Decision logo
Warszawa, 13 czerwca 2026nieprawomocna

Decyzja DKN.5131.34.2023

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2025 r. poz. 1691), art. 7 ust. 1 i 2, art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781 ze zm.), a także art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. i), art. 83 ust. 1 - 3, art. 83 ust. 4 lit. a) w związku z 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2, a także 83 ust. 5 lit. a) w związku z art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej „rozporządzeniem 2016/679”,
po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez N. D., prowadzącego działalność gospodarczą pod nazwą G. (…), ul. (…), (…)-(…) C., Prezes Urzędu Ochrony Danych Osobowych,
stwierdzając naruszenie przez N. D., prowadzącego działalność gospodarczą pod nazwą G. (…), ul. (…), (…)-(…) C., art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, polegające na:
a)
niewdrożeniu odpowiednich środków technicznych i organizacyjnych na podstawie przeprowadzonej analizy ryzyka uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, zapewniających bezpieczeństwo przetwarzania danych przy użyciu poczty elektronicznej,
b)
niewdrożeniu odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych przetwarzanych przy użyciu poczty elektronicznej,
skutkujące naruszeniem art. 5 ust. 1 lit. f) rozporządzenia 2016/679 (zasada integralności i poufności) oraz art. 5 ust. 2 rozporządzenia 2016/679 (zasada rozliczalności),
nakłada na N. D., prowadzącego działalność gospodarczą pod nazwą G. (…) za naruszenie przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, administracyjną karę pieniężną w wysokości 11 594 zł (słownie: jedenaście tysięcy pięćset dziewięćdziesiąt cztery złote).

Uzasadnienie

1.
N. D. prowadzi działalność gospodarczą pod nazwą G. (…), ul. (…), (…)-(…) C. (dalej jako „Administrator”). Zgodnie z wpisem do Centralnej Ewidencji i Informacji o Działalności Gospodarczej Rzeczypospolitej Polskiej, przeważającą działalnością gospodarczą Administratora jest działalność rachunkowo - księgowa oraz doradztwo podatkowe.
2.
22 stycznia 2021 r. Administrator dokonał Prezesowi Urzędu Ochrony Danych Osobowych (zwanemu dalej także „Prezesem UODO” lub „organem nadzorczym”) wstępnego zgłoszenia naruszenia ochrony danych osobowych, które stwierdzone zostało 21 stycznia 2021 r. Zgłoszenie zostało zarejestrowane pod sygn. DKN.5130.719.2021. 25 stycznia 2021 r. Administrator przesłał zgłoszenie uzupełniające zawierające zaktualizowane informacje w sprawie ww. naruszenia. Naruszenie ochrony danych osobowych polegało na uzyskaniu przez nieuprawniony podmiot dostępu do konta poczty elektronicznej pracownika, na którym zapisane były dane osobowe przetwarzane przez Administratora. Zgodnie ze zgłoszeniami, naruszenie dotyczyło „klientów (…) oraz ich pracowników oraz ich dzieci zgłaszanych przez Kancelarię do ubezpieczeń ZUS”. W przejętej skrzynce przetwarzano dane (…) osób.
3.
Przedmiotowe zgłoszenie naruszenia ochrony danych osobowych stało się dla Prezesa UODO impulsem do dokonania oceny realizacji przez Administratora spoczywających na nim obowiązków wynikających z przepisów rozporządzenia 2016/679 dotyczących właściwego zabezpieczenia danych oraz organizacji systemu ochrony danych osobowych w obszarze zarządzania danymi w postaci elektronicznej, w tym za pośrednictwem poczty elektronicznej. W związku z powyższym Prezes UODO przeprowadził postępowanie wyjaśniające, a następnie wszczął z urzędu 12 grudnia 2023 r. postępowanie administracyjne w zakresie możliwości naruszenia przez Administratora obowiązków wynikających z art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679. Organ nadzorczy dokonał ustaleń na podstawnie informacji podanych w zgłoszeniu naruszenia ochrony danych osobowych z 22 stycznia 2021 r. i 25 stycznia 2021 r. oraz wyjaśnień i dowodów przedstawionych na ich potwierdzenie, złożonych przez Administratora pismami z 27 września 2021 r. (data wpływu do UODO), 26 października 2021 r., 28 października 2022 r., 1 grudnia 2022 r., 20 grudnia 2023 r., 23 października 2025 r. oraz 22 kwietnia 2026 r. Na podstawie ww. pism oraz załączonych do nich dowodów Prezes UODO ustalił stan faktyczny przedmiotowej sprawy.

I. Stan faktyczny

4.
W ramach prowadzonej działalności Administrator przetwarza dane osobowe klientów również w postaci elektronicznej. Do przetwarzania danych osobowych wykorzystywana jest m.in. poczta elektroniczna.
5.
W dniu 22 stycznia 2021 r. Administrator dokonał wstępnego zgłoszenia naruszenia ochrony danych osobowych, które stwierdzone zostało 21 stycznia 2021 r. Zgodnie ze zgłoszeniem, naruszenie ochrony danych osobowych polegało na uzyskaniu przez niepowołaną osobę dostępu do konta e-mail (…). Administrator wskazał, że do przejęcia konta doszło (…) r., ok. godz. (…). Naruszenie dotyczyło danych osobowych w postaci: imienia i nazwiska, imion rodziców, daty urodzenia, nr rachunku bankowego, adresu zamieszkania lub pobytu, nr PESEL, adresu e-mail, danych dotyczących zarobków, serii i numeru dowodu osobistego, nr telefonu, wizerunku oraz danych zawartych w paszportach, świadectwach pracy, formularzach PCC-3 (deklaracje w sprawie podatku od czynności cywilnoprawnych) i kwestionariuszach osobowych. Dnia 25 stycznia 2021 r. do Prezesa UODO wpłynęło zgłoszenie uzupełniające w zakresie ww. naruszenia ochrony danych osobowych. W przejętej skrzynce przetwarzano łącznie dane osobowe (…) podmiotów danych, w tym klientów G. (…), pracowników tych klientów oraz ich dzieci zgłaszanych przez Administratora do ubezpieczenia zdrowotnego ZUS.
6.
Pismem z 1 grudnia 2022 r. Administrator wyjaśnił, że „Ostatecznie nie potwierdzono naruszenia przetwarzania danych osobowych, na poziomie administratora ani na poziomie dostawcy usługi”. Uzupełniając powyższe stwierdzenie, w piśmie z 20 grudnia 2023 r., Administrator wyjaśnił m.in., że specjalista świadczący usługi informatyczne nie stwierdził nieprawidłowości po ujawnieniu naruszenia, a samo wysyłanie wiadomości SPAM nie jest jednoznaczne z pozyskaniem danych przez hakera.
7.
Powyższe stwierdzenie Administratora stoi w sprzeczności z zebranym w toku postępowania materiałem dowodowym, zgodnie z którym nieuprawniony podmiot uzyskał dostęp do skrzynki pocztowej administratora ponieważ:
w zgłoszeniach naruszenia ochrony danych osobowych Administrator wskazał, że konto służbowe, z którego wysyłany był spam, używane było przez pracownika sporadycznie. Z treści tych zgłoszeń wynika, że pracownik Administratora nie logował się do konta w czasie, kiedy miała miejsce wysyłka spamu,
dostawca usługi hostingowej pismem z 26 października 2021 r. wyjaśnił, że do zablokowania skrzynki doszło w związku z zadziałaniem automatycznego mechanizmu (…) zabezpieczającego przed wysyłaniem spamu (pismo dostawcy usługi hostingowej stanowi załącznik do pisma administratora z 28 października 2022 r.),
Administrator nie jest w stanie ustalić okoliczności, w jakich doszło do wysyłania spamu z jego skrzynki pocztowej. Administrator nie posiadał dostępu do logów ani innych środków technicznych pozwalających ustalić, czy doszło do skopiowania danych przez nieuprawniony podmiot,
Administrator nie udokumentował, że nie doszło do naruszenia ochrony danych osobowych. W korespondencji e-mail z 22 stycznia 2021 r. podmiot świadczący na rzecz Administratora usługę hostingu wyjaśnił, że „My niestety nie wiemy, czy w ogóle i w jaki sposób mogło dojść do włamania lub przejęcia dostępu do skrzynki. Takiej informacji nie ma po stronie elementów serwera pocztowego, na którym zapisują się tylko szczegóły dotyczące wysyłania lub odbierania wiadomości” (ww. korespondencja e-mail stanowi załącznik do pisma Administratora z dnia 26 października 2021 r.),
oświadczenie specjalisty świadczącego usługi informatyczne z 22 stycznia 2021 r., na które powołuje się Administrator o treści „Informuję, że weryfikacja wszystkich komputerów, haseł oraz programów antywirusowych nie wykazała nieprawidłowości. Nie stwierdzam też wycieku haseł”, nie zawiera odniesienia do zakresu ani metod przeprowadzonego sprawdzenia, a Administrator nie udokumentował również, w jaki sposób ustalono, że nie doszło do przejęcia skrzynki pocztowej przez nieuprawniony podmiot.
8.
Przed stwierdzeniem naruszenia ochrony danych osobowych Administrator nie posiadał odrębnych regulacji dotyczących ochrony danych osobowych. W odpowiedzi na wezwanie Prezesa UODO dotyczące wskazania pełnego opisu przyjętych środków zabezpieczenia technicznego i organizacyjnego mających zapewnić bezpieczeństwo przetwarzania, pismem z 26 października 2021 r. Administrator wyjaśnił, że
W celu zabezpieczenia technicznego i organizacyjnego mających zapewnić bezpieczeństwo przetwarzania podjęto następujące środki:
1)
(…),
2)
(…),
3)
(…),
4)
(…),
5)
(…)”
9.
Administrator przedstawił również dokument o nazwie „Kodeks postępowania dla doradców podatkowych w sprawie ochrony danych osobowych” opracowany przez Krajową Izbę Doradców Podatkowych. Przedmiotowy dokument nie stanowi kodeksu postępowania w rozumieniu art. 40 rozporządzenia 2016/679. Administrator nie wskazał, czy i w jakim zakresie ten dokument był stosowany. Odpowiadając na pytanie, czy skuteczność stosowanych środków technicznych mających zapewnić bezpieczeństwo przetwarzania była regularnie testowana, mierzona oraz oceniania przez administratora przed stwierdzeniem naruszenia ochrony danych osobowych, pismem z 26 października 2021 r. Administrator wyjaśnił, że „Skuteczność stosowanych środków technicznych mających zapewnić bezpieczeństwo przetwarzania nie była regularnie ani testowana, ani mierzona przez Administratora, jednakże była ona testowana i mierzona przez V.” (dostawca usługi hostingowej, w tym poczty elektronicznej).
10.
Przed stwierdzeniem naruszenia ochrony danych osobowych Administrator nie przeprowadzał analizy ryzyka dla procesu przetwarzania danych osobowych za pośrednictwem systemów objętych naruszeniem. Wyjaśnienia Administratora w tym zakresie zawarte zostały w piśmie z 28 października 2022 r.
11.
Po stwierdzeniu naruszenia ochrony danych osobowych, w dniu 15 listopada 2021 r. na zlecenie Administratora wykonany został audyt infrastruktury informatycznej. W wyniku audytu m.in. skatalogowano infrastrukturę informatyczną oraz opracowano zalecenia zmierzające do poprawy działania dla poszczególnych jej obszarów (raport z audytu stanowi załącznik do pisma Administratora z 1 grudnia 2022 r.).
12.
10 listopada 2022 r. Administrator przeprowadził analizę ryzyka związanego z przetwarzaniem danych osobowych. W przeprowadzonej analizie m.in. zidentyfikowane zostały zagrożenia mogące wystąpić w procesie przetwarzania danych osobowych. Ryzyko dla poszczególnych zagrożeń oszacowane zostało zgodnie z przyjętą metodyką, z uwzględnieniem skutków i prawdopodobieństwa wystąpienia zagrożenia (dokument „Analiza (…)” stanowi załącznik do pisma Administratora z dnia 20 grudnia 2023 r.).
13.
Jednocześnie z przeprowadzeniem analizy ryzyka została opracowana i wdrożona Polityka (…). Dodatkowo 15 marca 2023 r. wdrożone zostały procedura nadawania haseł oraz polityka czystego biurka i ekranu. Administrator przeprowadził również szkolenia dla pracowników związane z bezpieczeństwem przetwarzania danych osobowych (dokumenty: „Procedura (…)”, „Procedura (…)” oraz karty szkoleń z (…) 2023 r. stanowią załączniki do pisma Administratora z 20 grudnia 2023 r.).
14.
Odpowiadając na pytanie, czy skuteczność stosowanych środków technicznych mających zapewnić bezpieczeństwo przetwarzania była regularnie testowana, mierzona oraz oceniana przez administratora po naruszeniu ochrony danych osobowych, pismem z 20 grudnia 2023 r. Administrator przedstawił podjęte czynności mające na celu testowanie, mierzenie i ocenianie stosowanych środków technicznych. Administrator udokumentował m.in. kontrole zastosowania programów antywirusowych oraz kontrolę urządzenia chroniącego przed skutkami awarii zasilania (raporty z przeprowadzanych kontroli stanowią załączniki do pisma Administratora z 20 grudnia 2023 r.).
15.
Pismem z 20 grudnia 2023 r. Administrator oświadczył również, że w ramach regularnego testowania, mierzenia i oceniania stosowanych środków technicznych przeprowadzony został audyt wdrożonych procedur oraz dokumentacji pod kątem prawidłowości przestrzegania rozporządzenia 2016/679 przez niezależnego audytora (raport z audytu z (…) 2023 r. stanowi załącznik do pisma Administratora z 20 grudnia 2023 r.).
W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

II. Informacje ogólne.

16.
Zgodnie z art. 4 pkt 7) rozporządzenia 2016/679 - „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. W przedmiotowej sprawie administratorem danych jest N. D., prowadzący działalność gospodarczą pod nazwą G. (…) z siedzibą w C.. Administrator, zgodnie z przedmiotem działalności opisanym w CEIDG, prowadzi działalność rachunkowo - księgową oraz doradztwo podatkowe. W ramach tej działalności Administrator przetwarza dane osobowe klientów, pracowników oraz innych osób, których dane są niezbędne do realizacji świadczonych usług (pracownicy klientów oraz ich dzieci zgłoszone do ubezpieczenia), określając cele i sposoby tego przetwarzania.
17.
Zgodnie z art. 34 u.o.d.o.[1], Prezes UODO jest organem właściwym w sprawie ochrony danych i organem nadzorczym w rozumieniu rozporządzenia 2016/679. Stosownie do art. 57 ust. 1 lit. a) i h) rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia oraz prowadzi postępowania w sprawie naruszenia niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego.
18.
Art. 5 rozporządzenia 2016/679 formułuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 lit. f) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („poufność i integralność”). Stosownie zaś do art. 5 ust. 2 rozporządzenia 2016/679, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).
19.
Konkretyzację zasady poufności, o której mowa w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, stanowią dalsze przepisy tego aktu prawnego. Zgodnie z art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
20.
W myśl art. 25 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator - zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania - wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.
21.
Z treści art. 32 ust. 1 rozporządzenia 2016/679 wynika, że administrator jest zobowiązany do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Przepis precyzuje, że decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, powinny obejmować środki takie, jak pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
22.
Jak wskazuje art. 24 ust. 1 rozporządzenia 2016/679, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze są czynnikami, które administrator ma obowiązek uwzględniać w procesie budowania systemu ochrony danych, również w szczególności z punktu widzenia pozostałych obowiązków wskazanych w art. 25 ust. 1, art. 32 ust. 1 czy art. 32 ust. 2 rozporządzenia 2016/679. Wskazane przepisy uszczegóławiają zasadę poufności określoną w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, a przestrzeganie tej zasady jest konieczne dla prawidłowej realizacji zasady rozliczalności wynikającej z art. 5 ust. 2 rozporządzenia 2016/679.
23.
Jedną z podstaw prawnej ochrony danych osobowych wprowadzoną rozporządzeniem 2016/679 jest obowiązek zapewnienia bezpieczeństwa przetwarzanych danych, określony między innymi w art. 32 ust. 1 rozporządzenia 2016/679. Przepis ten wprowadza podejście oparte na ryzyku, wskazując jednocześnie kryteria, w oparciu o które administrator powinien dokonać wyboru odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Obok ryzyka naruszenia praw lub wolności osób fizycznych należy zatem uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania.
24.
Rozporządzenie 2016/679 wprowadziło zatem podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty, które przetwarzają dane osobowe, zobligowane są nie tylko do zapewnienia zgodności z wytycznymi ww. rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka. Konsekwencją takiego podejścia jest rezygnacja z list wymagań, w zakresie bezpieczeństwa narzuconych przez prawodawcę, na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Przepisy rozporządzenia 2016/679 co do zasady nie wskazują zamkniętego katalogu konkretnych środków i procedur bezpieczeństwa, pozostawiając ich dobór administratorowi, który powinien kierować się wynikami analizy ryzyka.
25.
W świetle powyższego wskazać należy, że analiza ryzyka przeprowadzana przez administratora powinna zostać udokumentowana oraz uzasadniona na podstawie przede wszystkim określenia stanu faktycznego, istniejącego w momencie jej przeprowadzania. Należy wziąć pod uwagę w szczególności charakterystykę zachodzących procesów, aktywa, podatności, zagrożenia oraz istniejące zabezpieczenia, w ramach zachodzących procesów przetwarzania danych osobowych. Nie można również w trakcie tego procesu pominąć zakresu oraz charakteru danych osobowych przetwarzanych w toku czynności realizowanych przez administratora, ponieważ od zakresu oraz charakteru ujawnionych danych zależeć będą potencjalne negatywne skutki dla osoby fizycznej w przypadku naruszenia ochrony jej danych osobowych.
26.
Aby analiza ryzyka została przeprowadzona w sposób właściwy, winny być zdefiniowane dla każdego z aktywów zagrożenia, mogące wystąpić w procesach przetwarzania danych. Pojęcie aktywów używane jest dla wskazania wszystkiego, co stanowi wartość dla administratora danych. Pewne aktywa stanowić będą wartość wyższą od innych, i również z tej perspektywy winny być oceniane i zabezpieczane. Bardzo istotne są również wzajemne powiązania występujących aktywów, np. poufność aktywów (danych osobowych) zależna będzie od rodzaju i sposobu przetwarzania tych danych. Ustalenie wartości aktywów jest konieczne do oszacowania skutków ewentualnego incydentu (naruszenia ochrony danych osobowych). Jest oczywistym, że szeroki zakres danych osobowych lub przetwarzanie danych osobowych, o których mowa w art. 9 ust. 1 lub art. 10 rozporządzenia 2016/679, może spowodować (w przypadku wystąpienia naruszenia ochrony danych osobowych) daleko idące negatywne skutki dla osób, których dane dotyczą, więc winny one być oceniane jako aktywa o wysokiej wartości, a co za tym idzie stopień ich ochrony powinien być odpowiednio wysoki.
27.
Określenie istniejących lub stosowanych zabezpieczeń jest konieczne, między innymi w tym celu, aby ich nie powielać. Należy również bezwzględnie sprawdzić skuteczność funkcjonowania tych zabezpieczeń, ponieważ istnienie zabezpieczenia niesprawdzonego po pierwsze może wyeliminować jego wartość, po drugie zaś może dać fałszywe poczucie bezpieczeństwa oraz może skutkować pominięciem (niewykryciem) krytycznej podatności, która wykorzystana spowoduje bardzo negatywne skutki, w tym w szczególności może doprowadzić do naruszenia ochrony danych osobowych.
28.
Konieczność przeprowadzenia analizy ryzyka podkreślona jest także w orzecznictwie. W tym przedmiocie wypowiedział Wojewódzki Sąd Administracyjny w Warszawie (zwany dalej „WSA”) w wyroku z 5 października 2023 r., sygn. akt II SA/Wa 502/23, gdzie podniósł, że „(…) Administrator danych powinien zatem przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia” (podobnie WSA wypowiedział się w wyrokach z 13 maja 2021 r., sygn. II SA/Wa 2129/20, 27 lutego 2024 r., sygn. akt II SA/Wa 1404/23, oraz 10 kwietnia 2025 r., sygn. II SA/Wa 1266/24). Z kolei w wyroku z 18 marca 2026 r., sygn. akt II SA/Wa 807/25, WSA podkreślił, że „(…) bez dokonania analizy ryzyka Spółka nie może skutecznie identyfikować i zarządzać zagrożeniami, jak również wykazać, że funkcjonujące w niej środki bezpieczeństwa przetwarzania danych są dobrane odpowiednio do istniejących zagrożeń”, a także „Prawidłowo przeprowadzona analiza ryzyka pozwala na zidentyfikowanie luk w systemie ochrony danych, które w codziennej pracy są niezauważalne i przyjęcie odpowiednich środków ochrony”.
29.
WSA w uzasadnieniu wyroku z 26 sierpnia 2020 r., sygn. akt II SA/Wa 2826/19 (utrzymanym przez NSA wyrokiem z 28 lutego 2024 r., sygn. akt III OSK 3839/21), wskazał, że „(…) Przepis ten [art. 32 rozporządzenia 2016/679] nie wymaga od administratora danych wdrożenia jakichkolwiek środków technicznych i organizacyjnych, które mają stanowić środki ochrony danych osobowych, ale wymaga wdrożenia środków adekwatnych. Taką adekwatność oceniać należy pod kątem sposobu i celu, w jakim dane osobowe są przetwarzane, ale też należy brać pod uwagę ryzyko związane z przetwarzaniem tych danych osobowych, które to ryzyko charakteryzować się może różną wysokością. Przyjęte środki mają mieć charakter skuteczny, w konkretnych przypadkach niektóre środki będą musiały być środkami o charakterze niwelującym niskie ryzyko, inne - muszą niwelować ryzyko wysokie, ważne jednak jest, aby wszystkie środki (a także każdy z osobna) były adekwatne i proporcjonalne do stopnia ryzyka (…) czynności o charakterze techniczno-organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych (…)”. Ponadto, w wyroku z 5 października 2023 r., sygn. akt II SA/Wa 502/23, WSA podniósł, że „organ nadzorczy nie jest zobowiązany do wskazywania Administratorowi rozwiązań technicznych i organizacyjnych, które powinien on wdrożyć, aby przetwarzanie danych osobowych odbywało się zgodnie z prawem. To zadaniem Administratora jest wprowadzenie tych środków, a następnie - jeżeli pojawi się taka konieczność - wykazanie, że przestrzega on zasad przetwarzania danych osobowych określonych w rozporządzeniu 2016/679, zgodnie z zasadą rozliczalności (art. 5 ust. 2 ww. rozporządzenia)”. Podobnie wypowiedział się WSA w wyroku z 27 listopada 2024 r., sygn. II SA/Wa 251/24, dodatkowo wskazując, że „Zadaniem Prezesa UODO jest natomiast weryfikacja adekwatności tych środków, którą organ przeprowadza w oparciu o przedłożone przez administratora dokumenty, takie jak między innymi analiza ryzyka, polityka bezpieczeństwa, czy umowa powierzenia przetwarzania danych”.

III. Naruszenie przepisów rozporządzenia 2016/679 w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych na podstawie przeprowadzonej analizy ryzyka uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, zapewniających bezpieczeństwo przetwarzania danych przy użyciu poczty elektronicznej

30.
Odnosząc powyższe rozważenia do stanu faktycznego przedmiotowej sprawy wskazać należy, że Administrator był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych osobowych poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych. Środki te powinny uwzględniać charakter przetwarzania danych osobowych związany z celem w postaci prowadzonej działalności gospodarczej, dużą liczbę osób, potencjalnie wszystkich pracowników i klientów oraz szeroki zakres danych osobowych (imiona i nazwiska, imiona rodziców, daty urodzenia, nr rachunku bankowego, adresy zamieszkania lub pobytu, nr PESEL, adresy e-mail, dane dotyczące zarobków, seria i numer dowodu osobistego, nr telefonu, wizerunek oraz dane zawarte w paszportach, świadectwach pracy, formularzach PCC-3 i kwestionariuszach osobowych), których ujawnienie lub utrata dostępności może powodować wysokie ryzyko dla praw lub wolności osób fizycznych. Dobór tych środków powinien natomiast być efektem przeprowadzonej analizy ryzyka z uwzględnieniem kryteriów opisanych w art. 32 ust. 1 rozporządzenia 2016/679.
31.
Jak wynika z ustaleń stanu faktycznego (pkt 10 uzasadnienia decyzji), Administrator przed naruszeniem ochrony danych osobowych nie przeprowadzał analizy ryzyka związanego z przetwarzaniem danych osobowych. Wobec nieprzeprowadzenia takiej analizy Administrator nie był w stanie wykazać przed organem nadzorczym, że stosowane wówczas przez niego środki bezpieczeństwa były odpowiednie.
32.
Dopiero po ujawnieniu naruszenia ochrony danych osobowych, w trakcie prowadzonego przez Prezesa UODO postępowania, Administrator podjął działania mające na celu realizację wymogów wynikających z rozporządzenia 2016/679 i przeprowadził 10 listopada 2022 r. analizę ryzyka. Przeprowadzając analizę ryzyka Administrator uwzględnił m.in. zagrożenia związane z atakiem hakerskim, wejściem w posiadanie danych osobowych przez osobę nieuprawnioną, czy udostępnieniem danych osobowych osobie nieupoważnionej. Ryzyko dla poszczególnych zagrożeń ocenione zostało przy uwzględnieniu zarówno prawdopodobieństwa, jak i skutków dla ochrony danych osobowych w przypadku jego materializacji. Określone zostały kryteria, na jakich dokonywana była ocena. Jak wskazał WSA w Warszawie w wyroku z 27 lutego 2024 r., sygn. akt II SA/Wa 1404/23 „(…) nie ulega wątpliwości to, że aby analiza ryzyka została w ogóle przeprowadzona w sposób właściwy, winny być przez administratora prawidłowo zdefiniowane zagrożenia, mogące wystąpić w procesie przetwarzania danych”.
33.
Wraz z przeprowadzeniem analizy ryzyka Administrator wdrożył Politykę (…). Następnie wdrożone zostały procedura nadawania haseł oraz polityka czystego biurka i ekranu. Przeprowadzono również szkolenia dla pracowników w obszarze bezpieczeństwa przetwarzania danych osobowych.
IV.
Naruszenie przepisów rozporządzenia 2016/679 w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych przetwarzanych przy użyciu poczty elektronicznej
34.
Kolejnym aspektem ochrony danych osobowych, który jest istotny z punktu widzenia rozstrzygnięcia zawartego w przedmiotowej decyzji, jest konieczność prowadzenia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych. Zarządzanie ryzykiem jest bowiem jednym z podstawowych elementów systemu ochrony danych osobowych i ma charakter ciągłego procesu. Po przeprowadzeniu analizy ryzyka i wdrożeniu na jej podstawie odpowiednich zabezpieczeń powinna następować okresowa weryfikacja zarówno adekwatności, jak i skuteczności zastosowanych zabezpieczeń, stosownie do wymogu przewidzianego w art. 32 ust. 1 lit. d) rozporządzenia 2016/679. Administrator danych powinien zatem regularnie testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania. Jak wskazał WSA w wyroku z 6 czerwca 2023 r., sygn. akt II SA/Wa 1939/22 (orzeczenie prawomocne), „(…) powinność regularnego testowania środków technicznych i organizacyjnych, zabezpieczenia przetwarzania danych osobowych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w rozumieniu art. 32 ust. 1 zd. wstępne RODO, wynika wprost z brzmienia lit. d wskazanego art. 32 ust. 1, zaś powinność dokumentowania czynności w danym zakresie statuuje zasada rozliczalności (art. 5 ust. 2 RODO)”. Podobnie WSA wypowiedział się w wyroku z 21 czerwca 2023 r., sygn. akt II SA/Wa 150/23, wskazując, że „Podkreślenia wymaga, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem każdego administratora oraz podmiotu przetwarzającego wynikającym z art. 32 ust 1 lit. d) RODO. Administrator zobowiązany jest więc do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych na każdym etapie przetwarzania. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania”.
35.
W tym zakresie Administrator złożył wyjaśnienia (pkt 9 uzasadnienia decyzji), z których wynika, że przed wystąpieniem naruszenia ochrony danych osobowych wynikające z art. 32 ust. 1 lit. d) rozporządzenia 2016/679 obowiązki nie były przez niego realizowane. Administrator wskazał, że w zakresie środków technicznych ich skuteczność była mierzona i testowana przez dostawcę usługi hostingowej, w tym poczty elektronicznej. Podkreślić zatem należy, że przepisy art. 32 ust. 1 i 2 rozporządzenia 2016/679 nakłada obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych (w tym ich regularnego testowania, mierzenia i oceniania) na administratora niezależnie od obowiązków podmiotu przetwarzającego. Wynika z tego, że odpowiedzialność administratora jest autonomiczna - jej źródłem jest własne działanie lub zaniechanie administratora. Administrator nie może zwolnić się z odpowiedzialności poprzez powołanie się na działania podmiotu, któremu powierzył przetwarzanie danych osobowych, a więc np. na działania hostingodawcy.
36.
W Wytycznych 07/2020 (wersja 2.0 przyjęta 7 lipca 2021 r.) dotyczących pojęć administratora i podmiotu przetwarzającego zawartych w RODO wydanych przez Europejską Radę Ochrony Danych, w pkt 135 jednoznacznie wskazano: „Przechodząc do konkretnych obowiązków, podmiot przetwarzający ma po pierwsze obowiązek pomagać administratorowi w spełnieniu obowiązku przyjęcia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania. Chociaż obowiązek ten może się do pewnego stopnia pokrywać z wymogiem, aby podmiot przetwarzający sam przyjął odpowiednie środki bezpieczeństwa, w przypadku gdy operacje przetwarzania prowadzone przez podmiot przetwarzający wchodzą w zakres RODO, pozostają one dwoma odrębnymi obowiązkami, ponieważ jeden odnosi się do środków własnych podmiotu przetwarzającego, a drugi do środków administratora”.
37.
Dodatkowo należy wskazać, że opisywane testowanie, mierzenie i ocenianie musi dotyczyć nie tylko wprowadzonych środków o charakterze technicznym, ale również tych o charakterze organizacyjnym, a więc m.in. procedur określających zasady przetwarzania danych osobowych. Natomiast w przedmiotowej sprawie testowanie, mierzenie i ocenianie realizowane przez dostawcę usługi hostingowej odnosiło się jedynie do środków technicznych.
38.
W przedmiotowym stanie faktycznym uznać zatem należy, że Administrator przed stwierdzeniem naruszenia ochrony danych osobowych, z uwagi na brak wykazania podejmowania własnych działań w tym zakresie, nie wywiązywał się z nałożonego na niego obowiązku dotyczącego regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych, co stanowi o naruszeniu przez niego art. 32 ust. 1 rozporządzenia 2016/679.
39.
Dopiero po ujawnieniu naruszenia ochrony danych osobowych Administrator podjął działania zmierzające do realizacji obowiązków wynikających z art. 32 ust. 1 lit. d) rozporządzenia 2016/679 w zakresie regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych. Jak wynika ze zgromadzonego materiału dowodowego, Administrator po wystąpieniu naruszenia ochrony danych osobowych, 15 listopada 2021 r., przeprowadził audyt infrastruktury informatycznej. Wdrożona została również Polityka (…), która następnie po dokonanym przeglądzie regulacji uzupełniona została o kolejne postanowienia. Po wystąpieniu ww. naruszenia Administrator udokumentował, że samodzielnie wykonuje czynności kontrolne mające zapewnić bezpieczeństwo przetwarzania danych osobowych (np. bieżąca kontrola aktualności zabezpieczeń antywirusowych). W ramach regularnego testowania, mierzenia i oceniania stosowanych środków, w lutym 2023 r. (raport z (…) 2023 r.) przeprowadzony został również audyt wdrożonych procedur oraz dokumentacji.

V. Podsumowanie stwierdzonych naruszeń przepisów rozporządzenia 2016/679

40.
Ustosunkowując się do twierdzeń Administratora, że „Ostatecznie nie potwierdzono naruszenia przetwarzania danych osobowych, na poziomie administratora ani na poziomie dostawcy usługi” wskazać należy, że fakt, czy doszło do naruszenia ochrony danych osobowych w rozumieniu art. 4 pkt 12) rozporządzenia 2016/679 nie jest determinujący dla rozstrzygnięcia w przedmiotowej sprawie, bowiem (co wskazano na wstępie decyzji) przedmiotowe postępowanie nie było prowadzone w przedmiocie zgłoszonego przez Administratora naruszenia ochrony danych osobowych. Powyższe wyjaśnienia Administratora w tym zakresie nie wpływają zatem na zmianę dokonanych przez Prezesa UODO ustaleń w zakresie naruszenia przez niego obowiązków wynikających z art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, a w konsekwencji również naruszenia art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679. Jak wskazuje Naczelny Sąd Administracyjny w wyroku z 9 lutego 2023 r., sygn. III OSK 3945/21, „Sankcji administracyjnej za naruszenie obowiązków wskazanych w art. 32 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (…) podlega nie ten, kto jako administrator albo podmiot przetwarzający dopuścił do nieuprawnionego przetwarzania danych osobowych, a tylko podmiot, który nie dochował odpowiedniego, w danych okolicznościach, standardu środków bezpieczeństwa”.
41.
Na marginesie Prezes UODO wskazuje, że zgodnie z art. 4 pkt 12) rozporządzenia 2016/679, „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Fakt, na który powołuje się Administrator, że nie potwierdzono pozyskania danych osobowych przez podmiot nieuprawniony nie stanowi, że nie doszło do naruszenia ochrony danych osobowych. Ze zgromadzonego materiału dowodowego wynika, że wysyłki korespondencji nie dokonywał pracownik Administratora, lecz należąca do niego skrzynka pocztowa została wykorzystana przez nieuprawniony podmiot. Sam fakt nieuprawnionego dostępu do danych znajdujących się na tej skrzynce stanowi, że doszło do naruszenia ochrony danych osobowych.
42.
W konsekwencji, dokonane ustalenia nie dają podstawy do stwierdzenia, że stosowane przez Administratora środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych osobowych przetwarzanych w ramach poczty elektronicznej były adekwatne do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania. Związane jest to przede wszystkim z brakiem analizy ryzyka wiążącego się z przetwarzaniem danych osobowych oraz brakiem regularnego testowania, mierzenia i oceniania skuteczności zastosowanych środków bezpieczeństwa. Nieprzeprowadzenie analizy ryzyka w konsekwencji spowodowało, że Administrator w sposób dowolny dobierał różnego rodzaju środki organizacyjne i techniczne, co mogło zwiększać prawdopodobieństwo wystąpienia naruszenia ochrony danych osobowych. Dopiero w toku prowadzonego przez Prezesa UODO postępowania, w dniu 10 listopada 2022 r. Administrator przeprowadził analizę ryzyka związanego z przetwarzaniem danych osobowych.
43.
Wobec braku ustalenia i wdrożenia przez Administratora na podstawie przeprowadzonej analizy ryzyka w okresie od 25 maja 2018 r. do 10 listopada 2022 r. adekwatnych środków technicznych i organizacyjnych mających na celu zminimalizowanie ryzyka naruszenia bezpieczeństwa danych, a także wobec braku regularnego testowania, mierzenia i oceniania skuteczności zastosowanych środków bezpieczeństwa w tym obszarze (jako pierwsze działanie w celu realizacji ww. obowiązku należy uznać dopiero audyt infrastruktury informatycznej z 15 listopada 2021 r., natomiast za całościową realizację ww. obowiązku przeprowadzenie w lutym 2023 r. - raport z (…) 2023 r. - audytu wdrożonych procedur oraz dokumentacji, gdyż wówczas wymaganym testowaniem objęte zostały zarówno środki o charakterze technicznym, jak i organizacyjnym) stwierdzić należy, że Administrator nie zapewnił odpowiedniego do ryzyka poziomu zabezpieczenia danych. Tym samym nie można uznać, aby Administrator uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, wdrożył odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, co stanowi o naruszeniu przez Administratora art. 32 ust. 1 i 2 rozporządzenia 2016/679. Powyższe okoliczności przesądzają również o niewdrożeniu przez Administratora odpowiednich środków technicznych zarówno przy określaniu sposobów przetwarzania, jak i w czasie przetwarzania danych osobowych, aby przetwarzanie to odbywało się zgodnie z rozporządzeniem 2016/679 i w celu nadania przetwarzaniu niezbędnych zabezpieczeń, oraz braku uaktualnienia środków bezpieczeństwa, do czego był on zobowiązany zgodnie z art. 24 ust. 1 i art. 25 ust. 1 rozporządzenia 2016/679.
44.
Naruszenie ww. przepisów rozporządzenia 2016/679 stanowi również o naruszeniu zasady integralności i poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, której ww. przepisy są uszczegółowieniem. Następstwem zaś naruszenia przez Administratora tej zasady jest naruszenie zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679. Jak wynika z orzeczenia WSA z 10 lutego 2021 r., sygn. II SA/Wa 2378/20, „Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych”. Podobnie kwestię zasady rozliczalności interpretuje WSA w wyroku z 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19 (utrzymanym przez NSA wyrokiem z 28 lutego 2024 r., sygn. akt III OSK 3839/21), „Biorąc pod uwagę całość norm rozporządzenia 2016/679, podkreślić należy, że administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator danych powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 rozporządzenia 2016/679”.

VI. Administracyjna kara pieniężna

45.
Postępowanie administracyjne prowadzone przez Prezesa UODO służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej w celu zastosowania uprawnień naprawczych określonych w art. 58 ust. 2 rozporządzenia 2016/679.
46.
Mając na uwadze powyższe, jak również stwierdzone w niniejszym postępowaniu naruszenie przepisów o ochronie danych osobowych, Prezes UODO - korzystając z uprawnienia określonego w art. 58 ust. 2 lit. i) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)-h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej - stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Administratora administracyjnej kary pieniężnej.
47.
Zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 - 39 oraz 42 i 43, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
48.
Z kolei zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, podlegają administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
49.
Art. 83 ust. 3 rozporządzenia 2016/679 natomiast stanowi, że jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.
50.
Oceniając, czy, a jeśli tak, to w jakim wymiarze powinna być nałożona administracyjna kara pieniężna, organ nadzorczy ma obowiązek uwzględnić następujące okoliczności (przesłanki wymiaru kary) określone w art. 83 ust. 2 rozporządzenia 2016/679:
a)
charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody,
b)
umyślny lub nieumyślny charakter naruszenia,
c)
działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
d)
stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32,
e)
wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego,
f)
stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,
g)
kategorie danych osobowych, których dotyczyło naruszenie,
h)
sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie,
i)
jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 - przestrzeganie tych środków,
j)
stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42,
k)
wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.
51.
Ponadto organ nadzorczy - zgodnie z art. 83 ust. 1 rozporządzenia 2016/679 - zapewnia by stosowane administracyjne kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające (zasady wymiaru kary).
52.
Celem ustalenia podstawy wymiaru administracyjnej kary pieniężnej, zgodnie z art. 101a u.o.d.o., podmiot, wobec którego toczy się postępowanie w sprawie nałożenia administracyjnej kary pieniężnej zobowiązany jest na żądanie Prezesa UODO dostarczyć mu, w terminie 30 dni od dnia otrzymania żądania, danych niezbędnych do określenia tejże podstawy. W przypadku niedostarczenia danych przez podmiot, o którym mowa w tym przepisie, lub gdy dostarczone przez ten podmiot dane uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej, Prezes UODO ustala podstawę wymiaru administracyjnej kary pieniężnej w sposób szacunkowy uwzględniając wielkość podmiotu, specyfikę prowadzonej przez niego działalności lub ogólnie dostępne dane finansowe dotyczące podmiotu.
53.
Równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku, gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego, o czym stanowi art. 103 u.o.d.o.

VI.A. Zachowania Administratora prowadzące do naruszenia przepisów rozporządzenia 2016/679 - ocena zastosowania art. 83 ust. 3 rozporządzenia 2016/679.

54.
Art. 83 ust. 3 rozporządzenia 2016/679 stanowi, że jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie. Natomiast, zgodnie z Wytycznymi 04/2022 Europejskiej Rady Ochrony Danych (dalej: „EROD”) w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO przyjętych 24 maja 2023 r. (zwanych dalej Wytycznymi 04/2022)[2] termin „całkowita wysokość” oznacza, że przy ocenie wysokości kary pieniężnej należy wziąć pod uwagę wszystkie popełnione naruszenia, a sformułowanie „wysokość kary za najpoważniejsze naruszenie” odnosi się do ustawowych maksymalnych kwot kar pieniężnych (np. art. 83 ust. 4-6 RODO).
55.
Wobec stwierdzenia, że Administrator dopuścił się w analizowanym stanie faktycznym naruszeń wielu przepisów rozporządzenia 2016/679 (tj. art. 24 ust. 1, art. 25, art. 32 ust. 1 i 2, a w konsekwencji również art. 5 ust. 1 lit. f) i art. 5 ust. 2), Prezes UODO zobowiązany był uwzględnić przytoczoną w ww. punkcie regulację celem rozważenia, czy okoliczności niniejszej sprawy determinują skorzystanie przez organ nadzorczy z wyłącznie jednego, czy też z kilku środków naprawczych przewidzianych w art. 58 ust. 2 rozporządzenia 2016/679 - a precyzyjniej, czy organ powinien nałożyć na Administratora wyłącznie jedną administracyjną karę pieniężną, stanowiącą odpowiedź na wszystkie popełnione przez niego naruszenia, czy też odrębne i samoistne kary dla każdego z tych naruszeń rozpatrywanych osobno.
56.
Ustalając konkretne sankcje za stwierdzone w niniejszej sprawie naruszenia Prezes UODO skorzystał z metodyki obliczania administracyjnych kar pieniężnych przyjętej przez EROD w Wytycznych 04/2022, zgodnie z którą pierwszym krokiem do dalszych obliczeń jest „ocena zastosowania art. 83 ust. 3 [rozporządzenia 2016/679]” poprzez ustalenie:
a)
czy okoliczności wskazują na jedno zachowanie, czy też na wiele zachowań podlegających karze,
b)
w przypadku jednego zachowania, czy zachowanie to stanowi jedno naruszenie czy większą liczbę naruszeń, oraz
c)
w przypadku jednego zachowania, które stanowi wiele naruszeń, czy przypisanie jednego naruszenia wyklucza przypisanie innego naruszenia, czy też należy je przypisać równolegle[3].
57.
Określenie „jedno zachowanie” należy przy tym interpretować w nawiązaniu do art. 83 ust. 3 rozporządzenia 2016/679, w którym mowa jest o „tych samych lub powiązanych operacjach przetwarzania”. Zgodnie z przyjętą przez EROD wykładnią, „[t]ermin «powiązane» odnosi się do zasady, zgodnie z którą jedno zachowanie może składać się z kilku części, które są realizowane na skutek jednego aktu woli i są kontekstowo (w szczególności jeśli chodzi o tożsamość osoby, której dane dotyczą, cel i charakter przetwarzania), przestrzennie i czasowo tak blisko powiązane, że z obiektywnego punktu widzenia można uznać je za jedno spójne zachowanie”[4].
58.
Odnosząc powyższe do okoliczności rozpatrywanej sprawy Prezes UODO uznał, że stwierdzone zaniechania Administratora - polegające na braku wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych przetwarzanych w postaci elektronicznej, w tym za pomocą poczty elektronicznej oraz polegające na braku regularnego testowania, mierzenia i oceniania skuteczności zastosowanych środków bezpieczeństwa w tym obszarze oraz ochronę praw osób, których dane dotyczą, mających zapewnić bezpieczeństwo przetwarzania - stanowią „jedno spójne zachowanie” w rozumieniu przedstawionym przez EROD. Za taką interpretacją przemawia fakt, że brak aktywności Administratora w wyżej wskazanym obszarze (skutkujący naruszeniem art. 24 ust. 1, art. 25 i art. 32 ust. 1 i 2 rozporządzenia 2016/679, a w konsekwencji również art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679), choć nie jest on efektem jednego konkretnego aktu woli Administratora, stanowi wypadkową długotrwałych zaniedbań w sferze wdrażania stosowania środków ochrony danych osobowych, które byłyby adekwatne do zidentyfikowanych zagrożeń. Zaniedbania te pojawiły się już na etapie określania sposobów przetwarzania - czego wyrazem było nieprzeprowadzenie analizy ryzyka dla procesu przetwarzania danych osobowych za pośrednictwem systemów objętych naruszeniem - a następnie kontynuowane były w czasie samego przetwarzania. Brak odpowiednich działań Administratora w analizowanym zakresie, jako proces ciągły i długotrwały, skutkujący naruszeniem elementarnych zasad dotyczących przetwarzania danych osobowych, prowadził do utrzymywania się stanu, w którym Administrator nie był zdolny do wykazania przed organem nadzorczym zgodności przetwarzania z przepisami rozporządzenia 2016/679. Poza długim czasem trwania stwierdzonych naruszeń przepisów rozporządzenia 2016/679, rozpatrywanych jako jedno spójne zachowanie Administratora, tożsamy w odniesieniu do nich jest również cel, charakter i zakres przetwarzania realizowanego przez tego Administratora. Wskazać bowiem należy, że wszystkie aspekty stwierdzonego w niniejszej sprawie naruszenia oraz zachowania Administratora prowadzącego do tego naruszenia (brak analizy ryzyka, brak adekwatnych środków technicznych i organizacyjnych, brak regularnego testowania, mierzenia i oceniania skuteczności zastosowanych środków bezpieczeństwa) dotyczą jednych i tych samych procesów przetwarzania, to jest przetwarzania danych osobowych wynikających z charakteru przetwarzania danych osobowych w związku z prowadzoną przez Administratora działalnością gospodarczą jaką jest działalność rachunkowo - księgowa oraz doradztwo podatkowe.
59.
Wszystkie stwierdzone przez Prezesa UODO zaniechania Administratora dotyczą też (mają wpływ na bezpieczeństwo ich przetwarzania) tych samych danych osobowych (tego samego ich zakresu i tych samych kategorii). Wpływają one negatywnie na bezpieczeństwo wszystkich danych osobowych przetwarzanych przez Administratora. Podkreślić należy, że niezależnie od tego, czy ryzyko naruszenia bezpieczeństwa danych osobowych zmaterializuje się, czy nie, to ono istnieje; a jego istnienie wynika ze stwierdzonego w niniejszej sprawie naruszenia przepisów art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2, a także art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679.
60.
Przyjmując więc, że zaniechania Administratora polegające na niezastosowaniu (zarówno w fazie projektowania, jak i w trakcie przetwarzania) odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych w ramach poczty elektronicznej oraz braku regularnego testowania, mierzenia i oceniania skuteczności zastosowanych środków bezpieczeństwa w tym obszarze, stanowią jedno spójne zachowanie, a przy tym zachowanie to narusza kilka przepisów rozporządzenia 2016/679 (art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2, a w konsekwencji także art. 5 ust. 1 lit. f) oraz art. 5 ust. 2) - stwierdzić należy w dalszej kolejności, że żadne z tych naruszeń nie wyklucza możliwości przypisania Administratorowi innego z nich. W szczególności stwierdzenie naruszenia przepisów określających podstawowe, ogólne zasady przetwarzania, o których mowa w art. 5 rozporządzenia 2016/679, nie wyklucza możliwości przypisania administratorowi naruszenia przepisów szczegółowych stanowiących konkretyzację tych zasad, tj. art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 rozporządzenia 2016/679. Przy tym należy jednak wyraźnie podkreślić, że podstawą prawną nałożenia administracyjnej kary pieniężnej są naruszenia przepisów wymienionych w art. 83 ust. 4-6 rozporządzenia 2016/679, tj. w niniejszej sprawie art. 25 ust. 1, art. 32 ust. 1 i 2 oraz art. 5 ust. 1 lit. f) i art. 5 ust. 2. Stwierdzenie naruszenia art. 24 ust. 1 i 2 stanowi w tym zakresie element opisu i oceny zachowania Administratora, pozostający w ścisłym związku z naruszeniami sankcjonowanymi.
61.
Konsekwencją powyższego jest ustalenie, że do odpowiedzialności Administratora w niniejszym postępowaniu zastosowanie będzie mieć przepis art. 83 ust. 3 rozporządzenia 2016/679. Jego zachowanie wypełniające znamiona naruszenia kilku wskazanych powyżej przepisów rozporządzenia 2016/679 miało bowiem miejsce „w ramach tych samych operacji przetwarzania” - operacji dotyczących tych samych procesów i sposobów przetwarzania danych oraz tych samych zbiorów (zakresów i kategorii) danych osobowych.
62.
Podsumowując stwierdzić należy, że administracyjna kara pieniężna wobec Administratora nałożona została za naruszenie art. 25 ust. 1, art. 32 ust. 1 i 2 rozporządzenia 2016/679 na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a) rozporządzenia 2016/679, natomiast za naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679 - na podstawie art. 83 ust. 5 lit. a) tego rozporządzenia. Jednocześnie administracyjna kara pieniężna w wysokości 11 594 zł nałożona na Administratora łącznie za naruszenie wszystkich powyższych przepisów - stosownie do przepisu art. 83 ust. 3 rozporządzenia 2016/679 - nie przekracza wysokości kary za najpoważniejsze stwierdzone w niniejszej sprawie naruszenie, tj. naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679, które stosownie do art. 83 ust. 5 lit. a) rozporządzenia 2016/679 podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 euro, a w przypadku przedsiębiorstwa - w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

VI.B. Przesłanki wymiaru kary - zastosowanie art. 83 ust. 2 rozporządzenia 2016/679

63.
Decydując o nałożeniu na Administratora administracyjnej kary pieniężnej Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a)-k) rozporządzenia 2016/679 - wziął pod uwagę następujące (pkt 64-66 poniżej) okoliczności, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:
64.
Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a) rozporządzenia 2016/679).
Stwierdzone w niniejszej sprawie naruszenie ma poważny charakter, gdyż dotyczy obowiązków administratora realizujących bezpośrednio podstawowy cel rozporządzenia 2016/679, jakim jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych. Prawo osoby fizycznej do ochrony jej danych osobowych polega zaś na tym, że jej dane osobowe przetwarzane przez administratora chronione będą środkami technicznymi i organizacyjnymi zapewniającymi standard bezpieczeństwa ograniczający do rozsądnego minimum ryzyko ich naruszenia (ich utraty, zmodyfikowania, nieuprawnionego ujawnienia lub naruszenia w inny - powodujący negatywne dla osoby, której dane dotyczą, konsekwencje - sposób). Standard ten wyznaczają naruszone przez Administratora przepisy art. 24, 25 i 32 rozporządzenia 2016/679. U podstaw zaś systemu bezpieczeństwa w organizacji, którego ramy tworzą te przepisy, leży obowiązek przeprowadzenia przez administratora rzetelnej i wnikliwej analizy ryzyka naruszenia praw i wolności osób, których dane dotyczą, w oparciu o którą to analizę administrator wdraża dopiero odpowiednie rozwiązania techniczne i organizacyjne mające na celu przynajmniej zminimalizowanie tego ryzyka (zob. pkt 24-29 uzasadnienia niniejszej decyzji). Niewywiązanie się przez Administratora z tego obowiązku godziło więc bezpośrednio w podstawowe prawo osób, których dane przetwarzał w swoim systemie poczty elektronicznej, to jest prawo do ochrony ich danych osobowych. Niezapewnienie tym danym - za pomocą adekwatnych środków technicznych i organizacyjnych - odpowiedniego bezpieczeństwa stanowi zaś o naruszeniu przez Administratora podstawowej zasady „integralności i poufności”, o której mowa w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, co podkreśla poważny charakter naruszenia, którego Administrator się dopuścił.
Oceniając naruszenie stwierdzone w niniejszej sprawie Prezes UODO przypisuje mu dużą wagę. Wynika to z charakteru i celu przetwarzania, w ramach którego miało miejsce to naruszenie. Zauważyć należy, że Administrator przetwarza dane osobowe przekazane mu przez klientów jego kancelarii celem wywiązania się z obowiązków przewidzianych przepisami prawa pracy, prawa ubezpieczeń społecznych, prawa podatkowego, itp. Osoby, których dane dotyczą, nie przekazały mu (bezpośrednio lub za pośrednictwem swoich pracodawców) swoich danych dobrowolnie; były do tego zobowiązane przepisami prawa. Tym samym osoby te nie mogły samodzielnie i w pełnym zakresie dysponować tymi danymi (w szczególności żądać zaprzestania ich przetwarzania, czy też ich usunięcia). Wskazuje to na wyraźną nierównowagę między nimi a Administratorem, co - zgodnie z Wytycznymi 04/2022 (zob. pkt 53 lit. a) ppkt iii tych wytycznych) - daje podstawę do przypisania naruszeniu większej wagi. Wagę tę zwiększa dodatkowo szeroki zakres przetwarzanych przez Administratora danych (zob. pkt 66 uzasadnienia niniejszej decyzji), a także duża liczba osób, których dane Administrator przetwarza (w tej liczbie są również dzieci, których dane podlegają szczególnej ochronie[5]), i na które naruszenie miało potencjalny wpływ. W zgłoszeniu naruszenia ochrony danych osobowych Administrator wskazał, że w „przejętej” przez nieuprawnioną osobę skrzynce poczty elektronicznej przetwarzane były dane osobowe (…) osób (zob. pkt 4 uzasadnienia niniejszej decyzji). Liczbę tę (określającą ilość osób obsługiwanych przez Administratora w tym jednym momencie i przy użyciu jednej tylko skrzynki poczty elektronicznej) należy jednak traktować jedynie jako minimalną liczbę osób dotkniętych stwierdzonym w niniejszej sprawie naruszeniem. Naruszenie to miało bowiem charakter „systemowy”; miało bowiem potencjalny negatywny wpływ na bezpieczeństwo danych osobowych wszystkich osób, których dane przetwarzane były przez Administratora w systemie poczty elektronicznej. Obejmuje ono dane osobowe przetwarzane we wszystkich skrzynkach pocztowych używanych przez Administratora i dotyczy danych osobowych przetwarzanych przez niego przez cały czas trwania naruszenia (w trakcie incydentu z (…) r. przed tym incydentem, jak również po nim - aż do daty usunięcia naruszenia), to jest przez okres ok. pięciu lat (zob. uwagi dotyczące czasu trwania naruszenia - poniżej w niniejszym punkcie uzasadnienia decyzji). Liczbę osób, na które naruszenie miało potencjalny negatywny wpływ, należy więc uznać za dużą, co stanowi okoliczność wpływającą obciążająco na ocenę naruszenia.
Prezes UODO nie stwierdził, by w wyniku naruszenia stanowiącego przedmiot niniejszej decyzji zaistniały jakiekolwiek rzeczywiste szkody po stronie osób, których dane Administrator przetwarzał, nie zapewniwszy im odpowiednich środków bezpieczeństwa. Niemniej jednak ryzyko, jakie to naruszenie niosło dla praw i wolności tych osób, a także zakres negatywnych konsekwencji, jakie mogły mieć miejsce gdyby to ryzyko zmaterializowało się, uzasadniają ocenę dużej wagi naruszenia. Skutkiem naruszenia mogły być bowiem np. kradzież tożsamości, próby oszustwa czy wyłudzeń, wykorzystanie w złej wierze danych osobowych w celu nawiązania stosunków prawnych lub zaciągnięcia zobowiązań w imieniu osób, których dane pozyskano, co w konsekwencji mogło spowodować powstanie po ich stronie rzeczywistych i konkretnych szkód majątkowych. Mogło ono również skutkować powstaniem szkód niemajątkowych wynikających z naruszenia prywatności, naruszenia dobrego imienia, naruszenia tajemnicy korespondencji, lęku powstałego w wyniku utraty kontroli nad swoimi danymi czy też z dyskryminacji opartej o pozyskane w sposób nieuprawniony informacje.
Na niekorzyść Administratora należy zaliczyć również długi czas trwania stwierdzonego naruszenia. Zgromadzony w toku postępowania materiał dowodowy nakazuje bowiem przyjąć, że stan niezgodności przetwarzania z przepisami rozporządzenia 2016/679 trwał nieprzerwanie od 25 maja 2018 r. (tj. od daty rozpoczęcia stosowania rozporządzenia 2016/679) aż do (…) 2023 r. (data raportu z audytu wdrożonych procedur oraz dokumentacji pod kątem prawidłowości przestrzegania rozporządzenia 2016/679 - wtedy to wymaganym testowaniem objęte zostały zarówno środki o charakterze technicznym, jak i organizacyjnym). Okoliczność utrzymywania się stanu naruszenia przez okres ok. pięciu lat należy poczytywać jako przesłankę wpływającą w znacznym stopniu zarówno na decyzję organu nadzorczego o nałożeniu administracyjnej kary pieniężnej w niniejszej sprawie, jak i samą wysokość orzeczonej kary.
Mając na względzie wyżej wskazane okoliczności, przesłankę określoną w art. 83 ust. 2 lit. a) rozporządzenia 2016/679, rozpatrywaną w sposób całościowy, organ nadzorczy ocenił jako w znacznym stopniu obciążającą Administratora.
65.
Nieumyślny charakter naruszenia (art..83 ust. 2 lit. b) rozporządzenia 2016/679).
Analizując tę przesłankę Prezes UODO uwzględnił stanowisko wyrażone przez EROD, zgodnie z którym umyślność „obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego”[6]. W świetle powyższego organ nadzorczy przyjął, że Administrator przetwarzając dane osobowe był świadomy tego, że powinien zagwarantować odpowiedni stopień bezpieczeństwa tego przetwarzania, w tym za pośrednictwem poczty elektronicznej. Okoliczność tę wzmacnia fakt, że przepisy rozporządzenia 2016/679, przyjęte 27 kwietnia 2016 r., zaczęły być stosowane dopiero od 25 maja 2018 r., dając administratorom czas na dostosowanie obowiązujących dotychczas procedur oraz wdrożonych środków technicznych i organizacyjnych, związanych z przetwarzaniem danych osobowych, do nowych regulacji prawnych. Nie może w związku z tym budzić wątpliwości fakt, że Administrator przetwarzając dane osobowe klientów, ich pracowników, a także dzieci pracowników, musi mieć wiedzę w zakresie ochrony danych osobowych. Organ nadzorczy nie stwierdził jednak, by naruszenie przepisów rozporządzenia 2016/679 miało w przedmiotowej sprawie charakter umyślny - wynikało z rażącego niedbalstwa po stronie Administratora, co nie zmienia faktu, że przesłankę z art. 83 ust. 2 lit. b) rozporządzenia 2016/679 należy w tym przypadku brać pod uwagę przy wymiarze administracyjnej kary pieniężnej jako okoliczność obciążającą.
66.
Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679).
W tym miejscu należy wskazać w pierwszej kolejności, że naruszenie przepisów rozporządzenia 2016/679 rozpatrywane w niniejszej sprawie dotyczy wszelkich danych osobowych (i wszystkich ich kategorii) przetwarzanych przez Administratora w systemie poczty elektronicznej. Nie bez znaczenia pozostaje fakt, że Administrator, jako podmiot prowadzący działalność rachunkowo-księgową i w zakresie doradztwa podatkowego przetwarza dane osobowe w tym systemie w bardzo szerokim zakresie zarówno co do kategorii osób których dane dotyczą, jak i co do kategorii tych danych osobowych.
W niniejszej sprawie stwierdzono bezspornie, że w sposób niezgodny z przepisami rozporządzenia 2016/679 przetwarzane były dane osobowe co najmniej w zakresie objętym naruszeniem ochrony danych osobowych stanowiącym przedmiot zgłoszenia Administratora z 22 stycznia 2021 r.
Dane osobowe, których dotyczyło naruszenie przepisów art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 oraz art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679, wprawdzie nie należą do szczególnych kategorii danych osobowych, o których mowa w art. 9 rozporządzenia 2016/679, jak również do danych wymienionych w art. 10 rozporządzenia 2016/679, jednak ich szeroki zakres (tj. co najmniej: imię i nazwisko, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, dane dotyczących zarobków, seria i numer dowodu osobistego, numer telefonu, wizerunek, dane zawarte w paszportach, świadectwach pracy, formularzach PCC-3 i kwestionariuszach osobowych), wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych tym naruszeniem. Należy podkreślić w szczególności, że naruszeniem objęty był numer ewidencyjny PESEL, którego nieuprawnione ujawnienie (w połączeniu z imieniem i nazwiskiem) może realnie i negatywnie wpływać na ochronę praw lub wolności osoby fizycznej. Numer ewidencyjny PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający m.in. datę urodzenia oraz oznaczenie płci, a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga.
Mając powyższe na uwadze, uwzględniając szeroki zakres kategorii danych objętych naruszeniem oraz szeroki zakres kategorii osób dotkniętych naruszeniem, w tym dzieci, organ nadzorczy ocenił omawianą w tym miejscu przesłankę jako okoliczność obciążającą - wpływającą w sposób istotny na wysokość orzeczonej administracyjnej kary pieniężnej.
67.
Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił na korzyść Administratora, w ramach przesłanki dotyczącej wszelkich innych obciążających lub łagodzących czynników mających zastosowanie do okoliczności sprawy (art. 83 ust. 2 lit. k) rozporządzenia 2016/679), fakt podjęcia przez Administratora działań ukierunkowanych na podniesienie poziomu bezpieczeństwa danych osobowych zarówno w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych, jak regularnego ich testowania, mierzenia i oceniania, które to działania przyczyniły się do poprawy bezpieczeństwa przetwarzania danych osobowych przetwarzanych w postaci elektronicznej, w tym za pomocą poczty elektronicznej (zob. pkt 11-15 uzasadnienia decyzji). Z uwagi na powyższe przesłankę tę potraktowano jako mającą istotny wpływ na obniżenie wysokości wymierzonej kary pieniężnej (zob. pkt 81 uzasadnienia decyzji).
68.
Inne, niżej wskazane (w pkt 69-77 uzasadnienia decyzji) okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie przepisów rozporządzenia 2016/679, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy jako niemające ani obciążającego, ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
69.
Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c) rozporządzenia 2016/679).
W kontekście tej przesłanki znaczenie ma cel, jakiemu ma służyć działanie administratora, czyli zminimalizowanie szkody poniesionej przez osoby, których dane dotyczą. Prezes UODO nie odnotował w niniejszym przypadku tego typu działań Administratora, jednakże w związku z tym, że w niniejszej sprawie nie stwierdzono szkód po stronie osób dotkniętych naruszeniem, żadne takie działania nie były od Administratora wymagane i nie były nawet możliwe. Z uwagi na to przesłankę tę Prezes UODO ocenił jako okoliczność nie mającą wpływu na ocenę naruszenia.
70.
Stopień odpowiedzialności z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 rozporządzenia 2016/679 (art. 83 ust. 2 lit. d) rozporządzenia 2016/679).
W niniejszej sprawie Prezes UODO stwierdził między innymi naruszenie art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679. Niewątpliwie na Administratorze ciąży w wysokim stopniu odpowiedzialność za niewdrożenie odpowiednich środków technicznych i organizacyjnych, które mogłyby przyczynić się do zapobieżenia wystąpienia naruszenia ochrony danych osobowych. Oczywistym jest również, że w rozważanym kontekście charakteru, celu i zakresu przetwarzania danych osobowych, Administrator nie zrobił wszystkiego, czego można by było od niego oczekiwać; to jego zaniechanie skutkowało naruszeniem zasady integralności oraz poufności przetwarzania danych. W analizowanym stanie faktycznym okoliczność ta stanowi jednak o istocie samego naruszenia przepisów rozporządzenia 2016/679, co skutkuje uznaniem, iż nie jest ona wyłącznie czynnikiem wpływającym łagodząco lub obciążająco na jego ocenę. Z tego też względu brak odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 25 i art. 32 rozporządzenia 2016/679, nie może zostać uznany w niniejszej sprawie za okoliczność mogącą dodatkowo wpłynąć na surowszą ocenę naruszenia i wymiar administracyjnej kary pieniężnej nałożonej na Administratora.
71.
Wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e) rozporządzenia 2016/679)
Prezes UODO nie stwierdził po stronie Administratora jakichkolwiek wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. Jednocześnie jednak obowiązkiem każdego administratora jest przestrzeganie przepisów prawa, z uwagi na co brak wcześniejszych naruszeń nie może być traktowany jako okoliczność łagodząca przy wymierzaniu sankcji. Taka ocena zgodna jest ze stanowiskiem wyrażonym przez EROD w Wytycznych 04/2022, zgodnie z którym „[b]rak wcześniejszych naruszeń nie może (…) zostać uznany za okoliczność łagodzącą, ponieważ przestrzeganie przepisów [rozporządzenia 2016/679] stanowi normę. Brak wcześniejszych naruszeń można uznać za okoliczność o charakterze neutralnym”[7].
72.
Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679)
Po stwierdzeniu naruszenia ochrony danych osobowych Administrator podjął szereg działań w celu poprawy bezpieczeństwa przetwarzania danych osobowych (zob. pkt 11-15 uzasadnienia decyzji). Czynności te jednak podjęte zostały przez Administratora samodzielnie i spontanicznie, bez wcześniejszego działania czy jakiejkolwiek interwencji ze strony organu nadzorczego. Prezes UODO nie kierował do Administratora żadnych zaleceń, wytycznych, ani rekomendacji w zakresie stosowanych przez niego rozwiązań w obszarze bezpieczeństwa przetwarzania danych osobowych, w szczególności w zakresie przetwarzania danych osobowych w formie elektronicznej, w tym przy użyciu poczty elektronicznej. Nie można więc tutaj mówić o „współpracy z organem”, która to współpraca mogłaby być traktowana jako okoliczność łagodząca w ramach przesłanki sformułowanej w art. 83 ust. 2 lit. f) rozporządzenia 2016/679. Natomiast działania Administratora, o których mowa powyżej, potraktowane zostały przez Prezesa UODO jako „inne łagodzące czynniki”, o których mowa w art. 83 ust. 2 lit. k) rozporządzenia 2016/679 (zob. pkt 67 uzasadnienia decyzji).
73.
Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie (art. 83 ust. 2 lit. h) rozporządzenia 2016/679)
Prezes UODO stwierdził naruszenie przez Administratora przepisów o ochronie danych osobowych z urzędu - w rezultacie postępowania zainicjowanego zgłoszeniem naruszenia ochrony danych osobowych dokonanym przez Administratora 22 stycznia 2021 r., uzupełnionym następnie 25 stycznia 2021 r. Dokonując zgłoszenia, Administrator realizował ciążący na nim obowiązek prawny, brak jest zatem podstaw do uznania, że fakt ten powinien być poczytywany na jego korzyść. Jak słusznie wskazuje EROD w Wytycznych 04/2022 „[o]koliczność ta nie ma znaczenia, gdy administrator podlega szczególnym obowiązkom w zakresie zgłaszania naruszeń (np. obowiązkowi zgłaszania naruszenia ochrony danych osobowych określonemu w art. 33 [rozporządzenia 2016/679]). W takich przypadkach fakt dokonania zgłoszenia należy uznać za okoliczność neutralną”[8].
74.
Jeżeli wobec administratora, którego sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 - przestrzeganie tych środków (art. 83 ust. 2 lit. i) rozporządzenia 2016/679)
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie organu nadzorczego, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia. Z uwagi na powyższe przesłanka ta pozostaje bez wpływu zarówno na decyzję o nałożeniu administracyjnej kary pieniężnej, jak i jej wymiar.
75.
Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 (art. 83 ust. 2 lit. j) rozporządzenia 2016/679)
Administrator na dzień wydania decyzji nie stosował zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Wprawdzie Administrator przedstawił dokument o nazwie „Kodeks postępowania dla doradców podatkowych w sprawie ochrony danych osobowych” opracowany przez Krajową Izbę Doradców Podatkowych ale nie wskazał, czy i w jakim zakresie ten dokument stosował, ponadto przedmiotowy dokument nie stanowi kodeksu postępowania w rozumieniu art. 40 rozporządzenia 2016/679 Przyjęcie, wdrożenie i stosowanie kodeksów postępowania nie jest jednak - jak stanowią przepisy rozporządzenia 2016/679 - obowiązkowe dla administratorów, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na jego korzyść mogłaby być natomiast uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów, jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzania danych osobowych. W przedmiotowej sprawie okoliczność taka jednak nie wystąpiła.
76.
Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k) rozporządzenia 2016/679)
W toku postępowania nie stwierdzono wpływu naruszenia przepisów rozporządzenia 2016/679 na osiągnięcie przez Administratora korzyści finansowych lub uniknięcie tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Nieosiągnięcie zaś przez Administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodząca. Interpretację tę potwierdza już samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” - zaistniałe po stronie podmiotu dokonującego naruszenia.
77.
Inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy (art. 83 ust. 2 lit. k) rozporządzenia 2016/679)
Prezes UODO, wszechstronnie rozpatrując sprawę, nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.

VI.C. Ustalenie wysokości kary z zastosowaniem Wytycznych 04/2022

Koniecznym jest wskazanie, że ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej Prezes UODO zastosował metodykę przyjętą przez EROD w Wytycznych 04/2022. Zgodnie z przedstawionymi w tym dokumencie wskazówkami Prezes UODO przeprowadził następujący proces kalkulacji wysokości kary:

78.
Prezes UODO dokonał kategoryzacji stwierdzonego w niniejszej sprawie naruszenia przepisów rozporządzenia 2016/679 (vide Rozdział 4.1 Wytycznych 04/2022). Wśród naruszonych przez Administratora przepisów rozporządzenia 2016/679 znajdują się przepisy art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679 określające podstawowe zasady przetwarzania. Naruszenie tych przepisów należy - zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679 - do kategorii naruszeń zagrożonych karą wyższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 20 000 000 EUR lub do 4 % całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Są one więc in abstracto poważniejsze od innych (wskazanych w art. 83 ust. 4 rozporządzenia 2016/679) naruszeń.
79.
Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o średnim poziomie powagi (vide Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które tyczą się strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny lub nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679) oraz kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej. W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest średni. Konsekwencją tego jest zaś przyjęcie - jako kwoty wyjściowej do obliczenia kary - wartości mieszczącej się w przedziale od 10 % do 20 % maksymalnej wysokości kary możliwej do orzeczenia wobec Administratora, to jest - zważywszy na limit określony w art. 83 ust. 5 rozporządzenia 2016/679 - od kwoty 2 000 000 EUR do kwoty 4 000 000 EUR (vide Podrozdział 4.2.4 Wytycznych 04/2022). Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę 10 082 160 zł (równowartość 2 400 000 EUR).
80.
Prezes UODO dostosował kwotę wyjściową odpowiadającą średniej powadze stwierdzonego naruszenia do obrotu osiągniętego przez Administratora, jako miernika jego wielkości i siły gospodarczej (vide Rozdział 4.3 Wytycznych 04/2022). Zgodnie z Wytycznymi 04/2022, w przypadku przedsiębiorstw, których roczny obrót wynosi do 2 mln EUR, organ nadzorczy może rozważyć dokonanie dalszych obliczeń wysokości kary na podstawie wartości mieszczącej się w przedziale od 0,2 % do 0,4 % kwoty wyjściowej. Zważywszy, że przychód Administratora w roku 2025 wyniósł (…) zł, to jest (…) EUR (wg średniego kursu EUR z dnia 28 stycznia 2026 r. wynoszącego: 1 EUR = 4,2009 PLN), Prezes UODO za stosowne uznał skorygowanie podlegającej obliczeniom kwoty kary do wartości odpowiadającej 0,23 % kwoty wyjściowej, to jest do kwoty (…) zł (równowartość (…) EUR)).
81.
Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (vide Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się - jak zakładają Wytyczne 04/2022 - do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przepisów rozporządzenia 2016/679 przedstawione zostały powyżej. Prezes UODO uznał, że jedna spośród nich miała, w ocenie Prezesa UODO, wpływ łagodzący na wymiar kary - podjęcie przez Administratora działań ukierunkowanych na podniesienie poziomu bezpieczeństwa przetwarzanych przez niego danych (ocenione w ramach przesłanki z art. 83 ust. 2 lit. k) rozporządzenia 2016/679). Pozostałe przesłanki wymiaru kary (wskazane w art. 83 ust. 2 lit. c), d), e), f), h), i) oraz j) rozporządzenia 2016/679) - jak wskazano powyżej - nie miały wpływu ani łagodzącego, ani obciążającego na ocenę naruszenia i w konsekwencji na wymiar kary. Ze względu więc na zaistnienie w sprawie jednej dodatkowej okoliczności mającej wpływ na ocenę naruszenia, to jest w związku z podjęciem przez Administratora dobrowolnych działań, które doprowadziły do usunięcia stanu naruszenia, za zasadne Prezes UODO uznał skorygowanie kwoty kary ustalonej na podstawie oceny powagi naruszenia i w oparciu o obrót Administratora, i znaczne jej obniżenie - o 50 % - do kwoty 11 594 zł (równowartość 2 760 EUR). Tak duże obniżenie wysokości kary wynika z tego, że w wyniku działania Administratora zdezaktualizował się jeden z podstawowych celów administracyjnej kary pieniężnej - przywrócenie stanu „zgodności z przepisami”[9].
82.
Prezes UODO uznał, że ustalona zgodnie z powyższymi zasadami kwota kary nie wymaga dodatkowej korekty. Zgodnie z art. 83 ust. 1 rozporządzenia 2016/679 każdy organ nadzorczy zapewnia, by administracyjne kary pieniężne stosowane za naruszenia tego rozporządzenia były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Natomiast Wytyczne 04/2022 wskazują, że ostatnim krokiem kalkulacji kary dokonywanej zgodnie z przedstawioną tam metodyką powinno być przeanalizowanie, czy ostateczna kwota obliczonej kary pieniężnej spełnia te wymogi, oraz (ewentualnie) odpowiednie zwiększenie lub zmniejszenie wysokości kary pieniężnej[10]. Dokonując takiej analizy w niniejszej sprawie Prezes UODO stwierdził, że administracyjna kara pieniężna w kwocie 11 594 zł, orzeczona w tych konkretnych, indywidualnych okolicznościach sprawy, będzie skuteczna ponieważ - ze względu na swoją dolegliwość - pozwoli na osiągnięcie jej celu prewencyjnego, jakim jest zapobieżenie w przyszłości naruszeniom - takim samym lub podobnym do stwierdzonego niniejszej sprawie - dokonywanym zarówno przez Administratora, jak i przez inne podmioty. Dodatkowo orzeczona kara, jako środek o charakterze represyjnym, zezwoli na realne ukaranie Administratora za jego bezprawne, utrzymujące się długotrwale zachowanie.
83.
Zdaniem Prezesa UODO orzeczona kara będzie również proporcjonalna do stwierdzonych naruszeń przepisów rozporządzenia 2016/679, w tym zwłaszcza do ich charakteru i wagi. Proporcjonalność zastosowanej sankcji wyraża się również w tym, że ustalona przez organ kwota kary nie będzie stanowić dla Administratora nadmiernego obciążenia. Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność jej uiszczenia pociągnie za sobą negatywne następstwa w postaci istotnego pogorszenia sytuacji finansowej Administratora. Zdaniem Prezesa UODO, Administrator powinien i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, stąd nałożenie administracyjnej kary pieniężnej jest w pełni uzasadnione.
84.
W ocenie Prezesa UODO administracyjna kara pieniężna w wysokości 11 594 zł spełni w tych konkretnych okolicznościach sprawy również funkcję prewencyjną, albowiem wskaże tak Administratorowi, jak i innym administratorom, że organ nadzorczy - stojąc na straży przepisów o ochronie danych osobowych - będzie z pełną mocą egzekwował odpowiedzialność ww. podmiotów za stwierdzone naruszenia przepisów rozporządzenia 2016/679. Tym samym zastosowana w niniejszym postępowaniu sankcja zniechęci zarówno samego Administratora, jak i innych podobnych mu administratorów do popełniania w przyszłości takich samych lub zbliżonych przedmiotowo naruszeń.
85.
Zdaniem Prezesa UODO wymierzenie w niniejszej sprawie administracyjnej kary pieniężnej było konieczne. Zastosowanie wobec Administratora jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b) rozporządzenia 2016/679), nie spełniałoby bowiem wymogu proporcjonalności, rozumianego jako konieczność zastosowania przez organ nadzorczy środka, który adekwatny jest w szczególności do wagi stwierdzonych nieprawidłowości. Odstąpienie od nałożenia administracyjnej kary pieniężnej nie gwarantowałoby również tego, że Administrator nie dopuści się w przyszłości kolejnych naruszeń w zakresie ochrony danych osobowych. W ocenie organu nadzorczego jedynie administracyjna kara pieniężna zezwoli w przedmiotowej sprawie na skuteczne egzekwowanie przepisów rozporządzenia 2016/679.
86.
Ponadto, odnosząc się do wysokości wymierzonej administracyjnej kary pieniężnej, należy podkreślić, że kwota nałożonej administracyjnej kary pieniężnej, tj. 11 594 zł, to jedynie 0,0138 % maksymalnej wysokości kary, którą Prezes UODO mógł nałożyć na Administratora za stwierdzone w niniejszej sprawie naruszenia, stosując art. 83 ust. 5 rozporządzenia 2016/679.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
[1] Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, dalej jako „u.o.d.o.”
[2] Wytyczne 04/2022 w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO. Wersja2.1. Przyjęte 24 maja 2023 r., str. 9, pkt 17, dostępne w Internecie: https://edpb.europa.eu/system/files/2024-01/edpb_guidelines_042022_calculationofadministrativefines_pl_0.pdf [dostęp: 22.09.2025].
[3] Tamże, str. 10, pkt 24.
[4] Tamże, str. 12, pkt 28.
[5] Zob. Motyw 75 rozporządzenia 2016/679 i Wytyczne 04/2022, str. 18, pkt 53 lit b (i).
[6] Zob. Wytyczne 04/2022..., str. 20, pkt 55.
[7] Zob. tamże, str. 30, pkt 94.
[8] Zob. tamże, str. 31, pkt 98.
[9] Zob. tamże, str. 42, pkt 135.
[10] Zob. tamże, str. 9, pkt 17.