia 2016/679, ale i prewencyjną, przyczyniając się do zapobiegania w przyszłości naruszeniom obowiązków administratora wynikających z przepisów o ochronie danych osobowych.
117.
Stosownie do treści art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku, gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego. Mając powyższe na uwadze, Prezes Urzędu Ochrony Danych Osobowych, na podstawie art. 83 ust. 4 lit. a) i art. 83 ust. 5 lit. a) w związku z art. 83 ust. 3 rozporządzenia 2016/679 oraz w związku z art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, za naruszenie:
art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, co skutkowało naruszeniem art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679, nałożył na Przedsiębiorcę – stosując średni kurs euro z dnia 28 stycznia 2025 r. (1 EUR= 4,2092 PLN) – administracyjną karę pieniężną w kwocie 29 043 PLN (co stanowi równowartość 6 900 EUR),
art. 33 ust. 1 rozporządzenia 2016/679, nałożył na Przedsiębiorcę – stosując średni kurs euro z dnia 28 stycznia 2025 r. (1 EUR= 4,2092 PLN) – administracyjną karę pieniężną w kwocie 4 630 PLN (co stanowi równowartość 1 100 EUR), tj. w łącznej kwocie 33 673 PLN (co stanowi równowartość 8 000 EUR).
118.
Celem nałożonych administracyjnych kar pieniężnych jest doprowadzenie do przestrzegania przez Przedsiębiorcę w przyszłości przepisów rozporządzenia 2016/679.
119.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
[1] Ww. wytyczne zaktualizowały i uzupełniły Wytyczne Grupy Roboczej Art. 29 dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (Wp250 rev.01), przyjęte w dniu 3 października 2017 r.