Godło Rzeczypospolitej Polskiej

Portal Orzeczeń

DostępnośćBIP
Decision logo
Warszawa, 29 grudnia 2025nieprawomocna

Decyzja DKN.5131.5.2024

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego[1] (zwanej dalej „k.p.a.”) w związku z art. 7 ust. 1, art. 60 oraz art. 102 ust. 1 pkt 1 i ust. 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych[2] (zwanej dalej „u.o.d.o.”) oraz art. 57 ust. 1 lit. a) oraz h), art. 58 ust. 2 lit. d) oraz i), art. 83 ust. 1-3, art. 83 ust. 4 lit. a) w związku z art. 24 ust. 1, art. 25 ust. 1 i 2, art. 32 ust. 1 i 2 oraz art. 83 ust. 5 lit. a) w związku z art. 5 ust. 1 lit. a) oraz f), art. 5 ust. 2, art. 6 ust. 1 oraz art. 9 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (zwanego dalej „rozporządzeniem 2016/679”)[3],
po przeprowadzeniu wszczętego w urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez Komendanta Miejskiego Policji w Z. (zwanego dalej „Komendantem”), Prezes Urzędu Ochrony Danych Osobowych (zwany dalej „Prezesem UODO”):
I)
stwierdzając naruszenie przez Komendanta przepisów art. 6 ust. 1 oraz art. 9 ust. 1 rozporządzenia 2016/679, polegające na niezgodnym z prawem przetwarzaniu danych osobowych, w tym szczególnych kategorii danych osobowych, poprzez opublikowanie ich na stronie internetowej bez podstawy prawnej, oraz skutkujące naruszeniem zasad określonych w art. 5 ust. 1 lit. a) i ust. 2 rozporządzenia 2016/679, nakłada na Komendanta administracyjną karę pieniężną w kwocie 40 000 PLN (słownie: czterdzieści tysięcy złotych);
II)
stwierdzając naruszenie przez Komendanta przepisów art. 24 ust. 1, art. 25 ust. 1 i 2 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych, zaprojektowanych w celu skutecznej realizacji zasad ochrony danych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, w tym zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, oraz skutkujące naruszeniem zasad określonych w art. 5 ust. 1 lit. f) i ust. 2 rozporządzenia 2016/679:
1)
nakłada na Komendanta, za naruszenie przepisów art. 5 ust. 1 lit. f) i ust. 2, art. 25 ust. 1 i 2 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, administracyjną karę pieniężną w kwocie 38 000 PLN (słownie: trzydzieści osiem tysięcy złotych); oraz
2)
nakazuje Komendantowi dostosowanie operacji przetwarzania w ramach działalności prasowo-informacyjnej do przepisów rozporządzenia 2016/679 poprzez:
a)
wdrożenie odpowiednich środków technicznych i organizacyjnych, zaprojektowanych w celu skutecznej realizacji zasad ochrony danych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą, oraz aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania (art. 25 ust. 1 i 2 rozporządzenia 2016/679);
b)
wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych osobowych, na podstawie analizy ryzyka uwzględniającej stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, w tym ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (art. 32 ust. 1 i 2 rozporządzenia 2016/679);
w terminie 90 od dnia doręczenia niniejszej decyzji.

Uzasadnienie

1. Informacje wstępne

1.1. Prezes UODO

1.
Zgodnie z art. 34 ust. 1 i 2 u.o.d.o. Prezes UODO jest organem właściwym w sprawie ochrony danych osobowych oraz organem nadzorczym, o którym mowa w art. 4 pkt 21 rozporządzenia 2016/679.
2.
Zgodnie z art. 57 ust. 1 lit. a) i h) rozporządzenia 2016/679 każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia oraz prowadzi postępowania w sprawie jego stosowania.
3.
Zgodnie z art. 58 ust. 2 rozporządzenia 2016/679 każdemu organowi nadzorczemu przysługują uprawnienia w zakresie nakazania administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów tego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu, a także zastosowania, oprócz lub zamiast środków, o których mowa w niniejszym ustępie, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy.

1.2. Czynności wyjaśniające i postępowanie administracyjne

4.
Komendant jest organem administracji właściwym w sprawach wykonywania zadań Policji w zakresie ochrony bezpieczeństwa ludzi oraz utrzymania bezpieczeństwa i porządku publicznego na obszarze miasta Z.[4], działającym na podstawie „Regulaminu (…)” (zwanego dalej „regulaminem KMP”).
5.
4 sierpnia 2023 r. do Prezesa UODO wpłynęło zgłoszenie naruszenia ochrony danych osobowych[5] (zwane dalej „zgłoszeniem”), dokonane przez Komendanta, jako administratora[6], w trybie art. 33 ust. 1 rozporządzenia 2016/679. Zgłoszenie zostało zarejestrowane pod sygnaturą DKN.5130.9496.2023[7].
6.
Zgłoszone naruszenie ochrony danych osobowych (zwane dalej „incydentem”) polegało na nieuprawnionym ujawnieniu danych osobowych[8], w tym danych dotyczących zdrowia[9], poprzez umieszczenie ich w treści komunikatu prasowego opublikowanego na stronie internetowej Komendy Miejskiej Policji w Z. (zwanej dalej „KMP”).
7.
Zgłoszenie stało się dla Prezesa UODO sygnałem do weryfikacji prawidłowości realizacji przez Komendanta obowiązków spoczywających na nim, jako administratorze, na gruncie rozporządzenia 2016/679 w związku z przetwarzaniem danych osobowych[10]. Wobec powyższego, Prezes UODO zainicjował działania mające na celu zbadanie nie tylko okoliczności incydentu, ale także zgodności przetwarzania przez Komendanta danych osobowych w obszarze objętym incydentem z przepisami o ochronie danych osobowych, tj. rozporządzeniem 2016/679 i u.o.d.o.
8.
W związku z tym, pismami z 10 sierpnia 2023 r., 16 listopada 2023 r., 4 marca 2024 r. i 21 marca 2024 r., Prezes UODO zwrócił się Komendanta o przekazanie informacji niezbędnych do rozstrzygnięcia sprawy. W odpowiedzi Komendant przedstawił wyjaśnienia w pismach z 21 sierpnia 2023 r., 1 grudnia 2023 r., 18 marca 2024 r. i 28 marca 2024 r. oraz w wiadomości e-mail z 17 października 2023 r.
9.
Na podstawie dokonanych ustaleń 23 kwietnia 2024 r. Prezes UODO wszczął z urzędu postępowanie administracyjne w przedmiocie możliwości naruszenia przez Komendanta art. 5 ust. 1 lit. a) i f) oraz ust. 2, art. 6 ust. 1, art. 9 ust. 1, art. 24 ust. 1, art. 25 ust. 1 i 2 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679. Postępowanie w sprawie zostało zarejestrowane pod sygnaturą DKN.5131.5.2024.
10.
W toku postępowania, pismem z 23 maja 2024 r., Prezes UODO wezwał Komendanta do złożenia dodatkowych wyjaśnień. Komendant ustosunkował się do wezwania pismem z 5 czerwca 2024 r.
11.
Prezes UODO, dokonując oceny zgromadzonego materiału dowodowego, uznał przedstawione przez Komendanta dowody za wiarygodne oraz posiadające wymaganą moc dowodową. Na taką ocenę w szczególności wpłynęła wewnętrzna spójność i logiczność złożonych wyjaśnień, a także ich zgodność z pozostałym materiałem dowodowym zgromadzonym w sprawie.

2. Stan faktyczny

W oparciu o materiał dowodowy zgromadzony w ramach czynności wyjaśniających i postępowania administracyjnego Prezes UODO dokonał następujących ustaleń w zakresie stanu faktycznego.

2.1. Incydent

12.
(…) 2023 r. jedna z ogólnopolskich komercyjnych stacji telewizyjnych wyemitowała reportaż na temat interwencji Policji, do której doszło (…) 2023 r. Reportaż zrealizowano z udziałem uczestniczki interwencji. Osoba ta ujawniła w materiale wideo informacje umożliwiające jej identyfikację, tj. swoje imię oraz wizerunek (dowód: zgłoszenie).
13.
(…) 2023 r. ok. godz. 10:40 podlegający Komendantowi Zespół (…) KMP opublikował na stronie internetowej KMP komunikat prezentujący stanowisko w sprawie ww. reportażu. W treści komunikatu zamieszczono dodatkowe informacje na temat przebiegu zdarzenia, w tym nieujawnione wcześniej informacje dotyczące uczestniczki interwencji, która – w świetle wyemitowanego materiału wideo oraz towarzyszących mu okoliczności – była możliwa do zidentyfikowania. Tym samym informacje te stanowiły dane osobowe w rozumieniu art. 4 pkt 1 rozporządzenia 2016/679 (dowód: zgłoszenie).
14.
Dane te obejmowały w szczególności: informacje o stanie psychofizycznym i zachowaniu osoby fizycznej w trakcie interwencji Policji, informacje o ocenach osób trzecich (funkcjonariuszy Policji) na temat osoby fizycznej, informacje o stanie zdrowia i leczeniu osoby fizycznej, w tym o stanie zdrowia psychicznego, leczeniu psychiatrycznym, zażywanych środkach medycznych, zdrowiu reprodukcyjnym, sposobie zakupu środków medycznych czy nawykach zdrowotnych wpływających na stan psychofizyczny oraz informacje o podejrzeniu naruszenia prawa, w tym o czynach mogących stanowić czyny zabronione (dowód: pismo Komendanta z 21 sierpnia 2023 r.).
15.
W ciągu ok. 1 godziny pracownicy KMP poprawili komunikat i ograniczyli zakres ujawnionych w nim danych osobowych, jednakże treść zmodyfikowanego komunikatu (dostępnego pod tym samym adresem internetowym) nadal obejmowała poufne dane osobowe (jednakże w węższym zakresie niż pierwotnie). Były to w szczególności: informacje o stanie zdrowia i leczeniu osoby fizycznej, w tym o stanie zdrowia psychicznego, leczeniu psychiatrycznym, zażywanych środkach medycznych, sposobie zakupu środków medycznych czy nawykach zdrowotnych wpływających na stan psychofizyczny. Komunikat w tym kształcie pozostawał dostępny przez co najmniej dobę – tj. od (…) do co najmniej (…) 2023 r. – i nadal (tj. na dzień wydania niniejszej decyzji) można go odnaleźć w archiwalnych zasobach archiwum cyfrowego A. (…)[11] (dowód: zgłoszenie; zaktualizowany komunikat Komendanta z (…) i (…) 2023 r.[12]).
16.
(…) 2023 r. Komendant otrzymał od pełnomocnika osoby, której dane dotyczą, informację o nieuprawnionym ujawnieniu jej danych w przestrzeni publicznej (dowód: e-mail Komendanta z 17 października 2023 r.). W konsekwencji tego zdarzenia 3 sierpnia 2023 r. Komendant stwierdził, że incydent stanowił naruszenie ochrony danych osobowych[13] (dowód: zgłoszenie).
17.
4 sierpnia 2023 r. Komendant zgłosił naruszenie ochrony danych osobowych Prezesowi UODO, określając je m.in. jako „niezamierzona publikacja”, „wewnętrzne działanie niezamierzone”, „naruszenie poufności danych” dotyczących „osoby, wobec której podejmowano interwencję policyjną”. Zdaniem Komendanta do incydentu doszło w wyniku pośpiechu i nieuwagi pracowników KMP. W jego ocenie zdarzenie mogło powodować wysokie ryzyko naruszenia praw lub wolności osoby fizycznej, takiego jak „naruszenie dóbr osobistych np. poprzez zniesławienie, stygmatyzację, dyskryminację lub próbę zdyskredytowania np. w mediach społecznościowych” (dowód: zgłoszenie; pismo Komendanta z 1 grudnia 2023 r.).
18.
Dane osobowe, o których mowa w pkt 14-15, zostały pozyskane bezpośrednio z Systemu Wspomagania Dowodzenia Policji (zwanego dalej „SWD Policji”), działającego na podstawie art. 20e ustawy z dnia 6 kwietnia 1990 r. o Policji (zwanej dalej „ustawą o Policji”) oraz Zarządzenia Nr 12 Komendanta Głównego Policji z dnia 19 maja 2020 r. w sprawie Systemu Wspomagania Dowodzenia Policji[14] (dowód: pismo Komendanta z 5 czerwca 2024 r.).

2.2. Środki zastosowane w celu zaradzenia incydentowi i zminimalizowania jego ewentualnych negatywnych skutków

19.
W ramach środków zastosowanych w celu zaradzenia incydentowi i zminimalizowania jego ewentualnych negatywnych skutków Komendant ostatecznie usunął komunikat ze strony internetowej KMP (ostatni udokumentowany dostęp pochodzi z (…) 2023 r.), eliminując bezpośrednie źródło incydentu. Należy podkreślić, że archiwalny zapis usuniętego komunikatu nadal pozostaje dostępny w sieci Internet (zob. pkt 15 uzasadnienia).
20.
Z uwagi na fakt, że incydent mógł powodować wysokie ryzyko naruszenia praw lub wolności osoby fizycznej, 4 sierpnia 2023 r. Komendant zawiadomił o nim osobę, której dane dotyczą (dowód: zgłoszenie). 1 grudnia 2023 r. Komendant przekazał osobie, której dane dotyczą, uzupełnioną treść zawiadomienia, w sposób prawidłowy realizując obowiązek wynikający z art. 34 ust. 1 rozporządzenia 2016/679 (dowód: pismo Komendanta z 1 grudnia 2023 r.).

2.3. Środki techniczne i organizacyjne mające zapewnić bezpieczeństwo przetwarzania danych osobowych w czasie wystąpienia incydentu

21.
Komendant poinformował, że w czasie wystąpienia incydentu stosował określone środki techniczne i organizacyjne mające zapewnić odpowiedni stopień bezpieczeństwa objętych nim danych osobowych. W szczególności wskazał na dokument „Polityka Ochrony Danych Osobowych w Komendzie Miejskiej Policji w Z.”. Komendant podkreślił, że zgodnie z tym dokumentem „(…) osoba przetwarzająca dane osobowe w związku z realizacją zadań służbowych i w zakresie udzielonego upoważnienia jest odpowiedzialna za bezpieczeństwo tych danych i zobowiązana jest do ich ochrony przed dostępem osób nieuprawnionych” (dowód: zgłoszenie).
22.
Komendant poinformował ponadto, że Zespół (…) KMP realizował zadania w obszarze objętym incydentem (publikacja komunikatów prasowych zawierających dane osobowe) w oparciu o następujące dokumenty i akty prawne: „Zarządzenie nr 1024 Komendanta Głównego Policji z dnia 12 listopada 2007 r. w sprawie form i metod działalności prasowo-informacyjnej w Policji”, regulamin KMP, ustawa o Policji, ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej[15], ustawa z dnia 26 stycznia 1984 r. – Prawo prasowe[16] (dowód: pismo Komendanta z 18 marca 2024 r.).
23.
Jednocześnie Komendant wskazał, że nie wdrożył żadnych dodatkowych środków technicznych i organizacyjnych, aby zapewnić odpowiedni stopień bezpieczeństwa danych osobowych przetwarzanych w ww. obszarze (dowód: pismo Komendanta z 18 marca 2024 r.).
24.
Z wyjaśnień Komendanta wynika też jednoznacznie, że nie poprzedził doboru i oceny ww. środków bezpieczeństwa stosowną analizą ryzyka naruszenia praw lub wolności osób fizycznych, jakie może wiązać się z przetwarzaniem danych osobowych. Komendant zaznaczył jedynie, że dokonał analizy ryzyka w związku z zaistniałym incydentem (dowód: pisma Komendanta z 18 i 28 marca 2024 r.).
25.
Komendant przyznał również, że nie testował, nie oceniał i nie mierzył regularnie skuteczności środków bezpieczeństwa mających zapewnić bezpieczeństwo danych osobowych. Komendant wskazał, iż „(…) uznano, że zastosowane przez Komendę Główną Policji środki organizacyjno-techniczne mające zapewnić bezpieczeństwo przetwarzanych danych osobowych są skuteczne i wystarczające”, uzasadniając to tym, iż „[d]o czasu zaistniałego naruszenia ochrony danych osobowych nie odnotowano żadnego incydentu związanego z bezpieczeństwie danych przetwarzanych w tym systemie” (dowód: pismo Komendanta z 5 czerwca 2024 r.).

2.4. Środki techniczne i organizacyjne zastosowane po wystąpieniu incydentu

26.
Niezależnie od powyższego, Komendant przedstawił Prezesowi UODO opis środków technicznych i organizacyjnych zastosowanych i proponowanych w celu zminimalizowania ryzyka ponownego wystąpienia podobnych naruszeń ochrony danych osobowych w przyszłości (po wystąpieniu incydentu). Komendant wskazał, że incydent „zostanie omówiony z policjantami na odprawach służbowych z jednoczesnym poleceniem zachowania większej rozwagi przy przetwarzaniu danych osobowych”. Podkreślił również, że zagadnienia związane z zapobieganiem naruszeniom ochrony danych osobowych będą uwzględnione „w procesie doskonalenia zawodowego w szczególności członków Zespołu (…) KMP w Z.”. Komendant poinformował także o wprowadzeniu procedury „konsultacji Zespołu (…) z Inspektorem Ochrony Danych w przypadku publikacji komunikatów dotyczących zdarzeń pozostających w szczególnym zainteresowaniu opinii publicznej” oraz zadeklarował, że „w Komendzie Wojewódzkiej Policji w Z. prowadzone są czynności zmierzające do wyjaśnienia przedmiotowego zdarzenia i ewentualnego wyciągnięcia konsekwencji wobec osoby, która dopuściła się naruszenia ochrony danych osobowych” (dowód: zgłoszenie; pismo Komendanta z 21 sierpnia 2023 r.; e-mail Komendanta z 17 października 2023 r.; pismo Komendanta z 18 marca 2024 r.).

3. Uzasadnienie prawne

W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes UODO zważył, co następuje.

3.1. Ramy prawne

27.
Zgodnie z art. 2 ust. 2 lit. d) rozporządzenia 2016/679 przepisów tego aktu nie stosuje się do przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom. Obszar ten został uregulowany przez dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW[17] (zwaną dalej „dyrektywą 2016/680), zaimplementowaną w Polsce do krajowego porządku prawnego ustawą z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości[18] (zwaną dalej „ustawą z dnia 14 grudnia 2018 r.”).
28.
Zgodnie z art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. akt ten ma zastosowanie do danych osobowych przetwarzanych przez właściwe organy w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego, a także wykonywania tymczasowego aresztowania, kar, kar porządkowych i środków przymusu skutkujących pozbawieniem wolności. Oznacza to, że stosowanie przepisów ustawy z dnia 14 grudnia 2018 r. – jako aktu o szczególnym zakresie przedmiotowym – ograniczone jest wyłącznie do określonych celów przetwarzania danych przez właściwe organy, w tym Policję.
29.
Zgodnie z motywem 11 preambuły do dyrektywy 2016/680, jeżeli taki organ przetwarza dane osobowe do celów innych niż cele tej dyrektywy, zastosowanie ma rozporządzenie 2016/679. Operacje przetwarzania danych osobowych, których dotyczy niniejsza decyzja, miały zaś miejsce w ramach działalności prasowo-informacyjnej Komendanta i nie były związane z zapobieganiem i zwalczaniem przestępczości ani żadnym innym celem określonym w ustawie z dnia 14 grudnia 2018 r. Potwierdzają to informacje przekazane przez samego Komendanta, który wskazywał m.in., że komunikat prasowy, o którym mowa w pkt 13, został przygotowany i opublikowany na stronie internetowej „z uwagi na napływające liczne pytania mediów” (zob. zgłoszenie).
30.
Należy zatem podkreślić, że przekonanie Komendanta, jakoby zaistniały incydent objął dane osobowe przetwarzane na gruncie ustawy z dnia 14 grudnia 2018 r., nie znajduje uzasadnienia w świetle okoliczności niniejszej sprawy (zob. pismo Komendanta z 5 czerwca 2024 r.). Choć dane te zostały pozyskane z zasobów SWD Policji, gdzie pierwotnie przetwarzane były w celach określonych w ww. ustawie, wykorzystanie ich przez Komendanta, jako administratora, w obszarze aktywności prasowo-informacyjnej stanowiło czynności przetwarzania realizujące inne cele (zob. § 24 regulaminu KMP, stanowiącego załącznik do pisma Komendanta z 18 marca 2024 r.).
31.
Wobec powyższego, ze względu na brak związku z celami enumeratywnie wskazanymi w art. 2 ust. 2 lit. d) rozporządzenia 2016/679 oraz art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r., operacje przetwarzania będące przedmiotem niniejszej decyzji nie korzystają z wyłączenia stosowania rozporządzenia 2016/679. Oznacza to, że do przetwarzania danych osobowych w ramach działalności prasowo-informacyjnej KMP zastosowanie mają ogólne przepisy o ochronie danych osobowych[19].

3.2. Odpowiedzialność administratora i rozliczalność

32.
W art. 5 ust. 1 rozporządzenia 2016/679 prawodawca sformułował elementarne zasady dotyczące przetwarzania danych osobowych. Zasady te odgrywają szczególną rolę w rozporządzeniu 2016/679, ponieważ przypisuje się im nadrzędną moc w stosunku do pozostałych przepisów tego aktu[20]. Zgodnie z art. 5 ust. 2 rozporządzenia 2016/679 administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („zasada rozliczalności”).
33.
Kwestia ogólnej odpowiedzialności administratora za przestrzeganie przepisów rozporządzenia 2016/679 została doprecyzowana w art. 24 ust. 1, wedle którego, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679 i aby móc to wykazać. Rezultatem wdrożenia tych środków powinno być zatem dostosowanie działań administratora do wymogów tego rozporządzenia, w tym także, co ma szczególne znaczenie w niniejszej sprawie – zapewnienie legalności przetwarzania (art. 5 ust. 1 lit. a) rozporządzenia 2016//679) i odpowiednie zabezpieczenie danych osobowych ze względu na ryzyko związane z przetwarzaniem (art. 5 ust. 1 lit. f) rozporządzenia 2016/679)[21].
34.
Należy podkreślić, że w art. 24 ust. 1 rozporządzenia 2016/679, zdanie drugie, unijny prawodawca uzupełnia omawianą normę, wskazując, że środki te powinny być „poddawane przeglądom i uaktualniane”. Administratorzy powinni więc stale dostosowywać wykorzystywane środki do zmieniających się okoliczności i celów przetwarzania. Świadczy to o dynamicznym i elastycznym charakterze procesu zapewniania zgodności z przepisami tego rozporządzenia.
35.
Mając na uwadze powyższe, Prezes UODO dokonał oceny działań Komendanta w świetle zasady rozliczalności oraz wynikającego z niej obowiązku zapewnienia i wykazania przez administratora zgodności przetwarzania z prawem. Badanie prawidłowości postępowania Komendanta polegało zatem na weryfikacji, czy był on w stanie wykazać zgodność przetwarzania z poszczególnymi wymogami rozporządzenia, w szczególności poprzez zastosowanie odpowiednich środków technicznych i organizacyjnych zapewniających realizację zasad określonych w art. 5 ust. 1 rozporządzenia 2016/679.

3.3. Zgodność przetwarzania z prawem

3.3.1. Analiza stanu prawnego

36.
Zgodnie z art. 5 ust. 1 lit. a) rozporządzenia 2016/679 dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zasada zgodności z prawem, rzetelności i przejrzystości”).
37.
W związku z powyższym, administratorzy zobowiązani są do spełnienia wymogów dotyczących legalności przetwarzania, określonych szczegółowo w art. 6 ust. 1 oraz art. 9 ust. 1 rozporządzenia 2016/679[22]. Przepisy te formułują podstawy dopuszczalności przetwarzania danych osobowych, a zatem wskazują, kiedy przetwarzanie danych osobowych jest dozwolone[23].
38.
Zgodnie z art. 6 ust. 1 rozporządzenia 2016/679 przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a)
osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b)
przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c)
przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d)
przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e)
przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f)
przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
39.
Akapit pierwszy lit. f) omawianego przepisu nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
40.
Jednocześnie, zgodnie z art. 9 ust. 1 rozporządzenia 2016/679, zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
41.
Ww. przepis został sformułowany odmiennie niż art. 6 ust. 1 rozporządzenia 2016/679, ponieważ dotyczy szczególnych kategorii danych, których przetwarzanie – ze względu na ich wrażliwy charakter – wiąże się z podwyższonym ryzykiem naruszenia praw lub wolności osób fizycznych, a tym samym wymaga odrębnych, bardziej restrykcyjnych podstaw legalizujących. Potwierdził to Trybunał Sprawiedliwości Unii Europejskiej, podkreślając w wyroku o sygn. C-184/20 – również dotyczącym zamieszczenia na stronie internetowej organu publicznego danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679 – że przetwarzanie takich danych może stanowić poważną ingerencję w gwarantowane przez art. 7 i 8 KPP[24] prawa podstawowe do poszanowania życia prywatnego i ochrony danych osobowych[25].
42.
Zgodnie z art. 9 ust. 2 rozporządzenia 2016/679 ust. 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:
a)
osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b)
przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;
c)
przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
d)
przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
e)
przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
f)
przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
g)
przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
h)
przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3;
i)
przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;
j)
przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.
43.
W świetle powyższego, przetwarzanie danych osobowych jest zgodne z prawem wyłącznie wtedy, gdy administrator może wykazać, że zachodzi co najmniej jedna z przesłanek wymienionych w art. 6 ust. 1 lit. a)-f)[26] lub – w przypadku przetwarzania szczególnych kategorii danych osobowych – art. 9 ust. 2 rozporządzenia 2016/679. Przepisy te domyślnie zabraniają więc przetwarzania danych osobowych wtedy, gdy nie zostaną spełnione żadne z wymienionych warunków.
44.
Należy podkreślić, że domyślny zakaz przetwarzania danych osobowych ma swoje źródło w art. 8 ust. 2 KPP, wedle którego dane muszą być przetwarzane za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą. Wymóg posiadania podstawy prawnej do przetwarzania danych osobowych należy zatem interpretować w świetle KPP, w tym zasady proporcjonalności określonej w art. 52 ust. 1 KPP.
45.
Jednocześnie, zgodnie z art. 5 ust. 1 lit. b) rozporządzenia 2016/679 („zasada ograniczenia celu”), dane osobowe mogą być przetwarzane wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach, a ich dalsze przetwarzanie musi być z tymi celami zgodne. Oznacza to, że zasadniczo każda odrębna czynność przetwarzania – również ujawnienie danych – musi być oceniana pod kątem jej własnej podstawy prawnej, niezależnie od podstawy ich pierwotnego pozyskania.
46.
Zasady ustalenia zgodności celu, w którym dane są przetwarzane, z celem, w którym zostały zebrane, zostały określone w art. 6 ust. 4 rozporządzenia 2016/679, przy czym mają one zastosowanie wyłącznie w przypadku: przetwarzania danych dla realizacji umowy lub przygotowania do jej zawarcia; przetwarzania danych dla ochrony żywotnych interesów; przetwarzania danych dla wykonywania zadań realizowanych w interesie publicznym lub w ramach sprawowania władzy publicznej oraz klauzuli prawnie uzasadnionych interesów, natomiast nie dotyczą przetwarzania danych na podstawie zgody ani w oparciu o podstawę określoną przepisami prawa[27].

3.3.2. Ocena postępowania administratora

47.
W związku z powyższym, Komendant zobowiązany był do realizacji zasady zgodności z prawem, rzetelności i przejrzystości oraz spełnienia wynikających z niej wymogów dotyczących legalności przetwarzania, określonych w art. 6 ust. 1 i art. 9 ust. 1. Ponadto Komendant powinien być w stanie wykazać przed Prezesem UODO, że zastosował się do ww. obowiązków – co należy rozpatrywać także w kontekście art. 24 ust. 1 rozporządzenia 2016/679 oraz zasady rozliczalności określonej w art 5 ust. 2 tego rozporządzenia.
48.
W przedmiotowej sprawie stwierdzono, że Komendant, jako administrator, opublikował na ogólnodostępnej stronie internetowej KMP komunikat zawierający informacje dotyczące osoby możliwej do zidentyfikowania, a zatem dane osobowe w rozumieniu art. 4 pkt 1 rozporządzenia 2016/679. Komunikat ten miał charakter publiczny – dane były dostępne bez ograniczeń dla każdego użytkownika Internetu.
49.
Zgodnie z art. 4 pkt 2 rozporządzenia 2016/679 „przetwarzanie” oznacza każdą operację wykonywaną na danych osobowych, w tym ich ujawnianie przez rozpowszechnianie lub udostępnianie w inny sposób. Upublicznienie danych osobowych w komunikacie internetowym niewątpliwie stanowiło zatem operację przetwarzania w rozumieniu tego przepisu.
50.
Wedle ustalonego stanu faktycznego, Komendant pozyskał ww. dane osobowe z zasobów SWD Policji – systemu teleinformatycznego, o którym mowa w art. 20e ustawy o Policji, i w którym, zgodnie z art. 20g ustawy o Policji, informacje, w tym dane osobowe, przetwarzane są w celu:
1)
ewidencjonowania i dokumentowania przyjmowanych zgłoszeń o zdarzeniach oraz podjętych interwencjach;
2)
zapewnienia właściwej reakcji Policji na zdarzenie;
3)
współdziałania Policji z centrami powiadamiania ratunkowego oraz innymi służbami ratowniczymi;
4)
zabezpieczania danych o źródłach dowodowych oraz prowadzenia analizy zagrożenia.
51.
Trzeba zauważyć, że Komendant uprawniony jest do przetwarzania danych osobowych w zakresie niezbędnym do realizacji zadań związanych z zapobieganiem i zwalczaniem przestępczości oraz innych celów określonych w ustawie z dnia 14 grudnia 2018 r. Obszar ten nie jest jednak przedmiotem niniejszej sprawy, bowiem dane osobowe, które zostały pierwotnie zgromadzone w ww. celach, posłużyły do przygotowania i opublikowania komunikatu prasowego, a więc do realizacji celu odmiennego. Należy zatem stwierdzić, że wykorzystanie ich w ww. sposób wykraczało poza granice prawne dopuszczalnego celu ich przetwarzania i tym samym odbyło się to bez którejkolwiek podstawy prawnej określonej w art. 6 ust. 1 rozporządzenia 2016/679.
52.
Ponadto wśród opublikowanych przez Komendanta danych osobowych znalazły się informacje dotyczące stanu zdrowia i seksualności osoby fizycznej, stanowiące szczególne kategorie danych podlegające wzmożonej ochronie. Jak już wskazano, zgodnie z art. 9 ust. 1 rozporządzenia 2016/679 ich przetwarzanie jest co do zasady zakazane, chyba że zachodzi jedna z przesłanek określonych w ust. 2 tego przepisu. Analiza stanu faktycznego i prawnego prowadzi do wniosku, że również i w tym przypadku, pomimo że czynności podjęte przez Komendanta wykroczyły poza pierwotnie wyznaczone cele (zob. pkt 50 uzasadnienia), brak było odpowiadającej im podstawy legalizującej przetwarzanie. Komendant nie wykazał zatem, aby którakolwiek z przesłanek określonych w art. 9 ust. 2 rozporządzenia 2016/679 znalazła zastosowanie w niniejszej sprawie.
53.
W tym miejscu warto zaznaczyć, że Komendant zgłosił Prezesowi UODO wystąpienie naruszenia ochrony danych osobowych, a także podjął działania mające na celu zaradzenie incydentowi. Okoliczności te świadczą o tym, że również po stronie Komendanta nie budziło wątpliwości, iż publikacja komunikatu skutkowała przetwarzaniem danych w sposób nieuprawniony. Informacje wskazane w zgłoszeniu potwierdzają zatem, że kwestia braku legalności omawianej operacji przetwarzania była oczywista również dla Komendanta, jako administratora tych danych.
54.
Podsumowując, incydentu nie można uznać za powstały w wyniku działań niezamierzonych. Dane osobowe zostały bowiem świadomie wykorzystane przez personel Komendanta w komunikacie opublikowanym na stronie internetowej KMP, a więc w innym celu niż ten, w którym pierwotnie je pozyskano.
55.
Mając powyższe na uwadze, należy uznać, że ujawnienie – poprzez publikację – danych osobowych, w tym szczególnych kategorii danych, stanowiło operację przetwarzania, dla której Komendant, jako administrator, nie posiadał wymaganej podstawy prawnej. Tym samym Komendant naruszył przepisy art. 6 ust. 1 oraz art. 9 ust. 1 rozporządzenia 2016/679, a w konsekwencji – zasadę zgodności z prawem, rzetelności i przejrzystości określoną w art. 5 ust. 1 lit. a) tego rozporządzenia. Ponieważ Komendant nie był w stanie wykazać w tym zakresie zgodności przetwarzania z prawem, naruszył on także zasadę rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679. W szczególności należy podkreślić, że ww. przetwarzanie:
a)
dokonywane było bez zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a) rozporządzenia 2016/679);
b)
nie było niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (art. 6 ust. 1 lit b) rozporządzenia 2016/679);
c)
nie było niezbędne do wypełnienia obowiązku prawnego ciążącego na Komendancie (art. 6 ust. 1 lit. c) rozporządzenia 2016/679);
d)
nie było niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (art. 6 ust. 1 lit. d) rozporządzenia 2016/679);
e)
nie było niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Komendantowi (art. 6 ust. 1 lit. e) rozporządzenia 2016/679); oraz
f)
nie było niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią (art.6 ust. 1 lit. f) rozporządzenia 2016/679).
56.
W tym miejscu podkreślenia wymaga, że samo odnoszenie się przez Komendanta do informacji już wcześniej publicznie dostępnych nie przesądza jeszcze o naruszeniu przepisów o ochronie danych osobowych. Istotą niniejszej sprawy było sięgnięcie przez Komendanta do wewnętrznych zasobów w celu ujawnienia danych osobowych, które dotychczas nie funkcjonowały w przestrzeni publicznej, oraz nie były niezbędne do realizacji swoich celów, w tym w szczególności wykonywania ustawowych zadań Policji. To właśnie wykorzystanie i upublicznienie nadmiarowych, wrażliwych informacji o możliwej do zidentyfikowania osobie fizycznej, a nie sam fakt komunikowania się z opinią publiczną, doprowadziło do stwierdzonych uchybień.
57.
Jednocześnie należy zaznaczyć, że Prezes UODO nie uznaje za naruszenie zasady zgodności z prawem, rzetelności i przejrzystości każdej sytuacji, w której dochodzi do naruszenia ochrony danych osobowych. W niniejszej sprawie specyfika zdarzenia – polegającego na celowym umieszczeniu ww. danych osobowych w publicznym komunikacie – przesądziła jednak o tym, że w ramach zaistniałego incydentu Komendant dopuścił się przetwarzania o charakterze bezprawnym.

3.4. Bezpieczeństwo danych osobowych

3.4.1. Analiza stanu prawnego

58.
Zgodnie z art. 5 ust. 1 lit. f) rozporządzenia 2016/679 dane osobowe muszą być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („zasada integralności i poufności”).
59.
W związku z powyższym, administratorzy zobowiązani są do spełnienia określonych wymogów dotyczących właściwego zabezpieczenia procesów przetwarzania oraz przetwarzanych danych osobowych w celu ochrony podmiotów danych przed zagrożeniami dla ich praw i wolności. Zasada integralności i poufności została uszczegółowiona w art. 32 ust. 1 i 2 rozporządzenia 2016/679, nakładającym na administratorów i podmioty przetwarzające obowiązek wdrożenia środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa danych osobowych odpowiadający ryzyku, jakie wiąże się z ich przetwarzaniem[28].
60.
Zgodnie z art. 32 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
a)
pseudonimizację i szyfrowanie danych osobowych;
b)
zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
c)
zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
d)
regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
61.
Zgodnie z ust. 2 omawianego przepisu, oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
62.
Jednocześnie, stosownie do art 25 ust. 1 i 2 rozporządzenia 2016/679, administratorzy zobowiązani są do przygotowania odpowiednich środków ochrony danych już na etapie projektowania czynności przetwarzania („privacy by design”) oraz do zapewnienia, aby domyślnie przetwarzane były wyłącznie dane niezbędne do realizacji określonego celu („privacy by default”).
63.
Zgodnie z art. 25 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.
64.
Zgodnie zaś z art. 25 ust. 2 rozporządzenia 2016/679 administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.
65.
Analiza treści art. 25 ust. 1 i 2 i art. 32 ust. 1 i 2 rozporządzenia 2016/679 prowadzi do wniosku, że przepisy te pozostają ze sobą w ścisłym związku i wzajemnie się uzupełniają. W powiązaniu z art. 24 ust. 1 rozporządzenia 2016/679, który nakłada na administratora ogólny obowiązek zapewnienia i wykazania zgodności z tym rozporządzeniem, wyraźnie widać, iż wymóg zastosowania adekwatnych środków ochrony danych – zarówno przed przetwarzaniem, jak i w sposób ciągły podczas przetwarzania, dokonując regularnych przeglądów ich skuteczności – stanowi element o szczególnym znaczeniu w całym systemie ochrony danych osobowych. Mając to na uwadze, niniejszą sprawę należy rozpatrywać także pod kątem oceny postępowania Komendanta, jako administratora, w zakresie wdrożenia środków technicznych i organizacyjnych odpowiadających poziomowi ryzyka oraz zapewniających skuteczną realizację zasad ochrony danych osobowych.
66.
Zgodnie z motywem 83 preambuły do rozporządzenia 2016/679 „[w] celu zachowania zgodności z niniejszym rozporządzeniem administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki – takie jak szyfrowanie – minimalizujące to ryzyko. Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie. Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych”.
67.
W związku z powyższym, proces wdrażania odpowiednich środków technicznych i organizacyjnych powinien odbywać się w dwóch etapach. W pierwszej kolejności konieczne jest przeanalizowanie przez administratora ryzyka dla praw lub wolności osób fizycznych wynikającego z przetwarzania ich danych osobowych, a następnie ustalenie, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić zgodność z przepisami rozporządzenia 2016/679, w tym stopień bezpieczeństwa odpowiadający temu ryzyku.
68.
Europejska Rada Ochrony Danych (zwana dalej „EROD”) podaje, że administratorzy „muszą zawsze przeprowadzić indywidualną ocenę ryzyka w zakresie ochrony danych w odniesieniu do danej czynności przetwarzania danych oraz sprawdzić skuteczność odpowiednich środków i proponowanych zabezpieczeń”[29]. Również w literaturze wskazuje się, że „[a]dministrator danych powinien przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia, aby móc zastosować odpowiednie środki pozwalające skutecznie zabezpieczyć przetwarzane dane”[30]. Podobnie wypowiadają się także od lat sądy administracyjne, podnosząc, że „[a]dministrator danych powinien (…) przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia”[31] oraz że „przeprowadzenie oceny ryzyka stanowi podstawę do wdrażania przez administratora adekwatnych środków zabezpieczających dane, zarówno o charakterze technicznym, jak i organizacyjnym. Nieprawidłowe oszacowanie ryzyka powoduje przyjęcie środków, które w niedostateczny sposób chronią dane osobowe w przypadku wystąpienia przewidywanych zdarzeń (…)”[32].

3.4.2. Ocena postępowania administratora

69.
Z przytoczonych regulacji wynika, że aby zrealizować obowiązki wynikające z art. 24, art. 25 i art. 32 rozporządzenia 2016/679, Komendant zobowiązany był do doboru środków gwarantujących realizację zasad ochrony danych osobowych, w tym odpowiedniego ich zabezpieczenia, z uwzględnieniem ryzyka wiążącego się z przetwarzaniem, a także zapewnienia ich trwałej skuteczności. Ponadto, Komendant powinien był w toku postępowania wykazać przed Prezesem UODO, czy – i w jaki sposób – wykonał obowiązki w tym zakresie.
70.
Jak wskazał NSA, „[z] brzmienia art. 24 i 32 [rozporządzenia 2016/679] wynika (…), że odpowiedni charakter środków wdrożonych przez administratora należy oceniać w sposób konkretny, biorąc pod uwagę różne kryteria, o których mowa w tych artykułach, oraz potrzeby ochrony danych specyficznie związane z danym przetwarzaniem, a także wynikające z niego ryzyko, tym bardziej że wspomniany administrator musi być w stanie wykazać zgodność tych środków z tym rozporządzeniem (…)”[33].
71.
Tymczasem ze zgromadzonego w sprawie materiału dowodowego wynika wprost, że Komendant przetwarzał dane osobowe w ramach działalności Zespołu (…) KMP, nie uwzględniając uprzednio ryzyka dla praw lub wolności osób, których dane te dotyczą, a w konsekwencji – dobierając w celu ich ochrony środki, których nie sposób uznać za „odpowiednie” w rozumieniu przepisów rozporządzenia 2016/679.
72.
Co więcej, Komendant nie podjął żadnych działań w kierunku weryfikacji, czy środki te rzeczywiście gwarantują zgodność z przepisami o ochronie danych osobowych, w tym odpowiedni poziom ich bezpieczeństwa, pomimo ograniczenia stosowanych zabezpieczeń do wdrożenia w organizacji jednego dokumentu o charakterze proceduralnym, tj. „Polityki Ochrony Danych Osobowych w Komendzie Miejskiej Policji w Z.”.
73.
W ocenie Prezesa UODO taki sposób postępowania Komendanta nie zapewniał należytej kontroli nad ww. procesami przetwarzania. Po pierwsze, środki opisane przez Komendanta nie zostały zaprojektowane zgodnie podejściem opartym na ryzyku, stanowiącym fundament rozporządzenia 2016/679. Po drugie, do momentu wystąpienia incydentu Komendant w żaden sposób nie dokonywał ich przeglądu ani aktualizacji. Po trzecie, środki te finalnie okazały się nieskuteczne, co w niniejszej sprawie ujawniły faktyczne okoliczności zaistniałego naruszenia ochrony danych osobowych. Komendant nie tylko nie zapewniał bowiem przetwarzanym danym osobowym właściwego poziomu ochrony przed potencjalnymi zdarzeniami losowymi (co samo w sobie przesądza o naruszeniu przepisów rozporządzenia 2016/679), ale także dopuścił – poprzez zaniedbanie – do bezprawnego przetwarzania poufnych danych osobowych wewnątrz swojej organizacji (o czym mowa szerzej w cz. III.C), umożliwiając jednocześnie zapoznanie się z nimi przez nieograniczone grono nieuprawnionych odbiorców z zewnątrz.
74.
Mając na uwadze powyższe, Komendant nie był równocześnie zdolny wykazać, że przetwarzanie odbywało się w tym zakresie zgodnie z rozporządzeniem 2016/679.
75.
W tym miejscu należy podkreślić, że prawodawca unijny nie określa, jakie konkretnie środki techniczne i organizacyjne powinny zostać wdrożone przez Komendanta w okolicznościach niniejszej sprawy. Podejście oparte na ryzyku powoduje bowiem, że to administrator odpowiada za dokonanie należytej konkretyzacji obowiązków prawnych, które w przypadku art. 24, art. 25 i art. 32 zostały oparte o kryterium ryzyka. W tym kontekście szczególne znaczenie ma zasada rozliczalności, zgodnie z którą administrator jest zobowiązany nie tylko do zapewnienia zgodności z przepisami rozporządzenia 2016/679, lecz także do wykazania prawidłowości swoich działań przed organem nadzorczym. Zadaniem Prezesa UODO nie była zatem szczegółowa ocena adekwatności stosowanych przez Komendanta środków, lecz przede wszystkim weryfikacja, czy Komendant w sposób właściwy przeprowadził proces oceny ryzyka i na tej podstawie dokonał doboru odpowiednich środków technicznych i organizacyjnych. W niniejszej sprawie Komendant tego obowiązku nie zrealizował – nie przeprowadził oceny ryzyka, która stanowi warunek konieczny spełnienia wymagań wynikających z ww. przepisów. Już samo stwierdzenie zaniechania na tym etapie wystarcza zatem do przyjęcia, że Komendant naruszył ciążące na nim obowiązki w zakresie realizacji zasad ochrony danych, w tym zapewnienia ich bezpieczeństwa.
76.
Zaznaczenia również wymaga, że u źródła stwierdzonych naruszeń leżało nieuprawnione wykorzystanie w komunikacie prasowym danych osobowych w zakresie znacznie szerszym, niż było to niezbędne do realizacji celu przetwarzania. Publikacja ta służyła w istocie wyłącznie interesowi administratora, jednocześnie prowadząc do możliwości wystąpienia ryzyka naruszenia praw lub wolności osoby fizycznej. Niniejsza sprawa ujawniła zatem, że Komendant nie zapewnił właściwej realizacji zasady minimalizacji danych i nie wdrożył odpowiednich środków technicznych i organizacyjnych gwarantujących, aby domyślnie przetwarzane były jedynie dane konieczne do osiągnięcia zamierzonego celu, o których mowa w art. 25 ust. 2 rozporządzenia 2016/679.
77.
Mając powyższe na uwadze, należy uznać, że Komendant nie wykazał, aby przetwarzając dane osobowe w obszarze objętym incydentem, tj. w ramach działalności Zespołu (…) KMP, zapewnił odpowiednie środki techniczne i organizacyjne, zaprojektowane w celu skutecznej realizacji zasad ochrony danych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, w tym zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Działanie to naruszyło art. 24 ust. 1, art. 25 ust. 1 i 2 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, a w konsekwencji – zasadę integralności i poufności, określoną w art. 5 ust. 1 lit. f) tego rozporządzenia. Następstwem zaś naruszenia ww. zasady jest naruszenie zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679.
78.
Jednocześnie należy podkreślić, że choć Komendant po stwierdzeniu incydentu podjął określone działania mające na celu zwiększenie bezpieczeństwa przetwarzania, fakt ten nie przesądza jeszcze o prawidłowej realizacji ww. obowiązków (zob. pkt 26 uzasadnienia). Przytoczone przepisy wymagają bowiem, aby dobór środków ochrony danych następował w oparciu o kryteria adekwatności, takie jak charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych. Brak odniesienia się przez Komendanta do tych przesłanek uniemożliwia dokonanie obiektywnej oceny, czy w istocie doszło do właściwej konkretyzacji zaniechanych obowiązków prawnych. Innymi słowy, choć Komendant podjął pewne działania w kierunku poprawy warunków przetwarzania danych osobowych, to nie można uznać, aby w ten sposób zrealizował on w pełni wymagania stawiane przez przepisy rozporządzenia 2016/679, które nakazują działanie zgodne z prawidłowo zdefiniowanymi kryteriami. Wobec powyższego, wedle stanu na dzień wydania niniejszej decyzji, uchybienia w postaci naruszenia art. 25 ust. 1 i 2 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 nie zostały przez Komendanta usunięte, wobec czego nakaz sformułowany w pkt II sentencji należy uznać za w pełni uzasadniony.

3.5. Podsumowanie

79.
Podsumowując, zdaniem Prezesa UODO przedstawione powyżej ustalenia stwarzają wystarczające podstawy do stwierdzenia, że Komendant dopuścił się niezgodnego z prawem przetwarzania danych osobowych, w tym szczególnych kategorii danych osobowych, poprzez opublikowanie ich na stronie internetowej bez podstawy prawnej, a także przetwarzania danych osobowych wbrew wymogowi wdrożenia odpowiednich środków technicznych i organizacyjnych, zaprojektowanych w celu skutecznej realizacji zasad ochrony danych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, w tym zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze.
80.
W konsekwencji, w ocenie Prezesa UODO przetwarzanie przez Komendanta danych osobowych odbywało się niezgodnie z przepisami rozporządzenia 2016/679, tj. z naruszeniem przepisów art. 5 ust. 1 lit. a) i f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 i 2 oraz art. 32 ust. 1 i 2 tego rozporządzenia.

4. Administracyjne kary pieniężne

81.
Postępowanie administracyjne prowadzone przez Prezesa UODO służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej w celu zastosowania uprawnień naprawczych określonych w art. 58 ust. 2 rozporządzenia 2016/679.
82.
Mając na uwadze powyższe, jak również stwierdzone w niniejszym postępowaniu naruszenia przepisów o ochronie danych osobowych, Prezes UODO – korzystając z uprawnienia określonego w art. 58 ust. 2 lit. i) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)-h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej określonej w art. 83 rozporządzenia 2016/679 – stwierdził, że w rozpatrywanej sprawie zmaterializowały się przesłanki uzasadniające nałożenie na Komendanta Miejskiego Policji w Z. administracyjnej kary pieniężnej na podstawie art. 83 ust. 4 lit. a) oraz art. 83 ust. 5 lit. a) rozporządzenia 2016/679.
83.
Stosownie do art. 83 ust. 4 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25-39 oraz 42 i 43, podlegają administracyjnej karze pieniężnej w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
84.
Z kolei, zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, podlegają administracyjnej karze pieniężnej w wysokości do 20 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
85.
Natomiast zgodnie z art. 102 ust. 1 pkt 1 u.o.d.o., Prezes UODO może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 000 złotych, na jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1-12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2024 r. poz. 1530 ze zm.). Limit ten niewątpliwie znajdzie zastosowanie w niniejszej sprawie, wobec Komendanta Miejskiego Policji w Z., jako organu administracji rządowej. Administracyjne kary pieniężne, o których mowa w ust. 1 i 2, Prezes UODO nakłada na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679 (art. 102 ust. 3 u.o.d.o.).
86.
Jednocześnie należy wskazać, że zgodnie z art. 83 ust. 1 rozporządzenia 2016/679 każdy organ nadzorczy zapewnia, by stosowane na mocy niniejszego artykułu za naruszenia niniejszego rozporządzenia administracyjne kary pieniężne, o których mowa w ust. 4, 5 i 6, były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające.
87.
Stosownie zaś do art. 83 ust. 2 rozporządzenia 2016/679 administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)–h) oraz j). Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na:
a.
charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;
b.
umyślny lub nieumyślny charakter naruszenia;
c.
działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
d.
stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32;
e.
wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
f.
stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
g.
kategorie danych osobowych, których dotyczyło naruszenie;
h.
sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
i.
jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków;
j.
stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42; oraz
k.
wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

Zachowania podlegające administracyjnej karze pieniężnej i zastosowanie art. 83 ust. 3 rozporządzenia 2016/679.

88.
Stosownie do brzmienia art. 83 ust. 3 rozporządzenia 2016/679, jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.
89.
W związku ze stwierdzeniem w niniejszej sprawie naruszenia wielu przepisów rozporządzenia 2016/679 (art. 5 ust. 1 lit. a) i ust. 2, art. 6 ust. 1 i art. 9 ust. 1, a także art. 5 ust. 1 lit. f) i ust. 2, art. 25 ust. 1 i 2 i art. 32 ust. 1 i 2), Prezes UODO uprawniony jest do zastosowania jednego lub kilku środków naprawczych określonych w art. 58 ust. 2 rozporządzenia 2016/679, w tym administracyjnej kary pieniężnej.
90.
Ustalając konkretne sankcje za stwierdzone w niniejszej sprawie naruszenia Prezes UODO ocenił, czy do oceny sprawy zastosowanie będzie miał art. 83 ust. 3 rozporządzenia 2016/679 (zob. pkt 17 Wytycznych 04/2022[34]). Zgodnie z Wytycznymi 04/2022, w pierwszej kolejności Prezes UODO podjął próbę udzielenia odpowiedzi na następujące pytania (zob. pkt 24 Wytycznych 04/2022):
a.
czy okoliczności wskazują na jedno zachowanie, czy też na wiele zachowań podlegających karze;
b.
w przypadku jednego zachowania, czy zachowanie to stanowi jedno naruszenie czy większą liczbę naruszeń;
c.
w przypadku jednego zachowania, które stanowi wiele naruszeń, czy przypisanie jednego naruszenia wyklucza przypisanie innego naruszenia, czy też należy je przypisać równolegle.
91.
Wykładnia pojęcia „jednego zachowania” została omówiona – w nawiązaniu do art. 83. ust. 3 rozporządzenia 2016/679, w którym mowa jest o „tych samych lub powiązanych operacjach przetwarzania” – w pkt 28 Wytycznych 04/2022. Zgodnie z nim „[t]ermin «powiązane» odnosi się do zasady, zgodnie z którą jedno zachowanie może składać się z kilku części, które są realizowane na skutek jednego aktu woli i są kontekstowo (w szczególności jeśli chodzi o tożsamość osoby, której dane dotyczą, cel i charakter przetwarzania), przestrzennie i czasowo tak blisko powiązane, że z obiektywnego punktu widzenia można uznać je za jedno spójne zachowanie”.
92.
Stosując wyżej przedstawione wskazówki zawarte w Wytycznych 04/2022 do okoliczności niniejszej sprawy Prezes UODO dokonał analizy zachowań Komendanta (jego działań i zaniechań) prowadzących do przedstawionych powyżej (zob. pkt 36-80 uzasadnienia) naruszeń przepisów rozporządzenia 2016/679. Analiza ta pozwoliła zidentyfikować dwa odrębne, niezależne od siebie, zachowania Komendanta, przy czym każde z tych zachowań prowadzi szeregu różnych naruszeń przepisów rozporządzenia 2016/679.
93.
O odrębności wskazanych wyżej zachowań, będących przedmiotem niniejszego postepowania świadczą następujące okoliczności. Ujawnienie danych osobowych osoby fizycznej bez podstawy prawnej stanowiło akt woli administratora, a zatem było umyślne. Nadto, było zdarzeniem jednorazowym o charakterze krótkotrwałym i dotyczyło tylko tej jednej osoby. Z kolei niewdrożenie przez Komendanta odpowiednich środków technicznych i organizacyjnych, zaprojektowanych w celu skutecznej realizacji zasad ochrony danych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń stanowi zaniechanie o długotrwałym charakterze, które do dnia dzisiejszego nie zostało usunięte. Nadto, dotyczy wszystkich osób, których dane mogą być przetwarzane w ramach działalności prasowo-informacyjnej KMP.
94.
Jednym zachowaniem Komendanta było zatem opublikowanie w treści komunikatu prasowego, na stronie internetowej Komendy Miejskiej Policji w Z., danych osobowych (w tym danych szczególnej kategorii) osoby fizycznej bez podstawy prawnej. Działanie to naruszyło art. 6 ust. 1 oraz art. 9 ust. 1 rozporządzenia 2016/679 i skutkowało naruszeniem zasad określonych art. 5 ust. 1 lit. a) i ust. 2 tego rozporządzenia.
95.
Żadne ze stwierdzonych naruszeń nie wyklucza – w ocenie Prezesa UODO – przypisania Komendantowi innego z nich. W szczególności stwierdzenie naruszenia przepisów określających podstawowe, ogólne zasady przetwarzania (w niniejszej sprawie art. 5 ust. 1 lit. a) i art. 5 ust. 2 rozporządzenia 2016/679) nie wyklucza przypisania administratorowi (i nałożenia za to sankcji finansowej) naruszenia przepisów szczegółowych, stanowiących konkretyzację tych zasad (art. 6 ust. 1 oraz art. 9 ust. 1 rozporządzenia 2016/679).
96.
Wszystkie zarzucane Komendantowi naruszenia (art. 5 ust. 1 lit. a) i ust. 2, art. 6 ust. 1 oraz art. 9 ust. 1 rozporządzenia 2016/679) w związku z opisanym wyżej zachowaniem stypizowane są w art. 83 ust. 5 lit. a) rozporządzenia 2016/679, przewidującym taki sam maksymalny próg zagrożenia administracyjną karą pieniężną, wobec czego powyższym naruszeniom należy przypisać taką samą powagę. Administracyjna kara pieniężna wymierzona łącznie za naruszenie wszystkich powyższych przepisów – stosownie do brzmienia art. 83 ust. 3 rozporządzenia 2016/679 – nie może przekraczać wysokości kary za najpoważniejsze z nich. W konsekwencji, nałożona na Komendanta kara nie może wykraczać poza limit kar określony dla jednego z tych naruszeń, tj. kwoty 100 000 zł, ustalonej w art. 102 ust. 1 pkt 1 u.o.d.o.
97.
Drugim zachowaniem Komendanta było natomiast zaniechanie wdrożenia odpowiednich środków technicznych i organizacyjnych, zaprojektowanych w celu skutecznej realizacji zasad ochrony danych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, w tym zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Niniejsze zaniechanie naruszyło art. 24 ust. 1, art. 25 ust. 1 i 2 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 i skutkowało naruszeniem zasad określonych w art. 5 ust. 1 lit. f) i ust. 2 tego rozporządzenia.
98.
Żadne ze stwierdzonych naruszeń nie wyklucza – w ocenie Prezesa UODO – przypisania Komendantowi innego z nich. W szczególności stwierdzenie naruszenia przepisów określających podstawowe, ogólne zasady przetwarzania (w niniejszej sprawie art. 5 ust. 1 lit. f) i ust. 2 rozporządzenia 2016/679) nie wyklucza przypisania administratorowi (i nałożenia za to sankcji finansowej) naruszenia przepisów szczegółowych, stanowiących konkretyzację tych zasad (art. 24 ust. 1, art. 25 ust. 1 i 2 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, przy czym administracyjna kara pieniężna nie jest nakładana za naruszenie przepisu art. 24 ust. 1, w związku z tym, że nie jest on wymieniony w art. 83 ust. 4-6 rozporządzenia 2016/679).
99.
Zarzucane Komendantowi naruszenia przepisów art. 25 ust. 1 i 2 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 stypizowane są w art. 83 ust. 4 lit. a) rozporządzenia 2016/679, zaś naruszenie przepisu art. 5 ust. 1 lit. f) i ust. 2 rozporządzenia 2016/679 stypizowane jest w art. 83 ust. 5 lit a). Administracyjna kara pieniężna wymierzona łącznie za naruszenie wszystkich powyższych przepisów – stosownie do brzmienia art. 83 ust. 3 rozporządzenia 2016/679 – nie może przekraczać wysokości kary za najpoważniejsze z nich. W konsekwencji, nałożona na Komendanta kara nie może wykraczać poza limit kar określony dla jednego z tych naruszeń, tj. kwoty 100 000 zł, ustalonej w art. 102 ust. 1 pkt 1 u.o.d.o

Uzasadnienie nałożenia i ustalenia wysokości administracyjnej kary pieniężnej za naruszenie przepisów art. 5 ust. 1 lit. a) i ust. 2, art. 6 ust. 1 oraz art. 9 ust. 1 rozporządzenia 2016/679.

Przesłanki wymiaru kary – zastosowanie art. 83 ust. 2 rozporządzenia 2016/679.

100.
Decydując o nałożeniu na Komendanta administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności (zob. pkt 87 uzasadnienia decyzji), stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.
101.
Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a) rozporządzenia 2016/679).
Przypisywane Komendantowi naruszenie polegało na nieuprawnionym ujawnieniu danych osobowych osoby fizycznej uczestniczącej w interwencji Policji, w tym danych dotyczących jej stanu zdrowia i seksualności (zob. pkt 102 uzasadnienia), poprzez umieszczenie ich w treści komunikatu prasowego opublikowanego na stronie internetowej KMP.
W ocenie Prezesa UODO naruszenie to ma znaczną wagę i poważny charakter z uwagi na to, że Komendant – jako organ właściwy w sprawach ochrony bezpieczeństwa ludzi oraz utrzymania bezpieczeństwa i porządku publicznego i osoba stojąca na czele formacji przeznaczonej do realizacji tych zadań – powinien w sposób szczególny dbać o dobro takich osób i bezpieczeństwo ich danych osobowych.
Przetwarzanie powyższych danych osobowych odbywało się bez podstawy prawnej w rozumieniu art. 6 ust. 1 oraz art. 9 ust. 1 rozporządzenia 2016/679, a tym samym naruszało zasadę zgodności z prawem, rzetelności i przejrzystości określoną w art. 5 ust. 1 lit. a) rozporządzenia 2016/679. Oceniając wagę przedmiotowego naruszenia warto mieć na względzie, że legalność jest podstawowym warunkiem dopuszczalności przetwarzania danych osobowych, zaś polski ustawodawca zakwalifikował je – w art. 107 u.o.d.o. – jako przestępstwo. Niniejsze pozwala ocenić przedmiotowe naruszenie jako bardzo poważne. Jednocześnie, nie wykazując podstawy prawnej przetwarzania niniejszych danych osobowych, Komendant naruszył zasadę rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679.
Przypisane Komendantowi naruszenia mają zatem wysoką wagę i poważny charakter wyrażający się w tym, że godzą one w podstawowe zasady przetwarzania danych osobowych, które w ramach całego systemu ochrony danych mają charakter fundamentalny, wyznaczający jego ramy. Tego rodzaju naruszenia – obejmujące podstawowe zasady przetwarzania danych osobowych, tj. zgodność z prawem, rzetelność, przejrzystość oraz rozliczalność – podlegają szczególnie surowej ocenie, co znajduje odzwierciedlenie w art. 83 ust. 5 lit. a) rozporządzenia 2016/679 zastrzegającym możliwość zastosowania najwyższego wymiaru administracyjnych kar pieniężnych w przypadku ich wystąpienia.
Mimo, że przedmiotowe naruszenie dotyczyło tylko jednej osoby, nie zmienia to całościowej oceny, tj. uznania analizowanej przesłanki z art. 83 ust. 2 lit. a) rozporządzenia 2016/679 za obciążającą.
W okolicznościach niniejszej sprawy doszło bowiem do ujawnienia danych osobowych osoby uczestniczącej w interwencji Policji, która – z uwagi na udział w reportażu telewizyjnym dotyczącym tej interwencji – stała się możliwa do zidentyfikowania.
Dane tej osoby zamieszczono w komunikacie prasowym, opublikowanym na stronie internetowej KMP, w którym przytoczono dodatkowe informacje na temat przebiegu zdarzenia, w tym nieujawnione wcześniej informacje dotyczące uczestniczki interwencji.
W wyniku przedmiotowego naruszenia osoba, której dane dotyczyły, poniosła szkodę niemajątkową (krzywdę). Ujawnienie tak wrażliwych danych osobowych, jakie miało miejsce w ramach incydentu, w sposób obiektywny naruszyło prawo do prywatności tej osoby oraz wzbudziło w niej obawę o wykorzystanie tych informacji przez osoby trzecie.
Jak wskazał Sąd Okręgowy w Warszawie w wyroku z 6 sierpnia 2020 r., sygn. akt XXV C 2596/19, obawa, a więc utrata bezpieczeństwa stanowi realną szkodę niemajątkową wiążącą się z obowiązkiem jej naprawienia. Z kolei Trybunał Sprawiedliwości UE w orzeczeniu z 14 grudnia 2023 r. w/s Natsionalna agentsia za prihodite (C-340/21) podkreślił, że „art. 82 ust. 1 RODO należy interpretować w ten sposób, że obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić "szkodę niemajątkową" w rozumieniu tego przepisu”.
Jednocześnie należy mieć względzie, że ujawnienie danych pociąga za sobą również realną możliwość wykorzystania tych danych przez podmioty trzecie bez wiedzy i zgody osoby, której dane dotyczą, a zatem wiąże się z ryzykiem wystąpienia dalszej szkody, w szczególności w postaci dyskryminacji, utraty dobrego imienia oraz utraty kontroli nad własnymi danymi. Mimo, że takie konsekwencje zaistniałego naruszenia nie muszą się zmaterializować, niniejsze może rodzić w osobie, której dane dotyczą obawę o własne bezpieczeństwo i w sposób obciążający wpływa na wysokość administracyjnej kary pieniężnej wymierzonej wobec administratora.
Końcowo należy wskazać, że naruszenie było krótkotrwałe, bowiem komunikat pozostawał dostępny na stronie internetowej KMP przez co najmniej dobę – tj. od (…) do co najmniej (…) 2023 r., po czym został usunięty z tej strony. Jednakże wobec tego, że archiwalny zapis usuniętego komunikatu nadal pozostaje dostępny w sieci Internet, tj. w archiwalnych zasobach archiwum cyfrowego A. (…), jego skutki nadal występują.
102.
Umyślny charakter naruszenia przepisów rozporządzenia 2016/679 (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
Zgodnie z Wytycznymi 04/2022 „umyślność” obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego, podczas gdy „nieumyślność” oznacza brak zamiaru spowodowania naruszenia, pomimo niedopełnienia przez administratora/podmiot przetwarzający obowiązku staranności wymaganego prawem. Wytyczne te stwierdzają też, że okolicznością wskazującą na umyślne naruszenia może być niezgodne z prawem przetwarzanie wyraźnie zatwierdzone przez ścisłe kierownictwo administratora. Prezes UODO stwierdził w niniejszej sprawie naruszenie przepisów RODO, które odnosi się do podstaw prawnych przetwarzania danych osobowych. Wskutek wnikliwej analizy okoliczności niniejszej sprawy, Prezes UODO stwierdził, że miało miejsce umyślne naruszenie tych przepisów. Przede wszystkim w ocenie Prezesa UODO ujawnienie danych osobowych było świadomym zabiegiem, miało bowiem na celu przedstawienie przez KMP szerszego kontekstu zdarzenia, będącego tematem reportażu telewizyjnego i przedstawienie stanowiska Policji w tej sprawie. Administrator nie tylko nie zadbał o środki techniczne i organizacyjne, które nie dopuściłyby do tak rażącego naruszenia praw lub wolności uczestniczki interwencji, ale również pozyskał dane osobowe bezpośrednio z Systemu Wspomagania Dowodzenia Policji i wykorzystał je w komunikacie opublikowanym na stronie internetowej KMP, a więc w innym celu niż ten, w którym pierwotnie je pozyskano. Nie bez znaczenia jest także ujawnienie szczególnych kategorii danych uczestniczki interwencji, które także powinny być pod ochroną, zgodnie dyspozycją art. 9 ust. 1 rozporządzenia 2016/679. Należy mieć również na względzie, że osoba pełniąca tak istotne stanowisko związane ze stosowaniem prawa, jak Komendant, powinna mieć świadomość swoich działań i ich zgodności z przepisami prawa. Powyższe wyklucza wystąpienie w niniejszej sprawie nieumyślności naruszenia.
103.
Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679)
Dane osobowe uczestniczki interwencji Policji, ujawnione w komunikacie opublikowanym na stronie KMP, obejmowały w szczególności: informacje o stanie psychofizycznym i zachowaniu osoby fizycznej w trakcie interwencji Policji, informacje o ocenach osób trzecich (funkcjonariuszy Policji) na temat osoby fizycznej, informacje o stanie zdrowia i leczeniu osoby fizycznej, w tym o stanie zdrowia psychicznego, leczeniu psychiatrycznym, zażywanych środkach medycznych, zdrowiu reprodukcyjnym, sposobie zakupu środków medycznych czy nawykach zdrowotnych wpływających na stan psychofizyczny oraz informacje o podejrzeniu naruszenia prawa, w tym o czynach mogących stanowić czyny zabronione. Były to zatem w znacznym stopniu dane osobowe dotyczące zdrowia i seksualności, podlegające szczególnej ochronie na gruncie art. 9 ust. 1 rozporządzenia 2016/679. Przetwarzanie tych kategorii danych osobowych nakłada na administratorów obowiązek szczególnego traktowania tych informacji, także z uwagi na możliwe negatywne konsekwencje dla osób, których dane dotyczą, w przypadku ich ujawnienia osobom nieuprawnionym, włącznie z ich dyskryminacją czy też utratą dobrego imienia.
W tym kontekście należy przywołać Wytyczne 04/2022, w których to wskazano: „Jeśli chodzi o wymóg uwzględnienia kategorii danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g RODO), w RODO wyraźnie wskazano rodzaje danych, które podlegają szczególnej ochronie, a tym samym bardziej rygorystycznej reakcji przy nakładaniu kar pieniężnych. Dotyczy to co najmniej rodzajów danych objętych art. 9 i 10 RODO oraz danych nieobjętych zakresem tych artykułów, których rozpowszechnianie natychmiast powoduje szkody lub dyskomfort osoby, której dane dotyczą (…)” (s. 21 pkt 57).
Tym samym organ nadzorczy uznał w niniejszej sprawie, że szczególny rodzaj danych osobowych ujawnionych w sposób nieuprawniony może powodować wysokie ryzyko naruszenia praw lub wolności osoby fizycznej, której te dane dotyczą i ocenił niniejszą przesłankę obciążająco – w stopniu istotnie wpływającym na wysokość orzeczonej administracyjnej kary pieniężnej.
104.
Inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Rozpatrując niniejszą sprawę Prezes UODO uwzględnił jako okoliczność łagodzącą, mającą wpływ na obniżenie wysokości wymierzonej kary, usunięcie przez Komendanta komunikatu prasowego ze strony internetowej KMP, a tym samym usunięcie naruszenia w krótkim czasie po jego wystąpieniu.
105.
Ustalając wysokość administracyjnej kary pieniężnej, poza przesłanką wymienioną w art. 83 ust. 2 lit. k) rozporządzenia 2016/679, Prezes UODO nie znalazł podstaw do uwzględnienia okoliczności łagodzących, mających wpływ na ostateczny wymiar kary. Wszystkie przesłanki wymienione w art. 83 ust. 2 lit. a)-j) rozporządzenia 2016/679 w ocenie organu nadzorczego stanowią albo przesłanki obciążające albo jedynie neutralne.
106.
Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 rozporządzenia 2016/679 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
Naruszenie oceniane w niniejszym postępowaniu (naruszenie przepisów art. 6 ust. 1, art. 9 ust. 1 oraz art. 5 ust. 1 lit. a) i ust. 2 rozporządzenia 2016/679 poprzez opublikowanie w treści komunikatu prasowego, na stronie internetowej KMP w Z., danych osobowych – w tym danych szczególnej kategorii – bez podstawy prawnej) nie ma związku ze stosowanymi przez Komendanta środkami technicznymi i organizacyjnymi. W związku z tym należy przyjąć, iż przesłanka wskazana w art. 83 ust. 2 lit. d) rozporządzenia 2016/679 nie ma wpływu ani obciążającego, ani łagodzącego na wymiar orzeczonej administracyjnej kary pieniężnej.
107.
Wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e rozporządzenia 2016/679).
Prezes UODO nie stwierdził po stronie Komendanta jakichkolwiek wcześniejszych naruszeń przepisów o ochronie danych osobowych, wobec czego brak jest podstaw do traktowania tej okoliczności jako obciążającej. Jednocześnie wskazać należy, że obowiązkiem każdego administratora jest przestrzeganie przepisów prawa, z uwagi na co brak wcześniejszych naruszeń nie może być traktowany jako okoliczność łagodząca przy wymierzaniu sankcji. Taka ocena spójna jest ze stanowiskiem wyrażonym przez EROD, zgodnie z którym „brak wcześniejszych naruszeń nie może (…) zostać uznany za okoliczność łagodzącą, ponieważ przestrzeganie przepisów RODO stanowi normę. Brak wcześniejszych naruszeń można uznać za okoliczność o charakterze neutralnym”[35]. Z tych przyczyn niniejszą przesłankę oceniono w przedmiotowej sprawie jako neutralną.
108.
Działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).
W okolicznościach niniejszej sprawy nie stwierdzono aby administrator podjął działania minimalizujące skutki dla osoby fizycznej, jak np. publiczne przyznanie się do błędu, czy zaproponowanie zadośćuczynienia, co mogłoby złagodzić potencjalną krzywdę osoby dotkniętej naruszeniem ochrony danych osobowych. Od podmiotu stojącego na straży porządku publicznego, jakim jest Komendant, uzasadnione jest oczekiwanie podjęcia stosownych działań w tym zakresie. Do takich działań nie można zakwalifikować zaproponowania i zastosowania przez Komendanta środków technicznych i organizacyjnych w celu zminimalizowania ryzyka ponownego wystąpienia podobnych naruszeń ochrony danych osobowych w przyszłości, gdyż działania te mają charakter prewencyjny i nie wpływają w żaden sposób na sytuację osoby już dotkniętej naruszeniem. Za niewystarczające działanie w celu zminimalizowania szkody Prezes UODO uznał także zawiadomienie osoby, której dane dotyczą o naruszeniu, gdyż zawiadomienie to stanowił wypełnienie prawnego obowiązku wynikającego z art. 34 ust. 2 rozporządzenia 2016/679. Jednocześnie, zawiadomienie to zostało przesłane osobie, której dane dotyczą dopiero po otrzymaniu przez Komendanta pisma od pełnomocnika tej osoby.
109.
Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679).
Analizując powyższą przesłankę należy wskazać, że administrator współpracował z Prezesem UODO zarówno w toku czynności wyjaśniających, jak również w toku postępowania administracyjnego, udzielając wyjaśnień. Współpraca ta miała jednak na celu doprowadzenie do rozstrzygnięcia sprawy, a nie usunięcie naruszenia oraz złagodzenie jego ewentualnych negatywnych skutków i mieściła się w granicach obowiązku określonego w art. 31 rozporządzenia 2016/679. Mając zatem na względzie powyższe oraz Wytyczne EROD 04/2022 należało uznać, że wypełnienie zwykłego obowiązku współpracy – jako obligatoryjnego – stanowi okoliczność neutralną w niniejszej sprawie.
110.
Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie (art. 83 ust. 2 lit. h rozporządzenia 2016/679).
Prezes UODO dowiedział się o naruszeniu przepisów rozporządzenia 2016/679 w wyniku zgłoszenia naruszenia ochrony danych osobowych dokonanego przez Komendanta. Administrator dokonując tego zgłoszenia realizował jedynie ciążący na nim obowiązek prawny, brak jest zatem podstaw do uznania, że okoliczność ta stanowi okoliczność łagodzącą. Zgodnie z Wytycznymi 04/2022 „(…) przy ocenie tego aspektu szczególną wagę można przypisać kwestii, czy administrator lub podmiot przetwarzający powiadomił o naruszeniu organ nadzorczy z własnej inicjatywy, a jeśli tak, to w jakim zakresie, zanim organ nadzorczy został poinformowany o naruszeniu w drodze – na przykład – skargi lub postępowania. Okoliczność ta nie ma znaczenia, gdy administrator podlega szczególnym obowiązkom w zakresie zgłaszania naruszeń [np. obowiązkowi zgłaszania naruszenia ochrony danych osobowych określonemu w art. 33 RODO]. W takich przypadkach fakt dokonania zgłoszenia należy uznać za okoliczność neutralną (…)”.
111.
Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków (art. 83 ust. 2 lit. i rozporządzenia 2016/679).
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Komendanta w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Komendant nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie organu nadzorczego, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia. Z uwagi na powyższe przesłanka ta pozostaje bez wpływu zarówno na decyzję o nałożeniu administracyjnej kary pieniężnej, jak i jej wymiar.
112.
Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).
Komendant na dzień wydania decyzji nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Komendanta. Na jego korzyść mogłaby być natomiast uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzania danych osobowych. W przedmiotowej sprawie okoliczność taka jednak nie wystąpiła.

Ustalenie wysokości kary z zastosowaniem Wytycznych 04/2022.

113.
Ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej nałożonej na Komendanta za naruszenie art. 6 ust. 1, art. 9 ust. 1 oraz art. 5 ust. 1 lit. a) i ust. 2 rozporządzenia 2016/679 Prezes UODO w sposób ograniczony zastosował metodykę przyjętą przez EROD w Wytycznych 04/2022. Ograniczony zakres stosowania tych wytycznych do obliczania kar orzekanych wobec organów i podmiotów publicznych wynika z braku możliwości przyjęcia obrotu (przychodów) takiego podmiotu jako miernika jego wielkości pozwalającego miarkować wysokość kary, tak by była ona skuteczna, proporcjonalna i odstraszająca. Jak wskazuje EROD w pkt 10 swoich wytycznych, jeżeli na podstawie prawa krajowego organy nadzorcze mają uprawnienie do nakładania administracyjnych kar pieniężnych na organy i podmioty publiczne, wytyczne te mają zastosowanie do ich obliczania z wyjątkiem rozdziału 4.3 tego dokumentu („Obrót przedsiębiorstwa do celów nałożenia skutecznej, odstraszającej i proporcjonalnej kary pieniężnej”). Tam natomiast gdzie prawo krajowe przewiduje dla organów i podmiotów publicznych ustawowe maksymalne kwoty kar (inne niż wynikające z art. 83 ust. 4-6 rozporządzenia 2016/679) zastosowania nie będzie znajdował rozdział 6 wytycznych („Prawnie określona maksymalna wysokość kary pieniężnej i odpowiedzialność przedsiębiorstw”). Mając na uwadze powyższe Prezes UODO przeprowadził niżej przedstawiony proces kalkulacji kary orzekanej wobec Komendanta.
114.
Za prawnie określoną maksymalną kwotę kary możliwą do orzeczenia wobec Komendanta Prezes UODO przyjął – stosownie do art. 102 ust. 1 pkt 1 u.o.d.o. – kwotę 100 000 zł, przy czym kwota ta znajduje zastosowanie niezależnie od tego, którego przepisu rozporządzenia 2016/679 dotyczy naruszenie.
115.
Prezes UODO dokonał kategoryzacji stwierdzonego w niniejszej sprawie naruszenia przepisów rozporządzenia 2016/679 (zob. Rozdział 4.1 Wytycznych 04/2022). Naruszenia przepisów art. 6 ust. 1, art. 9 ust. 1 oraz art. 5 ust. 1 lit. a) i ust. 2 rozporządzenia 2016/679 należą – zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą wyższą z dwóch przewidzianych w tym akcie prawnym wymiarów kar (z maksymalną wysokości do 20 000 000 EUR lub do 4% obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Są one więc in abstracto „najpoważniejsze” z naruszeń przewidzianych rozporządzeniem 2016/679, tj. poważniejsze od drugiej grupy naruszeń podlegających administracyjnym karom pieniężnym (wskazanych w art. 83 ust. 4 rozporządzenia 2016/679).
116.
Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o wysokim poziomie powagi (zob. Rozdział 4.2. Wytycznych 04/2022). W ramach tej oceny wzięte zostały te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które tyczą się strony przedmiotowej naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679 (składają się na powagę naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny i nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679) oraz kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej (zob. pkt 101-103 uzasadnienia). W tym miejscu wskazać należy jedynie, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego jako całość prowadzi do wniosku, że poziom powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest wysoki. Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 20% do 100% maksymalnej wysokości kary możliwej do orzeczenia wobec Komendanta (zob. pkt 60 tiret trzeci Wytycznych 04/2022), to jest – zważywszy na maksymalną kwotę w wysokości 100 000 zł określoną dla organów i podmiotów publicznych (zob. pkt 85 uzasadnienia) – od kwoty 20 000 zł do kwoty 100 000 zł. Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes uznał kwotę 50 000 zł (pięćdziesiąt tysięcy złotych).
117.
Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (zob. Rozdział 5 Wytycznych EROD 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się do strony podmiotowej naruszenia (tj. do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie i po jego zaistnieniu) oraz ewentualnie do innych okoliczności mogących mieć znaczenie dla jego oceny. Szczegółowa analiza i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przestawione zostały powyżej (zob. pkt 104-112 uzasadnienia). W tym zakresie wskazać należy, że w ocenie Prezesa UODO w sprawie ziściła się przesłanka z art. 83 ust. 2 lit. k) rozporządzenia 2016/679, która wpłynęła łagodząco na ocenę naruszenia i w konsekwencji na wymiar kary. Zdaniem organu nadzorczego wyjściową kwotę kary należałoby obniżyć o 20%, czyli o kwotę 10 000 zł, co prowadzi do ustalenia wysokości kary na poziomie 40 000 zł (czterdzieści tysięcy złotych).
118.
Prezes UODO uznał, że ustalona zgodnie z powyższymi zasadami wysokość kary nie wymaga dodatkowej korekty ze względu na skuteczność, zasadę proporcjonalności i odstraszający charakter (art. 83 ust. 1 rozporządzenia 2016/679). Zgodnie z art. 83 ust. 1 rozporządzenia 2016/679 każdy organ nadzorczy zapewnia, by administracyjne kary pieniężne stosowane za naruszenia tego rozporządzenia były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Natomiast Wytyczne EROD 04/2022 wskazują, że ostatnim krokiem kalkulacji kary dokonywanej zgodnie z przedstawioną tam metodyką powinno być przeanalizowanie, czy ostateczna kwota obliczonej kary pieniężnej spełnia te wymogi, oraz (ewentualnie) odpowiednie zwiększenie lub zmniejszenie kary pieniężnej[36]. Dokonując takiej analizy w niniejszej sprawie Prezes UODO uznał, że administracyjna kara pieniężna w kwocie 40 000 PLN będzie skuteczna (przez swoją dolegliwość pozwala osiągnąć cel represyjny, którym jest ukaranie za bezprawne zachowanie), odstraszająca (pozwala skutecznie zniechęcić zarówno Komendanta, jak i innych administratorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679) oraz proporcjonalna (jest adekwatna do stwierdzonej wagi naruszenia, nie wykracza poza możliwości jej zapłaty bez uszczerbku dla realizacji przez administratora jego zadań oraz pozwala na osiągnięcie celów określonych w rozporządzeniu 2016/679). Wskazana kwota stanowi bowiem próg, powyżej którego dalsze zwiększenie wysokości kary nie będzie wiązało się ze wzrostem jej skuteczności i odstraszającego charakteru. Z drugiej strony natomiast obniżenie w większym stopniu wysokości kary mogłoby się odbyć kosztem jej skuteczności i odstraszającego charakteru, a także spójnego stosowania i egzekwowania rozporządzenia 2016/679 i zasady równego traktowania podmiotów na rynku wewnętrznym UE i EOG.
119.
Uwzględniając wszystkie omówione wyżej okoliczności, Prezes UODO uznał, że nałożenie na Komendanta administracyjnej kary pieniężnej jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanego mu naruszenia przepisów art. 6 ust. 1, art. 9 ust. 1 oraz art. 5 ust. 1 lit. a) i ust. 2 rozporządzenia 2016/679. Stwierdzić należy, że zastosowanie jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, nie byłoby proporcjonalne do stwierdzonych nieprawidłowości oraz nie gwarantowałoby tego, że administrator w przyszłości nie dopuści się kolejnych naruszeń.

Uzasadnienie nałożenia i ustalenia wysokości administracyjnej kary pieniężnej za naruszenie przepisów art. 5 ust. 1 lit. f) i ust. 2, art. 25 ust. 1 i 2 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679.

Przesłanki wymiaru kary – zastosowanie art. 83 ust. 2 rozporządzenia 2016/679

120.
Decydując o nałożeniu na Komendanta administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności (zob. pkt 87 uzasadnienia decyzji), stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.
121.
Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a) rozporządzenia 2016/679).
Przypisywane Komendantowi naruszenie polegało na niewdrożeniu odpowiednich środków technicznych i organizacyjnych, zaprojektowanych w celu skutecznej realizacji zasad ochrony danych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, w tym zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze i skutkowało naruszeniem zasady integralności i poufności oraz zasady rozliczalności.
Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o znacznej wadze i poważnym charakterze, gdyż – jak już wcześniej wskazano – Komendant powinien w sposób szczególny dbać bezpieczeństwo danych osobowych, w szczególności zaś tych, które są przetwarzane w obszarze publikacji komunikatów prasowych. W tym miejscu podkreślenia wymaga, że Komendant – jako organ administracji – jest podmiotem zaufania publicznego, wobec którego należy oczekiwać zarówno znajomości przepisów, jak i właściwego ich stosowania, i tym samym wysokich standardów w zakresie bezpieczeństwa przetwarzanych danych. Mając na względzie, że naruszone przez Komendanta przepisy rozporządzenia 2016/679 określają fundamentalne obowiązki administratora, należało ocenić omawianą przesłankę jako obciążającą.
Mimo, że incydent będący przedmiotem niniejszej sprawy dotyczył tylko jednej osoby, nie zmienia to całościowej oceny, tj. uznania analizowanej przesłanki z art. 83 ust. 2 lit. a) rozporządzenia 2016/679 za obciążającą. Nie ulega bowiem wątpliwości organu nadzorczego, że zapewnienie odpowiedniego stopnia bezpieczeństwa danych osobowych przetwarzanych w związku z publikacją komunikatów prasowych poprzez stosowanie właściwych środków technicznych i organizacyjnych, może dotyczyć potencjalnie nieograniczonej liczby osób oraz szerokiego zakresu danych, w tym danych szczególnej kategorii. Naruszenie przez Komendanta obowiązków zastosowania środków zabezpieczających przetwarzane dane osobowe może powodować zatem wysokie ryzyko negatywnych skutków dla osób, których dane dotyczą.
Naruszenie przepisów oraz zasad dotyczących ochrony danych osobowych w związku z przetwarzaniem ich przez Komendanta w obszarze publikacji komunikatów prasowych bez wdrożenia adekwatnych środków technicznych i organizacyjnych ma znaczną wagę również z uwagi na skalę przetwarzania danych oraz zakres przetwarzanych danych. Mimo, że z założenia głównymi odbiorcami treści publikowanych na stronie internetowej Komendy Miejskiej Policji w Z. są mieszkańcy Z. i okolic, prowadzona przez KMP strona internetowa ma zasięg większy niż lokalny. Strona ta jest ogólnodostępna, co pozwala na odwiedzanie jej i korzystanie z jej zasobów bez ograniczeń przez każdego użytkownika Internetu. Komunikaty prasowe i udostępnione w nich dane osobowe są zatem dostępne dla nieograniczonej liczby odbiorców, co w konsekwencji rodzi wyższe ryzyko dla osób, których dane dotyczą. Jednocześnie należy mieć na względzie, że Komendant przetwarza bardzo szeroki zakres danych osobowych, wobec czego równie szeroki może być zakres danych publikowanych w ramach jego działalności prasowo-informacyjnej, czego przykładem jest omówiony w niniejszej sprawie incydent (zob. pkt 123 uzasadnienia). W tych okolicznościach brak wprowadzenia odpowiednich procedur w przedmiotowym obszarze może prowadzić do identyfikacji osoby, której dane dotyczą oraz do ich dalszego rozpowszechniania poprzez środki masowego przekazu.
Za okoliczność obciążającą należy uznać również długi czas trwania naruszeń. Zgromadzony w toku postępowania materiał dowodowy nakazuje bowiem przyjąć, że stan niezgodności przetwarzania z przepisami rozporządzenia 2016/679 trwa nieprzerwanie od 25 maja 2018 roku (tj. od daty rozpoczęcia stosowania ww. aktu) aż do chwili obecnej. Należy bowiem stwierdzić, że na dzień wydania niniejszej decyzji, oceniane uchybienia nie zostały przez Komendanta usunięte.
122.
Nieumyślny charakter naruszenia przepisów rozporządzenia 2016/679 (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
Nieuprawnione ujawnienie danych osobowych uczestniczki interwencji Policji stało się możliwe w następstwie niedopełnienia przez Komendanta obowiązku zastosowania odpowiednich środków bezpieczeństwa o charakterze technicznym i organizacyjnym, które potencjalnie mogłyby temu zapobiec. W ocenie organu nadzorczego stanowi to o nieumyślnym charakterze naruszenia, wynikającym z niedbalstwa administratora, który nie przeprowadził w sposób właściwy procesu oceny ryzyka i nie dobrał na jego podstawie odpowiednich środków bezpieczeństwa. Jak ustalono w toku postępowania, Zespół (…) KMP realizował zadania z zakresu publikacji komunikatów prasowych zawierających dane osobowe w oparciu o zarządzenie nr 1024 Komendanta Głównego Policji z dnia 12 listopada 2007 r. w sprawie form i metod działalności prasowo-informacyjnej w Policji, regulamin KMP, ustawę o Policji, ustawę z dnia 6 września 2001 r. o dostępie do informacji publicznej oraz ustawę z dnia 26 stycznia 1984 r. – Prawo prasowe. Oprócz wskazanych dokumentów i aktów prawnych, komendant wdrożył w organizacji „Politykę Ochrony Danych Osobowych w Komendzie Miejskiej Policji w Z.”, która – jak oceniono – nie była zaprojektowana zgodnie z podejściem opartym na ryzku, nie była aktualizowana, a ostatecznie okazała się być nieskuteczna. Komendant powinien mieć na względzie, że przyjęte rozwiązania nie zapewnią adekwatnego poziomu bezpieczeństwa danych osobowych, co prowadzić może do naruszenia przepisów o ochronie danych osobowych.
Biorąc pod uwagę ustalenia w sprawie będącej przedmiotem rozstrzygnięcia niniejszej decyzji należy stwierdzić, że Komendant nie działał umyślnie, niemniej jednak dopuścił się zaniedbania skutkującego znacznym zwiększeniem ryzyka naruszenia integralności i poufności przetwarzanych danych, co świadczy o rażącym niedbalstwie i stanowi istotną okoliczność wpływającą obciążająco na wysokość administracyjnej kary pieniężnej.
123.
Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679)
Przedmiotem działalności podlegającego Komendantowi Zespołu (…) KMP jest działalność polegająca m.in. na publikowaniu informacji o działaniach podejmowanych przez jednostki podległe Komendzie i komórki organizacyjne Komendy na stronach internetowych Komendy oraz jednostek podległych Komendzie oraz na przygotowywaniu odpowiedzi na krytykę działań Komendy ze strony przedstawicieli mediów[37], a zatem działalność prasowa. Z uwagi na to naruszenie przepisów art. 25 ust. 1 i 2 oraz art. 32 ust. 1 i 2, a w konsekwencji art. 5 ust. 1 lit. f) i ust. 2 rozporządzenia 2016/679 dotyczy wszelkich danych przetwarzanych przez administratora, w tym szczególnych kategorii danych określonych w art. 9 ust. 1 i art. 10 rozporządzenia 2016/679. Ten obszar działalności administratora jest związany z ryzykiem opublikowania każdej informacji będącej w jego posiadaniu, która może pozwolić na identyfikację konkretnej osoby, w tym danych, które podlegają na gruncie rozporządzenia 2016/679 szczególnej ochronie. Zakres tych danych może być bardzo szeroki i obejmować m.in. wizerunki osób fizycznych w postaci zdjęć oraz nagrań, dane adresowe, dane dotyczące skazania i inne dane wrażliwe. Niniejsze powoduje, że ujawnienie takich danych może prowadzić do bardzo dotkliwych skutków dla osób, których dane dotyczą.
W tym kontekście należy również przywołać wytyczne EROD 04/2022, w których wskazano: „Jeśli chodzi o wymóg uwzględnienia kategorii danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) RODO), w RODO wyraźnie wskazano rodzaje danych, które podlegają szczególnej ochronie, a tym samym bardziej rygorystycznej reakcji przy nakładaniu kar pieniężnych. Dotyczy to co najmniej rodzajów danych objętych art. 9 i 10 RODO oraz danych nieobjętych zakresem tych artykułów, których rozpowszechnianie natychmiast powoduje szkody lub dyskomfort osoby, której dane dotyczą (np. danych dotyczących lokalizacji, danych dotyczących komunikacji prywatnej, krajowych numerów identyfikacyjnych lub danych finansowych, takich jak zestawienia transakcji lub numery kart kredytowych). Ogólnie rzecz biorąc, im większej liczby takich kategorii danych dotyczy naruszenie lub im bardziej wrażliwe są dane, tym większą wagę organ nadzorczy może przypisać temu czynnikowi. Znaczenie ma również ilość danych dotyczących każdej osoby, której dane dotyczą, ponieważ wraz z ilością danych dotyczących każdej osoby, której dane dotyczą, wzrasta skala naruszenia prawa do prywatności i ochrony danych osobowych”.
Wobec powyższego organ nadzorczy uznał, że szeroki zakres i charakter danych osobowych, które mogą być przetwarzane przez Komendanta w obszarze publikacji komunikatów prasowych bez wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających ich ochronę, stwarza ryzyko naruszenia praw lub wolności osób fizycznych, których te dane dotyczą i ocenił niniejszą przesłankę obciążająco – w stopniu istotnie wpływającym na wysokość orzeczonej administracyjnej kary pieniężnej.
124.
Inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Rozpatrując niniejszą sprawę Prezes UODO uwzględnił jako okoliczność łagodzącą, mającą wpływ na obniżenie wysokości wymierzonej kary, zaproponowanie przez Komendanta środków technicznych i organizacyjnych mających na celu zminimalizowania ryzyka ponownego wystąpienia naruszeń ochrony danych osobowych – jak w zaistniałym incydencie – w przyszłości (zob. pkt 26 uzasadnienia). Mimo, że podjęte przez Komendanta działania nie doprowadziły do usunięcia naruszenia, Prezes UODO dostrzega zaangażowanie administratora w obszarze ochrony danych osobowych i liczy na to, że doprowadzi ono do oczekiwanego dostosowania operacji przetwarzania do przepisów rozporządzenia 2016/679.
Stosując przesłankę wymienioną w art. 83 ust. 2 lit. k) rozporządzenia 2016/679 (nakazującą wzięcie pod uwagę wszelkich innych obciążających lub łagodzących czynników mających zastosowanie do okoliczności sprawy) nie znaleziono innych niż powyższa okoliczności łagodzących, a jedynie neutralne.
125.
Ustalając wysokość administracyjnej kary pieniężnej, poza przesłanką wymienioną w art. 83 ust. 2 lit. k) rozporządzenia 2016/679, Prezes UODO nie znalazł podstaw do uwzględnienia okoliczności łagodzących, mających wpływ na ostateczny wymiar kary. Wszystkie przesłanki wymienione w art. 83 ust. 2 lit. a)-j) rozporządzenia 2016/679 w ocenie organu nadzorczego stanowią albo przesłanki obciążające albo jedynie neutralne.
126.
Stopień odpowiedzialności Administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 rozporządzenia 2016/679 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
Mając na względzie stwierdzone naruszenie przepisów rozporządzenia 2016/679 oczywistym jest, że administrator nie „zrobił wszystkiego, czego można by było od niego oczekiwać”. Nie wywiązał się tym samym z nałożonych na niego przepisami art. 32 rozporządzenia 2016/679 obowiązków. W tej sprawie okoliczność ta stanowi jednak o istocie samego naruszenia i nie jest jedynie czynnikiem wpływającym – obciążająco lub łagodząco – na jego ocenę. Z tego powodu brak odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 32 rozporządzenia 2016/679, nie może zostać uznany w niniejszej sprawie za okoliczność mogącą dodatkowo wpłynąć na ocenę naruszenia i wymiar nałożonej na Komendanta administracyjnej kary pieniężnej.
127.
Wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e rozporządzenia 2016/679).
W tym zakresie aktualne pozostają rozważania zawarte w pkt. 107 uzasadnienia decyzji.
128.
Działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).
Stwierdzone naruszenie przepisów art. 25 ust. 1 i 2 oraz art. 32 ust. 1 i 2, a w konsekwencji art. 5 ust. 1 lit. f) i ust. 2 rozporządzenia 2016/679 spowodowało powstanie krzywdy po stronie osoby, której dane zostały ujawnione w wyniku incydentu. W tym zakresie aktualne pozostają rozważania zawarte w pkt. 108 uzasadnienia decyzji.
129.
Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679).
W tym zakresie aktualne pozostają rozważania zawarte w pkt. 109 uzasadnienia decyzji.
130.
Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie (art. 83 ust. 2 lit. h rozporządzenia 2016/679).
Prezes UODO dowiedział się o naruszeniu przepisów rozporządzenia 2016/679 w wyniku zgłoszenia przez Komendanta naruszenia ochrony danych osobowych w wyniku incydentu. Zgłoszenie to zainicjowało weryfikację przez Prezesa UODO prawidłowości realizacji przez Komendanta obowiązków spoczywających na nim, jako administratorze na gruncie rozporządzenia 2016/679. Administrator dokonując tego zgłoszenia realizował jedynie ciążący na nim obowiązek prawny, brak jest zatem podstaw do uznania, że okoliczność ta stanowi okoliczność łagodzącą. Zgodnie z Wytycznymi 04/2022 „(…) Przy ocenie tego aspektu szczególną wagę można przypisać kwestii, czy administrator lub podmiot przetwarzający powiadomił o naruszeniu organ nadzorczy z własnej inicjatywy, a jeśli tak, to w jakim zakresie, zanim organ nadzorczy został poinformowany o naruszeniu w drodze – na przykład – skargi lub postępowania. Okoliczność ta nie ma znaczenia, gdy administrator podlega szczególnym obowiązkom w zakresie zgłaszania naruszeń [np. obowiązkowi zgłaszania naruszenia ochrony danych osobowych określonemu w art. 33 RODO]. W takich przypadkach fakt dokonania zgłoszenia należy uznać za okoliczność neutralną (…)”.
131.
Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków (art. 83 ust. 2 lit. i rozporządzenia 2016/679).
W tym zakresie aktualne pozostają rozważania zawarte w pkt. 111 uzasadnienia decyzji.
132.
Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).
W tym zakresie aktualne pozostają rozważania zawarte w pkt. 112 uzasadnienia decyzji.

Ustalenie wysokości kary z zastosowaniem Wytycznych 04/2022.

133.
Ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej nałożonej na Komendanta za naruszenie art. 5 ust. 1 lit. f) i ust. 2, art. 25 ust. 1 i 2 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 Prezes UODO w sposób ograniczony zastosował metodykę przyjętą przez EROD w Wytycznych 04/2022. Ograniczony zakres stosowania tych wytycznych do obliczania kar orzekanych wobec organów i podmiotów publicznych wynika z braku możliwości przyjęcia obrotu (przychodów) takiego podmiotu jako miernika jego wielkości pozwalającego miarkować wysokość kary, tak by była ona skuteczna, proporcjonalna i odstraszająca. Jak wskazuje EROD w pkt 10 swoich wytycznych, jeżeli na podstawie prawa krajowego organy nadzorcze mają uprawnienie do nakładania administracyjnych kar pieniężnych na organy i podmioty publiczne, wytyczne te mają zastosowanie do ich obliczania z wyjątkiem rozdziału 4.3 tego dokumentu („Obrót przedsiębiorstwa do celów nałożenia skutecznej, odstraszającej i proporcjonalnej kary pieniężnej”). Tam natomiast gdzie prawo krajowe przewiduje dla organów i podmiotów publicznych ustawowe maksymalne kwoty kar (inne niż wynikające z art. 83 ust. 4-6 rozporządzenia 2016/679) zastosowania nie będzie znajdował rozdział 6 wytycznych („Prawnie określona maksymalna wysokość kary pieniężnej i odpowiedzialność przedsiębiorstw”). Mając na uwadze powyższe Prezes UODO przeprowadził niżej przedstawiony proces kalkulacji kary orzekanej wobec Komendanta.
134.
Za prawnie określoną maksymalną kwotę kary możliwą do orzeczenia wobec Komendanta Prezes UODO przyjął – stosownie do art. 102 ust. 1 pkt 1 u.o.d.o. – kwotę 100 000 zł, przy czym kwota ta znajduje zastosowanie niezależnie od tego, którego przepisu rozporządzenia 2016/679 dotyczy naruszenie.
135.
Prezes UODO dokonał kategoryzacji stwierdzonego w niniejszej sprawie naruszenia przepisów rozporządzenia 2016/679 (zob. Rozdział 4.1 Wytycznych 04/2022). Naruszenia przepisów art. 25 ust. 1 i 2 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 należą – zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą o maksymalnej wysokości do 20 000 000 EUR lub do 4% obrotu przedsiębiorstwa z poprzedniego roku obrotowego. Z kolei naruszenia przepisów art. 5 ust. 1 lit. f) i ust. 2 rozporządzenia 2016/679 należą – zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą wyższą z dwóch przewidzianych w tym akcie prawnym wymiarów kar (z maksymalną wysokości do 20 000 000 EUR lub do 4% obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Są one więc in abstracto „najpoważniejsze” z naruszeń przewidzianych rozporządzeniem 2016/679, tj. poważniejsze od drugiej grupy naruszeń podlegających administracyjnym karom pieniężnym (wskazanych w art. 83 ust. 4 rozporządzenia 2016/679).
136.
Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o wysokim poziomie powagi (zob. Rozdział 4.2. Wytycznych 04/2022). W ramach tej oceny wzięte zostały te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które tyczą się strony przedmiotowej naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679 (składają się na powagę naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679) oraz kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej (zob. pkt 121-123 uzasadnienia). W tym miejscu wskazać należy jedynie, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego jako całość prowadzi do wniosku, że poziom powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest wysoki. Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 20% do 100% maksymalnej wysokości kary możliwej do orzeczenia wobec Komendanta (zob. pkt 60 tiret trzeci Wytycznych 04/2022), to jest – zważywszy na maksymalną kwotę w wysokości 100 000 zł określoną dla organów i podmiotów publicznych (zob. pkt 85 uzasadnienia) – od kwoty 20 000 zł do kwoty 100 000 zł. Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes uznał kwotę 40 000 zł (czterdzieści tysięcy złotych).
137.
Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (zob. Rozdział 5 Wytycznych EROD 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się do strony podmiotowej naruszenia (tj. do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie i po jego zaistnieniu) oraz ewentualnie do innych okoliczności mogących mieć znaczenie dla jego oceny. Szczegółowa analiza i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przestawione zostały powyżej (zob. pkt 124-132 uzasadnienia decyzji). W tym zakresie wskazać należy, że w ocenie Prezesa UODO w sprawie ziściła się przesłanka z art. 83 ust. 2 lit. k) rozporządzenia 2016/679, która wpłynęła łagodząco na ocenę naruszenia i w konsekwencji na wymiar kary. Zdaniem organu nadzorczego wyjściową kwotę kary należałoby obniżyć o 5%, czyli o kwotę 2 000 zł, co prowadzi do ustalenia wysokości kary na poziomie 38 000 zł (trzydzieści osiem tysięcy złotych).
138.
Prezes UODO uznał, że ustalona zgodnie z powyższymi zasadami wysokość kary nie wymaga dodatkowej korekty ze względu na skuteczność, zasadę proporcjonalności i odstraszający charakter (art. 83 ust. 1 rozporządzenia 2016/679). Zgodnie z art. 83 ust. 1 rozporządzenia 2016/679 każdy organ nadzorczy zapewnia, by administracyjne kary pieniężne stosowane za naruszenia tego rozporządzenia były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Natomiast Wytyczne EROD 04/2022 wskazują, że ostatnim krokiem kalkulacji kary dokonywanej zgodnie z przedstawioną tam metodyką powinno być przeanalizowanie, czy ostateczna kwota obliczonej kary pieniężnej spełnia te wymogi, oraz (ewentualnie) odpowiednie zwiększenie lub zmniejszenie kary pieniężnej . Dokonując takiej analizy w niniejszej sprawie Prezes UODO uznał, że administracyjna kara pieniężna w kwocie 38 000 PLN będzie skuteczna (przez swoją dolegliwość pozwala osiągnąć cel represyjny, którym jest ukaranie za bezprawne zachowanie), odstraszająca (pozwala skutecznie zniechęcić zarówno Komendanta, jak i innych administratorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679) oraz proporcjonalna (jest adekwatna do stwierdzonej wagi naruszenia, nie wykracza poza możliwości jej zapłaty bez uszczerbku dla realizacji przez administratora jego zadań oraz pozwala na osiągnięcie celów określonych w rozporządzeniu 2016/679). Wskazana kwota stanowi bowiem próg, powyżej którego dalsze zwiększenie wysokości kary nie będzie wiązało się ze wzrostem jej skuteczności i odstraszającego charakteru. Z drugiej strony natomiast obniżenie w większym stopniu wysokości kary mogłoby się odbyć kosztem jej skuteczności i odstraszającego charakteru, a także spójnego stosowania i egzekwowania rozporządzenia 2016/679 i zasady równego traktowania podmiotów na rynku wewnętrznym UE i EOG.
139.
Uwzględniając wszystkie omówione wyżej okoliczności, Prezes UODO uznał, że nałożenie na Komendanta administracyjnych kar pieniężnych jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanego mu naruszenia przepisów art. 5 ust. 1 lit. f) i ust. 2, art. 25 ust. 1 i 2 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679. Stwierdzić należy, że zastosowanie jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679 nie byłoby proporcjonalne do stwierdzonych nieprawidłowości oraz nie gwarantowałoby tego, że Administrator w przyszłości nie dopuści się kolejnych naruszeń.
Mając powyższe na uwadze, Prezes UODO orzekł, jak w sentencji.
[1] Dz. U. z 2025 r. poz. 1691.
[2] Dz. U. z 2019 r. poz. 1781.
[3] Dz. Urz. UE L 119, str. 1, Dz. Urz. UE L 127 z 2018 r., str. 2, Dz. Urz. UE L 74 z 2021 r., str. 35.
[4] Zob. art. 5 ust. 1 i art. 6 ust. 3a w zw. z art. 7 ust. 1 ustawy z dnia 6 kwietnia 1990 r. o Policji (Dz. U. z 2025 r. poz. 636).
[5] Zob. art. 4 pkt 12 rozporządzenia 2016/679, który definiuje pojęcie „naruszenia ochrony danych osobowych”.
[6] Zob. art. 4 pkt 7 rozporządzenia 2016/679, który definiuje pojęcie „administratora”.
[7] Zgłoszenie zostało w zarejestrowane przez Komendanta w „Rejestrze (…)” pod sygnaturą (…).
[8] Zob. art. 4 pkt 1 rozporządzenia 2016/679, który definiuje pojęcie „danych osobowych”.
[9] Zob. art. 4 pkt 15 rozporządzenia 2016/679, który definiuje pojęcie „danych dotyczących zdrowia”.
[10] Zob. art. 4 pkt 2 rozporządzenia 2016/679, który definiuje pojęcie „przetwarzania”.
[11] A. (…) – narzędzie udostępniane przez B. (…), umożliwiające przeglądanie archiwalnych wersji stron internetowych. Pozwala na weryfikację, jak dana strona wyglądała w przeszłości, co ma zastosowanie m.in. w badaniach, postępowaniach dowodowych i analizach zmian treści online (https://web.archive.org/).
[12] Archiwalne wersje komunikatu Komendanta z (…) i (…) 2023 r., opublikowanego na stronie internetowej Komendy, dostępne w A. (…): https://(…) (zapis strony zarejestrowany w zasobach A. (…) (…) 2023 r. o godz. 18:15) [dostęp: 15.12.2025]; https://(…) (zapis strony zarejestrowany w zasobach A. (…) (…) 2023 r. o godz. 8:10) [dostęp: 15.12.2025].
[13] Zob. EROD, Wytyczne 9/2022 dotyczące zgłaszania naruszenia ochrony danych osobowych, wersja 2.0. przyjęte 28 marca 2023 r., pkt 31, który wyjaśnia pojęcie „stwierdzenia naruszenia ochrony danych osobowych”.
[14] Dz. Urz. KGP z 2020 r. poz. 23 ze zm.
[15] Dz. U. z 2022 r. poz. 902.
[16] Dz. U. z 2018 r. poz. 1914.
[17] Dz. U. UE. L. z 2016 r. Nr 119, str. 89, ze zm.
[18] Dz. U. z 2023 r. poz. 1206.
[19] Zob. A. Grzelak, Wprowadzenie. IV. Cele i skutki dyrektywy 2016/680 oraz relacja do RODO [w:] A. Grzelak (red.), Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz, wyd. 1, Warszawa 2019, pkt 2.
[20] Zob. P. Drobek [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, D. Lubasz, Warszawa 2018, art. 5, pkt 3.
[21] Zob. P. Barta, P. Litwiński, M. Kawecki [w:] Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, red. P. Litwiński, Legalis 2021, art. 24, pkt 1.
[22] Zob. P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 5, pkt 7.
[23] Zob. tamże, art 6, pkt 1 oraz art. 9, pkt 1.
[24] Karta Praw Podstawowych Unii Europejskiej (Dz. U. UE C 202 z 7.6.2016, s. 391).
[25] Por. wyrok TSUE z 1 sierpnia 2022 r., C-184/20, OT przeciwko Vyriausioji Tarnybinès Etikos Komisija, EU:C:2022:601.
[26] Por. wyrok TSUE z 4 lipca 2023 r., C-252/21, Meta Platforms Inc., Anciennement Facebook Inc. i in. przeciwko Bundeskartellamt, EU:C:2023:537.
[27] Zob. P. Fajgielski, op. cit., art. 6, pkt 43.
[28] Zob. P. Fajgielski, op. cit., art. 5, pkt 22.
[29] EROD, Wytyczne nr 4/2019 dotyczące artykułu 25. Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych, wersja 2.0, przyjęte 20 października 2020 r.
[30] Zob. tamże, pkt 23.
[31] Por. wyrok WSA w Warszawie z 13 maja 2021 r., II SA/Wa 2129/20, LEX nr 3230694.
[32] Por. wyrok WSA w Warszawie z 17 kwietnia 2024 r., II SA/Wa 1342/23, LEX nr 3790155.
[33] Por. wyrok NSA z 5 lipca 2024 r., III OSK 2654/22, LEX nr 3750274.
[34] Wytyczne EROD w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO (wersja 2.1), przyjęte 24 maja 2023 r. (zwanych dalej „Wytycznymi 04/2022”).
[35] Wytyczne EROD 04/2022, str. 30, pkt 94.
[36] Wytyczne EROD 04/2022, str. 9, pkt.17.
[37] https://(…) [dostęp 06.11.2025 r.]