Decyzja DKN.5131.3.2024

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572 ze zm.), art. 7 ust. 1, art. 60, art. 102 ust. 1 pkt 1 i ust. 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), a także art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. i), art. 24 ust 1, art. 83 ust. 1 – 3, art. 83 ust. 4 lit. a) w związku z art. 25 ust. 1 oraz art. 32 ust. 1 i 2 art. oraz art. 83 ust. 5 lit. a) w związku z art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej „rozporządzeniem 2016/679”,

po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez Państwowego Powiatowego Inspektora Sanitarnego w M., ul. (…), (…)-(…) M., Prezes Urzędu Ochrony Danych Osobowych,

stwierdzając naruszenie przez Państwowego Powiatowego Inspektora Sanitarnego w M., ul. (…), (…)-(…) M., przepisów art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, polegające na:

1)

niewdrożeniu odpowiednich środków technicznych i organizacyjnych na podstawie przeprowadzonej analizy ryzyka uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, zapewniających bezpieczeństwo przetwarzania danych przy użyciu zewnętrznych nośników danych,

2)

niewdrożeniu odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych przetwarzanych przy użyciu zewnętrznych nośników danych, skutkujące naruszeniem zasady integralności i poufności (art. 5 ust. 1 lit f) rozporządzenia 2016/679) oraz zasady rozliczalności (art. 5 ust 2 rozporządzenia 2016/679),

nakłada na Państwowego Powiatowego Inspektora Sanitarnego w M., ul. (…), (…)-(…) M., za naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 administracyjną karę pieniężną w wysokości 20 000 zł (słownie: dwadzieścia tysięcy złotych).

Uzasadnienie

1.

Państwowy Powiatowy Inspektor Sanitarny w M. (dalej również jako „Administrator”) jest organem rządowej administracji zespolonej w województwie, który wykonuje zadania przy pomocy podległej mu (…) w M., ul. (…), (…)-(…) M., na podstawie ustawy z dnia 14 marca 1985 r. o Państwowej Inspekcji Sanitarnej (Dz. U. z 2024 r. poz. 416), dalej jako: „ustawa o Państwowej Inspekcji Sanitarnej”.

2.

Administrator 31 października 2023 r. dokonał Prezesowi Urzędu Ochrony Danych Osobowych (zwanemu dalej także „Prezesem UODO” lub „organem nadzorczym”) zgłoszenia naruszenia ochrony danych osobowych, które stwierdzone zostało 30 października 2023 r. Zgłoszenie zostało zarejestrowane pod sygn. DKN.5130.12351.2023. Następnie 29 listopada 2023 r. Administrator przesłał zgłoszenie uzupełniające zawierające zaktualizowane informacje w sprawie ww. zgłoszenia naruszenia. Naruszenie ochrony danych osobowych polegało na zagubieniu przez byłego pracownika Administratora prywatnego zewnętrznego nośnika danych (pendrive), na którym przetwarzane były dane osobowe Administratora.

3.

Przedmiotowe zgłoszenie naruszenia ochrony danych osobowych stało się dla Prezesa UODO impulsem do dokonania oceny realizacji przez Administratora spoczywających na nim obowiązków wynikających z przepisów rozporządzenia 2016/679 dotyczących właściwego zabezpieczenia danych oraz organizacji systemu ochrony danych osobowych w obszarze zarządzania zewnętrznymi nośnikami danych. W związku z powyższym, Prezes UODO przeprowadził postępowanie wyjaśniające, a następnie wszczął z urzędu 16 lutego 2024 r. postępowanie administracyjne w zakresie możliwości naruszenia przez Administratora obowiązków wynikających z art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679. Organ nadzorczy dokonał ustaleń na podstawie informacji podanych w zgłoszeniu naruszenia ochrony danych osobowych z 31 października 2023 r. i zgłoszeniu uzupełniającym z 29 listopada 2023 r. oraz wyjaśnień i dowodów przedstawionych na ich potwierdzenie złożonych przez Administratora pismami z 2 i 8 listopada 2023 r., 20 grudnia 2023 r., 23 lutego 2024 r. oraz 23 października 2024 r. Na podstawie ww. pism oraz załączonych do nich dowodów Prezes UODO ustalił stan faktyczny przedmiotowej sprawy.

Stan faktyczny

4.

Administrator prowadzi działalność z zakresu zdrowia publicznego. Wykonywanie zadań z zakresu zdrowia publicznego polega na sprawowaniu zapobiegawczego i bieżącego nadzoru sanitarnego oraz prowadzeniu działalności zapobiegawczej i przeciwepidemicznej w zakresie chorób zakaźnych i innych chorób powodowanych warunkami środowiska, a także na prowadzeniu działalności oświatowo-zdrowotnej. Obszar działania Administratora obejmuje powiat (…). W ramach prowadzonej działalności Administrator przetwarza dane osobowe pacjentów również w postaci elektronicznej. Do przetwarzania danych osobowych wykorzystywane są m.in. zewnętrzne nośniki danych typu pendrive.

5.

Administrator nie posiadał odrębnych regulacji dotyczących zarządzania zewnętrznymi nośnikami danych. Zarządzeniem nr (…) z (…) maja 2018 r. Administrator wprowadził „(…)”, dalej również jako „Procedura”, wraz z „(…)”, dalej również jako „Instrukcja” (kopie wymienionych regulacji stanowią załączniki nr 4 i 5 do pisma Administratora z 20 grudnia 2023 r.). Zgodnie z wyjaśnieniami przesłanymi przez Administratora pismem z 20 grudnia 2023 r., w obszarze zarządzania zewnętrznymi nośnikami danych, w ramach ww. dokumentów, obowiązywały następujące zasady:

–

(…),

–

(…),

–

(…),

–

(…),

–

(…),

–

(…),

–

(…),

–

(…).

6.

Pismem z 23 lutego 2024 r. Administrator wyjaśnił, że „Okresową ocenę ryzyka dokonuje się corocznie w odniesieniu do opracowanego Rejestru Czynności i Kategorii Przetwarzania Danych Osobowych z rozdziałem na poszczególne komórki organizacyjne funkcjonujące w (…) w M.. Niniejszą ocenę, obejmującą okres od stycznia do grudnia, opracowuje się w formie tabelarycznej każdego roku” (formularze oceny za lata 2021-2023 stanowią załącznik nr 3 do pisma z 23 lutego 2024 r.). Dokonywane oceny udokumentowane były „Raportem (…)” (ww. raporty za lata 2021-2022 stanowią załącznik nr 4 do pisma z 23 lutego 2024 r.). Zgodnie z przedstawionymi raportami z szacowania ryzyka Administrator dokonywał oceny w ramach 58 zidentyfikowanych czynności przetwarzania. W ramach oceny wskazano: nazwę czynności przetwarzania, właściciela czynności, oceniony przez Administratora poziom ryzyka wystąpienia zdarzeń niepożądanych (niski albo poważny), potencjalne skutki wystąpienia działań niepożądanych (zauważalne albo minimalne) oraz zakres przetwarzania. Wskazany w raportach „poważny” poziom ryzyka wystąpienia zdarzeń niepożądanych nie ma odzwierciedlenia w arkuszach oceny i przedstawionej tam metodyce, zgodnie z którą „ryzyko wystąpienia zdarzeń niepożądanych” oceniane było na poziomach: niskie, średnie, wysokie i bardzo wysokie.

Dla czynności, w których ryzyko wystąpienia zdarzeń niepożądanych ocenione zostało na poziomie „niski”, Administrator nie definiował zagrożeń oraz nie wskazywał stosowanych środków bezpieczeństwa.

Dla wyodrębnionych 16 (z 58) czynności, w których ryzyko wystąpienia zdarzeń niepożądanych ocenione zostało na poziomie „poważny”, zidentyfikowane źródła ryzyka określone zostały jako: „(…)”. Administrator wskazał, że stosowane zabezpieczenia obejmują „zabezpieczony, dedykowany sprzęt elektroniczny, zabezpieczona sieć przeznaczona do przetwarzania danych”. Ryzyko po uwzględnieniu zastosowanych środków oceniane było na poziomie średnim. Administrator wskazał takie same źródła ryzyka, jak i takie same stosowane zabezpieczenia, dla każdej z 16 wyodrębnionych czynności przetwarzania.

Administrator nie zidentyfikował źródła ryzyka związanego z nieuprawnionymi działaniami pracowników, w tym nieuprawnionym kopiowaniem danych przez pracowników, czy użytkowaniem przez pracowników prywatnych zewnętrznych nośników danych.

7.

Odpowiadając na pytanie, czy przeprowadzono analizę ryzyka dla procesu przetwarzania danych osobowych za pośrednictwem zewnętrznych nośników danych, pismem z 20 grudnia 2023 r. Administrator wyjaśnił, że „Analiza ryzyka systemu IT dla (…) w M. została przeprowadzona w dniu 18.11.2022 r., która obejmowała zakresem: (…)”. Dokument „(…)” wraz z legendą stanowią załączniki nr 10 i 11 do pisma Administratora z dnia 20 grudnia 2023 r.

Wskazana analiza przeprowadzona została dla zasobów wykorzystywanych do przetwarzania danych osobowych i podzielona została na trzy obszary: (…), (…), (…).

W ramach trzech ww. obszarów analizy Administrator wskazał ogólne zagrożenia i konkretne przypadki przyczyn zagrożeń. Ryzyko dla poszczególnych przyczyn zagrożeń ocenione zostało poprzez wyliczenie wskaźnika RPN (w dokumentacji nie wyjaśniono skrótu). Wskaźnik RPN wyliczony został jako iloczyn następujących kryteriów: częstość wystąpienia wady (ryzyko wystąpienia wady) – liczba (R) – znaczenie wady – jak istotne znaczenie będzie miała dana wada – liczba (Z) – poziom wykrywalności – opisuje prawdopodobieństwo, że dana wada nie zostanie wykryta – liczba (W), RPN = R x Z x W. Ocena poszczególnych kryteriów wyrażona była liczbą całkowitą z przedziału od 1 do 10. W metodyce nie określono zasad, na podstawie których poszczególnym kryteriom (R,Z,W) przyznawana jest punktacja wyrażona liczbą całkowitą z przedziału od 1 do 10.

8.

Dla oznaczonego przez Administratora zasobu „(…)” przewidziane zostało m.in. zagrożenie w postaci (…). W analizie ryzyka Administrator wskazał na (…), zaś jako środki prewencyjne wskazane zostało „(…)”. Określający poziom ryzyka wskaźnik RPN wyliczony został na poziome 42, co zgodnie z przyjętą metodyką nie wymagało podejmowania działań. W żadnym z obszarów Administrator nie wskazał na zagrożenia związane z nieuprawnionym użyciem prywatnych zewnętrznych nośników danych.

9.

Odpowiadając czy, a jeśli tak, to w jaki sposób Administrator dokonywał regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych za pomocą zewnętrznych nośników danych, w szczególności w zakresie zagrożeń oraz ich możliwych skutków oraz podjętych działań minimalizujących ryzyko ich wystąpienia, w piśmie z 20 grudnia 2023 r. z Administrator wyjaśnił, że „(…) od dnia 02.06.2021 r. wprowadzono 1 raz w roku sprawdzanie przez ASI zabezpieczeń służbowego sprzętu (komputer, zewnętrzny nośnik danych). Z prowadzonych czynności sporządzano za każdym razem adnotację służbową (…)” (adnotacje służbowe dotyczące „sprawdzenia zabezpieczenia służbowych komputerów i zewnętrznych nośników danych w (…) w M.” z 19 listopada 2021 r., 18 listopada 2022 r. oraz 17 listopada 2023 r. stanowią załączniki nr 14, 15 i 16 do pisma Administratora z 20 grudnia 2023 r.). Zgodnie z ww. adnotacjami:

„

–

(…);

–

(…). (…).”

W adnotacji służbowej z 17 listopada 2023 r. dodatkowo wskazano, że „(…) po incydencie dot. wycieku danych osobowych będzie sprawdzana raz w roku skuteczność zablokowania dostępu do (…)”.

Administrator przedstawił ponadto oświadczenie informatyka (załącznik do pisma z 23 października 2024 r.) dotyczące sprawdzania sposobów zabezpieczenia danych osobowych w systemach informatycznych. Ww. informatyk oświadczył, że „(…) w okresie od 2018 roku do chwili obecnej regularnie sprawdzałem sposoby zabezpieczenia danych osobowych w systemach informatycznych, a w szczególności: (…).”

Zarówno adnotacje służbowe, jak i oświadczenie informatyka, nie zawierają jakiegokolwiek odniesienia do środków bezpieczeństwa związanych z możliwością korzystania przez pracowników z prywatnych zewnętrznych nośników danych.

10.

W zakresie regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych ustalono ponadto, że zgodnie z zapisami pkt 2 rozdział H Procedury „Administrator przeprowadza okresową kontrolę stosowania procedury przetwarzania w przedsiębiorstwie” (protokoły okresowej kontroli z dnia 30 grudnia 2019 r. oraz 28 grudnia 2020 r. stanowią załączniki do pisma Administratora z 23 października 2024 r., protokoły z 17 grudnia 2021 r., 21 grudnia 2022 r. oraz z 15 grudnia 2023 r. stanowią załącznik nr 2 do pisma Administratora z 23 lutego 2024 r.). W każdym z ww. protokołów kontroli z lat 2019 – 2023 Administrator wskazał, że „(…)”. Ponadto, protokoły z lat 2019 – 2022 zawierają identyczne informacje o treści „(…)”.

W protokołach za lata 2019 – 2022 Administrator nie wskazywał na żadne środki bezpieczeństwa zabezpieczające przed możliwością korzystania przez pracowników z prywatnych zewnętrznych nośników danych. Administrator nie udokumentował również, w jaki sposób ustalił, że przetwarzanie danych odbywa się „(…)”.

11.

31 października 2023 r. Administrator dokonał zgłoszenia naruszenia ochrony danych, a 29 listopada 2023 r. przesłał zgłoszenie uzupełniające. W formularzu „Zgłoszenie naruszenia ochrony danych osobowych” Administrator wskazał, że „(…) 30 października 2023 r. otrzymał informację o odnalezieniu przez podmiot trzeci zewnętrznego nośnika danych, rzekomo należącego do byłego pracownika (…)”. Administrator wskazał ponadto, że „W dniu 31.10.2023 r. o godzinie 11.48 do (…) w M. wpłynął drogą elektroniczną e-mail od (…) w Z. z zaszyfrowanym plikiem dokumentów znajdujących się na tym pendrive, celem zweryfikowania, które to dotyczą działalności (…) w M. i dokonania ewentualnego zgłoszenia naruszenia przepisów RODO. W wyniku przeprowadzonej analizy stwierdzono, że w pliku znajdują się dokumenty pochodzące z okresu zatrudnienia pracownika w (…) w M. (…)”. Administrator wskazał również, że „(…) Analiza wykazała, iż w wyniku niniejszego incydentu naruszona została poufność danych.”

12.

W zgłoszeniach naruszenia ochrony danych osobowych Administrator poinformował, że na odnalezionym prywatnym, zewnętrznym nośniku danych byłego pracownika Administratora przetwarzane były dane osobowe następujących kategorii osób: klienci podmiotów publicznych, pacjenci oraz dzieci. W ramach tych kategorii osób przetwarzane były dane osób chorych na COVID (w tym dzieci), dane osób z otoczenia chorych, dane opiekunów dzieci oraz dane innych osób prywatnych. Przetwarzane na zagubionym nośniku dane ww. osób obejmowały tzw. dane osobowe podstawowe i dane szczególnej kategorii (dane dotyczące zdrowia). Dane te obejmowały m.in.: nazwiska i imiona, imiona rodziców, datę urodzenia, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, informacje na temat stanu zdrowia dot. przeprowadzonych testów, adres e-mail, serię i numer dowodu osobistego, numer telefonu oraz inne dane dotyczące postępowań administracyjnych i innych postępowań związanych z działalnością Administratora, w ramach których przetwarzane były dane uczestników tych postępowań w zakresie: imię i nazwisko, adres zamieszkania, numer dowodu osobistego lub prawa jazdy, numer ewidencyjny PESEL, adres e-mail.

13.

Odnaleziony zewnętrzny nośnik danych typu pendrive należał do byłego pracownika Administratora i był jego prywatną własnością. Osoba, do której należał znaleziony zewnętrzny nośnik danych, zatrudniona była u Administratora od (…). Dane osobowe zapisane na prywatnym zewnętrznym nośniku danych byłego pracownika pochodziły z okresu od 2015 r. do końca maja 2021 r. Ww. nośnik danych nie był zabezpieczony hasłem, a dane osobowe Administratora tam zapisane nie były zaszyfrowane.

14.

Na zagubionym prywatnym, zewnętrznym nośniku danych byłego pracownika Administratora przetwarzano dane osobowe ponad 4200 osób, w tym dane zawarte w około 300 dokumentach będących pismami w sprawie postępowań administracyjnych prowadzonych przez Administratora lub innych postępowań związanych z działalnością Administratora.

15.

W dniu 29 listopada 2023 r. Administrator przeprowadził ponowną analizę ryzyka w obszarze bezpieczeństwa informacji. W analizie wskazano zagrożenia, rodzaje ryzyka oraz podatności. Istotność ryzyka, dla poszczególnych zidentyfikowanych podatności, obliczona została na podstawie prawdopodobieństwa wystąpienia zdarzeń oraz ich skutków. Jako sposób postępowania ze zidentyfikowanym ryzykiem wskazano m.in.: „(…)” (karta ryzyka w obszarze bezpieczeństwa informacji stanowi załącznik nr 13 do pisma z 20 grudnia 2023 r.).

16.

Pismami z 23 lutego 2024 r. i z 23 października 2024 r. Administrator oświadczył, że w związku z ujawnionym naruszeniem ochrony danych osobowych zablokowano dostęp do nośników zewnętrznych na stacjach roboczych ograniczając użytkowanie nośników USB do nośników szyfrowanych autoryzowanych przez pracownika IT Administratora. Administrator przedstawił również protokół okresowej kontroli z 15 grudnia 2023 r., zgodnie z którym „(…) zablokowano dostęp do nośników zewnętrznych na stacjach roboczych ograniczając użytkowanie nośników USB do nośników szyfrowanych autoryzowanych przez pracownika IT Administratora (…)”, (protokół z 15 grudnia 2023 r. stanowi załącznik do pisma Administratora z 23 lutego 2024 r.)

17.

Zarządzeniem Dyrektora (…) w M. z 1 lutego 2024 r., nr (…), Administrator uchylając dotychczas obowiązujące zarządzenie Dyrektora (…) w M. z (…) maja 2018 r., nr (…), wdrożył nowe procedury dotyczące bezpieczeństwa informacji składające się z następujących dokumentów: „(…)” wraz z załącznikami, „(…)” wraz z załącznikami (zarządzenie Dyrektora (…) w M. z 1 lutego 2024 r., nr (…), stanowi załącznik do pisma z 23 lutego 2024 r.). Procedury te określają także środki bezpieczeństwa dla zewnętrznych nośników danych.

W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

Naruszenie przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679.

18.

Realizacja zadań w zakresie zdrowia publicznego podlega przepisom ustawy o Państwowej Inspekcji Sanitarnej. Zgodnie z art. 2 powołanej ustawy, wykonywanie zadań w zakresie zdrowia publicznego polega na sprawowaniu zapobiegawczego i bieżącego nadzoru sanitarnego oraz prowadzeniu działalności zapobiegawczej i przeciwepidemicznej w zakresie chorób zakaźnych i innych chorób powodowanych warunkami środowiska, a także na prowadzeniu działalności oświatowo-zdrowotnej. Zgodnie z art. 10 tej ustawy, zadania inspekcji sanitarnej wykonywane są przez określone organy. Z kolei art. 10 ust. 1 pkt 3) wskazanej ustawy stanowi, że jednym z organów wykonujących zadania Państwowej Inspekcji Sanitarnej jest państwowy powiatowy inspektor sanitarny, jako organ rządowej administracji zespolonej w województwie. Państwowy Powiatowy Inspektor Sanitarny w M. jako jeden z organów Państwowej Inspekcji Sanitarnej realizuje jej zadania w obszarze powiatu (…). W przedmiotowej sprawie administratorem danych jest Państwowy Powiatowy Inspektor Sanitarny w M., bowiem – zgodnie z art. 4 pkt 7) rozporządzenia 2016/679 – „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

19.

Zgodnie z art. 34 u.o.d.o. Prezes UODO jest organem właściwym w sprawie ochrony danych i organem nadzorczym w rozumieniu rozporządzenia 2016/679. Stosownie do art. 57 ust. 1 lit. a) i h) rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia oraz prowadzi postępowania w sprawie naruszenia niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego.

20.

Art. 5 rozporządzenia 2016/679 formułuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 lit. f) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („poufność i integralność”). Stosownie zaś do art. 5 ust. 2 rozporządzenia 2016/679, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

21.

Konkretyzację zasady poufności, o której mowa w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, stanowią dalsze przepisy tego aktu prawnego. Zgodnie z art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

22.

W myśl z art. 25 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

23.

Z treści art. 32 ust. 1 rozporządzenia 2016/679 wynika, że administrator jest zobowiązany do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Przepis precyzuje, że decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, powinny obejmować środki takie, jak pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

24.

Jak wskazuje art. 24 ust. 1 rozporządzenia 2016/679, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze są czynnikami, które administrator ma obowiązek uwzględniać w procesie budowania systemu ochrony danych, również w szczególności z punktu widzenia pozostałych obowiązków wskazanych w art. 25 ust. 1, art. 32 ust. 1 czy art. 32 ust. 2 rozporządzenia 2016/679. Wskazane przepisy uszczegóławiają zasadę poufności określoną w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, a przestrzeganie tej zasady jest konieczne dla prawidłowej realizacji zasady rozliczalności wynikającej z art. 5 ust. 2 rozporządzenia 2016/679.

25.

Jedną z podstaw prawnej ochrony danych osobowych wprowadzoną rozporządzeniem 2016/679 jest obowiązek zapewnienia bezpieczeństwa przetwarzanych danych, określony między innymi w art. 32 ust. 1 rozporządzenia 2016/679. Przepis ten wprowadza podejście oparte na ryzyku, wskazując jednocześnie kryteria, w oparciu o które administrator powinien dokonać wyboru odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Obok ryzyka naruszenia praw lub wolności osób fizycznych należy zatem uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania.

26.

Rozporządzenie 2016/679 wprowadziło zatem podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty, które przetwarzają dane osobowe, zobligowane są nie tylko do zapewnienia zgodności z wytycznymi ww. rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka. Konsekwencją jest rezygnacja z list wymagań, w zakresie bezpieczeństwa narzuconych przez prawodawcę, na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa.

27.

W świetle powyższego wskazać należy, że analiza ryzyka przeprowadzana przez administratora powinna zostać udokumentowana oraz uzasadniona na podstawie przede wszystkim określenia stanu faktycznego, istniejącego w momencie jej przeprowadzania. Należy wziąć pod uwagę w szczególności charakterystykę zachodzących procesów, aktywa, podatności, zagrożenia oraz istniejące zabezpieczenia, w ramach zachodzących procesów przetwarzania danych osobowych. Nie można również w trakcie tego procesu pominąć zakresu oraz charakteru danych osobowych przetwarzanych w toku czynności realizowanych przez administratora, albowiem w zależności właśnie od zakresu oraz charakteru ujawnionych danych zależeć będą potencjalne negatywne skutki dla osoby fizycznej w przypadku wystąpienia naruszenia ochrony jej danych osobowych.

28.

Aby analiza ryzyka została przeprowadzona w sposób właściwy, winny być zdefiniowane dla każdego z aktywów zagrożenia, mogące wystąpić w procesach przetwarzania danych. Określenie aktywa używane jest dla wskazania wszystkiego, co stanowi wartość dla administratora danych. Pewne aktywa stanowić będą wartość wyższą od innych, i również z tej perspektywy winny być oceniane i zabezpieczane. Bardzo istotne są również wzajemne powiązania występujących aktywów, np. poufność aktywów (danych osobowych) zależna będzie od rodzaju i sposobu przetwarzania tych danych. Ustalenie wartości aktywów jest konieczne do oszacowania skutków ewentualnego incydentu (naruszenia ochrony danych osobowych). Jest oczywistym, że szeroki zakres danych osobowych lub przetwarzanie danych osobowych, o których mowa w art. 9 ust. 1 lub art. 10 rozporządzenia 2016/679, może spowodować (w przypadku wystąpienia naruszenia ochrony danych osobowych) daleko idące negatywne skutki dla osób, których dane dotyczą, więc winny one być oceniane jako aktywa o wysokiej wartości, a co za tym idzie stopień ich ochrony powinien być odpowiednio wysoki.

29.

Określenie istniejących lub stosowanych zabezpieczeń jest konieczne, między innymi w tym celu, aby ich nie powielać. Należy również bezwzględnie sprawdzić skuteczność funkcjonowania tych zabezpieczeń, ponieważ istnienie zabezpieczenia niesprawdzonego po pierwsze może wyeliminować jego wartość, po drugie zaś może dać fałszywe poczucie bezpieczeństwa oraz może skutkować pominięciem (niewykryciem) krytycznej podatności, która wykorzystana spowoduje bardzo negatywne skutki, w tym w szczególności może doprowadzić do naruszenia ochrony danych osobowych.

30.

Konieczność przeprowadzenia analizy ryzyka podkreślona jest także w orzecznictwie. W tym przedmiocie wypowiedział Wojewódzki Sąd Administracyjny w Warszawie (zwany dalej „WSA”) w wyroku z 5 października 2023 r., sygn. akt II SA/Wa 502/23, gdzie podniósł, że „(…) Administrator danych powinien zatem przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia” (podobnie WSA wypowiedział się w wyrokach z 13 maja 2021 r., sygn. II SA/Wa 2129/20, 27 lutego 2024 r., sygn. akt II SA/Wa 1404/23, oraz 10 kwietnia 2025 r., sygn. II SA/Wa 1266/24).

31.

WSA w uzasadnieniu wyroku z 26 sierpnia 2020 r., sygn. akt II SA/Wa 2826/19 (utrzymanym przez NSA wyrokiem z 28 lutego 2024 r., sygn. akt III OSK 3839/21), wskazał ponadto, że „(…) Przepis ten [art. 32 rozporządzenia 2016/679] nie wymaga od administratora danych wdrożenia jakichkolwiek środków technicznych i organizacyjnych, które mają stanowić środki ochrony danych osobowych, ale wymaga wdrożenia środków adekwatnych. Taką adekwatność oceniać należy pod kątem sposobu i celu, w jakim dane osobowe są przetwarzane, ale też należy brać pod uwagę ryzyko związane z przetwarzaniem tych danych osobowych, które to ryzyko charakteryzować się może różną wysokością. Przyjęte środki mają mieć charakter skuteczny, w konkretnych przypadkach niektóre środki będą musiały być środkami o charakterze niwelującym niskie ryzyko, inne – muszą niwelować ryzyko wysokie, ważne jednak jest, aby wszystkie środki (a także każdy z osobna) były adekwatne i proporcjonalne do stopnia ryzyka, (…) czynności o charakterze techniczno-organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych (…)”. Ponadto, w wyroku z 5 października 2023 r., sygn. akt II SA/Wa 502/23, WSA podniósł, że „organ nadzorczy nie jest zobowiązany do wskazywania Administratorowi rozwiązań technicznych i organizacyjnych, które powinien on wdrożyć, aby przetwarzanie danych osobowych odbywało się zgodnie z prawem. To zadaniem Administratora jest wprowadzenie tych środków, a następnie – jeżeli pojawi się taka konieczność – wykazanie, że przestrzega on zasad przetwarzania danych osobowych określonych w rozporządzeniu 2016/679, zgodnie z zasadą rozliczalności (art. 5 ust. 2 ww. rozporządzenia)”. Podobnie wypowiedział się WSA w wyroku z 27 listopada 2024 r., sygn. II SA/Wa 251/24, dodatkowo wskazując, że „Zadaniem Prezesa UODO jest natomiast weryfikacja adekwatności tych środków, którą organ przeprowadza w oparciu o przedłożone przez administratora dokumenty, takie jak między innymi analiza ryzyka, polityka bezpieczeństwa, czy umowa powierzenia przetwarzania danych”.

32.

Odnosząc powyższe rozważenia do stanu faktycznego przedmiotowej sprawy wskazać należy, że Administrator biorąc pod uwagę charakter przetwarzania danych osobowych związany z celem w postaci zapewnienia zdrowia publicznego, jak również dużą liczbę pacjentów, potencjalnie wszystkich mieszkańców powiatu (…), i szeroki zakres danych osobowych osób chorych na COVID (w tym dzieci), danych osób z otoczenia chorych, danych opiekunów dzieci (nazwiska i imiona, imiona rodziców, daty urodzenia, adresy zamieszkania lub pobytu, numery ewidencyjny PESEL, informacje na temat stanu zdrowia dot. przeprowadzonych testów, adresy email, serie i numery dowodu osobistego, numery telefonu) oraz dane uczestników postępowań prowadzonych przez Administratora (imiona i nazwiska, adresy zamieszkania, numery dowodu osobistego lub prawa jazdy, numery ewidencyjne PESEL, adresy e-mail), których ujawnienie lub utrata dostępności może powodować wysokie ryzyko dla praw lub wolności osób fizycznych), w celu prawidłowego wywiązania się z obowiązków nałożonych ww. przepisami rozporządzenia 2016/679 był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych osobowych poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych.

33.

Jak wynika z ustaleń stanu faktycznego (pkt 6-7 decyzji), Administrator przed naruszeniem ochrony danych osobowych przeprowadzał analizy ryzyka. Jednak w ocenie Prezesa UODO analizy te zostały przeprowadzone w sposób dowolny i nieprawidłowy. W sporządzonych bowiem na tej podstawie raportach z szacowania ryzyka dla czynności, w których ryzyko wystąpienia zdarzeń niepożądanych ocenione zostało na poziomie „niski”, Administrator w ogóle nie zdefiniował zagrożeń. Zagrożenia (opisane w raporcie w kolumnie „źródła ryzyka”) wskazane zostały jedynie dla wyodrębnionych 16 (z 58) czynności, w których ryzyko wystąpienia zdarzeń niepożądanych ocenione zostało na poziomie „poważny”. W każdym z tych przypadków Administrator zdefiniował jednak takie same źródła ryzyka, które łącznie określone zostały jako „(…)”. Określenie w taki łączny sposób tych źródeł ryzyk (zagrożeń) jest w ocenie Prezesa UODO nieprawidłowe, gdyż jedynie na podstawie konkretnie zdefiniowanych zagrożeń można ustalić, jakie sytuacje lub czynniki mogą mieć negatywny wpływ na realizacje celów każdej organizacji, w tym na bezpieczeństwo przetwarzania danych osobowych. Dopiero znając konkretne zagrożenie można oszacować jak często może ono wystąpić (prawdopodobieństwo) i jakie mogą być jego konsekwencje (skutki). Tylko konkretne określenie zagrożenia, w ocenie Prezesa UODO, pozwala na dobranie adekwatnych środków zaradczych lub minimalizujących skutki tego zagrożenia.

34.

Następnie Administrator, po dokonaniu oceny ww. źródeł ryzyk (zagrożeń), przy uwzględnieniu zastosowanych środków bezpieczeństwa (…), dokonał ogólnej oceny ryzyka dla wszystkich z 16 czynności przetwarzania na poziomie średnim. Działanie to było również nieprawidłowe, gdyż zastosowane środki bezpieczeństwa były tożsame dla każdej z ww. 16 czynności, gdy tymczasem charakter wskazanych przez Administratora zagrożeń wymuszał podjęcie innych działań w celu zapewnienia bezpieczeństwa danych osobowych. Nie ulega bowiem wątpliwości, że inne środki powinny zostać zastosowane w celu przeciwdziałania ryzyku związanemu np. z klęskami żywiołowymi, a inne ryzyku dotyczącym wirusów.

35.

Tym samym Administrator w przeprowadzonych analizach wskazał takie same źródła ryzyka, jak i takie same stosowane zabezpieczenia dla każdej z 16 wyodrębnionych czynności przetwarzania. Niezależnie od powyższego wskazać należy, że Administrator nie zdefiniował w ww. analizach zagrożenia związanego z wykorzystaniem przez jego pracowników prywatnych zewnętrznych nośników danych np. do skopiowania służbowych informacji, w tym danych osobowych.

36.

W ocenie Prezesa UODO, w okolicznościach przedmiotowej sprawy, na podstawie tak ogólnie przeprowadzonej analizy ryzyka nie było możliwe dobranie odpowiednich do ryzyka środków bezpieczeństwa jedynie w oparciu o wskazanie, że z przetwarzaniem danych osobowych wiąże się określony poziom ryzyka. Takie oszacowanie ryzyka, wobec braku wskazania konkretnego zagrożenia i odniesienie tej oceny do wszystkich czynności przetwarzania danych, stanowi z jednej strony o jej dowolności, a z drugiej o jej nieprawidłowym przeprowadzeniu. W przypadku, gdy Administrator przewidział możliwość przetwarzania danych osobowych w systemach teleinformatycznych, przedmiotowa analiza powinna wskazywać na ryzyko wynikające z wykorzystania konkretnych elementów środowiska teleinformatycznego, w tym elementów opartych na zewnętrznych nośnikach danych (także tych prywatnych). Konsekwentnie, przedmiotowa analiza powinna przewidywać adekwatne środki bezpieczeństwa w celu zapewnienia odpowiedniego poziomu ochrony danych osobowych.

37.

Niezależnie od ww. analiz, przed stwierdzeniem naruszenia ochrony danych osobowych, 18 listopada 2022 r. Administrator przeprowadził odrębną analizę ryzyka dotyczącą danych osobowych przetwarzanych w systemach teleinformatycznych (pkt 7 decyzji). Jej wyniki przedstawione zostały w dokumencie o nazwie „Analiza ryzyka systemu IT dla (…) w M.”. Wskazana analiza przeprowadzona została dla zasobów wykorzystywanych do przetwarzania danych osobowych oznaczonych jako: (…), (…), (…). W ocenie Prezesa UODO również analiza z 18 listopada 2022 r. nie została przeprowadzona w sposób prawidłowy.

38.

W pierwszej kolejności wskazać należy, że ryzyko oceniane było na podstawie bardzo ogólnej metodyki. Poszczególnym kryteriom, na podstawie których wyliczano poziom ryzyka (wyrażony wskaźnikiem RPN) nadawane były wartości wyrażone liczbami w przedziale od 1 do 10, zaś Administrator nie określił jakichkolwiek zasad, na podstawie których dokonywana była ta punktacja. Zastosowana przez Administratora szeroka skala punktowa przy jednoczesnym braku określonych jakichkolwiek zasad przyznawanej punktacji w ocenie Prezesa UODO jedynie w bardzo ograniczonym stopniu mogła doprowadzić do ustalenia prawidłowego poziomu ryzyka, gdyż pozostawiała dokonującemu oceny całkowita swobodę w kształtowaniu ostatecznego wyniku. Należy bowiem zwrócić uwagę na fakt, że z dokumentu „Analiza ryzyka systemu IT dla (…) w M.” z 18 listopada 2022 r. wynika, iż Administrator zidentyfikował zagrożenie polegające na nieautoryzowanym ujawnieniu danych związanym z działaniem pracowników. Administrator wskazał w tej analizie na (…), zaś jako działania prewencyjne w tym przypadku wskazano „(…)”. Przyjęty przez Administratora do oceny ryzyka wskaźnik RPN określony został na poziomie 42, co zgodnie ze stosowaną metodyką nie wymagało podejmowania żadnych dodatkowych działań. Abstrahując od sprzeczności, gdzie w analizie ryzyka dla danych przetwarzanych w systemach teleinformatycznych jako środek prewencyjny wskazano na „stopniowe przechodzenie na elektroniczną wersję dokumentów (rozliczalność, historia obiegu dokumentów”), wskazać należy, że przy zidentyfikowanym przez Administratora braku zabezpieczeń dla zagrożenia polegającego na nieautoryzowanym ujawnieniu danych związanym z działaniem pracowników ryzyko w tym obszarze określone zostało na poziomie 42, tj. nie wymagającym podejmowania dodatkowych działań. Wobec powyższego podkreślić należy, że Administrator w sposób bardzo ogólny odniósł się do zagrożenia związanego z działaniami pracowników. Administrator nie zidentyfikował żadnych możliwych przypadków nieuprawnionych działań pracowników, w tym możliwości skopiowania danych na prywatne zewnętrzne nośniki danych. W ocenie Prezesa UODO, na podstawie tak ogólnych założeń niemożliwe było dokonanie prawidłowej oceny ryzyka i wdrożenie zabezpieczeń adekwatnych do ryzyka związanego z nieuprawnionym działaniem pracowników. Podkreślić w tym miejscu należy, że Administrator nie wdrożył żadnych zabezpieczeń związanych z używaniem przez jego pracowników prywatnych zewnętrznych nośników danych, co w ocenie Prezesa UODO było konsekwencją nieprawidłowości w przeprowadzonej analizie, polegających przede wszystkim na braku identyfikacji konkretnych zagrożeń, w tym możliwości nieuprawnionego skopiowania przez pracowników danych osobowych na takie nośniki danych.

39.

W analizie z 18 listopada 2022 r. zostało wskazane ponadto zagrożenie związane z kradzieżą, zgubieniem pendrive. Jako działania mitygujace ryzyko w tym zakresie wskazano na „(…)”. Również w tym przypadku ryzyko ocenione zostało na poziomie niewymagającym podejmowania dodatkowych działań. W ocenie Prezesa UODO niski poziom ocenionego ryzyka i fakt, że jako środki mitygujące wskazano na (…) potwierdza, że dokonując analizy w 2022 r. Administrator również nie brał pod uwagę zagrożenia związanego z możliwością korzystania przez pracowników z prywatnych zewnętrznych nośników danych.

40.

Analizując przedłożone dokumenty z przeprowadzanych przez Administratora analiz ryzyka należy stwierdzić, że pomimo zawarcia w wewnętrznych regulacjach ogólnych zapisów, zgodnie z którymi przetwarzanie danych odbywa się wyłącznie na zabezpieczonym dedykowanym sprzęcie elektronicznym, do czasu ujawnienia naruszenia ochrony danych osobowych związanego z zagubieniem przez byłego pracownika prywatnego zewnętrznego nośnika danych Administrator nie zidentyfikował źródła ryzyka związanego z działaniami pracowników polegającymi na nieuprawnionym skopiowaniu danych na takie nośniki danych. Podkreślenia wymaga, że brak kontroli nad użytkowaniem zewnętrznych nośników danych (w szczególności nad tym, czy pracownicy korzystają z prywatnych nośników) niesie za sobą nie tylko zagrożenie nieuprawnionego skopiowania danych z systemów informatycznych Administratora przez jego pracowników, ale również naraża go na ataki hakerskie. Z użytkowaniem prywatnych zewnętrznych nośników danych związane jest również ryzyko bezpośredniego przeniesienia do systemów złośliwego oprogramowania.

41.

W przedmiotowej sprawie, co należy ponownie podkreślić, Administrator nie zidentyfikował żadnego zagrożenia związanego z użytkowaniem przez pracowników prywatnych zewnętrznych nośników danych, a w konsekwencji nie zastosował adekwatnych środków w celu zabezpieczenia danych osobowych przed ich możliwym skopiowaniem na takie nośniki danych. Analizując ryzyko związane z przetwarzaniem danych osobowych na zewnętrznych nośnikach danych Administrator założył, że dane te przetwarzane będą wyłącznie na służbowych zewnętrznych nośnikach danych, w stosunku do których zastosował zabezpieczenie w postaci (…). Powyższe założenie, jak również ogólne zasady dokonywania ocen w ramach przeprowadzanej analizy, spowodowały błędne oszacowanie poziomu ryzyka związanego z przetwarzaniem danych osobowych na zewnętrznych nośnikach danych poprzez całkowite pominięcie zagrożenia dotyczącego możliwości użycia prywatnych zewnętrznych nośników danych. Konsekwencją błędnego oszacowania w tym zakresie poziomu ryzyka było niewdrożenie odpowiednich środków bezpieczeństwa dla tego zasobu oraz zwiększenie prawdopodobieństwa wystąpienia naruszenia ochrony danych osobowych, czego efektem była utrata poufności danych osobowych osób, których dane znajdowały się na zagubionym prywatnym zewnętrznym nośniku danych. Podkreślić należy, że w przedmiotowej sprawie ryzyko nieuprawnionego skopiowania danych na prywatne, niezabezpieczone nośniki danych dotyczyło wszystkich danych przetwarzanych w zasobach Administratora.

42.

Dopiero po ujawnieniu naruszenia ochrony danych osobowych Administrator prawidłowo przeprowadził analizę ryzyka. Przeprowadzając ponowną analizę ryzyka Administrator uwzględnił m.in. zagrożenia związane z nielegalnym kopiowaniem danych przez pracowników, w tym kopiowaniem danych na prywatne zewnętrzne nośniki danych. Ryzyko dla poszczególnych podatności ocenione zostało przy uwzględnieniu zarówno prawdopodobieństwa, jak i skutków dla ochrony danych osobowych w przypadku jego materializacji. Określone zostały zasady przyznawania punktacji dla oceny poszczególnych kryteriów. Ryzyko w obszarze przetwarzania danych osobowych na zewnętrznych nośnikach danych ocenione zostało na poziomie akceptowalnym po uwzględnieniu zabezpieczeń polegających m.in. na (…) przed możliwością użycia prywatnych zewnętrznych nośników danych.

43.

Kolejnym aspektem ochrony danych osobowych, który jest istotny z punktu widzenia rozstrzygnięcia zawartego w przedmiotowej decyzji, jest konieczność prowadzenia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych. Zarządzanie ryzykiem jest jednym z podstawowych elementów systemu ochrony danych osobowych i ma charakter ciągłego procesu. Po przeprowadzeniu analizy ryzyka i wdrożeniu na jej podstawie odpowiednich zabezpieczeń powinna następować okresowa weryfikacja zarówno adekwatności, jak i skuteczności zastosowanych zabezpieczeń, stosownie do wymogu przewidzianego w art. 32 ust. 1 lit. d) rozporządzenia 2016/679. Administrator danych powinien zatem regularnie testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania.

44.

W tym zakresie Administrator złożył wyjaśnienia (pkt 9 niniejszej decyzji), z których wynika, że regularne testowanie, mierzenie i ocenianie skuteczności środków bezpieczeństwa, które były związane z zarządzaniem zewnętrznymi nośnikami danych, polegało na sprawdzaniu zabezpieczeń służbowego sprzętu (komputer, zewnętrzny nośnik danych). Z potwierdzającej te sprawdzenia dokumentacji wynika tylko, że (…), a (…). Z przedstawionego przez Administratora oświadczenia informatyka wynika, że sprawował on nadzór nad środkami zapewniającymi poufność danych osobowych przetwarzanych w systemie informatycznym przy wykorzystaniu elektronicznych przenośnych nośników informacji poprzez kontrolę poprawności (…). Podkreślić jednak należy, że Administrator nie udokumentował, czy i w jaki sposób sprawował nadzór nad tym, czy pracownicy korzystają z prywatnych zewnętrznych nośników danych. Administrator nie udokumentował również weryfikacji czy, a jeśli tak, to w jakim zakresie dane osobowe kopiowane były na prywatne zewnętrzne nośniki danych.

45.

Jak wynika z ustaleń stanu faktycznego (pkt 10 niniejszej decyzji), Administrator przed naruszeniem ochrony danych osobowych przeprowadzał kontrole zgodnie z zapisami pkt 2 rozdział H Procedury. W każdym z protokołów kontroli z lat 2019 – 2022 wskazano, że „(…)”. Powyższe stwierdzenie w ocenie Prezesa UODO nie zostało jednak w żaden sposób dokumentowane. Administrator nie przedstawił dowodów potwierdzających, w jaki sposób dokonał ustaleń w tym zakresie, a w zebranym w toku postępowania materiale dowodowym nie ma jakiegokolwiek odniesienia do środków bezpieczeństwa związanych z możliwością korzystania przez pracowników z prywatnych zewnętrznych nośników danych.

46.

Należy wskazać, że opisywane testowanie, mierzenie i ocenianie musi dotyczyć nie tylko wprowadzonych środków o charakterze technicznym, ale również tych o charakterze organizacyjnym, a więc m.in. procedur określających zasady przetwarzania danych osobowych, w tym przy użyciu zewnętrznych nośników danych (pendrive). Działanie w tym zakresie polega przede wszystkim na ich przeglądzie pod kątem skuteczności, na co składa się nie tylko sprawdzanie, czy określona procedura jest stosowana przez pracowników, ale także na zbadaniu, czy wdrożone środki bezpieczeństwa przyczyniają się w sposób realny do obniżenia ryzyka. Natomiast w przedmiotowym stanie faktycznym uznać należy, że Administrator nie wywiązywał się należycie z nałożonego na niego obowiązku dotyczącego regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych. Analizując przedstawioną przez Administratora w toku postępowania dokumentację należy zwrócić uwagę, że Administrator nie dokonywał pełnej kontroli przestrzegania postanowień w zakresie użytkowania zewnętrznych nośników danych (tj. pendrive) przez pracowników. Podkreślić należy, że w odniesieniu do zewnętrznych nośników danych Administrator poinformował jedynie, że w toku przeprowadzanych kontroli sprawdzono, czy (…). Pominięta została zupełnie natomiast weryfikacja, czy posługują się oni również prywatnymi zewnętrznymi nośnikami danych, a także, czy systemy informatyczne Administratora są w ogóle zabezpieczone np. przed kopiowaniem danych przetwarzanych przy ich użyciu na prywatne zewnętrzne nośniki danych.

47.

Podkreślić zatem należy, że testowanie, mierzenie i ocenianie, aby stanowiło realizację wymogu wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, musi być dokonywane w sposób regularny, w określonych przedziałach czasowych, a także musi być odpowiednio udokumentowane (w związku z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679), niezależnie od zmian w organizacji i przebiegu procesów przetwarzania danych. Jak wskazał WSA w wyroku z 6 czerwca 2023 r., sygn. akt II SA/Wa 1939/22, „(…) powinność regularnego testowania środków technicznych i organizacyjnych, zabezpieczenia przetwarzania danych osobowych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w rozumieniu art. 32 ust. 1 zd. wstępne RODO, wynika wprost z brzmienia lit. d wskazanego art. 32 ust. 1, zaś powinność dokumentowania czynności w danym zakresie statuuje zasada rozliczalności (art. 5 ust. 2 RODO)”. Podobnie wypowiedział się WSA w wyroku z 21 czerwca 2023 roku, sygn. akt II SA/Wa 150/23, stwierdzając, że „Podkreślenia wymaga, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem każdego administratora oraz podmiotu przetwarzającego wynikającym z art. 32 ust 1 lit. d) RODO. Administrator zobowiązany jest więc do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych na każdym etapie przetwarzania. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania”.

48.

Dokonane ustalenia nie dają zatem podstawy do stwierdzenia, że stosowane przez Administratora środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych osobowych przetwarzanych na zewnętrznych nośnikach danych były adekwatne do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania. Związane jest to przede wszystkim z brakiem przeprowadzenia analizy ryzyka wiążącego się z przetwarzaniem danych osobowych przy wykorzystaniu zewnętrznych nośnikach danych (w szczególności dotyczącego korzystania przez pracowników Administratora z prywatnych zewnętrznych nośników danych) oraz brakiem weryfikacji stosowania się pracowników do regulacji przyjętych w tym zakresie przez Administratora, w tym pod kątem użytkowania przez nich prywatnych zewnętrznych nośników danych. Nieprawidłowe przeprowadzenie analizy ryzyka w konsekwencji spowodowało, że Administrator w sposób dowolny dobierał różnego rodzaju środki organizacyjne i techniczne, co mogło zwiększać prawdopodobieństwo wystąpienia naruszenia ochrony danych osobowych w następstwie niestosowania się przez pracowników do wprowadzonych regulacji nakazujących wykorzystywanie wyłącznie służbowych i szyfrowanych zewnętrznych nośników danych.

49.

Wobec braku ustalenia i wdrożenia przez Administratora, na podstawie przeprowadzonej analizy ryzyka, adekwatnych środków technicznych i organizacyjnych mających na celu zminimalizowanie ryzyka naruszenia bezpieczeństwa danych w związku z wykorzystaniem przez pracowników prywatnych zewnętrznych nośników danych, a także wobec braku regularnego testowania, mierzenia i oceniania skuteczności zastosowanych środków bezpieczeństwa w tym obszarze stwierdzić należy, że Administrator nie zapewnił odpowiedniego do ryzyka poziomu zabezpieczenia danych. Tym samym nie można uznać, aby Administrator uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, wdrożył odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, co stanowi o naruszeniu przez Administratora art. 32 ust. 1 rozporządzenia 2016/679, w szczególności w odniesieniu do wymogu zapewnienia zdolności do ciągłego zapewnienia poufności danych. Powyższe okoliczności przesądzają również o niewdrożeniu przez Administratora odpowiednich środków technicznych, zarówno przy określaniu sposobów przetwarzania, jak i w czasie przetwarzania danych osobowych, aby przetwarzanie to odbywało się zgodnie z rozporządzeniem 2016/679 i w celu nadania przetwarzaniu niezbędnych zabezpieczeń, oraz o braku uaktualnienia środków bezpieczeństwa, do czego był on zobowiązany zgodnie z art. 24 ust. 1 i art. 25 ust. 1 rozporządzenia 2016/679, jak również o niezastosowaniu środków technicznych i organizacyjnych przy uwzględnieniu ryzyka wiążącego się z przetwarzaniem danych osobowych, o którym mowa w art. 32 ust. 2 rozporządzenia 2016/679.

50.

W toku postępowania Administrator podkreślał, że odnaleziony zewnętrzny nośnik danych był prywatną własnością pracownika, a dane służbowe skopiowane zostały wbrew obowiązującej w tym zakresie procedurze. Powyższe wyjaśnienia nie wpływają na zmianę dokonanych przez Prezesa UODO ustaleń w zakresie naruszenia przez Administratora obowiązków wynikających z art. 32 ust. 1 i 2 rozporządzenia 2016/679. Jak bowiem wskazał WSA w wyroku z 27 lutego 2024 r., sygn. akt II SA/Wa 1404/23 „(…) samo przyjęcie wewnętrznego aktu prawnego zobowiązującego pracowników do konkretnego sposobu postępowania z przenośnymi nośnikami pamięci, bez wcześniej przeprowadzonej właściwie analizy ryzyka oraz bez wprowadzenia skutecznych mechanizmów kontrolnych (mających na celu weryfikację przestrzeganie przez pracowników zasad postępowania z przenośnymi nośnikami pamięci) nie oznacza, że skarżący administrator wypełnił obowiązki wynikające z art. 32 ust. 1 i 2 RODO”.

51.

Naruszenie ww. przepisów rozporządzenia 2016/679 stanowi również o naruszeniu zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, której ww. przepisy są uszczegółowieniem. Jak bowiem wskazał WSA w wyroku z 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19, „(…) czynności o charakterze techniczno – organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych”.

52.

Następstwem naruszenia przez Administratora zasady poufności jest naruszenie zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679. Jak wynika z orzeczenia WSA z 10 lutego 2021 r., sygn. II SA/Wa 2378/20, „Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych”. Podobnie kwestię zasady rozliczalności interpretuje WSA w wyroku z 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19, „Biorąc pod uwagę całość norm rozporządzenia 2016/679, podkreślić należy, że administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator danych powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 rozporządzenia 2016/679”.

Administracyjna kara pieniężna

53.

Postępowanie administracyjne prowadzone przez Prezesa UODO służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej w celu zastosowania uprawnień naprawczych określonych w art. 58 ust. 2 rozporządzenia 2016/679.

54.

Mając na uwadze powyższe, jak również stwierdzone w niniejszym postępowaniu naruszenie przepisów o ochronie danych osobowych, Prezes UODO – korzystając z uprawnienia określonego w art. 58 ust. 2 lit. i) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)-h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej – stwierdził, że w rozpatrywanej sprawie zmaterializowały się przesłanki uzasadniające nałożenie na Państwowego Powiatowego Inspektora Sanitarnego w M. administracyjnej kary pieniężnej.

55.

Zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 - 39 oraz 42 i 43, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

56.

Z kolei zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, podlegają administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

57.

W myśl art. 102 ust. 1 pkt 1 u.o.d.o. Prezes UODO może natomiast nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 000 złotych, na jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1-12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2024. poz. 1530 ze zm.). Limit ten niewątpliwie znajdzie zastosowanie w niniejszej sprawie do Państwowego Powiatowego Inspektora Sanitarnego w M., jako organu rządowej administracji zespolonej w województwie w związku z realizacją zadań z zakresu zdrowia publicznego, zgodnie z art. 10 ust. 1 pkt 3) w zw. z art. 1 ustawy z 14 marca 1984 r. o Państwowej Inspekcji Sanitarnej (Dz. U. z 2024 r. poz. 416). Administracyjne kary pieniężne, o których tutaj mowa, Prezes Urzędu nakłada na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679 (art. 102 ust. 3 u.o.d.o.).

Zachowanie podlegające administracyjnej karze pieniężnej i zastosowanie art. 83 ust. 3 rozporządzenia 2016/679

58.

Stosownie do brzmienia art. 83 ust. 3 rozporządzenia 2016/679, jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.

59.

Wobec stwierdzenia, że Państwowy Powiatowy Inspektor Sanitarny w M. dopuścił się w analizowanym stanie faktycznym naruszeń wielu przepisów rozporządzenia (tj. art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2, a w konsekwencji również art. 5 ust. 1 lit. f) i art. 5 ust. 2), Prezes UODO zobowiązany był uwzględnić przytoczoną w poprzedzającym akapicie regulację celem rozważenia, czy okoliczności niniejszej sprawy determinują skorzystanie przez organ nadzorczy z wyłącznie jednego, czy też z kilku środków naprawczych przewidzianych w art. 58 ust. 2 rozporządzenia 2016/679 – a precyzyjniej, czy organ powinien nałożyć na Państwowego Powiatowego Inspektora Sanitarnego w M. wyłącznie jedną administracyjną karę pieniężną, stanowiącą odpowiedź na wszystkie popełnione przez niego naruszenia, czy też odrębne i samoistne kary dla każdego z tych naruszeń rozpatrywanych osobno.

60.

Ustalając konkretne sankcje za stwierdzone w niniejszej sprawie naruszenia Prezes UODO skorzystał z metodyki obliczania administracyjnych kar pieniężnych przyjętej przez EROD w Wytycznych 04/2022, zgodnie z którą pierwszym krokiem do dalszych obliczeń jest „ocena zastosowania art. 83 ust. 3 [rozporządzenia 2016/679]”^[1] poprzez ustalenie:

a)

czy okoliczności wskazują na jedno zachowanie, czy też na wiele zachowań podlegających karze,

b)

w przypadku jednego zachowania, czy zachowanie to stanowi jedno naruszenie czy większą liczbę naruszeń, oraz

c)

w przypadku jednego zachowania, które stanowi wiele naruszeń, czy przypisanie jednego naruszenia wyklucza przypisanie innego naruszenia, czy też należy je przypisać równolegle^[2].

61.

Określenie „jedno zachowanie” należy przy tym interpretować w nawiązaniu do art. 83 ust. 3 rozporządzenia 2016/679, w którym mowa jest o „tych samych lub powiązanych operacjach przetwarzania”. Zgodnie z przyjętą przez EROD wykładnią, „[t]ermin «powiązane» odnosi się do zasady, zgodnie z którą jedno zachowanie może składać się z kilku części, które są realizowane na skutek jednego aktu woli i są kontekstowo (w szczególności jeśli chodzi o tożsamość osoby, której dane dotyczą, cel i charakter przetwarzania), przestrzennie i czasowo tak blisko powiązane, że z obiektywnego punktu widzenia można uznać je za jedno spójne zachowanie”^[3].

62.

Odnosząc powyższe do okoliczności rozpatrywanej sprawy Prezes UODO uznał, że stwierdzone zaniechania Państwowego Powiatowego Inspektora Sanitarnego w M. – polegające z jednej strony na braku wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych przetwarzanych w związku z wykorzystaniem przez pracowników Administratora prywatnych zewnętrznych nośników danych (pendrive) oraz ochronę praw osób, których dane dotyczą, z drugiej zaś na braku wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności ww. środków mających zapewnić bezpieczeństwo przetwarzania – stanowią „jedno spójne zachowanie” w rozumieniu przedstawionym przez EROD. Za taką interpretacją przemawia fakt, że brak aktywności Administratora w wyżej wskazanym obszarze (skutkujący naruszeniem art. 24 ust. 1, art. 25 ust. 1, jak i art. 32 ust. 1 i 2 rozporządzenia 2016/679, a w konsekwencji również art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679), choć nie jest on efektem jednego aktu woli administratora, stanowi wypadkową długotrwałych zaniedbań w sferze nie tylko wdrażania, ale i egzekwowania stosowania środków ochrony danych osobowych przetwarzanych w związku z wykorzystaniem przez pracowników Administratora prywatnych zewnętrznych nośników danych (pendrive), które byłyby adekwatne do zidentyfikowanych zagrożeń. Zaniedbania te pojawiły się już na etapie określania sposobów przetwarzania – czego wyrazem był wadliwy sposób przeprowadzenia analizy ryzyka związanego ze stosowanymi przez Administratora procesami przetwarzania w obszarze stosowania zewnętrznych nośników danych – a następnie kontynuowane były w czasie samego przetwarzania. Brak odpowiednich działań Administratora w analizowanym zakresie, jako proces ciągły i długotrwały, skutkujący naruszeniem elementarnych zasad dotyczących przetwarzania danych osobowych, prowadził do utrzymywania się stanu, w którym Państwowy Powiatowy Inspektor Sanitarny w M. nie był zdolny do wykazania przed organem nadzorczym zgodności przetwarzania z przepisami rozporządzenia 2016/679. Poza długim czasem trwania stwierdzonych naruszeń przepisów rozporządzenia 2016/679, rozpatrywanych jako jedno spójne zachowanie Administratora, tożsamy w odniesieniu do nich jest również cel, charakter i zakres przetwarzania realizowanego przez Państwowego Powiatowego Inspektora Sanitarnego w M.. Wskazać bowiem należy, że wszystkie aspekty stwierdzonego w niniejszej sprawie naruszenia oraz zachowania Administratora prowadzącego do tego naruszenia (brak analizy ryzyka, brak adekwatnych środków technicznych i organizacyjnych, brak regularnego testowania, mierzenia i oceniania skuteczności zastosowanych środków bezpieczeństwa) dotyczą jednych i tych samych procesów przetwarzania, to jest przetwarzania danych osobowych przez pracowników Administratora – w celach służbowych, wynikających z realizowanych przez Państwowego Powiatowego Inspektora Sanitarnego w M. ustawowych zadań – przy użyciu zewnętrznych nośników danych (pendrive), w szczególności ich prywatnych nośników danych. Wszystkie stwierdzone przez Prezesa UODO zaniechania Administratora dotyczą też (mają wpływ na bezpieczeństwo ich przetwarzania) tych samych danych osobowych (tego samego ich zakresu i tych samych kategorii). Wpływają one negatywnie na bezpieczeństwo wszystkich danych osobowych przetwarzanych przez Administratora, które jego pracownicy mogli przetwarzać za pomocą nośników zewnętrznych. Podkreślić należy, że incydent stwierdzony przez Administratora 31 października 2023 r., to sytuacja, w której ryzyko naruszenia bezpieczeństwa danych osobowych zmaterializowało się jedynie w odniesieniu do części danych osobowych przetwarzanych przez Administratora (zarówno co do ilości osób dotkniętych naruszeniem, jak i zakresu oraz kategorii danych przetwarzanych przez Administratora). W odniesieniu do pozostałych przetwarzanych przez Administratora danych osobowych to ryzyko – pomimo braku jego materializacji – również istniało; a jego istnienie wynikało ze stwierdzonego w niniejszej sprawie naruszenia przepisów art. 24 ust. 1, art. 25 ust. 1, jak i art. 32 ust. 1 i 2, a także art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679.

63.

Przyjmując więc, że zaniechania Państwowego Powiatowego Inspektora Sanitarnego w M. polegające na niezastosowaniu (zarówno w fazie projektowania, jak i w trakcie przetwarzania) odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu zewnętrznych nośników danych użytkowanych przez pracowników Administratora (w szczególności będących ich prywatną własnością), jak i niestosowaniu środków zezwalających na regularne testowanie, mierzenie i ocenianie ich skuteczności, stanowią jedno spójne zachowanie, a przy tym zachowanie to narusza kilka przepisów rozporządzenia 2016/679 (art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2, a w konsekwencji także art. 5 ust. 1 lit. f) oraz art. 5 ust. 2) – stwierdzić należy w dalszej kolejności, że żadne z tych naruszeń nie wyklucza możliwości przypisania Administratorowi innego z nich. W szczególności stwierdzenie naruszenia przepisów określających podstawowe, ogólne zasady przetwarzania, o których mowa w art. 5 rozporządzenia 2016/679, nie wyklucza możliwości przypisania administratorowi (i nałożenia za to sankcji finansowej) naruszenia przepisów szczegółowych stanowiących konkretyzację tych zasad, tj. art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 rozporządzenia 2016/679. Przy tym jednak administracyjna kara pieniężna nie jest nakładana za naruszenie obowiązku określonego w art. 24 ust. 1 rozporządzenia 2016/679, w związku z tym, że nie jest on wymieniony w art. 83 ust. 4-6 rozporządzenia 2016/679 jako przepis, którego naruszenie podlega administracyjnej karze pieniężnej.

64.

Konsekwencją powyższego jest ustalenie, że do odpowiedzialności Państwowego Powiatowego Inspektora Sanitarnego w M. w niniejszym postępowaniu zastosowanie będzie mieć przepis art. 83 ust. 3 rozporządzenia 2016/679. Jego zachowanie wypełniające znamiona naruszenia kilku wskazanych powyżej przepisów rozporządzenia 2016/679 miało bowiem miejsce „w ramach tych samych operacji przetwarzania” – operacji dotyczących tych samych procesów i sposobów przetwarzania danych oraz tych samych zbiorów (zakresów i kategorii) danych osobowych.

65.

Podsumowując stwierdzić należy, że administracyjna kara pieniężna zastosowana wobec Państwowego Powiatowego Inspektora Sanitarnego w M. za naruszenie art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, została nałożona na podstawie art. 83 ust. 4 lit. a) rozporządzenia 2016/679, zaś za naruszenie art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679 – na podstawie art. 83 ust. 5 lit. a) rozporządzenia 2016/679. Przy tym jednak kara ta, wymierzona łącznie za naruszenie wszystkich ww. przepisów stosownie do brzmienia art. 83 ust. 3 rozporządzenia 2016/679, nie może wykraczać poza limit kar określony dla jednego z tych naruszeń, tj. powyżej kwoty 100 000 zł, ustalonej w art. 102 ust. 1 pkt 1 u.o.d.o. w odniesieniu do organów władzy publicznej i innych podmiotów publicznych.

Przesłanki wymiaru kary – zastosowanie art. 83 ust. 2 rozporządzenia 2026/679

66.

Decydując o nałożeniu na Państwowego Powiatowego Inspektora Sanitarnego w M. administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a)-k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:

67.

Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a) rozporządzenia 2016/679).

Stwierdzone w niniejszej sprawie naruszenie, którego skutkiem była możliwość uzyskania nieuprawnionego dostępu do przetwarzanych przez Państwowego Powiatowego Inspektora Sanitarnego w M. danych przez osobę bądź osoby nieuprawnione, a w konsekwencji pozyskanie do danych osobowych osób chorych na COVID, w tym dzieci, danych osobowych z otoczenia chorych, danych opiekunów dzieci oraz danych osób uczestników prowadzonych przez Administratora postępowań, ma znaczną wagę i poważny charakter, jako że stwarzało wysokie ryzyko negatywnych skutków dla osób, których dane dotyczą.

Naruszenie przez Państwowego Powiatowego Inspektora Sanitarnego w M. obowiązków zastosowania środków zabezpieczających przetwarzane dane przed ich udostępnieniem osobom nieuprawnionym, pociąga za sobą nie tylko potencjalną, ale również realną możliwość wykorzystania tych danych przez podmioty trzecie bez wiedzy i wbrew woli osób, których dane dotyczą, niezgodnie z przepisami rozporządzenia 2016/679, np. w celu nawiązania stosunków prawnych lub zaciągnięcia zobowiązań w imieniu osób, których dane pozyskano, przede wszystkim ze względu na szeroki zakres danych osobowych (zob. pkt 69 decyzji), których administratorem był Państwowy Powiatowy Inspektor Sanitarny w M., a które przetwarzane były przez jego byłego pracownika na prywatnym zewnętrznym niezabezpieczonym nośniku danych (pendrive).

Mimo, że w toku postępowania nie ujawniły się żadne dowody wskazujące na to, że osoby, do których danych dostęp mogły uzyskać osoby trzecie, doznały szkody majątkowej, uznać należy, że samo już naruszenie poufności ich danych osobowych stanowi dla nich szkodę niemajątkową (krzywdę), np. poprzez naruszenie ich dóbr osobistych, takich jak dobrostan psychiczny czy prawo do prywatności. Osoby fizyczne, których dane potencjalnie osoby trzecie mogły w sposób nieuprawniony pozyskać w wyniku naruszenia ochrony danych osobowych, mogły bowiem odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, a nawet dyskryminacją. Tymczasem jak wskazał Trybunał Sprawiedliwości Unii Europejskiej, „obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić «szkodę niemajątkową»”^[4] w rozumieniu art. 82 ust. 1 rozporządzenia 2016/679.

W odniesieniu do zaistniałego incydentu wskazać także należy, że w toku postępowania Państwowy Powiatowy Inspektor Sanitarny w M. nie dostarczył dowodów zezwalających na przyjęcie, iż z danymi osobowymi przetwarzanymi na niezabezpieczonym ww. nośniku danych nie zapoznały się osoby postronne – co potencjalnie skutkować może w przyszłości ich bezprawnym wykorzystaniem.

Wagę przypisywanych Administratorowi naruszeń dodatkowo zwiększa fakt, że Administrator przetwarza na znaczną skalę dane osobowe szczególnych kategorii (takimi są bowiem dane dotyczące zdrowia m.in. w zakresie chorób zakaźnych i innych chorób powodowanych warunkami środowiska). Jednocześnie profil działalności Administratora obejmuje również usługi skierowane także do dzieci – te zaś podlegają szczególnej ochronie na gruncie przepisów rozporządzenia 2016/679. W kontekście powyższego podkreślić należy, że od Państwowego Powiatowego Inspektora Sanitarnego w M. – jako publicznego podmiotu przetwarzającego dane osobowe o szczególnym stopniu wrażliwości, w tym dane objęte tajemnicą, o której mowa w art. 29a ustawy o Państwowej Inspekcji Sanitarnej – należy oczekiwać wysokich standardów w zakresie bezpieczeństwa przetwarzanych danych. Powyższe nie pozostaje bez wpływu na ocenę charakteru i wagi stwierdzonego naruszenia. Naruszenie tych standardów Prezes UODO uznaje za okoliczność istotnie obciążającą w niniejszej sprawie.

Na niekorzyść Państwowego Powiatowego Inspektora Sanitarnego w M. należy zaliczyć również długi czas trwania naruszeń. Zgromadzony w toku postępowania materiał dowodowy nakazuje bowiem przyjąć, że stan niezgodności przetwarzania z przepisami rozporządzenia 2016/679 trwa nieprzerwanie od (…) maja 2018 r. (tj. od daty rozpoczęcia stosowania ww. aktu prawnego) aż do 1 lutego 2024 r. (data wydania przez Dyrektora (…) w M. zarządzenia nr (…), mocą którego wdrożone zostały nowe procedury bezpieczeństwa informacji regulujące także użytkowanie przez pracowników Administratora zewnętrznych nośników danych). Okoliczność utrzymywania się stanu naruszenia przez okres ponad sześciu lat należy poczytywać jako kryterium wpływające w znacznym stopniu zarówno na decyzję organu o nałożeniu administracyjnej kary pieniężnej w niniejszej sprawie, jak i na wysokość samej kary.

Mając na względzie wyżej wskazane okoliczności, przesłankę określoną w art. 83 ust. 2 lit. a) rozporządzenia 2016/679, rozpatrywaną w sposób całościowy, organ ocenił jako w znacznym stopniu obciążającą.

68.

Nieumyślny charakter naruszenia przepisów rozporządzenia 2016/679 (art 83 ust. 2 lit. b) rozporządzenia 2016/679).

Analizując tę przesłankę Prezes UODO uwzględnił stanowisko wyrażone przez EROD, zgodnie z którym umyślność „obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego”^[5]. W świetle powyższego organ nadzorczy przyjął, że Państwowy Powiatowy Inspektor Sanitarny w M., przetwarzając m.in. dane osobowe, którym przepisy rozporządzenia 2016/679 przyznają szczególny poziom ochrony, świadomy był tego, że powinien był zagwarantować odpowiedni stopień bezpieczeństwa tego przetwarzania, tj. zapewniający przestrzeganie zasady „integralności i poufności” wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679. Okoliczność tę potęguje fakt, że przepisy rozporządzenia 2016/679, przyjęte 27 kwietnia 2016 r., zaczęły być stosowane z pełną mocą dopiero od (…) maja 2018 r., dając administratorom czas na dostosowanie obowiązujących dotychczas procedur oraz wdrożonych środków technicznych i organizacyjnych, związanych z przetwarzaniem danych osobowych, do nowej rzeczywistości prawnej. Dokumenty dostarczone przez Administratora w niniejszym postępowaniu, szczegółowo wskazane w części uzasadnienia poświęconej technicznym i organizacyjnym środkom bezpieczeństwa danych osobowych stosowanym przez Państwowego Powiatowego Inspektora Sanitarnego w M. w chwili wystąpienia incydentu (zob. pkt 33-48 decyzji) – choć w sposób oczywisty nie czyniły zadość wymogom stawianym przez przepisy rozporządzenia 2016/679 – bezsprzecznie wskazują na to, że Administrator zdawał sobie sprawę z ww. powinności. Tym samym należy przyjąć, iż po stronie Administratora zmaterializował się element „wiedzy”, niezbędny do przypisania mu winy z tytułu popełnionych naruszeń.

Jednocześnie jednak, biorąc pod uwagę podejmowane przez Administratora działania, brak jest podstaw do przypisania mu woli (zamiaru) naruszenia przepisów rozporządzenia 2016/679. W ocenie organu Państwowy Powiatowy Inspektor Sanitarny w M. nie działał umyślnie, niemniej dopuścił się licznych zaniechań skutkujących znaczącym zwiększeniem ryzyka naruszenia poufności przetwarzanych danych, co świadczy o rażącym jego niedbalstwie i stanowi istotną okoliczność wpływającą obciążająco na wysokość administracyjnej kary pieniężnej. Administrator nie przeprowadził poprawnej analizy ryzyka, która zezwoliłaby na zidentyfikowanie potencjalnych zagrożeń (w tym dotyczących używania przez pracowników prywatnych niezabezpieczonych nośników danych) oraz na dobór – na jej podstawie – odpowiednich środków technicznych i organizacyjnych mających na celu zapewnienie zgodności przetwarzania z rozporządzeniem 2016/679 oraz umożliwienie regularnego testowania, mierzenia i oceniania skuteczności wprowadzonych rozwiązań. Dodatkowo wskazać należy, że po wystąpieniu incydentu Administrator podjął czynności, które niewątpliwie przyczyniły się do wzmocnienia bezpieczeństwa informacji, co jest wyraźnym sygnałem dla organu nadzorczego, że Administrator świadomy był własnych uchybień we wskazanym obszarze. Zdaniem organu nadzorczego wyżej wskazane okoliczności świadczą o tym, że w omawianym przypadku Administrator mógł i powinien był przewidzieć, że przyjęte przez niego rozwiązania nie zapewniają odpowiedniego stopnia bezpieczeństwa danych osobowych przetwarzanych z użyciem prywatnych nośników danych przez pracowników Administratora, jednak wadliwie przeprowadzona analiza ryzyka, będąca pierwszym krokiem w procesie identyfikacji, oceny i zarządzania ryzykiem związanym z przetwarzaniem danych, pociągnęła za sobą dalsze nieprawidłowości w tejże sferze – co świadczy o nieumyślnym charakterze przypisanych Administratorowi naruszeń przepisów art. 25 ust. 1, art. 32 ust. 1 i 2 oraz art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679.

69.

Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679).

W tym miejscu należy wskazać w pierwszej kolejności, że naruszenie przepisów rozporządzenia 2016/679 rozpatrywane w niniejszej sprawie dotyczy wszelkich danych osobowych (i wszystkich ich kategorii) przetwarzanych przez Państwowego Powiatowego Inspektora Sanitarnego w M.. Przy użyciu zewnętrznych nośników danych (również prywatnych nośników pracowników Administratora) przetwarzane bowiem mogły być wszystkie dane osobowe, którymi dysponował Administrator. W niniejszej sprawie stwierdzono bezspornie, że w ten sposób przetwarzane były dane osobowe co najmniej w zakresie objętym naruszeniem ochrony danych osobowych stanowiącym przedmiot zgłoszenia Administratora z 31 października 2023 r. Zważywszy zaś, że to naruszenie ochrony danych osobowych było bezpośrednim skutkiem naruszenia przez Administratora przepisów art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 oraz art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679, stwierdzić należy, że dane osobowe (i ich kategorie) dotknięte tym incydentem są (co najmniej w objętych nim zakresie) przedmiotem naruszenia wymienionych wyżej przepisów rozporządzenia.

Naruszenie ochrony danych osobowych znajdujących się w zasobach Państwowego Powiatowego Inspektora Sanitarnego w M., przetwarzanych na prywatnym, niezabezpieczonym zewnętrznym nośniku danych (pendrive) pracownika Administratora, w postaci nazwisk i imion, imion rodziców, dat urodzenia, adresów zamieszkania lub pobytu, numerów ewidencyjnych PESEL, informacji na temat stanu zdrowia dot. przeprowadzonych testów, adresu e-mail, serii i numeru dowodu osobistego, numeru telefonu, a w przypadku uczestników postępowań prowadzonych przez Administratora imion i nazwisk, adresów zamieszkania, numerów dowodów osobistych lub praw jazdy, numerów ewidencyjnych PESEL, adresów e-mail, skutkować może szerokim wachlarzem negatywnych skutków dla osób, których dane dotyczą.

Nie bez znaczenie pozostaje fakt, że na ww. nośniku danych przetwarzane były dane osobowe osób chorych na COVID, które to dane w myśl art. 9 ust 1 rozporządzenia 2016/679 ustawodawca unijny zakwalifikował do danych o wysokim stopniu wrażliwości. Potencjalna utrata ich poufności może skutkować bezprawnym ich wykorzystaniem. W tym kontekście należy przywołać pogląd wyrażony przez EROD w Wytycznych 04/2022, zgodnie z którym „[j]eśli chodzi o wymóg uwzględnienia kategorii danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) RODO), w RODO wyraźnie wskazano rodzaje danych, które podlegają szczególnej ochronie, a tym samym bardziej rygorystycznej reakcji przy nakładaniu kar pieniężnych. Dotyczy to co najmniej rodzajów danych objętych art. 9 i 10 RODO oraz danych nieobjętych zakresem tych artykułów, których rozpowszechnianie natychmiast powoduje szkody lub dyskomfort osoby, której dane dotyczą (np. danych dotyczących lokalizacji, danych dotyczących komunikacji prywatnej, krajowych numerów identyfikacyjnych lub danych finansowych, takich jak zestawienia transakcji lub numery kart kredytowych). Ogólnie rzecz biorąc, im większej liczby takich kategorii danych dotyczy naruszenie lub im bardziej wrażliwe są dane, tym większą wagę organ nadzorczy może przypisać temu czynnikowi”^[6]. Mając powyższe na uwadze, uwzględniając szeroki zakres danych objętych naruszeniem, organ ocenił omawianą w tym miejscu przesłankę jako okoliczność obciążającą – wpływającą w sposób istotny na wysokość orzeczonej administracyjnej kary pieniężnej.

Należy także podkreślić, że fakt objęcia incydentem takich kategorii danych, które zezwalają na jednoznaczne ustalenie tożsamości osoby fizycznej (jak numer ewidencyjny PESEL wraz z imieniem i nazwiskiem), może realnie i negatywnie wpływać na ochronę praw lub wolności tej osoby. Numer ewidencyjny PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający m.in. datę jej urodzenia oraz oznaczenie płci – a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679 – jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga.

70.

Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił na korzyść Państwowego Powiatowego Inspektora Sanitarnego w M., w ramach przesłanki dotyczącej wszelkich innych obciążających lub łagodzących czynników mających zastosowanie do okoliczności sprawy (art. 83 ust. 2 lit. k) rozporządzenia 2016/679), fakt podjęcia przez Administratora działań ukierunkowanych na podniesienie poziomu bezpieczeństwa danych osobowych w związku z korzystaniem przez pracownika Administratora ich prywatnych przenośnych nośników danych (pendrive), które to działania przyczyniły się do poprawy bezpieczeństwa przetwarzania danych osobowych przetwarzanych za pomocą ww. nośników danych (zob. pkt 16 i 17 decyzji). Z uwagi na powyższe przesłankę tę potraktowano jako mającą istotny wpływ na obniżenie wysokości wymierzonej kary pieniężnej.

71.

Inne, niżej wskazane (w pkt 72-80 decyzji) okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy jako niemające ani obciążającego, ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.

72.

Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c) rozporządzenia 2016/679).

W kontekście tej przesłanki znaczenie ma cel, jakiemu ma służyć działanie administratora, czyli zminimalizowanie szkody poniesionej przez osoby, których dane dotyczą. Prezes UODO nie odnotował w niniejszym przypadku tego typu działań Państwowego Powiatowego Inspektora Sanitarnego w M.. Samo bowiem przekazanie osobom, których dane zostały objęte incydentem, informacji o zaistniałym zdarzeniu nie może być w przedmiotowej sprawie uznane za działanie w celu zminimalizowania szkody poniesionej przez te osoby. Działanie takie stanowi wyłącznie wypełnienie obowiązku prawnego, który spoczywa na Administratorze, jako administratorze danych, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, a którego brak realizacji sankcjonowany jest na gruncie art. 83 ust. 4 lit. a) rozporządzenia 2016/679. W tym kontekście podkreślenia wymaga, że zwykłe dopełnienie przez Administratora ww. obowiązaniu poinformowania podmiotów danych o wystąpieniu naruszenia ochrony danych osobowych nie może być uznane jako czynnik łagodzący i mający wpływ na obniżenie wysokości nałożonej administracyjnej kary pieniężnej.

73.

Stopień odpowiedzialności z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 rozporządzenia 2016/679 (art. 83 ust. 2 lit. d) rozporządzenia 2016/679).

W niniejszej sprawie Prezes UODO stwierdził między innymi naruszenie art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679. Niewątpliwie na Administratorze ciąży w wysokim stopniu odpowiedzialność za niewdrożenie odpowiednich środków technicznych i organizacyjnych, które zapobiegłyby naruszeniu ochrony danych osobowych. Oczywistym jest również, że w rozważanym kontekście charakteru, celu i zakresu przetwarzania danych osobowych Administrator nie zrobił wszystkiego, czego można by było od niego oczekiwać, co skutkowało naruszeniem zasady integralności oraz poufności przetwarzania danych. W analizowanym stanie faktycznym okoliczność ta stanowi jednak o istocie samego naruszenia przepisów rozporządzenia 2016/679, co skutkuje uznaniem, iż nie jest ona wyłącznie czynnikiem wpływającym łagodząco lub obciążająco na jego ocenę. Z tego też względu brak odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 25 i art. 32 rozporządzenia 2016/679, nie może zostać uznany w niniejszej sprawie za okoliczność mogącą dodatkowo wpłynąć na surowszą ocenę naruszenia i wymiar administracyjnej kary pieniężnej nałożonej na Państwowego Powiatowego Inspektora Sanitarnego w M..

74.

Wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e) rozporządzenia 2016/679)

Prezes UODO nie stwierdził po stronie Administratora jakichkolwiek wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. Jednocześnie jednak obowiązkiem każdego administratora jest przestrzeganie przepisów prawa, z uwagi na co brak wcześniejszych naruszeń nie może być traktowany jako okoliczność łagodząca przy wymierzaniu sankcji. Taka ocena zgodna jest ze stanowiskiem wyrażonym przez EROD w Wytycznych 04/2022, zgodnie z którym „[b]rak wcześniejszych naruszeń nie może (…) zostać uznany za okoliczność łagodzącą, ponieważ przestrzeganie przepisów [rozporządzenia 2016/679] stanowi normę. Brak wcześniejszych naruszeń można uznać za okoliczność o charakterze neutralnym”^[7].

75.

Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679)

Analizując tę przesłankę organ nadzorczy uwzględnił fakt, że większość działań o charakterze naprawczym (przeprowadzonych przez Administratora na skutek otrzymanych rekomendacji poaudytowych), zrealizowanych zostało w latach 2021-2023 – a zatem jeszcze przed wszczęciem niniejszego postępowania administracyjnego. Jednocześnie w przedmiotowej sprawie Prezes UODO nie kierował wobec Państwowego Powiatowego Inspektora Sanitarnego w M. żadnych zaleceń, wytycznych, ani rekomendacji w zakresie stosowanych przez niego rozwiązań w obszarze bezpieczeństwa przetwarzania danych osobowych, a wszelka aktywność Administratora – następcza wobec naruszenia ochrony danych osobowych – podejmowana była przez niego dobrowolnie i w sposób niezależny od stanowiska organu nadzorczego. W tym stanie faktycznym brak jest podstaw do tego, by ww. działania Administratora rozpatrywać w kontekście współpracy z organem nadzorczym. Okoliczność wdrożenia w sposób spontaniczny rozwiązań zapewniających zwiększenie bezpieczeństwa danych osobowych przetwarzanych na przenośnych nośnikach danych (pendrive) Prezes UODO uwzględnił natomiast – na jego korzyść – w ramach oceny przesłanki określonej w art. 83 ust. 2 lit. k) rozporządzenia 2016/679 (zob. pkt 70 decyzji).

76.

Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie (art. 83 ust. 2 lit. h) rozporządzenia 2016/679)

Prezes UODO stwierdził naruszenie przez Państwowego Powiatowego Inspektora Sanitarnego w M. przepisów o ochronie danych osobowych z urzędu – w rezultacie postępowania zainicjowanego zgłoszeniem naruszenia ochrony danych osobowych dokonanym przez Administratora 31 października 2023 r., uzupełnionym następnie 29 listopada 2023 r. Dokonując zgłoszenia, Administrator realizował ciążący na nim obowiązek prawny, brak jest zatem podstaw do uznania, że fakt ten powinien być poczytywany na jego korzyść. Jak słusznie wskazuje EROD w Wytycznych 04/2022 „[o]koliczność ta nie ma znaczenia, gdy administrator podlega szczególnym obowiązkom w zakresie zgłaszania naruszeń (np. obowiązkowi zgłaszania naruszenia ochrony danych osobowych określonemu w art. 33 [rozporządzenia 2016/679]). W takich przypadkach fakt dokonania zgłoszenia należy uznać za okoliczność neutralną”^[8].

77.

Jeżeli wobec administratora, którego sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków (art. 83 ust. 2 lit. i) rozporządzenia 2016/679)

Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie organu nadzorczego, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia. Z uwagi na powyższe przesłanka ta pozostaje bez wpływu zarówno na decyzję o nałożeniu administracyjnej kary pieniężnej, jak i jej wymiar.

78.

Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 (art. 83 ust. 2 lit. j) rozporządzenia 2016/679)

Państwowy Powiatowy Inspektor Sanitarny w M. na dzień wydania decyzji nie stosował zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na jego korzyść mogłaby być natomiast uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów, jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzania danych osobowych. W przedmiotowej sprawie okoliczność taka jednak nie wystąpiła.

79.

Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k) rozporządzenia 2016/679)

W toku postępowania nie stwierdzono wpływu naruszenia przepisów rozporządzenia 2016/679 na osiągnięcie przez Państwowego Powiatowego Inspektora Sanitarnego w M. korzyści finansowych lub uniknięcie tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Nieosiągnięcie zaś przez Administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodząca. Interpretację tę potwierdza już samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.

80.

Inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy (art. 83 ust. 2 lit. k) rozporządzenia 2016/679)

Prezes UODO, wszechstronnie rozpatrując sprawę, nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.

Ustalenie wysokości kary z zastosowaniem Wytycznych 04/2022

81.

Ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej nałożonej na Państwowego Powiatowego Inspektora Sanitarnego w M. Prezes UODO zastosował metodykę przyjętą w Wytycznych 04/2022 – jednak w stopniu ograniczonym, co wynika z braku możliwości przyjęcia wobec organów i podmiotów publicznych ich obrotu (przychodu) jako wskaźnika ich wielkości pozwalającego na miarkowanie wysokości kary, tak by była ona skuteczna, proporcjonalna i odstraszająca. Jak wskazuje EROD, jeżeli na podstawie prawa krajowego organy nadzorcze mają uprawnienie do nakładania administracyjnych kar pieniężnych na organy i podmioty publiczne, wytyczne te mają zastosowanie do ich obliczania z wyjątkiem rozdziału 4.3 tego dokumentu („Obrót przedsiębiorstwa do celów nałożenia skutecznej, odstraszającej i proporcjonalnej kary pieniężnej”)^[9]. Tam natomiast, gdzie prawo krajowe przewiduje dla organów i podmiotów publicznych ustawowe maksymalne kwoty kar (inne niż wynikające z art. 83 ust. 4-6 rozporządzenia 2016/679), zastosowania nie będzie znajdował rozdział 6 wytycznych („Prawnie określona maksymalna wysokość kary pieniężnej i odpowiedzialność przedsiębiorstw”). Mając więc na uwadze powyższe, Prezes UODO dokonał niżej przedstawionej kalkulacji kary orzekanej wobec Administratora.

82.

Za prawnie określoną maksymalną kwotę kary możliwą w niniejszej sprawie do orzeczenia wobec Państwowego Powiatowego Inspektora Sanitarnego w M. Prezes UODO przyjął – stosownie do art. 102 ust. 1 pkt 1 u.o.d.o. – kwotę 100 000 zł, przy czym kwota ta znajduje zastosowanie niezależnie od tego, którego przepisu rozporządzenia 2016/679 dotyczy naruszenie.

83.

Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o wysokim poziomie powagi^[10]. W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które dotyczą strony przedmiotowej naruszenia (a zatem składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny lub nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679) oraz kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej (zob. pkt 67-69 decyzji). W tym miejscu wskazać należy jedynie, że rozważenie ich łącznego wpływu na ocenę stwierdzonych w niniejszej sprawie naruszeń rozpatrywanych w całości prowadzi do wniosku, że poziom ich powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest wysoki. Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 20 % do 100 % maksymalnej wysokości kary możliwej do orzeczenia wobec Państwowego Powiatowego Inspektora Sanitarnego w M.^[11], to jest – zważywszy na kwotę maksymalną w wysokości 100 000 zł określoną dla organów i podmiotów publicznych – od kwoty 20 000 zł do kwoty 100 000 zł. Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy kwotę wyjściową Prezes UODO uznał kwotę 40 000 zł (40 % prawnie określonej maksymalnej wysokości kary możliwej do wymierzenia Państwowemu Powiatowemu Inspektorowi Sanitarnemu w M.).

84.

Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679^[12]. Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się do strony podmiotowej naruszenia (tj. do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie i po jego zaistnieniu) oraz ewentualnie do innych okoliczności mogących mieć znaczenie dla jego oceny. Szczegółowa analiza i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przestawione zostały powyżej (zob. pkt 70, 72-80 decyzji). W tym miejscu wskazać jedynie należy, że jedna spośród nich miała, w ocenie Prezesa UODO, wpływ łagodzący na wymiar kary – podjęcie przez Państwowego Powiatowego Inspektora Sanitarnego w M. działań ukierunkowanych na podniesienie poziomu bezpieczeństwa przetwarzanych przez niego – przy użyciu przenośnych nośników danych (pendrive) – danych osobowych (ocenione w ramach art. 83 ust. 2 lit. k) rozporządzenia 2016/679). Pozostałe przesłanki z art. 83 ust. 2 (lit. c), d), e), f), h), i) oraz j) rozporządzenia 2016/679) – jak wskazano powyżej – nie miały wpływu ani łagodzącego, ani obciążającego na ocenę naruszenia i w konsekwencji na wymiar kary. Ze względu więc na zaistnienie w sprawie dodatkowej okoliczności mającej wpływ na ocenę naruszenia, w związku z podjęciem przez Administratora dobrowolnych działań, które doprowadziły do usunięcia stanu naruszenia, za zasadne Prezes UODO uznał skorygowanie kwoty kary ustalonej na podstawie oceny powagi naruszenia i znaczne jej obniżenie – o 50 % – do kwoty 20 000 zł.

85.

Zgodnie z art. 83 ust. 1 rozporządzenia 2016/679 każdy organ nadzorczy zapewnia, by administracyjne kary pieniężne stosowane za naruszenia tego rozporządzenia były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Natomiast Wytyczne 04/2022 wskazują, że ostatnim krokiem kalkulacji kary dokonywanej zgodnie z przedstawioną tam metodyką powinno być przeanalizowanie, czy ostateczna kwota obliczonej kary pieniężnej spełnia te wymogi, oraz (ewentualnie) odpowiednie zwiększenie lub zmniejszenie wysokości kary pieniężnej^[13]. Dokonując takiej analizy w niniejszej sprawie Prezes UODO stwierdził, że administracyjna kara pieniężna w kwocie 20 000 zł, orzeczona w tych konkretnych, indywidualnych okolicznościach sprawy, będzie skuteczna ponieważ pozwoli na osiągnięcie jej celu prewencyjnego, jakim jest zapobieżenie w przyszłości naruszeniom – takim samym lub podobnym do stwierdzonego niniejszej sprawie – dokonywanym zarówno przez Administratora, jak i przez inne podmioty, w szczególności organy władzy publicznej i inne jednostki sektora publicznego. Dodatkowo orzeczona kara, jako środek o charakterze represyjnym, zezwoli na realne ukaranie Państwowego Powiatowego Inspektora Sanitarnego w M. za jego bezprawne, utrzymujące się długotrwale zachowanie.

86.

Zdaniem Prezesa UODO orzeczona kara będzie również proporcjonalna do stwierdzonych naruszeń przepisów rozporządzenia 2016/679, w tym zwłaszcza do ich charakteru i wagi. Proporcjonalność zastosowanej sankcji wyraża się również w tym, że ustalona przez organ kwota kary nie będzie stanowić dla Państwowego Powiatowego Inspektora Sanitarnego w M. nadmiernego obciążenia. W szczególności jej zapłata nie wpłynie na zdolność Administratora do wywiązywania się przez niego z jego ustawowych zadań, do których należy w szczególności sprawowanie zapobiegawczego i bieżącego nadzoru sanitarnego i przeciwepidemicznego w zakresie chorób zakaźnych i innych chorób powodowanych warunkami środowiska w powiązaniu z realizacją zadań oświatowo-zdrowotnych. Zdaniem Prezesa UODO Państwowy Powiatowy Inspektor Sanitarny w M. powinien i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych osobowych, stąd uzasadnione będzie nałożenie na niego administracyjnej kary pieniężnej w wysokości 20 000 zł.

87.

W ocenie Prezesa UODO administracyjna kara pieniężna w wysokości 20 000 zł spełni w tych konkretnych okolicznościach sprawy również funkcję prewencyjną, albowiem wskaże tak Państwowemu Powiatowemu Inspektorowi Sanitarnemu w M., jak i innym administratorom (w szczególności zaś podmiotom wchodzącym w skład sektora publicznego), że organ nadzorczy – stojąc na straży przepisów o ochronie danych osobowych – będzie z pełną mocą egzekwował odpowiedzialność ww. podmiotów za stwierdzone naruszenia przepisów rozporządzenia 2016/679. Tym samym zastosowana w niniejszym postępowaniu sankcja zniechęci zarówno samego Administratora, jak i innych podobnych mu administratorów do popełniania w przyszłości takich samych lub zbliżonych przedmiotowo naruszeń.

88.

Zdaniem Prezesa UODO wymierzenie w niniejszej sprawie administracyjnej kary pieniężnej było konieczne. Zastosowanie wobec Państwowego Powiatowego Inspektora Sanitarnego w M. jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b) rozporządzenia 2016/679), nie spełniałoby bowiem wymogu proporcjonalności, rozumianego jako konieczność zastosowania przez organ nadzorczy środka, który adekwatny jest w szczególności do wagi stwierdzonych nieprawidłowości. Odstąpienie od nałożenia administracyjnej kary pieniężnej nie gwarantowałoby również tego, że Administrator nie dopuści się w przyszłości kolejnych naruszeń w zakresie ochrony danych osobowych. W ocenie organu nadzorczego jedynie administracyjna kara pieniężna zezwoli w przedmiotowej sprawie na skuteczne egzekwowanie przepisów rozporządzenia 2016/679.

W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął jak w sentencji niniejszej decyzji.