Decyzja DOKE.561.5.2024

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 2024 r., poz. 572) w związku z art. 7 ust. 1 i 2 oraz art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz na oraz na podstawie art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. b) w związku z art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4 maja 2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23 maja 2018, str. 2, oraz w Dz. Urz. UE L 74 z 4 marca 2021, str. 35), dalej jako: „rozporządzenie 2016/679”,

po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na Stowarzyszenie (…) z siedzibą w B. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych

udziela upomnienia Stowarzyszeniu (…) z siedzibą w B. przy ul. (…) za naruszenie przepisów art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679, polegające na braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ramach wykonywania przez niego jego zadań oraz niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań w postępowaniu o sygn. DKN.5130.2077.2021.

Uzasadnienie

Stan faktyczny

1.

Do Prezesa Urzędu Ochrony Danych Osobowych (dalej jako: „Prezes UODO”) w dniu 3 marca 2021 r. wpłynęło wstępne zgłoszenie naruszenia ochrony danych osobowych dokonane przez Stowarzyszenie (…) z siedzibą w B. przy ul. (…) (dalej jako: „Administrator”). Zgodnie z treścią zgłoszenia naruszenie polegało na zaszyfrowaniu serwera Administratora z wykorzystaniem złośliwego oprogramowania. W chwili dokonania zgłoszenia Administrator nie był w stanie jednoznacznie stwierdzić czy dane przechowywane na serwerze zostały jedynie zaszyfrowane, czy również pobrane przez nieuprawnioną osobę lub osoby. Wyjaśnienie tej kwestii wymagało podjęcia dodatkowych działań, w tym zwłaszcza sprawdzenia przesyłu danych u operatora internetowego. Z uwagi na powyższe, jako przybliżoną datę złożenia zgłoszenia uzupełniającego Administrator wskazał dzień 28 kwietnia 2021 r. W związku z otrzymanym zgłoszeniem Prezes UODO wszczął postępowanie wyjaśniające o sygn. DKN.5130.2077.2021.

2.

Wobec braku nadesłania dodatkowej dokumentacji w zakreślonym przez Administratora terminie, w ramach wyżej wskazanego postępowania – działając na podstawie art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679 – Prezes UODO pismem z 14 lutego 2022 r. wezwał Administratora do wniesienia zgłoszenia uzupełniającego. Pismo to, skierowane na adres siedziby Administratora ujawniony w Rejestrze Stowarzyszeń Krajowego Rejestru Sądowego (dalej jako: „KRS”), tj. ul. (…), (…)-(…) B., zostało odebrane przez adresata 22 lutego 2022 r. Mimo to Administrator nie spełnił zadość żądaniu organu nadzorczego.

3.

W związku z powyższym Prezes UODO raz jeszcze – pismem z 22 kwietnia 2022 r. – wezwał Administratora do przedłożenia zgłoszenia uzupełniającego. Mimo odbioru korespondencji w dniu 28 kwietnia 2022 r. Administrator nie ustosunkował się w żaden sposób do wezwania organu nadzorczego, ani nie przedstawił powodów, dla których nie nadesłał żądanych informacji w wyznaczonym przez Prezesa UODO terminie. Dopiero zainicjowany przez pracownika UODO kontakt telefoniczny z Panem A. P., wiceprezesem zarządu Administratora, skłonił go do podjęcia współpracy z organem nadzorczym, a w efekcie do złożenia w dniu 19 października 2023 r. zgłoszenia uzupełniającego.

4.

Uwzględniając otrzymane informacje oraz potrzebę dokonania wszechstronnej oceny zgłoszonego incydentu pod kątem ustalenia, czy skutkuje on wysokim ryzykiem naruszenia praw i wolności osób fizycznych dotkniętych naruszeniem, Prezes UODO – pismem z 31 października 2023 r. – zwrócił się do Administratora z żądaniem złożenia dodatkowych wyjaśnień i udzielenia odpowiedzi na następujące, szczegółowe pytania dotyczące sprawy:

„

a)

czy w związku ze zgłoszonym naruszeniem ochrony danych osobowych Administrator przeprowadził wewnętrzne postępowanie wyjaśniające, które umożliwiło ustalenie, w jaki sposób doszło do zaszyfrowania danych przez złośliwe oprogramowanie; jakie były okoliczności, źródło oraz przyczyny powstania naruszenia;

b)

jak długo utrzymywało się ograniczenie dostępności do systemów informatycznych objętych naruszeniem, po jakim czasie przywrócono ich sprawność oraz czy udało się odzyskać wszystkie dane zaszyfrowane na skutek działania złośliwego oprogramowania; jakie działania zostały podjęte przez Administratora w tym celu;

c)

czy Administrator zweryfikował, czy dane osobowe znajdujące się w systemach informatycznych objętych naruszaniem zostały wykradzione lub odczytane przez osoby trzecie w wyniku nieuprawnionego działania;

d)

czy Administrator określił skalę powstałego naruszenia ochrony danych, w zakresie liczby stanowisk komputerowych oraz serwerów, które zostały zaszyfrowane na skutek działania złośliwego oprogramowania;

e)

czy, a jeśli tak, to w jaki sposób Administrator dokonywał regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych objętych naruszeniem, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia, zarówno przed naruszeniem ochrony danych osobowych, jak i po jego wystąpieniu;

f)

jakie środki techniczne oraz organizacyjne Administrator zastosował w celu zminimalizowania ryzyka ponownego wystąpienia tego typu naruszeń w przyszłości; w szczególności proszę o wykazanie różnic zastosowanych zabezpieczeń infrastruktury sieciowej przed oraz po wystąpieniu naruszenia ochrony danych osobowych;

g)

czy osoby, których dane dotyczą, zostały poinformowane o naruszeniu ochrony ich danych przez Administratora w trybie art. 34 rozporządzenia 2016/679, a jeżeli nie, to jaki jest powód niezawiadomienia tychże osób;

h)

czy Administrator dokonał analizy wpływu braku dostępności do systemów informatycznych objętych naruszeniem na prawa oraz wolności osób, których dane dotyczą;

i)

czy przed wystąpieniem naruszenia Administrator posiadał wdrożoną procedurę tworzenia, oraz testowania kopii zapasowych systemów objętych naruszeniem; jeśli tak, zwracam się o przedłożenie kopii tej procedury;

j)

czy stanowiska komputerowe oraz serwery wykorzystywane do przetwarzania danych osobowych zostały wyposażone w oprogramowanie antywirusowe, które było cyklicznie aktualizowane;

k)

jaki system operacyjny posiadał serwer (serwery) objęty naruszeniem oraz czy posiadał aktualne wsparcie techniczne producenta;

l)

czy przed wystąpieniem naruszenia ochrony danych osobowych, jak i po jego wystąpieniu, została przeprowadzona analiza ryzyka dla operacji przetwarzania danych, w ramach których doszło do naruszenia ochrony danych osobowych, uwzględniająca m.in. podatności, zagrożenia, możliwe skutki naruszenia oraz środki bezpieczeństwa mające na celu zapewnienie poufności, integralności i dostępności przetwarzanych danych osobowych, a jeśli tak, to proszę o przesłanie wyników tej analizy ze wskazaniem metody jej wykonania oraz opisem podejmowanych działań przy jej wykonywaniu.”

Wezwanie to, skierowane na adres rejestrowy Administratora, zostało odebrane przez niego 10 listopada 2023 r. Mimo odbioru korespondencji, Administrator nie przedstawił informacji, o które zwrócił się do niego organ ochrony danych osobowych.

5.

Wobec powyższego – pismem z 22 stycznia 2024 r. – Prezes UODO ponownie zwrócił się do Administratora z wezwaniem do złożenia wyjaśnień niezbędnych dla dokonania oceny zgłoszonego naruszenia oraz do udzielenia odpowiedzi na ww. pytania pomocnicze (zob. pkt 4 uzasadnienia niniejszej decyzji). Pomimo odbioru korespondencji 25 stycznia 2024 r. Administrator nie przedłożył żądanych informacji, ani nie uzasadnił w żaden sposób zaistniałego po jego stronie zaniechania.

6.

Każde z ww. skierowanych do Administratora pism Prezesa UODO zawierało pouczenie o tym, ze brak złożenia wyjaśnień w żądanym przez organ nadzorczy zakresie może skutkować nałożeniem na Administratora administracyjnej kary pieniężnej zgodnie z art. 83 ust. 5 lit. e) rozporządzenia 2016/679.

7.

Powyższe okoliczności stanu faktycznego Prezes UODO ustalił na podstawie całokształtu korespondencji urzędowej, wystosowanej przez Prezesa UODO do Administratora, znajdującej się w aktach postępowania o sygn. DKN.5130.2077.2021. Korespondencja ta odzwierciedla całokształt prób uzyskania przez Prezesa UODO dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań – to jest do rozpatrzenia sprawy o sygn. DKN.5130.2077.2021. Z drugiej zaś strony, stanowi bezpośredni dowód braku współpracy Administratora z Prezesem UODO w ramach wykonywania przez niego jego zadań.

Postępowanie

8.

W związku z nieudzieleniem przez Administratora informacji niezbędnych do zbadania sprawy o sygn. DKN.5130.2077.2021, Prezes UODO wszczął z urzędu – na podstawie art. 83 ust. 5 lit. e) rozporządzenia 2016/679 – niniejsze postępowanie administracyjne o sygn. DOKE.561.5.2024.(…), w przedmiocie nałożenia na Administratora administracyjnej kary pieniężnej, w związku z naruszeniem art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679. O wszczęciu postępowania Administrator został poinformowany pismem z 23 lipca 2024 r. (znak: DOKE.561.5.2024.(…)), doręczonym Administratorowi 1 sierpnia 2024 r. Pismem tym, Administrator został zobowiązany – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781, zwanej dalej „u.o.d.o.”) – do dostarczenia sprawozdania finansowego lub innego dokumentu przedstawiającego wysokość obrotu lub wyniku finansowego osiągniętego przez Administratora w 2023 r. Administratora poinformowano również, że okoliczność złożenia wyczerpujących wyjaśnień, o które Prezes UODO uprzednio zwracał się do niego w postępowaniu o sygn. DKN.5130.2077.2021, może wpłynąć łagodząco na wymiar wymierzonej w niniejszym postępowaniu administracyjnej kary pieniężnej bądź spowodować odstąpienie od jej nałożenia.

9.

W odpowiedzi na informację o wszczęciu przez Prezesa UODO postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej – pismem z 9 sierpnia 2024 r. – Administrator złożył obszerne wyjaśnienia w sprawie. W kwestii zgłoszonego naruszenia ochrony danych osobowych, polegającego na zaszyfrowaniu serwera Administratora z wykorzystaniem złośliwego oprogramowania, ww. wyjaśnił m.in., że dane znajdujące się w zasobie „wspólne” zostały całkowicie zaszyfrowane i nie dało się ich w jakikolwiek sposób deszyfrować. Mimo podjęcia prób kontaktu z osobami, które dokonały ataku na serwer Administratora, próby te okazały się bezskuteczne. Nie udało się odzyskać wszystkich zaszyfrowanych danych – kopia części z nich była przechowywana na zewnętrznym dysku zlokalizowanym w siedzibie Administratora, jednak były to dane niepełne w stosunku do danych, które uległy szyfrowaniu. Administrator nie dysponuje wiedzą o tym czy dane osobowe objęte naruszeniem zostały wykradzione lub odczytane przez osoby trzecie. Na podstawie audytu technicznego, prób deszyfracji plików oraz podjętego kontaktu i prób negocjacji z osobami, które dokonały ataku na serwer, Administrator przyjmuje jednak, że ich intencją było zniszczenie plików, a nie ich kradzież. Administrator wskazał, że po wykryciu naruszenia nastąpiło całkowite odcięcie serwera od Internetu. Sprawność systemów informatycznych została przywrócona w ciągu pięciu dni od zdarzenia. W chwili wystąpienia ataku objęty nim serwer wyposażony był w system operacyjny (…) z najnowszymi aktualizacjami. Dodatkowo wszystkie stanowiska komputerowe oraz serwer Administratora były zabezpieczone cyklicznie aktualizowanym oprogramowaniem antywirusowym. Bezpośrednio po incydencie Administrator przeprowadził wewnętrzny audyt techniczny sieci i sprzętu komputerowego, a zdarzenie zgłosił na Policję, ponieważ wyniki tegoż audytu wykazały, że do naruszenia danych osobowych doszło na skutek niewystarczającego zabezpieczenia sieci przez dostawcę Internetu, tj. R. Sp. z o.o. Poprzez zgłoszenie incydentu również do R. Sp. z o.o. Administrator chciał zachować logi systemowe, jednak wykonanie ww. czynności dostawca usług internetowych uzależnił od polecenia prokuratury. Postanowieniem z dnia 18 sierpnia 2021 r. Prokuratura Rejonowa B. (…) umorzyła postępowanie w sprawie objętego zgłoszeniem incydentu. W wyniku zażalenia złożonego przez Pana A. P., Sąd Rejonowy B. (…) w B. uchylił w dniu 21 lutego 2022 r. ww. rozstrzygnięcie – przekazując sprawę prokuraturze do dalszego prowadzenia w zakresie dostępu do informacji, w których posiadaniu jest R. Sp. z o.o. Zgodnie z wiedzą Stowarzyszenia prokuratura nie przeprowadziła dotychczas zleconych przez sąd działań. Ponadto, jak wynikało ze złożonych wyjaśnień, przed wystąpieniem naruszenia Administrator nie posiadał wdrożonej procedury tworzenia oraz testowania kopii zapasowych systemów objętych naruszeniem; kopie zapasowe zapisywały się automatycznie na tym samym serwerze lecz na innych dyskach. Dodatkowo ani przed wystąpieniem naruszenia, ani po jego stwierdzeniu, Administrator nie przeprowadził analiza ryzyka dla operacji przetwarzania danych, w ramach których doszło do naruszenia ochrony danych osobowych. Jak oświadczył Administrator serwer, który stał się celem ataku obecnie odłączony jest od sieci internetowej, a wszystkie dane przechowywane są w chmurze (…). Chmura wyposażona jest w tzw. „kosz sieciowy”. Oznacza to, że w sytuacji zaszyfrowania danych na jednostce możliwe jest ich przywrócenie z „kosza”. Zgodnie z deklaracją Administratora (niepopartą jednak jakimikolwiek dowodami) o naruszeniu poinformowano wszystkie osoby, których dane osobowe – zgodnie ze stanem wiedzy Administratora – były przechowywane w zaszyfrowanych plikach.

10.

W kwestii naruszenia art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679, Administrator oświadczył, iż brak właściwej współpracy z Prezesem UODO, spowodowany był „(…) niedopełnieniem obowiązków ze strony jednego z członków zarządu, wiceprezesa A. P., na którym spoczywała odpowiedzialność prowadzenia korespondencji z Urzędem w sprawie ww. postępowania, o czym pozostałe członkinie Zarządu Stowarzyszenia zostały poinformowane zbyt późno, by podjąć działania w terminie wskazanym przez Urząd. W międzyczasie p. P. zrezygnował z pełnienia funkcji w Zarządzie Stowarzyszenia, natomiast nowo wybrany Zarząd jest w pełni gotowy do współpracy z Urzędem i złożenia wszystkich niezbędnych wyjaśnień dotyczących ww. postępowania”. W celu ułatwienia ewentualnego kontaktu obecna wiceprezes zarządu Administratora, Pani Z. B., udostępniła swój indywidualny adres poczty elektronicznej, tj. (…).

Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Przepisy prawne

11.

Zgodnie z art. 57 ust. 1 lit. a) rozporządzenia 2016/679, Prezes UODO, jako organ nadzorczy w rozumieniu art. 51 rozporządzenia 2016/679, na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO m. in. prowadzi postępowania w sprawie stosowania niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego (art. 57 ust. 1 lit. h) rozporządzenia 2016/679).

12.

Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a) rozporządzenia 2016/679) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e) rozporządzenia 2016/679).

13.

Naruszenie przepisów rozporządzenia 2016/679, skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1, podlega – zgodnie z art. 83 ust. 5 lit. e) rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

14.

Dodatkowo zarówno administrator, jak i podmiot przetwarzający obowiązani są na żądanie organu nadzorczego współpracować z nim w ramach wykonywania przez niego jego zadań, o czym stanowi art. 31 rozporządzenia 2016/679. Niewywiązanie się z tego obowiązku zagrożone jest, zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, administracyjną karą pieniężną w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

15.

Prezesowi UODO przysługuje ponadto szereg określonych w art. 58 ust. 2 rozporządzenia 2016/679 uprawnień naprawczych, w tym prawo udzielenia upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia 2016/679 przez operacje przetwarzania. Zgodnie z motywem 148 rozporządzenia 2016/679, aby egzekwowanie jego przepisów było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy rozporządzenia 2016/679 przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte przez administratora dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.

16.

Stosownie do art. 60 u.o.d.o. postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych jest prowadzone przez Prezesa UODO. Z kolei art. 7 ust. 1 u.o.d.o. stanowi, że w sprawach nieuregulowanych w tej ustawie do postępowań administracyjnych przed Prezesem UODO (w tym w postępowaniach w przedmiocie nałożenia administracyjnej kary pieniężnej, o których mowa w Rozdziale 11 u.o.d.o.) stosuje się przepisy ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 2024 r., poz. 572), zwanej dalej: „k.p.a.”. Zgodnie z art. 7 ust. 2 u.o.d.o. postępowania te są postępowaniami jednoinstancyjnymi.

Ocena prawna

17.

Odnosząc przytoczone powyżej przepisy rozporządzenia 2016/679 do ustalonego w niniejszej sprawie stanu faktycznego stwierdzić należy, że Administrator, jako strona postępowania o sygn. DKN.5130.2077.2021, poprzez brak udzielenia merytorycznej odpowiedzi na wezwania Prezesa UODO do złożenia wyjaśnień naruszył obowiązek współpracy z organem nadzorczym oraz obowiązek zapewnienia Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań – wynikające z art. 31 oraz 58 ust. 1. lit. a) i lit. e) rozporządzenia 2016/679. W tym przypadku informację istotną dla dalszego kierunku postępowania stanowiły wszelkie dane dotyczące zgłoszonego incydentu bezpieczeństwa, jak i zachowania Administratora, tak przed, jak i po jego wystąpieniu – w tym zwłaszcza: informacje o skali naruszenia, czasie jego trwania, środkach organizacyjnych i technicznych mających na celu zapewnienie bezpieczeństwa przetwarzania danych, stosowanych przez Administratora pierwotnie oraz następczo w stosunku do naruszenia czy wreszcie informacje o okolicznościach, w jakich Administrator zawiadomił osoby, których dane dotyczą o fakcie wystąpienia naruszenia oraz o jego możliwych negatywnych skutkach. Uniemożliwianie uzyskania dostępu do ww. informacji, których Prezes UODO żądał od Administratora, a które niewątpliwie były w jego posiadaniu, stało na przeszkodzie wnikliwemu rozpatrzeniu sprawy i skutkowało nieuzasadnionym przedłużaniem postępowania, co stoi z kolei w sprzeczności z podstawowymi zasadami rządzącymi postępowaniem administracyjnym – określonymi w art. 12 ust. 1 k.p.a. zasadami wnikliwości i szybkości postępowania.

18.

W toku postępowania o sygn. DKN.5130.2077.2021 Prezes UODO kilkakrotnie wzywał Administratora do przedłożenia informacji niezbędnych do dokonania oceny zgłoszonego naruszenia. Pierwsze dwa spośród wystosowanych do Administratora pism, doręczone mu 22 lutego 2022 r. oraz 28 kwietnia 2022 r., zawierały wezwanie do złożenia zgłoszenia uzupełniającego – które zgodnie z deklaracją Administratora zawartą w zgłoszeniu wstępnym, miało wpłynąć do UODO nie później niż do dnia 28 kwietnia 2021 r. Żadne z ww. pism nie doczekało się odpowiedzi ze strony Administratora. Dopiero bezpośredni kontakt telefoniczny zainicjowany przez pracownika UODO spowodował, że Administrator 19 października 2023 r. (a zatem dwa i pół roku po dokonaniu wstępnego zgłoszenia incydentu bezpieczeństwa) dostarczył deklarowane zgłoszenie uzupełniające. Kolejnymi pismami wystosowanymi w sprawie Prezes UODO wezwał Administratora do złożenia szczegółowych wyjaśnień dotyczących skali naruszenia oraz stosowanych przez niego środków organizacyjnych i technicznych służących zapewnieniu bezpieczeństwa przetwarzania. Pisma te – doręczone Administratorowi 10 listopada 2023 r. oraz 25 stycznia 2024 r. – pozostały bez żadnej reakcji z jego strony. Okoliczność doręczenia ww. korespondencji uzasadnia przekonanie, że Administrator miał obiektywną możliwość zapoznania się z treścią kierowanych do niego pism oraz udzielenia na nie odpowiedzi w zakreślonym przez organ nadzorczy terminie. Opisywane zaniechanie Administratora, bezsporne wobec zgromadzonego w niniejszej sprawie materiału dowodowego, spowodowało konieczność wszczęcia niniejszego postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej, w którego rezultacie dopiero Administrator wznowił współpracę z Prezesem UODO i pismem z 9 sierpnia 2024 r. udzielił żądanych wyjaśnień – co pozwoliło Prezesowi UODO na dalsze prowadzenie czynności w ww. sprawie.

19.

Uwzględniając powyższe ustalenia nie budzi wątpliwości fakt, że Administrator swoim zachowaniem dopuścił się naruszenia przepisów rozporządzenia 2016/679. Przedstawione przez Administratora uzasadnienie braku odpowiedzi na wezwania Prezesa UODO, choć wiarygodne oraz mające istotny wpływ na ocenę zachowania Administratora w kontekście wyboru zastosowanej wobec niego w niniejszym postępowaniu sankcji, nie zdejmuje bowiem z niego odpowiedzialności za stwierdzone zaniechanie. Wynika to z faktu, że na Administratorze spoczywa ciężar zapewnienia takiego obiegu korespondencji, który zezwoli na efektywne oraz terminowe wywiązywanie się z nałożonych na niego obowiązków, w tym również obowiązków wynikających z przepisów o ochronie danych osobowych. W tym kontekście odpowiedzialności Administratora nie może znosić okoliczność, że za przypisywane mu zaniechanie odpowiadał bezpośrednio były członek zarządu Administratora, Pan A. P., któremu powierzono prowadzenie korespondencji z Prezesem UODO w ramach postępowania o sygn. DKN.5130.2077.2021 – a który z powierzonych mu zadań wywiązywał się w sposób nieterminowy, bądź też zupełnie je ignorował. Wskazać bowiem należy, że wiedzę o kierowanych do Administratora pismach Prezesa UODO posiadała także Pani Z. B., pełniąca od 1 września 2022 r. funkcję wiceprezeski zarządu w strukturach Administratora. Ww. własnoręcznym podpisem poświadczyła bowiem odbiór korespondencji z 22 kwietnia 2022 r. oraz z 31 października 2023 r., co nakazuje przyjąć, iż miała ona możliwość zapoznania się treścią żądania organu nadzorczego. Co więcej, od momentu objęcia piastowanej obecnie funkcji Pani Z. B. uprawniona była również do osobistego udzielenia wyjaśnień w imieniu Administratora. Jak wynika bowiem z informacji udostępnionej w KRS, do dokonywania czynności prawnych w imieniu Stowarzyszenia (…) uprawniony jest każdy z członków zarządu. W świetle powyższego, wewnętrzne uzgodnienia dotyczące podziału obowiązków pomiędzy osobami zasiadającymi w organie uprawnionym do reprezentowania Administratora pozostają bez wpływu na ocenę zachowania Administratora w niniejszej sprawie.

20.

Mimo oczywistego zaniedbania po stronie Administratora, Prezes UODO stanął na stanowisku, że stwierdzone naruszenie, polegające na braku współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań oraz niezapewnieniu Prezesowi UODO dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań – jakkolwiek wysoce naganne – zostało przez Administratora usunięte niezwłocznie po powzięciu informacji o niniejszym postepowaniu w przedmiocie nałożenia administracyjnej kary pieniężnej, tj. z chwilą wpłynięcia do UODO w dniu 19 sierpnia 2024 r. wyjaśnień Administratora. Składając szczegółowe wyjaśnienia, Administrator wykazał aktywną postawę oraz gotowość do dalszej współpracy z organem nadzorczym, zarówno w niniejszym postępowaniu, jak i w ewentualnych przyszłych postępowaniach wszczętych przez Prezesa UODO, których Administrator byłby stroną. Prowadzi to do wniosku, że brak odpowiedzi Administratora na wezwania Prezesa UODO nie wynikał ze złej woli osób go reprezentujących i nie miał na celu świadomego utrudniania prowadzonego przez organ nadzorczy postępowania. W ocenie Prezesa UODO, samo już wszczęcie postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej oraz realna perspektywa wymierzenia kary finansowej stały się dla Administratora wyraźnym sygnałem tego, iż dalsze uchylanie się od obowiązków nałożonych przepisami rozporządzenia 2016/679, nieuchronnie prowadziło będzie do zastosowania wobec niego najsurowszych, przewidzianych tymi przepisami sankcji.

21.

Mając powyższe na uwadze, Prezes UODO uznał za uzasadnione udzielenie Administratorowi upomnienia w zakresie stwierdzonego naruszenia art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679, przyjmując jednocześnie, że w świetle kryteriów określonych w art. 83 ust. 2 rozporządzenia 2016/679 będzie ono skuteczne i wystarczające. Należy jednak zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Administratora będzie uwzględnione przy ocenie przesłanek warunkujących zasadność wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 rozporządzenia 2016/679 i poczytywane będzie na jego niekorzyść.

W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął jak w sentencji niniejszej decyzji.