
Warszawa, 19 maja 2026nieprawomocna
Decyzja DKN.5131.27.2023
-
-
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego[1], zwanej dalej „k.p.a.”, w związku z art. 7 ust. 1 i 2, art. 60 oraz art. 102 ust. 1 pkt 1 i ust. 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych[2], zwanej dalej „u.o.d.o.”, oraz art. art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. i), art. 83 ust. 1–3, art. 83 ust. 4 lit. a) w związku z art. 25 ust. 1, art. 32 ust. 1 i 2, art. 33 ust. 1 i art. 34 ust. 1 oraz 83 ust. 5 lit. a) w związku z art. 5 ust. 1 lit. f) i ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)[3], zwanego dalej „rozporządzeniem 2016/679”, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez Ośrodek Pomocy Społecznej w D., zwany dalej „Ośrodkiem”, Prezes Urzędu Ochrony Danych Osobowych, zwany dalej „Prezesem UODO”:
- I)
-
stwierdzając naruszenie przez Ośrodek przepisów art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych, zaprojektowanych w celu skutecznej realizacji zasad ochrony danych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, w tym zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, oraz skutkujące naruszeniem zasad określonych w art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679, nakłada na Ośrodek, za naruszenie przepisów art. 5 ust. 1 lit. f) i ust. 2, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, administracyjną karę pieniężną w kwocie 15 000 PLN (słownie: piętnastu tysięcy złotych);
- II)
-
stwierdzając naruszenie przez Ośrodek przepisu art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu organowi nadzorczemu naruszenia ochrony danych osobowych, nakłada na Ośrodek administracyjną karę pieniężną w kwocie 5 500 PLN (słownie: pięciu tysięcy pięciuset złotych);
- III)
-
stwierdzając naruszenie przez Ośrodek przepisu art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu osób, których dane dotyczą, o naruszeniu ochrony danych osobowych:
- 1)
-
nakłada na Ośrodek administracyjną karę pieniężną w kwocie 13 200 PLN (słownie: trzynastu tysięcy dwustu złotych); oraz
- 2)
-
nakazuje Ośrodkowi zawiadomienie osób, których dane dotyczą, o naruszeniu ochrony danych osobowych, o którym mowa w pkt 15-20 uzasadnienia decyzji, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, w tym przekazanie im jasnym i prostym językiem opisu charakteru naruszenia ochrony danych osobowych oraz informacji i środków, o których mowa w art. 33 ust. 3 lit. b), c) i d) rozporządzenia 2016/679, zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, w terminie 7 dni od dnia doręczenia decyzji.
-
-
Uzasadnienie
-
1. Wprowadzenie
-
1.1 Prezes UODO
- 1.
-
Zgodnie z art. 34 ust. 1 i 2 u.o.d.o. Prezes UODO jest organem właściwym w sprawie ochrony danych osobowych oraz organem nadzorczym, o którym mowa w art. 4 pkt 21 rozporządzenia 2016/679.
- 2.
-
Zgodnie z art. 57 ust. 1 lit. a) i h) rozporządzenia 2016/679 każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia oraz prowadzi postępowania w sprawie jego stosowania.
- 3.
-
Zgodnie z art. 58 ust. 2 rozporządzenia 2016/679 każdemu organowi nadzorczemu przysługują uprawnienia w zakresie nakazania administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów tego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu, a także zastosowania, oprócz lub zamiast środków, o których mowa w niniejszym ustępie, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy.
-
1.2 Czynności wyjaśniające i postępowanie administracyjne
- 4.
-
Ośrodek jest jednostką organizacyjną pomocy społecznej działającą na podstawie ustawy z dnia 8 marca 1990 r. o samorządzie gminnym[4], ustawy z dnia 12 marca 2004 r. o pomocy społecznej[5], ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych[6] i innych aktów określających zadania pomocy społecznej w gminach, a także uchwały nr (…) Miejskiej Rady Narodowej w D. z dnia 26 kwietnia 1990 r. w sprawie utworzenia Ośrodka Pomocy Społecznej w D. oraz Statutu Ośrodka Pomocy Społecznej w D.
- 5.
-
3 lutego 2021 r. do Prezesa UODO wpłynęła informacja przesłana drogą elektroniczną, dotycząca możliwości wystąpienia naruszenia ochrony danych osobowych[7], zwana dalej „informacją z 3 lutego 2021 r.”. Sprawa została zarejestrowana pod sygnaturą DKN.5101.25.2021.
- 6.
-
Opisane zdarzenie, zwane dalej „incydentem”, polegało na nieuprawnionym ujawnieniu przetwarzanych[8] przez Ośrodek danych osobowych[9], w tym danych dotyczących zdrowia, co najmniej (…) mieszkańców D., którzy mogli wymagać wsparcia ze strony Ośrodka w związku z obowiązującą ich kwarantanną lub izolacją domową spowodowaną zapobieganiem oraz zwalczaniem zakażenia wirusem SARS-CoV-2. Do incydentu doszło 23 listopada 2020 r. w wyniku umieszczenia listy zawierającej ww. dane na prywatnym serwerze należącym do pracownika Ośrodka, a następnie zindeksowaniu jej przez wyszukiwarkę C., co umożliwiło uzyskanie do niej dostępu przez użytkowników Internetu.
- 7.
-
Incydent nie był wcześniej znany Prezesowi UODO i do dnia wydania decyzji nie został zgłoszony organowi nadzorczemu przez Ośrodek w trybie art. 33 ust. 1 rozporządzenia 2016/679.
- 8.
-
Informacja z 3 lutego 2021 r. stała się dla Prezesa UODO impulsem do weryfikacji realizacji przez Ośrodek obowiązków spoczywających na nim, jako administratorze[10]. Wobec tego Prezes UODO zainicjował działania mające na celu zbadanie nie tylko okoliczności incydentu, ale także zgodności z prawem przetwarzania objętych nim danych osobowych.
- 9.
-
W związku z tym, w celu uzyskania informacji niezbędnych do rozstrzygnięcia sprawy, Prezes UODO zwrócił się do:
- –
-
pracownika Ośrodka, pismami z 1 marca i 29 kwietnia 2021 r., na które odpowiedzi udzielono pismami z 12 marca i 19 maja 2021 r.;
- –
-
Ochotniczej Straży Pożarnej w D., zwanej dalej „Ochotniczą Strażą”, pismem z 1 lipca 2021 r., na które odpowiedzi udzielono pismem z 9 lipca 2021 r.;
- –
-
Ośrodka, pismami z 1 lipca 2021 r. i 26 września 2022 r., na które odpowiedzi udzielono pismami z 9 lipca 2021 r. i 30 września 2022 r.; oraz
- –
-
Komendanta Powiatowego Policji w D., pismem z 21 września 2022 r., na które odpowiedzi udzielono pismem z 11 stycznia 2023 r.
- 10.
-
Na podstawie dokonanych ustaleń 9 sierpnia 2023 r. Prezes UODO wszczął z urzędu postępowanie administracyjne w przedmiocie możliwości naruszenia przez Ośrodek art. 5 ust. 1 lit. f) i ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2, art. 33 ust. 1 oraz art. 34 ust. 1 i 2 rozporządzenia 2016/679 w ramach przetwarzania danych osobowych, o których mowa w pkt 6 uzasadnienia. Postępowanie w sprawie zostało zarejestrowane pod sygnaturą DKN.5131.27.2023.
- 11.
-
Jednocześnie, pismem z 9 sierpnia 2023 r., Prezes UODO wezwał Ośrodek do złożenia dodatkowych wyjaśnień w sprawie, na które odpowiedzi udzielono pismem z 10 sierpnia 2023 r.
-
-
2. Stan faktyczny
-
W oparciu o zgromadzony w sprawie materiał dowodowy Prezes UODO ustalił następujący stan faktyczny:
-
2.1. Kontekst przetwarzania
- 12.
-
Ośrodek przetwarzał dane osobowe mieszkańców D., w tym imiona, nazwiska, numery telefonów, adresy pobytu oraz informacje o sytuacji sanitarnej, tj. poddaniu określonych osób obowiązkowej kwarantannie lub izolacji w warunkach domowych w związku z zapobieganiem oraz zwalczaniem zakażenia wirusem SARS-CoV-2 i rozprzestrzeniania się wywołanej nim choroby COVID-19[11], w celu zapewnienia tym osobom wsparcia.
- –
-
Dowody: informacja z 3 lutego 2021 r.; pisma Ośrodka z 9 lipca 2021 r. i 30 września 2022 r.; polecenia Wojewody (…) z 12 marca 2020 r., nr (…), i z 14 marca 2020 r., nr (…)[12].
- 13.
-
Ośrodek otrzymywał informacje o osobach poddanych obowiązkowej kwarantannie lub izolacji w warunkach domowych od Powiatowej Stacji Sanitarno-Epidemiologicznej w D. (zwanej dalej „Powiatową Stacją”), a następnie podejmował działania w celu oceny potrzeb tych osób (np. zapotrzebowania na żywność lub leki). Na podstawie opracowanych w ten sposób danych pracownik Ośrodka, zwany dalej „koordynatorem”, koordynował działania operacyjne wykonywane przez członków Ochotniczej Straży, polegające na udzielaniu wsparcia we wskazanym zakresie i miejscu.
- –
-
Dowody: pismo Ośrodka z 9 lipca 2021 r.; pismo Ochotniczej Straży z 9 lipca 2021 r.; polecenia Wojewody (…) z 12 marca 2020 r., nr (…), i z 14 marca 2020 r., nr (…); wydruk artykułu prasowego pt. „(…)”, zawierającego wywiad z koordynatorem i prezesem Ochotniczej Straży, opublikowanego 16 listopada 2020 r. na stronie internetowej „(…)”[13].
- 14.
-
Ośrodek, jako administrator, uwzględnił w swoim rejestrze czynności przetwarzania[14] czynność „Lista osób przebywających na kwarantannie/izolacji przekazywana przez Sanepid w D.”. 19 października 2020 r. Ośrodek upoważnił koordynatora do przetwarzania danych osobowych objętych ww. czynnością przetwarzania.
- –
-
Dowody: pisma Ośrodka z 9 lipca 2021 r. i 30 września 2022 r.
-
2.2. Incydent
- 15.
-
23 listopada 2020 r. na prywatnym serwerze koordynatora został zamieszczony plik w postaci arkusza kalkulacyjnego w formacie XLSX[15], zawierający imiona, nazwiska, numery telefonów, adresy pobytu oraz informacje o sytuacji sanitarnej co najmniej (…) mieszkańców D. (plik zawierał (…) rekordów, w tym co najmniej (…) unikalnych). Z metadanych pliku wynika, że utworzono go 30 października 2020 r. przez użytkownika o imieniu i nazwisku tożsamym z imieniem i nazwiskiem koordynatora. Nie ustalono, w jaki sposób plik znalazł się na należącym do niego serwerze.
- –
-
Dowody: informacja z 3 lutego 2021 r.; pisma pracownika Ośrodka z 12 marca i 19 maja 2021 r.; pismo Komendanta Powiatowej Policji w D. z 11 stycznia 2023 r.
- 16.
-
Ww. plik został zamieszczony na serwerze obsługującym stronę internetową „(…)” (prowadzoną przez koordynatora), w katalogu przeznaczonym do przechowywania plików publikowanych w ramach systemu X.[16] (…). Katalog ten – w standardowej konfiguracji – jest ogólnodostępny i może być przeszukiwany przez automatyczne roboty indeksujące wyszukiwarek internetowych, w tym C. W konsekwencji C. pobrał plik, zindeksował jego zawartość, a następnie udostępnił go w wynikach wyszukiwania jako dostępny dla każdego użytkownika Internetu[17]. Ujawniona została nie tylko sama nazwa pliku, lecz również jego pełna treść, obejmująca dane zapisane w arkuszu kalkulacyjnym.
- –
-
Dowody: informacja z 3 lutego 2021 r.; pismo pracownika Ośrodka z 12 marca 2021 r.
- 17.
-
3 lutego 2021 r. Prezes UODO otrzymał informację o możliwości wystąpienia naruszenia ochrony danych osobowych. Do wiadomości został załączony plik, o którym mowa w pkt 15 uzasadnienia, wraz z informacją o możliwości jego pobrania oraz hiperłączem prowadzącym bezpośrednio do katalogu, o którym mowa w pkt 16 uzasadnienia.
- –
-
Dowód: informacja z 3 lutego 2021 r.
- 18.
-
9 lutego 2021 r. informację o incydencie otrzymał koordynator. Została ona wysłana na adres redakcji „(…)”. W tym samym dniu koordynator usunął plik ze swojego prywatnego serwera, ograniczając tym samym jego dalszą ekspozycję, oraz powiadomił „o podejrzeniu włamania na serwer” właściwą jednostkę Policji.
- –
-
Dowody: pismo pracownika Ośrodka z 12 marca 2021 r.
- 19.
-
10 lutego 2021 r. koordynator poinformował Ośrodek o wystąpieniu incydentu. Kierownictwo Ośrodka przeprowadziło analizę zdarzenia, w konsekwencji uznając, że nie pełni on roli administratora w kontekście operacji przetwarzania, w ramach których doszło do incydentu.
- –
-
Dowód: pismo Ośrodka z 9 lipca 2021 r.
- 20.
-
29 maja 2021 r., wydaniem postanowienia o umorzeniu dochodzenia wobec braku znamion czynu zabronionego, zakończyło się postępowanie prowadzone przez Komendę Powiatową Policji w D. w sprawie, o której mowa w pkt 18 uzasadnienia.
- –
-
Dowód: pismo Komendanta Powiatowej Policji w D. z 11 stycznia 2023 r.
-
2.3. Środki techniczne i organizacyjne mające zapewnić bezpieczeństwo przetwarzania danych osobowych w czasie wystąpienia incydentu
- 21.
-
Dobór technicznych i organizacyjnych środków mających zapewnić bezpieczeństwo przetwarzania danych osobowych objętych incydentem Ośrodek poprzedził analizą zawartą w dokumencie określonym jako „Ocena (…)” (dokument nie został opatrzony datą sporządzenia, jednak przyjmuje się, że obowiązywał on w trakcie wystąpienia incydentu). Ww. analiza wskazuje jako „wysokie” poziom ryzyka wiążącego się z czynnością przetwarzania określoną jako „Lista osób przebywających na kwarantannie/izolacji przekazywana przez Sanepid w D.”. Dokument zawiera także m.in.:
- a)
-
częściowy opis charakteru, zakresu, kontekstu i celów przetwarzania (w tym: określenie analizowanej czynności przetwarzania; nazwę administratora i adres jego siedziby; cel przetwarzania; operację przetwarzania dokonywaną w ramach ww. czynności; odbiorców danych; kategorie danych przetwarzanych w ramach ww. czynności; podstawy prawne przetwarzania); oraz
- b)
-
częściowy opis ewentualnych negatywnych skutków dla osób, których dane dotyczą (tj. określenie jednego skutku: „Przetwarzanie może doprowadzić do wyłączenia lub dyskryminacji osób, których dane dotyczą”).
- –
-
Dowód: pismo Ośrodka z 10 sierpnia 2023 r.
- 22.
-
Ww. dokument nie zawiera jednak m.in.: źródeł ryzyka; zidentyfikowanych podatności; uzasadnionej skali prawdopodobieństwa wystąpienia naruszenia praw lub wolności osób fizycznych (w ramach kryterium „Prawdopodobieństwo” zastosowano wyłącznie wskaźnik oparty na pytaniu „Kiedy ostatni raz doszło do naruszenia”, dla którego przyjęto odpowiedź „Nigdy”) oraz uzasadnionej skali powagi ewentualnych negatywnych skutków dla praw lub wolności osób fizycznych.
- –
-
Dowód: pismo Ośrodka z 10 sierpnia 2023 r.
- 23.
-
Ponadto ww. dokument zawiera listę rekomendowanych działań (w tym: „utrzymanie zabezpieczeń technicznych na wysokim poziomie”; „utrzymywanie współpracy pracowników z Inspektorem Ochrony Danych, w celu utrzymania jak najniższej wysokości ryzyka związanego z przetwarzaniem danych osobowych klientów”; „monitorowanie zabezpieczeń przetwarzanych danych osobowych, w celu uniknięcia naruszeń”; „szczególną uwagę należy zwrócić na: przestrzeganie instrukcji obsługi sprzętu i zasad posługiwania się nim (kopiowanie, przesyłanie, udostępnianie); rygorystyczne przestrzeganie przepisów w zakresie ochrony danych osobowych; stosowanie procedur Polityki ochrony danych i zasad korzystania z systemu informatycznego w którym przetwarzane są dane osobowe; korzystanie wyłącznie ze służbowego sprzętu informatycznego”. Rekomendacje te nie zostały jednak uzupełnione o informacje dotyczące planu i terminów ich wdrożenia, zagrożeń, z którymi są związane poszczególne rozwiązania, oraz ich potencjalnego wpływu na istniejące ryzyko dla praw lub wolności osób fizycznych.
- –
-
Dowód: pismo Ośrodka z 10 sierpnia 2023 r.
- 24.
-
W czasie wystąpienia incydentu Ośrodek dysponował następującymi technicznymi i organizacyjnymi środkami bezpieczeństwa przetwarzania objętych nim danych osobowych:
- a)
-
wdrożenie „Polityki (…)” – dokumentu regulującego podstawowe zasady ochrony danych osobowych organizacji – oraz zapoznanie z nim pracowników;
- b)
-
wdrożenie „Instrukcji (…)”, dokumentu regulującego podstawowe zasady obsługi systemów informatycznych, za pośrednictwem których przetwarzane są dane osobowe – oraz zapoznanie z nim pracowników;
- c)
-
dopuszczenie do przetwarzania ww. danych osobowych wyłącznie pracowników do tego upoważnionych, zobowiązanych do zachowania poufności.
-
-
3. Ocena prawna
-
W świetle tak ustalonego stanu faktycznego, po analizie całości materiału dowodowego, Prezes UODO zważył, co następuje:
-
3.1. Ustalenie administratora
- 25.
-
Prawidłowe ustalenie administratora jest kluczowe dla odpowiedniego przypisania odpowiedzialności za przestrzeganie przepisów o ochronie danych osobowych. Analizując niniejszą sprawę, Prezes UODO w pierwszej kolejności zbadał, kto jest administratorem danych osobowych, o których mowa w pkt 12 uzasadnienia, w tym danych osobowych objętych incydentem.
- 26.
-
Zgodnie z art. 4 pkt 7 rozporządzenia 2016/679 „»administrator« oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania”.
- 27.
-
Jak wskazuje Europejska Rada Ochrony Danych, zwana dalej „EROD”, pojęcie „administratora” ma charakter funkcjonalny i odnosi się do faktycznej roli danego podmiotu, opartej na jego rzeczywistych działaniach w konkretnej sytuacji, a nie formalnym wyznaczeniu, np. w umowie. Tym samym, „podział ról powinien zazwyczaj wynikać z analizy elementów stanu faktycznego lub okoliczności sprawy i jako taki nie podlega uzgodnieniom”[18]. EROD wyjaśnia, że pojęcie to ma także charakter autonomiczny, co oznacza, że „chociaż zewnętrzne źródła prawne mogą być pomocne w ustaleniu, kto jest administratorem danych, interpretacji należy dokonywać przede wszystkim zgodnie z przepisami o ochronie danych”[19].
- 28.
-
W toku korespondencji z Prezesem UODO Ośrodek podtrzymywał, że nie jest administratorem w rozumieniu art. 4 pkt 7 rozporządzenia 2016/679 w odniesieniu do danych osobowych objętych incydentem – których nieprawidłowe przetwarzanie stanowi przedmiot niniejszego postępowania[20]. Prezes UODO nie podziela jednak tego stanowiska, jako nieodzwierciedlającego rzeczywistej roli Ośrodka w procesie przetwarzania ww. danych oraz niezgodnego z przepisami rozporządzenia 2016/679.
- 29.
-
Podkreślenia wymaga, że Ośrodek nie zaprzeczał, iż sprawował funkcję administratora w odniesieniu do danych osobowych otrzymywanych od Powiatowej Stacji w zakresie i w celach, o których mowa w pkt 12–14 uzasadnienia. Jednocześnie jednak Ośrodek twierdził, że nie pełnił funkcji administratora w odniesieniu do danych osobowych znajdujących się w pliku, o którym mowa w pkt 15 uzasadnienia, w związku z czym nie był administratorem danych objętych incydentem[21].
- 30.
-
Z wyjaśnień Ośrodka wynika pośrednio, że jego rola – jako administratora – zakończyła się najpóźniej w momencie przekazania koordynatorowi danych osobowych, o których mowa w pkt 12 uzasadnienia, oraz rozpoczęcia przez niego realizacji zadań we współpracy z Ochotniczą Strażą[22]. Stanowisko to stoi w sprzeczności z ustaleniami Prezesa UODO, wedle których w momencie zaistnienia incydentu koordynator pozostawał pracownikiem Ośrodka i realizował zadania mieszczące się w procesie przetwarzania, którego cele i sposoby określał Ośrodek.
- 31.
-
W tym miejscu należy podkreślić, że wyjaśnienia Ośrodka w powyższym zakresie są niespójne. W piśmie z 9 lipca 2021 r. Ośrodek wskazał, że wedle jego analizy „Administratorem Danych Osobowych, których dotyczy zdarzenie, jest Powiatowa Stacja Sanitarno-Epidemiologiczna w D.”, oraz że „do zdarzenia doszło u podmiotu przetwarzającego – Ochotniczej Straży Pożarnej”[23]. W piśmie z 10 sierpnia 2023 r. Ośrodek stwierdził zaś, że „Administratorem Danych Osobowych, których dotyczy zdarzenie, jest Ochotnicza Straż Pożarna w D.”[24].
- 32.
-
Niezależnie do powyższego, argumentacja Ośrodka mająca uzasadnić stanowisko, jakoby nie pełnił funkcji administratora w odniesieniu do danych osobowych objętych incydentem została oparta na trzech głównych założeniach.
- 33.
-
Po pierwsze, Ośrodek wskazał, że Powiatowa Stacja przekazywała dane osobowe dwóm odrębnym podmiotom: Ośrodkowi oraz Ochotniczej Straży. Z wyjaśnień Ośrodka wynika zatem, że w praktyce Ochotnicza Straż świadczyła pomoc w sposób niezależny od Ośrodka[25].
- 34.
-
Ustalenia Prezesa UODO nie potwierdzają tej wersji wydarzeń. W zawiadomieniu złożonym na Policję koordynator wskazał, że ww. dane osobowe „otrzymał (…) z Ośrodka Pomocy Społecznej w D., który to z kolei otrzymał dane z Powiatowej Stacji Sanitarno-Epidemiologicznej w D.”[26]. W piśmie z 9 lipca 2021 r. Ochotnicza Straż oświadczyła, że nigdy nie otrzymywała ww. danych osobowych od Powiatowej Stacji, a dostęp do nich miał wyłącznie koordynator – jako pracownik Ośrodka. Rola Ochotniczej Straży miała ograniczać się do działań operacyjnych w zakresie określanym każdorazowo przez koordynatora[27].
- 35.
-
W podobny sposób charakter współpracy pomiędzy ośrodkami pomocy społecznej a innymi podmiotami określił Wojewoda (…) m.in. w instrukcji pomocy żywnościowej stanowiącej załącznik nr 1 do polecenia z 14 marca 2020 r., nr (…), wskazując np.: „Ośrodek Pomocy Społecznej weryfikuje czy dana osoba wymaga pomocy żywnościowej”; „(…) kontaktuje się z miejscową jednostką OSP, WOT lub Policji skąd odebrać żywność i w jakie miejsce należy ją dostarczyć”[28]. Potwierdzają to także informacje publikowane za pośrednictwem oficjalnych kanałów rządowych przez Ministerstwo Rodziny, Pracy i Polityki Społecznej, np. w broszurze pt. „Na co mogą liczyć osoby objęte kwarantanną?”[29].
- 36.
-
Po drugie, Ośrodek wskazywał, że koordynator był nie tylko pracownikiem Ośrodka, ale także pracownikiem Ochotniczej Straży – i w ramach zadań wykonywanych na rzecz tego drugiego podmiotu realizował operacje przetwarzania, w wyniku których doszło do incydentu. Jako dowód na poparcie tego stanowiska Ośrodek wskazywał, że koordynator realizował ww. operacje w siedzibie Ochotniczej Straży, przy użyciu jej sprzętu.
- 37.
-
W tym kontekście warto podkreślić, że ochotnicze straże pożarne to jednostki będące stowarzyszeniami w rozumieniu ustawy z dnia 7 kwietnia 1989 r. – Prawo o stowarzyszeniach[30], których działalność opiera się co do zasady na pracy społecznej jej członków, a nie pracowników[31]. Powyższe rozróżnienie ma znaczenie w kontekście określenia charakteru relacji łączącej koordynatora z ww. podmiotami. Relacja pracownika z pracodawcą ma silniejszy charakter niż relacja członka ze stowarzyszeniem, ponieważ opiera się na ustawowym podporządkowaniu i bieżącym kierownictwie, w ramach którego pracodawca organizuje pracę i ponosi odpowiedzialność za sposób wykonywania powierzonych zadań, podczas gdy członkostwo w stowarzyszeniu ma charakter dobrowolny i nie wiąże się z analogicznym poziomem kontroli ani odpowiedzialności organizacyjnej.
- 38.
-
Próbując uzasadnić stanowisko, jakoby koordynator „pełnił (…) obowiązki pracownicze na rzecz Ochotniczej Straży Pożarnej w D.”[32], Ośrodek zwracał uwagę, że obowiązki te wykonywał on w siedzibie Ochotniczej Straży z wykorzystaniem należących do niej narzędzi technicznych. Okoliczność ta pozostaje jednak irrelewantna dla prawidłowego ustalenia, kto jest administratorem danych osobowych objętych incydentem. Istotą roli administratora nie jest bowiem infrastruktura wykorzystywana do wykonywania poszczególnych operacji na danych, lecz fakt rzeczywistego określania celów i sposobów przetwarzania.
- 39.
-
Takie rozumienie definicji „administratora” potwierdził TSUE, podnosząc, że za administratora w rozumieniu art. 4 pkt 7 rozporządzenia 2016/679 można uznać podmiot, który uczestniczył w ustalaniu celów i sposobów przetwarzania, „nawet jeśli ów podmiot sam nie przeprowadził operacji przetwarzania takich danych” ani „nie udzielił wyraźnej zgody na realizację konkretnych operacji takiego przetwarzania”[33].
- 40.
-
Należy również zasygnalizować, że twierdzenia Ośrodka są sprzeczne z wyjaśnieniami składanymi przez koordynatora i Ochotniczą Straż, a także z przedłożoną przez Ośrodek dokumentacją. W toku czynności wyjaśniających koordynator poinformował, że działania, o których mowa w pkt 13 uzasadnienia, wykonywał „dla [Ośrodka]”[34]. W piśmie z 9 lipca 2021 r. Ochotnicza Straż wskazała natomiast, że nie odnalazła na swoich urządzeniach śladów przetwarzania danych objętych incydentem, zaś wedle jej ustaleń koordynator „wykonywał czynności przetwarzania ww. danych na swoim prywatnym komputerze przenośnym, który prawdopodobnie wykorzystywał również do innych celów”[35].
- 41.
-
Na uwagę zasługuje także fakt, iż Ośrodek, jako administrator, upoważnił koordynatora, jako swojego pracownika, do realizacji zadań w ramach przedmiotowego procesu przetwarzania 19 października 2020 r., natomiast plik, o którym mowa w pkt 15 uzasadnienia, został utworzony 30 października 2020 r., czyli zaledwie 11 dni później.
- 42.
-
Fakt ten częściowo wiąże się z trzecim argumentem Ośrodka, zgodnie z którym lista zawierająca dane osobowe, którą otrzymywał od Powiatowej Stacji, oraz ww. plik (utworzony na podstawie tejże listy), stanowiły dwa odrębne zbiory danych, wobec których odpowiedzialność ponoszą odrębni administratorzy: Ośrodek oraz Ochotnicza Straż. Ośrodek uzasadnił swoje stanowisko tym, że ww. plik stanowił jedynie „notatkę służbową” utworzoną przez koordynatora „jako pracownika” Ochotniczej Straży[36].
- 43.
-
Również i w tym przypadku twierdzenia Ośrodka abstrahują od istoty pojęcia administratora, sprowadzając je do kryterium czysto technicznego. Utworzenie przez pracownika nowego pliku zawierającego te same dane osobowe, w ramach tego samego procesu przetwarzania i dla tego samego celu, nie stanowi ani powstania nowego, niezależnego zbioru danych, ani zmiany podmiotu odpowiedzialnego za przetwarzanie. Ośrodek w dalszym ciągu sprawował faktyczną i prawną kontrolę nad danymi, a koordynator działał z jego upoważnienia, na jego polecenie i w jego imieniu.
- 44.
-
Podsumowując, ze zgromadzonego w sprawie materiału dowodowego wynika, że Ośrodek, pomimo zaprzeczeń, faktycznie określał cele i sposoby przetwarzania danych osobowych, o których mowa w pkt 6 uzasadnienia, a więc był ich administratorem w rozumieniu art. 4 pkt 7 rozporządzenia 2016/679, począwszy od ich pozyskania, co najmniej do momentu zaistnienia incydentu. Wskazuje na to zarówno kontekst organizacyjno-prawny towarzyszący procesowi przetwarzania, jak i praktyka działania uczestników tego procesu, z której jasno wynika, że to Ośrodek decydował o tym, dlaczego i w jaki sposób dane osobowe były przetwarzane, tj. określał zarówno cele, jak i istotne sposoby ich przetwarzania[37].
- 45.
-
W szczególności to Ośrodek przesądzał o tym, w jakim celu dane osobowe były pozyskiwane, tj. w celu identyfikacji osób wymagających wsparcia w związku z ograniczeniami wynikającymi z sytuacji epidemicznej, ustalenia zakresu tej pomocy oraz zapewnienia jej realizacji. Ośrodek decydował zatem, dlaczego dane określonych osób są w ogóle przetwarzane, w tym dlaczego konieczne było ustalenie, kto i jakiej pomocy potrzebuje (np. dostarczenia żywności, leków czy innych artykułów pierwszej potrzeby).
- 46.
-
Jednocześnie Ośrodek określał sposoby przetwarzania danych, rozumiane jako zasadnicze elementy procesu ich wykorzystania, w tym decydował, jak ww. cele mają zostać zrealizowane. Przejawiało się to w szczególności w tym, że to Ośrodek ustalał, jakie kategorie danych są niezbędne do realizacji pomocy, z jakich źródeł dane te są pozyskiwane, komu i w jakim zakresie mogą zostać ujawnione oraz w jakiej formie następuje realizacja wsparcia.
- 47.
-
W praktyce to Ośrodek podejmował decyzje o zakwalifikowaniu konkretnej osoby do objęcia pomocą, określał jej zakres oraz decydował o wykorzystaniu innych podmiotów jako wykonawców czynności faktycznych, takich jak dostarczenie pomocy pod wskazany adres. Oznaczało to, że działania Ochotniczej Straży następowały wyłącznie w zakresie i w celu uprzednio określonym przez Ośrodek, stanowiąc element przyjętego przez Ośrodek modelu realizacji zadania, a nie efekt samodzielnych decyzji Ochotniczej Straży.
- 48.
-
W tym kontekście nie bez znaczenia pozostaje również fakt koordynacji działań wykonawczych przez osobę zatrudnioną i wyznaczoną do tego zadania przez Ośrodek. EROD wskazuje zaś, że „[z]asadniczo można przyjąć, że każde przetwarzanie danych osobowych przez pracowników, które odbywa się w ramach działalności organizacji, odbywa się pod kontrolą tej organizacji”[38].
- 49.
-
Mając to na uwadze, w ocenie Prezesa UODO Ośrodek pełnił funkcję administratora w odniesieniu do danych osobowych, o których mowa w pkt 12 uzasadnienia, co najmniej od ich pozyskania od Powiatowej Stacji lub z innych źródeł, w tym danych osobowych objętych incydentem, co najmniej do dnia 28 marca 2022 r., tj. do dnia zniesienia powszechnego obowiązku kwarantanny i izolacji domowej na mocy rozporządzenia Rady Ministrów z dnia 25 marca 2022 r.[39]. Do tego dnia istniała bowiem podstawa prawna do realizacji przez ośrodki pomocy społecznej zadań związanych z udzielaniem pomocy osobom objętym kwarantanną lub izolacją, co w sposób obiektywny i systemowy wiązało się z przetwarzaniem danych dotyczących tych osób. Na potrzeby przedmiotowego postępowania Prezes UODO przyjął więc, że okres ten rozpoczął się najpóźniej 19 października 2020 r. i zakończył najwcześniej 28 marca 2022 r.
-
3.2. Odpowiedzialność za przetwarzanie i rozliczalność (art. 24 ust. 1 rozporządzenia 2016/679)
- 50.
-
W art. 5 ust. 1 rozporządzenia 2016/679 prawodawca sformułował elementarne zasady dotyczące przetwarzania danych osobowych. Zasady te odgrywają szczególną rolę w rozporządzeniu 2016/679, ponieważ przypisuje się im nadrzędną moc w stosunku do pozostałych przepisów tego aktu[40]. Zgodnie z art. 5 ust. 2 rozporządzenia 2016/679 „administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (»rozliczalność«)”.
- 51.
-
Kwestia ogólnej odpowiedzialności administratora za przestrzeganie przepisów rozporządzenia 2016/679 została doprecyzowana w art. 24 ust. 1, wedle którego, „uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać”. Rezultatem wdrożenia ww. środków powinno być zatem dostosowanie działań administratora do wymogów rozporządzenia 2016/679, w tym zabezpieczenie danych odpowiednie ze względu na poziom ryzyka, oraz możliwość udowodnienia, że przetwarzanie odbywa się zgodnie z tymi wymogami[41].
- 52.
-
Co szczególnie istotne, w art. 24 ust. 1 rozporządzenia 2016/679, zdanie drugie, unijny prawodawca uzupełniająco wskazuje, że „środki te są w razie potrzeby poddawane przeglądom i uaktualniane”. Administratorzy powinni więc na bieżąco dostosowywać wykorzystywane środki do zmieniających się okoliczności towarzyszących przetwarzaniu. Oznacza to, że wdrażanie odpowiednich środków nie powinno być działaniem jednorazowym, lecz dynamicznym procesem[42].
- 53.
-
Treść motywu 74 rozporządzenia 2016/679 potwierdza, że to administrator ponosi pełną odpowiedzialność za przetwarzanie danych osobowych i w związku z tym powinien być w stanie wykazać, że wdrożone przez niego środki są zgodne z przepisami, oraz że są skuteczne.
- 54.
-
Kluczowe znaczenie zasady rozliczalności podkreślił również TSUE w wyroku z 14 grudnia 2023 r., sygn. C-340/21, wskazując, że „[z] brzmienia art. 5 ust. 2, art. 24 ust. 1 i art. 32 ust. 1 [rozporządzenia 2016/679] jednoznacznie wynika, że ciężar udowodnienia, iż dane osobowe są przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo tych danych w rozumieniu art. 5 ust. 1 lit. f) i art. 32 tego rozporządzenia, spoczywa na danym administratorze”[43].
- 55.
-
Stanowisko to jest spójne z orzecznictwem krajowych sądów administracyjnych. WSA w Warszawie w wyroku z 17 marca 2022 r., sygn. II SA/Wa 2516/21, zwrócił uwagę, że „[z] rozporządzenia [2016/679] nie wynika, że istnieje jakiekolwiek »domniemanie« prawidłowości przetwarzania danych przez administratora”[44].
- 56.
-
Mając na uwadze powyższe, Prezes UODO dokonał oceny działań Ośrodka, jako administratora, w świetle zasady rozliczalności oraz wynikających z niej obowiązków: wdrożenia środków zapewniających przestrzeganie przepisów o ochronie danych osobowych oraz wykazania, że środki te zostały wdrożone i są skuteczne. Badanie zgodności z prawem przetwarzania danych osobowych przez Ośrodek polegało więc w szczególności na weryfikacji, czy Ośrodek wykazał w toku postępowania, zgodnie z art. 5 ust. 2 rozporządzenia 2016/679, że zastosował odpowiednie środki techniczne i organizacyjne zapewniające realizację zasad określonych w art. 5 ust. 1 rozporządzenia 2016/679.
-
3.3. Bezpieczeństwo przetwarzania (art. 25 ust. 1 i art. 32 ust. 1 i 2 rozporządzenia 2016/679)
-
3.3.1. Analiza stanu prawnego
- 57.
-
Zgodnie z art. 5 ust. 1 lit. f) rozporządzenia 2016/679 „dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (»integralność i poufność«)”.
- 58.
-
W związku z powyższym, administratorzy zobowiązani są do zabezpieczenia przetwarzanych danych osobowych w celu ochrony osób, których dane te dotyczą, przed zagrożeniami dla ich praw i wolności. Zasada integralności i poufności została uszczegółowiona m.in. w art. 32 ust. 1 i 2 rozporządzenia 2016/679, nakładającym na administratorów i podmioty przetwarzające obowiązek wdrożenia środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa danych osobowych odpowiadający ryzyku, jakie wiąże się z ich przetwarzaniem.
- 59.
-
Zgodnie z art. 32 ust. 1 rozporządzenia 2016/679
- „
-
uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
- a)
-
pseudonimizację i szyfrowanie danych osobowych;
- b)
-
zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
- c)
-
zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
- d)
-
regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania”.
- 60.
-
Zgodnie z ust. 2 omawianego przepisu, „oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”. Administrator powinien więc zwrócić szczególną uwagę na ryzyko wystąpienia zdarzenia stanowiącego naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 rozporządzenia 2016/679.
- 61.
-
Jednocześnie, zgodnie z art. 25 ust. 1 rozporządzenia 2016/679, „uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą”.
- 62.
-
Analiza treści art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 prowadzi do wniosku, że przepisy te wzajemnie się uzupełniają. Zestawienie ich z treścią art. 24 ust. 1 rozporządzenia 2016/679, który nakłada na administratora ogólny obowiązek zapewnienia i wykazania zgodności z rozporządzeniem, wyraźnie pokazuje, że wymóg zastosowania środków ochrony danych adekwatnych wobec istniejącego ryzyka – zarówno przed przetwarzaniem, jak i w sposób ciągły podczas przetwarzania, dokonując regularnych przeglądów ich skuteczności – ma kluczowe znaczenie dla zapewnienia ochrony praw i wolności osób fizycznych.
- 63.
-
Z powyższego wynika, że prawodawca unijny przyjął w rozporządzeniu 2016/679 podejście oparte na ryzyku, nakładając na administratora obowiązek przeprowadzania analizy ryzyka związanego z przetwarzaniem danych osobowych. Analiza ta stanowi fundament prawidłowego doboru odpowiednich środków technicznych i organizacyjnych[45].
- 64.
-
Według motywu 74 rozporządzenia 2016/679 dobrane przez administratora środki ochrony danych „powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych”. Innymi słowy, środki te powinny być skorelowane z przyjętym modelem przetwarzania oraz związanym z nim ryzykiem dla osób, których dane dotyczą.
- 65.
-
Zgodnie z motywem 75 rozporządzenia 2016/679 ryzyko to może przybierać różne formy i prowadzić do rozmaitych negatywnych skutków. Prawodawca wskazuje przykładowo na możliwość wystąpienia uszczerbku fizycznego, szkód majątkowych lub niemajątkowych, w tym dyskryminacji, kradzieży lub oszustwa dotyczącego tożsamości, straty finansowej, naruszenia dobrego imienia czy utraty poufności danych chronionych tajemnicą zawodową. Administrator powinien zatem w ramach analizy ryzyka zidentyfikować wszystkie (dające się przewidzieć i zidentyfikować) potencjalne negatywne konsekwencje, jakie mogą dotknąć osoby, których dane są przetwarzane.
- 66.
-
W motywie 76 rozporządzenia 2016/679 prawodawca określił sposób, w jaki powinna być przeprowadzona analiza ryzyka. Prawdopodobieństwo i powagę ryzyka należy określić poprzez odniesienie się do czterech kluczowych elementów: charakteru, zakresu, kontekstu i celów przetwarzania. Co istotne, ryzyko należy oszacować na podstawie obiektywnych przesłanek, a nie subiektywnych założeń.
- 67.
-
Z motywu 83 rozporządzenia 2016/679 wynika z kolei cel analizy ryzyka, jakim jest zachowanie bezpieczeństwa danych oraz zapobieganie przetwarzaniu niezgodnemu z przepisami. Administrator powinien oszacować ryzyko właściwe dla danego przetwarzania i na tej podstawie wdrożyć środki minimalizujące to ryzyko. Środki te powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność danych, uwzględniając jednocześnie stan wiedzy technicznej oraz koszty wdrażania w stosunku do charakteru przetwarzanych danych i poziomu zidentyfikowanego ryzyka.
- 68.
-
Motyw 84 rozporządzenia 2016/679 precyzuje, że w przypadku operacji przetwarzania mogących wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, administrator powinien dokonać pogłębionej oceny w celu oszacowania źródła, charakteru, specyfiki i powagi tego ryzyka. Wyniki tej oceny stanowią następnie podstawę do określenia odpowiednich środków, które mają wykazać zgodność przetwarzania z przepisami ww. rozporządzenia.
- 69.
-
Z powołanych regulacji wynika, że dobór odpowiednich środków ochrony danych powinien zostać poprzedzony analizą ryzyka uwzględniającą szereg określonych elementów. W pierwszej kolejności administrator musi dokonać szczegółowej charakterystyki samego przetwarzania, określając jego charakter (jakie operacje są wykonywane na danych), zakres (jakie kategorie danych są przetwarzane i ilu osób dotyczą), kontekst (w jakich okolicznościach i przy użyciu jakich narzędzi odbywa się przetwarzanie) oraz cele (do czego dane są wykorzystywane).
- 70.
-
Następnie administrator powinien zidentyfikować potencjalne zagrożenia i ich negatywne skutki dla osób, których dane dotyczą, biorąc pod uwagę zarówno zagrożenia o charakterze zewnętrznym, jak i wewnętrznym. Szczególną uwagę należy zwrócić na ryzyko związane z przypadkowym lub niezgodnym z prawem zniszczeniem, utraceniem, zmodyfikowaniem, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych, a zatem z wystąpieniem zdarzeń mogących stanowić naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 rozporządzenia 2016/679. Dla każdego zidentyfikowanego zagrożenia administrator powinien oszacować prawdopodobieństwo jego wystąpienia oraz wagę potencjalnych skutków dla osób, których dane dotyczą. Ocena ta powinna mieć charakter obiektywny i opierać się na aktualnie dostępnej wiedzy.
- 71.
-
Rolę ww. kryteriów w procesie przeprowadzania analizy ryzyka w odniesieniu do wdrażanych środków ochrony danych wyjaśnił także TSUE w wyroku z 14 grudnia 2023 r., sygn. C-340/21, wskazując, że „okoliczność, czy takie środki techniczne i organizacyjne [mają] odpowiedni charakter, należy oceniać w dwóch etapach. Po pierwsze, należy zidentyfikować ryzyko naruszenia ochrony danych osobowych wynikające z danego przetwarzania oraz jego ewentualne konsekwencje dla praw i wolności osób fizycznych. Oceny tej należy dokonywać w sposób konkretny, z uwzględnieniem prawdopodobieństwa zidentyfikowanego ryzyka i stopnia jego powagi. Po drugie, należy sprawdzić, czy środki wdrożone przez administratora odpowiadają temu ryzyku, biorąc pod uwagę stan wiedzy, koszt wdrażania, a także charakter, zakres, kontekst i cele tego przetwarzania. (…) W związku z tym, aby zweryfikować, czy środki techniczne i organizacyjne wdrożone na podstawie art. 32 [rozporządzenia 2016/679] mają odpowiedni charakter, sąd krajowy nie powinien ograniczać się do ustalenia, w jaki sposób dany administrator danych zamierzał wypełnić obowiązki ciążące na nim na mocy tego artykułu, lecz powinien zbadać te środki co do istoty w świetle wszystkich kryteriów wymienionych w tym artykule, a także okoliczności danej sprawy i dowodów, którymi sąd ten dysponuje w tym względzie”[46].
-
3.3.2. Analiza stanu faktycznego
- 72.
-
Oceniając zgodność przetwarzania danych osobowych przez Ośrodek z zasadą integralności i poufności, o której mowa w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, w kontekście obowiązków administratora określonych w art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 tego rozporządzenia, Prezes UODO zbadał w toku postępowania, czy Ośrodek w sposób rzetelny i kompletny analizował ryzyko związane z przetwarzaniem oraz czy na tej podstawie wdrożył odpowiednie środki techniczne i organizacyjne, zapewniające realizację zasad ochrony danych, w tym ich bezpieczeństwo, oraz umożliwiające wykazanie zgodności przetwarzania z przepisami rozporządzenia.
- 73.
-
Jako dowód na przeprowadzenie analizy ryzyka Ośrodek przedłożył dokument, o którym mowa w pkt 21–23 uzasadnienia. W ocenie Prezesa UODO jego treść, zakres oraz sposób sporządzenia nie pozwalają jednak uznać, że stanowi on skuteczną realizację obowiązków wynikających z art. 24 ust. 1 rozporządzenia 2016/679, zgodnie z którym administrator powinien wdrożyć odpowiednie środki techniczne i organizacyjne, uwzględniając ryzyka o różnym prawdopodobieństwie i wadze dla praw i wolności osób fizycznych, a także być w stanie wykazać zgodność przetwarzania z przepisami rozporządzenia.
- 74.
-
Po pierwsze, dokument ten ma charakter jednorazowy i nie jest elementem procesu ciągłego zarządzania ryzykiem, podczas gdy z art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 wynika, że analiza ryzyka powinna towarzyszyć przetwarzaniu danych osobowych na wszystkich jego etapach, zaś stosowane środki ochrony danych powinny podlegać regularnej weryfikacji i aktualizacji w świetle zmieniających się warunków przetwarzania oraz związanych z nimi zagrożeń. Potwierdził to WSA w Warszawie w wyroku z 21 czerwca 2023 r., sygn. II SA/Wa 150/23, zaznaczając, że „regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem każdego administratora (…) wynikającym z art. 32 ust. 1 lit. d) [rozporządzenia 2016/679]”[47].
- 75.
-
Z wyjaśnień składanych przez Ośrodek wynika, że tego rodzaju działania nie były przeprowadzane. Ośrodek, zapytany o regularne testowanie, mierzenie i ocenianie skuteczności stosowanych środków, wskazał jedynie na „cykliczne audyty bezpieczeństwa informacji”, nie przedstawiając jednak żadnych dowodów ani na ich faktyczne przeprowadzanie, ani na ich rzeczywisty związek z realizacją obowiązków określonych w rozporządzeniu 2016/679[48].
- 76.
-
Po drugie, w ocenie Prezesa UODO przedstawiona w dokumencie charakterystyka przetwarzania (tj. opis charakteru, zakresu, kontekstu i celów przetwarzania) jest niekompletna, zaś jego treść nie pozwala na właściwe zrozumienie przyjętego modelu przetwarzania ani na prawidłową identyfikację potencjalnych zagrożeń.
- 77.
-
Opis charakteru przetwarzania został ograniczony do wskazania nazwy procesu, bardzo ogólnego zestawienia zasobów („komputer, poczta elektroniczna, urządzenia drukujące, niszczarka, program do szyfrowania plików”) oraz pojedynczej czynności realizowanej w ramach procesu („aktualizacja listy osób przebywających na kwarantannie/izolacji przekazywana przez Sanepid w D.”). Taki opis nie przedstawia jednak, w jaki sposób przetwarzanie było realizowane w całym cyklu życia danych, tj. od ich pozyskania, przez utrwalenie, wykorzystywanie, udostępnianie, przechowywanie i usuwanie, ani nie wskazuje etapów przetwarzania i przepływów danych oraz ról poszczególnych osób mających do nich dostęp. W konsekwencji Ośrodek nie sformułował opisu charakteru przetwarzania w stopniu pozwalającym na ocenę, jakie konkretne operacje i rozwiązania tworzą środowisko ryzyka oraz jakie podatności mogą powstać na poszczególnych etapach przetwarzania. Zdaniem Prezesa UODO prawidłowe uwzględnienie ww. elementów mogło umożliwić Ośrodkowi zminimalizowanie ryzyka wystąpienia incydentu, w szczególności ze względu na fakt, że do zdarzenia doszło w ramach operacji, która nie została przewidziana w analizie.
- 78.
-
Opis zakresu przetwarzania nie pozwala na ustalenie pełnej skali procesu, ponieważ sprowadza się do określenia kategorii przetwarzanych danych osobowych, przy jednoczesnym deklaratywnym zaznaczeniu, że przetwarzanie nie odbywa się na dużą skalę. W dokumencie zabrakło natomiast m.in. liczby osób, których dane dotyczą, częstotliwości pozyskiwania i aktualizacji listy, okresów i zasad przechowywania danych oraz czasu trwania przetwarzania. Braki te mają istotne znaczenie dla oceny prawdopodobieństwa i powagi potencjalnych skutków naruszenia praw lub wolności osób fizycznych oraz dla doboru środków bezpieczeństwa adekwatnych do modelu przetwarzania.
- 79.
-
Opis kontekstu przetwarzania ma w przeważającej mierze charakter ogólnikowy. Ośrodek wskazał odbiorców danych w postaci formuły: „Dane zostaną ujawnione wyłącznie podmiotom uprawnionym na podstawie przepisów prawa bądź umowy powierzenia przetwarzania danych zawartej z Ośrodkiem”, co nie pozwalało ustalić ani rzeczywistych kategorii odbiorców, ani konkretnych podmiotów lub ról osób, którym dane były ujawniane, ani też kanałów ujawnienia i zasad kontroli nad dalszym przetwarzaniem. Jednocześnie, choć z treści tabeli wynika, że lista była przekazywana Ośrodkowi przez Powiatową Stację, opis nie wyjaśniał relacji organizacyjnych i prawnych pomiędzy ww. podmiotami, sposobu przekazywania danych osobowych (np. kanału komunikacji), zabezpieczeń stosowanych przy transferze oraz tego, czy – i w jakim trybie – dane są następnie dalej udostępniane innym podmiotom. W konsekwencji opis kontekstu nie pozwalał na rzetelną ocenę warunków, w jakich przetwarzanie było realizowane, ani na prawidłową identyfikację czynników zwiększających lub zmniejszających poziom ryzyka dla praw lub wolności osób, których dane dotyczą.
- 80.
-
Z kolei opis celów przetwarzania został ujęty w formule: „Realizacja obowiązków prawnych nałożonych na administratora”, przy jednoczesnym braku doprecyzowania, jakie konkretnie obowiązki są realizowane, z jakich przepisów wynikają oraz jakie działania i rezultaty mają zostać osiągnięte poprzez przetwarzanie danych osobowych. Taki opis utrudnia nie tylko ocenę wiążącego się z nim ryzyka, ale też np. powiązanie konkretnych operacji przetwarzania z zasadą minimalizacji i adekwatności danych czy też dostosowanie środków ochrony danych do rzeczywistych potrzeb oraz sposobu realizacji zadań.
- 81.
-
Po trzecie, przedłożony dokument nie uwzględnia żadnych konkretnych zagrożeń i wskazuje tylko jeden potencjalny skutek dla praw lub wolności osób fizycznych, co świadczy o powierzchownym podejściu Ośrodka do identyfikacji ryzyka związanego z przetwarzaniem danych w ramach omawianego procesu. Analiza nie zawiera ponadto identyfikacji źródeł ryzyka ani podatności, zwłaszcza tych związanych z organizacją pracy, czynnikami ludzkimi, przyjętymi procedurami, wykorzystywanymi systemami informatycznymi czy sposobem zabezpieczenia dostępu, co uniemożliwiło ustalenie, w jaki sposób mogłoby dojść do ewentualnego naruszenia ochrony danych osobowych.
- 82.
-
Po czwarte, w ramach kryterium „Prawdopodobieństwo” Ośrodek ograniczył się do zastosowania jednego wskaźnika opartego na pytaniu „Kiedy ostatni raz doszło do naruszenia”, przyjmując odpowiedź „Nigdy”, bez odniesienia się do żadnych obiektywnych czynników ryzyka. Takie podejście nie może zostać uznane za rzetelną ocenę prawdopodobieństwa naruszenia praw lub wolności osób fizycznych, ponieważ opiera się wyłącznie na zdarzeniach historycznych, ignorując możliwość materializacji określonych zagrożeń w przyszłości, co pozostaje w sprzeczności z podejściem opartym na ryzyku oraz zasadą ochrony danych w fazie projektowania.
- 83.
-
Po piąte, również ocena wagi potencjalnych skutków dla praw lub wolności osób fizycznych nie została w sposób należyty uwzględniona w treści analizy, dokument zaś nie zawiera w tym zakresie żadnych odniesień do rodzaju przetwarzanych danych, kategorii osób, których dane dotyczą, ani możliwych konsekwencji materialnych i niematerialnych, jakie mogłyby powstać w razie niepożądanego zdarzenia.
- 84.
-
Po szóste, mimo że Ośrodek sformułował w analizie listę rekomendowanych działań, w znacznej mierze mają one charakter ogólny i deklaratywny, nie zostały powiązane z konkretnymi zagrożeniami ani podatnościami, a tym samym nie pozwalają ocenić, czy – i jak – mogłoby przyczynić się do zapewnienia większego poziomu bezpieczeństwa przetwarzanych danych osobowych. Co więcej, rekomendacje te nie zostały uzupełnione o informacje dotyczące planu ich wdrożenia, harmonogramu realizacji, odpowiedzialności za ich wykonanie ani o ocenę wpływu poszczególnych środków na obniżenie poziomu ryzyka, co uniemożliwia uznanie ich za element przemyślanego i systemowego doboru technicznych i organizacyjnych środków ochrony danych.
- 85.
-
W konsekwencji przeprowadzona przez Ośrodek analiza ryzyka nie stanowiła rzeczywistej podstawy do doboru odpowiednich środków ochrony danych, o których mowa w art. 24, art. 25 oraz art. 32 rozporządzenia 2016/679, ze względu na brak rzetelnego, kompletnego i udokumentowanego powiązania pomiędzy modelem przetwarzania, identyfikacją związanych z nim zagrożeń, oceną prawdopodobieństwa i wagi potencjalnych skutków dla osób, których dane dotyczą, oraz rekomendowanymi i zastosowanymi zabezpieczeniami.
- 86.
-
W ocenie Prezesa UODO taki sposób postępowania nie zapewniał należytej kontroli nad procesem przetwarzania. Jak bowiem wykazano powyżej, techniczne i organizacyjne środki ochrony danych stosowane przez Ośrodek nie zostały zaprojektowane zgodnie podejściem opartym na ryzyku, stanowiącym fundament rozporządzenia 2016/679. Ośrodek w żaden sposób nie dokonywał także ich przeglądu ani aktualizacji. Ostatecznie także środki te okazały się nieskuteczne, co w niniejszej sprawie ujawniły okoliczności zaistnienia incydentu (zob. pkt 15–20 uzasadnienia).
- 87.
-
W tym miejscu należy podkreślić, że prawodawca unijny nie określa, jakie konkretnie środki techniczne i organizacyjne powinny zostać wdrożone przez Ośrodek w okolicznościach niniejszej sprawy. Podejście oparte na ryzyku powoduje bowiem, że to administrator odpowiada za dokonanie należytej konkretyzacji obowiązków prawnych, które w przypadku art. 24, art. 25 i art. 32 zostały oparte o kryterium ryzyka. W tym kontekście szczególne znaczenie ma zasada rozliczalności, zgodnie z którą administrator jest zobowiązany nie tylko do zapewnienia zgodności z przepisami rozporządzenia 2016/679, lecz także do wykazania prawidłowości swoich działań przed organem nadzorczym.
- 88.
-
Zadaniem Prezesa UODO nie była zatem samodzielna, szczegółowa ocena adekwatności stosowanych przez Ośrodek środków ochrony danych, lecz przede wszystkim weryfikacja, czy w sposób właściwy przeprowadził on proces analizy ryzyka i na tej podstawie dokonał doboru odpowiednich środków technicznych i organizacyjnych[49].
- 89.
-
W niniejszej sprawie Ośrodek tego obowiązku nie zrealizował, ponieważ nie przeprowadził analizy ryzyka w sposób prawidłowy, a stosowane przez niego rozwiązania okazały się nieskuteczne.
- 90.
-
Stanowisko to zostało potwierdzone w orzecznictwie. NSA w wyroku z 9 lutego 2023 r., sygn. III OSK 3945/21, wskazał, że „[n]a gruncie [rozporządzenia 2016/679] prawodawca odszedł od statycznego określenia wymaganych od administratora środków technicznych i organizacyjnych na rzecz dynamicznej oceny przyjętych środków bezpieczeństwa. Powyższe oznacza, że to na administratorze (…) spoczywa obowiązek określenia odpowiednich (adekwatnych) środków bezpieczeństwa, z zachowaniem kompetencji organu nadzorczego do weryfikacji przyjętego poziomu zabezpieczeń. (…) W konsekwencji obowiązujące przepisy prawa nie określają katalogu odpowiednich środków bezpieczeństwa, zaś to na administratorze spoczywa obowiązek dokonania oceny w tym zakresie i wyboru środków adekwatnych m.in. do obecnego stanu wiedzy technicznej czy skali ryzyka naruszenia praw”[50].
- 91.
-
Jednocześnie trzeba mieć na uwadze, że zarówno ewentualne nieprawidłowości ze strony pracowników Ośrodka, jak również potencjalne bezprawne działania osób trzecich, które mogły stanowić źródła incydentu, co do zasady nie zwalniają Ośrodka z odpowiedzialności za zaniechania w obszarze wyżej opisanych obowiązków. Pogląd ten potwierdza utrwalone orzecznictwo.
- 92.
-
W ww. wyroku NSA wskazał, że „sankcji administracyjnej za naruszenie obowiązków wskazanych w art. 32 [rozporządzenia 2016/679] podlega nie ten, kto jako administrator (…) dopuścił do nieuprawnionego przetwarzania danych osobowych, a tylko podmiot, który nie dochował odpowiedniego, w danych okolicznościach, standardu środków bezpieczeństwa. Karze nie podlega jednostka za nielegalne działanie osoby trzeciej (np. hakera), polegające na nieuprawnionym dostępie do danych przezeń przetwarzanych, a za dopuszczenie do tego dostępu w związku z nieodpowiednim poziomem stosowanych zabezpieczeń”[51].
- 93.
-
W wyroku z 12 czerwca 2025 r., sygn. III OSK 1394/22, NSA podniósł także, iż „administrator ponosi odpowiedzialność także za działanie osób i podmiotów od siebie zależnych, przy pomocy których przetwarza dane osobowe”[52].
- 94.
-
Mając powyższe na uwadze, należy uznać, że Ośrodek nie wykazał, aby przetwarzając dane osobowe, o których mowa w pkt 12 uzasadnienia, zapewnił odpowiednie środki techniczne i organizacyjne, zaprojektowane w celu skutecznej realizacji zasad ochrony danych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, w tym zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Działanie to naruszyło art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, a w konsekwencji – zasadę integralności i poufności, określoną w art. 5 ust. 1 lit. f), oraz zasadę rozliczalności, określoną w art. 5 ust. 2 tego rozporządzenia.
-
-
3.4. Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu i zawiadomienie osób, których dane dotyczą, o naruszeniu ochrony danych osobowych (art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679)
-
3.4.1. Analiza stanu prawnego
- 95.
-
Art. 4 pkt 12 rozporządzenia 2016/679 wskazuje, że „»naruszenie ochrony danych osobowych« oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.
- 96.
-
Zgodnie z art. 33 ust. 1 rozporządzenia 2016/679 „[w] przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia”.
- 97.
-
W myśl art. 34 ust. 1 rozporządzenia 2016/679 „[j]eżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu”.
- 98.
-
Według motywu 85 rozporządzenia 2016/679, „[p]rzy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki”.
- 99.
-
Zgodnie z motywem 86 rozporządzenia, „[a]dministrator powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić tej osobie podjęcie niezbędnych działań zapobiegawczych. Informacja taka powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak to rozsądnie możliwe, w ścisłej współpracy z organem nadzorczym, z poszanowaniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy ścigania. Na przykład potrzeba zminimalizowania bezpośredniego ryzyka wystąpienia szkody będzie wymagać niezwłocznego poinformowania osób, których dane dotyczą, natomiast wdrożenie odpowiednich środków przeciwko takim samym lub podobnym naruszeniom ochrony danych może uzasadniać późniejsze poinformowanie”.
- 100.
-
Obowiązki, o których mowa w art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679, zostały oparte na kryterium ryzyka. Oznacza to, że ich aktualizacja skorelowana jest z prawdopodobieństwem wystąpienia ryzyka (w przypadku art. 33 ust. 1) oraz prawdopodobieństwem wystąpienia wysokiego ryzyka (w przypadku art. 34 ust. 1) dla praw lub wolności osób, których dane dotyczą. Administrator danych objętych naruszeniem ochrony danych osobowych powinien więc przeanalizować ryzyko, jakie może powstać w jego wyniku. Jest to warunek konieczny prawidłowej reakcji na takie zdarzenie[53].
- 101.
-
Motyw 87 rozporządzenia 2016/679 wskazuje, że „[n]ależy się upewnić, czy wdrożono wszelkie odpowiednie techniczne środki ochrony i wszelkie odpowiednie środki organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy i osobę, której dane dotyczą. To, czy zawiadomienie dokonano bez zbędnej zwłoki, należy ustalić z uwzględnieniem w szczególności charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą. Takie zawiadomienie może skutkować interwencją organu nadzorczego, zgodnie z jego zadaniami i uprawnieniami określonymi w niniejszym rozporządzeniu”.
- 102.
-
EROD podkreśla, że „zdolność do zapobiegania naruszeniom w przypadkach, w których jest to możliwe, oraz zdolność do niezwłocznego reagowania na naruszenia w sytuacjach, w których mimo to dojdzie do ich wystąpienia, stanowi kluczowy element każdej polityki w zakresie bezpieczeństwa danych”[54]. Odpowiednia reakcja na naruszenia ochrony danych osobowych jest bowiem niezbędna dla skutecznej ochrony osób, których dane dotyczą, przed negatywnymi konsekwencjami przetwarzania[55].
- 103.
-
Ponadto, jak wskazuje EROD, „[j]eżeli administratorzy nie wywiążą się z obowiązku zgłoszenia naruszenia ochrony danych organowi nadzorczemu albo osobom, których dane dotyczą, albo zarówno organowi nadzorczemu, jak i osobom, których dane dotyczą, pomimo spełnienia wymogów ustanowionych w art. 33 lub 34 [rozporządzenia 2016/679], organ nadzorczy może skorzystać z możliwości, która obejmowałaby wzięcie pod uwagę wszystkich środków naprawczych znajdujących się do jego dyspozycji, co wiązałoby się z możliwością zastosowania administracyjnej kary pieniężnej (…)”[56].
-
3.4.2. Analiza stanu faktycznego
- 104.
-
Oceniając możliwość naruszenia przez Ośrodek obowiązków określonych w art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679, poprzez ich zaniechanie, Prezes UODO zbadał w toku postępowania, czy incydent opisany w pkt 15–20 uzasadnienia stanowił naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 rozporządzenia 2016/679, a jeśli tak, czy zdarzenie mogło powodować ryzyko lub wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
- 105.
-
W pierwszej kolejności należy wskazać, że zdarzenie polegające na niezamierzonym (przypadkowym lub niezgodnym z prawem) umieszczeniu pliku zawierającego dane osobowe na prywatnym serwerze pracownika administratora, wskutek czego dane te stały się potencjalnie dostępne dla nieograniczonej liczby nieuprawnionych odbiorców, spełnia przesłanki sformułowane w definicji „naruszenia ochrony danych osobowych”, określonej w art. 4 pkt 12 rozporządzenia 2016/679. Zdarzenie to miało bowiem charakter „naruszenia bezpieczeństwa”, tj. incydentu bezpieczeństwa[57], prowadzącego do nieuprawnionego ujawnienia przetwarzanych przez Ośrodek danych osobowych.
- 106.
-
Jednocześnie bez znaczenia w kontekście uznania ww. zdarzenia za naruszenie ochrony danych osobowych pozostaje brak identyfikacji jego sprawcy (tj. osoby, która umieściła plik z danymi osobowymi na prywatnym serwerze koordynatora). Zdaniem Prezesa UODO żadna z prezentowanych w toku postępowania wersji wydarzeń nie została przekonująco uzasadniona (zob. np. pkt 20 uzasadnienia), jednakże fakt ten nie wpływa na przypisanie Ośrodkowi odpowiedzialności za wykonanie obowiązków związanych z wystąpieniem naruszenia ochrony danych osobowych.
- 107.
-
Ponadto zdaniem Prezesa UODO prawdopodobieństwo, że incydent spowoduje ryzyko naruszenia praw lub wolności osób fizycznych było wyższe niż małe, w związku z czym nie wystąpiła przesłanka, która mogłaby uzasadnić ewentualne odstąpienie od obowiązku niezwłocznego zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu[58].
- 108.
-
EROD wskazuje, że przy ocenie ryzyka wynikającego z naruszenia ochrony danych osobowych należy wziąć pod uwagę w szczególności jego rodzaj, charakter, wrażliwość i ilość danych osobowych, łatwość identyfikacji osób fizycznych, wagę konsekwencji dla osób fizycznych, cechy szczególne osób fizycznych, cechy szczególne administratora oraz liczbę osób fizycznych, na które naruszenie wywiera wpływ[59].
- 109.
-
Analizując powyższe czynniki, Prezes UODO wziął pod uwagę, że incydent stanowił naruszenie poufności informacji pozwalających zidentyfikować co najmniej (…) konkretnych osób fizycznych, a także ujawniających ich dokładne miejsce pobytu, numery telefonów oraz fakt przebywania w obowiązkowej kwarantannie lub izolacji w związku z zapobieganiem i zwalczaniem zakażenia wirusem SARS-CoV-2. Oznacza to, że ujawnieniu uległy również dane dotyczące zdrowia[60] – zaszeregowane przez unijnego ustawodawcę jako jedna z tzw. szczególnych kategorii danych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679. Dane te pozwalały zidentyfikować osoby, w przypadku których stwierdzono zakażenie wirusem SARS-CoV-2 (osoby przebywające w izolacji), oraz osoby, u których istniało uzasadnione podejrzenie takiego zakażenia (osoby przebywające na kwarantannie).
- 110.
- 111.
-
Szczególne znaczenie mają w tym kontekście również okoliczności ujawnienia danych zdrowotnych o tak specyficznym charakterze. Naruszenie poufności informacji o zakażeniu wirusem SARS-CoV-2 w przypadku konkretnych, możliwych do zidentyfikowania osób, w połączeniu z dodatkowymi informacjami np. o miejscu ich pobytu, mogło prowadzić do istotnego zwiększenia ryzyka naruszenia ich praw lub wolności.
- 112.
-
Prezes UODO wziął także pod uwagę, że ww. dane osobowe znalazły się w pliku umieszczonym na prywatnym serwerze koordynatora, a następnie – na skutek mechanizmu indeksowania dokonywanego przez firmę C. – zostały umieszczone w wynikach wyszukiwarki internetowej, co z kolei spowodowało ich publiczną ekspozycję. Warto podkreślić, że ryzyko związane np. z ograniczeniem autonomii osób fizycznych w zakresie kontroli nad własnymi danymi osobowymi rzeczywiście się zmaterializowało, czego dowodem jest pozyskanie ich przez osobę trzecią (zob. pkt 17 uzasadnienia).
- 113.
-
W tym stanie faktycznym w ocenie Prezesa UODO incydent mógł powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Na to stanowisko wpłynął w szczególności rodzaj zaistniałego naruszenia ochrony danych osobowych w powiązaniu z charakterem, wrażliwością i zakresem danych osobowych objętych incydentem (tj. w szczególności fakt naruszenia poufności danych dotyczących zdrowia, w połączeniu z danymi identyfikacyjnymi i kontaktowymi), możliwość łatwej identyfikacji osób, których dane dotyczą, duża liczba i szczególny charakter tych osób – w momencie zaistnienia incydentu będących w większości osobami chorymi lub zagrożonymi zachorowaniem, a także istotna waga potencjalnych konsekwencji, jakie mogły spotkać te osoby w związku z zaistniałym zdarzeniem. Znaczenie miał również fakt, że Ośrodek nie zdołał wykryć incydentu na tyle wcześnie, aby zdołać zapobiec dalszemu rozprzestrzenieniu się ww. danych osobowych i zapoznaniu się z nimi przez osoby trzecie[63].
- 114.
-
Podkreślenia wymaga, że przy ocenie zaistnienia obowiązków z art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679 nie ma znaczenia, czy negatywne skutki dla osób, których dane dotyczą, rzeczywiście się zmaterializowały. Potwierdził to NSA, wskazując, że „[n]ie jest konieczne, by wysokie ryzyko się zmaterializowało i by faktycznie doszło do naruszenia praw lub wolności. Dlatego nie ma znaczenia, czy ostatecznie ich naruszenie nastąpi. Wystarczy samo pojawienie się wysokiego ryzyka naruszenia. W toku dokonywania oceny, czy występują ryzyka ich naruszenia, administrator powinien brać pod uwagę wszelkie możliwe szkody, jak i krzywdy, które mogą wyniknąć z danego zdarzenia dla osób fizycznych. Mogą one w szczególności polegać na utracie kontroli nad własnymi danymi osobowymi, negatywnych konsekwencjach wizerunkowych, możliwości zawierania przez inną osobę umów z wykorzystaniem danych osobowych innej osoby fizycznej, stratach finansowych czy wreszcie negatywnym odbiorze społecznym, który może być konsekwencją upublicznienia niektórych danych osobowych. Do zaistnienia ryzyka nie jest przy tym konieczne, by ostatecznie doszło do wystąpienia szkody lub krzywdy wynikających z danego naruszenia ochrony danych osobowych”[64].
- 115.
-
W tej sytuacji zadaniem Prezesa UODO nie była weryfikacja faktycznego naruszenia praw lub wolności osób, których dane dotyczą, a jedynie obiektywna ocena prawdopodobieństwa wystąpienia ryzyka takiego naruszenia i jego skali[65].
- 116.
-
Wobec powyższego w ocenie Prezesa UODO incydent opisany w pkt 15–20 uzasadnienia stanowił naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 rozporządzenia 2016/679, skutkujące powstaniem obowiązku dokonania zgłoszenia do organu nadzorczego w trybie art. 33 ust. 1 rozporządzenia 2016/679 oraz zawiadomienia osób, których dane dotyczą, w trybie art. 34 ust. 1 rozporządzenia 2016/679.
- 117.
-
Jednocześnie, z uwagi na uznanie przez Ośrodek, że nie sprawował funkcji administratora w odniesieniu do danych osobowych objętych incydentem, należy uznać, że w istocie nie „stwierdził” on ww. naruszenia ochrony danych osobowych w rozumieniu art. 33 ust. 1 rozporządzenia 2016/679 po otrzymaniu pierwszych informacji o zdarzeniu, odstępując od jego szczegółowej analizy (zob. pkt 19 uzasadnienia). W toku czynności wyjaśniających, m.in. w związku z wymianą korespondencji w sprawie incydentu pomiędzy Ośrodkiem a Prezesem UODO (w tym przedstawieniem Ośrodkowi ustaleń Prezesa UODO), Ośrodek miał jednak możliwość – a zarazem obowiązek – zweryfikować swoje stanowisko i stwierdzić naruszenie ochrony danych osobowych. EROD wskazuje, iż „(…) należy uznać, że administrator stwierdził wystąpienie naruszenia w momencie, w którym uzyskał dostateczną pewność co do tego, że doszło do wystąpienia incydentu bezpieczeństwa, który doprowadził do narażenia danych osobowych”[66]. Nawet jednak przy założeniu najbardziej korzystnym dla Ośrodka – tj. przyjęciu, że pomimo powzięcia informacji o zdarzeniu nie mógł on niezwłocznie dokonać jego kwalifikacji jako naruszenia ochrony danych osobowych – najpóźniejszym momentem, w którym Ośrodek powinien był stwierdzić takie naruszenie, było otrzymanie pisma Prezesa UODO z 1 lipca 2021 r., w którym organ nadzorczy przedstawił Ośrodkowi swoje ustalenia dotyczące incydentu. Od tego momentu – niezależnie od oceny wcześniejszych wątpliwości Ośrodka co do swojego statusu – dysponował on wiedzą wystarczającą do jednoznacznego stwierdzenia naruszenia ochrony danych osobowych i był zobowiązany do dokonania zgłoszenia, o którym mowa w art. 33 ust. 1 rozporządzenia 2016/679, bez zbędnej zwłoki – nie później niż w terminie 72 godzin.
- 118.
-
Zdaniem Prezesa UODO błędne przyjęcie przez Ośrodek, że nie jest administratorem, w sytuacji, w której faktycznie odgrywał on taką rolę w stosunku do ww. danych osobowych (zob. pkt 25–49 uzasadnienia), nie może zwalniać go z odpowiedzialności za realizację obowiązków spoczywających na nim na mocy art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679. Zgodnie bowiem z motywem 87 tego rozporządzenia „[n]ależy się upewnić, czy wdrożono wszelkie odpowiednie techniczne środki ochrony i wszelkie odpowiednie środki organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy i osobę, której dane dotyczą”. W ślad za tym EROD wskazuje, że „na administratorze spoczywa wyraźny obowiązek podejmowania działań w związku z wszelkimi ostrzeżeniami otrzymanymi na początkowym etapie oraz obowiązek ustalenia, czy w danym przypadku faktycznie doszło do naruszenia, czy tez nie”[67]. Podstawowym warunkiem możliwości stwierdzania naruszeń ochrony danych osobowych jest zaś świadomość faktu sprawowania funkcji administratora.
- 119.
-
Ze względu na to, że Ośrodek nie zrealizował ww. obowiązków do dnia wydania decyzji, nakaz sformułowany w pkt III.2 sentencji pozostaje w pełni uzasadniony w świetle powyższych ustaleń, a także treści art. 34 ust. 4 rozporządzenia 2016/679, który wskazuje, że „[j]eżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać (…)”, oraz art. 58 ust. 2 lit. e) tego rozporządzenia, na podstawie którego organowi nadzorczemu przysługuje uprawnienie naprawcze w postaci nakazania administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych.
- 120.
-
Należy dodatkowo podkreślić, że formułując nakaz, o którym mowa w pkt III.2 sentencji, Prezes UODO nie wziął pod uwagę czasu, jaki upłynął od momentu zaistnienia naruszenia ochrony danych osobowych oraz możliwości wystąpienia ryzyka dla praw lub wolności osób, których dane dotyczą, zgadzając się ze stanowiskiem NSA, wedle którego „[n]ie jest uprawnione zastosowanie dyrektyw wykładni funkcjonalnej do przepisów art. 33 ust. 1 i art. 34 ust. 1 [rozporządzenia 2016/679], tj. przepisów określających obowiązki administratorów w zakresie, w którym pełnią oni rolę gwarantów prawa lub wolności osób fizycznych. Zastosowanie dyrektyw funkcji prowadzące do ograniczenia zastosowania takich przepisów prowadziłoby do ograniczenia ochrony praw i wolności obywatelskich, co może nastąpić wyłącznie na podstawie przepisów ustawy (art. 30 ust. 3 Konstytucji RP) interpretowanej z użyciem dyrektyw językowych”[68].
-
-
3.5. Podsumowanie
- 121.
-
Podsumowując, zdaniem Prezesa UODO przedstawione powyżej ustalenia stwarzają wystarczające podstawy do stwierdzenia, że Ośrodek dopuścił się przetwarzania danych osobowych co najmniej (…) mieszkańców D., w tym imion, nazwisk, numerów telefonów, adresów pobytu oraz informacji o sytuacji sanitarnej, tj. poddaniu obowiązkowej kwarantannie lub izolacji w warunkach domowych w związku z zapobieganiem oraz zwalczaniem zakażenia wirusem SARS-CoV-2 i rozprzestrzeniania się wywołanej nim choroby COVID-19, w celu zapewnienia tym osobom wsparcia, przy braku odpowiednich środków technicznych i organizacyjnych, zaprojektowanych w celu skutecznej realizacji zasad ochrony danych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, w tym zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze.
- 122.
-
Ponadto Ośrodek nie zrealizował obowiązku zgłoszenia bez zbędnej zwłoki naruszenia ochrony danych osobowych organowi nadzorczemu oraz zawiadomienia bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu ochrony danych osobowych, pomimo tego, że mogło ono powodować wysokie ryzyko naruszenia praw lub wolności tych osób.
- 123.
-
Wobec powyższego Prezes UODO stwierdził, że Ośrodek naruszył przepisy rozporządzenia 2016/679, tj. art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, w konsekwencji naruszając art. 5 ust. 1 lit. f) i ust. 2 rozporządzenia 2016/679, a także art. 33 ust. 1 oraz art. 34 ust. 1 rozporządzenia 2016/679.
-
-
4. Administracyjne kary pieniężne
-
4.1. Podstawy prawne
- 124.
-
Postępowanie administracyjne prowadzone przez Prezesa UODO służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej w celu zastosowania uprawnień naprawczych określonych w art. 58 ust. 2 rozporządzenia 2016/679.
- 125.
-
Mając na uwadze powyższe, jak również stwierdzone w niniejszym postępowaniu naruszenia przepisów o ochronie danych osobowych, Prezes UODO – korzystając z uprawnienia określonego w art. 58 ust. 2 lit. i) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)–h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679 – stwierdził, że w rozpatrywanej sprawie zmaterializowały się przesłanki uzasadniające nałożenie na Ośrodek administracyjnych kar pieniężnych na podstawie art. 83 ust. 4 lit. a) oraz art. 83 ust. 5 lit. a) rozporządzenia 2016/679.
- 126.
-
Stosownie do art. 83 ust. 4 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25–39 oraz 42 i 43 podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
- 127.
-
Z kolei zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679 naruszenia przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
- 128.
-
Art. 102 ust. 1 pkt 1 u.o.d.o. stanowi natomiast, że Prezes UODO może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 000 złotych, na jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1-12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych[69]. Limit ten niewątpliwie znajdzie zastosowanie w niniejszej sprawie do Ośrodka, jako jednostki budżetowej. Administracyjne kary pieniężne, o których mowa w ust. 1 i 2, Prezes Urzędu nakłada na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679 (art. 102 ust. 3 u.o.d.o.).
- 129.
-
Jednocześnie należy wskazać, że zgodnie z art. 83 ust. 1 rozporządzenia 2016/679 każdy organ nadzorczy zapewnia, by administracyjne kary pieniężne nakładane na mocy tego artykułu za naruszenia rozporządzenia, o których mowa w ust. 4, 5 i 6, były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające.
- 130.
-
Zgodnie natomiast z art. 83 ust. 2 rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)–h) oraz j). Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na:
- a)
-
charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;
- b)
-
umyślny lub nieumyślny charakter naruszenia;
- c)
-
działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
- d)
-
stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32;
- e)
-
wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
- f)
-
stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
- g)
-
kategorie danych osobowych, których dotyczyło naruszenie;
- h)
-
sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
- i)
-
jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków;
- j)
-
stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42; oraz
- k)
-
wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.
-
4.2. Zachowania podlegające administracyjnym karom pieniężnym i zastosowanie art. 83 ust. 3 rozporządzenia 2016/679
- 131.
-
Stosownie do brzmienia art. 83 ust. 3 rozporządzenia 2016/679, jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.
- 132.
-
Wobec stwierdzenia, że Ośrodek dopuścił się w analizowanym stanie faktycznym naruszeń wielu przepisów rozporządzenia 2016/679 (tj. art. 5 ust. 1 lit. f) i ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2, art. 33 ust. 1 oraz art. 34 ust. 1 rozporządzenia 2016/679), Prezes UODO zobowiązany był uwzględnić przytoczoną w poprzedzającym akapicie regulację celem rozważenia, czy okoliczności niniejszej sprawy determinują skorzystanie przez organ nadzorczy wyłącznie z jednego, czy też z kilku środków naprawczych przewidzianych w art. 58 ust. 2 rozporządzenia 2016/679 – a precyzyjniej, czy organ powinien nałożyć na administratora wyłącznie jedną administracyjną karę pieniężną, stanowiącą odpowiedź na wszystkie popełnione przez ten podmiot naruszenia, czy też odrębne i samoistne kary co do każdego z tych naruszeń rozpatrywanych osobno. W tym celu Prezes UODO skorzystał z metodyki obliczania administracyjnych kar pieniężnych przyjętej w Wytycznych 04/2022[70], zgodnie z którą pierwszym krokiem do dalszych obliczeń jest „ocena zastosowania art. 83 ust. 3 [rozporządzenia 2016/679]” (zob. pkt 17 Wytycznych 04/2022). W myśl Wytycznych 04/2022, Prezes UODO dokonał analizy następujących kwestii (zob. pkt 24 Wytycznych 04/2022):
- a)
-
czy okoliczności wskazują na jedno zachowanie, czy też na wiele zachowań podlegających karze,
- b)
-
w przypadku jednego zachowania, czy zachowanie to stanowi jedno naruszenie czy większą liczbę naruszeń,
- c)
-
w przypadku jednego zachowania, które stanowi wiele naruszeń, czy przypisanie jednego naruszenia wyklucza przypisanie innego naruszenia, czy też należy je przypisać równolegle.
- 133.
-
Wykładnia pojęcia „jednego zachowania”, w nawiązaniu do art. 83 ust. 3 rozporządzenia 2016/679, w którym mowa jest o „tych samych lub powiązanych operacjach przetwarzania”, została przedstawiona w punkcie 28 Wytycznych 04/2022, gdzie wskazano „[t]ermin «powiązane» odnosi się do zasady, zgodnie z którą jedno zachowanie może składać się z kilku części, które są realizowane na skutek jednego aktu woli i są kontekstowo (w szczególności jeśli chodzi o tożsamość osoby, której dane dotyczą, cel i charakter przetwarzania), przestrzennie i czasowo tak blisko powiązane, że z obiektywnego punktu widzenia można uznać je za jedno spójne zachowanie”.
- 134.
-
Wskazany w art. 83 ust. 3 rozporządzenia 2016/679 termin „operacje przetwarzania” został wyjaśniony w art. 4 pkt 2 rozporządzenia, w którym „przetwarzanie” zdefiniowano jako „operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie”. Wobec powyższego operację przetwarzania stanowić będzie każde działanie, któremu poddawane są dane aż do momentu ich usunięcia, utraty lub zniszczenia.
- 135.
-
Stosując się do Wytycznych 04/2022, organ nadzorczy dokonał analizy okoliczności faktycznych niniejszej sprawy, co pozwoliło na zidentyfikowanie po stronie Ośrodka trzech odrębnych i niezależnych od siebie zachowań, prowadzących do naruszeń różnych przepisów rozporządzenia 2016/679.
- 136.
-
Pierwszym zachowaniem Ośrodka zidentyfikowanym w niniejszej sprawie było niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych, prowadzące do materializacji przypisanych mu naruszeń art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2, a w konsekwencji także art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679. Na zachowanie to składało się co prawda kilka części (zob. pkt 28 Wytycznych 04/2022), bowiem jak wskazano w pkt 74–85 uzasadnienia, administrator w pierwszej kolejności w sposób nieprawidłowy sporządził analizę ryzyka, następnie zaś zaniechał regularnego testowania, mierzenia i oceniania skuteczności stosowanych środków technicznych i organizacyjnych, jednak wszystkie te elementy składają się na „jedno spójne zachowanie” w rozumieniu przedstawionym przez EROD w Wytycznych 04/2022. O tożsamości zachowania prowadzącego do naruszeń świadczy fakt, że „wielość naruszeń powstała w wyniku «tych samych lub powiązanych operacji przetwarzania»” (zob. pkt 39 Wytycznych 04/2022). Ścisły związek operacji przetwarzania, w ramach których doszło do naruszenia art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2, a w konsekwencji także art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679, potwierdza tożsamość:
- –
-
podmiotów danych – rozpatrywane naruszenia zmaterializowały się w ramach procesu przetwarzania danych osobowych mieszkańców D. poddanych izolacji lub kwarantannie;
- –
-
zakresu danych – czynności przetwarzania były dokonywane na danych przekazanych przez Powiatową Stację;
- –
-
oraz celu przetwarzania – dokonywano go w celu udzielenia podmiotom danych wsparcia w związku z ograniczeniami wynikającymi z poddania izolacji lub kwarantannie.
- 137.
-
W tym miejscu wskazać należy, że o odrębności zidentyfikowanego powyżej zachowania od dwóch kolejnych, polegających na zaniechaniu zgłoszenia naruszenia ochrony danych organowi nadzorczemu (co stanowiło naruszenie art. 33 ust. 1 rozporządzenia 2016/679), a także zaniechaniu zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych (stanowiącym naruszenie art. 34 ust. 1 rozporządzenia 2016/679), świadczy przede wszystkim odmienność celów, jakimi kierował się prawodawca nakładając na administratorów każdy z tych obowiązków. W przypadku ciążącego na administratorze obowiązku wdrożenia odpowiednich środków technicznych i organizacyjnych celem tym było zapewnienie bezpieczeństwa przetwarzania danych, a także zminimalizowanie ryzyka wystąpienia naruszenia ochrony danych osobowych. W przypadku obowiązku w postaci zgłoszenia naruszenia ochrony danych organowi nadzorczemu, prawodawca miał na celu zapewnienie realizacji kompetencji i uprawnień kontrolnych organu nadzorczego. Wprowadzając natomiast obowiązek zawiadomienia o naruszeniu podmiotów danych, prawodawca kierował się koniecznością dostarczenia podmiotom danych istotnych informacji o zdarzeniu oraz o rekomendowanych środkach ostrożności. Odrębność pierwszego zachowania administratora, opisanego w pkt 136 uzasadnienia, od dwóch kolejnych zachowań skutkujących naruszeniem art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679 potwierdza również czasowy kontekst wystąpienia naruszeń. Naruszenie w postaci braku wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych ma charakter uprzedni wobec incydentu ochrony danych, który może być skutkiem zaniechań po stronie administratora. Naruszenia polegające na zaniechaniu zgłoszenia naruszenia ochrony danych organowi nadzorczemu oraz braku zawiadomienia o tym naruszeniu osób, których dane dotyczą, mają natomiast charakter następczy wobec incydentu ochrony danych – obowiązki te aktualizują się dopiero po stwierdzeniu, że incydent może pociągać za sobą odpowiedni poziom ryzyka naruszenia praw lub wolności osób fizycznych. Znaczącą różnicą między zachowaniem opisanym w pkt 136 uzasadnienia a dwoma kolejnymi zachowaniami administratora (skutkującymi naruszeniem art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679) jest również fakt, że doszło do niego w ramach dokonywanych przez Ośrodek operacji przetwarzania, podczas gdy dwa pozostałe naruszenia są „oderwane” od operacji, w związku z którymi stwierdzone zostało naruszenie ochrony danych osobowych (zob. pkt 142 uzasadnienia).
- 138.
-
Mając na uwadze przedstawioną powyżej argumentację, należy przyjąć, że do naruszenia przez Ośrodek przepisów art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2, a w konsekwencji także art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679 doprowadziło „jedno spójne zachowanie” w rozumieniu przedstawionym przez EROD w Wytycznych 04/2022. Jednoczesnego podkreślenia wymaga, że żadne z tych naruszeń nie wyklucza możliwości przypisania Ośrodkowi innego z nich. W szczególności stwierdzenie naruszenia przepisów określających podstawowe, ogólne zasady przetwarzania, o których mowa w art. 5 rozporządzenia 2016/679, nie wyklucza możliwości przypisania administratorowi (i nałożenia za to sankcji finansowej) naruszenia przepisów szczegółowych stanowiących konkretyzację tych zasad, tj. art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679. Administracyjna kara pieniężna nie jest jednak nakładana za naruszenie obowiązku określonego w art. 24 ust. 1, w związku z tym, że nie został on wymieniony w art. 83 ust. 4–6 rozporządzenia 2016/679. Prezes UODO ustalił zatem, że w przypadku pierwszego zidentyfikowanego zachowania odpowiedzialność Ośrodka powinna się kształtować łącznie w stosunku do wszystkich popełnionych naruszeń wskazanych wyżej przepisów rozporządzenia 2016/679, tj. z zastosowaniem przepisu art. 83 ust. 3 tego aktu prawnego.
- 139.
-
Konsekwencją powyższego jest konieczność rozstrzygnięcia które z naruszeń jest „najpoważniejszym” w myśl art. 83 ust. 3 rozporządzenia 2016/679. Wskazówki dotyczące identyfikacji „najpoważniejszego naruszenia” zostały zawarte w Wytycznych 04/2022. Zgodnie ze stanowiskiem tam wyrażonym „sformułowanie «wysokość kary za najpoważniejsze naruszenie» odnosi się do ustawowych maksymalnych kwot kar pieniężnych” określonych w art. 83 ust. 4–6 rozporządzenia 2016/679 (zob. pkt 43 Wytycznych 04/2022). Tym samym najpoważniejszym naruszeniem w indywidualnej sprawie będzie to, dla którego prawodawca unijny przewidział wyższy próg maksymalnego zagrożenia administracyjną karą pieniężną.
- 140.
-
Zarzucane Ośrodkowi naruszenia art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 stypizowane zostały w art. 83 ust. 4 lit. a) rozporządzenia 2016/679, zaś naruszenia art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679 stypizowane są w art. 83 ust. 5 lit a) tego rozporządzenia. Administracyjna kara pieniężna wymierzona łącznie za naruszenie wszystkich powyższych przepisów – stosownie do brzmienia art. 83 ust. 3 rozporządzenia 2016/679 – nie może przekraczać wysokości kary za najpoważniejsze z nich. Mając jednak na uwadze limit kar określony w art. 102 ust. 1 pkt 1 u.o.d.o., wskazać należy, że nałożona na Ośrodek administracyjna kara pieniężna nie może wykroczyć poza kwotę 100 000 zł.
- 141.
-
Jak wskazano w pkt 137 uzasadnienia, dwoma kolejnymi zachowaniami Ośrodka, możliwymi do zidentyfikowania w okolicznościach przedmiotowej sprawy, były:
- –
-
zaniechanie zgłoszenia naruszenia ochrony danych organowi nadzorczemu (co stanowiło naruszenie art. 33 ust. 1 rozporządzenia 2016/679);
- –
-
zaniechanie zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony danych osobowych (stanowiące naruszenie art. 34 ust. 1 rozporządzenia 2016/679).
- 142.
-
W świetle wykładni pojęcia jednego zachowania przywołanej w pkt 133 uzasadnienia stwierdzić należy, iż nie sposób przyjąć, że naruszenia art. 33 ust. 1 oraz art. 34 ust. 1 rozporządzenia 2016/679 były skutkiem jednego zachowania Ośrodka. Przede wszystkim należy zwrócić uwagę na fakt, że zachowania te nie stanowią „tych samych lub powiązanych operacji przetwarzania”, o których mowa w art. 83 ust. 3 rozporządzenia 2016/679. Omawiane zachowania stanowią zaniechania realizacji obowiązków administratora nałożonych na niego rozporządzeniem 2016/679, które to obowiązki nie mają już związku z żadnymi konkretnymi operacjami przetwarzania – są „oderwane” od operacji, w związku z którymi stwierdzone zostało naruszenie ochrony danych osobowych. Oznacza to, że w swojej istocie zachowania te (i obowiązki, których niewykonanie prowadzi do naruszenia obu omawianych przepisów) nie dotyczą żadnych (ani tych samych, ani powiązanych, ani też niezależnych od siebie) operacji przetwarzania. Stosując terminologię z art. 83 ust. 3 rozporządzenia 2016/679, stwierdzić należy, że zachowania te nie mają miejsca (co wynika z istoty naruszeń przepisów art. 33 i 34 rozporządzenia 2016/679) „w ramach tych samych lub powiązanych operacji przetwarzania”.
- 143.
-
W ocenie Prezesa UODO o braku możliwości przyjęcia, że naruszenie art. 33 ust. 1 oraz naruszenie art. 34 ust. 1 rozporządzenia 2016/679 stanowią „jedno zachowanie” wyraźnie świadczy fakt realizacji przez te przepisy zupełnie odmiennych celów. Jak wskazano w Wytycznych 04/2022 (zob. pkt 34 Wytycznych 04/2022), „w przypadku gdy dwa przepisy realizują autonomiczne cele, stanowi to czynnik różnicujący, który uzasadnia nałożenie odrębnych kar pieniężnych”. Przenosząc powyższe na grunt niniejszej sprawy, podkreślić należy, że zgłoszenie naruszenia ochrony danych osobowych ma zapewnić organowi nadzorczemu niezbędne informacje na temat zaistniałego incydentu, dzięki czemu organ może w odpowiedni sposób zareagować na przedmiotowe naruszenie, np. ocenić, czy administrator podjął właściwe działania, dzięki czemu administrator może we współpracy z organem nadzorczym zminimalizować konsekwencje tego naruszenia[71]. Oznacza to, że za pomocą mechanizmu określonego w art. 33 ust. 1 rozporządzenia 2016/679 administrator może ograniczyć potencjalne szkody po stronie osób objętych danym naruszeniem, a organ nadzorczy ma możliwość monitorowania, czy administrator w sposób właściwy realizuje swoje obowiązki. Celem zawiadomienia osób, których dane dotyczą, o zaistniałym naruszeniu jest natomiast dostarczenie im istotnych informacji o zdarzeniu oraz o rekomendowanych środkach ostrożności, co może ograniczyć powstanie potencjalnych szkód wywołanych danym naruszeniem[72]. Realizacja tego obowiązku ma na celu doprowadzenie do stanu, w którym osoby objęte naruszeniem są świadome jego skutków oraz mają możliwość podjęcia stosownych działań mogących zapobiec materializacji bądź dalszemu rozwojowi konsekwencji naruszenia. Konkludując, art. 34 ust. 1 rozporządzenia 2016/679 chroni bezpośrednio prawa i interesy faktyczne podmiotów danych, pozwalając zapobiec negatywnym skutkom naruszenia ochrony ich danych osobowych, natomiast art. 33 ust. 1 rozporządzenia 2016/679 zapewnia lub ułatwia realizację kompetencji i uprawnień kontrolnych organu nadzorczego w postaci monitorowania, czy administrator w sposób właściwy realizuje swoje obowiązki z zakresu ochrony danych osobowych.
- 144.
-
O odrębności zachowań skutkujących naruszeniami art. 33 ust. 1 oraz art. 34 ust. 1 rozporządzenia 2016/679 świadczy również fakt odmienności kategorii podmiotów, wobec których skierowane powinny być działania administratora – w przypadku obowiązku, o którym mowa w art. 33 ust. 1 rozporządzenia 2016/679, jest nim organ nadzorczy, a w przypadku obowiązku z art. 34 ust. 1 ww. aktu prawnego są nim osoby, których dane dotyczą. Co więcej, na administratorze spoczywa ciężar podjęcia dwóch odrębnych decyzji co do realizacji każdego z tych obowiązków – możliwa jest sytuacja, w której w przypadku incydentu mogącego powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych administrator nie dopełni obydwu ciążących na nim obowiązków i tym samym naruszy art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679 (jak ma to miejsce w przedmiotowej sprawie), jak też np. sytuacja, w której administrator podejmie decyzję o zgłoszeniu naruszenia organowi nadzorczemu oraz decyzję o zaniechaniu zawiadomienia osób, których dane dotyczą o tym naruszeniu i wówczas dopuści się wyłącznie naruszenia art. 34 ust. 1 rozporządzenia 2016/679. Realizacja jednego z powyższych obowiązków nie stanowi zatem spełnienia drugiego z nich, ponieważ są to dwie odrębne decyzje (akty woli) administratora.
- 145.
-
Wykładnia pojęcia „jednego zachowania” przedstawiona w punkcie 28 Wytycznych 04/2022 kładzie również nacisk na ocenę przestrzennego i czasowego kontekstu zachowań. Realizacja obowiązku określonego w art. 33 ust. 1 rozporządzenia 2016/679 powinna nastąpić w miarę możliwości bez zbędnej zwłoki, ale nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. W przypadku art. 34 ust. 1 termin ten również określono jako „bez zbędnej zwłoki”, lecz nie został on ograniczony limitem 72 godzin od momentu stwierdzenia naruszenia. W Wytycznych 9/2022 termin „bez zbędnej zwłoki” został zdefiniowany jako „(…) [n]ajszybciej jak to możliwe” (zob. pkt 83 Wytycznych 9/2022). Nie oznacza on natomiast terminu natychmiastowego[73]. Zgodnie z motywem 87 rozporządzenia 2016/679, w przypadku art. 34 ust. 1 rozporządzenia 2016/679 termin ten ustala się z uwzględnieniem, w szczególności charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutków dla osób, których dane dotyczą. Oznacza to, że administrator powinien wykonać obowiązek przewidziany w art. 34 ust. 1 rozporządzenia 2016/679 najszybciej jak to możliwe, lecz przy uwzględnieniu indywidualnych znamion konkretnego naruszenia ochrony danych osobowych. Wobec tego termin realizacji omawianych obowiązków może być tożsamy, ale nie musi, ponieważ zależny jest od indywidualnych cech konkretnej sprawy oraz tego, czy wystąpiło naruszenie, które może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
- 146.
-
Mając zatem na uwadze argumentację przedstawioną w pkt 142–145 uzasadnienia, należy dojść do wniosku, że do naruszenia art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679 doprowadziły dwa różne zachowania Ośrodka. W związku z tym, że są to odrębne od siebie zachowania administratora, które nie dotyczą „tych samych lub powiązanych operacji przetwarzania”, przepis art. 83 ust. 3 rozporządzenia 2016/679 nie będzie miał zastosowania do ich zbiegu w jednej decyzji administracyjnej.
- 147.
-
Podsumowując, analiza materiału dowodowego zgromadzonego w sprawie doprowadziła do ustalenia, iż naruszenia przypisane Ośrodkowi są konsekwencją trzech odrębnych zachowań. Zachodzi tu sytuacja, do której ma zastosowanie tzw. „zasada wielości działań” (zob. pkt 44 i 45 Wytycznych 04/2022): „(…) powodem, dla którego naruszenia te mogą być rozpatrywane w ramach jednej decyzji, jest to, że przypadkowo zwróciły one uwagę organu nadzorczego w tym samym czasie, przy czym nie stanowiły one tych samych ani powiązanych operacji przetwarzania w rozumieniu art. 83 ust. 3 [rozporządzenia 2016/679]”. Konsekwencją tego jest zaś to, że „[w] decyzji nakładającej karę organ nałoży indywidualne kary pieniężne za każde z nich, przy czym do ich sumy nie będzie miała zastosowania jedna prawnie określona maksymalna wysokość kary” (zob. Przykład 3 do pkt 45 Wytycznych 04/2022). Skutkiem powyższego jest nałożenie przez organ nadzorczy na administratora trzech odrębnych kar pieniężnych za stwierdzone naruszenia, przy czym z uwagi na przewidziany w art. 102 ust. 1 pkt 1 u.o.d.o. limit wysokości kar pieniężnych nakładanych na jednostki budżetowe (którą jest Ośrodek), określony na 100 000 zł, żadna z kar nakładanych na administratora w niniejszym postępowaniu nie może przekroczyć tego ustawowo określonego limitu.
-
4.3. Uzasadnienie nałożenia i ustalenie wysokości administracyjnej kary pieniężnej za naruszenie art. 5 ust. 1 lit. f) i ust. 2, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679
-
4.3.1. Przesłanki wymiaru administracyjnej kary pieniężnej
- 148.
-
Decydując o nałożeniu na Ośrodek administracyjnej kary pieniężnej za naruszenie art. 5 ust. 1 lit. f) i ust. 2, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a)–k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.
-
Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a) rozporządzenia 2016/679)
- 149.
-
Dokonując analizy przesłanki z art. 83 ust. 2 lit. a) rozporządzenia 2016/679, należy uwzględnić, że zaniechania po stronie Ośrodka doprowadziły do naruszenia podstawowych zasad przetwarzania danych osobowych, które w ramach całego systemu ochrony danych mają charakter fundamentalny, wyznaczający jego ramy. W doktrynie wskazuje się, iż „[z]asady ogólne przetwarzania danych odgrywają szczególną rolę wśród norm prawnych dotyczących ochrony danych. Zasady te nie są jedynie ideami, wartościami czy postulatami odczytywanymi z całokształtu przepisów o ochronie danych osobowych, a mają charakter normatywny – są wiążącymi normami prawa, wyznaczającymi określony sposób postępowania. (…) Mają one szczególne znaczenie dla stosowania i interpretacji przepisów o ochronie danych osobowych. Z faktu uznania w akcie normatywnym określonych norm prawnych za zasady wywieść można wniosek, że prawodawca pragnął w ten sposób podkreślić ich znaczenie i uczynić z nich swoiste normy nadrzędne nad pozostałymi normami określonymi w tych przepisach”[74].
- 150.
-
Doniosłość zasad dotyczących przetwarzania danych osobowych, w tym zasad poufności oraz rozliczalności, potwierdza fakt przewidzenia przez prawodawcę za ich naruszenie wyższego maksymalnego progu administracyjnej kary pieniężnej, tj. kary w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Wskazany maksymalny próg wysokości administracyjnej kary pieniężnej nie będzie miał co prawda zastosowania w przedmiotowej sprawie z uwagi na ograniczenie przewidziane w art. 102 ust. 1 pkt 1 u.o.d.o., jednak oceniając charakter oraz wagę przypisanego Ośrodkowi naruszenia nie sposób pominąć faktu, iż w przypadku naruszenia zasad przetwarzania danych prawodawca unijny in abstracto przewidział wyższy próg możliwej do nałożenia kary pieniężnej. Tym samym, należało wziąć pod uwagę, iż „[p]oprzez ustanowienie dwóch różnych maksymalnych wysokości administracyjnej kary pieniężnej (10/20 mln EUR) w rozporządzeniu wskazuje się, że naruszenie niektórych przepisów rozporządzenia może być poważniejsze niż naruszenie innych przepisów”[75].
- 151.
-
Analizując przesłankę z art. 83 ust. 2 lit. a) rozporządzenia 2016/679, Prezes UODO wziął pod uwagę, że operacje przetwarzania, w ramach których doszło do naruszenia przepisów rozporządzenia 2016/679, dokonywane były m.in. na danych dotyczących zdrowia, które stanowią jedną z tzw. szczególnych kategorii danych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679. W opinii organu nadzorczego ocena stopnia wrażliwości danych powinna jednak w realiach tej konkretnej sprawy uwzględniać dodatkowo okoliczność, iż w okresie pandemii COVID-19 przepływ informacji o stanie zdrowia w zakresie zachorowania na tę chorobę miał charakter powszechny i masowy. Fakt ten wpływał zatem na postrzeganie tego rodzaju danych oraz faktyczny poziom ingerencji w prywatność osób, których dotyczyły. W konsekwencji, choć dane te posiadały oczywiście status danych szczególnej kategorii, to stopień ich wrażliwości – oceniany przez pryzmat realnego ryzyka naruszenia praw lub wolności osób fizycznych – był relatywnie niższy niż w przypadku informacji o stanie zdrowia o bardziej indywidualnym, intymnym czy stygmatyzującym charakterze, co zostało uwzględnione przez organ nadzorczy przy wymiarze kary nakładanej na administratora.
- 152.
-
W ocenie Prezesa UODO w niniejszej sprawie istotne znaczenie ma także cel, w jakim przetwarzane były dane osobowe – było nim zapewnienie wsparcia osobom poddanym obowiązkowej kwarantannie lub izolacji w warunkach domowych w związku z zapobieganiem oraz zwalczaniem zakażenia wirusem SARS-CoV-2. Przetwarzanie nie było zatem dokonywane w celach komercyjnych, z nastawieniem na osiągnięcie korzyści majątkowych lub na realizację interesu gospodarczego administratora. Nie służyło ono także realizacji władczych działań administratora skierowanych do podmiotów danych osobowych, to jest działań mających na celu egzekwowanie prawa – przy pomocy przymusu administracyjnego – w stosunku do tych osób. Przetwarzanie to służyło realizacji zadań pomocowych w celu ochrony zdrowia publicznego i dokonywane było w interesie osób, których dane podlegały temu przetwarzaniu. Taki cel przetwarzania, mający charakter społecznie i indywidualnie doniosły, został uwzględniony przez organ nadzorczy przy wymiarze kary nakładanej na Ośrodek jako okoliczność łagodząca.
- 153.
-
Oceniając analizowaną przesłankę, organ nadzorczy wziął również pod uwagę szczególny kontekst czasowy, w jakim doszło do rozpatrywanego naruszenia. Naruszenie miało bowiem miejsce w okresie pandemii COVID-19, charakteryzującym się nadzwyczajną dynamiką zmian legislacyjnych oraz wysokim poziomem niepewności regulacyjnej. W tym czasie, z uwagi na intensyfikację zmian normatywnych, na administratorów nakładano liczne, często wprowadzane w trybie pilnym, obowiązki związane z przeciwdziałaniem rozprzestrzenianiu się wirusa, co wiązało się z koniecznością niezwłocznego wdrożenia nowych lub modyfikowania dotychczasowych procesów przetwarzania. Ustalając wymiar kary, organ nadzorczy miał zatem na względzie, iż z uwagi na presję czasu i konieczność zapewnienia ciągłości realizacji zleconych zadań, Ośrodek posiadał znacznie ograniczoną możliwość uprzedniego kompleksowego przeanalizowania wszystkich aspektów zgodności procesu przetwarzania z wymogami prawa. Okoliczności te przemawiają za uznaniem, iż stwierdzone naruszenie nie wynikało z lekceważącej postawy administratora wobec nałożonych na niego obowiązków w zakresie zgodności przetwarzania danych z prawem, ale było efektem działania w warunkach presji i nadzwyczajnej zmienności otoczenia prawnego.
- 154.
-
Prezes UODO uwzględnił również fakt, że stwierdzone naruszenie dotyczyło jedynie konkretnego procesu przetwarzania danych realizowanego przez Ośrodek, tj. przetwarzania danych osób poddanych obowiązkowej kwarantannie lub izolacji w celu udzielenia im doraźnej pomocy. Naruszenie nie miało zatem „systemowego” charakteru w skali całej działalności Ośrodka i nie oddziaływało na pozostałe procesy przetwarzania danych realizowane przez Ośrodek. Ograniczony i incydentalny charakter naruszenia wpłynął w istotnym stopniu na wymiar nałożonej za nie kary.
- 155.
-
Za okoliczność obciążającą Prezes UODO uznał natomiast fakt, że incydent, który stanowił skutek zaniedbań po stronie administratora, doprowadził do naruszenia poufności szerokiego zakresu danych (w tym, jak wskazano już powyżej danych dotyczących zdrowia) co najmniej (…) mieszkańców D. Prezes UODO wziął również pod uwagę to, że w wyniku umieszczenia pliku zawierającego dane osobowe na prywatnym serwerze pracownika administratora, a następnie – na skutek mechanizmu indeksowania dokonywanego przez firmę C. – umieszczenia go w wynikach wyszukiwarki internetowej, dane te stały się potencjalnie dostępne dla nieograniczonej liczby nieuprawnionych odbiorców. Z plikiem tym potencjalnie mogli się bowiem zapoznać wszyscy użytkownicy sieci Internet, co dodatkowo zwiększa wagę rozpatrywanego naruszenia.
- 156.
-
W toku postępowania nie ujawniły się co prawda żadne dowody wskazujące na to, że podmioty, do których danych dostęp mogły uzyskać osoby trzecie, doznały szkody majątkowej, jednak sama już potencjalna możliwość naruszenia poufności ich danych osobowych stanowi dla nich szkodę niemajątkową (krzywdę), np. poprzez naruszenie ich dóbr osobistych, takich jak dobrostan psychiczny czy prawo do prywatności. Osoby fizyczne, których dane potencjalnie pozyskano w sposób nieuprawniony w wyniku naruszenia ochrony danych osobowych, mogą bowiem odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi czy kradzieżą tożsamości i związanymi z tym oszustwami na ich szkodę. Tymczasem, jak wskazał TSUE, „obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić «szkodę niemajątkową»”[76] w rozumieniu art. 82 ust. 1 rozporządzenia 2016/679. Szczególnego podkreślenia wymaga, że w przedmiotowej sprawie ryzyko związane np. z ograniczeniem autonomii osób fizycznych w zakresie kontroli nad własnymi danymi osobowymi rzeczywiście się zmaterializowało, czego dowodem jest pozyskanie ich przez osobę trzecią (zob. pkt 17 uzasadnienia).
- 157.
-
Na niekorzyść Ośrodka należy także zaliczyć długi czas trwania naruszenia. Ośrodek pełnił funkcję administratora w odniesieniu do danych osobowych, o których mowa w pkt 12 uzasadnienia (w tym danych osobowych objętych incydentem) przynajmniej od ich pozyskania od Powiatowej Stacji lub z innych źródeł i co najmniej do 28 marca 2022 r., tj. dnia zniesienia powszechnego obowiązku kwarantanny i izolacji domowej na mocy rozporządzenia Rady Ministrów z dnia 25 marca 2022 r. Do tego dnia istniała bowiem podstawa prawna do realizacji przez ośrodki pomocy społecznej zadań związanych z udzielaniem pomocy osobom objętym kwarantanną lub izolacją, co w sposób obiektywny i systemowy wiązało się z przetwarzaniem danych dotyczących tych osób (zob. pkt 49 uzasadnienia). Na potrzeby przedmiotowego postępowania Prezes UODO przyjął więc, że okres ten rozpoczął się najpóźniej 19 października 2020 r. (tj. z dniem upoważnienia koordynatora, jako swojego pracownika, do realizacji zadań w ramach przedmiotowego procesu przetwarzania) i zakończył najwcześniej 28 marca 2022 r. Stan naruszenia utrzymywał się zatem przez ponad 17 miesięcy, co należy poczytywać jako kryterium obciążające, wpływające w znacznym stopniu zarówno na decyzję organu o nałożeniu administracyjnej kary pieniężnej, jak i jej wysokość.
-
Nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679)
- 158.
-
Analizując przesłankę z art 83 ust. 2 lit. b) rozporządzenia 2016/679, Prezes UODO uwzględnił stanowisko wyrażone przez EROD, zgodnie z którym umyślność „obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego” (zob. pkt 55 Wytycznych 04/2022).
- 159.
-
Przenosząc powyższe na grunt niniejszej sprawy wskazać należy, że Ośrodek, przetwarzając m.in. dane osobowe, którym przepisy rozporządzenia 2016/679 przyznają szczególny poziom ochrony, świadomy był tego, że powinien zagwarantować odpowiedni stopień bezpieczeństwa przetwarzania, tj. m.in. zapewniający przestrzeganie zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679. Dokumenty przedstawione przez Ośrodek w niniejszym postępowaniu, w szczególności dokument zatytułowany jako „Ocena (…)” (zob. pkt 21 uzasadnienia), choć w sposób oczywisty nie czyniły zadość wymogom stawianym przez przepisy rozporządzenia 2016/679, bezsprzecznie wskazują na to, że administrator zdawał sobie sprawę z powinności podjęcia działań mających na celu zapewnienie bezpieczeństwa przetwarzanych danych. Tym samym należy przyjąć, iż po stronie administratora zmaterializował się element „wiedzy”, niezbędny do przypisania mu winy z tytułu popełnionych naruszeń.
- 160.
-
Jednocześnie jednak w ocenie Prezesa UODO brak jest podstaw do przypisania Ośrodkowi woli (zamiaru) naruszenia przepisów rozporządzenia 2016/679. W ocenie organu nadzorczego Ośrodek nie działał umyślnie, niemniej dopuścił się zaniechań skutkujących znaczącym zwiększeniem ryzyka naruszenia poufności przetwarzanych danych, co świadczy o rażącym jego niedbalstwie i stanowi istotną okoliczność wpływającą obciążająco na wysokość administracyjnej kary pieniężnej. Administrator nie przeprowadził poprawnej analizy ryzyka (zob. pkt 74–85 uzasadnienia), która zezwoliłaby na zidentyfikowanie potencjalnych zagrożeń i podatności oraz na dobór na jej podstawie odpowiednich środków technicznych i organizacyjnych, mających na celu zapewnienie zgodności przetwarzania z prawem. W omawianym przypadku administrator mógł jednak i powinien był przewidzieć, że przyjęte przez niego rozwiązania nie zapewniają odpowiedniego stopnia bezpieczeństwa danych osobowych. Prawidłowe przeprowadzenie analizy ryzyka umożliwiłoby zidentyfikowanie potencjalnych zagrożeń oraz podatności, których eliminacja w znacznym stopniu zwiększyłaby bezpieczeństwo przetwarzanych danych.
- 161.
-
W ocenie Prezesa UODO Ośrodek nie działał zatem umyślnie i nie miał na celu naruszenia rozporządzenia 2016/679, niemniej dopuścił się zaniechań skutkujących znacznym zwiększeniem ryzyka dla bezpieczeństwa przetwarzania danych osobowych, co świadczy o rażącym niedbalstwie i stanowi istotną okoliczność wpływającą obciążająco na wysokość administracyjnej kary pieniężnej.
-
Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679)
- 162.
-
Zaniechania po stronie Ośrodka skutkowały naruszeniem szerokiego zakresu danych. W pliku zamieszczonym na prywatnym serwerze koordynatora, który na skutek jego zindeksowania stał się publicznie dostępny w wynikach wyszukiwarki internetowej, znajdowały się dane w postaci imion, nazwisk, numerów telefonów, adresów pobytu oraz informacje o sytuacji sanitarnej, tj. o poddaniu obowiązkowej kwarantannie lub izolacji w warunkach domowych w związku z zapobieganiem oraz zwalczaniem zakażenia wirusem SARS-CoV-2 i rozprzestrzeniania się wywołanej nim choroby COVID-19.
- 163.
-
Informacje o sytuacji sanitarnej stanowią dane dotyczące zdrowia, które w myśl art. 9 ust 1 rozporządzenia 2016/679 zostały uznane za dane o wysokim stopniu wrażliwości. Poza danymi na temat zdrowia incydent obejmował również m.in. imiona i nazwiska oraz miejsce pobytu podmiotów danych, co pozwalało nie tylko na jednoznaczne zidentyfikowanie osób, ale też ich zlokalizowanie. Objęcie kwarantanną lub izolacją powodowało bowiem konieczność pozostawania przez podmioty danych w miejscu wskazanym w pliku zamieszczonym na prywatnym serwerze pracownika administratora, który to plik na skutek jego zindeksowania stał się publicznie dostępny w wynikach wyszukiwarki internetowej. W przedmiotowej sprawie zakres ujawnionych danych należy zatem uznać za szeroki.
- 164.
-
Decydując o nałożeniu administracyjnej kary pieniężnej oraz ustalając jej wysokość, Prezes UODO nie znalazł podstaw do uwzględnienia okoliczności łagodzących, mających wpływ na obniżenie ostatecznego wymiaru kary orzeczonej wobec Ośrodka.
- 165.
-
Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenia, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy niemające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
-
Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c) rozporządzenia 2016/679)
- 166.
-
W kontekście tej przesłanki istotny jest cel, jakiemu ma służyć działanie administratora, czyli zminimalizowanie szkody poniesionej przez osoby, których dane dotyczą. Prezes UODO nie odnotował w niniejszym przypadku tego typu działań. Oceny tej nie zmienia fakt usunięcia przez pracownika pliku z danymi z prywatnego serwera oraz zawiadomienia o incydencie właściwej jednostki Policji (zob. pkt 18 uzasadnienia). Podkreślić bowiem należy, że do działań tych doszło niezależnie od jakichkolwiek poleceń ze strony np. kadry kierowniczej Ośrodka. Po przekazaniu przez koordynatora informacji o zaistniałym naruszeniu kierownictwo Ośrodka przeprowadziło analizę zdarzenia, w konsekwencji uznając, że nie pełni on roli administratora w kontekście operacji przetwarzania, w ramach których doszło do incydentu (zob. pkt 19 uzasadnienia). Stanowisko to było konsekwentnie podtrzymywane w całym toku postępowania prowadzącego do wydania niniejszej decyzji. Nie sposób zatem przypisać Ośrodkowi zamiaru podjęcia jakichkolwiek działań zmierzających do zminimalizowania szkody poniesionej przez osoby, których dane dotyczą, bowiem w jego ocenie nie ponosił on odpowiedzialności za zaistniałe zdarzenie i nie był zobowiązany do podejmowania jakichkolwiek aktywności w tym zakresie. Fakt usunięcia przez pracownika pliku z danymi z prywatnego serwera oraz zawiadomienia o incydencie właściwej jednostki Policji należy zatem uznać za okoliczność, która pozostaje bez wpływu na wymiar kary. Czynności te podjęte zostały przez koordynatora z własnej inicjatywy, jeszcze przed przekazaniem administratorowi informacji o naruszeniu. Administrator natomiast po powzięciu wiedzy o incydencie uznał, że nie jest zobowiązany do jakichkolwiek działań.
-
Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 rozporządzenia 2016/679 (art. 83 ust. 2 lit. d) rozporządzenia 2016/679)
- 167.
-
Oceniając przesłankę z art. 83 ust. 2 lit. d) rozporządzenia 2016/679, wskazać należy, iż Ośrodek niewątpliwie ponosi odpowiedzialność za brak wdrożenia odpowiednich środków technicznych i organizacyjnych, które zapobiegłyby naruszeniu ochrony danych osobowych, do którego doszło 23 listopada 2020 r. Prawodawca przewidział bowiem w motywie 74 rozporządzenia 2016/679, iż „[n]ależy nałożyć na administratora obowiązki i ustanowić odpowiedzialność prawną administratora za przetwarzanie danych osobowych przez niego samego lub w jego imieniu. W szczególności administrator powinien mieć obowiązek wdrożenia odpowiednich i skutecznych środków oraz powinien być w stanie wykazać, że czynności przetwarzania są zgodne z niniejszym rozporządzeniem oraz, że są skuteczne”. W przedmiotowej sprawie Ośrodek nie zrobił wszystkiego, czego można by było od niego oczekiwać (zob. rozdział III lit. d) Wytycznych WP 253), co świadczy o braku wywiązania się z obowiązków przewidzianych w art. 25 oraz art. 32 rozporządzenia 2016/679. W analizowanym stanie faktycznym okoliczność ta stanowi jednak o samej istocie naruszenia przepisów rozporządzenia 2016/679, co skutkuje uznaniem, iż nie jest ona wyłącznie czynnikiem wpływającym łagodząco lub obciążająco na jego ocenę. Z tego też względu brak odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 25 i art. 32 rozporządzenia 2016/679, nie może zostać uznany w niniejszej sprawie za okoliczność mogącą dodatkowo wpłynąć na surowszą ocenę naruszenia i wymiar administracyjnej kary pieniężnej.
-
Wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e) rozporządzenia 2016/679)
- 168.
-
Prezes UODO nie stwierdził po stronie Ośrodka jakichkolwiek wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. Jednocześnie jednak obowiązkiem każdego administratora jest przestrzeganie przepisów prawa, z uwagi na co brak wcześniejszych naruszeń nie może być traktowany jako okoliczność łagodząca przy wymierzaniu sankcji. Taka ocena zgodna jest ze stanowiskiem wyrażonym przez EROD w Wytycznych 04/2022, zgodnie z którym „[b]rak wcześniejszych naruszeń nie może (…) zostać uznany za okoliczność łagodzącą, ponieważ przestrzeganie przepisów [rozporządzenia 2016/679] stanowi normę. Brak wcześniejszych naruszeń można uznać za okoliczność o charakterze neutralnym” (zob. pkt 94 Wytycznych 04/2022).
-
Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679)
- 169.
-
Dokonując analizy tej przesłanki, szczególną uwagę należy zwrócić na stanowisko wyrażone przez EROD w Wytycznych 04/2022, gdzie wskazano, że „ogólny obowiązek współpracy spoczywa na administratorze i podmiocie przetwarzającym zgodnie z art. 31 [rozporządzenia 2016/679], a jej brak może prowadzić do nałożenia kary pieniężnej przewidzianej w art. 83 ust. 4 lit. a) [rozporządzenia 2016/679]. Należy zatem uznać, że zwykły obowiązek współpracy ma charakter obligatoryjny i w związku z tym powinien być uznawany za okoliczność neutralną (a nie łagodzącą)” (zob. pkt 96 Wytycznych 04/2022).
- 170.
-
W przedmiotowej sprawie działania administratora ograniczyły się jedynie do składania wyjaśnień w odpowiedzi na wezwania organu nadzorczego. Prezes UODO nie odnotował jakichkolwiek innych działań Ośrodka, które mogłyby zostać poczytane na jego korzyść w kontekście przesłanki z art. 83 ust. 2 lit. f) rozporządzenia 2016/679. Jak zatem wynika z przywołanego powyżej punktu 96 Wytycznych 04/2022, okoliczność tę należy uznać za neutralną w kontekście wymiaru kary nakładanej za naruszenie art. 5 ust. 1 lit. f) i ust. 2, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679.
-
Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator zgłosił naruszenie (art. 83 ust. 2 lit. h) rozporządzenia 2016/679)
- 171.
-
Prezes UODO stwierdził naruszenie przez Ośrodek art. 5 ust. 1 lit. f) i ust. 2, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 z urzędu, w rezultacie postępowania przeprowadzonego na skutek otrzymanego od osoby trzeciej zawiadomienia o możliwości wystąpienia naruszenia ochrony danych osobowych (zob. pkt 17 uzasadnienia). Zgodnie z Wytycznymi 04/2022 „[w] przypadku gdy organ nadzorczy dowiedział się o naruszeniu na przykład w wyniku skargi lub w toku postępowania, co do zasady element ten należy uznać również za okoliczność neutralną” (zob. pkt 99 Wytycznych 04/2022), dlatego też przesłanka z art. 83 ust. 2 lit. h) rozporządzenia 2016/679, jako okoliczność neutralna, nie miała wpływu na wysokość nałożonej na Ośrodek kary.
-
Jeżeli wobec administratora, którego sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków (art. 83 ust. 2 lit. i) rozporządzenia 2016/679)
- 172.
-
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec administratora w rozpatrywanej sprawie środków określonych w art. 58 ust. 2 rozporządzenia 2016/679. Oznacza to, że Ośrodek nie miał obowiązku podejmowania jakichkolwiek działań związanych ze stosowaniem tychże środków. W odmiennej sytuacji, organ nadzorczy poddałby ocenie takie działania, które mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
-
Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na moc art. 42 (art. 83 ust. 2 lit. j) rozporządzenia 2016/679)
- 173.
-
Ośrodek nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Przyjęcie powyższych środków, wdrożenie oraz stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratora. Oznacza to, że okoliczność ich niestosowania nie może być poczytywana na jego niekorzyść. Odmienna sytuacja miałaby miejsce, gdyby Ośrodek przyjął i stosował tego rodzaju instrument, który gwarantuje wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych. W takim przypadku okoliczność ta mogłaby być oceniona na jego korzyść.
-
Wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k) rozporządzenia 2016/679)
- 174.
-
Prezes UODO, wszechstronnie rozpatrując sprawę, nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej. Nie stwierdzono również, aby administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej.
-
4.3.2. Ustalenie wysokości administracyjnej kary pieniężnej zgodnie z Wytycznymi 04/2022
- 175.
-
Ustalając wysokość administracyjnej kary pieniężnej nałożonej na Ośrodek, Prezes UODO w sposób ograniczony zastosował metodykę przyjętą przez EROD w Wytycznych 04/2022. Ograniczony zakres stosowania tych wytycznych do obliczania kar orzekanych wobec organów i podmiotów publicznych wynika z braku możliwości przyjęcia obrotu (przychodów) takiego podmiotu jako miernika jego wielkości pozwalającego miarkować wysokość kary, tak by była ona skuteczna, proporcjonalna i odstraszająca. Jak wskazuje EROD w pkt 10 Wytycznych 04/2022, jeżeli na podstawie prawa krajowego organy nadzorcze mają uprawnienie do nakładania administracyjnych kar pieniężnych na organy i podmioty publiczne, wytyczne te mają zastosowanie do ich obliczania z wyjątkiem rozdziału 4.3 tego dokumentu („Obrót przedsiębiorstwa do celów nałożenia skutecznej, odstraszającej i proporcjonalnej kary pieniężnej”). Tam natomiast, gdzie prawo krajowe przewiduje dla organów i podmiotów publicznych ustawowe maksymalne kwoty kar (inne niż wynikające z art. 83 ust. 4–6 rozporządzenia 2016/679), zastosowania nie będzie znajdował rozdział 6 wytycznych („Prawnie określona maksymalna wysokość kary pieniężnej i odpowiedzialność przedsiębiorstw”). Mając na uwadze powyższe, Prezes UODO przeprowadził niżej przedstawiony proces kalkulacji kary orzekanej wobec Ośrodka.
- 176.
-
Za prawnie określoną maksymalną kwotę kary możliwą do orzeczenia wobec administratora Prezes UODO przyjął – stosownie do art. 102 ust. 1 pkt 1 u.o.d.o. – kwotę 100 000 zł, przy czym kwota ta znajduje zastosowanie niezależnie od tego, którego przepisu rozporządzenia 2016/679 dotyczy naruszenie.
- 177.
-
Prezes UODO dokonał kategoryzacji stwierdzonego w niniejszej sprawie naruszenia przepisów rozporządzenia 2016/679 (zob. Rozdział 4.1 Wytycznych 04/2022). Naruszenia przepisów art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 należą – zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą o maksymalnej wysokości do 10 000 000 EUR lub do 2 % obrotu przedsiębiorstwa z poprzedniego roku obrotowego. Z kolei naruszenia przepisów art. 5 ust. 1 lit. f) i ust. 2 rozporządzenia 2016/679 należą (zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679) do kategorii naruszeń zagrożonych karą wyższą z dwóch przewidzianych w tym akcie prawnym wymiarów kar, z maksymalną wysokości do 20 000 000 EUR lub do 4 % obrotu przedsiębiorstwa z poprzedniego roku obrotowego – są więc in abstracto „najpoważniejszymi” z naruszeń przewidzianych rozporządzeniem 2016/679.
- 178.
-
Organ nadzorczy ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o wysokim poziomie powagi (zob. Rozdział 4.2. Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które dotyczą strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679) oraz kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej (zob. pkt 149–163 uzasadnienia). W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego jako całość prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest wysoki. Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 20 % do 100 % maksymalnej wysokości kary możliwej do orzeczenia wobec Ośrodka (zob. pkt 60 tiret trzecie Wytycznych 04/2022), to jest – zważywszy na maksymalną kwotę w wysokości 100 000 zł określoną dla organów i podmiotów publicznych - od kwoty 20 000 zł do kwoty 100 000 zł. Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy kwotę wyjściową Prezes UODO uznał kwotę 25 000 zł (25 % prawnie określonej maksymalnej wysokości kary możliwej do wymierzenia Ośrodkowi).
- 179.
-
Organ nadzorczy dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (zob. Rozdział 5 Wytycznych EROD 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się do strony podmiotowej naruszenia (tj. do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie i po jego zaistnieniu) oraz ewentualnie do innych okoliczności mogących mieć znaczenie dla jego oceny. Szczegółowa analiza i uzasadnienie wpływu każdej z nich na ocenę naruszenia przedstawione zostały powyżej (zob. pkt 166–174 uzasadnienia). Każda z tych przesłanek została oceniona przez organ nadzorczy jako neutralna, zatem nie miały one ani obciążającego, ani łagodzącego wpływu na wymiar sankcji. Z tego względu brak było podstaw do dokonania korekty wysokości kary ustalonej na kwotę 25 000 zł.
- 180.
-
Zgodnie z art. 83 ust. 1 rozporządzenia 2016/679 każdy organ nadzorczy zapewnia, by administracyjne kary pieniężne stosowane za naruszenia tego rozporządzenia były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Natomiast Wytyczne 04/2022 wskazują, że ostatnim krokiem kalkulacji kary dokonywanej zgodnie z przedstawioną tam metodyką powinno być przeanalizowanie, czy ostateczna kwota obliczonej kary pieniężnej spełnia te wymogi, oraz odpowiednie zwiększenie lub zmniejszenie kary pieniężnej (zob. rozdział 7 Wytycznych 04/2022). Dokonując takiej analizy w niniejszej sprawie, Prezes UODO uznał, że ustalona zgodnie z powyższymi zasadami kwota wymaga dodatkowej korekty ze względu na zasadę proporcjonalności ustanowioną w art. 83 ust. 1 rozporządzenia 2016/679, jako jedną z trzech dyrektyw wymiaru kary. Niewątpliwie kara pieniężna w wysokości 25 000 zł byłaby karą skuteczną (przez swoją dolegliwość pozwoliłaby osiągnąć cel represyjny, którym jest ukaranie za bezprawne zachowanie) i odstraszającą (tj. pozwalającą skutecznie zniechęcić zarówno Ośrodek, jak i innych administratorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679). Jednocześnie jednak kara taka byłaby w ocenie Prezesa UODO nieproporcjonalna ze względu na swoją nadmierną dolegliwość. Zasada proporcjonalności wymaga bowiem m.in., by przyjęte przez organ nadzorczy środki nie wykraczały poza to, co odpowiednie i konieczne do realizacji uzasadnionych celów (zob. pkt 137 i 139 Wytycznych 04/2022). Innymi słowy: „[s]ankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku”[77].
- 181.
-
W przedmiotowej sprawie w kontekście proporcjonalności kary istotnym jest, że naruszenie miało charakter ograniczony i incydentalny – dotyczyło wyłącznie konkretnego procesu przetwarzania, a nie całokształtu działalności administratora. Naruszenie nie wynikało zatem z trwałych i systemowych zaniedbań w zakresie organizacji ochrony danych osobowych. Co przy tym szczególnie istotne, proces przetwarzania, w ramach którego stwierdzono naruszenie, wynikał z nowych obowiązków nałożonych na administratora w okresie pandemii COVID-19. Realizacji tego procesu przetwarzania danych osobowych Ośrodek musiał się podjąć niezwłocznie z przyczyn obiektywnych i niezależnych od niego, tj. z uwagi na konieczność wypełniania nałożonych obowiązków związanych z przeciwdziałaniem rozprzestrzenianiu się wirusa. Wysokość nakładanej kary musi zatem uwzględniać okoliczność, iż w panujących w czasie naruszenia warunkach możliwość kompleksowego i w pełni adekwatnego przeanalizowania wszystkich aspektów zgodności procesu przetwarzania z wymogami prawa oraz wdrożenia odpowiednich środków technicznych i organizacyjnych była istotnie ograniczona.
- 182.
-
Mając na uwadze wskazane wyżej okoliczności oraz wzgląd na proporcjonalność kary, Prezes UODO dokonał obniżenia wysokości ustalonej wyżej kwoty kary (zob. pkt 179 uzasadnienia) o 40 %, tj. do kwoty 15 000 zł. W ocenie organu nadzorczego tak określona ostatecznie wysokość orzeczonej kary nie wpłynie na obniżenie jej skuteczności i odstraszającego charakteru. Kwota ta stanowi bowiem próg, powyżej którego zwiększenie jej wysokości nie będzie się wiązało ze wzrostem skuteczności i odstraszającego charakteru. Natomiast z drugiej strony obniżenie w większym stopniu wysokości kary mogłoby się odbyć kosztem jej skuteczności i odstraszającego charakteru, a także spójnego stosowania i egzekwowania rozporządzenia 2016/679 oraz zasady równego traktowania podmiotów na rynku wewnętrznym UE i EOG.
- 183.
-
W ocenie Prezesa UODO administracyjna kara pieniężna w kwocie 15 000 zł, nałożona w tych konkretnych, indywidualnych okolicznościach sprawy, będzie skuteczna, ponieważ pozwoli na osiągnięcie jej celu prewencyjnego, jakim jest zapobieżenie w przyszłości naruszeniom – takim samym lub podobnym do stwierdzonego w niniejszej sprawie – dokonywanym zarówno przez administratora, jak i przez inne podmioty. Dodatkowo orzeczona kara, jako środek o charakterze represyjnym, zezwoli na realne ukaranie Ośrodka za jego bezprawne zachowanie.
- 184.
-
Zdaniem organu nadzorczego orzeczona kara będzie również proporcjonalna do stwierdzonych naruszeń przepisów rozporządzenia 2016/679, w tym zwłaszcza do ich charakteru i wagi. Proporcjonalność zastosowanej sankcji wyraża się również w tym, że ustalona przez organ nadzorczy kwota kary nie będzie stanowić dla Ośrodka nadmiernego obciążenia. W szczególności jej zapłata nie wpłynie na zdolność administratora do wywiązywania się przez niego z ustawowych zadań. Zdaniem Prezesa UODO Ośrodek powinien i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych osobowych, stąd uzasadnione jest nałożenie na niego administracyjnej kary pieniężnej w wysokości 15 000 zł.
- 185.
-
W ocenie Prezesa UODO administracyjna kara pieniężna w wysokości 15 000 zł spełni również w tych konkretnych okolicznościach sprawy funkcję prewencyjną, albowiem wskaże tak Ośrodkowi, jak i innym administratorom (w szczególności zaś innym jednostkom sektora finansów publicznych), że organ nadzorczy – stojąc na straży przepisów o ochronie danych osobowych – będzie z pełną mocą egzekwował odpowiedzialność ww. podmiotów za stwierdzone naruszenia przepisów rozporządzenia 2016/679. Tym samym zastosowana w niniejszym postępowaniu sankcja zniechęci zarówno samego administratora, jak i innych podobnych mu administratorów do popełniania w przyszłości takich samych lub zbliżonych przedmiotowo naruszeń.
-
-
4.4. Uzasadnienie nałożenia i ustalenie wysokości administracyjnej kary pieniężnej za naruszenie art. 33 ust. 1 rozporządzenia 2016/679
-
4.4.1. Przesłanki wymiaru administracyjnej kary pieniężnej
- 186.
-
Decydując o nałożeniu na Ośrodek administracyjnej kary pieniężnej za naruszenie art. 33 ust. 1 rozporządzenia 2016/679, Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a)–k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.
-
Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania (art. 83 ust. 2 lit. a) rozporządzenia 2016/679)
- 187.
-
Ośrodek dokonał naruszenia obowiązku określonego w art. 33 ust. 1 rozporządzenia 2016/679 poprzez zaniechanie zgłoszenia Prezesowi UODO naruszenia ochrony danych osobowych. Obowiązek ten jest ściśle związany z systemem mającym na celu ochronę jednego z podstawowych praw osoby fizycznej, którym jest prawo do ochrony jej danych osobowych, czy też szerzej – do ochrony jej prywatności. Istotnym elementem tego systemu, którego ramy określone zostały przepisami rozporządzenia 2016/679, są organy nadzorcze, na które nałożone zostały zadania związane z ochroną i egzekwowaniem praw osób fizycznych w tym zakresie. W przypadku art. 33 ust. 1 rozporządzenia 2016/679 organy nadzorcze za pomocą mechanizmu zgłoszenia naruszenia ochrony danych osobowych są w stanie w odpowiedni sposób zareagować na zgłoszone naruszenie, np. poprzez ocenę, czy administrator w sposób prawidłowy dokonał analizy wpływu naruszenia na prawa lub wolności osób, których dane objęte są naruszeniem, a w konsekwencji, czy występuje wysokie ryzyko naruszenia praw lub wolności tych osób i zachodzi konieczność zawiadomienia o naruszeniu ich danych. W niniejszej sprawie Prezes UODO pozbawiony został takiej możliwości, ponieważ administrator zaniechał wymaganego prawem zgłoszenia. Naruszenie ma zatem znaczną wagę i poważny charakter, ponieważ mechanizm zgłaszania naruszeń ochrony danych osobowych stanowi skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych oraz realizacji głównego celu rozporządzenia 2016/679, którym jest ochrona praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych.
- 188.
-
Odnosząc się do przesłanki czasu trwania naruszenia, podkreślić należy, iż jak wskazano już powyżej, najpóźniejszym momentem, w którym Ośrodek powinien był stwierdzić naruszenie ochrony danych osobowych w rozumieniu art. 33 ust. 1 rozporządzenia 2016/679, był moment otrzymania pisma Prezesa UODO z 1 lipca 2021 r. (zob. pkt 117 uzasadnienia). Naruszenie przepisu art. 33 ust. 1 rozporządzenia 2016/679 trwa zatem od momentu upływu 72 godzin od stwierdzenia naruszenia ochrony danych osobowych. Stwierdzenie to powinno było nastąpić najpóźniej 5 lipca 2021 r. (tj. w dniu odbioru pisma Prezesa UODO z 1 lipca 2021 r.), a zatem naruszenie art. 33 ust. 1 rozporządzenia 2016/679 trwa od 8 lipca 2021 r. i nie zostało do chwili obecnej przez Ośrodek usunięte, co również stanowi czynnik obciążający.
-
Umyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679)
- 189.
-
Dokonując oceny niniejszej przesłanki, Prezes UODO uwzględnił, że Ośrodek zaniechał realizacji obowiązku przewidzianego w art. 33 ust. 1 rozporządzenia 2016/679 z uwagi na uznanie, iż nie sprawował funkcji administratora w odniesieniu do danych osobowych objętych incydentem. W ocenie organu nadzorczego stanowisko to Ośrodek powinien jednak zweryfikować po otrzymaniu pisma Prezesa UODO z 1 lipca 2021 r., w którym organ nadzorczy przedstawił ustalenia dotyczące incydentu (zob. pkt 117 uzasadnienia). Skoro jednak Ośrodek pozostawał w błędzie co do swojego statusu jako administratora danych, a błąd ten był przyczyną braku dokonania zgłoszenia naruszenia ochrony danych osobowych, Prezes UODO przyjął, że w tym czasie naruszenie miało charakter nieumyślny. Należy jednak zauważyć, że 9 sierpnia 2023 r. organ nadzorczy skierował do strony zawiadomienie o wszczęciu postępowania, w którym wprost wskazał, iż Ośrodek pełni rolę administratora danych oraz przedstawił ciążące na nim w związku z tym obowiązki, które w świetle zgromadzonych dowodów zostały naruszone, w tym obowiązek przewidziany w art. 33 ust. 1 rozporządzenia 2016/679. Tym samym przyjąć należy, że od tej chwili zaniechanie zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu było świadome, bowiem mimo wiedzy o dokonanych przez organ ustaleniach, Ośrodek nie podjął jakichkolwiek działań zmierzających do realizacji ciążącego na nim obowiązku.
- 190.
-
W związku z powyższym w okresie od 8 lipca 2021 r. (tj. od upływu 72 godzin od dnia doręczenia pisma Prezesa UODO z 1 lipca 2021 r.) do 8 sierpnia 2023 r. (tj. do dnia poprzedzającego doręczenie zawiadomienia z 9 sierpnia 2023 r. o wszczęciu postępowania) należy przyjąć nieumyślny charakter naruszenia z uwagi na fakt pozostawania w tym okresie przez Ośrodek w błędzie o niepełnieniu roli administratora danych, a tym samym brak świadomości ciążącego na nim obowiązku przewidzianego w art. 33 ust. 1 rozporządzenia 2016/679. Natomiast od 9 sierpnia 2023 r., tj. od doręczenia zawiadomienia o wszczęciu niniejszego postępowania, naruszenie przyjęło charakter umyślny. W tym momencie Ośrodek uzyskał jednoznaczną informację o błędnym stanowisku co do braku pełnienia roli administratora danych w kontekście incydentu i był świadomy, że ciąży na nim obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, którego do chwili obecnej nie wykonał.
-
Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679)
- 191.
-
W toku czynności wyjaśniających oraz w toku postępowania administracyjnego Ośrodek udzielał odpowiedzi na wezwania organu nadzorczego, jednakże okoliczność ta nie może zostać potraktowana przez Prezesa UODO jako przesłanka łagodząca, lecz jako wyraz realizacji obowiązków prawnych spoczywających na administratorze.
- 192.
-
Ośrodek, pomimo kierowanej do niego w toku postępowania korespondencji wskazującej na stanowisko organu nadzorczego co do pełnienia przez niego roli administratora danych w kontekście stwierdzonego naruszenia, nie podjął wymaganych w świetle art. 33 ust. 1 rozporządzenia 2016/679 działań, czyli nie zgłosił naruszenia ochrony danych osobowych Prezesowi UODO. Ośrodek w toku całego postępowania konsekwentnie stał na stanowisku, iż nie można mu przypisać roli administratora w odniesieniu do operacji przetwarzania, w ramach których doszło do incydentu, kwestionując stanowisko Prezesa UODO. Oznacza to, że stopień współpracy administratora z organem nadzorczym w celu usunięcia naruszenia art. 33 ust. 1 rozporządzenia 2016/679 oraz złagodzenia jego ewentualnych skutków należy ocenić jako niezadawalający, co stanowi okoliczność obciążającą podczas ustalania wysokości administracyjnej kary pieniężnej.
- 193.
-
Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO nie znalazł podstaw do uwzględnienia okoliczności łagodzących, mających wpływ na obniżenie ostatecznego wymiaru kary orzeczonej wobec administratora.
- 194.
-
Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy niemające ani obciążającego, ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
-
Wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e) rozporządzenia 2016/679)
- 195.
-
W odniesieniu do analizowanego naruszenia aktualna pozostaje ocena przedstawiona w pkt 168 uzasadnienia.
-
Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator zgłosił naruszenie (art. 83 ust. 2 lit. h) rozporządzenia 2016/679)
- 196.
-
Prezes UODO nie został poinformowany o naruszeniu ochrony danych osobowych zgodnie z przewidzianą dla takich sytuacji procedurą określoną w art. 33 rozporządzenia 2016/679. O naruszeniu ochrony danych osobowych polegającym na umieszczeniu na prywatnym serwerze pracownika pliku zawierającego dane osobowe co najmniej (…) mieszkańców D., który na skutek jego zindeksowania stał się publicznie dostępny w wynikach wyszukiwarki internetowej, organ nadzorczy został poinformowany 3 lutego 2021 r. przez osobę trzecią (zob. pkt 5 uzasadnienia). Brak zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych jest przedmiotem niniejszego postępowania i w okolicznościach rozważanego stanu faktycznego Prezes UODO przyjął, że przesłanki tej nie potraktuje jako okoliczności obciążającej, ponieważ stanowi ona o istocie omawianego naruszenia.
-
Jeżeli wobec administratora, którego sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków (art. 83 ust. 2 lit. i) rozporządzenia 2016/679)
- 197.
-
W odniesieniu do analizowanego naruszenia aktualna pozostaje ocena przedstawiona w pkt 172 uzasadnienia.
-
Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na moc art. 42 (art. 83 ust. 2 lit. j) rozporządzenia 2016/679)
- 198.
-
W odniesieniu do analizowanego naruszenia aktualna pozostaje ocena przedstawiona w pkt 173 uzasadnienia.
-
Wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k) rozporządzenia 2016/679)
- 199.
-
Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej. Nie stwierdzono również, aby administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej.
- 200.
-
Pozostałe okoliczności, wymienione w art. 83 ust. 2 rozporządzenia 2016/679, nie mogły być wzięte pod uwagę przez Prezesa UODO ze względu na istotę tego naruszenia (dotyczącego relacji administratora z organem nadzorczym, a nie z osobami, których dane dotyczą). Są to:
- a)
-
liczba poszkodowanych osób i rozmiar poniesionej przez nie szkody (art. 83 ust. 2 lit. a) rozporządzenia 2016/679) – ze względu na to, że naruszenie polegające na niezgłoszeniu naruszenia ochrony danych osobowych Prezesowi UODO stanowi zaniechanie obowiązku, który administrator był zobowiązany spełnić wobec organu nadzorczego. Oznacza to, że w swojej istocie nie dotyczy ono podmiotów danych, a więc nie może ze swej natury spowodować powstania szkód po ich stronie;
- b)
-
działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust 2 lit. c) rozporządzenia 2016/679) – ze względu na istotę naruszenia, które nie może wiązać się z powstaniem szkód po stronie osób fizycznych. Ponieważ wskutek naruszenia nie powstają żadne szkody po stronie podmiotów danych, brak jest możliwości podjęcia przez administratora działań, które te szkody miałyby zminimalizować, a które to działania mogłyby podlegać ocenie organu nadzorczego jako okoliczności łagodzące lub obciążające;
- c)
-
stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d) rozporządzenia 2016/679) – ze względu na to, że naruszenie w samej swojej istocie nie wiąże się ze środkami technicznymi i organizacyjnymi wdrożonymi przez administratora w celu zapewnienia ochrony danych osobowych oraz bezpieczeństwa ich przetwarzania;
- d)
-
kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679) – ze względu na to, że naruszenie w samej istocie nie dotyczy żadnych danych osobowych, a tym samym żadnych ich kategorii. Polega ono bowiem na niespełnieniu (wobec organu nadzorczego) obowiązku oderwanego od jakichkolwiek operacji przetwarzania.
-
4.4.2. Ustalenie wysokości administracyjnej kary pieniężnej zgodnie z Wytycznymi 04/2022
- 201.
-
Ustalając wysokość administracyjnej kary pieniężnej nałożonej na Ośrodek, Prezes UODO w sposób ograniczony zastosował metodykę przyjętą przez EROD w Wytycznych 04/2022 (zob. pkt 175 uzasadnienia). Mając na uwadze powyższe, Prezes UODO przeprowadził niżej przedstawiony proces kalkulacji kary orzekanej wobec administratora.
- 202.
-
Za prawnie określoną maksymalną kwotę kary możliwą do orzeczenia wobec Ośrodka Prezes UODO przyjął – stosownie do art. 102 ust. 1 pkt 1 u.o.d.o. – kwotę 100 000 zł, przy czym kwota ta znajduje zastosowanie niezależnie od tego, którego przepisu rozporządzenia 2016/679 dotyczy naruszenie.
- 203.
-
Prezes UODO dokonał kategoryzacji stwierdzonego w niniejszej sprawie naruszenia przepisów rozporządzenia 2016/679 (zob. Rozdział 4.1 Wytycznych 04/2022). Stwierdzone w niniejszej sprawie naruszenie przepisu art. 33 ust. 1 rozporządzenia 2016/679 należy – zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą niższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar, z maksymalną wysokością do 10 000 000 EUR lub do 2 % całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego. Zostało więc ono in abstracto (w oderwaniu od indywidualnych okoliczności konkretnej sprawy) uznane przez prawodawcę unijnego za mniej poważne niż naruszenia wskazane w art. 83 ust. 5 i 6 rozporządzenia 2016/679.
- 204.
-
Organ nadzorczy ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o niskim poziomie powagi (zob. Rozdział 4.2. Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które dotyczą strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679) oraz umyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679). Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679) nie zostały wzięte pod uwagę ze względu na charakter naruszenia (dotyczącego relacji administratora z organem nadzorczym, a nie z osobami, których dane dotyczą). Szczegółowa ocena tych okoliczności przedstawiona została powyżej (zob. pkt 187–190 oraz 200 uzasadnienia). W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego jako całość prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest niski. Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 0 % do 10 % maksymalnej wysokości kary możliwej do orzeczenia wobec Ośrodka (zob. pkt 60 tiret trzecie Wytycznych 04/2022), to jest – zważywszy na maksymalną kwotę w wysokości 100 000 zł określoną dla organów i podmiotów publicznych – od 0 do 10 000 zł. Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy kwotę wyjściową Prezes UODO uznał kwotę 5 000 zł (5 % prawnie określonej maksymalnej wysokości kary możliwej do wymierzenia Ośrodkowi).
- 205.
-
Organ nadzorczy dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (zob. Rozdział 5 Wytycznych EROD 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się do strony podmiotowej naruszenia (tj. do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie i po jego zaistnieniu) oraz ewentualnie do innych okoliczności mogących mieć znaczenie dla jego oceny. Szczegółowa analiza i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej (zob. pkt 191–200 uzasadnienia). Prezes UODO uznał, że okolicznością obciążającą w niniejszej sprawie jest przesłanka przewidziana w art. 83 ust. 2 lit. f) rozporządzenia 2016/679, tj. stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (zob. pkt 191–192 uzasadnienia). Organ nadzorczy przeprowadzając analizę w niniejszej sprawie nie uwzględnił żadnej okoliczności łagodzącej, mającej wpływ na obniżenie wymiaru sankcji. Ze względu na zaistnienie w sprawie wskazanej powyżej okoliczności obciążającej Prezes UODO, oceniając jej wpływ na stwierdzone naruszenie, uznał za zasadne zwiększenie o 10 % ustalonej wyżej kwoty kary (zob. pkt 204 uzasadnienia) – do kwoty 5 500 zł.
- 206.
-
Zgodnie z art. 83 ust. 1 rozporządzenia 2016/679 każdy organ nadzorczy zapewnia, by administracyjne kary pieniężne stosowane za naruszenia tego rozporządzenia były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Natomiast Wytyczne 04/2022 wskazują, że ostatnim krokiem kalkulacji kary dokonywanej zgodnie z przedstawioną tam metodyką powinno być przeanalizowanie, czy ostateczna kwota obliczonej kary pieniężnej spełnia te wymogi oraz odpowiednie zwiększenie lub zmniejszenie kary pieniężnej (zob. rozdział 7 Wytycznych). Dokonując takiej analizy w niniejszej sprawie, Prezes UODO uznał, że ustalona zgodnie z powyższymi zasadami wysokość kary nie wymaga dodatkowej korekty ze względu na skuteczność, proporcjonalność i odstraszający charakter kary (art. 83 ust. 1 rozporządzenia 2016/679).
- 207.
-
W tym miejscu podkreślenia wymaga, że na wysokość orzeczonej kary nie mają wpływu okoliczności, o których mowa w punkcie 181 uzasadnienia. Zaznaczyć należy, że obowiązek przewidziany w art. 33 ust. 1 rozporządzenia 2016/679 ma charakter odmienny od obowiązków wynikających z art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 – obowiązek w postaci zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu nie wymaga uprzedniego długotrwałego planowania ani zaawansowanego przygotowania organizacyjnego, lecz sprowadza się do podjęcia określonych działań informacyjnych w reakcji na zaistniałe zdarzenie. Obowiązek ten aktualizuje się po wystąpieniu naruszenia, a więc jest niezależny od ewentualnych wcześniejszych trudności z organizacją procesu przetwarzania. Brak jego realizacji nie wynikał w okolicznościach tej konkretnej sprawy z presji czasu czy dynamiki zmian regulacyjnych, ale z przyjętego stanowiska o niepełnieniu roli administratora w procesie przetwarzania. Tym samym do naruszenia nie przyczyniły się przejściowe trudności organizacyjne, ale wynika ono z oderwanego od tych okoliczności błędnego zakwalifikowania swojej roli w procesie przetwarzania danych osobowych. Kontekst czasowy związany z pandemią COVID-19 nie miał w ocenie organu nadzorczego wpływu na ten błąd, dlatego nie powinien skutkować obniżeniem wysokości kary orzeczonej wobec Ośrodka za naruszenie art. 33 ust. 1 rozporządzenia 2016/679.
- 208.
-
Prezes UODO stwierdził, że administracyjna kara pieniężna w kwocie 5 500 zł, nałożona w tych konkretnych, indywidualnych okolicznościach sprawy będzie skuteczna, ponieważ pozwoli na osiągnięcie jej celu prewencyjnego, jakim jest zapobieżenie w przyszłości naruszeniom – takim samym lub podobnym do stwierdzonego niniejszej sprawie – dokonywanym zarówno przez administratora, jak i przez inne podmioty. Dodatkowo orzeczona kara, jako środek o charakterze represyjnym, zezwoli na realne ukaranie Ośrodka za jego bezprawne, utrzymujące się długotrwale zaniechanie.
- 209.
-
Zdaniem organu nadzorczego orzeczona kara będzie również proporcjonalna do stwierdzonego naruszenia przepisów rozporządzenia 2016/679, w tym zwłaszcza do jego charakteru i wagi. Proporcjonalność zastosowanej sankcji wyraża się również w tym, że ustalona przez organ nadzorczy kwota kary nie będzie stanowić dla Ośrodka nadmiernego obciążenia. W szczególności jej zapłata nie wpłynie na zdolność administratora do wywiązywania się przez niego z ustawowych zadań. Zdaniem Prezesa UODO Ośrodek powinien i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych osobowych, stąd uzasadnione jest nałożenie na niego administracyjnej kary pieniężnej w wysokości 5 500 zł.
- 210.
-
W ocenie Prezesa UODO administracyjna kara pieniężna w wysokości 5 500 zł spełni również w tych konkretnych okolicznościach sprawy funkcję prewencyjną, albowiem wskaże tak Ośrodkowi, jak i innym administratorom (w szczególności zaś innym jednostkom sektora finansów publicznych), że organ nadzorczy – stojąc na straży przepisów o ochronie danych osobowych – będzie z pełną mocą egzekwował odpowiedzialność ww. podmiotów za stwierdzone naruszenia przepisów rozporządzenia 2016/679. Tym samym zastosowana w niniejszym postępowaniu sankcja zniechęci zarówno Ośrodek, jak i innych podobnych mu administratorów do popełniania w przyszłości takich samych lub zbliżonych przedmiotowo naruszeń.
-
-
4.5. Uzasadnienie nałożenia i ustalenie wysokości administracyjnej kary pieniężnej za naruszenie art. 34 ust. 1 rozporządzenia 2016/679
-
4.5.1. Przesłanki wymiaru administracyjnej kary pieniężnej
- 211.
-
Decydując o nałożeniu na Ośrodek administracyjnej kary pieniężnej za naruszenie art. 34 ust. 1 rozporządzenia 2016/679, Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a)–k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.
-
Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a) rozporządzenia 2016/679)
- 212.
-
W ocenie Prezesa UODO stwierdzone w niniejszej sprawie naruszenie przepisu art. 34 ust. 1 rozporządzenia 2016/679 (polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych bez zbędnej zwłoki osób, których dane dotyczą) ma znaczną wagę i poważny charakter. Celem obowiązku nałożonego na administratora w tym przepisie jest dostarczenie osobom, których dane dotyczą, istotnych informacji o zdarzeniu oraz o rekomendowanych środkach ostrożności, co może ograniczyć powstanie potencjalnych szkód wywołanych danym naruszeniem[78]. Realizacja tego obowiązku ma na celu doprowadzenie do stanu, w którym osoby objęte naruszeniem są świadome jego skutków oraz mają możliwość podjęcia stosownych działań mogących zapobiec materializacji, bądź dalszemu rozwojowi przedstawionych przez administratora konsekwencji naruszenia. Brak wykonania przez Ośrodek obowiązku nałożonego na niego omawianym przepisem doprowadził do sytuacji, w której podmioty danych do chwili obecnej nie posiadają wiedzy na temat zaistniałego zdarzenia, nie mogąc w konsekwencji podjąć jakichkolwiek działań zaradczych.
- 213.
-
Na niekorzyść administratora poczytana została także duża liczba osób dotkniętych naruszeniem – incydent opisany w pkt 15 uzasadnienia dotyczył bowiem danych co najmniej (…) osób, z których żadna nie otrzymała od administratora do chwili obecnej informacji o naruszeniu ochrony danych. W kontekście analizowanej przesłanki podkreślenia wymaga jednak, że zgromadzony w sprawie materiał dowodowy nie daje podstaw do przyjęcia, aby rozpatrywane naruszenie skutkowało powstaniem jakichkolwiek szkód po stronie podmiotów danych. W toku postępowania nie ustalono, aby którakolwiek z osób objętych incydentem, co do którego administrator zaniechał realizacji obowiązku informacyjnego, doznała – na skutek niewywiązania się przez administratora z tego obowiązku – szkody o charakterze majątkowym. Co przy tym istotne, naruszenia art. 34 ust. 1 rozporządzenia 2016/679 nie sposób również powiązać z chociażby potencjalną możliwością powstania szkód o charakterze niemajątkowym po stronie podmiotów danych, takich jak stres, niepokój czy poczucie zagrożenia związane z ewentualnym nieuprawnionym wykorzystaniem ich danych osobowych. Tego rodzaju negatywne konsekwencje wymagają bowiem świadomości zaistnienia zdarzenia skutkującego naruszeniem ochrony danych osobowych. Skoro zatem istota naruszenia art. 34 ust. 1 rozporządzenia 2016/679 polega na braku zawiadomienia osoby o naruszeniu ochrony jej danych osobowych, a tym samym pozbawieniu jej wiedzy o zaistniałym incydencie, to nie sposób twierdzić, że podmioty danych mogły choćby potencjalnie doznać wskazanych wyżej negatywnych konsekwencji w sferze psychicznej – nie były bowiem w ogóle świadome, że incydent miał miejsce. Organ nadzorczy, ustalając wysokość nakładanej na Ośrodek administracyjnej kary pieniężnej, wziął zatem pod uwagę fakt, że mimo iż naruszenie art. 34 ust. 1 rozporządzenia 2016/679 dotyczyło znacznej liczby osób, to jednak nie doprowadziło ono do powstania po ich stronie jakichkolwiek szkód, zarówno o charakterze majątkowym jak i niemajątkowym.
- 214.
-
Za okoliczność obciążającą Prezes UODO uznaje w niniejszej sprawie długi czas trwania naruszenia. Przyjąć należy, że naruszenie art. 34 ust. 1 rozporządzenia 2016/679 rozpoczęło się najpóźniej 8 lipca 2021 r. – z powodów, o których mowa w pkt 117–118 uzasadnienia. Analogicznie, skoro najpóźniejszym momentem, w którym Ośrodek powinien był stwierdzić naruszenie ochrony danych osobowych, był dzień 5 lipca 2021 r., od tego dnia aktualizował się również ciążący na Ośrodku obowiązek zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych – bez zbędnej zwłoki, stosownie do art. 34 ust. 1 rozporządzenia 2016/679. Stan naruszenia utrzymuje się przy tym do chwili obecnej, bowiem Ośrodek nie przedstawił dowodów przekazania podmiotom danych informacji o naruszeniu ochrony ich danych.
- 215.
-
W związku z powyższym przesłanka z art. 83 ust. 2 lit. a) rozporządzenia 2016/679 przemawia w ocenie Prezesa UODO za koniecznością zastosowania w odniesieniu do naruszenia art. 34 ust. 1 rozporządzenia 2016/679 administracyjnej kary pieniężnej, a także wpływa obciążająco na jej wymiar.
-
Umyślny charakter naruszenia (art 83 ust. 2 lit. b) rozporządzenia 2016/679)
- 216.
-
Dokonując oceny niniejszej przesłanki, Prezes UODO uwzględnił, że Ośrodek zaniechał realizacji obowiązku przewidzianego w art. 34 ust. 1 rozporządzenia 2016/679 z uwagi na uznanie, iż nie sprawował funkcji administratora w odniesieniu do danych osobowych objętych incydentem. W ocenie organu nadzorczego stanowisko to Ośrodek powinien jednak zweryfikować po otrzymaniu pisma Prezesa UODO z 1 lipca 2021 r., w którym organ nadzorczy przedstawił ustalenia dotyczące incydentu (zob. pkt 117 uzasadnienia). Skoro jednak Ośrodek pozostawał w błędzie co do swojego statusu jako administratora danych, a błąd ten był przyczyną braku zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony danych osobowych, Prezes UODO przyjął, że w tym czasie naruszenie miało charakter nieumyślny. Należy jednak zauważyć, że 9 sierpnia 2023 r. organ nadzorczy skierował do strony zawiadomienie o wszczęciu postępowania, w którym wprost wskazał, iż Ośrodek pełni rolę administratora danych oraz przedstawił ciążące na nim w związku z tym obowiązki, które w świetle zgromadzonych dowodów zostały naruszone, w tym obowiązek przewidziany w art. 34 ust. 1 rozporządzenia 2016/679. Tym samym przyjąć należy, że od tej chwili zaniechanie zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony danych osobowych było świadome, bowiem mimo wiedzy o dokonanych przez organ ustaleniach, Ośrodek nie podjął jakichkolwiek działań zmierzających do realizacji ciążącego na nim obowiązku
- 217.
-
W związku z powyższym w okresie od 8 lipca 2021 r. (tj. momentu, w którym zgodnie z ustaleniami zaktualizował się obowiązek z art. 34 ust. 1 rozporządzenia 2016/679) do 8 sierpnia 2023 r. (tj. do dnia poprzedzającego doręczenie zawiadomienia z 9 sierpnia 2023 r. o wszczęciu postępowania) należy przyjąć nieumyślny charakter naruszenia z uwagi na fakt pozostawania w tym okresie przez Ośrodek w błędzie o niepełnieniu roli administratora danych, a tym samym brak świadomości ciążącego na nim obowiązku przewidzianego w art. 34 ust. 1 rozporządzenia 2016/679. Natomiast od 9 sierpnia 2023 r., tj. od doręczenia zawiadomienia o wszczęciu niniejszego postępowania, naruszenie przyjęło charakter umyślny. W tym momencie Ośrodek uzyskał jednoznaczną informację o błędnym stanowisku co do braku pełnienia roli administratora danych w kontekście incydentu i był świadomy, że ciąży na nim obowiązek zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony danych osobowych, którego do chwili obecnej nie wykonał.
-
Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679)
- 218.
-
W toku czynności wyjaśniających oraz w toku postępowania administracyjnego Ośrodek udzielał odpowiedzi na wezwania organu nadzorczego, jednakże okoliczność ta nie może być potraktowany przez Prezesa UODO jako przesłanka łagodząca, lecz jako wyraz realizacji obowiązków prawnych spoczywających na administratorze.
- 219.
-
Ośrodek, pomimo kierowanej do niego w toku postępowania korespondencji wskazującej na stanowisko organu nadzorczego co do pełnienia przez niego roli administratora danych w kontekście stwierdzonego naruszenia ochrony danych, nie podjął działań wymaganych w świetle art. 34 ust. 1 rozporządzenia 2016/679, czyli nie zawiadomił osób, których dane dotyczą o naruszeniu ochrony ich danych osobowych. Ośrodek w toku całego postępowania konsekwentnie stał na stanowisku, iż nie można mu przypisać roli administratora w odniesieniu do operacji przetwarzania, w ramach których doszło do naruszenia, kwestionując stanowisko Prezesa UODO. Oznacza to, że stopień współpracy administratora z organem nadzorczym w celu usunięcia naruszenia art. 34 ust. 1 rozporządzenia 2016/679 oraz złagodzenia jego ewentualnych skutków należy ocenić jako niezadowalający, co stanowi okoliczność obciążającą podczas ustalania wysokości administracyjnej kary pieniężnej.
- 220.
-
Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy niemające ani obciążającego, ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
-
Działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust 2 lit. c) rozporządzenia 2016/679)
- 221.
-
Ponieważ nie stwierdzono, aby wskutek naruszenia polegającego na niezawiadomieniu osób, których dane dotyczą, powstały po ich stronie jakiekolwiek szkody, brak było możliwości podjęcia przez administratora działań, które szkody takie miałyby zminimalizować, a które to działania mogłyby podlegać ocenie organu nadzorczego jako okoliczności łagodzące lub obciążające. Niepodjęcie przez Ośrodek takich działań nie może więc go w żaden sposób obciążać. Nie może jednak również stanowić dla niego okoliczności łagodzącej, skoro brak było po jego stronie jakiejkolwiek aktywności, mogącej podlegać pozytywnej ocenie organu nadzorczego.
-
Wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e rozporządzenia 2016/679)
- 222.
-
W odniesieniu do analizowanego naruszenia aktualna pozostaje ocena przedstawiona w pkt 168 uzasadnienia.
-
Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator zgłosił naruszenie (art. 83 ust. 2 lit. h) rozporządzenia 2016/679)
- 223.
-
Prezes UODO stwierdził naruszenie przez Ośrodek art. 34 ust. 1 rozporządzenia 2016/679 z urzędu, w rezultacie postępowania przeprowadzonego na skutek otrzymanego od osoby trzeciej zawiadomienia o możliwości wystąpienia naruszenia ochrony danych osobowych (zob. pkt 17 uzasadnienia). Zgodnie z Wytycznymi 04/2022 „[w] przypadku gdy organ nadzorczy dowiedział się o naruszeniu na przykład w wyniku skargi lub w toku postępowania, co do zasady element ten należy uznać również za okoliczność neutralną” (zob. pkt 99 Wytycznych 04/2022), dlatego też przesłanka z art. 83 ust. 2 lit. h) rozporządzenia 2016/679 jako okoliczność neutralna nie miała wpływu na wysokość nałożonej na Ośrodek kary.
-
Jeżeli wobec administratora, którego sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków (art. 83 ust. 2 lit. i) rozporządzenia 2016/679)
- 224.
-
W odniesieniu do analizowanego naruszenia aktualna pozostaje ocena przedstawiona w pkt 172 uzasadnienia.
-
Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 (art. 83 ust. 2 lit. j) rozporządzenia 2016/679)
- 225.
-
W odniesieniu do analizowanego naruszenia aktualna pozostaje ocena przedstawiona w pkt 173 uzasadnienia.
-
Wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k) rozporządzenia 2016/679)
- 226.
-
Prezes UODO, wszechstronnie rozpatrując sprawę, nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej. Nie stwierdzono również, aby administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej.
- 227.
-
Pozostałe okoliczności, wymienione w art. 83 ust. 2 rozporządzenia 2016/679, nie mogły być wzięte pod uwagę przez Prezesa UODO ze względu na istotę naruszenia. Są to:
- a)
-
stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d) rozporządzenia 2016/679) – ze względu na to, że naruszenie w samej swojej istocie nie wiąże się ze środkami technicznymi i organizacyjnymi wdrożonymi przez administratora w celu zapewnienia ochrony danych osobowych oraz bezpieczeństwa ich przetwarzania, przesłanka ta nie może zostać uznana w niniejszej sprawie za okoliczność mogącą wpłynąć na ocenę naruszenia i w konsekwencji na wymiar nałożonej administracyjnej kary pieniężnej;
- b)
-
kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679) – ze względu na to, że naruszenie („oderwane” od operacji przetwarzania konkretnych danych osobowych) w samej swojej istocie nie może naruszać żadnych danych osobowych, a tym samym żadnych ich kategorii. Polega ono bowiem na niespełnieniu wobec osób, których dotyczyło naruszenie ochrony danych osobowych, pewnego obowiązku formalnego o charakterze informacyjnym.
-
4.5.2. Ustalenie wysokości administracyjnej kary pieniężnej zgodnie z Wytycznymi 04/2022
- 228.
-
Ustalając wysokość administracyjnej kary pieniężnej nałożonej na Ośrodek, Prezes UODO w sposób ograniczony zastosował metodykę przyjętą przez EROD w Wytycznych 04/2022 (zob. pkt 175 uzasadnienia). Mając na uwadze powyższe, Prezes UODO przeprowadził niżej przedstawiony proces kalkulacji kary orzekanej wobec administratora.
- 229.
-
Za prawnie określoną maksymalną kwotę kary możliwą do orzeczenia wobec Ośrodka Prezes UODO przyjął – stosownie do art. 102 ust. 1 pkt 1 u.o.d.o. – kwotę 100 000 zł, przy czym kwota ta znajduje zastosowanie niezależnie od tego, którego przepisu rozporządzenia 2016/679 dotyczy naruszenie.
- 230.
-
Prezes UODO dokonał kategoryzacji stwierdzonego w niniejszej sprawie naruszenia przepisów rozporządzenia 2016/679 (zob. Rozdział 4.1 Wytycznych 04/2022). Stwierdzone w niniejszej sprawie naruszenie przepisu art. 34 ust. 1 rozporządzenia 2016/679 należy – zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą niższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar, z maksymalną wysokością do 10 000 000 EUR lub do 2 % całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego. Zostało więc ono in abstracto (w oderwaniu od indywidualnych okoliczności konkretnej sprawy) uznane przez prawodawcę unijnego za mniej poważne niż naruszenia wskazane w art. 83 ust. 5 i 6 rozporządzenia 2016/679.
- 231.
-
Organ nadzorczy ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o średnim poziomie powagi (zob. Rozdział 4.2. Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które dotyczą strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679) oraz umyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679). Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679) nie zostały wzięte pod uwagę ze względu na charakter naruszenia („oderwanego” od operacji przetwarzania konkretnych danych osobowych, a więc w samej swojej istocie niemogącego naruszać żadnych danych osobowych). Szczegółowa ocena tych okoliczności przedstawiona została powyżej (zob. pkt 212–217 oraz 227 uzasadnienia). W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego jako całość prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest średni. Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 10 % do 20 % maksymalnej wysokości kary możliwej do orzeczenia wobec Ośrodka (zob. pkt 60 tiret trzecie Wytycznych 04/2022), to jest – zważywszy na maksymalną kwotę w wysokości 100 000 zł określoną dla organów i podmiotów publicznych – od 10 000 zł do 20 000 zł. Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy kwotę wyjściową Prezes UODO uznał kwotę 12 000 zł (12 % prawnie określonej maksymalnej wysokości kary możliwej do wymierzenia Ośrodkowi).
- 232.
-
Organ nadzorczy dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (zob. Rozdział 5 Wytycznych EROD 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się do strony podmiotowej naruszenia (tj. do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie i po jego zaistnieniu) oraz ewentualnie do innych okoliczności mogących mieć znaczenie dla jego oceny. Szczegółowa analiza i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej (zob. pkt 218–227 uzasadnienia). Prezes UODO uznał, że okolicznością obciążającą w niniejszej sprawie jest przesłanka przewidziana w art. 83 ust. 2 lit. f) rozporządzenia 2016/679, tj. stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (zob. pkt 218–219 uzasadnienia). Organ nadzorczy, przeprowadzając analizę w niniejszej sprawie, nie uwzględnił żadnej okoliczności łagodzącej, mającej wpływ na obniżenie wymiaru sankcji. Ze względu na zaistnienie w sprawie wskazanej powyżej okoliczności obciążającej Prezes UODO, oceniając jej wpływ na stwierdzone naruszenie, uznał za zasadne zwiększenie o 10 % ustalonej wyżej kwoty kary (zob. pkt 231 uzasadnienia) – do kwoty 13 200 zł.
- 233.
-
Zgodnie z art. 83 ust. 1 rozporządzenia 2016/679 każdy organ nadzorczy zapewnia, by administracyjne kary pieniężne stosowane za naruszenia tego rozporządzenia były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Natomiast Wytyczne 04/2022 wskazują, że ostatnim krokiem kalkulacji kary dokonywanej zgodnie z przedstawioną tam metodyką powinno być przeanalizowanie, czy ostateczna kwota obliczonej kary pieniężnej spełnia te wymogi oraz odpowiednie zwiększenie lub zmniejszenie kary pieniężnej (zob. rozdział 7 Wytycznych). Dokonując takiej analizy w niniejszej sprawie, Prezes UODO uznał, że ustalona zgodnie z powyższymi zasadami wysokość kary nie wymaga dodatkowej korekty ze względu na skuteczność, proporcjonalność i odstraszający charakter kary (art. 83 ust. 1 rozporządzenia 2016/679).
- 234.
-
W kontekście proporcjonalności kary orzeczonej za naruszenie art. 34 ust. 1 rozporządzenia 2016/679 uzasadniona pozostaje przy tym argumentacja przedstawiona w punkcie 207 uzasadnienia.
- 235.
-
Prezes UODO stwierdził, że administracyjna kara pieniężna w kwocie 13 200 zł, nałożona w tych konkretnych, indywidualnych okolicznościach sprawy będzie skuteczna, ponieważ pozwoli na osiągnięcie jej celu prewencyjnego, jakim jest zapobieżenie w przyszłości naruszeniom – takim samym lub podobnym do stwierdzonego niniejszej sprawie – dokonywanym zarówno przez administratora, jak i przez inne podmioty. Dodatkowo orzeczona kara, jako środek o charakterze represyjnym, zezwoli na realne ukaranie Ośrodka za jego bezprawne, utrzymujące się długotrwale zachowanie.
- 236.
-
Zdaniem organu nadzorczego orzeczona kara będzie również proporcjonalna do stwierdzonego naruszenia przepisów rozporządzenia 2016/679, w tym zwłaszcza do jego charakteru i wagi. Proporcjonalność zastosowanej sankcji wyraża się również w tym, że ustalona przez organ nadzorczy kwota kary nie będzie stanowić dla Ośrodka nadmiernego obciążenia. W szczególności jej zapłata nie wpłynie na zdolność administratora do wywiązywania się przez niego z ustawowych zadań. Zdaniem Prezesa UODO Ośrodek powinien i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych osobowych, stąd uzasadnione jest nałożenie na niego administracyjnej kary pieniężnej w wysokości 13 200 zł.
- 237.
-
W ocenie Prezesa UODO administracyjna kara pieniężna w wysokości 13 200 zł spełni również w tych konkretnych okolicznościach sprawy funkcję prewencyjną, albowiem wskaże tak Ośrodkowi, jak i innym administratorom (w szczególności zaś innym jednostkom sektora finansów publicznych), że organ nadzorczy – stojąc na straży przepisów o ochronie danych osobowych – będzie z pełną mocą egzekwował odpowiedzialność ww. podmiotów za stwierdzone naruszenia przepisów rozporządzenia 2016/679. Tym samym zastosowana w niniejszym postępowaniu sankcja zniechęci zarówno Ośrodek, jak i innych podobnych mu administratorów do popełniania w przyszłości takich samych lub zbliżonych przedmiotowo naruszeń.
-
-
4.6. Podsumowanie administracyjnych kar pieniężnych nałożonych na Ośrodek
- 238.
-
Uwzględniając ustalone okoliczności faktyczne i uwarunkowania prawne, Prezes UODO nałożył na Ośrodek trzy odrębne administracyjne kary pieniężne: karę za naruszenie art. 5 ust. 1 lit. f) i ust. 2, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 w wysokości 15 000 zł, karę za naruszenie art. 33 ust. 1 rozporządzenia 2016/679 w wysokości 5 500 zł, a także karę za naruszenie art. 34 ust. 1 rozporządzenia 2016/679 w wysokości 13 200 zł. Łączna wysokość kar nałożonych na Ośrodek wyniosła zatem 33 700 zł.
- 239.
-
W ocenie Prezesa UODO ww. sankcje finansowe spełniają funkcje kary określone w art. 83 ust. 1 rozporządzenia 2016/679 i stanowią adekwatną, a nade wszystko sprawiedliwą reakcję organu nadzorczego na stwierdzone naruszenia przepisów rozporządzenia 2016/679. Zastosowanie wobec Ośrodka jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b) rozporządzenia 2016/679), nie spełniałoby bowiem wymogu proporcjonalności, rozumianego jako konieczność zastosowania przez organ nadzorczy środka, który adekwatny jest w szczególności do wagi stwierdzonych nieprawidłowości. Odstąpienie od nałożenia administracyjnych kar pieniężnych nie gwarantowałoby również tego, że administrator nie dopuści się w przyszłości kolejnych naruszeń w zakresie ochrony danych osobowych.
-
Mając powyższe na uwadze, Prezes UODO orzekł, jak w sentencji.
-
-
[1] Dz. U. z 2025 r. poz. 1691.
[2] Dz. U. z 2019 r. poz. 1781 ze zm.
[3] Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.
[4] Dz. U. z 2025 r. poz. 1153 ze zm.
[5] Dz. U. z 2025 r. poz. 1214 ze zm.
[6] Dz. U. z 2025 r. poz. 1483 ze zm.
[7] „Naruszenie ochrony danych osobowych” – zob. art. 4 pkt 12 rozporządzenia 2016/679.
[8] „Przetwarzanie” – zob. art. 4 pkt 2 rozporządzenia 2016/679.
[9] „Dane osobowe” – zob. art. 4 pkt 1 rozporządzenia 2016/679.
[10] „Administrator” – zob. art. 4 pkt 7 rozporządzenia 2016/679.
[11] Zob. art. 2 pkt 11a i 12 oraz art. 34 ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi (Dz. U. z 2024 r. poz. 924, ze zm.).
[12] Zob. (…) (dostęp: 30.04.2026).
[13] Zob. (…) (dostęp: 30.04.2026).
[14] Zob. art. 30 ust. 1 rozporządzenia 2016/679.
[15] „XLSX” – otwarty format plików arkuszy kalkulacyjnych stosowany m.in. przez program Microsoft Excel, służący do przechowywania danych tabelarycznych wraz z ich strukturą i metadanymi.
[16] „X.” – system zarządzania treścią (CMS) umożliwiający tworzenie i obsługę stron internetowych oraz publikację plików i treści w strukturze serwera.
[17] Zob. C., Centrum pomocy, hasło „indeksowanie”, (…) (dostęp: 30.04.2026).
[18] Zob. EROD, Wytyczne 07/2020 dotyczące pojęć administratora i podmiotu przetwarzającego, Wersja 2.0, Przyjęta 7 lipca 2021 r., pkt 12, https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_pl.pdf (dostęp: 30.04.2026).
[19] Zob. tamże, pkt 13.
[20] Zob. pisma Ośrodka z 9 lipca 2021 r., 30 września 2022 r. i 10 sierpnia 2023 r.
[21] Zob. pisma Ośrodka z 9 lipca 2021 r., 30 września 2022 r. i 10 sierpnia 2023 r.
[22] Zob. tamże.
[23] Zob. pismo Ośrodka z 9 lipca 2021 r.
[24] Zob. pismo Ośrodka z 10 sierpnia 2023 r.
[25] Zob. pismo Ośrodka z 9 lipca 2021 r.
[26] Zob. tamże.
[27] Zob. pismo Ochotniczej Straży z 9 lipca 2021 r.
[28] Zob. polecenie Wojewody (…) z 14 marca 2020 r., nr (…), (…) (dostęp: 30.04.2026).
[29] Zob. Ministerstwo Rodziny, Pracy i Polityki Społecznej, Na co mogą liczyć osoby objęte kwarantanną?, https://www.gov.pl/web/rodzina/pomoc-osobom-w-kwarantannie2 (dostęp: 30.04.2026).
[30] Dz. U. z 2020 r. poz. 2261 ze zm.
[31] Zob. Statut Ochotniczej Straży Pożarnej w D., przyjęty (…) r., https://(…) (dostęp: 30.04.2026).
[32] Zob. pismo Ośrodka z 30 września 2022 r.
[33] Zob. wyrok TSUE z 5.12.2023 r., C-683/21, Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos przeciwko Valstybinė duomenų apsaugos inspekcija, ECLI:EU:C:2023:949.
[34] Zob. pismo koordynatora z 19 maja 2021 r.
[35] Zob. pismo Ochotniczej Straży z 9 lipca 2021 r.
[36] Zob. pismo Ośrodka z 10 sierpnia 2023 r.
[37] Zob. EROD, Wytyczne 07/2020…, dz. cyt., pkt 35.
[38] Zob. tamże, pkt 19.
[39] Dz. U. z 2022 r. poz. 679.
[40] Zob. P. Drobek [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, D. Lubasz, Warszawa 2018, art. 5, pkt 3.
[41] Zob. P. Barta, M. Kawecki, P. Litwiński [w:] P. Litwiński (red.), Ustawa o ochronie danych osobowych. Komentarz [w:] Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, wyd. 2, 2025, art. 24.
[42] Zob. P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. III, Warszawa 2025, art. 24.
[43] Zob. wyrok TSUE z 14.12.2023, C-340/21, ECLI:EU:C:2023:986.
[44] Zob. wyrok WSA w Warszawie z 17.03.2022, II SA/Wa 2516/21, https://orzeczenia.nsa.gov.pl/doc/E4A591D2AF (dostęp: 30.04.2026).
[45] Por. wyrok NSA w Warszawie z 5.07.2024, III OSK 2654/22; wyrok WSA w Warszawie z 26.08.2020, II SA/Wa 2826/19; wyrok WSA w Warszawie z 13.05.2023, II SA/Wa 2129/20; wyrok WSA w Warszawie z 5.10.2023, II SA/Wa 502/23; wyrok WSA w Warszawie z 27.02.2024, II SA/Wa 1404/23; wyrok WSA w Warszawie z 10.04.2025, II SA/Wa 1266/24; wyrok WSA w Warszawie z 17.04.2024, II SA/Wa 1342/23; wyrok WSA w Warszawie z 22.05.2025, II SA/Wa 45/25.
[46] Por. także wyrok NSA z 5.07.2024, III OSK 2654/22.
[47] Zob. wyrok WSA w Warszawie z 21.06.2023, II SA/Wa 150/23, https://orzeczenia.nsa.gov.pl/doc/8DFC7A2AF4 (dostęp: 30.04.2026). Por. także wyrok WSA w Warszawie z 21.10.2021, II SA/Wa 272/21; wyrok WSA w Warszawie z 6.06.2023, II SA/Wa 1939/22; wyrok WSA w Warszawie z 27.02.2024, II SA/Wa 1404/23; wyrok WSA w Warszawie z 10.04.2025, II SA/Wa 1266/24; wyrok WSA w Warszawie z 4.12.2025, II SA/Wa 1026/25.
[48] Zob. pismo Ośrodka z 10 sierpnia 2023 r.
[49] Por. wyrok WSA w Warszawie z 5.10.2023, II SA/Wa 502/23; wyrok WSA w Warszawie z 27.11.2024, II SA/Wa 251/24; wyrok WSA w Warszawie z 10.04.2025, II SA/Wa 1266/24.
[50] Zob. wyrok NSA z 09.02.2023, III OSK 3945/21, https://orzeczenia.nsa.gov.pl/doc/55C45FFD79 (dostęp: 30.04.2026). Por. także wyrok WSA w Warszawie z 27.11.2024, II SA/Wa 251/24.
[51] Zob. wyrok NSA z 09.02.2023, III OSK 3945/21. Por. także wyrok NSA z 12.06.2025, II SA/Wa 1394/22.
[52] Zob. wyrok NSA z 12.06.2025, III OSK 1394/22, https://orzeczenia.nsa.gov.pl/doc/5A82D60221 (dostęp: 30.04.2026). Por. także wyrok NSA z 7.02.2025, III OSK 6801/21; wyrok WSA w Warszawie z 4.12.2025, II SA/Wa 1026/25.
[53] Zob. EROD, Wytyczne 9/2022 dotyczące zgłaszania naruszenia ochrony danych osobowych na podstawie RODO, Wersja 2.0, Przyjęte 28 marca 2023 r., pkt 100-102, https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202209_personal_data_breach_notification_v2.0_pl_0.pdf (dostęp: 30.04.2026).
[54] Zob. tamże, pkt 7.
[55] Zob. tamże, pkt 24-25.
[56] Zob. tamże, pkt 28.
[57] Zob. tamże, pkt 15.
[58] Por. wyrok NSA z 1.10.25, III OSK 1830/22, https://orzeczenia.nsa.gov.pl/doc/3AABB6CADC (dostęp: 30.04.2026).
[59] Zob. tamże, pkt 103-120.
[60] „Dane dotyczące zdrowia” – zob. art. 4 pkt 15 rozporządzenia 2016/679.
[61] Karta Praw Podstawowych Unii Europejskiej (Dz. U. UE. C. z 2007 r. Nr 303, str. 1, ze zm.).
[62] Zob. wyrok TSUE z 01.08.2022, C-184/20, ECLI:EU:C:2022:601.
[63] Por. wyrok NSA z 1.10.25, III OSK 1830/22.
[64] Zob. tamże. Por. także wyrok NSA z 20.03.2025, III OSK 210/22; wyrok WSA w Warszawie z 22.09.2021, II SA/Wa 791/21; wyrok WSA w Warszawie z 21.01.2022, II SA/Wa 1353/21; wyrok WSA w Warszawie z 1.07.2022, II SA/Wa 4143/21; wyrok WSA w Warszawie z 31.08.2022, II SA/Wa 2993/21; wyrok WSA w Warszawie z 26.04.2023, II SA/Wa 1272/22; wyrok WSA w Warszawie z 4.12.2025, II SA/Wa 1026/25.
[65] Por. wyrok NSA z 20.03.2025, III OSK 210/22, https://orzeczenia.nsa.gov.pl/doc/2A441D7EDE (dostęp: 30.04.2026).
[66] Zob. EROD, Wytyczne 9/2022…, dz. cyt., pkt 31.
[67] Zob. tamże, pkt 40.
[68] Zob. wyrok NSA z 20.03.2025, III OSK 210/22.
[69] Dz. U. z 2025 r. poz. 1483, ze zm.
[70] Zob. EROD, Wytyczne 04/2022 w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO (wersja 2.1), przyjęte 24 maja 2023 r., zwane dalej „Wytycznymi 04/2022”, https://www.edpb.europa.eu/system/files/2024-01/edpb_guidelines_042022_calculationofadministrativefines_pl_0.pdf (dostęp: 30.04 2026 r.).
[71] Zob. P. Fajgielski, dz. cyt., art. 33.
[72] UODO, Obowiązki administratorów związane z naruszeniami ochrony danych osobowych. Poradnik na gruncie RODO. Wersja 2.0, str. 77 i 86.
[73] Zob. P. M. Przybysz [w:] Kodeks postępowania administracyjnego. Komentarz aktualizowany, LEX/el. 2024, art. 35.
[74] Zob. P. Fajgielski, dz. cyt., art. 5.
[75] Zob. Grupa Robocza ds. Ochrony Danych art. 29, Wytyczne w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 przyjęte w dniu 3 października 2017 r., zwane dalej „Wytycznymi WP 253”, rozdział III lit. a), https://ec.europa.eu/newsroom/article29/items/611237, (dostęp: 30.04.2026).
[76] Zob. wyrok TSUE z 14.12.2023 r., C-340/21, ECLI:EU:C:2023:986.
[77] Zob. P. Barta, M. Kawecki, P. Litwiński [w:] P. Litwiński (red.), dz. cyt., art. 83.
[78] Zob. UODO, dz. cyt., str. 77 i 86.