Godło Rzeczypospolitej Polskiej

Portal Orzeczeń

DostępnośćBIP
Decision logo
Warszawa, 23 października 2025nieprawomocna

Decyzja DKN.5131.17.2024

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572 ze zm.) w związku z art. 7, art. 60 i art. 102 ust. 1 pkt 1 i ust. 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. e) i lit. i), art. 83 ust. 1 i 2 oraz art. 83 ust. 4 lit. a) w związku z art. 33 ust. 1 oraz 34 ust. 1, 2 i 4 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej: rozporządzenie 2016/679,
po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez Komornika Sądowego przy Sądzie Rejonowym w S. B. F. Kancelaria (…) w S. (ul. (…), (…)-(…) S.), Prezes Urzędu Ochrony Danych Osobowych,
1.
Stwierdzając naruszenie przez Komornika Sądowego przy Sądzie Rejonowym w S. B. F. Kancelaria (…) w S. (ul. (…), (…)-(…) S.) przepisu art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia,
nakłada na Komornika Sądowego przy Sądzie Rejonowym w S. B. F. Kancelaria (…) w S. (ul. (…), (…)-(…) S.) administracyjną karę pieniężną w kwocie 7 700 zł (słownie: siedem tysięcy siedemset złotych).
2.
Stwierdzając naruszenie przez Komornika Sądowego przy Sądzie Rejonowym w S. B. F. Kancelaria (…) w S. (ul. (…), (…)-(…) S.) przepisu art. 34 ust. 1 i 2 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osoby, której dane zostały ujawnione nieuprawnionemu odbiorcy,
nakłada na Komornika Sądowego przy Sądzie Rejonowym w S. B. F. Kancelaria (…) w S. (ul. (…), (…)-(…) S.) administracyjną karę pieniężną w kwocie 13 200 zł (słownie: trzynaście tysięcy dwieście złotych),
3.
Nakazuje zawiadomienie, w terminie 3 dni od dnia doręczenia niniejszej decyzji, osoby, której dane zostały udostępnione nieuprawnionemu odbiorcy, o naruszeniu ochrony jej danych osobowych w celu przekazania jej informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, tj.:
a)
opisu charakteru naruszenia ochrony danych osobowych;
b)
imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
c)
opisu możliwych konsekwencji naruszenia ochrony danych osobowych;
d)
opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu, w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

Uzasadnienie

1.
Do Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej również „Prezesem UODO” lub „organem nadzorczym”, 6 października 2023 r. wpłynęła informacja dotycząca możliwości wystąpienia naruszenia ochrony danych osobowych u Komornika Sądowego przy Sądzie Rejonowym w S. B. F. Kancelaria (…) w S. (ul. (…), (…)-(…) S.), zwanej dalej „Administratorem” lub „Komornikiem Sądowym”. Z przekazanych informacji wynika, że nieuprawniony odbiorca otrzymał w październiku 2023 r. dokumenty z danymi innej osoby – „W korespondencji adresowanej do mnie znajdują się dokumenty poświadczające, zawiadomieniu o zajęciu wynagrodzenia za prace na potrzeb długu przez kancelarie komorniczą B. F. w S. Nr IV a dłużnika Pana M.. Przez pomyłkę w korespondencji pozyskałem wrażliwe dane osobowe Pana M. takie jak Imię i nazwisko, numer pesel, adres zamieszkania, rok urodzenia oraz kwoty zajęcia procesu komorniczego”. Ponadto, nieuprawniony odbiorca wyraził obawę o wyciek także swoich danych osobowych i telefonicznie poinformował o tym Komornika Sądowego.
2.
Prezes UODO przeprowadził postępowanie wyjaśniające w sprawie możliwości wystąpienia u Administratora naruszenia ochrony danych osobowych, kierując do niego pisma z dnia 21 listopada 2023 r. oraz 19 lutego 2024 r. (zarejestrowane pod sygn. DKN.5101.235.2023), a następnie 7 listopada 2024 r. wszczął z urzędu postępowanie administracyjne w zakresie naruszenia przez Komornika Sądowego przy Sądzie Rejonowym w S. B. F. Kancelaria (…) w S., jako administratora danych osobowych, obowiązków wynikających z przepisów art. 33 ust. 1 oraz 34 ust. 1 i 2 rozporządzenia 2016/679 (sprawa o sygn. DKN.5131.17.2024.(…)).

Prezes UODO, w wyniku przeprowadzonego postępowania wyjaśniającego oraz postępowania administracyjnego, ustalił następujący stan faktyczny.

3.
W odpowiedzi na pismo Prezesa z 19 lutego 2024 r., Administrator do przesłanych wyjaśnień zawartych w piśmie z 29 lutego 2024 r. nie dołączył analizy ryzyka naruszenia praw lub wolności osoby objętej naruszeniem ograniczając się jedynie do wskazania, iż została przeprowadzona analiza zdarzenia pod kątem ryzyka naruszenia praw lub wolności osoby, której zdarzenie dotyczy. W toku analizy stwierdzono, że zdarzenie stanowiło jednostkowy przypadek wśród tysięcy wysłanych listów, w którym korespondencja na skutek błędu pracownika nie trafiła do adresata, lecz do osoby trzeciej. Ponadto, na podstawie rozmowy telefonicznej z ww. osobą ustalono, że pozostaje ona w kontakcie z kancelarią komorniczą i z należytą starannością podchodzi ona do spraw ochrony danych osobowych. Ze względu na to stwierdzono, że jest mało prawdopodobne, by zdarzenie skutkowało ryzykiem naruszenia praw lub wolności osoby, której dotyczyło zdarzenie. Prezes UODO uznał, że nie została wykonana przez Administratora analiza ryzyka naruszenia praw lub wolności osoby objętej naruszeniem.
4.
Prezes UODO, pismem z 7 listopada 2024 r. wszczął wobec Administratora postępowanie administracyjne w sprawie braku zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie. Jednocześnie Prezes UODO zwrócił się do Administratora o złożenie wyjaśnień.
5.
W odpowiedzi na zawiadomienie o wszczęciu postępowania w piśmie z 19 listopada 2024 r. Administrator wyjaśnił, że dokumenty, które otrzymał nieuprawniony odbiorca dotyczyły jednej osoby. W tym dokumencie znajdowały się dane osobowe tej osoby w postaci imienia i nazwiska, adresu zamieszkania, daty urodzenia, numeru PESEL, kwoty zobowiązań wobec Skarbu Państwa, informacje o tytule wykonawczym, sygnatura postępowania egzekucyjnego oraz informacje o stosunku pracy z U. (…) Sp. z o.o., a także dane Komornika i Sądu. Ponadto Administrator wyjaśnił, że w ramach analizy zdarzenia sprawdzono w szczególności: treść inkryminowanej (wspomnianej) korespondencji, poprawność wysyłki innej korespondencji oraz tożsamość, świadomość prawną i nastawienie do sprawy osoby trzeciej, do której trafiły nieprzeznaczone dla niej dane.
6.
Administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w wykonaniu obowiązku wynikającego z art. 33 ust. 1 rozporządzenia 2016/679 oraz nie zawiadomił bez zbędnej zwłoki osoby, której dane dotyczą, o naruszeniu ochrony jej danych osobowych, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679.

W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

7.
Zgodnie z art. 4 pkt 12 rozporządzenia 2016/679, naruszenie ochrony danych osobowych jest naruszeniem bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
8.
Art. 33 ust. 1 i 3 rozporządzenia 2016/679 stanowi, że w przypadku naruszenia ochrony danych osobowych, administrator, bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej: a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) zawierać imię, nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celi zminimalizowania jego ewentualnych negatywnych skutków.
9.
Z kolei na podstawie art. 34 ust. 1 rozporządzenia 20016/679, w sytuacji, gdy istnieje możliwość wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić o naruszeniu osobę, której dane dotyczą. Art. 34 ust. 2 rozporządzenia stanowi, że prawidłowe zawiadomienie powinno:
1)
jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych;
2)
zawierać przynajmniej informacje i środki, o których mowa w art. 33 ust 3 lit. b), c) i d) rozporządzenia 2016/679, tj.:
a)
imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
b)
opis możliwych konsekwencji naruszenia ochrony danych osobowych;
c)
opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
10.
Analiza powyższych przepisów wskazuje na to, że w zależności od tego, z jakim poziomem ryzyka naruszenia praw lub wolności osób fizycznych administrator ma do czynienia, inaczej kształtują się jego obowiązki w stosunku do organu nadzorczego, a także osób, których dane dotyczą. Jeżeli ocena wykaże, że nie jest prawdopodobne, aby naruszenie ochrony danych osobowych skutkowało ryzykiem dla praw lub wolności osób fizycznych, należy jedynie udokumentować takie naruszenie w wewnętrznej ewidencji. Możliwość wystąpienia ryzyka dla praw lub wolności osób fizycznych generuje ponadto konieczność zgłoszenia naruszenia ochrony danych Prezesowi UODO. W przypadku naruszeń ochrony danych osobowych, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, rozporządzenie 2016/679 wprowadza także dodatkowy obowiązek niezwłocznego zawiadomienia podmiotu danych, chyba że administrator podjął działania prewencyjne przed zaistnieniem naruszenia albo działania zaradcze po wystąpieniu naruszenia (art. 34 ust. 3 rozporządzenia 2026/679).
11.
Z powyższych rozważań wynika, że w przypadku wykrycia przez administratora naruszenia ochrony danych osobowych, w pierwszej kolejności niezbędne jest dokonanie analizy pod kątem możliwości wystąpienia w jego wyniku ryzyka dla praw lub wolności osób fizycznych. Administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu, jeśli przeprowadzona analiza wykaże, że istnieje najwyżej małe prawdopodobieństwo wystąpienia takiego ryzyka. Należy jednak mieć na względzie fakt, że organ nadzorczy będzie mógł zwrócić się do administratora o uzasadnienie decyzji o niezgłaszaniu naruszenia, w związku z czym wnioski z przeprowadzonej analizy należy odnotować w wewnętrznej ewidencji naruszeń.
12.
Podkreślić w tym miejscu należy, że „małe prawdopodobieństwo” zaistnienia skutku w postaci naruszenia praw lub wolności osoby, której dane dotyczą, powinno być utożsamiane z sytuacją, w której oceniający posiada przesłanki pozwalające na stwierdzenie, że skutek ten nie urzeczywistni się w ogóle – a zatem wtedy, gdy mówimy o „braku ryzyka”. Warto zauważyć, że w polskiej wersji rozporządzenia 2016/679 użyto sformułowania „mało prawdopodobne”, zaś w angielskiej – terminu „unlikely”. Wyraz ten ma silniejsze znaczenie niż nasz rodzimy odpowiednik i służy do określenia czegoś, co jest raczej nieprawdopodobne, wątpliwie lub niemal niemożliwe. Warto również odwołać się w tym miejscu do Wytycznych Europejskiej Rady Ochrony Danych (dalej jako EROD) 9/2022 dotyczących zgłaszania naruszenia ochrony danych osobowych na podstawie RODO[1] – zwłaszcza do działu II tych Wytycznych dotyczącego art. 33 rozporządzenia 2016/679 oraz wynikającego z niego obowiązku powiadomienia organu nadzorczego. W rozdziale D tego działu EROD omówiła warunki, w których powiadomienie takie nie jest wymagane – wnikliwe przeanalizowanie treści tego rozdziału pozwala stwierdzić, że EROD stoi na stanowisku, że wyjątek z art. 33 ust. 1 rozporządzenia 2016/679 (tj. przypadek, gdy nie powstaje obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu ze względu na małe prawdopodobieństwo wystąpienia naruszenia praw lub wolności osób fizycznych) należy rozumieć wąsko – inaczej mówiąc: jako wyjątek, który znajdzie zastosowanie w sytuacjach, gdy to prawdopodobieństwo jest w sposób oczywisty małe. Z ww. wytycznych wynika, że „zgłoszenie naruszenia właściwemu organowi jest obowiązkowe, chyba że dane naruszenie najprawdopodobniej nie będzie wiązało się z ryzykiem naruszenia praw lub wolności osób fizycznych”. Oznacza to, że występująca w polskiej wersji rozporządzenia 2016/679 przesłanka „małego prawdopodobieństwa” powinna być utożsamiana z brakiem realnych szans na rzeczywistą materializację potencjalnych skutków dla osób, których dane dotyczą.
13.
W Wytycznych 9/2022 EROD wskazując czynniki, które należy wziąć pod uwagę przy ocenie ryzyka, odsyła do motywów 75 i 76 rozporządzenia 2016/679, które sugerują, że administrator powinien uwzględnić zarówno prawdopodobieństwo wystąpienia, jak i powagę zagrożenia praw lub wolności osoby, której dane dotyczą. W przypadku naruszenia ochrony danych osobowych administrator powinien skupić swoją uwagę na wynikającym z faktu naruszenia ryzyku wpływu naruszenia na osobę fizyczną. Zatem, oceniając ryzyko dla osoby fizycznej powstałe w wyniku naruszenia ochrony danych osobowych, administrator powinien wziąć pod uwagę konkretne okoliczności naruszenia, w tym dotkliwość potencjalnego wpływu oraz prawdopodobieństwo jego wystąpienia. W związku z powyższym, przy ocenie ryzyka, EROD zaleca uwzględnienie takich kryteriów, jak: rodzaj naruszenia, charakter, wrażliwość i ilość danych osobowych, a także łatwość identyfikacji, ponieważ mogą one mieć wpływ na poziom ryzyka dla osób fizycznych. Ryzyko naruszenia praw lub wolności osoby fizycznej zgodnie z Wytycznymi 9/2022 będzie większe, gdy konsekwencje naruszenia są poważniejsze, jak również wtedy, gdy wzrasta prawdopodobieństwo ich wystąpienia. Wytyczne wskazują, aby w przypadku jakichkolwiek wątpliwości administrator zgłosił naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna.
14.
Należy podkreślić, że oceny ryzyka naruszenia praw lub wolności osoby fizycznej powinno się dokonać przez pryzmat osoby zagrożonej, a nie interesów administratora. Jest to szczególnie ważne, ponieważ w oparciu o zawiadomienie o naruszeniu ochrony danych osobowych osoba fizyczna może sama dokonać oceny, czy w jej opinii incydent bezpieczeństwa może powodować dla niej negatywne konsekwencje i podjąć odpowiednie działania zaradcze. Również w oparciu o informacje przekazane przez administratora dotyczące opisu charakteru naruszenia i zastosowanych lub proponowanych środków w celu zaradzenia naruszeniu, osoba fizyczna może dokonać oceny, czy po zaistniałym naruszeniu administrator danych nadal daje rękojmię należytego przetwarzania jej danych osobowych w sposób zapewniający ich bezpieczeństwo. Brak zawiadomienia o naruszeniu ochrony danych osobowych osoby fizycznej w przypadku wystąpienia wysokiego ryzyka naruszenia jej praw lub wolności pozbawia ją nie tylko możliwości odpowiedniej reakcji na naruszenie, ale również możliwości dokonania samodzielnej oceny naruszenia, które przecież dotyczy jej danych osobowych i może powodować dla niej poważne konsekwencje. Natomiast brak zgłoszenia naruszenia ochrony danych osobowych pozbawia organ nadzorczy możliwości odpowiedniej reakcji na naruszenie, które polega nie tylko na ocenie ryzyka naruszenia praw lub wolności osoby fizycznej, ale również w szczególności na weryfikacji, czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą, jak również, czy zastosował odpowiednie środki bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia.
15.
Zgłaszanie naruszeń ochrony danych osobowych przez administratorów stanowi zatem skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Zgłaszając naruszenie organowi nadzorczemu, administratorzy informują Prezesa UODO, czy w ich ocenie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, oraz – jeśli takie ryzyko wystąpiło – to czy przekazali stosowne informacje osobom fizycznym, na które naruszenie wywiera wpływ. W uzasadnionych przypadkach mogą również przekazać informację, że powiadomienie w ich ocenie nie jest konieczne ze względu na spełnienie warunków określonych w art. 34 ust. 3 lit. a) i b) rozporządzenia 2016/679. Prezes UODO dokonuje weryfikacji oceny dokonanej przez administratora i może – jeżeli administrator nie zawiadomił osób, których dane dotyczą – zażądać od niego takiego zawiadomienia. Zgłoszenia naruszenia ochrony danych osobowych pozwalają organowi nadzorczemu na właściwą reakcję mogącą ograniczyć skutki takich naruszeń, bowiem administrator ma obowiązek podjęcia skutecznych działań zapewniających ochronę osobom fizycznym i ich danym osobowym, które z jednej strony pozwolą na kontrolę skuteczności dotychczasowych rozwiązań, a z drugiej na ocenę modyfikacji i usprawnień służących zapobieżeniu nieprawidłowościom analogicznym do objętych naruszeniem. Natomiast zawiadomienie osób fizycznych o naruszeniu zapewnia możliwość przekazania tym osobom informacji na temat ryzyka związanego z naruszeniem oraz wskazania działań, jakie osoby te mogą podjąć, aby uchronić się przed potencjalnymi negatywnymi skutkami naruszenia (umożliwia to osobie fizycznej dokonanie samodzielnej oceny naruszenia w kontekście możliwości materializacji negatywnych konsekwencji dla takiej osoby i podjęcia decyzji o zastosowaniu lub braku zastosowania działań zaradczych).
16.
Jak wynika z powyższych rozważań, administrator niezwłocznie po uzyskaniu informacji o naruszeniu ochrony danych osobowych zobowiązany jest przeprowadzić ocenę ryzyka związanego z tym naruszeniem dla praw lub wolności osób fizycznych, których to naruszenie dotyczy. Ocena ryzyka powinna stanowić podstawę dla decyzji administratora prowadzącej do podjęcia dalszych działań w celu realizacji obowiązków wynikających z art. 33 ust. 1 oraz 34 ust. 1 i 2 rozporządzenia 2016/679.
17.
W stanie faktycznym przedmiotowej sprawy należy stwierdzić, że Administrator nie przeprowadził oceny ryzyka naruszenia praw lub wolności osób fizycznych w związku z zaistniałym naruszeniem ochrony danych osobowych opartej o obiektywne kryteria, a także nie wykazał zgodnie z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679, że nie jest prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Administrator w toku postępowania ograniczył się do wskazania w piśmie z 29 lutego 2024 r., że „[z]darzenie stanowiło jednostkowy przypadek wśród tysięcy wysyłanych listów, w którym korespondencja na skutek błędu pracownika nie trafiła do adresata, lecz osoby trzeciej (…)”. W oparciu o powyższe Administrator stwierdził, że „(…) jest mało prawdopodobne, by [z]darzenie skutkowało ryzykiem naruszenia praw lub wolności "dłużnika (…)", czyli jedynej osoby fizycznej, której sprawa dotyczy”.
18.
Jak wskazują Wytyczne 9/2022, naruszenie ochrony danych osobowych może potencjalnie wywołać szereg negatywnych skutków dla osób fizycznych, których dane są przedmiotem naruszenia. Wśród możliwych skutków naruszenia EROD wymienia: uszczerbek fizyczny, szkody materialne lub niemajątkowe. Jako przykłady takich szkód wymienione są m.in.: dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, straty finansowe, naruszenie dobrego imienia, naruszenie poufności danych osobowych oraz znaczna szkoda gospodarcza lub społeczna. W niniejszej sprawie nie ulega wątpliwości, że z uwagi na zakres danych objęty przedmiotowym naruszeniem ochrony danych osobowych, w tym numer ewidencyjny PESEL wraz z imieniem i nazwiskiem oraz adresem zamieszkania lub pobytu, istnieje wysokie prawdopodobieństwo wystąpienia wymienionych powyżej szkód.
19.
Przede wszystkim należy podkreślić, że zaistniałe naruszenie ochrony danych osobowych dotyczyło numeru ewidencyjnego PESEL, czyli jedenastocyfrowego symbolu numerycznego, który jednoznacznie identyfikuje osobę fizyczną, zawierającego m.in.: datę urodzenia oraz oznaczenie płci, a więc ściśle powiązanego ze sferą prywatną osoby fizycznej oraz podlegającego również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679 – będącego daną o szczególnym charakterze i takiej szczególnej ochrony wymagającego. Nr PESEL służy jako dana identyfikująca każdą osobę i jest powszechnie używany w kontaktach z różnymi instytucjami oraz w obiegu prawnym. Nr PESEL wraz z imieniem i nazwiskiem w sposób jednoznaczny identyfikuje osobę fizyczną, w sposób pozwalający przypisać negatywne skutki naruszenia (np. kradzież tożsamości, wyłudzenie pożyczki) tej konkretnej osobie. Ponadto należy wziąć pod uwagę, że w wyniku przedmiotowego naruszenia ochrony danych osobowych doszło do udostępnienia, co najmniej jednej osobie nieuprawnionej, tego numeru ewidencyjnego wraz z imieniem i nazwiskiem oraz adresem zamieszkania lub pobytu, które to zestawienie danych bywa wystarczające do „podszycia się” pod podmiot tych danych i zaciągnięcia w imieniu i na szkodę takiego podmiotu np. zobowiązań pieniężnych (vide: https://www.bik.pl/poradnik-bik/wyludzenie-kredytu-tak-dzialaja-oszusci – gdzie opisano przypadek, w którym: „Tylko imię, nazwisko i numer PESEL wystarczyły oszustom, by wyłudzić kilkanaście kredytów w sumie na dziesiątki tysięcy złotych. Nic więcej się nie zgadzało: ani numer dowodu osobistego, ani adres zamieszkania”).
20.
Warto w tym miejscu przytoczyć jeden z przykładów znajdujących się w Wytycznych Europejskiej Rady Ochrony Danych 01/2021[2] (przypadek nr 14, s. 31), odnoszący się do sytuacji „wysłania pocztą przez pomyłkę wysoce poufnych danych osobowych”. W opisanym w ww. wytycznych przypadku doszło do ujawnienia numeru ubezpieczenia społecznego, będącego odpowiednikiem stosowanego w Polsce numeru PESEL. W przypadku tym EROD nie miała wątpliwości, że ujawnione dane w zakresie: imię i nazwisko, adres e-mail, adres pocztowy, numer ubezpieczenia społecznego, wskazują na wysokie ryzyko naruszenia praw lub wolności osób fizycznych („zaangażowanie ich [osób poszkodowanych] numeru ubezpieczenia społecznego, a także innych, bardziej podstawowych danych osobowych, dodatkowo zwiększa ryzyko, które można określić jako wysokie”). EROD dostrzega wagę krajowych numerów identyfikacyjnych (w tym przypadku numeru PESEL), podkreślając jednocześnie, że tego typu naruszenie ochrony danych osobowych, a więc obejmujące swym zakresem dane w postaci: imienia i nazwiska, adresu e-mail, adresu korespondencyjnego oraz numeru ubezpieczenia społecznego, wymaga realizacji działań, tj.: powiadomienia organu nadzorczego oraz zawiadomienia o naruszeniu osób, których dane dotyczą.
21.
Europejska Rada Ochrony Danych nie ma najmniejszych wątpliwości, że indywidualnie nadany numer jednoznacznie identyfikujący osobę fizyczną powinien podlegać szczególnej ochronie, a jego ujawnienie nieuprawnionym podmiotom może wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych.
22.
Na fakt, że dane jednoznacznie identyfikujące osobę fizyczną mogą powodować wysokie ryzyko naruszenia praw lub wolności EROD wskazuje również w innych przykładach podanych w Wytycznych 01/2021. W pkt 65 i 66 Wytycznych 01/2021 wskazano: „(…) Naruszone dane pozwalają na jednoznaczną identyfikację osób, których dane dotyczą, i zawierają inne informacje na ich temat (w tym płeć, datę i miejsce urodzenia), ponadto mogą być wykorzystywane przez atakującego do odgadnięcia haseł klientów lub do przeprowadzenia kampanii spear phishingowej skierowanej do klientów banku. Z tych powodów uznano, że naruszenie ochrony danych prawdopodobnie spowoduje wysokie ryzyko naruszenia praw i wolności wszystkich osób, których dane dotyczą. W związku z tym możliwe jest wystąpienie szkód materialnych (np. strat finansowych) i niematerialnych (np. kradzieży tożsamości lub oszustwa)”.
23.
Podobnych wątpliwości (że ujawnienie numeru PESEL wraz z innymi danymi osobowymi może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych) nie miał również Wojewódzki Sąd Administracyjny w Warszawie, który w wyroku z 22 września 2021 r., sygn. akt II SA/Wa 791/21 (utrzymanym przez NSA wyrokiem z 20 marca 2025 r., sygn. akt III OSK 210/22), stwierdził, że „Nie ulega wątpliwości, że przywołane w wytycznych przykłady szkód mogą wystąpić w przypadku osób, których dane osobowe – w niektórych przypadkach łącznie z numerem ewidencyjnym Pesel lub serią i nr dowodu osobistego – zostały utrwalone na udostępnionych nagraniach. Nie bez znaczenia dla takiej oceny jest możliwość w oparciu o ujawnione dane identyfikacji osób, których dane zostały objęte naruszeniem.”. Dalej Sąd w powołanym orzeczeniu wskazał, że „Dane zostały bowiem udostępnione nieuprawnionym osobom, co oznacza, że nastąpiło naruszenie bezpieczeństwa prowadzące do nieuprawnionego ujawnienia danych osobowych, a zakres tych danych obejmujących w niektórych przypadkach również numer ewidencyjny PESEL lub serię i nr dowodu osobistego przesądza o tym, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych.”
24.
Rozważając powyższe kwestie należy przywołać również stanowisko Wojewódzkiego Sądu Administracyjnego w Warszawie wyrażone w wyroku z 1 lipca 2022 r. wydanym w sprawie o sygn. akt II SA/Wa 4143/21. W uzasadnieniu tego wyroku Sąd stwierdził, że: „Należy zgodzić się z Prezesem UODO, że utrata poufności numeru PESEL w połączeniu z danymi osobowymi, takimi jak: imię i nazwisko, adres zameldowania, numery rachunków bankowych oraz numer identyfikacyjny nadawany klientom Banku - numer CIF, wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. W przypadku naruszenia takich danych, jak imię, nazwisko oraz numer PESEL, możliwa jest bowiem kradzież lub sfałszowanie tożsamości skutkująca negatywnymi konsekwencjami dla osób, których dane dotyczą. Dlatego też Bank w przedmiotowej sprawie powinien był bez zbędnej zwłoki, stosownie do art. 34 ust. 1 RODO, zawiadomić osoby, których dane dotyczą, o naruszeniu ochrony danych osobowych, tak aby umożliwić im podjęcie niezbędnych działań zapobiegawczych” (podkreślenie własne).
25.
Wskazać również należy na wyrok z 31 sierpnia 2022 r., sygn. akt II SA/Wa 2993/21, w którym Wojewódzki Sąd Administracyjny w Warszawie podkreślił, że „(…) organ trafnie przyjął, iż wystąpiło wysokie ryzyko naruszenia praw i wolności osób objętych przedmiotowym naruszeniem z uwagi na możliwość łatwej, w oparciu o ujawnione dane, identyfikacji osób, których dane zostały objęte naruszeniem. Dane te bowiem to imię i nazwisko, adres do korespondencji, numer telefonu, numer PESEL osób posiadających polskie obywatelstwo. W tej sytuacji administrator zobowiązany był do zawiadomienia bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu”. Podobnie wypowiedział się Wojewódzki Sąd Administracyjny w Warszawie w wyrokach z 15 listopada 2022 r., sygn. akt II SA/Wa 546/22, z 21 czerwca 2023 r., sygn. akt II SA/Wa 150/23, z 6 listopada 2023 r., sygn. akt II SA/Wa 996/23 oraz z 7 listopada 2024 r., sygn. II SA/Wa 178/24.
26.
W świetle powyższego warto przywołać także wyrok Naczelnego Sądu Administracyjnego w Warszawie z 6 grudnia 2023 r., sygn. akt III OSK 2931/21, w którym stwierdzono: „Prezes UODO prawidłowo ustalił, iż doszło do udostępnienia danych m.in. w zakresie imion i nazwisk, a także numerów PESEL osób fizycznych, a więc danych względnie trwałych, niezmiennych, których ujawnienie zawsze może rodzić ryzyko negatywnych skutków dla ww. osób. Podobnie adresy zamieszkania są to dane osobowe, których nieuprawnione udostępnienie stwarza prawdopodobieństwo wysokiego ryzyka negatywnych skutków prawnych niezależnie od tego, iż do ujawnienia adresów doszło po kilku latach od ich aktualizacji”.
27.
Z ostatniego raportu infoDOK[3] (który przygotowywany jest w ramach prowadzenia społecznej Kampanii Informacyjnej Systemu DOKUMENTY ZASTRZEŻONE, organizowanej przez Związek Banków Polskich i niektóre banki, pod patronatem Ministerstwa Spraw Wewnętrznych i Administracji i we współpracy m.in. z Policją oraz Federacją Konsumentów), wynika, że w samym IV kwartale 2024 r. odnotowano 2661 prób wyłudzeń kredytów i pożyczek na łączną kwotę 80 mln zł. W całym 2024 r. odnotowano natomiast 12 331 prób wyłudzeń kredytów na łączną kwotę 324,2 mln zł, zaś w całym 2023 r. 12 409 prób wyłudzeń kredytów.
28.
Ponadto, jak wynika z orzecznictwa sądowego, wyroki w sprawach wyłudzeń kredytów nie są rzadkością i są wydawane przez polskie sądy w podobnych sprawach od dawna. Tytułem przykładu można wskazać na wyrok Sądu Rejonowego w Łęczycy z 27 lipca 2016 r. (sygn. akt I C 566/15), w którym oszuści biorący pożyczkę na cudze dane posłużyli się nr PESEL, zmyślonym adresem oraz niewłaściwym numerem dowodu (nieważnym). W uzasadnieniu ww. wyroku Sąd stwierdził, że: „Przeprowadzone postępowanie dowodowe oraz analiza dokumentów, załączonych przez stronę powodową, skutkuje tym, iż można jednoznacznie stwierdzić, że w rozpoznawanej sprawie pozwana nie była stroną umowy pożyczki, zawartej w dniu 5 maja 2014 r. Wprawdzie przy jej zawarciu posłużono numerem PESEL pozwanej J. R., lecz wskazane miejsce zamieszkania nie odpowiada miejscu zamieszkania pozwanej. Pozwana J. R. nigdy nie mieszkała w W. Kwota pożyczki została przelana na konto, którego posiadaczem nie była pozwana. W dacie zawarcia umowy pożyczki dowód osobisty nr (…) utracił ważność z dniem 15 marca 2014 r. Nie jest zgodny także numer telefonu komórkowego, wskazany na umowie pożyczki i jej załącznikach z faktycznymi numerami telefonów, jakimi posługiwała się i posługuje pozwana”.
29.
W innej sprawie (I C 693/16) Sąd Rejonowy w Zgierzu w wyroku z 4 listopada 2016 r. orzekł: „Dane osobowe pozwanego w postaci jego imienia i nazwiska i numeru PESEL, które były zgodne z danymi pozwanego nie świadczyły o tym, że pozwany złożył w dniu 17 grudnia 2014 r. oświadczenie woli o zawarciu umowy pożyczki. Nie wykluczone jest bowiem aby osoba, która w sposób niepowołany uzyskała dostęp do danych osobowych pozwanego zawarła na jego rachunek umowę pożyczki ze spółką (…) sp. z o.o. S.K.A. z siedzibą w W. W przedmiotowej sprawie pozwany wykazał iż nigdy nie mieszkał pod adresem wskazanym w umowie pożyczki oraz aby numer telefonu, adres e - mail za pomocą którego zarejestrowano się na stronie internetowej i złożono wniosek o zawarcie pożyczki do niego należały”.
30.
Spraw związanych z wyłudzeniami kredytów, gdzie nieznane osoby dysponują zazwyczaj jedynie imieniem i nazwiskiem oraz prawidłowym numerem PESEL (pozostałe dane są nieprawdziwe), jest wciąż bardzo wiele, co potwierdzają wydawane przez sądy wyroki w tych sprawach. Poniżej kilka przykładowych:
wyrok Sądu Rejonowego dla Łodzi-Widzewa w Łodzi z 13 sierpnia 2020 r. w sprawie o sygn. akt II C 1145/19, w której nieznana pozwanemu osoba trzecia weszła bezprawnie w posiadanie jego numeru PESEL oraz numeru dowodu osobistego, zaś pozostałe dane adresowe - wskazane w umowie pożyczki - były nieprawdziwe - „W ocenie Sądu zaoferowany przez stroną pozwaną materiał dowodowy - zwłaszcza dokumenty z akt sprawy karnej toczącej się przed Sądem Rejonowym w Tarnowskich Górach o sygnaturze akt VI K 383/16 - świadczą o tym, iż umowę pożyczki z dnia 8 listopada 2014 r. zawarła osoba trzecia, posługująca się niektórymi danymi osobowymi Z. A. Podała ona fałszywy adres zamieszkania, pod którym pozwany nigdy nie zamieszkiwał, zaś kwota pożyczki została przelana na rachunek bankowy, który nie należał do Z. A. […] zaś numer dowodu osobistego podany w tej umowie był numerem dowodu, którym pozwany już się nie posługiwał w dacie zawarcia umowy pożyczki, gdyż dowód ten stracił ważność około 8 miesięcy wcześniej”;
wyrok Sądu Rejonowego w Piszu z 21 sierpnia 2020 r., sygn. akt I C 260/20„[…] Sąd ustalił, że przy zawieraniu przedmiotowej umowy, w sposób nieuprawniony posłużono się danymi pozwanego i wpisano je, jako dane pożyczkobiorcy, przy czym to nie pozwany był stroną umowy. Stanowisko pozwanego znajduje potwierdzenie w zgłoszonym przez niego zawiadomieniu o popełnieniu przestępstwa oszustwa na jego szkodę, jak również w fakcie, że prokuratura prowadzi postępowanie w tej sprawie przeciwko wskazanej przez pozwanego osobie. Na marginesie należy zauważyć, że także w ramach toczących się przed tutejszym sądem postępowań o zapłatę sygn. akt I C 1/19 i I C 482/19, gdzie E. M. także występował w charakterze pozwanego, i gdzie doszło do zaciągnięcia na jego imię i nazwisko zobowiązań finansowych w takich samych okolicznościach, co w ramach niniejszego postępowania, również zapadły prawomocne wyroki oddalające powództwo. W ocenie sądu okoliczności zawarcia umowy z powodem, gdzie tożsame jest pierwsze imię i nazwisko pożyczkobiorcy oraz jego numer PESEL, zaś istnieje rozbieżność co do pozostałych danych wynikających z treści dowodu osobistego pozwanego tj. serii i numeru tego dokumentu, adresu zamieszkania, przy uwzględnieniu faktu prowadzenia procesu karnego w stosunku do osoby, która miała podszyć się pod pozwanego, celem zawierania na odległość umów i zaciągania zobowiązań finansowych w różnych instytucjach, wskazują jednoznacznie, iż to nie pozwany zawarł z poprzednikiem prawnym powoda umowę pożyczki nr (…)”;
wyrok Sądu Rejonowego w Puławach z 7 kwietnia 2022 r. w sprawie o sygn. akt I C 475/19, w której Sąd jednoznacznie przyznał, iż „[…] dowodu pozwalającego na weryfikację pozwanego jako strony przedmiotowej umowy nie stanowi samo wskazanie jego danych osobowych: imienia nazwiska, numeru PESEL, a także serii i numeru dowodu osobistego w treści umowy - w szczególności w sytuacji, gdy pożyczka zawierana jest za pośrednictwem platformy internetowej, a więc co oczywiste, pożyczkodawca nie ma możliwości niejako bezpośredniej weryfikacji tożsamości drugiej strony, a sama umowa nie zostaje potwierdzona podpisem pożyczkobiorcy”.
31.
Ustawodawca dostrzegł niebezpieczeństwa związane z posłużeniem się numerem PESEL innej osoby, co spowodowało wprowadzenie od 1 czerwca 2024 r. możliwości jego zastrzeżenia. Za pomocą tej instytucji wprowadzone zostały rozwiązania zapobiegające zaciągnięciu na cudze dane różnego rodzaju zobowiązań w postaci np. kredytów i pożyczek oraz otwierania rachunków rozliczeniowych przeznaczonych do wykorzystania np. w działalności przestępczej. Regulacja ma również chronić prawa do nieruchomości przez nałożenie konieczności sprawdzania przez notariuszy, czy numer PESEL jest zastrzeżony, w przypadku sprzedaży lub obciążania nieruchomości.
32.
Trzeba również mieć na uwadze, że wykonanie przez Administratora jego obowiązku wynikającego z art. 34 ust. 1 rozporządzenia 2016/679 nie może być uzależniane od zaistnienia naruszenia praw lub wolności osób fizycznych, których danych dotyczy naruszenie ochrony danych osobowych. Podobnie jest w przypadku obowiązku wynikającego z art. 33 ust. 1 rozporządzenia 2016/679. Jak stwierdził Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 22 września 2021 r. wydanym w sprawie o sygn. II SA/Wa 791/21 (utrzymanym przez NSA wyrokiem z dnia 20 marca 2025 r., sygn. akt III OSK 210/22): „Podkreślić należy, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować. W treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” (przy czym Sąd ten podobnie orzekł we wcześniej przywoływanym wyroku z 1 lipca 2022 r. wydanym w sprawie o sygn. akt II SA/Wa 4143/21 oraz w wyrokach z 31 sierpnia 2022 r., sygn. akt II SA/Wa 2993/21, z 15 listopada 2022 r., sygn. akt II SA/Wa 546/22 i z 26 kwietnia 2023 r., sygn. akt II SA/Wa 1272/22).
33.
Stosując przepisy rozporządzenia 2016/679 należy mieć na uwadze cel tego rozporządzenia (wyrażony w art. 1 ust. 2), którym jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych. Z kolei ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów – w tym również w sytuacji, gdy doszło do naruszenia ochrony danych osobowych – należy w pierwszej kolejności brać pod uwagę te wartości.
34.
Warto podkreślić, że dokonując oceny pod kątem ryzyka naruszenia praw lub wolności osób fizycznych, od której uzależnione jest m.in. dokonanie zgłoszenia naruszenia ochrony danych osobowych, należy łącznie uwzględnić czynnik prawdopodobieństwa i wagę potencjalnych negatywnych skutków. Wysoki poziom któregokolwiek z tych czynników ma wpływ na wysokość ogólnej oceny, od której uzależnione jest wypełnienie m.in. obowiązku określonego w art. 33 ust. 1 rozporządzenia 2016/679. Mając na uwadze, że ze względu na zakres ujawnionych danych osobowych w analizowanym przypadku wystąpiła możliwość zmaterializowania się poważnych negatywnych konsekwencji dla osób, których dane dotyczą, to wagę potencjalnego wpływu na prawa lub wolności osób fizycznych należy uznać za wysoką. Jednocześnie prawdopodobieństwo wystąpienia wysokiego ryzyka w następstwie przedmiotowego naruszenia nie jest małe i nie zostało wyeliminowane. Tym samym stwierdzić należy, że w związku z przedmiotowym naruszeniem wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, co w konsekwencji determinuje obowiązek dokonania zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu i zawiadomienia o nim osoby, której dane dotyczą.
35.
Podsumowując powyższe rozważania należy stwierdzić, że w przedmiotowym przypadku występuje wysokie ryzyko naruszenia praw lub wolności osób objętych przedmiotowym naruszeniem, co z kolei skutkuje powstaniem po stronie Administratora obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 33 ust. 3 rozporządzenia 2016/679 oraz zawiadomienia osoby, której dane dotyczą, o naruszeniu, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 34 ust. 2 rozporządzenia 2016/679. Administrator, z uwagi na charakter swojej działalności, powinien mieć wiedzę o wynikających z przepisów prawa obowiązkach związanych ze stwierdzeniem naruszenia ochrony danych osobowych.
36.
Odnosząc się do obowiązku Administratora określonego w art. 34 ust. 2 rozporządzenia 2016/679 Prezes UODO stwierdził, że Administrator (biorąc pod uwagę charakter naruszenia ochrony danych osobowych oraz kategorie danych, które uległy naruszeniu) powinien wskazać osobie, której dane dotyczą, najbardziej prawdopodobne, negatywne konsekwencje naruszenia jej danych osobowych. Z całą pewnością w przypadku naruszenia takich danych, jak imię, nazwisko, adres zamieszkania lub pobytu oraz numer ewidencyjny PESEL, należy wskazać przede wszystkim na możliwą kradzież lub sfałszowanie tożsamości poprzez uzyskanie przez osoby trzecie, na szkodę osób, których dane naruszono, pożyczek w instytucjach pozabankowych bądź wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować negatywne konsekwencje związane z próbą przypisania osobie, której dane dotyczą, odpowiedzialności za dokonanie takiego oszustwa. Opis możliwych konsekwencji powinien bowiem odzwierciedlać ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić jej podjęcie niezbędnych działań zapobiegawczych.
37.
W sytuacji, gdy na skutek naruszenia ochrony danych osobowych, występuje wysokie ryzyko naruszenia praw lub wolności osób fizycznych administrator zobowiązany jest wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy, jak również osoby, których dane dotyczą. Administrator powinien zrealizować przedmiotowy obowiązek możliwie najszybciej (por. wyrok WSA w Warszawie z 22 września 2021 r., sygn. akt II SA/Wa 791/21, utrzymany przez NSA wyrokiem z 20 marca 2025 r., sygn. akt III OSK 210/22).
38.
W motywie 85 preambuły rozporządzenia 2016/679 wyjaśniono: „Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki”.
39.
Z kolei w motywie 86 preambuły rozporządzenia 2016/679 wskazano: „Administrator powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia działań zapobiegawczych. Informacja taka powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z organem nadzorczym, z poszanowaniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy ścigania. Na przykład potrzeba zminimalizowania bezpośredniego ryzyka wystąpienia szkody będzie wymagać niezwłocznego poinformowania osób, których dane dotyczą, natomiast wdrożenie odpowiednich środków przeciwko takim samym lub podobnym naruszeniom ochrony danych może uzasadniać późniejsze poinformowanie”.
40.
Zawiadamiając bez zbędnej zwłoki podmiot danych, administrator umożliwia osobie podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia. Art. 34 ust. 1 i 2 rozporządzenia 2016/679 ma na celu nie tylko zapewnienie możliwie najskuteczniejszej ochrony podstawowych praw lub wolności podmiotów danych, ale także realizację zasady przejrzystości, która wynika z art. 5 ust. 1 lit. a) rozporządzenia 2016/679 (por. Witold Chomiczewski [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. red. E. Bielak – Jomaa, D. Lubasz, Warszawa 2018). Właściwe wywiązanie się z obowiązku określonego w art. 34 rozporządzenia 2016/679 ma zapewnić osobom, których dane dotyczą, szybką i przejrzystą informację o naruszeniu ochrony ich danych osobowych wraz z opisem możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków, które mogą one podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków. Postępując zgodnie z prawem i wykazując dbałość o interesy osoby, której dane dotyczą, Administrator powinien był bez zbędnej zwłoki zapewnić tej osobie możliwość jak najlepszej ochrony danych osobowych. Dla osiągnięcia tego celu niezbędne jest przynajmniej wskazanie tych informacji, które wymienione są w art. 34 ust. 2 rozporządzenia 2016/679, z którego to obowiązku Administrator nie wywiązał się. Administrator podejmując zatem decyzję o niezawiadomieniu o naruszeniu ochrony danych osobowych organu nadzorczego, jak i osoby, której dane dotyczą, w praktyce pozbawił podmiot danych, przekazanej bez zbędnej zwłoki, rzetelnej informacji o naruszeniu ochrony jej danych osobowych i możliwości przeciwdziałania potencjalnym szkodom.
41.
W konsekwencji należy stwierdzić, że Administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w wykonaniu obowiązku z art. 33 ust. 1 rozporządzenia 2016/679 oraz nie zawiadomił bez zbędnej zwłoki osoby, której dane dotyczą, o naruszeniu ochrony jej danych osobowych, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, co oznacza naruszenie przez Administratora każdego z tych przepisów.
42.
W tym miejscu należy zaznaczyć, że zgodnie z art. 34 ust. 4 rozporządzenia 2016/679, jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3. Z kolei z treści art. 58 ust. 2 lit. e) rozporządzenia 2016/679 wynika, że każdemu organowi nadzorczemu przysługuje uprawnienie naprawcze w postaci nakazania administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych.

Administracyjne kary pieniężne

43.
Postępowanie administracyjne prowadzone przez Prezesa UODO służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej w celu zastosowania uprawnień naprawczych określonych w art. 58 ust. 2 rozporządzenia 2016/679.
44.
Zgodnie z art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast środków naprawczych, o których mowa w art. 58 ust. 2 lit. a) – h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy.
45.
Wedle art. 83 ust. 4 lit. a) rozporządzenia 2016/679 naruszenia przepisów kształtujących obowiązki administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 – 39 oraz 42 i 43, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
46.
Oceniając, czy, a jeśli tak, to w jakim wymiarze powinna być nałożona administracyjna kara pieniężna, organ nadzorczy ma obowiązek uwzględnić następujące okoliczności (przesłanki wymiaru kary) określone w art. 83 ust. 2 rozporządzenia 2016/679:
a)
charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody,
b)
umyślny lub nieumyślny charakter naruszenia,
c)
działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
d)
stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32,
e)
wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego,
f)
stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,
g)
kategorie danych osobowych, których dotyczyło naruszenie,
h)
sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie,
i)
jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 - przestrzeganie tych środków,
j)
stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42,
k)
wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.
47.
Ponadto organ nadzorczy – zgodnie z art. 83 ust. 1 rozporządzenia 2016/679 – zapewnia by stosowane administracyjne kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające (zasady wymiaru kary).
48.
Art. 83 ust. 3 rozporządzenia 2016/679 stanowi natomiast, że jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów rozporządzenia 2016/679, całkowita wysokość administracyjnej kary pieniężnej nie przekroczy wysokości kary za najpoważniejsze naruszenie.
49.
Natomiast zgodnie z art. 102 ust. 1 pkt 1 u.o.d.o., Prezes UODO może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 000 złotych, na jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1-12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2024 r. poz. 1530 ze zm.). Limit ten niewątpliwie znajdzie zastosowanie w niniejszej sprawie do komornika sądowego jako organu władzy publicznej w zakresie wykonywania czynności w postępowaniu egzekucyjnym i zabezpieczającym, zgodnie z art. 3 ust. 1 ustawy z dnia 22 marca 2018 r. o komornikach sądowych (Dz. U. z 2024 r. poz. 1458 ze zm.). Administracyjne kary pieniężne, o których tutaj mowa, Prezes Urzędu nakłada na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679 (art. 102 ust. 3 u.o.d.o.).

Zachowania Komornika Sądowego prowadzące do naruszeń art. 33 ust. 1 i art. 34 ust. 1 i 2 rozporządzenia 2016/679 – zastosowanie art. 83 ust. 3 rozporządzenia 2016/679.

50.
Nakładając na Administratora administracyjne kary pieniężne, Prezes UODO skorzystał ze wskazówek zawartych w Wytycznych Europejskiej Rady Ochrony Danych (zwanej dalej „EROD”) w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO (wersja 2.1), przyjętych 24 maja 2023 r (zwanych dalej Wytycznymi 04/2022)[4] i na ich podstawie dokonał analizy zachowania Administratora, które doprowadziło do naruszenia art. 33 ust. 1 oraz art. 34 ust. 1 i 2 rozporządzenia 2016/679. Ustalając konkretne sankcje za stwierdzone w niniejszej sprawie naruszenia Prezes UODO ocenił zastosowanie art. 83 ust. 3 RODO (zob. pkt 17 Wytycznych 04/2022). Zgodnie z zaleceniami, w pierwszej kolejności Prezes UODO rozważył następujące kwestie (zob. pkt 24 Wytycznych 04/2022):
a)
czy okoliczności wskazują na jedno zachowanie, czy też na wiele zachowań podlegających karze;
b)
w przypadku jednego zachowania, czy zachowanie to stanowi jedno naruszenie czy większą liczbę naruszeń;
c)
w przypadku jednego zachowania, które stanowi wiele naruszeń, czy przypisanie jednego naruszenia wyklucza przypisanie innego naruszenia, czy też należy je przypisać równolegle.
51.
Wykładnia pojęcia „jednego zachowania” została przedstawiona – w nawiązaniu do art. 83. ust. 3 rozporządzenia 2016/679, w którym mowa jest o „tych samych lub powiązanych operacjach przetwarzania” – w pkt 28 Wytycznych 04/2022. Zgodnie z nim „[t]ermin «powiązane» odnosi się do zasady, zgodnie z którą jedno zachowanie może składać się z kilku części, które są realizowane na skutek jednego aktu woli i są kontekstowo (w szczególności jeśli chodzi o tożsamość osoby, której dane dotyczą, cel i charakter przetwarzania), przestrzennie i czasowo tak blisko powiązane, że z obiektywnego punktu widzenia można uznać je za jedno spójne zachowanie”.
52.
Odnosząc powyższe do niniejszej sprawy należy przyjąć, że zachowania prowadzące do naruszeń obu rozpatrywanych tutaj przepisów nie dotyczą tych samych ani powiązanych operacji przetwarzania w rozumieniu art. 83 ust. 3 rozporządzenia 2016/679. Przede wszystkim naruszenie art. 33 ust. 1 polega na niezgłoszeniu przez administratora bez zbędnej zwłoki, lecz nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, naruszenia ochrony danych osobowych organowi nadzorczemu. Natomiast naruszenie art. 34 ust. 1 polega na niezawiadomieniu bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia ich praw lub wolności. Omawiane zachowania stanowią zaniechania realizacji obowiązków administratora nałożonych na niego rozporządzeniem 2016/679, które to obowiązki nie mają już związku z żadnymi konkretnymi operacjami przetwarzania; są „oderwane” od operacji, w związku z którymi stwierdzone zostało naruszenie ochrony danych osobowych. Oznacza to, że w swojej istocie zachowania te (i obowiązki, których niewykonanie prowadzi do naruszenia obu omawianych przepisów) nie dotyczą wprost żadnych (ani tych samych, ani powiązanych, ani też niezależnych od siebie) operacji przetwarzania. Stosując terminologię zastosowaną w art. 83 ust. 3 rozporządzenia 2016/679 stwierdzić należy, że zachowania te nie mają miejsca (co wynika z istoty naruszeń przepisów art. 33 i 34 rozporządzenia 2016/679) „w ramach tych samych lub powiązanych operacji przetwarzania”. Ponadto stwierdzić należy, że inne jest ratio legis obu naruszonych przepisów, inny cel obowiązków w przepisach tych przewidzianych, i w końcu realizacja obu tych obowiązków wymaga podjęcia innych działań administratora (innych jego zachowań).
53.
Po pierwsze, obowiązek wynikający z art. 33 ust. 1 rozporządzenia 2016/679 administrator jest zobowiązany spełnić wobec organu nadzorczego. Natomiast w przypadku art. 34 ust. 1 rozporządzenia 2016/679 ma to miejsce wobec podmiotów danych objętych danym naruszeniem. Oznacza to, że tożsamość podmiotów, wobec których administrator wykonuje powyższe obowiązki nie jest taka sama.
54.
Po drugie, celem zgłoszenia naruszenia ochrony danych osobowych jest zapewnienie organowi nadzorczemu niezbędnych informacji na temat powstałego naruszenia ochrony danych osobowych, dzięki czemu organ może w odpowiedni sposób zareagować na przedmiotowe naruszenie, np. ocenić, czy administrator podjął właściwe działania i dzięki temu administrator, we współpracy z organem nadzorczym, może zminimalizować konsekwencje tego naruszenia[5]. Oznacza to, że za pomocą mechanizmu określonego w art. 33 ust. 1 rozporządzenia 2016/679 administrator zobligowany jest do dokonania analizy naruszenia ochrony danych osobowych i zaprojektowania odpowiednich działań mających na celu usunięcie jego skutków oraz – na przyszłość – zapobiegnięcie jego powtórzeniom. Organ nadzorczy natomiast ma możliwość monitorowania, czy dokonana przez administratora analiza jest prawidłowa, a zaproponowane środki naprawcze właściwe. Natomiast celem zawiadomienia osób, których dane dotyczą jest dostarczenie istotnych informacji o zdarzeniu oraz o rekomendowanych środkach ostrożności, co może ograniczyć powstanie potencjalnych szkód wywołanych danym naruszeniem[6]. Wobec tego osoby objęte danym naruszeniem ochrony danych osobowych są świadome jego skutków oraz mają możliwość podjęcia stosownych działań, które mogą zapobiec materializacji, bądź dalszemu rozwoju przedstawionych przez administratora konsekwencji naruszenia.
55.
Po trzecie, omawiane zachowania nie są czasowo powiązane. Realizacja obowiązku określonego w art. 33 ust. 1 rozporządzenia 2016/679 powinna nastąpić w miarę możliwości bez zbędnej zwłoki, ale nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. W przypadku art. 34 ust. 1 termin ten został określony również jako „bez zbędnej zwłoki”, lecz nie został ograniczony limitem 72 godzin od momentu stwierdzenia naruszenia. W Wytycznych 9/2022 termin „bez zbędnej zwłoki” został zdefiniowany jako „[…] [n]ajszybciej jak to możliwe” (zob. pkt 83 Wytycznych 9/2022). Natomiast nie oznacza on terminu natychmiastowego[7]. Zgodnie z motywem 87 rozporządzenia 2016/679 w przypadku art. 34 ust. 1 rozporządzenia 2016/679 termin ten należy ustalić z uwzględnieniem, w szczególności charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutków dla osób, których dane dotyczą. Oznacza to, że termin ten powinien być możliwy do wykonania przez administratora najszybciej jak to możliwe, lecz przy uwzględnieniu indywidualnych znamion konkretnego naruszenia ochrony danych osobowych. Wobec tego czas realizacji omawianych obowiązków może być tożsamy, ale nie musi, ponieważ zależny jest od indywidualnych cech konkretnej sprawy oraz od tego, czy wystąpiło naruszenie, które może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Należy jednak w tym miejscu podkreślić, że omawiane obowiązki wymagają podjęcia dwóch odrębnych decyzji (aktów woli) administratora o podjęciu działań w celu spełnienia obu obowiązków, spełnienia jednego tylko z nich lub zaniechania realizacji obu obowiązków. Realizacja jednego z nich ani nie determinuje, ani nie jest determinowana spełnieniem drugiego z nich. W związku z tym działania podjęte w celu realizacji obu obowiązków lub zaniechania podjęcia takich działań (jak w niniejszej sprawie) stanowią odrębne „zachowania” w rozumieniu Wytycznych 04/2022.
56.
Podsumowując powyższe stwierdzić należy, że – dokonując analizy materiału dowodowego zabranego w sprawie – Prezes UODO zauważył i poddał ocenie dwa różne zachowania Komornika Sądowego prowadzące do naruszenia dwóch różnych przepisów rozporządzenia 2026/679. W związku z tym, że są to odrębne od siebie zachowania Administratora, które nie dotyczą „tych samych lub powiązanych operacji przetwarzania”, przepis art. 83 ust. 3 rozporządzenia 2016/679 nie będzie miał zastosowania do ich zbiegu w jednej decyzji administracyjnej. Zachodzi tu sytuacja, do której ma zastosowanie tzw. „zasada wielości działań” (zob. pkt 44 i 45 Wytycznych 04/2022): „[…] powodem, dla którego naruszenia te mogą być rozpatrywane w ramach jednej decyzji, jest to, że przypadkowo zwróciły one uwagę organu nadzorczego w tym samym czasie, przy czym nie stanowiły one tych samych ani powiązanych operacji przetwarzania w rozumieniu art. 83 ust. 3 RODO”. Konsekwencją tego jest zaś to, że „[w] decyzji nakładającej karę organ nałoży indywidualne kary pieniężne za każde z nich, przy czym do ich sumy nie będzie miała zastosowania jedna prawnie określona maksymalna wysokość kary” (zob. Przykład 3 do pkt 45 Wytycznych 04/2022). Niezależnie jednak od wynikającej z powyższego stwierdzenia możliwości orzeczenia w niniejszej sprawie wobec Komornika Sądowego kar o łącznej wysokości przekraczającej maksymalną kwotę kary dla najpoważniejszego naruszenia, Prezes UODO wskazuje, że łączna kwota kar orzeczona wobec niego w tych indywidualnych okolicznościach sprawy daleka jest od limitu określonego dla każdego z naruszeń z osobna (100 000 zł).

Uzasadnienie nałożenia i ustalenia wysokości administracyjnej kary pieniężnej za naruszenie art. 33 ust. 1 rozporządzenia 2016/679.

Przesłanki wymiaru kary – zastosowanie art. 83 ust. 2 rozporządzenia 2016/679

art.
Decydując o nałożeniu na Administratora administracyjnej kary pieniężnej za naruszenie przepisu art. 33 ust. 1 rozporządzenia 2016/679, Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.
57.
Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a) rozporządzenia 2016/679)
Administrator dokonał naruszenia obowiązku określonego w art. 33 ust. 1 rozporządzenia 2016/679 poprzez zaniechanie zgłoszenia Prezesowi UODO naruszenia ochrony danych osobowych. Obowiązek ten jest ściśle związany z systemem mającym na celu ochronę jednego z podstawowych praw osoby fizycznej, którym jest prawo do ochrony jej danych osobowych, czy też szerzej – do ochrony jej prywatności. Istotnym elementem tego systemu, którego ramy określone zostały przepisami rozporządzenia 2016/679, są organy nadzorcze, na które nałożone zostały zadania związane z ochroną i egzekwowaniem praw osób fizycznych w tym zakresie. Stwierdzone w tym zakresie naruszenie ma znaczną wagę i poważny charakter, ponieważ zgłaszanie naruszeń ochrony danych osobowych przez administratorów danych stanowi skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Przede wszystkim na podstawie informacji przekazanych przez administratorów w zgłoszeniach naruszenia ochrony danych osobowych organ nadzorczy może dokonać oceny, czy administrator w sposób prawidłowy dokonał analizy ewentualnego wpływu naruszenia na prawa lub wolności osób, których dotyczą dane objęte naruszeniem, a w konsekwencji, czy występuje wysokie ryzyko naruszenia praw lub wolności osób fizycznych i zachodzi konieczność zawiadomienia tych osób o naruszeniu ich danych. Prawidłowo zrealizowane przez administratorów obowiązki w tym zakresie pozwalają także na ograniczenie negatywnych skutków naruszeń ochrony danych osobowych oraz wyeliminowanie bądź przynajmniej ograniczenie ryzyka wystąpienia tego typu naruszeń w przyszłości, gdyż administratorzy mają obowiązek podjęcia działań, które zapewnią właściwą ochronę danych osobowych poprzez zastosowanie odpowiednich środków bezpieczeństwa oraz kontrolę ich skuteczności.
Naruszenie przepisu art. 33 ust. 1 rozporządzenia 2016/679 trwa od momentu upływu 72 godzin od stwierdzenia naruszenia ochrony danych osobowych, które miało miejsce w dniu 6 października 2023 r. i ma miejsce nadal, bowiem w dalszym ciągu Administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO.
Obciążająco w tym kontekście należy ocenić działanie Komornika Sądowego, jako organu publicznego, który powinien odznaczać się znajomością prawa. Tymczasem Administrator pomimo poinformowania go przez organ nadzorczy o naruszeniu przepisu art. 33 ust. 1 rozporządzenia 2016/679 nie wykonał obowiązku wynikającego z tego przepisu.
58.
Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
Za umyślne działanie Administratora Prezes UODO uznał podjęcie przez niego świadomej decyzji o niezawiadamianiu organu nadzorczego o zaistniałym naruszeniu ochrony danych osobowych. Zgodnie z Wytycznymi 04/2022 umyślność „obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego”. Administrator, będąc świadomym ciążącej na nim odpowiedzialności, zlekceważył swoje obowiązki związane z naruszeniem ochrony danych i zaniechał zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO. W końcu samo wszczęcie przez Prezesa UODO niniejszego postępowania w przedmiocie naruszenia obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu powinno nasunąć Administratorowi co najmniej wątpliwości, co do słuszności przyjętego przez niego stanowiska.
Podsumowując, Komornik Sądowy podjął świadomą decyzję, by nie zawiadamiać o naruszeniu ochrony danych osobowych Prezesa UODO, pomimo wskazywania mu na istnienie takiego obowiązku.
59.
Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków [art. 83 ust. 2 lit. f) rozporządzenia 2016/679].
W toku postępowania wyjaśniającego oraz w toku wszczętego postępowania administracyjnego Administrator udzielał na wezwania organu nadzorczego odpowiedzi. Jednakże w tym przypadku fakt udzielania odpowiedzi na wezwania organu należało potraktować jako wyraz realizacji „procesowych” obowiązków prawnych spoczywających na Administratorze. Nie był to wyraz jego współpracy z Prezesem UODO „w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków”. Pomimo korespondencji pomiędzy organem a Administratorem Komornik Sądowy nie podjął oczekiwanych, prawidłowych w świetle art. 33 ust. 1 rozporządzenia 2016/679, działań, tj. nie zgłosił naruszenia ochrony danych osobowych Prezesowi UODO. Z powyższej przyczyny stopień współpracy Administratora z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków należy ocenić jako całkowicie niezadowalający, a przez to stanowi on czynnik obciążający Administratora przy ustalaniu wysokości administracyjnej kary pieniężnej.
60.
Ustalając wysokość administracyjnej kary pieniężnej Prezes UODO nie znalazł podstaw do uwzględnienia okoliczności łagodzących, mających wpływ na obniżenie ostatecznego wymiaru kary orzeczonej wobec Administratora.
61.
Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy niemające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
62.
Wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e rozporządzenia 2016/679).
Prezes UODO nie stwierdził po stronie Administratora jakichkolwiek wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. Obowiązkiem każdego administratora jest przestrzeganie przepisów prawa, a zatem brak wcześniejszych naruszeń nie może być również okolicznością łagodzącą przy wymierzaniu sankcji.
63.
Sposób w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator zgłosił naruszenie (art. 83 ust. 2 lit. h rozporządzenia 2016/679).
Prezes UODO nie został poinformowany o naruszeniu ochrony danych osobowych zgodnie z przewidzianą dla takich sytuacji procedurą określoną w art. 33 rozporządzenia 2016/679. O zaistnieniu przedmiotowego naruszenia związanego ze zdarzeniem polegającym na udostępnieniu danych osobowych osobie trzeciej bez podstawy pranej, Prezes UODO został poinformowany przez nieuprawnionego odbiorcę tych danych. Brak zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych jest również przedmiotem niniejszego postępowania i w okolicznościach rozważanego stanu faktycznego organ nadzorczy przyjął, że przesłanki tej nie potraktuje jako okoliczności obciążającej, ponieważ stanowi ona o istocie niniejszego naruszenia.
64.
Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
65.
Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).
Administrator nie poinformował, czy stosuje zatwierdzone kodeksy postępowania lub zatwierdzone mechanizmy certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak - jak stanowią przepisy rozporządzenia 2016/679 - obowiązkowe dla administratorów i podmiotów przetwarzających w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na korzyść Administratora natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.
66.
Wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO nie stwierdził, żeby Administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej administratora. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla Administratora. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” - zaistniałe po stronie podmiotu dokonującego naruszenia.
67.
Pozostałe okoliczności wymienione w art. 83 ust. 2 rozporządzenia 2016/679 nie mogły być wzięte pod uwagę przez Prezesa UODO ze względu na charakter naruszenia (dotyczącego relacji administratora z organem nadzorczym, a nie z osobami, których dane dotyczą). Są to:
a)
liczba poszkodowanych osób i rozmiar poniesionej przez nie szkody (art. 83 ust. 2 lit. a) rozporządzenia 2016/679) – ze względu na to, że naruszenie polegające na niezgłoszeniu naruszenia ochrony danych osobowych Prezesowi UODO stanowi zaniechanie obowiązków, które administrator był zobowiązany spełnić wobec organu nadzorczego. Oznacza to, że w swojej istocie nie dotyczy ono podmiotów danych, a więc nie może ze swej natury spowodować powstania szkód po ich stronie;
b)
działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust 2 lit. c) rozporządzenia 2016/679) – ze względu na istotę naruszenia, które nie może wiązać się z powstaniem szkód po stronie osób fizycznych. Ponieważ wskutek naruszenia nie powstają żadne szkody po stronie podmiotów danych, brak jest możliwości podjęcia przez administratora działań, które te szkody miałyby zminimalizować, a które to działania mogłyby podlegać ocenie organu nadzorczego jako okoliczności łagodzące lub obciążające;
c)
stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d) rozporządzenia 2016/679) – ze względu na to, że naruszenie w samej swojej istocie nie wiąże się ze środkami technicznymi i organizacyjnymi wdrożonymi przez administratora w celu zapewnienia ochrony danych osobowych oraz bezpieczeństwa ich przetwarzania;
d)
kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679) – ze względu na to, że naruszenie w samej istocie nie dotyczy żadnych danych osobowych, a tym samym żadnych ich kategorii. Polega ono bowiem na niespełnieniu (wobec organu nadzorczego) pewnego obowiązku formalnego – „oderwanego” od jakichkolwiek operacji przetwarzania.

Ustalenie wysokości kary z zastosowaniem Wytycznych 04/2022 za naruszenie art. 33 ust. 1 rozporządzenia 2016/679.

68.
Ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej nałożonej na Administratora Prezes UODO w sposób ograniczony zastosował metodykę przyjętą przez EROD w Wytycznych 04/2022. Ograniczony zakres stosowania tych wytycznych do obliczania kar orzekanych wobec organów i podmiotów publicznych wynika z braku możliwości przyjęcia obrotu (przychodów) takiego podmiotu jako miernika jego wielkości pozwalającego miarkować wysokość kary, tak by była ona skuteczna, proporcjonalna i odstraszająca. Jak wskazuje EROD w pkt 10 swoich wytycznych, jeżeli na podstawie prawa krajowego organy nadzorcze mają uprawnienie do nakładania administracyjnych kar pieniężnych na organy i podmioty publiczne, wytyczne te mają zastosowanie do ich obliczania z wyjątkiem rozdziału 4.3 tego dokumentu („Obrót przedsiębiorstwa do celów nałożenia skutecznej, odstraszającej i proporcjonalnej kary pieniężnej”). Tam natomiast gdzie prawo krajowe przewiduje dla organów i podmiotów publicznych ustawowe maksymalne kwoty kar (inne niż wynikające z art. 83 ust. 4-6 rozporządzenia 2016/679) zastosowania nie będzie znajdował rozdział 6 wytycznych („Prawnie określona maksymalna wysokość kary pieniężnej i odpowiedzialność przedsiębiorstw”). Mając więc na uwadze powyższe Prezes UODO dokonał niżej przedstawionej kalkulacji kary orzekanej wobec Komornika Sądowego.
69.
Za prawnie określoną maksymalną kwotę kary możliwą do orzeczenia wobec Administratora Prezes UODO przyjął - stosownie do art. 102 ust. 1 pkt 1 u.o.d.o. - kwotę 100 000 zł, przy czym kwota ta znajduje zastosowanie niezależnie od tego, którego przepisu rozporządzenia 2016/679 dotyczy naruszenie.
70.
Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o niskim poziomie powagi (zob. Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które tyczą się strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny lub nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679). Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679) nie zostały wzięte pod uwagę przy ocenie „powagi” naruszenia ze względu na jego charakter (dotyczącego relacji administratora z organem nadzorczym, a nie z osobami, których dane dotyczą). Szczegółowa ocena tych okoliczności przedstawiona została powyżej (zob. pkt 57, 58 i 67 lit. d) uzasadnienia). W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest niski. Konsekwencją tego jest zaś przyjęcie - jako kwoty wyjściowej do obliczenia kary - wartości mieszczącej się w przedziale od 0 % do 10 % maksymalnej wysokości kary możliwej do orzeczenia wobec Administratora (zob. pkt 60 tiret pierwsze Wytycznych 04/2022), to jest - zważywszy na kwotę maksymalną w wysokości 100 000 zł określoną dla organów i podmiotów publicznych (zob. pkt 49 uzasadnienia) - od 0 do kwoty 10 000 zł. Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę 7 000 zł (7 % prawnie określonej maksymalnej wysokości kary możliwej do wymierzenia Komornikowi Sądowemu).
71.
Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (zob. Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się - jak zakładają Wytyczne 04/2022 - do strony podmiotowej naruszenia (do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie i po jego zaistnieniu) oraz ewentualnie do innych okoliczności mogących mieć znaczenie dla jego oceny. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przepisów rozporządzenia 2016/679 przestawione zostały powyżej (zob. pkt 59, 61-66 oraz 67 lit. a) - c) uzasadnienia). Prezes UODO uznał, że okolicznością obciążającą w niniejszej sprawie jest stopień współpracy Komornika Sądowego z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679). Organ nadzorczy przeprowadzając analizę w niniejszej sprawie nie uwzględnił żadnej okoliczności łagodzącej, mającej wpływ na obniżenie wymiaru sankcji. Natomiast ze względu na zaistnienie w sprawie jednej okoliczności obciążającej Prezes UODO - oceniając jej wpływ na stwierdzone naruszenie - uznał za zasadne zwiększenie wysokości kary - do kwoty 7 700 zł.
72.
Zgodnie z art. 83 ust. 1 rozporządzenia 2016/679 każdy organ nadzorczy zapewnia, by administracyjne kary pieniężne stosowane za naruszenia tego rozporządzenia były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Natomiast Wytyczne 04/2022 wskazują, że ostatnim krokiem kalkulacji kary dokonywanej zgodnie z przedstawioną tam metodologią powinno być przeanalizowanie, czy ostateczna kwota obliczonej kary pieniężnej spełnia te wymogi, oraz odpowiednie zwiększenie lub zmniejszenie kary pieniężnej. Dokonując takiej analizy w niniejszej sprawie Prezes UODO uznał, że ustalona zgodnie z powyższymi zasadami wysokość kary nie wymaga dodatkowej korekty ze względu na skuteczność, proporcjonalność i odstraszający charakter kary (art. 83 ust. 1 rozporządzenia 2016/679). W jego ocenie administracyjna kara pieniężna w ustalonej wysokości, tj. w kwocie 7 700 zł, będzie skuteczna (przez swoją dolegliwość pozwoli osiągnąć swój cel represyjny, którym jest ukaranie za bezprawne zachowanie), odstraszająca (pozwoli skutecznie zniechęcić zarówno Komornika Sądowego, jak i innych administratorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679) oraz proporcjonalna (będzie adekwatna do stwierdzonej wagi naruszenia, nie będzie wykraczać poza możliwości finansowe Komornika Sądowego oraz pozwoli na osiągnięcie celów określonych w rozporządzeniu 2016/679).
73.
Warto jeszcze podkreślić, że wysokość orzeczonej kary wynika wyłącznie z istotnego (w stosunku do ogólnych zasad wymiaru administracyjnych kar pieniężnych przewidzianych przepisami rozporządzenia 2016/679) ograniczenia zagrożenia karą przewidzianego dla podmiotów publicznych w art. 102 ust. 1 u.o.d.o. W sytuacji orzeczenia wobec Komornika Sądowego kary pieniężnej w ramach ogólnego, określonego w art. 83 ust. 4 lit. a) rozporządzenia 2016/679 zagrożenia, kara ta – ze względu na powagę i naganny charakter naruszenia - musiałaby być wymierzona w kwocie wielokrotnie przekraczającej kwotę 7 700 zł. Na zasadach ogólnych maksymalne zagrożenie karą za przypisane Administratorowi naruszenie art. 33 ust. 1 rozporządzenia 2016/679, zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, wynosiłoby bowiem 10 000 000 EUR.

Uzasadnienie nałożenia i ustalenia wysokości administracyjnej kary pieniężnej za naruszenie art. 34 ust. 1 i 2 rozporządzenia 2016/679.

Przesłanki wymiaru kary – zastosowanie art. 83 ust. 2 rozporządzenia 2016/679

74.
Decydując o nałożeniu na Administratora administracyjnej kary pieniężnej za naruszenie przepisu art. 34 ust. 1 i 2 rozporządzenia 2016/679, Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.
75.
Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a) rozporządzenia 2016/679).
W ocenie Prezesa UODO stwierdzone w niniejszej sprawie naruszenie przepisu art. 34 ust. 1 i 2 rozporządzenia 2016/679 (polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą) ma znaczną wagę i poważny charakter, ponieważ uniemożliwiło osobie dotkniętej naruszeniem ochrony danych osobowych zastosowanie szybkich i skutecznych środków zabezpieczających jej prawa i interesy naruszone lub chociażby tylko zagrożone tym naruszeniem. W związku z brakiem wykonania przez Administratora obowiązku nałożonego na niego omawianym przepisem miała miejsce sytuacja, w której osoba ta nie posiadała jakiejkolwiek wiedzy na temat zaistniałego zdarzenia, nie mogła więc w konsekwencji podjąć żadnych działań zaradczych.
Jako okoliczność obciążającą w omawianej sprawie należy ocenić charakter przetwarzania realizowanego przez Komornika Sądowego jako organ władzy publicznej w zakresie wykonywania czynności dotyczących postępowań egzekucyjnych i zabezpieczających. Organ publiczny odpowiedzialny za prowadzenie egzekucji sądowej (a więc dysponujący środkami tzw. przymusu państwowego), a w dodatku funkcjonariusz publiczny wykonujący zawód zaufania publicznego, powinien odznaczać się nie tylko najwyższą znajomością prawa, ale również dawać gwarancję poszanowania praw i wolności obywateli (w tym odnoszących się do przetwarzania ich danych osobowych – często danych głęboko ingerujących w sferę prywatności obywatela). Tymczasem Administrator nie wykonał obowiązku wynikającego z przepisu art. 34 ust. 1 rozporządzenia 2016/679 mającego w założeniu chronić prawa, wolności i interesy osób poddanych stosowanym przez niego środkom przymusu.
Za okoliczność obciążającą Prezes UODO uznaje także długi czas trwania naruszenia przez Administratora przepisu art. 34 ust. 1 i 2 rozporządzenia 2016/679. Przyjąć należy, że naruszenie tego przepisu ma miejsce od dnia stwierdzenia naruszenia ochrony danych osobowych w dniu 6 października 2023 r. (lub od okresu tuż po tej dacie) i trwa nadal, gdyż osoba objęta naruszeniem ochrony danych osobowych nadal nie otrzymała informacji odnośnie tego naruszenia.
W niniejszej sprawie naruszenie przepisów rozporządzenia 2016/679 dotyczyło danych osobowych tylko jednej osoby. Taką liczbę osób dotkniętych naruszeniem, szczególnie wobec faktu, że Komornik Sądowy - w związku ze skalą i zakresem swojej działalności - przetwarza dane osobowe dużej liczby osób, należy uznać za niewielką, co przemawia na korzyść Administratora. Podobnie należy ocenić okoliczność, że nie zostało stwierdzone, by osoba ta doznała jakiejkolwiek szkody (majątkowej lub niemajątkowej) na skutek braku zawiadomienia przez Administratora o naruszeniu ochrony jej danych osobowych. Nie zmienia to jednak całościowej oceny przesłanki „charakteru, wagi i czasu trwania naruszenia”, o której mowa w art. 83 ust. 2 lit. a) rozporządzenia 2016/679, i która w ocenie Prezesa UODO przemawia za koniecznością zastosowania w związku ze stwierdzonym naruszeniem administracyjnej kary pieniężnej, a także – jednocześnie – wpływa obciążająco na jej wymiar.
76.
Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
Zgodnie z Wytycznymi EROD 04/2022 dotyczącymi obliczania administracyjnych kar pieniężnych na podstawie RODO (wersja 2.1) przyjętymi 24 maja 2023 r., zwanymi dalej Wytycznymi 04/2022 umyślność „obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego”. Nie ulega wątpliwości, że Administrator przetwarzając dane osobowe powinien mieć wiedzę w zakresie ochrony danych osobowych obejmującą konsekwencję stwierdzenia naruszenia ochrony danych osobowych skutkującego wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Będąc tego świadomym, Administrator podjął jednak decyzję o niewykonaniu swoich obowiązków określonych w art. 34 ust. 1 i 2 rozporządzenia 2016/679. Prezes UODO stwierdził, że stanowiło to umyślne działanie Administratora. Administrator podjął świadomą decyzję, aby nie zawiadamiać osoby, której dane dotyczą. Podkreślenia wymaga, że samo wszczęcie przez Prezesa UODO niniejszego postępowania w przedmiocie naruszenia obowiązków zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu i zawiadomienia o tym naruszeniu osoby, której dane dotyczą, powinno wskazać Administratorowi, że istnieją uzasadnione podstawy do stwierdzenia, że jego zachowanie (zaniechanie zawiadomienia, o którym mowa w art. 34 rozporządzenia 2016/679) stanowi naruszenie przepisów rozporządzenia 2016/679. Mając taką wiedzę Administrator musiał świadomie i celowo zdecydować o zaniechaniu podjęcia działań, które ten stan naruszenia usunęłyby.
77.
Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków [art. 83 ust. 2 lit. f) rozporządzenia 2016/679].
W toku postępowania wyjaśniającego oraz w toku wszczętego postępowania administracyjnego Administrator w zasadzie udzielał na wezwania organu nadzorczego odpowiedzi. Jednakże fakt udzielania odpowiedzi na wezwania organu nie może być potraktowany przez Prezesa UODO jako przesłanka łagodząca, lecz jako wyraz realizacji obowiązków prawnych spoczywających na Administratorze. Ww. korespondencja pomiędzy organem a Administratorem nie przyczyniła się do usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków, bowiem Administrator nie podjął działań w celu zawiadomienia osoby, której dane dotyczą, o tym naruszeniu. Dlatego też organ zdecydował o tym, że takie postępowanie Administratora stanowi przesłankę wpływającą obciążająco na wymiar orzeczonej administracyjnej kary pieniężnej.
78.
Inne, niżej wskazane (w pkt 79-84 uzasadnienia) okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy jako niemające ani obciążającego, ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
79.
Działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust 2 lit. c) rozporządzenia 2016/679)
Ponieważ nie stwierdzono, by wskutek naruszenia polegającego na niezawiadomieniu osoby, której dane dotyczą, powstały po stronie tej osoby jakiekolwiek szkody, brak było możliwości podjęcia przez Administratora w tym zakresie działań, które te szkody miałyby zminimalizować, a które to działania mogłyby podlegać ocenie organu nadzorczego jako okoliczności łagodzące lub obciążające. Niepodjęcie przez Administratora takich działań nie może więc go w żaden sposób obciążać; nie może jednak również stanowić dla niego okoliczności łagodzącej, skoro brak było po jego stronie jakiejkolwiek aktywności, mogącej podlegać pozytywnej ocenie organu nadzorczego.
80.
Wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e rozporządzenia 2016/679).
Prezes UODO nie stwierdził żadnych stosownych wcześniejszych naruszeń rozporządzenia 2016/679 dokonanych przez Komornika Sądowego, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. Do obowiązków każdego administratora należy przestrzeganie przepisów prawa (w tym przepisów dotyczących ochrony danych osobowych), w związku z czym brak wcześniejszych podobnych naruszeń ochrony danych osobowych nie może również zostać uznany za okoliczność łagodzącą przy wymierzaniu sankcji.
81.
Sposób w jaki organ nadzorczy dowiedział się o naruszeniu o naruszeniu, w szczególności, czy i w jakim zakresie administrator zgłosił naruszenie (art. 83 ust. 2 lit. h rozporządzenia 2016/679).
O zaistnieniu naruszenia art. 34 ust. 1 i 2 rozporządzenia 2016/679, związanego z udostępnieniem danych osobowych osobie trzeciej bez podstawy prawnej, Prezes UODO dowiedział się z urzędu, w toku – zainicjowanego przez tę osobę trzecią – postępowania prowadzonego w przedmiocie naruszenia ochrony danych osobowych. Brak jest więc – ponieważ informacja ta nie pochodziła od Administratora – możliwości uznania tej okoliczności za działającą na jego korzyść.
82.
Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
83.
Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).
Administrator nie poinformował, czy stosuje zatwierdzone kodeksy postępowania lub zatwierdzone mechanizmy certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak - jak stanowią przepisy rozporządzenia 2016/679 - obowiązkowe dla administratorów i podmiotów przetwarzających w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na korzyść Administratora natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.
84.
Wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO nie stwierdził, żeby Administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Administratora. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez Administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być dla niego łagodzącą. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” - zaistniałe po stronie podmiotu dokonującego naruszenia.
85.
Pozostałe okoliczności wymienione w art. 83 ust. 2 rozporządzenia 2016/679 nie mogły być wzięte pod uwagę przez Prezesa UODO, i poddane jego ocenie, ze względu na charakter i istotę rozpatrywanego tutaj naruszenia. Są to:
a)
stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d) rozporządzenia 2016/679) – ze względu na to, że naruszenie w samej swojej istocie nie wiąże się ze środkami technicznymi i organizacyjnymi wdrożonymi przez administratora w celu zapewnienia ochrony danych osobowych oraz bezpieczeństwa ich przetwarzania, przesłanka ta nie może zostać uznana w niniejszej sprawie za okoliczność mogącą wpłynąć na ocenę naruszenia i w konsekwencji na wymiar nałożonej na Administratora administracyjnej kary pieniężnej.
b)
kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679) – ze względu na to, że naruszenie („oderwane” od konkretnych operacji przetwarzania konkretnych danych osobowych) w samej swojej istocie nie może naruszać żadnych danych osobowych, a tym samym żadnych ich kategorii. Polega ono bowiem na niespełnieniu wobec osoby, której dotyczyło naruszenie ochrony danych osobowych, pewnego obowiązku formalnego – o charakterze informacyjnym.

Ustalenie wysokości kary z zastosowaniem Wytycznych 04/2022 za naruszenie art. 34 ust. 1 i 2 rozporządzenia 2016/679.

86.
Ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej nałożonej na Administratora Prezes UODO w sposób ograniczony zastosował metodykę przyjętą przez EROD w Wytycznych 04/2022 (zob. uwagi co do ograniczenia zastosowania Wytycznych 04/2022 w odniesieniu do podmiotów publicznych przedstawione w pkt 68 uzasadnienia).
87.
Za prawnie określoną maksymalną kwotę kary możliwą do orzeczenia wobec Administratora Prezes UODO przyjął - stosownie do art. 102 ust. 1 pkt 1 u.o.d.o. - kwotę 100 000 zł, przy czym kwota ta znajduje zastosowanie niezależnie od tego, którego przepisu rozporządzenia 2016/679 dotyczy naruszenie.
88.
Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o średnim poziomie powagi (zob. Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które tyczą się strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny lub nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679). Przesłanka kategorii danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679) – aczkolwiek również składa się na „powagę” naruszenia – nie została wzięta pod uwagę przy ocenie tej „powagi” ze względu na charakter naruszenia. Szczegółowa ocena tych okoliczności przedstawiona została powyżej (zob. pkt 75-76 oraz 85 lit. b) uzasadnienia). W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest średni. Konsekwencją tego jest zaś przyjęcie - jako kwoty wyjściowej do obliczenia kary - wartości mieszczącej się w przedziale od 10 % do 20 % maksymalnej wysokości kary możliwej do orzeczenia wobec Administratora (zob. pkt 60 tiret drugie Wytycznych 04/2022), to jest - zważywszy na kwotę maksymalną w wysokości 100 000 zł określoną dla organów i podmiotów publicznych (zob. pkt 49 uzasadnienia) - od 10 000 do kwoty 20 000 zł. Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę 12 000 zł (12 % prawnie określonej maksymalnej wysokości kary możliwej do wymierzenia Komornikowi Sądowemu).
89.
Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (zob. Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się - jak zakładają Wytyczne 04/2022 - do strony podmiotowej naruszenia (do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie i po jego zaistnieniu) oraz ewentualnie do innych okoliczności mogących mieć znaczenie dla jego oceny. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przepisów rozporządzenia 2016/679 przestawione zostały powyżej (zob. 77, 79-84 i 85 lit. a) uzasadnienia). Prezes UODO uznał, że okolicznością obciążającą w niniejszej sprawie jest stopień współpracy Komornika Sądowego z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679). Organ nadzorczy przeprowadzając analizę w niniejszej sprawie nie uwzględnił żadnej okoliczności łagodzącej, mającej wpływ na obniżenie wymiaru sankcji. Ze względu na zaistnienie w sprawie jednej dodatkowej okoliczności obciążającej, Prezes UODO oceniając jej wpływ na stwierdzone naruszenie uznał za zasadne zwiększenie wysokości kary - do kwoty 13 200 zł.
90.
Zgodnie z art. 83 ust. 1 rozporządzenia 2016/679 każdy organ nadzorczy zapewnia, by administracyjne kary pieniężne stosowane za naruszenia tego rozporządzenia były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Natomiast Wytyczne 04/2022 wskazują, że ostatnim krokiem kalkulacji kary dokonywanej zgodnie z przedstawioną tam metodologią powinno być przeanalizowanie, czy ostateczna kwota obliczonej kary pieniężnej spełnia te wymogi, oraz odpowiednie zwiększenie lub zmniejszenie kary pieniężnej. Dokonując takiej analizy w niniejszej sprawie Prezes UODO uznał, że ustalona zgodnie z powyższymi zasadami wysokość kary nie wymaga dodatkowej korekty ze względu na skuteczność, zasadę proporcjonalności i odstraszający charakter kary (art. 83 ust. 1 rozporządzenia 2016/679). W jego ocenie administracyjna kara pieniężna w ustalonej wysokości, tj. w kwocie 13 200 zł, będzie skuteczna (przez swoją dolegliwość pozwoli osiągnąć swój cel represyjny, którym jest ukaranie za bezprawne zachowanie), odstraszająca (pozwoli skutecznie zniechęcić zarówno Komornika Sądowego, jak i innych administratorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679) oraz proporcjonalna (będzie adekwatna do stwierdzonej powagi naruszenia, nie wykroczy poza możliwości finansowe Komornika Sądowego oraz pozwoli na osiągnięcie celów określonych w rozporządzeniu 2016/679).
91.
Warto jeszcze podkreślić, że wysokość orzeczonej kary wynika wyłącznie z istotnego (w stosunku do ogólnych zasad wymiaru administracyjnych kar pieniężnych przewidzianych przepisami rozporządzenia 2016/679) ograniczenia zagrożenia karą przewidzianego dla podmiotów publicznych w art. 102 ust. 1 u.o.d.o. W sytuacji orzeczenia wobec Komornika Sądowego kary pieniężnej w ramach ogólnego, określonego w art. 83 ust. 4 lit. a) rozporządzenia 2016/679 zagrożenia, kara ta – ze względu na powagę i naganny charakter naruszenia - musiałaby być wymierzona w kwocie wielokrotnie przekraczającej kwotę 13 200 zł. Na zasadach ogólnych maksymalne zagrożenie karą za naruszenie zasad dotyczących przetwarzania danych osobowych określonych w art. 34 ust. 1 i 2 rozporządzenia 2016/679, zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, wynosiłoby bowiem 10 000 000 EUR.

Podsumowanie

92.
Uwzględniając ustalone okoliczności faktyczne i uwarunkowania prawne Prezes UODO nałożył na Komornika Sądowego dwie odrębne administracyjne kary pieniężne: karę za naruszenie art. 33 ust. 1 rozporządzenia 2016/679 w wysokości 7 700 zł, oraz karę za naruszenie art. 34 ust. 1 i 2 rozporządzenia 2016/679 w wysokości 13 200 zł, tj. kary w łącznej wysokości 20 900 zł.
93.
W ocenie Prezesa UODO ww. sankcje finansowe spełniają funkcje kary określone w art. 83 ust. 1 rozporządzenia 2016/679 i stanowią możliwie adekwatną, a nade wszystko sprawiedliwą reakcję organu nadzorczego na stwierdzone naruszenia przepisów rozporządzenia 2016/679. Nałożenie administracyjnych kar pieniężnych w kwotach ustalonych przez organ nadzorczy jest konieczne i uzasadnione zarówno charakterem oraz wagą naruszeń, jak i pozostałymi okolicznościami sprawy, które organ nadzorczy uznał za obciążające w kontekście przypisanych Komornikowi Sądowemu naruszeń. Jednocześnie Prezes UODO zauważa, że zastosowanie wobec Administratora jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b) rozporządzenia 2016/679), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że Administrator ten w przyszłości nie dopuściłby się kolejnych zaniedbań.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
[1] Ww. wytyczne zaktualizowały i uzupełniły Wytyczne Grupy Roboczej Art. 29 dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (Wp250 rev.01), przyjęte w dniu 3 października 2017 r.
[2] Wytyczne Europejskiej Rady Ochrony Danych 01/2021 w sprawie przykładów dotyczących powiadomienia o naruszeniu danych osobowych przyjęte w dniu 14 grudnia 2021 r., wersja 2.0 (dalej „Wytyczne 01/2021”).
[4] Wytyczne w języku polskim pod adresem: https://www.edpb.europa.eu/system/files/2024-01/edpb_guidelines_042022_calculationofadministrativefines_pl_0.pdf
[5] P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 33.
[6] Poradnik Urzędu Ochrony Danych Osobowych, Poradnik na gruncie RODO. Obowiązki administratorów związane z naruszeniami ochrony danych osobowych, 2025, str. 77 i 86.
[7] P. M. Przybysz [w:] Kodeks postępowania administracyjnego. Komentarz aktualizowany, LEX/el. 2024, art. 35.