Godło Rzeczypospolitej Polskiej

Portal Orzeczeń

DostępnośćBIP
Decision logo
Warszawa, 10 lutego 2026nieprawomocna

Decyzja DKN.5131.15.2025

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2025 r. poz. 1691) w związku z art. 7 ust. 1 i 2, art. 10, art. 11, art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej: „ustawą z 10 maja 2018 r.”, oraz art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. b) i lit. i), art. 83 ust. 1 - 3, art. 83 ust. 4 lit. a) w związku z art. 33 ust. 1, art. 34 ust. 1, art. 37 ust. 7 oraz art. 38 ust. 6 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej „rozporządzeniem 2016/679”,
po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przez R. (…) z siedzibą w M. przy ul. (…) (wcześniej: S. (…) z siedzibą w M.) przepisów o ochronie danych osobowych, Prezes Urzędu Ochrony Danych Osobowych:
I.
stwierdzając naruszenie przez R. (…) przepisu art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia,
nakłada na R. (…) administracyjną karę pieniężną w wysokości 6 700 PLN (słownie: sześciu tysięcy siedmiuset złotych);
II.
stwierdzając naruszenie przez R. (…) przepisu art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu ochrony danych osobowych,
udziela R. (…) upomnienia;
III.
stwierdzając naruszenie przez R. (…) przepisów:
a)
art. 37 ust. 7 rozporządzenia 2016/679 w związku z art. 11 ustawy z 10 maja 2018 r., polegające na braku niezwłocznej publikacji danych kontaktowych inspektora ochrony danych - po objęciu tej funkcji przez Pana L. G.;
b)
art. 37 ust. 7 rozporządzenia 2016/679 w związku z art. 10 ustawy z 10 maja 2018 r., polegające na braku zawiadomienia organu nadzorczego o objęciu przez Pana L. G. funkcji inspektora ochrony danych, w terminie 14 dni od dnia jego wyznaczenia;
c)
art. 37 ust. 7 rozporządzenia 2016/679 w związku z art. 10 ustawy z 10 maja 2018 r., polegające na braku zawiadomienia organu nadzorczego o objęciu przez Pana W. L. funkcji inspektora ochrony danych, w terminie 14 dni od dnia jego wyznaczenia,
nakłada na R. (…) administracyjną karę pieniężną w wysokości 6 091 PLN (słownie: sześciu tysięcy dziewięćdziesięciu jeden złotych);
IV.
stwierdzając naruszenie przez R. (…) przepisu art. 38 ust. 6 rozporządzenia 2016/679, w związku z pełnieniem w okresie od 5 lutego do 24 lipca 2025 roku funkcji inspektora ochrony danych osobowych przez osobę pełniącą jednocześnie funkcję członka zarządu w strukturze organizacyjnej podmiotu, a zarazem koordynatora projektów, nie zapewniając tym samym by wykonywane przez inspektora ochrony danych inne zadania i obowiązki nie powodowały konfliktu interesów,
nakłada na R. (…) administracyjną karę pieniężną w wysokości 9 137 PLN (słownie: dziewięciu tysięcy stu trzydziestu siedmiu złotych).

Uzasadnienie

1.
R. (…) z siedzibą w M. przy ul. (…) (wcześniej: S. (…) z siedzibą w M.), zwana dalej również „R.” (…) lub „Administratorem”, jest organizacją pozarządową skoncentrowaną na udzielaniu bezpłatnych porad psychologicznych oraz prawnych. Zgodnie z informacjami zawartymi na oficjalnej stronie internetowej, tj. https://(…) (wydruk w aktach sprawy), R. (…) w ramach prowadzonej działalności zarządza ośrodkami pomocy postpenitencjarnej (między innymi w (…)), ośrodkami pomocy pokrzywdzonym przestępstwem (w (…)), Centrum D. (…) oraz punktami aktywizacji seniorów w gminach województwa (…) i (…).
2.
12 września 2022 roku do Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej również „Prezesem UODO” lub „organem nadzorczym”, wpłynęło pismo (…) Urzędu Wojewódzkiego (ul. (…), (…) Z.) o sygn. (…), wskazujące na możliwość wystąpienia incydentu bezpieczeństwa, polegającego na przesłaniu przez R. (…), w formie załączników do wniosków o wpis na listę organizacji pozarządowych uprawnionych do prowadzenia na terenie województw punktów nieodpłatnej pomocy prawnej, poradnictwa obywatelskiego i mediacji, kopii niezanonimizowanych dokumentów dotyczących osób, na rzecz których dotychczas R. (…) świadczyła usługi.
3.
Następnie, pismem z 24 listopada 2022 roku (sygn. (…)) Wojewoda (…) zasygnalizował organowi nadzorczemu, że w ramach struktury organizacyjnej (…) zidentyfikował tożsamy incydent bezpieczeństwa, informując, że cyt.: „S. (…) przekazała 25 kart potwierdzających świadczenie pomocy prawnej, które zawierały dane osobowe beneficjentów - imię, nazwisko, adres zamieszkania, PESEL, numer telefonu. Karty zawierały także informację na temat sprawy, z którą zgłosił się beneficjent, w niektórych przypadkach zamieszczono informacje na temat przebytej choroby czy trudnej sytuacji rodzinnej (…) Ponadto R. (…) przekazała także dane osobowe czterech osób, z którymi zawarła umowę o współpracy - imię i nazwisko, PESEL, adres, numer telefonu”. Jak zaznaczył Wojewoda (…), cyt.: „niezanonimizowane dane zostały przekazane do Wojewodów, więc nie można mówić o jednorazowym incydencie czy omyłce”.
4.
Przepisy art. 11d ust. 2 - 8 ustawy z dnia 5 sierpnia 2015 r. o nieodpłatnej pomocy prawnej, nieodpłatnym poradnictwie obywatelskim oraz edukacji prawnej (Dz. U. z 2024 r. poz. 1534 ze zm.), zwanej danej „ustawą z 5 sierpnia 2015 r.”, w brzmieniu obowiązującym w chwili wystąpienia incydentu, tj. w okresie sierpień - wrzesień 2022 roku, określiły warunki, jakie muszą zostać łącznie spełnione przez podmiot ubiegający się o wpis na listę organizacji pozarządowych uprawnionych do prowadzenia punktów nieodpłatnej pomocy prawnej, punktów nieodpłatnego poradnictwa obywatelskiego oraz punktów nieodpłatnej mediacji, a także wymogi dotyczące sposobu udokumentowania spełnienia powyższych warunków. I tak, w myśl art. 11d ust. 8 pkt 1 i 2 ustawy z 5 sierpnia 2015 r., organizacja pozarządowa składająca wniosek o wpis na ww. listę, zobowiązana jest dołączyć do niego „dokumenty potwierdzające spełnianie warunku, o którym mowa w ust. 2 pkt 1 lub ust. 3 pkt 1, lub ust. 4 pkt 1, w tym na żądanie wojewody, informację o sposobie i okresie, w którym wykonywała zadania wiążące się z udzielaniem porad prawnych, informacji prawnych, świadczeniem poradnictwa obywatelskiego lub nieodpłatnego poradnictwa lub prowadzeniem mediacji” oraz „listę adwokatów, radców prawnych, doradców podatkowych, osób, o których mowa w art. 11 ust. 3 pkt 2, lub doradców oraz mediatorów, o których mowa w art. 4a ust. 6, z którymi zawarła umowy o udzielanie nieodpłatnej pomocy prawnej, świadczenie nieodpłatnego poradnictwa obywatelskiego lub prowadzenie nieodpłatnej mediacji” (przepis ten obowiązuje w niezmienionym brzmieniu do dziś). Powołane przepisy nie kształtowały zatem po stronie R. (…) obowiązku ujawniania, w ramach procedury, w której brała udział, danych osobowych konkretnych beneficjentów świadczonych usług oraz danych osobowych jej współpracowników - w zakresie w jakim to uczyniła. R. (…), przekazując w załączeniu do wniosków o wpis na listę organizacji pozarządowych uprawnionych do prowadzenia punktów nieodpłatnej pomocy prawnej, punktów nieodpłatnego poradnictwa obywatelskiego oraz punktów nieodpłatnej mediacji niezanonimizowane karty zawierające dane osobowe beneficjentów oraz szeroki zakres danych osobowych współpracowników, uczyniła to zatem nadmiarowo. Powyższy aspekt ponadnormatywności w działaniach Administratora został również podkreślony przez (…), tj. adresata ww. wniosku R. (…), a zarazem podmiot właściwy dla oceny jego merytorycznej i formalnej poprawności, w piśmie z 12 września 2022 roku (pkt 2 uzasadnienia niniejszej decyzji) - cyt.: „Do wniosku R. (…) z własnej inicjatywy dołączyła kopie dokumentów, zawierające niezanonimizowane dane osobowe 25 osób fizycznych, na rzecz których R. (…) świadczyła usługi”. Analogicznie ww. działania R. (…) ocenił inny adresat jej wniosku, tj. Wojewoda (…), który w piśmie z 24 listopada 2022 roku (pkt 3 uzasadnienia niniejszej decyzji) jednoznacznie stwierdził, że cyt.: „brak jest podstaw do przekazania danych w zakresie, w jakim zrobiła to R. (…)”. Również sama R. (…) na żadnym etapie prowadzonego postępowania nie twierdziła, że ww. jej działania miały charakter intencjonalny, lecz przyznawała, że były wynikiem błędu po jej stronie (braku anonimizacji załączonych do wniosków dokumentów). Reasumując, R. (…) przekazując niezanonimizowane karty beneficjentów oraz ww. dane osobowe współpracowników doprowadziła do zmaterializowania się naruszenia ochrony danych osobowych, polegającego na ujawnieniu danych osobowych 29 osób podmiotom do tego nieuprawnionym. Wartym zaakcentowania w tym kontekście jest spoczywający na Administratorze na mocy art. 11d ust. 2 pkt 3 lit. a), art. 11d ust. 3 pkt 3 lit. a) i art. 11 ust. 4 pkt 3 lit a) ustawy z dnia 5 sierpnia 2015 r. wymóg zapewnienia poufności w związku z udzielaniem nieodpłatnej pomocy prawnej, poradnictwa obywatelskiego i mediacji i ich dokumentowaniem.
5.
Administrator nie dokonał stosownego zgłoszenia Prezesowi UODO ww. naruszenia ochrony danych osobowych oraz nie wywiązał się z obowiązku zawiadomienia osób, których dane dotyczą o wystąpieniu niniejszego incydentu. Podkreślenia jednakże wymaga, że R. (…) w ramach realizacji wystąpień organu nadzorczego (pisma z 3 marca, 23 kwietnia oraz 1 lipca 2025 roku) kolejno 31 marca oraz 17 lipca 2025 roku (data wskazana na piśmie - 11 lipca 2025 roku) zawiadomiła podmioty danych o powstałym naruszeniu ochrony danych osobowych - w sposób odpowiadający wymogom rozporządzenia 2016/679.
6.
Ponadto, w oparciu o wyjaśnienia Administratora z 10 kwietnia 2025 r. dotyczące opisanego incydentu oraz dalsze jego wyjaśnienia dotyczące tego wątku sprawy, a także udostępnioną na Portalu Rejestrów Sądowych[1] dokumentację (tj. uchwały zarządu - wydruk w aktach sprawy) stwierdzono, że funkcję inspektora ochrony danych (dalej jako IOD) w jego organizacji sprawował Pan L. G., piastujący jednocześnie stanowisko prezesa zarządu R. (…) (od 17 lutego 2025 r., a zarazem, od 1 maja 2025 r., koordynatora projektów), poprzednio zaś: członka zarządu R. (…) (w okresie od 6 października 2022 r. do 16 lutego 2025 r.). Ponadto - zgodnie z przekazanymi informacjami - na mocy Uchwały Zarządu R. (…) z 24 lipca 2025 roku funkcję IOD od 24 lipca 2025 roku pełni Pan W. L..
7.
W systemie obsługi korespondencji organu nadzorczego, w którym ewidencjonowane są zgłoszenia dotyczące wyznaczenia IOD oraz zastępców IOD, w tym przekazania ich danych kontaktowych organowi nadzorczemu zgodnie z obowiązkiem określonym w art. 37 ust. 7 rozporządzenia 2016/679 oraz art. 10 ustawy z dnia 10 maja 2018 r. - wedle stanu na dzień udzielenia wyjaśnień przez R. (…), tj. 14 sierpnia 2025 r. - nie odnaleziono stosownych notyfikacji w ww. zakresie dokonanych przez Administratora. Podkreślenia wymaga, że R. (…) zawiadomiła Prezesa UODO o wyznaczeniu IOD zarówno w osobie Pana L. G., jak i Pana W. L., dopiero 25 sierpnia 2025 r.
8.
Na oficjalniej stronie internetowej R. (…), tj. (…) 25 lipca 2025 roku zostało opublikowane cyt.: „(…)” - informujące o wyznaczeniu nowej osoby do pełnienia funkcji IOD w osobie Pana W. L.. Z kolei, wedle stanu na 18 maja 2025 roku (wydruk w aktach sprawy), na ww. stronie internetowej, w tym w Biuletynie Informacji Publicznej nie odnaleziono publikacji obowiązkowych danych kontaktowych IOD - w chwili sprawowania niniejszej funkcji przez Pana L. G..
9.
Zasadnym - z uwagi na kontekst merytoryczny - zdaje się również wskazanie, że R. (…) w ramach umowy nr (…) (dalej jako „Umowa”) zawartej z Ministrem Sprawiedliwości zobowiązana została do realizacji zadań ze środków Funduszu Pomocy Pokrzywdzonym oraz Pomocy Postpenitencjarnej - Funduszu Sprawiedliwości (dalej jako „Fundusz”) (…). W szczególności, należy zwrócić uwagę na § 1 pkt 2 Umowy regulujący zakres współpracy między ww. stronami, tj. cyt.: „(…)”.
10.
W konsekwencji prowadzonych na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679 czynności wyjaśniających (pod sygn. DKN.5101.335.2022), w związku ze zgromadzonymi w ich wyniku informacjami, Prezes UODO 29 października 2025 roku wszczął z urzędu postępowanie administracyjne (DKN.5131.15.2025) w przedmiocie naruszenia przez R. (…), jako administratora, obowiązków wynikających z przepisów:
a)
art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia,
b)
art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych bez zbędnej zwłoki osób, których dane dotyczą,
c)
art. 37 ust. 7 rozporządzenia 2016/679 w związku z art. 10 i art. 11 ustawy z 10 maja 2018 r., polegające na braku publikacji danych kontaktowych inspektora ochrony danych oraz braku zawiadomienia o tych danych organu nadzorczego, w okresie pełnienia ww. funkcji przez Pana L. G., tj. w okresie od 5 lutego do 24 lipca 2025 roku,
d)
art. 37 ust. 7 rozporządzenia 2016/679 w związku z art. 10 ustawy z 10 maja 2018 r., polegające na braku zawiadomienia organu nadzorczego o objęciu przez Pana W. L. funkcji inspektora ochrony danych, w terminie 14 dni od dnia wyznaczenia,
e)
art. 38 ust. 6 rozporządzenia 2016/679, w związku z pełnieniem w okresie od 5 lutego do 24 lipca 2025 roku funkcji inspektora ochrony danych przez osobę zajmującą jednocześnie stanowisko prezesa zarządu R. (…) (od 17 lutego 2025 r., a zarazem, od 1 maja 2025 r., koordynatora projektów), poprzednio zaś: członka zarządu R. (…) (w okresie od 6 października 2022 r. do 16 lutego 2025 r.) nie zapewniając tym samym by wykonywane przez inspektora ochrony danych inne zadania i obowiązki nie powodowały konfliktu interesów.

Prezes UODO, w wyniku przeprowadzonych czynności wyjaśniających oraz postępowania administracyjnego ustalił następujący stan faktyczny.

I. Naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 rozporządzenia 2016/679 oraz związany z tym obowiązek notyfikacyjny oraz informacyjny.

11.
Prezes UODO pismami z: 13 września 2022 roku, 16 marca 2023 roku oraz 3 marca, 23 kwietnia, 1 lipca, 31 lipca, 19 sierpnia, a także 26 sierpnia 2025 roku zwrócił się do R. (…) o złożenie wyjaśnień w zakresie wystąpienia naruszenia ochrony danych osobowych, polegającego na przesłaniu szeregowi podmiotów (wojewodom), w formie załączników do wniosków o wpis na listę organizacji pozarządowych uprawnionych do prowadzenia na terenie województw punktów nieodpłatnej pomocy prawnej, poradnictwa obywatelskiego i mediacji, kopii niezanonimizowanych dokumentów dotyczących osób, na rzecz których podmiot dotychczas świadczył usługi, a także niezanonimizowanych (i w opinii jednego z odbiorców nadmiarowych) dokumentów dotyczących cyt.: „czterech osób, z którymi [R. (…)] zawarła umowę o współpracy”.
12.
Z wyjaśnień udzielonych przez Administratora korespondencją z: 26 września 2022 roku, 27 marca 2023 roku oraz 10 kwietnia, 25 lipca, 14 sierpnia, 25 sierpnia i 10 września 2025 roku, a także informacji uzyskanych od (…) Urzędu Wojewódzkiego oraz Wojewody (…) opisanych kolejno w pkt 2 i 3 uzasadnienia niniejszej decyzji wynika, że:
a)
do zmaterializowania się naruszenia ochrony danych osobowych doszło w następujący sposób cyt.: „na skutek omyłki naszego pracownika do przesyłki kierowanej do (…) Urzędu Wojewódzkiego załączono niezanonimizowane kopie kart udzielanej przez nas pomocy prawnej pro bono” (pismo z 26 września 2022 roku) - mimo wydania ww. osobie polecenia zanonimizowania dokumentów;
b)
naruszenie dotyczyło 29 osób fizycznych, w tym 25 klientów (beneficjentów) oraz 4 współpracowników (w zakresie ich imienia, nazwiska, adresu oraz numeru PESEL);
c)
przekazane niezanonimizowane karty zawierały dane osobowe beneficjentów w zakresie imienia i nazwiska, numeru PESEL, adresu zamieszkania oraz informacji o sytuacji prawnej lub osobistej, które cyt.: „stanowią potwierdzenie faktu udzielenia pomocy prawnej pro bono na rzecz tej osoby [osób] przez specjalistów (prawników)” (pismo z 26 września 2022 roku);
d)
przeprowadzona analiza ryzyka doprowadziła Administratora do wniosku, że incydent miał charakter jednostkowy i wynikał wyłącznie z niezamierzonego błędu pracownika. R. (…) oceniła, że cyt.: „jest mało prawdopodobne, aby naruszenie to skutkowało naruszeniem praw lub wolności osób, których dane dotyczyły, z tego też względu nie dokonywano zgłoszenia naruszenia organowi nadzorczemu. Dane nie zostały ujawnione żadnym innym podmiotom lub osobom poza (…) Urzędem Wojewódzkim - jest to instytucja publiczna, nie prowadząca działalności gospodarczej, a zatem nie ma ryzyka dalszego nieuprawnionego udostępnienia danych. Dane udostępnione zostały w formie dokumentu papierowego, a tym samym nie zostały wprowadzone do pamięci żadnego urządzenia elektronicznego lub sieci Internet, nie ma więc ryzyka udostępnienia ich nieoznaczonej ilości osób i dalszego nieuprawnionego powielania” (pismo z 26 września 2022 roku);
e)
cyt.: „W analizie ryzyka naruszeń (…) jest informacja o zawiadomieniu PUODO, która to dotyczy faktu, że takiego zawiadomienia dokonał organ administracji publicznej. Sama analiza nie wykazuje konieczności zawiadomienia PUODO, w związku z czym mowa jest o już dokonany zgłoszeniu przez winny podmiot” (pismo z 10 września 2025 roku);
f)
wbrew stanowisku Administratora zaprezentowanemu w piśmie z 26 września 2022 roku, incydent nie miał jednostkowego charakteru, gdyż do Urzędu Ochrony Danych Osobowych wpłynęły informacje wskazujące na wysłanie przez R. (…) niezanonimizowanych dokumentów także i do innych wojewodów (pkt 3 uzasadnienia niniejszej decyzji);
g)
R. (…) w ramach realizacji wystąpień Prezesa UODO (pisma z 3 marca, 23 kwietnia oraz 1 lipca 2025 roku), zgodnie z wymogami określonymi w art. 34 ust. 2 w zw. z art. 33 ust. 3 lit. b), c) i d) rozporządzenia 2016/679, dokonała zawiadomienia wszystkich osób, których dane objęte były przedmiotowym naruszeniem ochrony danych osobowych, tj. 17 lipca 2025 roku beneficjentów (klientów) w zakresie cyt.: „imię, nazwisko, adres zamieszkania, numer PESEL oraz informacje dotyczące sytuacji prawno-majątkowej” (pismo z 11 lipca 2025 roku) oraz 31 marca 2025 roku współpracowników w zakresie imienia, nazwiska, adresu oraz numeru PESEL (pismo z 31 marca 2025 roku);
h)
Administrator dokonał przeglądu obowiązujących procedur w celu wyeliminowania ryzyka wystąpienia analogicznego incydentu w przyszłości oraz przeszkolił osoby współpracujące z R. (…) z zakresu ochrony danych osobowych;
i)
R. (…) zobowiązana do przedłożenia analizy ryzyka naruszenia praw lub wolności osób fizycznych, których dane objęte były niniejszym incydentem, wraz z pismami z 27 marca 2023 roku oraz 14 sierpnia 2025 roku przekazała następujące dokumenty:
notatkę służbową z 20 września 2022 roku wraz z kopią książki korespondencji - jako dowód wykonania czynności sprawdzających i analizy przyczyn wystąpienia incydentu oraz podjęcia decyzji o wdrożeniu czynności naprawczych;
dokument pt.: „(…)” - udostępniany specjalistom w momencie rozpoczęcia współpracy z R. (…);
kopię cyt.: „jednej z umów zawieranych z naszymi specjalistami - umowa ma formę B2B”;
„(…) z 23 września 2022 roku”.

II. Wyznaczenie i usytuowanie IOD w strukturze organizacyjnej. Obowiązek notyfikacyjny oraz informacyjny związany z powołaniem IOD.

13.
W związku z pozyskaniem informacji w zakresie pełnienia przez Pana L. G. funkcji IOD w organizacji Administratora przy jednoczesnym piastowaniu przez ww. osobę stanowiska członka zarządu, a następnie od 17 lutego 2025 roku prezesa zarządu (a zarazem od 1 maja 2025 roku koordynatora projektów) oraz brakiem realizacji przez R. (…) obowiązków wynikających z art. 37 ust. 7 rozporządzenia 2016/679 w związku z art. 10 i art. 11 ustawy z 10 maja 2018 r. w związku z pełnieniem przez Pana L. G. oraz Pana W. L. funkcji IOD, Prezes UODO pismami z: 23 kwietnia, 1 lipca, 31 lipca, 19 sierpnia, 26 sierpnia, 12 września oraz 13 października 2025 roku zobowiązał Administratora do przekazania stosownych wyjaśnień w omawianym zakresie.
14.
Z przekazanych korespondencją z: 25 lipca, 14 sierpnia, 25 sierpnia, 10 września, 26 września oraz 20 października 2025 roku wyjaśnień R. (…) wynika, że:
a)
Pan L. G. pełnił funkcję IOD w organizacji Administratora w okresie od 5 lutego do 24 lipca 2025 roku, przy czym w ww. okresie piastował jednocześnie stanowisko członka zarządu (jednoosobowego), a od 17 lutego 2025 roku również prezesa zarządu (a zarazem od 1 maja 2025 roku koordynatora projektów);
b)
z wyjaśnień R. (…) wynika, że w dniu 21 stycznia 2025 roku Pani L. I. została odwołana cyt.: „ze stanowiska członkini Zarządu, a tym samym L. G. został jedynym członkiem Zarządu” (pismo z 10 września 2025 roku);
c)
zgodnie z §11 pkt 1 Uchwały Zarządu R. (…) nr 3/2025 z 6 lutego 2025 roku w przedmiocie: uchwalenia nowego statutu R. (…) cyt.: „(…)” (…);
d)
R. (…) na podstawie przeprowadzonej „(…)” (Kandydat na IOD: osoba pełniąca funkcję Członka Zarządu R. (…) - L. G.) stwierdziła, że cyt.: „nie zachodzi konflikt interesów w związku z pełnieniem przez Inspektora Ochrony Danych Osobowych (IOD) funkcji Prezesa Zarządu R. (…). Głównym czynnikiem eliminującym ryzyko jest charakter działalności R. (…), opartej na projektach dotacyjnych z Funduszu Sprawiedliwości, gdzie grantodawca określa cele i sposoby przetwarzania danych osobowych, narzucając wzory dokumentów w zakresie ochrony danych. To zapewnia niezależność IOD, zgodność z RODO i skuteczne wykonywanie zadań”;
e)
Administrator cyt.: „Po przeanalizowaniu argumentacji zawartej w Państwa [organu nadzorczego] piśmie dotyczącej IOD” podjął decyzję o zmianie osoby pełniącej tę funkcję - w związku z czym cyt.: „obecnie Inspektorem został radca prawny Pan W. L.” (pismo z 25 lipca 2025 roku);
f)
Pan W. L. (na mocy Uchwały Zarządu R. (…) z 24 lipca 2025 roku) pełni funkcję IOD w R. (…) od 24 lipca 2025 roku - z zaznaczeniem, że ww. osoba nie zajmuje żadnego innego stanowiska w strukturze organizacyjnej podmiotu. W związku z powyższym, Administrator 25 lipca 2025 roku opublikował na stronie internetowej podmiotu cyt.: „(…)” - informujące o wyznaczeniu nowej osoby do pełnienia funkcji IOD;
g)
wedle wyjaśnień R. (…) dotyczących realizacji obowiązku informacyjnego statuowanego w art. 37 ust. 7 rozporządzenia 2016/679 (obowiązku publikacji danych kontaktowych inspektora ochrony danych) cyt.: „uzupełnienie strony internetowej [danymi kontaktowymi IOD w okresie pełnienia tej funkcji przez Pana L. G.] nastąpiło w okresie lipiec - sierpień 2025 roku, konkretnej daty nie jestem w stanie wskazać” (pismo z 25 sierpnia 2025 roku);
h)
Administrator wraz z korespondencją z 14 sierpnia 2025 roku przekazał kopię pism z 6 lutego oraz 25 lipca 2025 roku zaadresowanych do organu nadzorczego, które kolejno informowały o wyznaczeniu Pana L. G. oraz Pana W. L. do pełnienia funkcji IOD - przy czym należy podkreślić, że w systemie obsługi korespondencji organu nadzorczego, w którym ewidencjonowane są zgłoszenia dotyczące wyznaczenia IOD oraz zastępców IOD, w tym przekazania ich danych kontaktowych organowi nadzorczemu, nie odnaleziono stosownej notyfikacji w ww. zakresie dokonanej przez R. (…);
i)
Administrator nie przedłożył dowodów potwierdzających zarówno nadanie, jak i przesłanie ww. zawiadomień, ze względu na to, że cyt.: „były wysłane Pocztą Polską listami zwykłymi” (pisma z 25 sierpnia oraz 20 października 2025 roku);
j)
25 sierpnia 2025 roku cyt.: „na adres e-doręczeń Urzędu Ochrony Danych Osobowych” (pismo z 25 sierpnia 2025 roku) zostały przekazane zawiadomienia o wyznaczeniu Pana L. G. i Pana W. L. do pełnienia funkcji IOD, jak i o odwołaniu Pana L. G. z piastowania ww. funkcji.
15.
R. (…) przekazała organowi nadzorczemu w formie załączników do składanych wyjaśnień: schemat organizacyjny R. (…), „(…)”, „(…)”, „(…)”, „(…)”, „(…)”, „(…)”, zawiadomienie skierowane do Urzędu Ochrony Danych Osobowych o wyznaczeniu Pana L. G. do pełnienia funkcji IOD z 6 lutego 2025 roku, zawiadomienie skierowane do Urzędu Ochrony Danych Osobowych o wyznaczeniu Pana W. L. do pełnienia funkcji IOD z 25 lipca 2025 roku, cyt.: „wydruki ze strony internetowej R. (…) dotyczące upublicznienia informacji o IOD w osobie L. G. (strona BIP R. (…)) oraz W. L. (ogłoszenie na stronie R. (…))”, umowę nr (…) zawartą pomiędzy R. (…) a Ministrem Sprawiedliwości na powierzenie realizacji zadań ze środków Funduszu Pomocy Pokrzywdzonym oraz Pomocy Postpenitencjarnej - Funduszu Sprawiedliwości (…), umowę o pracę na czas nieokreślony z 21 kwietnia 2025 roku zawartą pomiędzy R. (…) (w roli pracodawcy) a Panem L. G. w związku z objęciem stanowiska koordynatora projektów przez ww. osobę oraz Uchwały Zarządu R. (…) z 6 lutego 2025 roku - nr 1/2025 (w przedmiocie: zmiany siedziby R. (…)), 2/2025 (w przedmiocie: uchylenia dotychczasowego Statutu R. (…)) oraz 3/2025 (w przedmiocie: uchwalenia nowego Statutu R. (…)).

W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

16.
W myśl art. 34 ustawy z 10 maja 2018 r., Prezes UODO jest organem właściwym w sprawie ochrony danych i organem nadzorczym w rozumieniu rozporządzenia 2016/679. Prezes UODO prowadzi postępowania w sprawie naruszenia przepisów o ochronie danych osobowych (art. 60 ustawy z 10 maja 2018 r.), przy czym w sprawach nieuregulowanych w ww. ustawie, do postępowań administracyjnych przed Prezesem UODO, w szczególności unormowanych w rozdziale 7 ustawy z 10 maja 2018 r. - postępowań w sprawie naruszenia przepisów o ochronie danych osobowych, stosuje się ustawę z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2025 r. poz. 1691), zwaną dalej również „Kpa”. Stosownie do art. 57 ust. 1 lit. a) i h) rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia oraz prowadzi postępowania w sprawie stosowania niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego. Instrumentami realizacji zadań przewidzianych w art. 57 ust. 1 rozporządzenia 2016/679 są w szczególności określone w jego art. 58 ust. 2 uprawnienia naprawcze, w tym możliwość: udzielenia administratorowi upomnienia w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania (lit. b) oraz zastosowanie, oprócz lub zamiast środków, o których mowa w niniejszym ustępie, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy (lit. i).
17.
Stosownie do art. 4 pkt 7 rozporządzenia 2016/679, administratorem jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

III. Naruszenia art. 33 ust. 1 oraz 34 ust. 1 rozporządzenia 2016/679.

18.
Zgodnie z art. 4 pkt 12 rozporządzenia 2016/679, naruszenie ochrony danych osobowych jest naruszeniem bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
19.
Art. 33 rozporządzenia 2016/679 stanowi, że w przypadku naruszenia ochrony danych osobowych, administrator, bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia (ust. 1). Zgłoszenie, o którym mowa w ust. 1, musi co najmniej: a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) zawierać imię, nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celi zminimalizowania jego ewentualnych negatywnych skutków (ust. 3).
20.
Z kolei art. 34 ust. 1 rozporządzenia 2016/679 przewiduje, że w sytuacji, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić o takim naruszeniu osobę, której dane dotyczą.
21.
Jak zatem wynika z powołanych przepisów, w zależności od tego, z jakim poziomem ryzyka naruszenia praw lub wolności osób fizycznych administrator ma do czynienia w związku z incydentem stanowiącym naruszenie ochrony danych osobowych, inaczej kształtują się jego obowiązki w stosunku do organu nadzorczego, a także osób, których dane dotyczą. Jeżeli ocena wykaże, że nie jest prawdopodobne, aby naruszenie ochrony danych skutkowało ryzykiem dla praw lub wolności osób fizycznych, należy jedynie udokumentować takie naruszenie w wewnętrznej ewidencji (nie powstaje obowiązek notyfikacji zgłoszenia naruszenia Prezesowi UODO). W przypadku stwierdzenia, że incydent może skutkować powstaniem ryzyka dla praw lub wolności osób fizycznych i jest ono wyższe niż pomijalne (zmaterializowanie się określonych zagrożeń jest prawdopodobne), obowiązkiem administratora jest zgłoszenie naruszenia ochrony danych Prezesowi UODO, jak również umieszczenie stosownego wpisu w wewnętrznej ewidencji naruszeń. Natomiast stwierdzenie prawdopodobieństwa wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, oprócz wpisu w ewidencji naruszeń, wymaga od administratora podjęcia odpowiednich działań zarówno wobec organu nadzorczego (zgłoszenie naruszenia ochrony danych osobowych), jak również wobec osób, których dane dotyczą (zawiadomienie ich o naruszeniu ochrony danych osobowych). Zatem, w przypadku naruszeń ochrony danych osobowych, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, rozporządzenie 2016/679 wprowadza po stronie administratora dodatkowy obowiązek (oprócz obowiązku dokonania stosownego wpisu w wewnętrznej ewidencji naruszeń oraz obowiązku notyfikacji incydentu organowi nadzorczemu) - tj. obowiązek niezwłocznego bezpośredniego zawiadomienia o incydencie podmiotu danych. Obowiązek ten w podanej formie jest wyłączony jedynie w wyjątkowych sytuacjach - tj. gdy działania podjęte przez administratora, w tym następcze wobec incydentu, dają podstawy by przyjąć, że ryzyko z nim związane zostało zasadniczo wyeliminowane [art. 34 ust. 3 lit. a) i b) rozporządzenia 2016/679] oraz wtedy, gdy istnieją obiektywne przeszkody dla realizacji tego obowiązku w sposób indywidualny [art. 34 ust. 3 lit. c) rozporządzenia 2016/679] - co nie wiąże się zresztą z całkowitym z niego zwolnieniem, a jedynie jego modyfikacją (z zawiadomienia realizowanego ściśle indywidualnie na komunikat publiczny lub inny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób).
22.
W przypadku wykrycia przez administratora naruszenia ochrony danych osobowych, w pierwszej kolejności konieczne jest więc dokonanie analizy zdarzenia pod kątem możliwości wystąpienia w jego wyniku ryzyka naruszenia praw lub wolności osób fizycznych (dla podmiotów, których dotyczą dane objęte zdarzeniem). Administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu wyłącznie wtedy, jeśli przeprowadzone badanie wykaże, że mało prawdopodobnym jest, aby incydent wiązał się z ryzykiem naruszenia praw lub wolności osób fizycznych. Należy jednak mieć na względzie fakt, że organ nadzorczy może w takim przypadku zwrócić się do administratora o uzasadnienie ww. oceny i związanej z nią decyzji o zaniechaniu notyfikacji - w związku z tym wnioski z przeprowadzonej analizy należy odnotować w wewnętrznej ewidencji naruszeń.
23.
Podkreślić w tym miejscu należy, że „małe prawdopodobieństwo” zaistnienia skutku w postaci naruszenia praw lub wolności osoby, której dane dotyczą, powinno być utożsamiane z sytuacją, w której oceniający posiada przesłanki pozwalające na stwierdzenie, że skutek ten nie urzeczywistni się w ogóle - a zatem wtedy, gdy mówimy o „braku ryzyka”. Warto zauważyć, że w polskiej wersji rozporządzenia 2016/679 użyto sformułowania „mało prawdopodobne”, zaś w angielskiej - terminu „unlikely”. Wyraz ten ma silniejsze znaczenie niż nasz rodzimy odpowiednik i służy do określenia czegoś, co jest raczej nieprawdopodobne, wątpliwe lub niemal niemożliwe. Warto również odwołać się w tym miejscu do Wytycznych 9/2022[2] - zwłaszcza do działu II tych Wytycznych dotyczącego art. 33 rozporządzenia 2016/679 oraz wynikającego z niego obowiązku powiadomienia organu nadzorczego. W rozdziale D tego działu EROD omówiła warunki, w których powiadomienie takie nie jest wymagane - wnikliwe przeanalizowanie treści tego rozdziału pozwala stwierdzić, że EROD stoi na stanowisku, że wyjątek z art. 33 ust. 1 rozporządzenia 2016/679 (tj. przypadek, gdy nie powstaje obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu ze względu na małe prawdopodobieństwo wystąpienia naruszenia praw lub wolności osób fizycznych) należy rozumieć wąsko - inaczej mówiąc: jako wyjątek, który znajdzie zastosowanie w sytuacjach, gdy to prawdopodobieństwo jest w sposób oczywisty małe. Z ww. wytycznych wynika, że „zgłoszenie naruszenia właściwemu organowi jest obowiązkowe, chyba że dane naruszenie najprawdopodobniej nie będzie wiązało się z ryzykiem naruszenia praw lub wolności osób fizycznych”. Oznacza to, że występująca w polskiej wersji rozporządzenia 2016/679 przesłanka „małego prawdopodobieństwa” powinna być utożsamiana z brakiem realnych szans na rzeczywistą materializację potencjalnych skutków dla osób, których dane dotyczą.
24.
Ryzyko naruszenia praw lub wolności osób fizycznych występuje wówczas, gdy naruszenie ochrony danych może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Zaznaczyć należy, że zgodnie z treścią art. 33 ust. 1 rozporządzenia 2016/679 już samo wystąpienie naruszenia ochrony danych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych zobowiązuje administratora do powiadomienia organu nadzorczego o wystąpieniu naruszenia, niezależnie od zmaterializowania się jego konsekwencji. Podobnie w przypadku art. 34 ust. 1 rozporządzenia 2016/679 - obowiązek zawiadomienia o naruszeniu ochrony danych osobowych osoby, której dane dotyczą, jest niezależny od rzeczywistego naruszenia jej praw lub wolności (zmaterializowania się określonych ryzyk związanych z tym zdarzeniem). Wynika to z samej zakładanej funkcji tego komunikatu - ma on stanowić istotny środek bezpieczeństwa wobec stwierdzonych, potencjalnych zagrożeń. Zawiadomiona o naruszeniu ochrony danych osobowych i prawidłowo poinstruowana osoba, której dane dotyczą, ma szansę podjąć działania, które pozwolą jej ochronić się przed negatywnymi konsekwencjami zdarzenia lub zminimalizować ich zakres (np. uniemożliwiając wykorzystanie w określonych celach bezprawnie pozyskanych danych).
25.
Zaprezentowane powyżej stanowisko organu nadzorczego ugruntowane zostało również w linii orzeczniczej sądów. Jak stwierdził Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 22 września 2021 r. wydanym w sprawie o sygn. akt II SA/Wa 791/21 (utrzymanym przez NSA wyrokiem z dnia 20 marca 2025 r., sygn. akt III OSK 210/22): „Podkreślić należy, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować. W treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” (przy czym Sąd ten podobnie orzekł w wyroku z 1 lipca 2022 r. wydanym w sprawie o sygn. akt II SA/Wa 4143/21 oraz w wyrokach z 31 sierpnia 2022 r., sygn. akt II SA/Wa 2993/21, z 15 listopada 2022 r., sygn. akt II SA/Wa 546/22 i z 26 kwietnia 2023 r., sygn. akt II SA/Wa 1272/22 (orzeczenie prawomocne)).
26.
Nie ulega wątpliwości, że kluczowe - w perspektywie omawianego incydentu - jest także stanowisko Naczelnego Sądu Administracyjnego, ujęte w wyroku z 1 października 2025 roku, sygn. akt III OSK 1830/22. Zgodnie z przywołanym powyżej orzeczeniem, cyt.: „Oceny, czy występuje ryzyko naruszenia praw lub wolności człowieka, musi dokonać administrator. Ocena taka powinna być oparta na obiektywnych kryteriach (jak dotychczasowe doświadczenie związane z podobnymi sprawami, wiedza z zakresu bezpieczeństwa informacji) oraz na uwzględnieniu okoliczności samego naruszenia ochrony danych osobowych. Trzeba też pamiętać, że dla braku konieczności zgłoszenia naruszenia do organu nadzorczego niezbędne jest wystąpienie małego prawdopodobieństwa, ale nie samego naruszenia praw lub wolności osób fizycznych, lecz ryzyka takiego naruszenia. Powoduje to szerszy zakres obowiązku niż w przypadku, gdyby ocena dotyczyła prawdopodobieństwa wystąpienia naruszenia praw lub wolności. Nie jest konieczne, by wysokie ryzyko się zmaterializowało i by faktycznie doszło do naruszenia praw lub wolności. Dlatego nie ma znaczenia, czy ostatecznie ich naruszenie nastąpi. Wystarczy samo pojawienie się wysokiego ryzyka naruszenia. W toku dokonywania oceny, czy występują ryzyka ich naruszenia, administrator powinien brać pod uwagę wszelkie możliwe szkody, jak i krzywdy, które mogą wyniknąć z danego zdarzenia dla osób fizycznych” […] „Do zaistnienia ryzyka nie jest przy tym konieczne, by ostatecznie doszło do wystąpienia szkody lub krzywdy wynikających z danego naruszenia ochrony danych osobowych”.
27.
Jednocześnie należy podkreślić, że Wytyczne 9/2022 zawierają rekomendacje dotyczące zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu. EROD wskazując czynniki, które należy wziąć pod uwagę przy ocenie ryzyka, odsyła do motywów 75 i 76 rozporządzenia 2016/679 - akcentujących potrzebę uwzględnienia zarówno prawdopodobieństwa wystąpienia, jak i powagi zagrożenia praw lub wolności osoby, której dane dotyczą. W przypadku naruszenia ochrony danych osobowych administrator powinien skupić swoją uwagę na wynikającym z faktu naruszenia ochrony danych osobowych ryzyku wpływu takiego naruszenia na osobę fizyczną. Zatem oceniając ryzyko dla osoby fizycznej powstałe w wyniku naruszenia ochrony danych osobowych, administrator powinien wziąć pod uwagę konkretne okoliczności naruszenia, w tym dotkliwość potencjalnego wpływu oraz prawdopodobieństwo jego wystąpienia. W związku z powyższym, przy ocenie ryzyka, EROD zaleca uwzględnienie takich kryteriów, jak: rodzaj naruszenia, charakter, wrażliwość i ilość danych osobowych, a także łatwość identyfikacji, ponieważ mogą one mieć wpływ na poziom ryzyka dla osób fizycznych. Ryzyko naruszenia praw lub wolności osoby fizycznej zgodnie z Wytycznymi 9/2022 będzie większe, gdy konsekwencje naruszenia są poważniejsze, jak również wtedy, gdy wzrasta prawdopodobieństwo ich wystąpienia. Wytyczne wskazują, aby w przypadku jakichkolwiek wątpliwości administrator zgłosił naruszenie ochrony danych osobowych organowi nadzorczemu, nawet jeśli taka ostrożność mogłaby się okazać nadmierna.
28.
Co do zasady, konsekwencją stwierdzenia naruszenia ochrony danych osobowych jest więc powstanie po stronie administratora obowiązku notyfikowania go organowi nadzorczemu. Nie należy zapominać jednak o konieczności analizy zdarzenia pod kątem potencjalnego obowiązku zawiadomienia o nim osób, których dane dotyczą. Procedując zgłoszenie naruszenia ochrony danych osobowych administrator powinien pamiętać, że art. 34 ust. 1 rozporządzenia 2016/679 wymaga, aby w sytuacji, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, bez zbędnej zwłoki zawiadomić o nim osoby, których dane dotyczą. Jest to istotne z perspektywy możliwości wdrożenia odpowiednich działań zapobiegawczych, co potwierdza wprost brzmienie motywu 86 rozporządzenia 2016/679. Art. 34 ust. 1 i 2 rozporządzenia 2016/679 ma na celu nie tylko zapewnienie możliwie najskuteczniejszej ochrony podstawowych praw lub wolności podmiotów danych, ale także realizację zasady przejrzystości, która wynika z art. 5 ust. 1 lit. a) rozporządzenia 2016/679[3].
29.
Zawiadomienie podmiotów danych o naruszeniu ochrony ich danych osobowych wiąże się z potrzebą zapewnienia im szybkiej i przejrzystej informacji o takim zdarzeniu wraz z opisem możliwych jego konsekwencji oraz środków, które mogą być podjęte w celu zminimalizowania jego ewentualnych negatywnych skutków. Mając na uwadze funkcję zawiadomienia szczególnego znaczenia nabiera określony wprost przepisami wymóg zrealizowania go w sposób dostatecznie szybki - tj. bez zbędnej zwłoki. Terminowe (niezwłoczne) wywiązanie się z obowiązku określonego w art. 34 ust. 1 rozporządzenia 2016/679 w stosunku do podmiotów, których dane zostały ujawnione, daje im bowiem realną szansę i możliwość przeciwdziałania konsekwencjom lub uniknięcia przynajmniej niektórych negatywnych następstw naruszenia ochrony danych osobowych. W tym sensie dochowanie wymogu niezwłoczności zawiadomienia jest wyrazem realizacji obowiązku prawnego, a zarazem dbałości o interesy osób, których dane dotyczą.
30.
Tym samym opóźnienie w zawiadomieniu podmiotów danych o wystąpieniu naruszenia ochrony danych osobowych należy traktować jako naruszenie obowiązków nałożonych na administratora przez unijnego prawodawcę. Nie sposób nie wspomnieć, że celem rozporządzenia 2016/679 jest zapewnienie ochrony podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych - zatem wszelkie uchybienia w zakresie prawidłowości realizacji obowiązku informacyjnego względem osób fizycznych, których dane zostały objęte incydentem bezpieczeństwa, należy klasyfikować jako godzące w ich interesy. Realizacja obowiązku zawiadomienia w sposób niezwłoczny leży przy tym również w najlepszym interesie administratora, ponieważ potencjalnie może ograniczyć zakres i wysokość roszczeń cywilnoprawnych, jakie mogą wobec niego kierować osoby, których dane dotyczą[4].
31.
Należy podkreślić, że oceny ryzyka naruszenia praw lub wolności osoby fizycznej (rzutującej na zakres obowiązków administratora) powinno się dokonać przez pryzmat osoby zagrożonej, a nie interesów administratora. Zawiadomiona o naruszeniu ochrony danych osobowych osoba fizyczna może następnie sama ocenić, czy taki incydent bezpieczeństwa może powodować dla niej negatywne konsekwencje, oszacować ich wagę i szansę zmaterializowania się oraz podjąć decyzję odnośnie zasadności i rodzaju działań zaradczych. W oparciu o informacje przekazane przez administratora dotyczące opisu charakteru naruszenia i środków zastosowanych lub proponowanych w celu zaradzenia naruszeniu, osoba fizyczna może również ocenić, czy w związku z zaistniałym naruszeniem i reakcją na nie, administrator daje rękojmię należytego przetwarzania jej danych osobowych w sposób zapewniający ich bezpieczeństwo. Brak zawiadomienia osoby fizycznej, czy nieuzasadniona zwłoka w dokonaniu tego zawiadomienia, w przypadku wystąpienia wysokiego ryzyka naruszenia praw lub wolności, pozbawiają podmiot danych możliwości odpowiedniej reakcji na naruszenie bądź mogą istotnie wpłynąć na skuteczność podejmowanych przez niego działań zabezpieczających. Zaniechania czy niezasadne opóźnienia administratora w omawianym zakresie pozbawiają także podmiot danych możliwości dokonania samodzielnej, niezwłocznej oceny naruszenia, które przecież dotyczy jego danych osobowych i może powodować dla niego poważne konsekwencje.
32.
Ponadto, podkreślić należy, że brak zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu pozbawia ten organ możliwości odpowiedniej reakcji na naruszenie. Reakcja ta jest związana z weryfikacją poprawności dokonanej przez administratora analizy ryzyka związanego z incydentem i m.in. weryfikacją działań podjętych przez niego następczo - w celu zaradzenia naruszeniu ochrony danych osobowych, zminimalizowania jego negatywnych skutków dla osób, których dane dotyczą, oraz środków bezpieczeństwa zastosowanych w celu zminimalizowania ryzyka ponownego wystąpienia takiego naruszenia.
33.
Zaprezentowane powyżej stanowisko organu nadzorczego zostało potwierdzone również w wyroku WSA w Warszawie z 26 kwietnia 2023 r., II SA/Wa 1272/22 (orzeczenie prawomocne), w którym wskazano, że cyt.: „w sytuacji, gdy na skutek naruszenia ochrony danych osobowych, wystąpiło wysokie ryzyko naruszenia praw i wolności osób fizycznych, skarżący jako administrator zobowiązany był wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy. W motywie 85 preambuły RODO wyjaśniono: «Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki». Stosując przepisy RODO, należy mieć na uwadze, że celem tego rozporządzenia (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości na przykład co do wykonania obowiązków przez administratorów - nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy opracowywaniu technicznych i organizacyjnych środków bezpieczeństwa mających im zapobiegać - należy w pierwszej kolejności brać pod uwagę te wartości. W toku dokonywania oceny, czy występują ryzyka naruszenia praw lub wolności człowieka, administrator powinien brać pod uwagę wszelkie możliwe szkody, jak i krzywdy, które mogą wyniknąć z danego zdarzenia dla osób fizycznych (tak: S. Jandt (w:) DS.-GVO..., red. J. Kühling, B. Buchner, s. 617; Y. Reif (w:) DS.-GVO..., red. P. Gola, s. 496). Mogą one w szczególności polegać na utracie kontroli nad własnymi danymi osobowymi, negatywnych konsekwencjach wizerunkowych, możliwości zawierania przez inną osobę umów z wykorzystaniem danych osobowych innej osoby fizycznej, stratach finansowych czy wreszcie negatywnym odbiorze społecznym, który może być konsekwencją upublicznienia niektórych danych osobowych. Do zaistnienia ryzyka nie jest przy tym konieczne, by ostatecznie doszło do wystąpienia szkody lub krzywdy wynikających z danego naruszenia ochrony danych osobowych (tak: jw., s. 616)”.
34.
Zgłaszanie naruszeń ochrony danych osobowych przez administratorów stanowi zatem skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Zgłaszając naruszenie organowi nadzorczemu, administratorzy informują Prezesa UODO, czy w ich ocenie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, oraz - jeśli takie ryzyko wystąpiło - czy przekazali stosowne informacje osobom fizycznym, na które naruszenie wywiera wpływ. W określonych przypadkach mogą również wskazywać na brak wymogu zawiadomienia, z uwagi na szczególne okoliczności przewidziane w art. 34 ust. 3 rozporządzenia 2016/679. Stanowisko administratora w podanym zakresie podlega weryfikacji organu nadzorczego. Warto podkreślić, że notyfikacja incydentu i kontrola prawidłowości obsługi zdarzenia dokonywana przez organ nadzorczy służy w równym stopniu interesom administratora, jak i podmiotów danych - przyczyniając się do prawidłowej realizacji omawianych obowiązków administratora oraz ochrony praw i wolności podmiotów danych.
35.
Prezes UODO weryfikuje poprawność dokonanej przez administratora oceny prawdopodobieństwa wystąpienia ryzyka związanego z naruszeniem ochrony danych osobowych i działań podjętych następczo. Zgłoszenia naruszenia ochrony danych osobowych pozwalają zatem organowi nadzorczemu na właściwą reakcję, która może w rezultacie ograniczyć skutki takich naruszeń. Niezwłoczne zawiadomienie osób fizycznych o naruszeniu służy przekazaniu im informacji na temat zaistniałego zdarzenia, związanego z nim ryzyka oraz wskazaniu działań podjętych przez samego administratora, jak i rekomendowanych podmiotom do samodzielnego podjęcia tak, aby mogły uchronić się przed potencjalnymi negatywnymi skutkami naruszenia (na tej podstawie osoby fizyczne mogą dokonać samodzielnej oceny naruszenia w kontekście możliwości materializacji negatywnych konsekwencji dla nich i podjąć decyzję odnośnie zasadności podjęcia odpowiednich działań zaradczych - w szczególności skorzystania z rekomendacji przekazanych przez administratora).
36.
Jak wynika z powyższych rozważań, w przypadku uzyskania informacji o naruszeniu ochrony danych osobowych, punktem wyjścia do dalszych działań jest dla administratora niezwłoczne przeprowadzenie oceny ryzyka związanego z tym naruszeniem dla praw lub wolności osób fizycznych, których to naruszenie dotyczy. Ocena ta stanowi podstawę dla decyzji administratora odnośnie do konieczności realizacji obowiązków z art. 33 ust. 1 oraz 34 ust. 1 rozporządzenia 2016/679.
37.
Nie można przy tym zapominać, że prawo do prywatności jest jednym z podstawowych praw człowieka, a jego ochrona stanowi element zasadniczy systemu wartości. W przedmiotowej materii wypowiedział się również Sąd Apelacyjny w Warszawie w wyroku z 19 listopada 2019 r., sygn. akt VI ACa 397/18, wskazując, że „Prawo do prywatności w świetle regulacji konstytucyjnych ujmowane jest przede wszystkim przez pryzmat autonomii jednostki wywodzonej z godnościowej koncepcji osoby ludzkiej, stanowiącej, w świetle art. 30 Konstytucji RP, źródło wszelkich praw i wolności. Prawo do ochrony życia prywatnego, stanowiące przedmiot ochrony na gruncie art. 47 Konstytucji RP, oznacza prawo jednostki do decydowania o swoim życiu osobistym. Jednostka, jako podmiot obdarzony autonomią woli, ma prawo samodzielnie wyznaczać obszar swojej prywatności, w szczególności wytyczać granice dostępności swojego życia osobistego i informacji o nim dla innych. Prawo do prywatności w aspekcie autonomii informacyjnej jednostki oznacza uprawnienie do decydowania, które informacje jej dotyczące dostępne będą osobom trzecim”.
38.
W badanej sprawie Administrator, zapytany przez Prezesa UODO pismem z 13 września 2022 roku o to, czy przeprowadził analizę związaną z przedmiotowym zdarzeniem, pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędną do oceny, czy doszło do naruszenia ochrony danych osobowych skutkującego koniecznością zawiadomienia organu nadzorczego oraz osób, których dotyczy naruszenie (pkt 12 lit. d uzasadnienia niniejszej decyzji) wskazał, że cyt.: „W naszej ocenie jest mało prawdopodobne, aby naruszenie to skutkowało naruszeniem praw lub wolności osób, których dane dotyczyły, z tego też względu nie dokonywano zgłoszenia naruszenia organowi nadzorczemu” (pismo z 26 września 2022 roku), a następnie 14 sierpnia 2025 roku przekazał dokument pt.: „(…)”, dalej jako Analiza (data sporządzenia: 23 września 2022 roku). W ramach ww. Analizy R. (…) zaklasyfikowała poziom ryzyka naruszenia praw lub wolności osób fizycznych, powstały na skutek omawianego incydentu, jako niski - cyt.: „Poziom ryzyka: Niskie - Prawdopodobieństwo szkody bardzo niskie, ciężkość niska/średnia. Nie przekracza progu "wysokiego ryzyka" wymagającego powiadomienia osób dotkniętych (art. 34 RODO). Ryzyko nie uzasadnia zgłoszenia do PUODO jako "wysokiego" (…) R. (…) założyła brak istotnego ryzyka naruszenia praw i wolności osób fizycznych, głównie ze względu na przekazanie danych organom administracji publicznej, które zapewniają ich ochronę”.
39.
Powyższa ocena dokonana przez Administratora jest błędna. Informacje zawarte w korespondencji, z której Prezes UODO powziął wiedzę o zdarzeniu (pkt 2 i 3 uzasadnienia niniejszej decyzji), wyjaśnieniach samego Administratora, a następnie w przedłożonej przez niego Analizie wskazują, że incydent objął takie kategorie danych (pkt 3, 12 lit. b i 12 lit. c uzasadnienia niniejszej decyzji), których nieuprawnione ujawnienie (naruszenie poufności) może wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Mając na uwadze zakres danych osobowych (pkt 3, 12 lit. b i 12 lit. c uzasadnienia niniejszej decyzji) ujawnionych w ramach niniejszego incydentu należy przyjąć, że generuje on możliwość urzeczywistnienia się konkretnych i negatywnych konsekwencji wobec osób, których dotyczą. Należy przy tym zwrócić uwagę, że sam Administrator w korespondencji z 27 marca 2023 r. wskazał, że jego klienci (osoby objęte naruszeniem) to cyt.: „osoby potrzebujące, trafiające do nas po pomoc (…) w trudnej sytuacji materialnej, (…) opuszczające zakłady karne, (…) uciekające z przemocy domowej” - z tego względu w analizowanym przypadku wagę potencjalnego wypływu na prawa lub wolności osób fizycznych należy uznać za wysoką - zważywszy, że ujawnione dane bezsprzecznie pozwalają na ich precyzyjną identyfikację.
40.
Należy zaznaczyć, że R. (…), w pkt 1 Analizy wskazała, że ujawnieniu uległy cyt.: „dane osobowe beneficjentów działalności R. (…) (niezwiązane z projektem z Funduszu Sprawiedliwości), w tym: imię, nazwisko, PESEL (numer identyfikacyjny), adres zamieszkania oraz sytuacja materialno-bytowa (prawna), co obejmuje informacje o statusie materialnym, bytowym i prawnym (np. potrzeba pomocy prawnej lub psychologicznej). Dane te mają charakter wrażliwy (art. 9 RODO) ze względu na potencjalne ujawnienie informacji o sytuacji życiowej”.
41.
Administrator miał zatem świadomość potencjalnych istotnych konsekwencji naruszenia ochrony danych osobowych z uwagi na zakres danych objętych incydentem - w pkt 2.2 Analizy zidentyfikował ryzyko „stygmatyzacji lub dyskryminacji” osób, których dotyczą ujawnione dane, a w pkt 2.3. ocenił, że cyt.: „obecność danych wrażliwych i PESEL zwiększa potencjalną szkodę emocjonalną lub tożsamościową”. Wszelkie zidentyfikowane ewentualne konsekwencje związane z incydentem - zarówno w aspekcie ich wagi (poziomu dolegliwości dla osób, których dane dotyczą), jak i prawdopodobieństwa wystąpienia oceniono niżej z uwagi na wyłącznie jeden czynnik - tj. kategorie nieuprawnionych odbiorców danych (będących podmiotami publicznymi).
42.
W ocenie organu nadzorczego, okoliczność, że nieuprawnieni odbiorcy danych są podmiotami publicznymi nie daje żadnych gwarancji, że dane te nie zostaną wykorzystane w celach niezgodnych z prawem. W tak zaprezentowanym stanie faktycznym nie można w sposób pewny wykluczyć, że osoby, które weszły w posiadanie danych osobowych beneficjentów oraz współpracowników Administratora, nie wykorzystają ich w sposób, który narazi ww. osoby na konkretne i negatywne konsekwencje. Raz jeszcze należy podkreślić, że stanowisko R. (…) w ww. materii oparte jest wyłącznie na subiektywnej ocenie, która nie posiada właściwości dowodowych mogących mieć istotny wpływ na wymiar oraz wagę incydentu.
43.
Administrator wskazał zarazem, że: „dane udostępnione zostały w formie dokumentu papierowego, a tym samym nie zostały wprowadzone do pamięci żadnego urządzenia elektronicznego lub sieci Internet, nie ma więc ryzyka udostępnienia ich nieoznaczonej ilości osób i dalszego nieuprawnionego powielania”. Stwierdzenia te to wyłącznie niepoparte dowodami spekulacje Administratora, które jednocześnie pozostają w opozycji do stanowiska Wojewódzkiego Sądu Administracyjnego w Warszawie, który w wyroku z 21 stycznia 2022 r., sygn. akt II SA/Wa 1353/21, podkreślił, że cyt.: „nie ma bowiem pewności, że przed tymi czynnościami osoba ta nie wykonała np. kserokopii lub też nie utrwaliła danych osobowych zawartych w treści dokumentu w inny sposób, np. poprzez ich spisanie”.
44.
Reasumując, R. (…) nie ma jakichkolwiek podstaw dla przyjęcia, że ryzyko nieuprawnionego wykorzystania danych osobowych jej klientów (beneficjentów) bezprawnie ujawnionych na skutek zaistniałego incydentu, zostało wyeliminowane bądź można uznać je za mało prawdopodobne (niemal nieprawdopodobne; pomijalne).
45.
Jednocześnie, nie sposób przeoczyć, że przedłożona przez Administratora Analiza sporządzona została wyłącznie w odniesieniu do jednej grupy podmiotów objętych naruszeniem tj. beneficjentów R. (…) - co skutkowało pominięciem obowiązku weryfikacji prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności drugiej grupy podmiotów tj. współpracowników R. (…). Zatem, z przyczyn szeroko omówionych powyżej (pkt 38-44 uzasadnienia niniejszej decyzji), przyjąć należy, że Administrator w sposób nieprawidłowy przeprowadził analizę ryzyka związaną z incydentem, gdyż błędnie oszacował prawdopodobieństwo wystąpienia naruszenia praw lub wolności beneficjentów (mając zarazem świadomość znacznej powagi potencjalnych negatywnych konsekwencji naruszenia dla objętych nim osób) oraz zaniechał sporządzenia analizy zdarzenia pod kątem możliwości wystąpienia w jego wyniku ryzyka naruszenia praw lub wolności wobec pozostałych podmiotów objętych incydentem tj. współpracowników R. (…).
46.
W celu pełniejszego zrozumienia powagi niniejszego incydentu oraz korelujących z nim zagrożeń, warto przybliżyć prawdopodobne konsekwencje nieuprawnionego ujawnienia danych osobowych beneficjentów (klientów) oraz współpracowników Administratora (pkt 3, 12 lit. b i 12 lit. c uzasadnienia niniejszej decyzji).
47.
Numer ewidencyjny PESEL to jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, który zawiera datę urodzenia, numer porządkowy, oznaczenie płci i liczbę kontrolną[5] - tym samym, ze względu na swoje właściwości identyfikujące stanowi daną o szczególnym charakterze, podlegającą na gruncie art. 87 rozporządzenia 2016/679 szczególnej ochronie.
48.
Na fakt, że incydenty bezpieczeństwa obejmujące dane jednoznacznie identyfikujące osobę fizyczną mogą powodować wysokie ryzyko naruszenia praw lub wolności wskazuje między innymi EROD w Wytycznych 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych (dalej jako Wytyczne 01/2021) przyjętych 14 grudnia 2021 roku[6]. W pkt 65 i 66 Wytycznych 01/2021 podkreślono, że cyt.: „Naruszone dane pozwalają na jednoznaczną identyfikację osób, których dane dotyczą, i zawierają inne informacje na ich temat (w tym płeć, datę i miejsce urodzenia), ponadto mogą być wykorzystywane przez atakującego do odgadnięcia haseł klientów lub do przeprowadzenia kampanii spear phishingowej skierowanej do klientów banku. Z tych powodów uznano, że naruszenie ochrony danych prawdopodobnie spowoduje wysokie ryzyko naruszenia praw i wolności wszystkich osób, których dane dotyczą. W związku z tym możliwe jest wystąpienie szkód materialnych (np. strat finansowych) i niematerialnych (np. kradzieży tożsamości lub oszustwa)”.
49.
Podobnych wątpliwości (że ujawnienie numeru PESEL wraz z innymi danymi osobowymi może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych) nie miał również Wojewódzki Sąd Administracyjny w Warszawie, który w wyroku z dnia 22 września 2021 r., sygn. akt II SA/Wa 791/21 (utrzymanym przez NSA wyrokiem z dnia 20 marca 2025 r., sygn. akt III OSK 210/22), stwierdził, że cyt.: „Nie ulega wątpliwości, że przywołane w wytycznych przykłady szkód mogą wystąpić w przypadku osób, których dane osobowe - w niektórych przypadkach łącznie z numerem ewidencyjnym Pesel lub serią i nr dowodu osobistego - zostały utrwalone na udostępnionych nagraniach. Nie bez znaczenia dla takiej oceny jest możliwość w oparciu o ujawnione dane identyfikacji osób, których dane zostały objęte naruszeniem”. Dalej Sąd w powołanym orzeczeniu wskazał, że cyt.: „Dane zostały bowiem udostępnione nieuprawnionym osobom, co oznacza, że nastąpiło naruszenie bezpieczeństwa prowadzące do nieuprawnionego ujawnienia danych osobowych, a zakres tych danych obejmujących w niektórych przypadkach również numer ewidencyjny PESEL lub serię i nr dowodu osobistego przesądza o tym, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych”. Podobnie wypowiedział się Wojewódzki Sąd Administracyjny w Warszawie w wyrokach: z 1 lipca 2022 r., sygn. akt II SA/Wa 4143/21 (utrzymanym przez NSA wyrokiem z 3 grudnia 2025 r., sygn. akt III OSK 2416/22), 31 sierpnia 2022 r., sygn. akt II SA/Wa 2993/21, 15 listopada 2022 r., sygn. akt II SA/Wa 546/22, oraz 21 czerwca 2023 r., sygn. akt II SA/Wa 150/23.
50.
Ponadto, Naczelny Sąd Administracyjny w wyroku z 1 października 2025 r. sygn. akt III OSK 1830/22 podkreślił, że cyt.: „Faktem notoryjnym jest bowiem, że ujawnienie numeru PESEL wiąże się z różnymi ryzykami, które mogą skutkować poważnymi konsekwencjami dla posiadacza tego identyfikatora. Jednym z najpoważniejszych zagrożeń związanych z podaniem numeru PESEL jest kradzież tożsamości. W połączeniu z innymi danymi osobowymi, takimi jak imię, nazwisko, numer dowodu osobistego czy adres zamieszkania (niekoniecznie wszystkimi w każdym przypadku), może zostać wykorzystany w szczególności do zaciągnięcia kredytu lub pożyczki na cudze dane, zawarcia umowy na usługi telekomunikacyjne, wyłudzenia świadczeń socjalnych czy podszycia się pod konkretną osobę fizyczną w sprawach dotyczących życia codziennego” […] „Ustalenie, że prawdopodobieństwo naruszenia praw lub wolności osoby fizycznej nie jest małe w połączeniu ze wskazaną wyżej wysoką wagą potencjalnego wpływu naruszenia na prawa lub wolności osoby fizycznej przesądza o możliwości wystąpienia wysokiego ryzyka naruszenia praw lub wolności tej osoby, co nakłada na administratora obowiązek zawiadomienia osoby, której dane dotyczą, o tymże naruszeniu”.
51.
Zaznaczenia wymaga, że zestawienie numeru PESEL wraz z imieniem i nazwiskiem bywa wystarczające do „podszycia się” pod podmiot tych danych i zaciągnięcia w imieniu i na szkodę takiego podmiotu np. zobowiązań pieniężnych (patrz: https://www.bik.pl/poradnik-bik/wyludzenie-kredytu-tak-dzialaja-oszusci, gdzie opisano przypadek, w którym: „Tylko imię, nazwisko i numer PESEL wystarczyły oszustom, by wyłudzić kilkanaście kredytów w sumie na dziesiątki tysięcy złotych. Nic więcej się nie zgadzało: ani numer dowodu osobistego, ani adres zamieszkania”).
52.
Warto pamiętać, że konsekwencje związane z ujawnieniem osobom nieuprawnionym numeru PESEL osób fizycznych nie stanowią wyłącznie teoretycznego ryzyka, ale wiążą się z realnymi zagrożeniami dla tych osób. Niezwykle cennym przykładem potwierdzającym ww. stanowisko Prezesa UODO w przedmiotowym zakresie jest procedowana przez Rzecznika Praw Obywatelskich sprawa dotycząca zawarcia przez cyberprzestępców (drogą elektroniczną) umowy pożyczki na wyłudzone w sieci dane osobowe - w rezultacie czego poszkodowana osoba (której numer PESEL pozyskano) nakazem Sądu Rejonowego została zobligowana do zapłaty kosztów z tytułu niewywiązania się z umowy pożyczki, przy czym wspomniany nakaz zapłaty wydano w oparciu o umowę pożyczki, która nie została przez nią zawarta, ale przez osobę posługującą się jej danymi[7].
53.
Zasadnym z perspektywy omawianej problematyki jest także przywołanie ostatniego raportu infoDOK[8] (który opracowany został w ramach prowadzenia społecznej Kampanii Informacyjnej Systemu DOKUMENTY ZASTRZEŻONE, organizowanej przez Związek Banków Polskich i niektóre banki, pod patronatem Ministerstwa Spraw Wewnętrznych i Administracji i we współpracy m.in. z Policją oraz Federacją Konsumentów) z którego wynika, że cyt.: „łączna kwota prób wyłudzeń kredytów w I kwartale 2025 r. wyniosła 97,2 mln zł — to aż o 17,25% więcej niż rok wcześniej, kiedy ta kwota wynosiła 82,9 mln zł [...] warto zwrócić uwagę na całkowitą skalę zjawiska: odnotowano aż 3 746 prób wyłudzeń. Oznacza to, że średnio dziennie miało miejsce 41 prób - co około 35 minut ktoś usiłował wyłudzić pieniądze z banku”. Ponadto, cyt.: „Centralna Baza Danych Systemu DOKUMENTY ZASTRZEŻONE, zawierająca informacje o dokumentach tożsamości, liczyła na koniec marca 2025 roku 2 655 801 rekordów. Oznacza to, że tylko w I kwartale 2025 r. baza powiększyła się o 28 978 dokumentów. Statystycznie dziennie dopisywano do niej 320 dokumentów”.
54.
Jak wynika z orzecznictwa sądowego, wyroki w sprawach wyłudzeń kredytów nie są rzadkością i są wydawane przez polskie sądy w podobnych sprawach od dawna. Tytułem przykładu można wskazać na wyrok Sądu Rejonowego w Łęczycy z 27 lipca 2016 r. (sygn. akt I C 566/15), w którym oszuści biorący pożyczkę na cudze dane posłużyli się nr PESEL, zmyślonym adresem oraz niewłaściwym numerem dowodu (nieważnym). W uzasadnieniu ww. wyroku Sąd stwierdził, że: „Przeprowadzone postępowanie dowodowe oraz analiza dokumentów, załączonych przez stronę powodową, skutkuje tym, iż można jednoznacznie stwierdzić, że w rozpoznawanej sprawie pozwana nie była stroną umowy pożyczki, zawartej w dniu 5 maja 2014 r. Wprawdzie przy jej zawarciu posłużono numerem PESEL pozwanej J. R., lecz wskazane miejsce zamieszkania nie odpowiada miejscu zamieszkania pozwanej. Pozwana J. R. nigdy nie mieszkała w W. Kwota pożyczki została przelana na konto, którego posiadaczem nie była pozwana. W dacie zawarcia umowy pożyczki dowód osobisty nr (…) utracił ważność z dniem 15 marca 2014 r. Nie jest zgodny także numer telefonu komórkowego, wskazany na umowie pożyczki i jej załącznikach z faktycznymi numerami telefonów, jakimi posługiwała się i posługuje pozwana”.
55.
W innej sprawie (I C 693/16) Sąd Rejonowy w Zgierzu w wyroku z 4 listopada 2016 r. orzekł: „Dane osobowe pozwanego w postaci jego imienia i nazwiska i numeru PESEL, które były zgodne z danymi pozwanego nie świadczyły o tym, że pozwany złożył w dniu 17 grudnia 2014 r. oświadczenie woli o zawarciu umowy pożyczki. Nie wykluczone jest bowiem aby osoba, która w sposób niepowołany uzyskała dostęp do danych osobowych pozwanego zawarła na jego rachunek umowę pożyczki ze spółką (…) sp. z o.o. S.K.A. z siedzibą w W. W przedmiotowej sprawie pozwany wykazał iż nigdy nie mieszkał pod adresem wskazanym w umowie pożyczki oraz aby numer telefonu, adres e - mail za pomocą którego zarejestrowano się na stronie internetowej i złożono wniosek o zawarcie pożyczki do niego należały”.
56.
Spraw związanych z wyłudzeniami kredytów, gdzie nieznane osoby dysponują zazwyczaj jedynie imieniem i nazwiskiem oraz prawidłowym numerem PESEL (pozostałe dane są nieprawdziwe), jest wciąż bardzo wiele, co potwierdzają wydawane przez sądy wyroki w tych sprawach. Poniżej kilka przykładowych:
a)
wyrok Sądu Rejonowego dla Łodzi-Widzewa w Łodzi z 13 sierpnia 2020 r. w sprawie o sygn. akt II C 1145/19, w której nieznana pozwanemu osoba trzecia weszła bezprawnie w posiadanie jego numeru PESEL oraz numeru dowodu osobistego, zaś pozostałe dane adresowe - wskazane w umowie pożyczki - były nieprawdziwe - „W ocenie Sądu zaoferowany przez stroną pozwaną materiał dowodowy - zwłaszcza dokumenty z akt sprawy karnej toczącej się przed Sądem Rejonowym w Tarnowskich Górach o sygnaturze akt VI K 383/16 - świadczą o tym, iż umowę pożyczki z dnia 8 listopada 2014 r. zawarła osoba trzecia, posługująca się niektórymi danymi osobowymi Z. A. Podała ona fałszywy adres zamieszkania, pod którym pozwany nigdy nie zamieszkiwał, zaś kwota pożyczki została przelana na rachunek bankowy, który nie należał do Z. A. […] zaś numer dowodu osobistego podany w tej umowie był numerem dowodu, którym pozwany już się nie posługiwał w dacie zawarcia umowy pożyczki, gdyż dowód ten stracił ważność około 8 miesięcy wcześniej”;
b)
wyrok Sądu Rejonowego w Piszu z 21 sierpnia 2020 r., sygn. akt I C 260/20 - „[…] Sąd ustalił, że przy zawieraniu przedmiotowej umowy, w sposób nieuprawniony posłużono się danymi pozwanego i wpisano je, jako dane pożyczkobiorcy, przy czym to nie pozwany był stroną umowy. Stanowisko pozwanego znajduje potwierdzenie w zgłoszonym przez niego zawiadomieniu o popełnieniu przestępstwa oszustwa na jego szkodę, jak również w fakcie, że prokuratura prowadzi postępowanie w tej sprawie przeciwko wskazanej przez pozwanego osobie. Na marginesie należy zauważyć, że także w ramach toczących się przed tutejszym sądem postępowań o zapłatę sygn. akt I C 1/19 i I C 482/19, gdzie E. M. także występował w charakterze pozwanego, i gdzie doszło do zaciągnięcia na jego imię i nazwisko zobowiązań finansowych w takich samych okolicznościach, co w ramach niniejszego postępowania, również zapadły prawomocne wyroki oddalające powództwo. W ocenie sądu okoliczności zawarcia umowy z powodem, gdzie tożsame jest pierwsze imię i nazwisko pożyczkobiorcy oraz jego numer PESEL, zaś istnieje rozbieżność co do pozostałych danych wynikających z treści dowodu osobistego pozwanego tj. serii i numeru tego dokumentu, adresu zamieszkania, przy uwzględnieniu faktu prowadzenia procesu karnego w stosunku do osoby, która miała podszyć się pod pozwanego, celem zawierania na odległość umów i zaciągania zobowiązań finansowych w różnych instytucjach, wskazują jednoznacznie, iż to nie pozwany zawarł z poprzednikiem prawnym powoda umowę pożyczki nr (…)”;
c)
wyrok Sądu Rejonowego w Puławach z 7 kwietnia 2022 r. w sprawie o sygn. akt I C 475/19, w której Sąd jednoznacznie przyznał, iż „[…] dowodu pozwalającego na weryfikację pozwanego jako strony przedmiotowej umowy nie stanowi samo wskazanie jego danych osobowych: imienia nazwiska, numeru PESEL, a także serii i numeru dowodu osobistego w treści umowy - w szczególności w sytuacji, gdy pożyczka zawierana jest za pośrednictwem platformy internetowej, a więc co oczywiste, pożyczkodawca nie ma możliwości niejako bezpośredniej weryfikacji tożsamości drugiej strony, a sama umowa nie zostaje potwierdzona podpisem pożyczkobiorcy”.
57.
W rozstrzyganej sprawie nie można pominąć, że informacje zawarte w przekazanej podmiotom nieuprawnionym, niezanonimizowanej dokumentacji obejmowały nie tylko dane identyfikacyjne (w tym nr PESEL) współpracowników R. (…) oraz jej klientów (beneficjentów), ale dotyczyły również sytuacji prawno-majątkowej klientów, w jakiej udzielano im pomocy prawnej (pkt 12 lit. b uzasadnienia niniejszej decyzji). Dane te, zwłaszcza jeśli uwzględnić, że działania R. (…) dedykowane są w szczególności pomocy postpenitencjarnej, pomocy osobom pokrzywdzonym przestępstwem, osobom dotkniętym klęskami żywiołowymi, wojennymi lub humanitarnymi, osobom z zaburzeniami zdrowia psychicznego (szczegółowy wykaz dostępny pod adresem - https://(…)) i realizowane w ramach wsparcia prawnego oraz psychologicznego, pozwalają na wyciągnięcie określonych wniosków (niezależnie od tego, czy są one poprawne, czy nie) na temat sytuacji tych osób w ww. obszarach. Informacje takie bez wątpienia dotyczą ściśle osobistych, prywatnych aspektów życia, a ich ujawnienie może wiązać się z wysokim ryzykiem wystąpienia konkretnych, negatywnych konsekwencji dla tych osób, w szczególności w postaci naruszenia ich dóbr osobistych lub dyskryminacji - co stwierdził sam Administrator w pkt 2.2. Analizy wskazując na ryzyko cyt.: „stygmatyzacji lub dyskryminacji”.
58.
Nie można pominąć, że R. (…) w ramach przekazanych pierwotnie wyjaśnień (pismo z 26 września 2022 roku opisane w pkt 12 lit. d uzasadnienia niniejszej decyzji) podkreśliła, że naruszenie miało charakter jednorazowy (cyt.: „W wyniku dokonanej przez nas analizy ustaliliśmy, że omawiana sytuacja była sytuacją jednorazową i wynikała wyłącznie z niezamierzonego błędu pracownicy”), a cyt.: „Dane nie zostały ujawnione żadnym innym podmiotom lub osobom poza (…) Urzędem Wojewódzkim”. Tymczasem zgodnie z informacją przekazaną organowi nadzorczemu przez Wojewodę (…) (pkt 3 uzasadnienia niniejszej decyzji) również do (…) została skierowana korespondencja zawierająca niezanonimizowane dokumenty dotyczące osób, na rzecz których dotychczas R. (…) świadczyła usługi oraz dokumenty obejmujące dane osób, z którymi podmiot zawarł umowę o współpracę. Wedle ustaleń Wojewody (…) tożsamy komplet dokumentów został przesłany także do pozostałych Wojewodów. Tym samym, w ocenie Prezesa UODO, wątpliwym jest argument R. (…) o „jednorazowym” charakterze zdarzenia - przynajmniej w aspekcie liczby podmiotów, które były nieuprawnionymi odbiorcami danych. Trudno pominąć również fakt, że - jak wynika z wyjaśnień Administratora - nie był on w stanie zweryfikować, czy w przypadku każdego z pism skierowanych do poszczególnych urzędów wojewódzkich (wniosków o wpis na listę organizacji pozarządowych uprawnionych do prowadzenia na terenie województw punktów nieodpłatnej pomocy prawnej, poradnictwa obywatelskiego i mediacji) zakres nieprawidłowości był tożsamy - Administrator nie był w stanie zweryfikować, czy brak anonimizacji dokumentów dołączanych do ww. korespondencji bądź nieprawidłowości przy jej dokonywaniu były w każdym przypadku takie same. W tej sytuacji nie dziwi stwierdzenie Wojewody (…), że w przedmiotowej sytuacji cyt.: „nie można mówić o jednorazowym incydencie czy omyłce”.
59.
Administrator zawiadomiony o dysponowaniu przez organ nadzorczy informacjami wykluczającymi możliwość przyjęcia, że incydent miał charakter jednorazowy (w tym sensie, że dane udostępniono wyłącznie jednemu nieuprawnionemu odbiorcy), pismem z 27 marca 2023 roku wskazał, że powziął on informacje o przesłaniu dokumentów w formie niezanonimizowanej do większej liczby podmiotów w późniejszym okresie, gdyż cyt.: „W dacie pierwszej rozmowy z naszą pracownicą (20 września 2022 roku) nie była ona w stanie wskazać do jakiego urzędu wysłała kopie zanonimizowane, a do jakiego niezanonimizowane - nie zachowała bowiem kopii wysyłanych listów”.
60.
Podsumowując tę część rozważań, ponownie podkreślić należy, że negatywne skutki związane z naruszeniem ochrony danych osobowych nie muszą się zmaterializować dla powstania po stronie administratora obowiązku zgłoszenia naruszenia ochrony danych osobowych oraz zawiadomienia o tym naruszeniu osób, których dane dotyczą. Oznacza to, że administrator nie może uzależniać wykonania obowiązków wynikających z art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679 od wystąpienia szkód po stronie osób fizycznych, których dotyczy naruszenie ochrony danych osobowych (por. pkt 25 uzasadnienia niniejszej decyzji).
61.
W świetle powyższego, błędnie przeprowadzona przez Administratora analiza ryzyka związanego z incydentem skutkowała bezpodstawnym zaniechaniem realizacji obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu wynikającego z art. 33 ust. 1 rozporządzenia 2016/679 oraz niezwłocznego zawiadomienia podmiotów danych, o którym mowa w art. 34 ust. 1 rozporządzenia 2016/679.
62.
R. (…) w ramach realizacji wystąpień Prezesa UODO (pisma z 3 marca, 23 kwietnia oraz 1 lipca 2025 roku), kolejno 31 marca oraz 17 lipca 2025 roku zawiadomiła osoby, których dane dotyczą, o naruszeniu ochrony ich danych osobowych w sposób zgodny z wymogami określonymi w art. 34 ust. 2 w zw. z art. 33 ust. 3 lit. b), c) i d) rozporządzenia 2016/679, tj. przedstawiając między innymi opis możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków zastosowanych lub proponowanych przez Administratora w celu zaradzenia naruszeniu, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków - adekwatny do zakresu kategorii danych ujawnionych w wyniku zmaterializowania się przedmiotowego incydentu.
63.
Tytułem uzupełnienia należy podkreślić, że R. (…) pismem z 26 września 2022 roku poinformowała, że w związku z wystąpieniem przedmiotowego naruszenia ochrony danych osobowych wdrożyła środki bezpieczeństwa, mające na celu zminimalizowanie ryzyka wystąpienia tożsamego incydentu w przyszłości poprzez wprowadzenie zakazu udostępniania dokumentów cyt.: „przed zanonimizowaniem znajdujących się na nich danych” oraz stosowanie dwuetapowej kontroli przesyłek wychodzących.
64.
W kontekście dotychczasowych uwag ponownego przypomnienia wymaga, że zawiadomienie osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych, stosownie do art. 34 ust. 1 rozporządzenia 2016/679, powinno nastąpić bez zbędnej zwłoki. W oczywisty sposób nie można przyjąć, że przekazanie ww. osobom zawiadomień kolejno 31 marca oraz 17 lipca 2025 roku, nastąpiło z poszanowaniem ww. wymogu niezwłoczności, skoro zdarzenie miało miejsce w 2022 roku (Administrator uzyskał wiedzę o wystąpieniu incydentu we wrześniu 2022 roku). Podkreślić także należy, że zawiadomienia zostały przekazane osobom, których dane dotyczą, dopiero po skierowaniu do R. (…) wystąpień w tym zakresie przez Prezesa UODO.
65.
Wskazane opóźnienie w realizacji obowiązku zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony danych osobowych było następstwem błędnej oceny ryzyka związanego z incydentem ze strony Administratora. W konsekwencji, zaniechał on realizacji ww. obowiązku (błędnie oceniając, że nie powstał), aż do czasu otrzymania stanowiska organu nadzorczego wyrażonego w wystąpieniach z 3 marca, 23 kwietnia oraz 1 lipca 2025 roku - otrzymawszy je, niezwłocznie na nie reagował, dążąc do ich prawidłowego wykonania, a tym samym do realizacji obowiązku z art. 34 ust. 1 rozporządzenia 2016/679 (co finalnie nastąpiło). W okolicznościach sprawy, mając na uwadze współpracę R. (…) z organem nadzorczym w podanym zakresie, nie ma zatem podstaw do przyjęcia, że w przypadku wcześniejszego przekazania Administratorowi stanowiska organu nadzorczego odnośnie oceny ryzyka związanego z niniejszym incydentem (wskazania, że naruszenie mogło generować wysokie ryzyko naruszenia praw lub wolności osób fizycznych), R. (…) nie dokonałaby niezwłocznej realizacji obowiązku zawiadomienia podmiotów danych (co skutkowałoby faktycznie wcześniejszym ich zawiadomieniem).
66.
Realizacja zawiadomienia z opóźnieniem - jakkolwiek oczekiwana przez organ i istotna z punktu widzenia poszanowania praw podmiotów danych - nie spełnia już funkcji tak istotnej, jak w sytuacji zawiadomienia bez zbędnej zwłoki. W okresie pomiędzy zaistnieniem incydentu i jego stwierdzeniem przez Administratora, a zawiadomieniem o nim beneficjentów (klientów) oraz współpracowników R. (…), osoby te nie dysponowały bowiem rzetelną i pełną informacją o zdarzeniu, w tym wiedzą na temat podjętych przez Administratora działań zaradczych i minimalizujących ryzyko podobnych incydentów, ani o rekomendacjach odnośnie działań, które mogą podjąć samodzielnie dążąc do ochrony swoich praw. Sytuacja taka wiązała się z niepewnością odnośnie szczegółów zdarzenia, jego potencjalnego wpływu na sferę praw i wolności podmiotów danych oraz zasadności podejmowania działań służących ich ochronie.
67.
Do dnia wydania niniejszej decyzji Administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych w związku z omawianym incydentem. Powyższa postawa jest niezrozumiała zwłaszcza, że w skierowanych do Administratora wystąpieniach organ nadzorczy przedstawił oraz uzasadnił odmienną ocenę ryzyka (niż prezentowana przez R. (…)) w ramach analizy zaistniałego naruszenia ochrony danych osobowych. Pomimo przekazanych przez Prezesa UODO wskazówek Administrator nie zdecydował się na żadne działania, które w tej sytuacji miałyby świadczyć o dążeniu do spełnienia - oprócz obowiązku z art. 34 ust. 1 rozporządzenia 2016/679 - także wymogu z art. 33 ust. 1 rozporządzenia 2016/679.
68.
Mając na uwadze powyższe rozważania należy stwierdzić, że w analizowanym przypadku wystąpiło wysokie ryzyko naruszenia praw lub wolności osób objętych przedmiotowym naruszeniem ochrony danych osobowych, co z kolei skutkowało powstaniem po stronie R. (…) dwóch obowiązków - zgłoszenia naruszenia organowi nadzorczemu w terminie 72 godzin od chwili jego stwierdzenia, a także niezwłocznego zawiadomienia podmiotów danych o wystąpieniu naruszenia ochrony ich danych osobowych. Administrator bezzasadnie zaniechał notyfikacji naruszenia organowi nadzorczemu, co stanowi naruszenie art. 33 ust. 1 rozporządzenia 2016/679. Administrator pierwotnie zaniechał również zawiadomienia o naruszeniu ochrony danych osobowych podmiotów danych. Uczynił to dopiero kolejno 31 marca oraz 17 lipca 2025 roku w wykonaniu wystąpień Prezesa UODO z 3 marca, 23 kwietnia oraz 1 lipca 2025 roku, co stanowiło naruszenie art. 34 ust 1 rozporządzenia 2016/679 w obszarze dotyczącym terminu realizacji obowiązku określonego tym przepisem.

IV. Naruszenie art. 37 ust. 7 rozporządzenia 2016/679 w związku z art. 10 i art. 11 ustawy z 10 maja 2018 r.

69.
Inspektor ochrony danych to osoba, która ma wspierać administratora i podmiot przetwarzający w zapewnieniu zgodności przetwarzania i ochrony danych z przepisami o ochronie danych osobowych. Inspektor ochrony danych zastąpił administratora bezpieczeństwa informacji, którego status i kompetencje były określone w art. 36a u.o.d.o[9]. W odróżnieniu od wcześniejszej, krajowej regulacji, która przewidywała możliwość powołania ABI, unijne rozporządzenie nakłada obowiązek powołania inspektora ochrony danych w przypadkach wskazanych w art. 37 ust. 1 rozporządzenia 2016/679. Przepisy unijnego rozporządzenia określają również wymogi, jakie powinna spełniać osoba pełniąca funkcję inspektora, dopuszczają możliwość wyznaczenia jednego inspektora dla kilku przedsiębiorców lub podmiotów publicznych, określają status inspektora ochrony danych, a także nakładają na administratora wymóg opublikowania danych kontaktowych inspektora i zawiadomienia o nich organu nadzorczego[10].
70.
Zgodnie z art. 37 ust. 7 rozporządzenia 2016/679 administrator lub podmiot przetwarzający publikują dane kontaktowe inspektora ochrony danych i zawiadamiają o nich organ nadzorczy.
71.
Odnosząc się do wykładni ww. unijnego przepisu, nie sposób nie wspomnieć o korelującej z nim regulacji krajowej, tj. art. 10 ustawy z 10 maja 2018 r., który precyzuje, że podmiot, który wyznaczył inspektora, zawiadamia Prezesa UODO o jego wyznaczeniu w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora (ust. 1).
72.
W tym miejscu warto przywołać opinię Grupy Roboczej Art. 29 zawartą w Wytycznych dotyczących inspektorów ochrony danych ("DPO")[11] (dalej jako Wytyczne DPO), w której zaznaczono, że cyt. „Celem tych wymogów [art. 37 ust. 7 rozporządzenia 2016/679] jest zapewnienie, aby osoby, których dane dotyczą (zarówno wewnątrz, jak i spoza organizacji), i organy nadzorcze mogły mieć łatwy i bezpośredni kontakt z DPO, bez konieczności kontaktowania się z innymi podmiotami organizacji […] Dane kontaktowe DPO powinny zawierać informacje umożliwiające osobom, których dane dotyczą, i organom nadzorczym łatwe nawiązanie kontaktu z DPO (adres korespondencyjny, dedykowany numer telefonu lub dedykowany adres e-mail). W stosownych przypadkach, do celów komunikacji ze społeczeństwem, mogą zostać zapewnione również inne środki komunikacji, np. dedykowana gorąca linia lub dedykowany formularz kontaktowy skierowany do DPO na stronie internetowej organizacji”.
73.
W sposób zgodny z ww. stanowiskiem Grupy Roboczej art. 29 kształtują się poglądy doktryny, w której podkreśla się, że cyt.: „Zgodnie z art. 37 ust. 7 rozporządzenia 2016/679 administrator lub podmiot przetwarzający zobowiązani są do publikowania danych kontaktowych inspektora ochrony danych i zawiadomienia o nich organu nadzorczego. Regulacja ta jest związana z koniecznością umożliwienia realizacji jednego z podstawowych zadań inspektora ochrony danych, jakim jest pełnienie roli punktu kontaktowego zarówno dla podmiotów danych (art. 38 ust. 4 rozporządzenia 2016/679), jak i dla organu nadzorczego (art. 39 ust. 1 lit. e) rozporządzenia 2016/679)”[12].
74.
W kontekście dotychczasowych uwag R. (…) - wyznaczając Pana L. G. oraz Pana W. L. do pełnienia funkcji IOD w swojej organizacji (kolejno 5 lutego oraz 24 lipca 2025 roku) - zobligowana była do realizacji wymogów określonych w art. 37 ust. 7 rozporządzenia 2016/679 oraz art. 10 ustawy z 10 maja 2018 r.
75.
Administrator, zapytany przez Prezesa UODO o to, czy wywiązał się z powyższych obowiązków, korespondencją z 14 sierpnia 2025 roku przedłożył organowi nadzorczemu kopię pism datowanych na 6 lutego oraz 25 lipca 2025 roku (zaadresowanych do Urzędu Ochrony Danych Osobowych ul. Stawki 2, 00-193 Warszawa) informujących o wyznaczeniu odpowiednio Pana L. G. oraz Pana W. L. na stanowisko IOD.
76.
Z uwagi na fakt, że w systemie obsługi korespondencji organu nadzorczego, w którym ewidencjonowane są zgłoszenia dotyczące wyznaczenia IOD oraz zastępców IOD nie odnaleziono ww. notyfikacji, R. (…) zobowiązana do przedłożenia dowodów potwierdzających nadanie ww. korespondencji, pismami z 25 sierpnia oraz 20 października 2025 roku poinformowała, że cyt.: „Zawiadomienia były wysyłane Pocztą Polską listami zwykłymi”, „List zwykły nie otrzymuje potwierdzenia nadania ani nie jest rejestrowany w systemach poczty polskiej” w związku z czym nie dysponuje dowodami w tym zakresie.
77.
Nadmienić należy, że art. 10 ust. 6 ustawy z 10 maja 2018 r. przewiduje konieczność dokonania zawiadomienia, o którym mowa w art. 37 rozporządzenia 2016/679 w ściśle określonej formie - elektronicznej, opatrzonej kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP. Pomijając jednak nawet kwestię tego wymogu, w świetle zgromadzonego materiału dowodowego nie ma podstaw by przyjąć, że Administrator podjął działania służące terminowemu zawiadomieniu organu nadzorczego o wyznaczeniu IOD w osobie zarówno Pana L. G., jak i Pana W. L..
78.
W rezultacie należy przyjąć, że R. (…) dopiero 25 sierpnia 2025 roku zawiadomiła organ nadzorczy o objęciu funkcji IOD przez Pana L. G., jak i Pana W. L. w sposób zgodny z obowiązującymi przepisami - tym samym uchybiając terminowi kolejno 6 miesięcy oraz 2,5 tygodnia.
79.
Podobnie kształtuje się kwestia realizacji obowiązku publikacji danych kontaktowych Pana L. G. jako IOD, zgodnie z art. 11 ustawy z 10 maja 2018 r. W myśl ww. regulacji podmiot, który wyznaczył inspektora, udostępnia dane inspektora, o których mowa w art. 10 ust. 1 [ustawy z 10 maja 2018 r.], niezwłocznie po jego wyznaczeniu, na swojej stronie internetowej, a jeżeli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności.
80.
W badanej sprawie, R. (…) - jako potwierdzenie realizacji ww. zobowiązania - 14 sierpnia 2025 roku przekazała Prezesowi UODO zrzut ekranu z biuletynu informacji publicznej organizacji (https://(…), brak daty sporządzenia zrzutu ekranu), który swoim zakresem obejmował kluczowe informacje dotyczące podmiotu, w tym również wspomniane dane kontaktowe IOD (tj. Pana L. G.).
81.
Należy przy tym podkreślić, że zgromadzony przez organ nadzorczy materiał dowodowy w przedmiotowej sprawie, jednoznacznie wskazuje, że na stronie internetowej, w tym w biuletynie informacji publicznej podmiotu - wedle stanu na dzień 18 maja 2025 roku (tj. 3 miesiące po objęciu przez ww. osobę funkcji IOD) - nie były opublikowane niniejsze informacje (wydruk zrzutu ekranu w aktach sprawy). Tym samym przedłożony przez Administratora dowód podważa możliwość przyjęcia na jego podstawie, że dokonał on publikacji danych IOD w sposób nienaruszający wymóg niezwłoczności.
82.
R. (…) poinformowana przez Prezesa UODO o rozbieżności w ww. stanie faktycznym, pismem z 25 sierpnia 2025 roku wyjaśniła, że cyt.: „uzupełnienie strony internetowej nastąpiło w okresie lipiec-sierpień 2025 roku, konkretnej daty nie jestem w stanie wskazać” - przy czym nie sposób nie wspomnieć, że wskazany przez Administratora przedział czasowy realizacji niniejszego obowiązku pokrywa się z momentem odwołania Pana L. G. z pełnienia funkcji IOD (tj. 24 lipca 2025 roku), a tym samym ustaniem konieczności publikacji jego danych jako danych kontaktowych IOD.
83.
Zatem w ocenie organu nadzorczego przyjąć należy, że R. (…) nie przestawiła dowodów mogących stanowić potwierdzenie prawidłowej realizacji obowiązków, o których mowa w art. 37 ust. 7 rozporządzenia 2016/679, w całym okresie pełnienia niniejszej funkcji przez Pana L. G., tj. od 5 lutego do 24 lipca 2025 roku - co w sposób oczywisty świadczy o naruszeniu przez Administratora dyspozycji przywołanego przepisu rozporządzenia 2016/679.
84.
Dodatkowo, R. (…) uchybiła terminowi zawiadomienia Prezesa UODO o wyznaczeniu Pana W. L., jako IOD w swojej organizacji (między objęciem funkcji IOD przez Pana W. L. a zgłoszeniem tego faktu organowi nadzorczemu minął miesiąc) - co skutkowało ponownym naruszeniem przez Administratora art. 37 ust. 7 rozporządzenia 2016/679 oraz art. 10 ustawy z 10 maja 2018 r.

V. Naruszenie art. 38 ust. 6 rozporządzenia 2016/679.

85.
Istotny z perspektywy analizowanej sprawy jest również fakt pełnienia przez Pana L. G. funkcji IOD w strukturze organizacyjnej R. (…) (zważywszy na piastowane przez ww. osobę równolegle stanowiska członka zarządu, a od 17 lutego 2025 roku prezesa zarządu i zarazem od 1 maja 2025 roku koordynatora projektów) w kontekście specyfiki statusu IOD wynikającej z unormowań unijnego prawodawcy.
86.
W myśl art. 38 ust. 6 rozporządzenia 2016/679 inspektor ochrony danych może wykonywać inne zadania i obowiązki, jedynie w sytuacji, gdy administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.
87.
W celu usystematyzowania informacji, warto podkreślić, że zadania i obowiązki spoczywające na IOD unormowane zostały w art. 39 rozporządzenia 2016/679 i obejmują one swoim zakresem:
a)
informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
b)
monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
c)
udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;
d)
współpraca z organem nadzorczym;
e)
pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
88.
Zasadnym, z perspektywy zadań, jakie ciążą na osobie pełniącej funkcję IOD, jest również przywołanie art. 38 ust. 4 rozporządzenia 2016/679, który podkreśla, że osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy tego rozporządzenia.
89.
Tym samym, punktem wyjścia dla rozważań w przedmiotowej materii jest zinterpretowanie pojęcia „konfliktu interesów”, o którym mowa w art. 38 ust. 6 rozporządzenia 2016/679. Konflikt interesów to pojęcie, które w systemie prawa polskiego nie zostało zdefiniowane. W zgodzie z jedną z zasad wykładni prawa, pojęciom niezdefiniowanym należy nadawać ich znaczenie językowe. Interes to sprawa lub sprawy dotyczące, obchodzące kogoś, a konflikt to sprzeczność. Konflikt interesów to sytuacja, w której istnieje obawa negatywnego wpływu określonych okoliczności na bezstronne oraz bezinteresowne wykonywanie obowiązków służbowych. Jest to więc konflikt pomiędzy interesem podmiotu, w którego imieniu się działa, a interesem prywatnym[13]. Z kolei Słownik Języka Polskiego nakazuje rozumieć „konflikt interesów” jako „różnicę między wartościami, postawami itp., której nie sposób usunąć”[14].
90.
Podobne znaczenie przypisuje się „konfliktowi interesu” w innych językach.
W słowniku języka angielskiego wydawnictwa Cambridge konflikt interesów (ang. conflict of interests) określono jako sytuację, w której dana osoba nie może podejmować sprawiedliwej, uczciwej decyzji, ponieważ skutki decyzji będą miały na nią wpływ. W słowniku wydawnictwa Longman „konflikt interesów” przedstawia się jako sytuację, w której dana osoba nie może wykonywać swojej pracy uczciwie, ponieważ ma moc decydowania o czymś w sposób, który byłby dla niej korzystny, chociaż może to nie być najlepsza decyzja[15].
91.
Celem pełniejszego zrozumienia wykładni art. 38 ust. 6 rozporządzenia 2016/679 warto powołać stanowisko Trybunału Sprawiedliwości Unii Europejskiej (dalej jako TSUE) ujęte w wyroku z 9 lutego 2023 r. (C-453/21, X-FAB DRESDEN GMBH & CO. KG PRZECIWKO FC), które w pkt 46 nadmienia, że cyt.: „(…) art. 38 ust. 6 RODO należy interpretować w ten sposób, że 'konflikt interesów' w rozumieniu tego przepisu może istnieć w sytuacji, gdy osoba będąca IOD otrzymuje inne zadania lub obowiązki, które prowadziłyby do określania przez nią celów i sposobów przetwarzania danych osobowych u administratora lub jego podmiotu przetwarzającego”.
92.
Mając na uwadze powyższe, wskazać należy, że unijny ustawodawca wprowadził możliwość wykonywania przez IOD dodatkowych zadań i obowiązków, ponad te wyznaczone zakresem przepisów art. 38 ust. 4 oraz art. 39 rozporządzenia 2016/679. Powyższa zasada nie zwalnia jednak administratora (względnie podmiotu przetwarzającego) z obowiązku zapobiegania występowaniu ewentualnych konfliktów interesów w działalności IOD w związku z powierzeniem mu dodatkowych obowiązków i zadań. Niezwykle celnie wypowiedział się w tej materii TSUE w powołanym wyżej wyroku z 9 lutego 2023 r., gdzie zważył, że „(…) zgodnie z celem realizowanym przez art. 38 ust. 6 RODO nie można powierzyć osobie będącej IOD wykonywania zadań lub obowiązków, które mogłyby zaszkodzić pełnieniu funkcji, które wykonuje jako IOD” (por. wyrok TSUE z 9 lutego 2023 r., C-453/21, X-Fab Dresden GmbH & Co. KG, pkt 41). W konsekwencji, identyfikacja potencjalnego konfliktu interesu następować powinna w ścisłym nawiązaniu do wyznaczonych ww. przepisami rozporządzenia 2016/679 zadań IOD. Powyższa argumentacja doznaje wzmocnienia w zestawieniu z faktem, iż podstawowym celem przyświecającym podejmowanym przez IOD aktywnościom pozostaje świadczenie w sposób niezależny na rzecz wzmiankowanych podmiotów wsparcia w obszarze realizacji przez te podmioty obowiązków wynikających z przepisów o ochronie danych osobowych[16].
93.
Zatem na gruncie przepisów o ochronie danych osobowych konflikt interesów w działalności IOD następuje zawsze wtedy, gdy niemożliwym będzie pogodzenie prawidłowego wykonywania jego zadań, przypisanych mu w przepisach art. 38 ust. 4 oraz art. 39 rozporządzenia 2016/679, z realizacją innych zadań i obowiązków, gdyż pomiędzy tymi zadaniami i obowiązkami występuje sprzeczność, uniemożliwiająca odpowiednią ich realizację. W przypadku IOD sprzeczność taka może wynikać z występowania przez niego jednocześnie w dwóch rolach lub podejmowania przez niego działań lub decyzji, które następnie muszą podlegać jego ocenie zgodnie z art. 39 ust. 1 lit. b) rozporządzenia 2016/679.
94.
Prezes UODO w swoich wystąpieniach wielokrotnie odnosił się do kwestii konfliktu interesów wśród osób pełniących funkcję IOD oraz dopuszczalności łączenia funkcji IOD z innymi stanowiskami - przy czym organ nadzorczy wyraźnie zaznaczał, że cyt.: „Niedopuszczalne jest powołanie na IOD osoby będącej kierownikiem (zarządzającym) podmiotem posiadającym status administratora lub podmiotu przetwarzającego, takich jak np. członka zarządu stowarzyszenia, dyrektora szkoły, wójta, członka zarządu spółki. Przyjęcie odmiennego stanowiska prowadziłoby do sytuacji, w których IOD w zakresie przestrzegania przepisów o ochronie danych osobowych - oceniałby i monitorował samego siebie”[17].
95.
Stanowisko Prezesa UODO odnośnie do ww. problematyki zostało również uwzględnione w „Sprawozdaniu krajowym polskiego organu nadzorczego[18] - podsumowującym badanie Europejskiej Rady Ochrony Danych przeprowadzone w ramach CEF (Coordinated Enforcement Framework) w zakresie pozycji i wyznaczania inspektorów ochrony danych (CEF DPO). Niniejszy dokument zawiera rekomendacje organu nadzorczego dotyczące statusu IOD, które podkreślają cyt.: „iż ocena, czy w przypadku konkretnej osoby i wykonywanych przez nią zadań nie występuje konflikt interesów, powinna być dokonywana indywidualnie z uwzględnieniem konkretnych okoliczności. Oznacza to, że możliwość zaistnienia konfliktu powinna być stale monitorowana, ponieważ przyczyny takiego konfliktu mogą wystąpić również w późniejszym czasie, po rozpoczęciu pełnienia funkcji przez IOD”.
96.
Wyraźnego zaznaczenia wymaga fakt, że IOD, któremu przypisuje się szczególną rolę i szczególne znaczenie w dziedzinie zapewniania właściwego przestrzegania przepisów o ochronie danych osobowych, musi mieć dla tego celu zagwarantowane odpowiednie warunki funkcjonowania, a więc takie, które pozwolą mu na efektywną, niezależną oraz prawidłową realizację obowiązków wynikających z przepisów prawa, co wynika z art. 38 ust. 2 i 3 rozporządzenia 2016/679. W tym kontekście za słuszny uznać należy pogląd, zgodnie z którym nakładanie na IOD zadań i obowiązków prowadzących do powstania konfliktu interesów, stawia pod znakiem zapytania nie tylko możliwość efektywnego wypełniania przez niego zadań, do realizacji których zobowiązuje go dyspozycja normy art. 39 rozporządzenia 2016/679, ale godzi w same fundamenty instytucji IOD, opartej w pierwszym rzędzie na niezależności jego funkcjonowania (por. Sprawozdanie krajowe polskiego organu nadzorczego, s. 2).
97.
Ze względu na wartość merytoryczną, w tym miejscu warto przywołać również rozstrzygnięcie Gegevensbeschermingsautoriteit (GBA), belgijskiego organu nadzorczego właściwego do spraw ochrony danych osobowych, który decyzją z 28 kwietnia 2020 r.[19] nałożył administracyjną karę pieniężną (w wysokości 50 000 EUR) na operatora telekomunikacyjnego w związku z niedopełnieniem przez ten podmiot obowiązku zapewnienia niezależności inspektora ochrony danych osobowych. Belgijski regulator podkreślił w swoim rozstrzygnięciu, że to na administratorze spoczywa obowiązek zagwarantowania, aby zadania nałożone na IOD (w tym przypadku kierowanie aż trzema komórkami organizacyjnymi ukaranej spółki) oraz obowiązki związane z pełnieniem tej funkcji nie prowadziły do konfliktu interesów. IOD powinien mieć niezależny status w organizacji i zapewnioną swobodę w podejmowaniu autonomicznych decyzji. Osoba pełniąca tę funkcję nie może - zdaniem organu - być również odpowiedzialna za wykonywanie innych zadań u administratora, które wiązałyby się z określaniem celu i środków związanych z czynnościami przetwarzania danych osobowych[20].
98.
Zaprezentowane wyżej zgodne poglądy organów nadzorczych oraz judykatury związane z pojęciem konfliktu interesów w działalności IOD znajdują swoje dalsze potwierdzenie w opinii Grupy Roboczej Art. 29 zawartej w Wytycznych DPO. Stwierdza się w niej bowiem wyraźnie, że „(…) Wymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny. I choć DPO [z ang. IOD - dod. wł.] mogą posiadać inne zadania i obowiązki to jednak te nie mogą powodować konfliktu interesów. Oznacza to, że DPO nie może zajmować w organizacji stanowiska pociągającego za sobą określanie sposobów i celów przetwarzania danych. Ze względu na indywidualny charakter każdej organizacji ten aspekt powinien być analizowany osobno dla każdego podmiotu”. W Wytycznych DPO przedstawiony został również przykładowy zbiór stanowisk kierowniczych, których łączenie z funkcją IOD prowadzi - co do zasady - do konfliktu interesów, tj. dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT. Co równie istotne, za powodujące konflikt interesów uważane są przez Grupę Roboczą Art. 29 również niższe stanowiska, o ile osoby je piastujące biorą udział w określaniu celów i sposobów przetwarzania danych osobowych. Zatem, na podstawie przytoczonej powyżej opinii Grupy Roboczej Art. 29, w sposób oczywisty należy stwierdzić, że nieakceptowalne jest pełnienie funkcji IOD przez osobę zajmującą równocześnie stanowisko zarówno członka (jednoosobowego) zarządu, jak i jego prezesa (poziom zarządzający zgodnie z przekazanym schematem organizacyjnym R. (…)).
99.
Jednocześnie, w celu przeciwdziałania możliwości naruszenia przepisów rozporządzenia 2016/679 we wzmiankowanych Wytycznych DPO proponuje się wdrożenie określonych działań. Jako dobre praktyki w pierwszym rzędzie wymienia się przy tym zidentyfikowanie przez administratorów lub podmioty przetwarzające stanowisk niekompatybilnych z funkcją IOD oraz opracowanie wewnętrznych zasad uniemożliwiających łączenie stanowisk pozostających w konflikcie interesów.
100.
Po przeanalizowaniu przedłożonego przez Administratora pismem z 14 sierpnia 2025 roku dokumentu pt. „(…)” (dalej jako Analiza Konfliktu Interesów), którego celem była cyt.: „Ocena czy łączenie funkcji Inspektora Ochrony Danych Osobowych (IOD) z rolą Prezesa lub Wiceprezesa (Członka Zarządu) R. (…) może prowadzić do konfliktu interesów, z uwzględnieniem kryteriów organizacyjnych, merytorycznych oraz czasowych”, Prezes UODO stwierdził, że przedmiotowa analiza została przeprowadzona na kanwie indywidualnej, a przy tym błędnej wykładni przepisu art. 38 ust. 6 rozporządzenia 2016/679 - co w rezultacie skutkowało wyciągnięciem przez Administratora nieprawidłowych wniosków odnośnie dopuszczalności i poprawności przyjętych rozwiązań w zakresie statusu IOD (pełnienia tej funkcji przez osobę będącą jednocześnie członkiem zarządu, a następnie prezesem zarządu).
101.
Już na wstępnym etapie weryfikacji tego dokumentu nie sposób pominąć, że osobą zatwierdzającą przedmiotową analizę był Pan L. G. (podpis na str. 3), który na dzień sporządzania dokumentu (tj. 4 lutego 2025 roku) piastował - zgodnie z deklaracją Administratora zawartą w piśmie z 10 września 2025 roku (pkt 14 lit. b uzasadnienia niniejszej decyzji) - funkcję jedynego członka zarządu R. (…). Oznacza to, że osoba, której personalnie dotyczyła ww. opinia, sama zadecydowała o jej prawidłowości i rzetelności. Powyższe jest ewidentnym dowodem występowania konfliktu interesu oraz braku niezależności, a zarazem potwierdzeniem tezy, że łączenie stanowisk kierowniczych z pełnieniem funkcji IOD w ramach jednej struktury organizacyjnej jest niedopuszczalne (pkt 98 uzasadnienia niniejszej decyzji).
102.
Odnosząc się do treści ww. dokumentu należy wskazać, że Administrator skonstruował go w taki sposób, aby ocena możliwości wystąpienia konfliktu interesów (w związku z pełnieniem funkcji IOD przez Pana L. G.) uwzględniała kryterium organizacyjne, merytoryczne i czasowe, niemniej zawarte w nim wnioski (wskazujące na brak konfliktu w sytuacji łączenia ww. funkcji) są błędne.
103.
W pierwszej kolejności należy zaznaczyć, że argumentacja zawarta w pkt 3.1. [Kryterium Organizacyjne] oraz pkt 3.2. [Kryterium Merytoryczne] przywołanego dokumentu odnosząca się do specyfiki i charakteru prowadzonej przez Administratora działalności, tj. cyt.: „Cele przetwarzania danych są determinowane przez grantodawcę Funduszu Sprawiedliwości, co eliminuje ryzyko, że Prezes/IOD mógłby wpłynąć na decyzje, za które sam odpowiada jako nadzorca” oraz wywiedziony stąd wniosek: „Brak konfliktu merytorycznego, głównie ze względu na zewnętrzne określenie ram przetwarzania danych przez grantodawcę” - są w oczywisty sposób niezasadne.
104.
Podkreślenia wymaga, że zasadnicze znaczenie - dla oceny prawnej przedmiotowej sprawy - ma kwestia ustalenia, jakie role w procesie przetwarzania mają poszczególne podmioty, tj. w jaki sposób odbywa się administrowanie danymi osobowymi przetwarzanymi w związku z zawarciem Umowy (pkt 9 uzasadnienia niniejszej decyzji). W § 19 ust. 1 ww. dokumentu zawarto zapis, że „(…)”. Z kolei w myśl art. 26 ust. 1 rozporządzenia 2016/679, „jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. W drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z niniejszego rozporządzenia (…)”.
105.
Na podstawie analizy całokształtu materiału dowodowego zebranego w sprawie oraz stosownych przepisów, Prezes UODO uznał, że - wbrew treści postanowienia § 19 ust. 1 Umowy - w zakresie przetwarzania danych osób ubiegających się o pomoc w ramach realizacji zadań ze środków Funduszu, w relacji pomiędzy R. (…) a Ministrem Sprawiedliwości nie zachodzi stosunek współadministrowania w rozumieniu art. 26 ust. 1 rozporządzenia 2016/679.
106.
Z uwagi na zakres zadań nałożonych ustawowo na Ministra Sprawiedliwości, związanych z dystrybucją środków Funduszu, a także obowiązki R. (…) i Ministra Sprawiedliwości, wynikające z ww. Umowy, każdy z ww. podmiotów określa we własnym zakresie cele i sposoby przetwarzania danych osobowych, w tym także w zakresie realizacji zadań ze środków Funduszu.
107.
Należy wskazać, że zgodnie z art. 43 § 2 ustawy z dnia 6 czerwca 1997 r. Kodeks karny wykonawczy (Dz. U. z 2025 r. poz. 911 ze zm.), zwanej dalej także „Kodeksem”, Fundusz jest państwowym funduszem celowym ukierunkowanym na pomoc pokrzywdzonym i świadkom, przeciwdziałanie przestępczości oraz pomoc postpenitencjarną, którego dysponentem jest Minister Sprawiedliwości. Z kolei zgodnie z treścią art. 43 § 8 pkt 1 Kodeksu, środki Funduszu są przeznaczane, między innymi, na pomoc osobom pokrzywdzonym przestępstwem oraz osobom im najbliższym, zwłaszcza pomoc medyczną, psychologiczną, rehabilitacyjną, prawną oraz materialną, udzielaną przez jednostki niezaliczane do sektora finansów publicznych i niedziałające w celu osiągnięcia zysku, w tym stowarzyszenia, R. (…), organizacje i instytucje. Ponadto, w myśl § 31 ust. 1 rozporządzenia Ministra Sprawiedliwości z dnia 13 września 2017 r. w sprawie Funduszu Pomocy Pokrzywdzonym oraz Pomocy Postpenitencjarnej - Funduszu Sprawiedliwości (Dz. U. z 2025 r. poz. 1298), zwanego dalej także „rozporządzeniem o Funduszu”, podmiot, któremu przyznano środki z Funduszu Sprawiedliwości, wykorzystuje przekazane środki zgodnie z celem, na jaki je uzyskał, i na warunkach określonych w umowie.
108.
Umowa zawarta pomiędzy R. (…) a Ministrem Sprawiedliwości zawiera w § 1 postanowienia, które wskazują, że R. (…) jest podmiotem, o którym mowa m.in. w § 31 ust. 1 rozporządzenia o Funduszu, a więc wykonującym na rzecz Ministra Sprawiedliwości świadczenie polegające na wydatkowaniu środków Funduszu na cele określone w Kodeksie, rozporządzeniu o Funduszu i ww. Umowie. Wobec powyższego, zarówno R. (…), jak i Minister Sprawiedliwości, w związku z wykonaniem ww. Umowy, oddzielnie określają cele i sposoby przetwarzania danych osobowych osób ubiegających się o pomoc z Funduszu. Powyższego nie zmienia fakt, że w Umowie pomiędzy R. (…) a Ministrem Sprawiedliwości zawarto postanowienia, które wbrew stanowi faktycznemu oraz prawnemu stwierdzonemu w sprawie, przesądzają błędnie, iż jej strony są współadministratorami.
109.
Tak więc, powołane postanowienia Umowy, jakkolwiek jedynie fragmentarycznie (biorąc pod uwagę całokształt współpracy stron) ustalające sposoby przetwarzania, nie są jednak rezultatem współadministrowania i wspólnego określania sposobów przetwarzania w rozumieniu art. 26 ust. 1 rozporządzenia 2016/679, ale wzajemnych ustaleń techniczno-organizacyjnych stron Umowy realizacji przedsięwzięcia. Powyższe nie przesądza bowiem o tym, że strony przedmiotowej Umowy wspólnie określają cele i sposoby przetwarzania, co uzasadniono w powyższym wywodzie. Innymi słowy, to nie czynność prawna (np. umowa) przesądza o tym, czy strony są odrębnymi administratorami, czy współadministratorami, ale stan faktyczny związany z określaniem celów i sposobów przetwarzania danych. Jeżeli ze stanu tego wynika, jak w przedmiotowej sprawie, że określone podmioty są odrębnymi administratorami, bo faktycznie każdy z nich odrębnie ustala cele i sposoby przetwarzania, to powyższego nie można zmienić czynnością prawną, np. umową, oświadczeniem itp.
110.
Z kolei cele przetwarzania danych osób ubiegających się o pomoc z Funduszu, jakkolwiek związane z jednym przedsięwzięciem, którym jest wydatkowanie środków z Funduszu i realizacją programu będącego przedmiotem umowy, są także odmienne dla każdej ze stron ww. umowy i oddzielnie przez nie określane, na co wskazują zarówno przepisy Kodeksu i rozporządzenia o Funduszu, jak i postanowienia zawartej pomiędzy Ministrem Sprawiedliwości a R. (…) Umowy.
111.
Cel przetwarzania określony przez Ministra Sprawiedliwości dotyczy wykonania jego ustawowych zadań i kompetencji związanych z organizacją i nadzorem nad wydatkowaniem środków Funduszu i realizacją ww. programu. Zadania te sprowadzają się m.in. do: wyboru podmiotów mających bezpośrednio realizować wydatkowanie środków z Funduszu (np. takich jak R. (…)), nadzoru nad realizacją obowiązków przez ww. podmioty, prowadzenia statystyk i analiz związanych z wydatkowaniem środków Funduszu, a także rozliczenia wydatków z Funduszu. Z kolei w przypadku R. (…) celem przetwarzania jest realizacja jej zadań statutowych oraz zobowiązań wynikających z Umowy zawartej z Ministrem Sprawiedliwości. Zobowiązania te sprowadzają się przede wszystkim do zorganizowania i przeprowadzenia procesu wydatkowania środków Funduszu i organizacji ww. programu od strony techniczno-organizacyjnej, związanej ze zbieraniem zgłoszeń osób pokrzywdzonych, ich obsługą administracyjną, świadczeniem na ich rzecz konkretnych usług w zakresie pomocy prawnej, psychologicznej, materialnej itp.
112.
Powyższe porównanie zadań i ról R. (…) i Ministra Sprawiedliwości w związku z zawartą przez te podmioty Umową wskazuje na odrębne określanie celów przetwarzania przez jej obie strony (jako oddzielnych administratorów), nawet jeżeli cele te mają związek z jednym przedsięwzięciem, tj. zadaniem publicznym, realizowanym przez Ministra Sprawiedliwości. Należy przy tym wskazać także na określanie przez R. (…) celów przetwarzania, związanych z rozliczeniami podatkowymi, obowiązkami archiwizacyjnymi i innymi, które nie mają bezpośredniego związku z przedmiotem ww. umowy, a które jednak są istotne przy przetwarzaniu danych osób ubiegających się o pomoc z Funduszu. Powyższy wywód, dotyczący ustalenia charakteru administrowania danymi osób ubiegających się o pomoc ze środków Funduszu, ma istotne znaczenie dla postawionych R. (…) zarzutów w niniejszej sprawie.
113.
Jednocześnie, zasadne zdaje się również powołanie § 19 pkt 12 Umowy, który wprost wskazuje, że cyt.: „(…)”.
114.
Ww. postanowienie w sposób jednoznaczny potwierdza, że R. (…) w zakresie, w jakim realizowała zadania w ramach współpracy z Ministrem Sprawiedliwości (realizacja zadań finansowanych ze środków Funduszu Sprawiedliwości), nie została zwolniona z obowiązku przestrzegania przepisów rozporządzenia 2016/679, w szczególności w obszarze należytego zabezpieczenia danych. Co więcej, Administrator wprost został zobligowany również postanowieniami ww. Umowy do samodzielnego i indywidualnego wdrożenia - w ramach swojej wewnętrznej organizacji - adekwatnych środków technicznych i organizacyjnych mających zapewnić prawidłową realizację dyspozycji unijnej w zakresie dotyczącym m.in. technicznego i organizacyjnego zabezpieczenia procesu przetwarzania danych osobowych (przy czym integralnym, istotnym elementem systemu bezpieczeństwa danych jest właśnie IOD).
115.
Ww. uwagi mają zresztą charakter wyłącznie uzupełniający i porządkujący biorąc pod uwagę, że w zgromadzonym materiale dowodowym sprawy brak jest dowodów świadczących, że przetwarzanie danych osobowych realizowane przez R. (…) na jakimkolwiek etapie jej funkcjonowania (w szczególności zaś w okresie, gdy funkcję IOD w strukturach Administratora pełnił Pan L. G. - jako Członek Zarządu, a następnie Prezes Zarządu) ograniczało się do danych osobowych służących świadczeniu usług finansowanych z Funduszu Sprawiedliwości. I tak, proces przetwarzania danych, w ramach którego doszło do naruszenia ochrony danych osobowych (które stało się impulsem do działań organu nadzorczego w przedmiotowej sprawie) obejmował dane osobowe beneficjentów R. (…) nie służące realizacji takich zadań (pkt 40 uzasadnienia niniejszej decyzji). Ponadto, proces przetwarzania danych realizowany przez R. (…) obejmuje nie tylko dane jej beneficjentów (klientów), ale również dane pracowników i współpracowników. W oczywisty sposób o celach i sposobach przetwarzania tych danych nie decyduje jakikolwiek podmiot finansujący czy współfinansujący realizację określonych celów R. (…).
116.
Ponadto, art. 38 ust. 3 rozporządzenia 2016/679 wymaga, aby inspektor ochrony danych, w ramach struktury organizacyjnej, podlegał służbowo (w sposób bezpośredni) najwyższemu kierownictwu administratora (względnie podmiotu przetwarzającego). Tak sformułowana reguła implikuje konieczność oraz obowiązek rozdzielenia funkcji kierowniczych i funkcji IOD. W przedmiotowej sprawie, w sposób oczywisty Administrator nie spełnił wymogów należytego usytuowania IOD w organizacji, gdyż to właśnie osoba uplasowana w najwyższej hierarchii organizacji (tj. członek zarządu, a następnie prezes zarządu - poziom zarządzający zgodnie z przekazaną strukturą organizacyjną) sprawowała jednocześnie stanowisko IOD.
117.
Administrator dokonał błędnej wykładni art. 38 ust. 3 rozporządzenia 2016/679 stwierdzając w pkt 3.1. Analizy Konfliktu Interesów, że cyt.: „W strukturze R. (…), składającej się z jednoosobowego Zarządu (Prezesa) łączenie funkcji IOD z rolą Prezesa oznacza, że IOD podlega sam sobie jako najwyższemu kierownictwu. Ta konfiguracja nie narusza niezależności, ponieważ Prezes nie otrzymuje instrukcji od osób trzecich w zakresie zadań IOD”. W ten sposób wypaczono sens i funkcję ww. regulacji.
118.
Wnioski Administratora przyjęte w Analizie Konfliktu Interesów rażą również, gdy zestawi się je z dokumentem pn. „(…)”, zgodnie z którymi cyt.: „(…)” - mając na uwadze, że wszystkie ww. czynności dokonywane były wyłącznie przez jedną osobę, tj. Pana L. G., co przesądza w sposób bezpośredni o braku niezależności kompetencyjnej w strukturze organizacyjnej podmiotu. W tym sensie wydaje się, że ww. dokumenty nie tyle służą zobrazowaniu rzeczywistej (choć błędnej) analizy potencjalnego konfliktu, lecz formalnemu uzasadnieniu z góry przyjętego rozwiązania organizacyjnego. Założenie takie wydaje się tym bardziej logiczne, jeśli uwzględnić argumentację Administratora cytowaną w pkt 14 lit. d uzasadnienia niniejszej decyzji.
119.
Z omówionych powyżej względów konkluzja ujęta w pkt 4 [Wniosek Ogólny] Analizy Konfliktu Interesów, tj. cyt.: „Głównym czynnikiem eliminującym ryzyko jest charakter działalności R. (…), opartej na projektach dotacyjnych z Funduszu Sprawiedliwości, gdzie grantodawca określa cele i sposoby przetwarzania danych osobowych, narzucając wzory dokumentów w zakresie ochrony danych. To zapewnia niezależność IOD, zgodność z RODO i skuteczne wykonywanie zadań”, stanowi wynik błędnej wykładni przepisów prawa i nie znajduje oparcia w materiale dowodowym sprawy.
120.
Odnosząc się z kolei do kryterium czasowego (pkt 3.3. Analizy Konfliktu Interesów) raz jeszcze należy przypomnieć, że cyt.: „IOD powinien dysponować czasem wystarczającym do wykonywania swoich zadań, przy uwzględnieniu m.in. liczby obowiązków czy stopnia ich skomplikowania[21].
121.
R. (…), kierując się ww. przesłanką, określiła wymiar czasu pracy niezbędny do realizacji zobowiązań służbowych zarówno prezesa, jak i IOD - na podstawie którego przyjęła, że cyt.: „Obowiązki Prezesa szacuje się na ok. 20-30 godzin tygodniowo, z czego zadania związane z ochroną danych (np. monitorowanie zgodności, doradztwo) zajmują nie więcej niż 5-10 godzin. Pozostały czas pozwala na skuteczne pełnienie roli IOD, w tym na okresowe przeglądy i szkolenia”.
122.
Sformułowana powyżej konkluzja Administratora nie może jednak zostać uznana za prawidłową, również z tego względu, że zgodnie z pozyskanymi informacjami, od 1 maja 2025 roku Pan L. G. w strukturze organizacyjnej podmiotu objął również stanowisko koordynatora projektów - cyt.: „w pełnym wymiarze czasu pracy tj. na 1/1 etatu”. Przede wszystkim jednak, w sytuacji niedopuszczalności łączenia funkcji IOD i członka zarządu lub prezesa zarządu, kwestie dotyczące wymiaru czasu potrzebnego na właściwe pełnienie ww. funkcji mają znaczenie wtórne. Innymi słowy, jakakolwiek argumentacja Administratora wskazująca na przyjęcie rozwiązań służących zagwarantowaniu zasobów niezbędnych z punktów widzenia pełnienia ww. funkcji, w tym również w aspekcie czasowym, nie mogłaby doprowadzić do przyjęcia, że funkcje te można łączyć.
123.
Reasumując, w ocenie organu nadzorczego, przeprowadzona przez Administratora Analiza Konfliktu Interesów oparta została na błędnym założeniu o potencjalnej dopuszczalności równoczesnego pełnienia przez tę samą osobę funkcji członka zarządu lub prezesa zarządu i IOD, a zarazem doprowadziła do niepoprawnego wniosku, iż kumulacja ww. stanowisk nie powoduje konfliktu interesów zagrażającego prawidłowej i rzetelnej realizacji procesu ochrony danych osobowych, zgodnie z wymogami rozporządzenia 2016/679.
124.
Jakkolwiek zatem nie można odmówić słuszności twierdzeniu, że cyt.: „łączenie ról jest dopuszczalne o ile nie prowadzi do kolizji (zob. wytyczne EDPB)” - ww. teza nie znajduje zastosowania w niniejszej sprawie z przyczyn szeroko omówionych powyżej.
125.
Administrator w trakcie trwania czynności wyjaśniających organu nadzorczego w przedmiotowej sprawie dokonał zmiany w zakresie pełnienia funkcji IOD w swojej strukturze organizacyjnej, o czym poinformował w piśmie z 25 lipca 2025 roku (pkt 14 lit. e uzasadnienia niniejszej decyzji) - cyt.: „Po przeanalizowaniu argumentacji zawartej w Państwa piśmie dotyczącej IOD, została podjęta decyzja o zmianie osoby pełniącej tą funkcje. Obecnie Inspektorem został radca prawny Pan W. L.”.
126.
Jednocześnie, do korespondencji z 14 sierpnia 2025 roku R. (…) dołączyła „(…)”, jako dowód wprowadzenia ww. zmian kadrowych. Tym samym przyjąć należy, że z dniem 24 lipca 2025 roku ustał stan naruszenia przez R. (…) przepisu art. 38 ust. 6 rozporządzenia 2016/679.
127.
Podsumowując powyższe rozważania, w ocenie Prezesa UODO, R. (…) z siedzibą w M. przy ul. (…) (wcześniej: S. (…) z siedzibą w M.) poprzez niezapewnienie, aby wykonywane przez inspektora ochrony danych inne zadania i obowiązki nie powodowały konfliktu interesów - w całym okresie pełnienia funkcji IOD przez Pana L. G., tj. od 5 lutego do 24 lipca 2025 roku dopuściła się naruszenia przepisu art. 38 ust. 6 rozporządzenia 2016/679.

VI. Sankcje nałożone przez organ nadzorczy.

128.
Postępowanie administracyjne prowadzone przez Prezesa UODO służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej w celu zastosowania uprawnień naprawczych określonych w art. 58 ust. 2 rozporządzenia 2016/679.
129.
Na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679 Prezes UODO w ramach swoich uprawnień naprawczych może udzielić upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia przez operacje przetwarzania. Zgodnie z motywem 148 rozporządzenia 2016/679, aby egzekwowanie przepisów rozporządzenia 2016/679 było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne - oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, można zamiast tego udzielić upomnienia. Powinno się jednak zwrócić uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
130.
Zgodnie z art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast środków naprawczych, o których mowa w art. 58 ust. 2 lit. a) - h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy.
131.
Wedle art. 83 ust. 4 lit. a) rozporządzenia 2016/679 naruszenia przepisów kształtujących obowiązki administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 - 39 oraz 42 i 43, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
132.
Oceniając, czy, a jeśli tak, to w jakim wymiarze powinna być nałożona administracyjna kara pieniężna, organ nadzorczy ma obowiązek uwzględnić następujące okoliczności (przesłanki wymiaru kary) określone w art. 83 ust. 2 rozporządzenia 2016/679:
a)
charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody,
b)
umyślny lub nieumyślny charakter naruszenia,
c)
działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
d)
stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32,
e)
wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego,
f)
stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,
g)
kategorie danych osobowych, których dotyczyło naruszenie,
h)
sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie,
i)
jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 - przestrzeganie tych środków,
j)
stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42,
k)
wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.
133.
Ponadto organ nadzorczy - zgodnie z art. 83 ust. 1 rozporządzenia 2016/679 - zapewnia by stosowane administracyjne kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające (zasady wymiaru kary).
134.
Art. 83 ust. 3 rozporządzenia 2016/679 stanowi natomiast, że jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów rozporządzenia 2016/679, całkowita wysokość administracyjnej kary pieniężnej nie przekroczy wysokości kary za najpoważniejsze naruszenie.
135.
Stosownie do treści art. 103 ustawy z 10 maja 2018 r., równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku, gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego. Mając na uwadze powyższe, zgodnie z art. 103 ustawy z 10 maja 2018 r. Prezesa UODO zastosował do wszelkich przedstawionych w niniejszej decyzji przeliczeń walutowych średni kurs euro z 28 stycznia 2026 r. wynoszący 1 EUR = 4,2009 PLN.

1. Zachowania prowadzące do stwierdzonych naruszeń - zastosowanie art. 83 ust. 3 rozporządzenia 2016/679.

136.
Ustalając konkretne sankcje za stwierdzone w niniejszej sprawie naruszenia przepisów rozporządzenia 2016/679 Prezes UODO przeanalizował, czy do oceny sprawy zastosowanie będzie miał art. 83 ust. 3 rozporządzenia 2016/679 (zob. pkt 17 Wytycznych 04/2022[22]). Zgodnie z Wytycznymi 04/2022, w pierwszej kolejności Prezes UODO podjął próbę udzielenia odpowiedzi na następujące pytania (zob. pkt 24 Wytycznych 04/2022):
a)
czy okoliczności wskazują na jedno zachowanie, czy też na wiele zachowań podlegających karze;
b)
w przypadku jednego zachowania, czy zachowanie to stanowi jedno naruszenie czy większą liczbę naruszeń;
c)
w przypadku jednego zachowania, które stanowi wiele naruszeń, czy przypisanie jednego naruszenia wyklucza przypisanie innego naruszenia, czy też należy je przypisać równolegle.
137.
Wykładnia pojęcia „jednego zachowania” została przedstawiona - w nawiązaniu do art. 83. ust. 3 rozporządzenia 2016/679, w którym mowa jest o „tych samych lub powiązanych operacjach przetwarzania” - w pkt 28 Wytycznych 04/2022. Zgodnie z nim „[t]ermin «powiązane» odnosi się do zasady, zgodnie z którą jedno zachowanie może składać się z kilku części, które są realizowane na skutek jednego aktu woli i są kontekstowo (w szczególności jeśli chodzi o tożsamość osoby, której dane dotyczą, cel i charakter przetwarzania), przestrzennie i czasowo tak blisko powiązane, że z obiektywnego punktu widzenia można uznać je za jedno spójne zachowanie”.
138.
Odniesienie powyższej wykładni do okoliczności faktycznych niniejszej sprawy prowadzi w ocenie organu nadzorczego do wniosku, że do naruszenia przepisów art. 33 ust. 1, art. 34 ust. 1, a także art. 37 ust. 7 oraz art. 38 ust. 6 rozporządzenia 2016/679 doprowadziły cztery odrębne zachowania Administratora, których klasyfikacji można dokonać w ramach dwóch grup:
a)
zachowania związane z incydentem ochrony danych osobowych - w ramach tej grupy mieszczą się naruszenia art. 33 ust. 1 oraz art. 34 ust. 1 rozporządzenia 2016/679;
b)
zachowania związane z funkcją inspektora ochrony danych - ta grupa mieści w sobie natomiast naruszenia art. 37 ust. 7 oraz art. 38 ust. 6 rozporządzenia 2016/679.
139.
Wyodrębnione powyżej grupy naruszeń są wobec siebie na tyle odmienne, że już prima facie możliwe jest wyciągnięcie wniosku, iż art. 83 ust. 3 rozporządzenia 2016/679 nie będzie miał zastosowania do ich zbiegu w jednej decyzji. Bez wątpienia mamy bowiem do czynienia z tzw. „zasadą wielości działań” (zob. pkt 44 i 45 Wytycznych 04/2022), a „(…) powodem, dla którego naruszenia te mogą być rozpatrywane w ramach jednej decyzji, jest to, że przypadkowo zwróciły one uwagę organu nadzorczego w tym samym czasie, przy czym nie stanowiły one tych samych ani powiązanych operacji przetwarzania w rozumieniu art. 83 ust. 3 RODO”.
140.
Argumentem przemawiającym za oczywistą odrębnością zidentyfikowanych powyżej grup zachowań jest przede wszystkim ich kontekstowa odmienność ze względu na przedmiot naruszenia. Wyraźnie bowiem widoczne jest, że zachowania z pierwszej grupy (skutkujące naruszeniami art. 33 ust. 1 oraz art. 34 ust. 1 rozporządzenia 2016/679) są ściśle związane z zaistnieniem incydentu ochrony danych osobowych. W przypadku tych zachowań nieodłącznym elementem materializacji naruszenia jest uprzednie zaistnienie incydentu, który pociąga za sobą ryzyko naruszenia praw lub wolności osób fizycznych. Stwierdzenie naruszeń w ramach drugiej grupy (tj. naruszeń art. 37 ust. 7 oraz art. 38 ust. 6 rozporządzenia 2016/679) nie wiąże się z koniecznością pierwotnego zajścia jakiegokolwiek incydentu ochrony danych osobowych. Zachowania prowadzące do naruszenia tych przepisów są bowiem realizowane w ramach czynności związanych z funkcją inspektora ochrony danych w organizacji.
141.
W opinii organu nadzorczego ocena odrębności zachowań prowadzących do naruszeń w ramach dwóch grup wymienionych w pkt 138 uzasadnienia niniejszej decyzji powinna także uwzględniać ich kontekstową odmienność z uwagi na czas ich wystąpienia. Moment wystąpienia naruszeń z pierwszej grupy jest determinowany chwilą stwierdzenia incydentu ochrony danych. Czas naruszeń z drugiej grupy jest zaś skorelowany z podjęciem czynności mających na celu wyznaczenie inspektora ochrony danych w ramach organizacji.
142.
Stanowisko o odmienności zachowań prowadzących do naruszeń przepisów w ramach grup wskazanych w pkt 138 uzasadnienia niniejszej decyzji potwierdza również sama systematyka rozporządzenia 2016/679. Przepisy art. 33 ust. 1 oraz art. 34 ust. 1 rozporządzenia 2016/679 zostały bowiem zamieszczone przez prawodawcę w sekcji 2 rozdziału IV zatytułowanej „[b]ezpieczeństwo danych osobowych”, natomiast przepisy art. 37 ust. 7 oraz art. 38 ust. 6 rozporządzenia 2016/679 mieszczą się w sekcji 4 rozdziału IV zatytułowanej „[i]nspektor ochrony danych”. Nawet zatem struktura rozporządzenia 2016/679 potwierdza tezę o oczywistej odmienności zidentyfikowanych przez organ dwóch grup naruszeń.
143.
Wartym uwagi jest fakt, że zidentyfikowane grupy naruszeń są zróżnicowane także pod kątem podmiotu, który może się ich dopuścić - naruszenie przepisów z pierwszej grupy (tj. art. 33 ust. 1 oraz art. 34 ust. 1 rozporządzenia 2016/679) może zostać przypisane wyłącznie administratorowi. Przepisy te nakładają obowiązek dokonania zgłoszenia naruszenia organowi nadzorczemu oraz poinformowania podmiotów danych o naruszeniu bezpośrednio na administratora. Do naruszenia art. 37 ust. 7 oraz art. 38 ust. 6 rozporządzenia 2016/679 (a więc przepisów z drugiej grupy) może natomiast dojść zarówno po stronie administratora, jak i podmiotu przetwarzającego - w treści wskazanych przepisów wprost wskazano bowiem, że obowiązek publikacji danych kontaktowych IOD i zawiadomienia o nich organu nadzorczego oraz obowiązek zapewnienia braku konfliktu interesów po stronie IOD ciąży nie tylko na administratorze, ale także na podmiocie przetwarzającym, jeśli dokonali wyznaczenia inspektora ochrony danych w ramach swojej struktury.
144.
Jak wynika z powyższego, rozpatrywane w niniejszej sprawie naruszenia były skutkiem czterech odrębnych zachowań Administratora, których klasyfikacji można dokonać w ramach dwóch rozłącznych grup. Argumentacja przedstawiona w punktach 139 - 143 powyżej świadczy o oczywistym zróżnicowaniu, a tym samym ewidentnej odrębności grupy naruszeń mieszczącej zachowania związane z incydentem ochrony danych od grupy naruszeń, do której zaliczają się zachowania związane z funkcją inspektora ochrony danych. Poniżej natomiast organ nadzorczy przedstawi szczegółową analizę okoliczności świadczących o odrębności poszczególnych zachowań mieszących się w ramach każdej z tych grup.

A. Ocena zastosowania art. 83 ust. 3 rozporządzenia 2016/679 w odniesieniu do naruszeń przepisów art. 33 ust. 1 oraz art. 34 ust. 1 rozporządzenia 2016/679.

145.
W świetle wykładni pojęcia jednego zachowania przywołanej w punkcie 137 uzasadnienia niniejszej decyzji stwierdzić należy, iż nie sposób przyjąć, że naruszenia art. 33 ust. 1 oraz art. 34 ust. 1 rozporządzenia 2016/679 były skutkiem jednego zachowania R. (…). Przede wszystkim należy zwrócić uwagę na fakt, że zachowania te nie stanowią „tych samych lub powiązanych operacji przetwarzania”, o których mowa w art. 83 ust. 3 rozporządzenia 2016/679. Omawiane zachowania stanowią zaniechania realizacji obowiązków administratora nałożonych na niego rozporządzeniem 2016/679, które to obowiązki nie mają już związku z żadnymi konkretnymi operacjami przetwarzania - są „oderwane” od operacji, w związku z którymi stwierdzone zostało naruszenie ochrony danych osobowych. Oznacza to, że w swojej istocie zachowania te (i obowiązki, których niewykonanie prowadzi do naruszenia obu omawianych przepisów) nie dotyczą żadnych (ani tych samych, ani powiązanych, ani też niezależnych od siebie) operacji przetwarzania. Stosując terminologię zastosowaną w art. 83 ust. 3 rozporządzenia 2016/679 stwierdzić należy, że zachowania te nie mają miejsca (co wynika z istoty naruszeń przepisów art. 33 i 34 rozporządzenia 2016/679) „w ramach tych samych lub powiązanych operacji przetwarzania”.
146.
W ocenie Prezesa UODO o braku możliwości przyjęcia, że naruszenie art. 33 ust. 1 oraz naruszenie art. 34 ust. 1 rozporządzenia 2016/679 stanowią „jedno zachowanie” wyraźnie świadczy fakt realizacji przez te przepisy zupełnie odmiennych celów. Jak wskazano w Wytycznych 04/2022 (zob. pkt 34 Wytycznych 04/2022) „w przypadku gdy dwa przepisy realizują autonomiczne cele, stanowi to czynnik różnicujący, który uzasadnia nałożenie odrębnych kar pieniężnych”. Przenosząc powyższe na grunt niniejszej sprawy podkreślić należy, że zgłoszenie naruszenia ochrony danych osobowych ma zapewnić organowi nadzorczemu niezbędne informacje na temat zaistniałego incydentu, dzięki czemu organ może w odpowiedni sposób zareagować na przedmiotowe naruszenie, np. ocenić, czy administrator podjął właściwe działania, dzięki czemu administrator może we współpracy z organem nadzorczym zminimalizować konsekwencje tego naruszenia[23]. Oznacza to, że za pomocą mechanizmu określonego w art. 33 ust. 1 rozporządzenia 2016/679 administrator może ograniczyć potencjalne szkody po stronie osób objętych danym naruszeniem, a organ nadzorczy ma możliwość monitorowania, czy administrator w sposób właściwy realizuje swoje obowiązki. Celem zawiadomienia osób, których dane dotyczą o zaistniałym naruszeniu jest natomiast dostarczenie istotnych informacji o zdarzeniu oraz o rekomendowanych środkach ostrożności, co może ograniczyć powstanie potencjalnych szkód wywołanych danym naruszeniem[24]. Realizacja tego obowiązku ma na celu doprowadzenie do stanu, w którym osoby objęte naruszeniem są świadome jego skutków oraz mają możliwość podjęcia stosownych działań mogących zapobiec materializacji, bądź dalszemu rozwojowi przedstawionych przez administratora konsekwencji naruszenia. Konkludując - art. 34 ust. 1 rozporządzenia 2016/679 chroni bezpośrednio prawa i interesy faktyczne podmiotów danych, pozwalając zapobiec negatywnym skutkom naruszenia ochrony ich danych osobowych, natomiast art. 33 ust. 1 rozporządzenia 2016/679 zapewnia lub ułatwia realizację kompetencji i uprawnień kontrolnych organu nadzorczego w postaci monitorowania, czy administrator w sposób właściwy realizuje swoje obowiązki z zakresu ochrony danych osobowych.
147.
O odrębności zachowań skutkujących naruszeniami art. 33 ust.1 oraz art. 34 ust. 1 rozporządzenia 2016/679 świadczy również fakt, że podjęte zostały na skutek autonomicznych aktów woli Administratora. Obydwa akty woli zostały co prawda podjęte w wyniku Analizy przeprowadzonej przez Administratora 23 września 2022 r., jednak nie świadczy to o tożsamości procesów decyzyjnych, które skutkowały materializacją naruszeń. R. (…) podjęła dwie niezależne od siebie decyzje - decyzję o zaniechaniu zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych oraz odrębną decyzję o zaniechaniu zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych. Świadczy o tym chociażby fakt, że adresatami tych obowiązków (podmiotami, wobec których skierowane powinny być działania Administratora) są dwa różne podmioty (kategorie podmiotów) - w przypadku obowiązku, o którym mowa w art. 33 ust. 1 rozporządzenia 2016/679 jest nim organ nadzorczy, a w przypadku obowiązku z art. 34 ust. 1 ww. aktu prawnego są nim osoby, których dane dotyczą. Co więcej decyzje te nie są wzajemnymi determinantami - możliwa jest sytuacja, w której w przypadku incydentu skutkującego wysokim ryzykiem naruszenia praw lub wolności osób fizycznych administrator nie dopełni obydwu ciążących na nim obowiązków i tym samym naruszy art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679 (jak ma to miejsce w przedmiotowej sprawie), jak też np. sytuacja, w której administrator podejmie decyzję o zgłoszeniu naruszenia organowi nadzorczemu oraz decyzję o zaniechaniu zawiadomienia osób, których dane dotyczą o tym naruszeniu i wówczas dopuści się naruszenia wyłącznie art. 34 ust. 1 rozporządzenia 2016/679. Realizacja jednego z powyższych obowiązków nie stanowi zatem spełnienia drugiego z nich, ponieważ są to dwie odrębne decyzje (akty woli) administratora.
148.
Wykładnia pojęcia „jednego zachowania” przedstawiona w punkcie 28 Wytycznych 04/2022 kładzie również nacisk na ocenę przestrzennego i czasowego kontekstu zachowań. Realizacja obowiązku określonego w art. 33 ust. 1 rozporządzenia 2016/679 powinna nastąpić w miarę możliwości bez zbędnej zwłoki, ale nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. W przypadku art. 34 ust. 1 termin ten został określony również jako „bez zbędnej zwłoki”, lecz nie został ograniczony limitem 72 godzin od momentu stwierdzenia naruszenia. W Wytycznych 9/2022 termin „bez zbędnej zwłoki” został zdefiniowany jako „(…) [n]ajszybciej jak to możliwe” (zob. pkt 83 Wytycznych 9/2022). Nie oznacza on natomiast terminu natychmiastowego[25]. Zgodnie z motywem 87 rozporządzenia 2016/679, w przypadku art. 34 ust. 1 rozporządzenia 2016/679 termin ten ustala się z uwzględnieniem, w szczególności charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutków dla osób, których dane dotyczą. Oznacza to, że termin ten powinien być możliwy do wykonania przez administratora, najszybciej jak to możliwe, lecz przy uwzględnieniu indywidualnych znamion konkretnego naruszenia ochrony danych osobowych. Wobec tego termin realizacji omawianych obowiązków może być tożsamy, ale nie musi, ponieważ zależny jest od indywidualnych cech konkretnej sprawy, oraz tego, czy wystąpiło naruszenie, które może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. W stanie faktycznym niniejszej sprawy naruszenie przepisu art. 34 ust. 1 rozporządzenia 2016/679 trwało do 17 lipca 2025 r., czyli do momentu, w którym Administrator w sposób prawidłowy zawiadomił wszystkie osoby, których dane dotyczą o powstałym naruszeniu (zob. pkt 62 uzasadnienia). Natomiast naruszenie przepisu art. 33 ust. 1 rozporządzenia 2016/679 nie zostało usunięte przez Administratora do chwili obecnej - R. (…) nie podjęła żadnych działań prowadzących do usunięcia naruszenia tego przepisu.
149.
Mając na uwadze powyższe przyjąć należy, że naruszenia art. 33 ust.1 oraz art. 34 ust. 1 rozporządzenia 2016/679 stanowią dwa odrębne zachowania, a tym samym, przepis art. 83 ust. 3 rozporządzenia 2016/679 nie będzie miał zastosowania do ich zbiegu w jednej decyzji administracyjnej. W stanie faktycznym niniejszej sprawy Prezes UODO uznał, że naruszenie art. 33 ust. 1 ma znaczną wagę i poważny charakter (szerzej pkt 158 uzasadnienia niniejszej decyzji), a w związku z tym uzasadnione jest zastosowanie sankcji w postaci nałożenia na R. (…) administracyjnej kary pieniężnej. Naruszenie przepisu art. 34 ust. 1 rozporządzenia 2016/679 oceniono natomiast jako niewielkie (szerzej pkt 177 - 179 uzasadnienia niniejszej decyzji) i dlatego zastosowano w odniesieniu do niego sankcję w postaci upomnienia.

B. Ocena zastosowania art. 83 ust. 3 rozporządzenia 2016/679 w odniesieniu do naruszeń przepisów art. 37 ust. 7 oraz art. 38 ust. 6 rozporządzenia 2016/679.

150.
Również w przypadku przepisów art. 37 ust. 7 oraz art. 38 ust. 6 rozporządzenia 2016/679 zasadnym jest przyjęcie, że do ich naruszenia doprowadziły dwa odrębne i niezależne od siebie zachowania R. (…).
151.
W pierwszej kolejności wskazać należy, iż o braku możliwości przyjęcia, że naruszenie art. 37 ust. 7 oraz naruszenie art. 38 ust. 6 rozporządzenia 2016/679 stanowią „jedno zachowanie” wyraźnie świadczy fakt realizacji przez te przepisy zupełnie odmiennych celów. Wynikający z art. 37 ust. 7 rozporządzenia 2016/679 obowiązek publikacji danych kontaktowych inspektora ochrony danych i zawiadomienia o tych danych organu nadzorczego ma na celu dostarczenie organowi nadzorczemu oraz podmiotom danych informacji o tym, że administrator wyznaczył IOD i stworzenie możliwości skontaktowania się z osobą pełniącą tę funkcję. W Wytycznych DPO wyjaśniono, iż celem art. 37 ust. 7 rozporządzenia 2016/679 jest zapewnienie aby osoby, których dane dotyczą (zarówno wewnątrz jak i spoza organizacji) i organy nadzorcze mogły mieć łatwy i bezpośredni kontakt z DPO, bez konieczności kontaktowania się z innymi jednostkami podmiotu (zob. rozdział 2.6 Wytycznych DPO). W przypadku zaś art. 38 ust. 6 rozporządzenia 2016/679 intencją prawodawcy było zapewnienie, aby inspektor ochrony danych pełnił w sposób niezależny rolę swoistego gwaranta właściwie i efektywnie zapewniającego zgodność przetwarzania danych z przepisami. Zgodnie z Wytycznymi DPO „[w]ymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny” (zob. rozdział 3.5 Wytycznych DPO). Reasumując - art. 37 ust. 7 i art. 38 ust. 6 rozporządzenia 2016/679 realizują autonomiczne cele, co zgodnie z pkt 34 Wytycznych 04/2022 przemawia za nałożeniem za każde z tych naruszeń odrębnych kar pieniężnych.
152.
Konsekwencją odmienności celów realizowanych przez art. 37 ust. 7 i art. 38 ust. 6 rozporządzenia 2016/679 jest także zróżnicowanie obowiązków nakładanych przez przywołane przepisy na administratora danych oraz skutków naruszenia tych obowiązków. Art. 37 ust. 7 rozporządzenia 2016/679 nakłada na administratora obowiązek zapewnienia transparentności i sprawności komunikacji między inspektorem a podmiotami zewnętrznymi, tj. organem nadzorczym i osobami, których dane dotyczą. Skutkiem braku wywiązania się z obowiązków przewidzianych w analizowanym przepisie jest ograniczenie możliwości realizacji przez osoby, których dane dotyczą prawa do kontaktu z inspektorem ochrony danych, a także utrudnienie organowi nadzorczemu możliwości komunikacji z punktem kontaktowym w postaci IOD. Konsekwencje zaniechania publikacji danych kontaktowych inspektora i zawiadomienia o nich organu nadzorczego wywierają zatem bezpośredni wpływ na uprawnienia podmiotów spoza wewnętrznej struktury administratora. W przypadku natomiast art. 38 ust. 6 rozporządzenia 2016/679, obowiązkiem administratora jest zapewnienie niezależności inspektora ochrony danych w wykonywaniu jego zadań. Konsekwencją naruszenia tego obowiązku jest brak możliwości obiektywnego i niezależnego kontrolowania zgodności przetwarzania danych z wymogami prawa. Tym samym, naruszenie art. 38 ust. 6 rozporządzenia 2016/679 nie wiąże się automatycznie z naruszeniem praw podmiotów spoza organizacji administratora. Brak możliwości efektywnego pełnienia przez IOD roli gwaranta zgodności przetwarzania danych z prawem nie zawsze będzie pociągał za sobą skutki (np. w postaci incydentu naruszenia ochrony danych), które godzić będą w prawa podmiotów danych. Oczywistym jest, że brak niezależności i występowanie konfliktu interesów stwarza ryzyko podporządkowania systemu ochrony danych funkcjonującego u administratora oraz podejmowanych przez tego administratora działań jego własnym interesom, jednak jak już wskazano powyżej, naruszenie art. 38 ust. 6, w przeciwieństwie do naruszenia art. 37 ust. 7 rozporządzenia 2016/679 nie zawsze implikuje negatywne skutki w sferze praw podmiotów zewnętrznych wobec administratora, co zasadniczo odróżnia od siebie te przepisy.
153.
Kolejnym argumentem przemawiąjącym za wielością zachowań jest fakt, że naruszenia art. 37 ust. 7 i art. 38 ust. 6 rozporządzenia 2016/679 były skutkiem dwóch odrębnych i niezależnych od siebie w jakimkolwiek zakresie aktów woli administratora. W pkt 28 Wytycznych 04/2022 sprecyzowano, że kilka naruszeń może być skutkiem jednego zachowania, jednak w takiej sytuacji poszczególne części tego zachowania muszą być realizowane na skutek jednego aktu woli. Analiza stanu faktycznego przedmiotowej sprawy pod tym kątem prowadzi natomiast do wniosku, że nie można mówić o naruszeniach art. 37 ust. 7 i art. 38 ust. 6 rozporządzenia 2016/679 jako konsekwencji jednego aktu woli. Administrator podjął dwie odrębne decyzje - jedną o wyznaczeniu na IOD Pana L. G., a drugą o zaniechaniu ujawnienia danych kontaktowych IOD na zewnątrz - organowi nadzorczemu, osobom, których dane dotyczą i wszystkim zainteresowanym. Istotnym czynnikiem różnicującym te akty woli jest fakt, że decyzja o wyznaczeniu na inspektora ochrony danych osoby zajmującej jednocześnie stanowisko członka zarządu R. (…) poprzedzona została przeprowadzeniem przez Administratora analizy potencjalnego konfliktu interesów, dokonaniem oceny dopuszczalności pełnienia funkcji IOD przez członka zarządu oraz oceny wpływu wykonywania innych obowiązków na skuteczne i zgodne z RODO wypełnianie zadań IOD (zob. pkt 100 - 123 uzasadnienia niniejszej decyzji). Wyznaczenie na IOD członka zarządu poprzedzone zostało zatem złożonym procesem decyzyjnym, w trakcie którego Administrator dokonał (jak się ostatecznie okazało błędnej) subsumpcji przepisów prawa regulujących kwestię konieczności zapewnienia niezależności inspektora ochrony danych oraz braku konfliktu interesów, dochodząc ostatecznie do konkluzji (również błędnej) o możliwości pełnienia funkcji IOD przez członka zarządu. Skutkiem powyższego było wyznaczenie na to stanowisko Pana L. G., co stanowiło końcowy element tego aktu woli. Niezależną od wyznaczenia członka zarządu na inspektora ochrony danych była natomiast decyzja o zaniechaniu publikacji danych kontaktowych inspektora i ich przekazania organowi nadzorczemu. To zachowanie nie ma jakiegokolwiek związku z procesem decyzyjnym, który skutkował powstaniem konfliktu interesów po stronie IOD. Realizacja obowiązków wynikających z art. 37 ust. 7 rozporządzenia 2016/679 ma bowiem charakter czysto techniczny, a ich właściwe wykonanie nie wymaga dokonania interpretacji norm prawnych.
154.
O odrębności aktów woli skutkujących naruszeniami świadczy także fakt, że naruszenie art. 37 ust. 7 rozporządzenia 2016/679 nie ma charakteru „personalnego” - do naruszenia tego przepisu dochodzi niezależnie od tego kto pełni funkcję IOD. Naruszenie art. 38 ust. 6 rozporządzenia 2016/679 ma natomiast ścisły związek z osobą wyznaczoną na IOD - przyczyną naruszenia jest bowiem okoliczność pełnienia przez konkretną osobę funkcji lub wykonywania przez nią zadań, które skutkują zaistnieniem konfliktu interesów w przypadku jednoczesnego wyznaczenia jej na IOD.
155.
Powyższą argumentację wzmacnia dodatkowo fakt, że zachowania prowadzące do naruszeń art. 37 ust. 7 i art. 38 ust. 6 rozporządzenia 2016/679 stanowią postępowania administratora o odmiennym charakterze. W przypadku art. 37 ust. 7 rozporządzenia 2016/679 mamy bowiem do czynienia z zaniechaniem, czyli powstrzymaniem się od wymaganych prawem czynności. Naruszenie art. 38 ust. 6 rozporządzenia 2016/679 zmaterializowało się natomiast na skutek działania administratora, a więc podjęcia czynności niezgodnych z wymogami przewidzianymi prawem.
156.
Mając na uwadze powyższe przyjąć należy, że naruszenia art. 37 ust. 7 i art. 38 ust. 6 rozporządzenia 2016/679 stanowią dwa odrębne zachowania, a tym samym, przepis art. 83 ust. 3 rozporządzenia 2016/679 nie będzie miał zastosowania do ich zbiegu w jednej decyzji administracyjnej. Konsekwencją powyższego jest zaś to, że „[w] decyzji nakładającej karę organ nałoży indywidualne kary pieniężne za każde z nich, przy czym do ich sumy nie będzie miała zastosowania jedna prawnie określona maksymalna wysokość kary” (zob. przykład 3 do pkt 45 Wytycznych 04/2022).

2. Administracyjna kara pieniężna za naruszenie art. 33 ust. 1 rozporządzenia 2016/679.

A. Przesłanki wymiaru administracyjnej kary pieniężnej.

157.
Decydując o nałożeniu administracyjnej kary pieniężnej za naruszenie art. 33 ust. 1 rozporządzenia 2016/679 Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w sprawie tego rodzaju sankcji oraz jednocześnie wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:
158.
Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania (art. 83 ust. 2 lit. a) rozporządzenia 2016/679).
R. (…) dokonała naruszenia obowiązku określonego w art. 33 ust. 1 rozporządzenia 2016/679 poprzez zaniechanie zgłoszenia Prezesowi UODO naruszenia ochrony danych osobowych. Obowiązek ten jest ściśle związany z systemem mającym na celu ochronę jednego z podstawowych praw osoby fizycznej, którym jest prawo do ochrony jej danych osobowych, czy też szerzej - do ochrony jej prywatności. Istotnym elementem tego systemu, którego ramy określone zostały przepisami rozporządzenia 2016/679, są organy nadzorcze, na które nałożone zostały zadania związane z ochroną i egzekwowaniem praw osób fizycznych w tym zakresie. W przypadku art. 33 ust. 1 rozporządzenia 2016/679 organy nadzorcze za pomocą mechanizmu zgłoszenia naruszenia ochrony danych osobowych są w stanie w odpowiedni sposób zareagować na zgłoszone naruszenie, np. poprzez ocenę, czy administrator w sposób prawidłowy dokonał analizy wpływu naruszenia na prawa lub wolności osób, których dane objęte są naruszeniem, a w konsekwencji, czy występuje wysokie ryzyko naruszenia praw lub wolności tych osób i zachodzi konieczność zawiadomienia o naruszeniu ich danych. W niniejszej sprawie Prezes UODO pozbawiony został takiej możliwości, ponieważ Administrator zaniechał wymaganego prawem zgłoszenia. Naruszenie ma zatem znaczną wagę i poważny charakter, ponieważ mechanizm zgłaszania naruszeń ochrony danych osobowych stanowi skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych oraz realizacji głównego celu rozporządzenia 2016/679, którym jest ochrona praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych.
Odnosząc się do przesłanki czasu trwania naruszenia wskazać należy, iż Administrator został powiadomiony o załączeniu do wniosku niezanonimizowanej dokumentacji przez (…) Urząd Wojewódzki - w piśmie z 26 września 2022 roku R. (…) oświadczyła „o fakcie popełnienia takiego błędu dowiedzieliśmy się dopiero z pisma przesłanego do nas przez (…) Urząd Wojewódzki”. Wiedzę o tym, że zdarzenie to stanowi naruszenie ochrony danych Administrator powziął natomiast najpóźniej z chwilą sporządzenia Analizy z 23 września 2022 r. Naruszenie przepisu art. 33 ust. 1 rozporządzenia 2016/679 trwa zatem od momentu upływu 72 godzin od stwierdzenia naruszenia ochrony danych osobowych, co w przedmiotowej sprawie miało miejsce najpóźniej 23 września 2022 r. i nie zostało do chwili obecnej przez R. (…) usunięte, co również stanowi czynnik obciążający.
159.
Umyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679).
Dokonując oceny niniejszej przesłanki, Prezes UODO wziął pod uwagę przeprowadzoną przez Administratora Analizę (zob. pkt 38 uzasadnienia niniejszej decyzji). Dla potrzeb oceny umyślnego lub nieumyślnego charakteru naruszenia należy przede wszystkim wskazać, że zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, obowiązek zgłoszenia przez administratora naruszenia ochrony danych organowi nadzorczemu powstaje w przypadku stwierdzenia, że incydent może skutkować powstaniem ryzyka dla praw lub wolności osób fizycznych i jest ono wyższe niż pomijalne. Z przeprowadzonej przez R. Analizy datowanej na 23 września 2022 r. wynika, że poziom ryzyka naruszenia praw lub wolności osób fizycznych został zaklasyfikowany jako „niski” (tak w punkcie 2.4 Analizy). Jednocześnie wskazano w niej, że „[r]yzyko nie uzasadnia zgłoszenia do PUODO jako «wysokiego»” (patrz pkt 38 uzasadnienia niniejszej decyzji). Abstrahując zatem od kwestii braku poprawności wniosków przedstawionych w Analizie co do rzekomo niskiego poziomu ryzyka naruszenia praw lub wolności osób fizycznych, należy podkreślić, że nawet w przypadku, gdyby wnioski te były prawidłowe i poziom ryzyka rzeczywiście byłby niski, to zgodnie z art. 33 ust. 1 rozporządzenia 2016/679 na Administratorze i tak ciążył obowiązek zgłoszenia naruszenia Prezesowi UODO.
W ocenie organu nadzorczego uzasadnionym jest przyjęcie, że naruszenie art. 33 ust. 1 rozporządzenia 2016/679 miało charakter umyślny. Jak bowiem wskazano w rozdziale III lit. b) Wytycznych WP 253[26], „«umyślność» obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego”. Fakt przeprowadzenia Analizy świadczy o świadomości Administratora w zakresie ciążących na nim obowiązków notyfikacyjnych wynikających z okoliczności zaistnienia incydentu ochrony danych pociągającego za sobą ryzyko naruszenia praw lub wolności podmiotów danych. W punkcie 2.4 przeprowadzonej Analizy R. (…) wprost wskazała, że ryzyko naruszenia praw lub wolności osób fizycznych istnieje, a dla konieczności realizacji obowiązku z art. 33 ust. 1 nie miał znaczenia jego rzekomo niski poziom. Tym samym przyjąć należy, że Administrator miał wiedzę o istnieniu ryzyka związanego z naruszeniem ochrony danych, co pociągało za sobą konieczność poinformowania organu nadzorczego o zaistniałym naruszeniu. Taki stan rzeczy świadczy o możliwości przyjęcia, że Administrator dopuścił się naruszenia art. 33 ust. 1 rozporządzenia 2016/679 umyślnie, co stanowi istotną okoliczność wpływającą obciążająco na wysokość administracyjnej kary pieniężnej.
Niezależnie od powyższego podkreślenia wymaga, że R. (…) w ramach wystąpienia z 3 marca 2025 r. po raz pierwszy otrzymała od organu nadzorczego informację o tym, że w jego ocenie incydent „powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych” (zob. pkt 5 uzasadnienia niniejszej decyzji). Tym samym, najpóźniej od momentu doręczenia tego pisma Administrator miał świadomość, że nie wypełnił obowiązków, które zostały nałożone na niego rozporządzeniem 2016/679, w tym zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych. R. (…) podzieliła przy tym ocenę organu nadzorczego, iż poziom ryzyka naruszenia praw lub wolności osób fizycznych, których dane dotyczą jest wysoki i pismami datowanymi na 31 marca 2025 r. oraz 11 lipca 2025 r. zawiadomiła te osoby o naruszeniu ochrony ich danych. Skoro zatem Administrator był zobowiązany do zawiadomienia osób, których dane dotyczą i obowiązek ten ostatecznie zrealizował, to tym bardziej ciążył na nim obowiązek zgłoszenia naruszenia organowi nadzorczemu.
160.
Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679).
Administrator, pomimo kierowanej do niego korespondencji, wskazującej na wysokie ryzyko naruszenia praw lub wolności osób fizycznych, których dotyczyło naruszenie ochrony danych osobowych, nie podjął oczekiwanych i prawidłowych w świetle art. 33 ust. 1 rozporządzenia 2016/679 działań, czyli nie zgłosił naruszenia ochrony danych osobowych organowi nadzorczemu. Oznacza to, że stopień współpracy Administratora z organem nadzorczym w celu usunięcia naruszenia art. 33 ust. 1 rozporządzenia 2016/679 oraz złagodzenia jego ewentualnych skutków należy ocenić jako niezadawalający, co stanowi okoliczność obciążającą podczas ustalania wysokości administracyjnej kary pieniężnej.
161.
Ustalając wysokość administracyjnej kary pieniężnej Prezes UODO nie znalazł podstaw do uwzględnienia okoliczności łagodzących, mających wpływ na obniżenie ostatecznego wymiaru kary orzeczonej wobec Administratora.
162.
Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy niemające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
163.
Wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e) rozporządzenia 2016/679).
Prezes UODO nie stwierdził po stronie Administratora jakichkolwiek wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. Obowiązkiem każdego administratora jest przestrzeganie przepisów prawa, a zatem brak wcześniejszych naruszeń nie może być również okolicznością łagodzącą przy wymierzaniu sankcji (zob. pkt 94 Wytycznych 04/2022).
164.
Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator zgłosił naruszenie (art. 83 ust. 2 lit. h) rozporządzenia 2016/679).
Prezes UODO nie został poinformowany o naruszeniu ochrony danych osobowych zgodnie z przewidzianą dla takich sytuacji procedurą określoną w art. 33 rozporządzenia 2016/679. O naruszeniu ochrony danych osobowych polegającym na załączeniu do wniosków skierowanych do wojewodów niezanonimizowanych kopii dokumentów dotyczących 25 osób, na rzecz których R. (…) świadczyła usługi, a także niezanonimizowanych kopii umów o współpracy zawartych z 4 osobami, Prezes UODO został poinformowany przez (…) pismem z 12 września 2022 r. oraz przez Wojewodę (…) pismem z 24 listopada 2022 r. (zob. pkt 2 - 3 uzasadnienia niniejszej decyzji). Brak zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych jest przedmiotem niniejszego postępowania i w okolicznościach rozważanego stanu faktycznego Prezes UODO przyjął, że przesłanki tej nie potraktuje jako okoliczności obciążającej, ponieważ stanowi ona o istocie omawianego naruszenia.
165.
Jeżeli wobec administratora, którego sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 - przestrzeganie tych środków (art. 83 ust. 2 lit. i) rozporządzenia 2016/679).
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Administratora w rozpatrywanej sprawie środków określonych w art. 58 ust. 2 rozporządzenia 2016/679. Oznacza to, że Administrator nie miał obowiązku podejmowania jakichkolwiek działań związanych ze stosowaniem tychże środków. W odmiennej sytuacji, organ nadzorczy poddałby ocenie takie działania, które mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
166.
Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na moc art. 42 (art. 83 ust. 2 lit. j) rozporządzenia 2016/679).
Administrator nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Przyjęcie powyższych środków, wdrożenie oraz stosowanie nie jest jednak - jak stanowią przepisy rozporządzenia 2016/679 - obowiązkowe dla administratora. Oznacza to, że okoliczność ich niestosowania nie może być poczytywana na jego niekorzyść. Odmienna sytuacja miałaby miejsce, gdyby Administrator przyjął i stosował tego rodzaju instrument, który gwarantuje wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych. W takim przypadku okoliczność ta mogłaby być oceniona na jego korzyść.
167.
Wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k) rozporządzenia 2016/679).
Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej. Nie stwierdzono również, aby Administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej.
168.
Pozostałe okoliczności wymienione w art. 83 ust. 2 rozporządzenia 2016/679 nie mogły być wzięte pod uwagę przez Prezesa UODO ze względu na istotę tego naruszenia (dotyczącego relacji administratora z organem nadzorczym, a nie z osobami, których dane dotyczą). Są to:
a)
liczba poszkodowanych osób i rozmiar poniesionej przez nie szkody (art. 83 ust. 2 lit. a) rozporządzenia 2016/679) - ze względu na to, że naruszenie polegające na niezgłoszeniu naruszenia ochrony danych osobowych Prezesowi UODO stanowi zaniechanie obowiązku, który administrator był zobowiązany spełnić wobec organu nadzorczego. Oznacza to, że w swojej istocie nie dotyczy ono podmiotów danych, a więc nie może ze swej natury spowodować powstania szkód po ich stronie;
b)
działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust 2 lit. c) rozporządzenia 2016/679) - ze względu na istotę naruszenia, które nie może wiązać się z powstaniem szkód po stronie osób fizycznych. Ponieważ wskutek naruszenia nie powstają żadne szkody po stronie podmiotów danych, brak jest możliwości podjęcia przez administratora działań, które te szkody miałyby zminimalizować, a które to działania mogłyby podlegać ocenie organu nadzorczego jako okoliczności łagodzące lub obciążające;
c)
stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d) rozporządzenia 2016/679) - ze względu na to, że naruszenie w samej swojej istocie nie wiąże się ze środkami technicznymi i organizacyjnymi wdrożonymi przez administratora w celu zapewnienia ochrony danych osobowych oraz bezpieczeństwa ich przetwarzania;
d)
kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679) - ze względu na to, że naruszenie w samej istocie nie dotyczy żadnych danych osobowych, a tym samym żadnych ich kategorii. Polega ono bowiem na niespełnieniu (wobec organu nadzorczego) obowiązku oderwanego od jakichkolwiek operacji przetwarzania.

B. Ustalenie wysokości administracyjnej kary pieniężnej według Wytycznych 04/2022.

169.
Administrator nie należy do grupy podmiotów wymienionych w art. 102 ust. 1 i 2 ustawy z 10 maja 2018 r., a zatem w związku z tym, w przedmiotowej sprawie, nie mają zastosowania ograniczenia wysokości (odpowiednio do 10 000 lub 100 000 PLN) administracyjnej kary pieniężnej.
170.
Jako podstawę wyjściową do obliczenia administracyjnej kary pieniężnej Prezes UODO, zgodnie z art. 83 ust. 4 rozporządzenia 2016/679, przyjął wartość obrotu R. (…) za rok 2024 przedstawioną w sprawozdaniu finansowym. Zgodnie z tym dokumentem, obrót R. (…) w roku 2024 wyniósł (…) PLN, co - w przeliczeniu na euro (wg średniego kursu euro z 28 stycznia 2026 r. wynoszącego 1 EUR = 4,2009 PLN - przyjętego dla tego oraz dla wszelkich innych poniższych przeliczeń walutowych zgodnie z art. 103 ustawy z 10 maja 2018 r.) - stanowi kwotę (…) EUR. W związku z tym, że jest to kwota niższa niż statyczna kwota maksymalna (10 000 000 EUR), Prezes UODO zobligowany jest do przyjęcia jako maksimum kwoty wynoszącej 10 000 000 EUR, którego nie może przekroczyć orzekając administracyjną karę pieniężną.
171.
Zgodnie z przedstawionymi w Wytycznych 04/2022 wskazówkami Prezes UODO dokonał kategoryzacji stwierdzonego w niniejszej sprawie naruszenia przepisu rozporządzenia 2016/679 (zob. Rozdział 4.1 Wytycznych 04/2022). Stwierdzone w niniejszej sprawie naruszenie przepisu art. 33 ust. 1 rozporządzenia 2016/679 należy - zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 - do kategorii naruszeń zagrożonych karą niższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 10 000 000 EUR lub do 2% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Zostało więc ono in abstracto (w oderwaniu od indywidualnych okoliczności konkretnej sprawy) uznane przez prawodawcę unijnego za mniej poważne niż naruszenia wskazane w art. 83 ust. 5 i 6 rozporządzenia 2016/679.
172.
Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o niskim poziomie powagi (zob. Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które dotyczą strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679) oraz umyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679). Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679) nie zostały wzięte pod uwagę ze względu na charakter naruszenia (dotyczącego relacji administratora z organem nadzorczym, a nie z osobami, których dane dotyczą). Szczegółowa ocena tych okoliczności przedstawiona została powyżej (zob. pkt 158 - 159 uzasadnienia niniejszej decyzji). W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest niski. Konsekwencją tego jest zaś przyjęcie - jako kwoty wyjściowej do obliczenia kary - wartości mieszczącej się w przedziale od 0% do 10% maksymalnej wysokości kary możliwej do orzeczenia wobec Administratora, to jest - zważywszy na limit określony w art. 83 ust. 4 rozporządzenia 2016/679 - od 0 do 1 000 000 EUR (zob. Podrozdział 4.2.4 Wytycznych 04/2022). Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę 500 000,00 EUR (równowartość 2 100 450,00 PLN).
173.
Prezes UODO dostosował kwotę wyjściową, odpowiadającą niskiej powadze stwierdzonego naruszenia, do obrotu R. (…) jako miernika jej wielkości i siły gospodarczej. Stosownie do wskazówek Europejskiej Rady Ochrony Danych przedstawionych w rozdz. 4.3 pkt 65 Wytycznych 04/2022, w przypadku przedsiębiorstw, których roczny obrót, jak w przedmiotowej sprawie, jest niższy lub równy 2 mln EUR, organ nadzorczy może rozważyć dokonanie dalszych obliczeń wysokości kary na podstawie wartości mieszczącej się w przedziale od 0,2 do 0,4% kwoty wyjściowej. Biorąc pod uwagę obrót (przychód) Administratora w 2024 r. (zob. pkt 170 uzasadnienia niniejszej decyzji), Prezes UODO za stosowne uznał skorygowanie podlegającej obliczeniom kwoty kary do wartości odpowiadającej (…) kwoty wyjściowej, to jest do kwoty 1 450,00 EUR (równowartość 6 091,00 PLN).
174.
Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (zob. Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się - jak zakładają Wytyczne 04/2022 - do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej (zob. pkt 160, 163 - 167 uzasadnienia niniejszej decyzji). Prezes UODO uznał, że okolicznością obciążającą w niniejszej sprawie jest stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679). Organ nadzorczy przeprowadzając analizę w niniejszej sprawie nie uwzględnił żadnej okoliczności łagodzącej, mającej wpływ na obniżenie wymiaru sankcji. Ze względu na zaistnienie w sprawie okoliczności obciążającej, Prezes UODO oceniając jej wpływ na stwierdzone naruszenie, uznał za zasadne zwiększenie o 10% ustalonej wyżej kwoty kary (zob. pkt 173 uzasadnienia niniejszej decyzji) - do kwoty 1 595,00 EUR (równowartość 6 700,00 PLN).
175.
Zgodnie z art. 83 ust. 1 rozporządzenia 2016/679, każdy organ nadzorczy zapewnia, by administracyjne kary pieniężne stosowane za naruszenia tego rozporządzenia były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Natomiast Wytyczne 04/2022 wskazują, że ostatnim krokiem kalkulacji kary dokonywanej zgodnie z przedstawioną tam metodologią powinno być przeanalizowanie, czy ostateczna kwota obliczonej kary pieniężnej spełnia te wymogi oraz odpowiednie zwiększenie lub zmniejszenie kary pieniężnej (zob. rozdział 7 Wytycznych). Dokonując takiej analizy w niniejszej sprawie Prezes UODO uznał, ze ustalona zgodnie z powyższymi zasadami wysokość kary nie wymaga dodatkowej korekty ze względu na skuteczność, proporcjonalność i odstraszający charakter kary (art. 83 ust. 1 rozporządzenia 2016/679). W jego ocenie administracyjna kara pieniężna w ustalonej wysokości, tj. w kwocie 6 700,00 PLN, będzie skuteczna (przez swoją dolegliwość pozwali osiągnąć swój cel represyjny, którym jest ukaranie za bezprawne zachowanie), odstraszająca (pozwoli skutecznie zniechęcić zarówno R. (…) jak i innych administratorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679) oraz proporcjonalna (będzie adekwatna do stwierdzonej wagi naruszenia, nie będzie wykraczać poza możliwości finansowe R. (…) oraz pozwoli na osiągnięcie celów określonych w rozporządzeniu 2016/679). Nałożona na Administratora kara pieniężna stanowi ok. 0,17% całkowitego obrotu R. (…) za 2024 r. Jednocześnie warto podkreślić, że kwota nałożonej administracyjnej kary pieniężnej to jedynie 0,016% maksymalnej wysokości kary, którą Prezes UODO mógł, zgodnie z art. 83 ust. 4 rozporządzenia 2016/679, nałożyć na Administratora za stwierdzone w niniejszej sprawie naruszenie. Wysokość administracyjnej kary pieniężnej uwzględnia przy tym specyfikę działania R. (…), której celem nie jest nastawienie na zysk, ale realizacja zadań użytecznych publicznie. Naruszenie art. 33 ust. 1 rozporządzenia 2016/679, którego dopuściła się R. (…) i które, jak wskazano powyżej, trwa do chwili obecnej wymaga reakcji organu nadzorczego, zaś w ocenie Prezesa UODO zastosowanie jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, nie byłoby proporcjonalne do stwierdzonych nieprawidłowości oraz nie gwarantowałoby tego, że Administrator w przyszłości nie dopuści się kolejnych zaniedbań. Wysokość nałożonej administracyjnej kary pieniężnej została określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków Administratora, nie powodując z drugiej strony sytuacji, w której konieczność jej uiszczenia pociągnie za sobą negatywne następstwa w postaci istotnego pogorszenia sytuacji finansowej R. (…).
176.
Mając na uwadze powyższe, Prezes UODO na podstawie art. 83 ust. 4 lit. a) w związku z art. 103 ustawy z 10 maja 2018 r., za naruszenie art. 33 ust. 1 rozporządzenia 2016/679 nałożył na R. (…) - stosując średni kurs euro z dnia 28 stycznia 2026 r. (1 EUR = 4,2009 PLN) - administracyjną karę pieniężną w kwocie 6 700 PLN (co stanowi równowartość 1 595 EUR).

3. Upomnienie za naruszenie art. 34 ust. 1 rozporządzenia 2016/679.

177.
Odnosząc treść art. 58 ust. 2 lit. b) oraz Motyw 148 rozporządzenia 2016/679 do ustalonego w niniejszej sprawie stanu faktycznego stwierdzić należy, że Administrator nie zawiadamiając niezwłocznie podmiotów danych o naruszeniu ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia ich praw lub wolności, naruszył obowiązek wynikający z art. 34 ust. 1 rozporządzenia 2016/679. W ocenie Prezesa UODO okoliczności faktyczne niniejszej sprawy świadczą jednak o konieczności uznania tego naruszenia za niewielkie oraz uzasadniają udzielenie R. (…) upomnienia, co zdaniem organu nadzorczego należy uznać za wystarczający środek.
178.
Szczególnego podkreślenia wymaga fakt, że naruszenie art. 34 ust. 1 rozporządzenia 2016/679 zostało niezwłocznie usunięte przez Administratora po zastosowaniu wobec niego środka określonego w art. 52 ustawy z 10 maja 2018 r. Celem wystąpienia Prezesa UODO jest zapewnienie skutecznej ochrony danych osobowych, co zostało osiągnięte w momencie, w którym R. (…) niezwłocznie po doręczeniu wystąpienia zawiadomiła osoby, których dane podlegały naruszeniu o zaistniałym incydencie.
179.
W świetle powyższego stwierdzić należy, że administracyjna kara pieniężna byłaby środkiem nadmiarowym, ponieważ Prezes UODO za pomocą wystąpienia osiągnął swój podstawowy cel, jakim jest zapewnienie skutecznej ochrony danych osobowych. Niewątpliwie Administrator dopuścił się zwłoki w realizacji obowiązku wynikającego z art. 34 ust. 1, co stanowi o naruszeniu przepisów rozporządzenia 2016/679 i wymaga reakcji organu nadzorczego. Jednakże oceniane zachowanie nie jest - w ocenie Prezesa UODO - wyrazem lekceważącego, czy też celowo naruszającego przepisy, systemowego jego podejścia do ochrony przetwarzanych przez siebie danych osobowych. W związku z powyższym udzielenie upomnienia w ocenie Prezesa UODO stanowi adekwatny środek naprawczy, który zapewni także, aby w przyszłości podobne zdarzenia nie miały miejsca. Niemniej jednak, gdyby podobne naruszenie ww. przepisu prawa powtórzyło się w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Administratora będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia administracyjnej kary pieniężnej, zgodnie z zasadami określonymi w art. 83 ust. 2 rozporządzenia 2016/679.

4. Administracyjna kara pieniężna za naruszenie art. 37 ust. 7 rozporządzenia 2016/679.

A. Przesłanki wymiaru administracyjnej kary pieniężnej.

180.
Decydując o nałożeniu administracyjnej kary pieniężnej za naruszenie art. 37 ust. 7 rozporządzenia 2016/679 Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w sprawie tego rodzaju sankcji oraz jednocześnie wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:
181.
Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania (art. 83 ust. 2 lit. a) rozporządzenia 2016/679).
Do naruszenia obowiązku określonego w art. 37 ust. 7 rozporządzenia 2016/679 doszło na skutek braku terminowego zawiadomienia organu nadzorczego o wyznaczeniu inspektora ochrony danych w osobie Pana L. G. oraz o jego odwołaniu, a także o wyznaczeniu w jego miejsce na inspektora ochrony danych Pana W. L.. R. (…) zaniechała też publikacji na stronie internetowej danych kontaktowych inspektora w całym okresie, kiedy funkcję tę pełnił Pan L. G..
Celem regulacji przewidzianej w art. 37 ust. 7 rozporządzenia 2016/679 jest urzeczywistnienie i umożliwienie realizacji jednego z podstawowych zadań inspektora ochrony danych, jakim jest pełnienie roli punktu kontaktowego dla podmiotów danych (art. 38 ust. 4 rozporządzenia 2016/679), jak i dla organu nadzorczego (art. 39 ust. 1 lit e) rozporządzenia 2016/679)[27]. Pełnienie przez IOD roli punktu kontaktowego ma bezpośredni wpływ na możliwość realizacji praw osób, których dane dotyczą. Konieczność zapewnienia, aby osoby, których dane dotyczą mogły mieć łatwy, bezpośredni kontakt z IOD ma szczególne znaczenie w kontekście gwarancji poufności - jak wskazano w rozdziale 2.6 Wytycznych DPO „[d]la przykładu, pracownicy mogą niechętnie składać skargi do DPO, jeżeli niezapewniona zostanie poufność ich komunikacji”. Sytuacja, w której nie zapewniono możliwość nawiązania kontaktu z IOD z pominięciem innych jednostek organizacji z uwagi na brak publikacji jego danych kontaktowych, może więc istotnie wpływać na możliwość realizacji praw podmiotów danych. Brak zawiadomienia organu nadzorczego o danych kontaktowych IOD może natomiast utrudniać organowi realizację jego zadań, np. w kontekście monitorowania stosowania przez danego administratora przepisów rozporządzenia.
Ocenianemu naruszeniu należy zatem przypisać znaczną wagę i poważny charakter. Konsekwencje przypisanego Administratorowi naruszenia wykraczają bowiem dalej niż wynika to z formalnoprawnego charakteru obowiązków nałożonych art. 37 ust. 7 rozporządzenia 2016/679 - brak publikacji danych kontaktowych IOD niejednokrotnie może bowiem utrudniać, a nawet uniemożliwiać realizację praw przysługujących osobom fizycznym, co nakazuje traktować stwierdzone w niniejszej sprawie naruszenie, jako godzące w system ochrony danych osobowych. Stanowi to istotną przesłankę obciążającą przy ustalaniu wymiaru nałożonej kary.
W kontekście oceny wagi przypisanego R. (…) naruszenia istotne znaczenie ma również szeroki krąg podmiotów, na których uprawnienia wpływało to naruszenie - do tej grupy należy bowiem zaliczyć wszystkie osoby, których dane były przetwarzane przez podmiot w okresie, kiedy utrzymywał się stan naruszenia w postaci braku publikacji danych kontaktowych IOD. W skali działalności R. (…) naruszenie to miało zatem charakter „systemowy” (zob. pkt 53 lit. b) ppkt iv Wytycznych 04/2022), bowiem dotyczyło wszystkich jej beneficjentów oraz osób z nią współpracujących, a także podmiotów z zewnątrz potencjalnie zainteresowanych kontaktem z IOD. Naruszeniem art. 37 ust. 7 został także objęty organ nadzorczy z uwagi na brak zawiadomienia o danych kontaktowych IOD.
Naruszenie art. 37 ust. 7 w postaci braku publikacji danych kontaktowych IOD na stronie internetowej R. (…) trwało od 5 lutego do 24 lipca 2025 r., tj. przez cały okres pełnienia tej funkcji przez Pana L. G., a co za tym idzie, ocenić je należy jako długotrwałe. W kontekście czasu trwania naruszenia podkreślenia wymaga, że prawodawca nie wskazał konkretnego terminu realizacji omawianego obowiązku i ograniczył się do stwierdzenia, że udostępnienie powinno nastąpić „niezwłocznie” po wyznaczeniu inspektora. Jak wskazuje się w doktrynie „termin jest relatywizowany czynnikami związanymi z funkcjonowaniem poszczególnych podmiotów - z normalnym tokiem czynności z uwzględnieniem okoliczności faktycznych”[28]. W realiach niniejszej sprawy należy zwrócić uwagę na fakt, że publikacja danych kontaktowych Pana W. L. miała miejsce już 25 lipca 2025 r., a więc dzień po jego wyznaczeniu na funkcję IOD (zob. pkt 8 uzasadnienia niniejszej decyzji). Przyjąć zatem można, że nic nie stało na przeszkodzie, aby Administrator równie niezwłocznie opublikował dane kontaktowe IOD w okresie, kiedy funkcję tę pełnił Pan L. G..
Naruszenie art. 37 ust. 7 w postaci braku zawiadomienia organu nadzorczego o wyznaczeniu inspektora ochrony danych oraz o jego odwołaniu trwało natomiast w okresie od 5 lutego do 25 sierpnia 2025 roku. W składanych wyjaśnieniach R. (…) starała się wykazać, że informacja o wyznaczeniu na IOD zarówno Pana L. G. jak i Pana W. L. zostały przekazane organowi nadzorczemu w ustawowym terminie - w pismach z 6 lutego oraz 25 lipca 2025 r., które zgodnie z wyjaśnieniami „były wysłane Pocztą Polską listami zwykłymi” (zob. pkt 76 uzasadnienia niniejszej decyzji). Takie twierdzenia nie zasługują jednak na uwzględnienie w szczególności mając na uwadze zasadę rozliczalności przewidzianą w art. 5 ust. 2 rozporządzenia 2016/679. R. (…) ostatecznie zrealizowała ciążący na niej obowiązek i 25 sierpnia 2025 r. zawiadomiła organ nadzorczy o objęciu funkcji IOD przez Pana L. G., jak i Pana W. L. w sposób zgodny z obowiązującymi przepisami. Mając jednak na uwadze fakt, że do realizacji tego obowiązku doszło po upływie ponad 6 miesięcy od wyznaczenia Pana L. G. na IOD, w sytuacji gdy ustawa z 10 maja 2018 r. przewiduje 14-dniowy termin na przekazanie organowi nadzorczemu stosownych informacji, czas trwania naruszenia poczytać należy na niekorzyść Administratora w kontekście wymiaru kary.
182.
Umyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679).
Odnosząc analizowaną przesłankę do naruszenia art. 37 ust. 7 rozporządzenia 2016/679 w postaci braku zawiadomienia organu nadzorczego o wyznaczeniu inspektora ochrony danych oraz o jego odwołaniu nie sposób pominąć faktu, że R. (…) w składanych wyjaśnieniach zadeklarowała, iż informacja o wyznaczeniu na IOD Pana L. G. została przekazana organowi nadzorczemu w piśmie z 6 lutego 2025 r., zaś informacja o jego odwołaniu i powierzeniu funkcji IOD Panu W. L. w piśmie z 25 lipca 2025 r. Pisma te miały jednak zostać wysłane „Pocztą Polską listami zwykłymi” (zob. pkt 76 uzasadnienia niniejszej decyzji). Administrator nie negował zatem świadomości co do ciążącego na nim obowiązku zawiadomienia organu nadzorczego o danych kontaktowych IOD, jednak w ocenie Prezesa UODO brak jest podstaw do przypisania R. (…) woli (zamiaru) naruszenia przepisu art. 37 ust. 7, bowiem nie miała ona na celu dopuszczenia się tego naruszenia. Administratorowi można natomiast w tej sytuacji przypisać rażące niedbalstwo na skutek niezachowania wymaganej prawem formy zawiadomienia o danych kontaktowych IOD.
W ocenie organu nadzorczego również zaniechanie publikacji danych kontaktowych IOD w okresie pełnienia tej funkcji przez Pana L. G. nie stanowiło umyślnego naruszenia, ale wynikało z rażącego niedbalstwa po stronie R. (…). W tym kontekście należy zwrócić uwagę na fakt, że Administrator dokonał niezwłocznej publikacji danych kontaktowych IOD po wyznaczeniu na tę funkcję Pana W. L.. Pozwala to na wyciągnięcie wniosku, że zaniechanie publikacji tych danych w okresie pełnienia funkcji IOD przez Pana L. G. stanowiło niedopatrzenie, które świadczy o rażącym niedbalstwie R. (…).
Podsumowując - w ocenie organu nadzorczego do naruszenia przez Administratora art. 37 ust. 7 rozporządzenia 2016/679 nie doszło w sposób umyślny, jednak R. (…) można w tym zakresie przypisać rażące niedbalstwo, co stanowi okoliczność wpływającą obciążająco na wysokość administracyjnej kary pieniężnej
183.
Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679).
Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił na korzyść Administratora fakt, że R. (…) podjęła działania mające na celu doprowadzenie do stanu zgodnego z przepisami rozporządzenia 2016/679 w zakresie zawiadomienia organu nadzorczego o wyznaczeniu IOD oraz jego danych. 25 sierpnia 2025 r. do Prezesa UODO wpłynęły bowiem w sposób zgodny z obowiązującymi przepisami zawiadomienia o objęciu tej funkcji przez Pana L. G. i Pana W. L.. Usunięcie przez Administratora stanu naruszenia miało wpływ dla określenia wymiaru kary i zostało ocenione jako istotna okoliczność łagodząca. W kontekście części naruszenia dotyczącej braku publikacji danych kontaktowych IOD w okresie, kiedy funkcję tę pełnił Pan L. G. podkreślić należy, że zgodnie z wyjaśnieniami R. (…) „uzupełnienie strony internetowej nastąpiło w okresie lipiec-sierpień 2025 roku” (zob. pkt 82 uzasadnienia niniejszej decyzji), przy czym wskazany przez Administratora przedział czasowy realizacji niniejszego obowiązku pokrywa się z momentem odwołania Pana L. G. z pełnienia funkcji IOD (tj. 24 lipca 2025 r.), a tym samym ustaniem konieczności publikacji jego danych jako danych kontaktowych IOD. Ta okoliczność została zatem uznana za neutralną w kontekście wymiaru kary.
184.
Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie przepisów rozporządzenia 2016/679, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
185.
Wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e) rozporządzenia 2016/679).
W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 163 uzasadnienia niniejszej decyzji.
186.
Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator zgłosił naruszenie (art. 83 ust. 2 lit. h) rozporządzenia 2016/679).
Wiedzę o naruszeniu przez Administratora art. 37 ust. 7 rozporządzenia 2016/679 organ nadzorczy powziął na podstawie wyjaśnień złożonych przez R. (…) w toku postępowania dotyczącego incydentu ochrony danych (zob. pkt 6 uzasadnienia niniejszej decyzji), co zgodnie z pkt 99 Wytycznych 04/2022 należy ocenić jako okoliczność neutralną.
187.
Jeżeli wobec administratora, którego sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 - przestrzeganie tych środków (art. 83 ust. 2 lit. i) rozporządzenia 2016/679).
W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 165 uzasadnienia niniejszej decyzji.
188.
Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na moc art. 42 (art. 83 ust. 2 lit. j) rozporządzenia 2016/679).
W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 166 uzasadnienia niniejszej decyzji.
189.
Wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k) rozporządzenia 2016/679).
Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej. Nie stwierdzono również, aby Administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej.
190.
Pozostałe okoliczności wymienione w art. 83 ust. 2 rozporządzenia 2016/679 nie mogły być wzięte pod uwagę przez Prezesa UODO ze względu na istotę tego naruszenia. Są to:
a)
liczba poszkodowanych osób i rozmiar poniesionej przez nie szkody (art. 83 ust. 2 lit. a) rozporządzenia 2016/679) - ze względu na to, że naruszenie polegające na braku publikacji danych kontaktowych IOD oraz zaniechaniu zawiadomienia o nich organu nadzorczego w swojej istocie nie dotyczy podmiotów danych, a więc nie może ze swej natury spowodować powstania szkód po ich stronie;
b)
działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust 2 lit. c) rozporządzenia 2016/679) - ze względu na istotę naruszenia, która nie może wiązać się z powstaniem szkód po stronie osób fizycznych. Naruszenie ma charakter formalny i jako takie pozostaje oderwane od kwestii szkód o charakterze materialnych lub niematerialnym po stronie podmiotów danych. Brak jest możliwości podjęcia przez administratora działań, które te szkody miałyby zminimalizować, a które to działania mogłyby podlegać ocenie organu nadzorczego jako okoliczności łagodzące lub obciążające;
c)
stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d) rozporządzenia 2016/679) - ze względu na to, że naruszenie w samej swojej istocie nie wiąże się ze środkami technicznymi i organizacyjnymi wdrożonymi przez administratora w celu zapewnienia ochrony danych osobowych oraz bezpieczeństwa ich przetwarzania;
d)
kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679) - ze względu na to, że naruszenie w samej istocie nie dotyczy żadnych danych osobowych, a tym samym żadnych ich kategorii.

B. Ustalenie wysokości administracyjnej kary pieniężnej według Wytycznych 04/2022.

191.
Jako podstawę wyjściową do obliczenia administracyjnej kary pieniężnej Prezes UODO przyjął wartość obrotu R. (…) za rok 2024 - jak w pkt 170 uzasadnienia niniejszej decyzji.
192.
Zgodnie z przedstawionymi w Wytycznych 04/2022 wskazówkami Prezes UODO dokonał kategoryzacji stwierdzonego w niniejszej sprawie naruszenia przepisu rozporządzenia 2016/679 (zob. Rozdział 4.1 Wytycznych 04/2022). Stwierdzone w niniejszej sprawie naruszenie przepisu art. 37 ust. 7 rozporządzenia 2016/679 należy - zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 - do kategorii naruszeń zagrożonych karą niższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 10 000 000 EUR lub do 2% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Zostało więc ono in abstracto (w oderwaniu od indywidualnych okoliczności konkretnej sprawy) uznane przez prawodawcę unijnego za mniej poważne niż naruszenia wskazane w art. 83 ust. 5 i 6 rozporządzenia 2016/679.
193.
Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o niskim poziomie powagi (zob. Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które dotyczą strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679) oraz umyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679). Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679) nie zostały wzięte pod uwagę ze względu na charakter naruszenia (oderwany od jakichkolwiek operacji przetwarzania danych osobowych). Szczegółowa ocena tych okoliczności przedstawiona została powyżej (zob. pkt 181 - 182 uzasadnienia niniejszej decyzji). W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest niski. Konsekwencją tego jest zaś przyjęcie - jako kwoty wyjściowej do obliczenia kary - wartości mieszczącej się w przedziale od 0% do 10% maksymalnej wysokości kary możliwej do orzeczenia wobec Administratora, to jest - zważywszy na limit określony w art. 83 ust. 4 rozporządzenia 2016/679 - od 0 do 1 000 000 EUR (zob. Podrozdział 4.2.4 Wytycznych 04/2022). Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę 1 000 000,00 EUR (równowartość 4 200 900,00 PLN).
194.
Prezes UODO dostosował kwotę wyjściową, odpowiadającą niskiej powadze stwierdzonego naruszenia, do obrotu R. (…) jako miernika jej wielkości i siły gospodarczej. Stosownie do wskazówek Europejskiej Rady Ochrony Danych przedstawionych w rozdz. 4.3 pkt 65 Wytycznych 04/2022, w przypadku przedsiębiorstw, których roczny obrót, jak w przedmiotowej sprawie, jest niższy lub równy 2 mln EUR, organ nadzorczy może rozważyć dokonanie dalszych obliczeń wysokości kary na podstawie wartości mieszczącej się w przedziale od 0,2 do 0,4% kwoty wyjściowej. Biorąc pod uwagę obrót (przychód) Administratora w 2024 r. (zob. pkt 170 uzasadnienia niniejszej decyzji), Prezes UODO za stosowne uznał skorygowanie podlegającej obliczeniom kwoty kary do wartości odpowiadającej (…) kwoty wyjściowej, to jest do kwoty (…) EUR (równowartość (…) PLN).
195.
Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się - jak zakładają Wytyczne 04/2022 - do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały w pkt 183, 185 - 189 powyżej. Prezes UODO uznał, że okolicznością łagodzącą w przedmiotowej sprawie, i w związku z tym zmniejszającą wymiar orzeczonej kary, jest stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679) i ostateczne usunięcie stanu naruszenia przez Administratora. Pozostałe przesłanki (z art. 83 ust. 2 lit. c), d), e), h), i), j), k) rozporządzenia 2016/679) - jak wskazano wyżej - nie miały wpływu, ani łagodzącego ani obciążającego, na ocenę naruszenia i w konsekwencji na wymiar kary. Fakt usunięcia naruszenia przez Administratora świadczy o odpadnięciu jednego z głównych celów kary, jakim jest przywrócenie stanu zgodnego z prawem. Aktualne pozostają jednak cel represyjny (ukaranie Administratora za niezgodne z prawem zachowanie) oraz cel prewencyjny (skuteczne zniechęcenie zarówno R. (…), jak i innych administratorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679). Ze względu na zaistnienie w sprawie okoliczności łagodzącej związanej ze stroną podmiotową naruszenia (stopień współpracy z organem, który doprowadził do usunięcia ocenianego naruszenia), a tym samym odpadnięcie jednego z podstawowych celów kary, jakim jest przywrócenie stanu zgodnego z prawem, Prezes UODO uznał za zasadne zmniejszenie o 50% ustalonej wyżej kwoty kary (zob. pkt 194 uzasadnienia niniejszej decyzji) - do kwoty 1 450,00 EUR (równowartość 6 091,00 PLN).
196.
Prezes UODO uznał, że wysokość kary nie wymaga dodatkowej korekty ze względu na zasady skuteczności, proporcjonalności i odstraszającego charakteru kary wymienione w art. 83 ust. 1 rozporządzenia 2016/679. Dla uzasadnienia tego twierdzenia aktualna pozostaje argumentacja przedstawiona w pkt 175 uzasadnienia niniejszej decyzji. Jednocześnie podkreślenia wymaga, że nałożona na Administratora kara pieniężna stanowi ok. 0,16% całkowitego obrotu R. (…) za 2024 r. Warto zaznaczyć, że kwota nałożonej administracyjnej kary pieniężnej to jedynie 0,015% maksymalnej wysokości kary, którą Prezes UODO mógł, zgodnie z art. 83 ust. 4 rozporządzenia 2016/679, nałożyć na Administratora za stwierdzone w niniejszej sprawie naruszenie.
197.
Mając na uwadze powyższe, Prezes UODO na podstawie art. 83 ust. 4 lit. a) w związku z art. 103 ustawy z 10 maja 2018 r., za naruszenie art. 37 ust. 7 rozporządzenia 2016/679 nałożył na R. (…) - stosując średni kurs euro z dnia 28 stycznia 2026 r. (1 EUR = 4,2009 PLN) - administracyjną karę pieniężną w kwocie 6 091 PLN (co stanowi równowartość 1 450 EUR).

5. Administracyjna kara pieniężna za naruszenie art. 38 ust. 6 rozporządzenia 2016/679.

A. Przesłanki wymiaru administracyjnej kary pieniężnej.

198.
Decydując o nałożeniu administracyjnej kary pieniężnej z tytułu naruszenia przez R. (…) art. 38 ust. 6 rozporządzenia 2016/679, Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.
199.
Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania (art. 83 ust. 2 lit. a) rozporządzenia 2016/679)
Do naruszenia art. 38 ust. 6 rozporządzenia 2016/679 doszło na skutek wyznaczenia inspektora ochrony danych w sposób powodujący zaistnienie konfliktu interesów z uwagi na pełnienie tej funkcji przez osobę pełniącą jednocześnie funkcję członka zarządu i zarazem zajmującą stanowisko koordynatora projektów. Prawodawca europejski w art. 38 ust. 6 rozporządzenia 2016/679 ustanowił obowiązek zapewnienia, by inne zadania i obowiązki IOD nie powodowały konfliktu interesów. Przez wzgląd na istotę i doniosłość tej funkcji dla bezpieczeństwa danych uznano bowiem, że jest ona znacząca i wymaga pełnej niezależności merytorycznej oraz dalece posuniętej niezależności w hierarchii organizacyjnej administratora. Wyznaczenie na inspektora ochrony danych osoby pełniącej jednocześnie funkcję członka zarządu i zarazem koordynatora projektów godzi w fundamenty instytucji IOD, opartej w pierwszym rzędzie na niezależności jego funkcjonowania, co świadczy o poważnym charakterze naruszenia.
O znacznej wadze naruszenia w przedmiotowej sprawie świadczy również fakt szerokiego zakresu danych przetwarzanych przez R. (…). W swoich wyjaśnieniach sam Administrator podkreślił, że beneficjentami usług świadczonych przez R. (…) są „osoby potrzebujące, trafiające do nas po pomoc (…) w trudnej sytuacji materialnej, (…) opuszczające zakłady karne, (…) uciekające z przemocy domowej” (zob. pkt 39 uzasadnienia niniejszej decyzji), zaś realizując cele statutowe Administrator przetwarzał dane osobowe m.in. w postaci numerów PESEL czy informacji o sytuacji prawnej lub osobistej. Przetwarzając dane o tak szerokim zakresie R. (…) była zobowiązana do dołożenia szczególnej staranności w powierzeniu obowiązków IOD w prawidłowy sposób w celu zapewnienia właściwego nadzoru nad przestrzeganiem w organizacji przepisów rozporządzenia 2016/679. Zaniechanie spełnienia ww. wymogu wyraźnie osłabiło bezpieczeństwo przetwarzania danych i stanowiło sprzeniewierzenie się podstawowym obowiązkom administratora ustanowionym w przepisach rozporządzenia 2016/679.
Jak wynika z zebranego w sprawie materiału dowodowego, naruszenie art. 38 ust. 6 rozporządzenia 2016/679 miało miejsce w okresie od 5 lutego 2025 r. (tj. od dnia podjęcia uchwały o powołaniu na inspektora ochrony danych Pana L. G. - zob. pkt 14 lit. a uzasadnienia niniejszej decyzji) i trwało do 24 lipca 2025 r. (tj. do dnia podjęcia uchwały o odwołaniu z funkcji IOD Pana L. G. i powołaniu w jego miejsce Pana W. L. - zob. pkt 14 lit. f uzasadnienia niniejszej decyzji). Naruszenie to trwało zatem przez ponad 5 miesięcy.
200.
Umyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679).
Z materiału dowodowego zebranego w toku postępowania wynika, że R. (…) przed podjęciem decyzji o wyznaczeniu inspektora ochrony danych przeprowadziła Analizę Konfliktu Interesów mającą na celu ocenę możliwości zaistnienia konfliktu interesów w przypadku łączenia funkcji IOD z rolą Prezesa lub Wiceprezesa (Członka Zarządu) R. (…) (zob. pkt 100 - 123 uzasadnienia niniejszej decyzji). Co prawda w wyniku Analizy Konfliktu Interesów R. (…) doszła do wniosku o możliwości łączenia tych funkcji przez jedną osobę, jednak w ocenie organu nadzorczego konkluzję tę Administrator przyjął na potrzeby uzasadnienia z góry przyjętego rozwiązania organizacyjnego. R. (…) na długo przed podjęciem uchwały o wyznaczeniu na IOD członka zarządu miała świadomość niedopuszczalności łączenia stanowisk kierowniczych z pełnieniem funkcji IOD oraz potencjalnych skutków wynikających z takiego rozwiązania. Potwierdza to treść „(…)” datowanej na 2 stycznia 2024 r. (a więc ponad rok przed wyznaczeniem na IOD Pana L. G.) - w punkcie 5.2. na stronie 3 tego dokumentu wprost wskazano, że analiza potencjalnego konfliktu interesów powinna obejmować ocenę „czy kandydat ustala cele i sposoby przetwarzania danych osobowych (np. jako członek zarządu lub kierownik projektu)”, a także uwzględniać czynniki dodatkowe w postaci m.in. zaangażowania w procesy decyzyjne biznesowe. Zestawienie powyższego z dokumentem „(…)”, zgodnie z którymi „(…)” - mając na uwadze, że wszystkie ww. czynności dokonywane były wyłącznie przez jedną osobę, tj. Pana L. G. - prowadzi do wniosku, że R. (…) świadomie wyznaczyła osobę będącą prezesem zarządu na funkcję IOD w sposób niezapewniający prawidłowej realizacji zadań i niezależnej roli IOD w organizacji Administratora. Treść argumentacji Administratora mająca przemawiać za dopuszczalnością przyjętego rozwiązania, wbrew prezentowanym poglądom organu nadzorczego, judykatury i przywołanych wytycznych Grupy Roboczej Art. 29, wskazuje, że działania w ww. zakresie nosiły znamiona umyślnego działania, tj. okoliczności sprawy wskazują, że R. (…) miała świadomość niedopuszczalności łączenia stanowisk kierowniczych z pełnieniem funkcji IOD oraz potencjalnych skutków z tego wynikających, jednak godziła się na ich potencjalne wystąpienie.
O umyślności naruszenia świadczy również fakt, że poza pełnieniem przez prezesa zarządu funkcji IOD, tej samej osobie powierzono dodatkowo stanowisko koordynatora projektów „w pełnym wymiarze czasu pracy tj. na 1/1 etatu” (zob. pkt 122 uzasadnienia niniejszej decyzji). Okoliczność ta świadczy o świadomym działaniu R. (…) w sposób sprzeczny z poglądami judykatury i doktryny, które wskazują na to, że konflikt interesów „może być także wynikiem nadmiaru obowiązków powierzonych do realizacji inspektorowi ochrony danych”[29].
201.
Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679).
Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił na korzyść Administratora fakt, że Administrator podjął ostatecznie działania mające na celu doprowadzenie do stanu zgodnego z przepisami rozporządzenia 2016/679 w zakresie statusu IOD. Stosowne działania podjęte zostały 24 lipca 2025 r., kiedy to na mocy uchwały wyznaczono na IOD Pana W. L. (zob. pkt 6 uzasadnienia niniejszej decyzji). Usunięcie przez Administratora stanu naruszenia miało wpływ dla określenia wymiaru kary i zostało ocenione jako istotna okoliczność łagodząca.
202.
Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie przepisów rozporządzenia 2016/679, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
203.
Wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e) rozporządzenia 2016/679).
W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 163 uzasadnienia niniejszej decyzji.
204.
Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator zgłosił naruszenie (art. 83 ust. 2 lit. h) rozporządzenia 2016/679).
W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 186 uzasadnienia niniejszej decyzji.
205.
Jeżeli wobec administratora, którego sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 - przestrzeganie tych środków (art. 83 ust. 2 lit. i) rozporządzenia 2016/679).
W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 165 uzasadnienia niniejszej decyzji.
206.
Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na moc art. 42 (art. 83 ust. 2 lit. j) rozporządzenia 2016/679).
W odniesieniu do ocenianego tutaj naruszenia aktualna pozostaje ocena przedstawiona w pkt 166 uzasadnienia niniejszej decyzji.
207.
Wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k) rozporządzenia 2016/679).
Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej. Nie stwierdził, żeby Administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej.
208.
Pozostałe okoliczności wymienione w art. 83 ust. 2 rozporządzenia 2016/679 nie mogły być wzięte pod uwagę przez Prezesa UODO ze względu na istotę tego naruszenia (dotyczącego statusu IOD w organizacji). Są to:
a)
liczba poszkodowanych osób i rozmiar poniesionej przez nie szkody (art. 83 ust. 2 lit. a) rozporządzenia 2016/679) - ze względu na to, że naruszenie polegające na wyznaczenie na inspektora ochrony danych w sposób skutkujący powstaniem konfliktu interesów w swojej istocie nie dotyczy podmiotów danych, a więc nie może ze swej natury spowodować powstania szkód po ich stronie;
b)
działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust 2 lit. c) rozporządzenia 2016/679) - ze względu na istotę naruszenia, która nie może wiązać się z powstaniem szkód po stronie osób fizycznych. Ponieważ wskutek naruszenia nie powstają żadne szkody po stronie podmiotów danych, brak jest możliwości podjęcia przez administratora działań, które te szkody miałyby zminimalizować, a które to działania mogłyby podlegać ocenie organu nadzorczego jako okoliczności łagodzące lub obciążające;
c)
stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d) rozporządzenia 2016/679) - ze względu na to, że naruszenie w samej swojej istocie nie wiąże się ze środkami technicznymi i organizacyjnymi wdrożonymi przez administratora w celu zapewnienia ochrony danych osobowych oraz bezpieczeństwa ich przetwarzania;
d)
kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679) - ze względu na to, że naruszenie w samej istocie nie dotyczy żadnych danych osobowych, a tym samym żadnych ich kategorii.

B. Ustalenie wysokości kary z zastosowaniem Wytycznych 04/2022.

209.
Jako podstawę obliczenia administracyjnej kary pieniężnej Prezes UODO przyjął wartość obrotu R. (…) za rok 2024 - jak w pkt 170 uzasadnienia niniejszej decyzji.
210.
Zgodnie z przedstawionymi w Wytycznych 04/2022 wskazówkami Prezes UODO dokonał kategoryzacji stwierdzonego naruszenia przepisu rozporządzenia 2016/679 (zob. Rozdział 4.1 Wytycznych 04/2022). Naruszenie art. 38 ust. 6 rozporządzenia 2016/679 należy - zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 - do kategorii naruszeń zagrożonych karą niższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 10 000 000 EUR lub do 2% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Są one więc in abstracto mniej poważne od drugiej grupy naruszeń podlegających administracyjnym karom pieniężnym (wskazanych w art. 83 ust. 5 i 6 rozporządzenia 2016/679).
211.
Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o średnim poziomie powagi (Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które dotyczą strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679). Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679) nie zostały wzięte pod uwagę ze względu na charakter naruszenia. Szczegółowa ocena tych okoliczności przedstawiona została powyżej (zob. pkt 199 - 200 uzasadnienia niniejszej decyzji). W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest średni. Konsekwencją tego jest zaś przyjęcie - jako kwoty wyjściowej do obliczenia kary - wartości mieszczącej się w przedziale od 10% do 20% maksymalnej wysokości kary możliwej do orzeczenia wobec Administratora, to jest - zważywszy na limit określony w art. 83 ust. 4 rozporządzenia 2016/679 - od 1 000 000 EUR 2 000 000 EUR (Podrozdział 4.2.4 Wytycznych 04/2022). Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę 1 500 000 EUR (równowartość 6 301 350,00 PLN).
212.
Prezes UODO dostosował kwotę wyjściową odpowiadającą powadze stwierdzonego naruszenia do obrotu Administratora jako miernika jego wielkości i siły gospodarczej (Rozdział 4.3 Wytycznych 04/2022). Zgodnie z Wytycznymi 04/2022, w przypadku przedsiębiorstw, których roczny obrót jest niższy lub równy 2 mln EUR, organ nadzorczy może rozważyć dokonanie dalszych obliczeń wysokości kary na podstawie wartości mieszczącej się w przedziale od 0,2% do 0,4% kwoty wyjściowej. Biorąc pod uwagę obrót (przychód) Administratora w 2024 r. (zob. pkt 170 uzasadnienia niniejszej decyzji), Prezes UODO za stosowne uznał skorygowanie podlegającej obliczeniom kwoty kary do wartości odpowiadającej (…) kwoty wyjściowej, to jest do kwoty (…) EUR (równowartość (…) PLN).
213.
Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się - jak zakładają Wytyczne 04/2022 - do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały w pkt 201, 203 - 207 powyżej. Prezes UODO uznał, że okolicznością łagodzącą w przedmiotowej sprawie i w związku z tym zmniejszającą wymiar orzeczonej kary jest stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679) i ostateczne usunięcie stanu naruszenia przez Administratora. Pozostałe przesłanki (z art. 83 ust. 2 lit. c), d), e), h), i), j), k) rozporządzenia 2016/679) - jak wskazano wyżej - nie miały wpływu, ani łagodzącego ani obciążającego, na ocenę naruszenia i w konsekwencji na wymiar kary. Fakt usunięcia naruszenia przez Administratora świadczy o odpadnięciu jednego z podstawowych celów kary, jakim jest przywrócenie stanu zgodnego z prawem. Aktualne pozostają jednak cel represyjny (ukaranie Administratora za niezgodne z prawem zachowanie) oraz cel prewencyjny (skuteczne zniechęcenie zarówno R. (…), jak i innych administratorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679). Ze względu na zaistnienie w sprawie okoliczności łagodzącej związanej ze stroną podmiotową naruszenia (stopień współpracy z organem, który doprowadził do usunięcia ocenianego naruszenia), a tym samym odpadnięcie jednego z podstawowych celów kary, jakim jest przywrócenie stanu zgodnego z prawem, Prezes UODO uznał za zasadne zmniejszenie o 50% ustalonej wyżej kwoty kary (zob. pkt 212 uzasadnienia niniejszej decyzji) - do kwoty 2 175,00 EUR (równowartość 9 137,00 PLN).
214.
Prezes UODO uznał, że wysokość kary nie wymaga dodatkowej korekty ze względu na zasady skuteczności, proporcjonalności i odstraszającego charakteru kary wymienione w art. 83 ust. 1 rozporządzenia 2016/679. Dla uzasadnienia tego twierdzenia aktualna pozostaje argumentacja przedstawiona w pkt 175 uzasadnienia niniejszej decyzji. Jednocześnie podkreślenia wymaga, że nałożona na Administratora kara pieniężna stanowi ok. 0,24% całkowitego obrotu R. (…) za 2024 r. Warto zaznaczyć, że kwota nałożonej administracyjnej kary pieniężnej to jedynie 0,022% maksymalnej wysokości kary, którą Prezes UODO mógł, zgodnie z art. 83 ust. 4 rozporządzenia 2016/679, nałożyć na Administratora za stwierdzone w niniejszej sprawie naruszenie.
215.
Mając na uwadze powyższe, Prezes UODO na podstawie art. 83 ust. 4 lit. a) w związku z art. 103 ustawy z 10 maja 2018 r., za naruszenie art. 38 ust. 6 rozporządzenia 2016/679 nałożył na R. (…) - stosując średni kurs euro z dnia 28 stycznia 2026 r. (1 EUR = 4,2009 PLN) - administracyjną karę pieniężną w kwocie 9 137 PLN (co stanowi równowartość 2 175 EUR).

6. Podsumowanie nałożonych na R. (…) administracyjnych kar pieniężnych.

216.
Uwzględniając wszystkie omówione wyżej okoliczności, Prezes UODO uznał, że nałożenie na R. (…) administracyjnych kar pieniężnych za naruszenia art. 33 ust. 1, art. 37 ust. 7 oraz art. 38 ust. 6 rozporządzenia 2016/679 jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych naruszeń. W ocenie organu nadzorczego zastosowanie jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniach (art. 58 ust. 2 lit. b) rozporządzenia 2016/679), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości oraz nie gwarantowałoby tego, że Administrator w przyszłości nie dopuści się kolejnych zaniedbań.
217.
Z uwagi na wielość zachowań prowadzących do stwierdzonych naruszeń, art. 83 ust. 3 rozporządzenia 2016/679 nie ma zastosowania do ich zbiegu w jednej decyzji administracyjnej, a co za tym idzie suma administracyjnych kar pieniężnych orzeczonych za naruszenia przypisane tym zachowaniom („całkowita wysokość administracyjnej kary pieniężnej”) może przekroczyć wysokość kary „za najpoważniejsze naruszenie”. Konsekwencją tego jest zaś to, że „[w] decyzji nakładającej karę organ nałoży indywidualne kary pieniężne za każde z nich, przy czym do ich sumy nie będzie miała zastosowania jedna prawnie określona maksymalna wysokość kary” (zob. Przykład 3 do pkt 45 Wytycznych 04/2022).
218.
Podkreślenia wymaga, że łączna kwota kar orzeczonych wobec R. (…) w okolicznościach niniejszej sprawy, tj. kwota 21 928 PLN (równowartość 5 220 EUR) stanowi zaledwie 0,57% całkowitego obrotu R. (…) za 2024 r., a jednocześnie jedynie 0,052% limitu w wysokości 10 000 000,00 EUR przewidzianego odrębnie dla każdego z naruszeń.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
[2] Wytyczne Europejskiej Rady Ochrony Danych (zwanej dalej „EROD”) dotyczące zgłaszania naruszenia ochrony danych osobowych na podstawie RODO (wersja 2.0), przyjęte 28 marca 2023 r. (zwane dalej „Wytycznymi 9/2022”). Wytyczne 9/2022 zaktualizowały i uzupełniły Wytyczne Grupy Roboczej Art. 29 dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (Wp250 rev.01), przyjęte w dniu 3 października 2017 r.
[3] W. Chomiczewski [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. red. E. Bielak - Jomaa, D. Lubasz, Warszawa 2018).
[4] A. Klich, B. Skrendo, Od naruszenia bezpieczeństwa przetwarzanych danych osobowych do nałożenia kary przez Prezesa UODO - zagadnienia praktyczne, Radca Prawny ZN. 2024, nr 1, s. 45-68.
[9] Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.).
[10] P. Fajgielski, Wyznaczenie inspektora ochrony danych, Procedura, 25 maja 2018 r.
[11] Europejska Rada Ochrony Danych, Wytyczne dotyczące inspektorów ochrony danych („DPO”), LEX/el. 2022.
[12] D. Lubasz [w:] E. Bielak-Jomaa, I. Bogucka, W. Chomiczewski, P. Drobek, M. Gawroński, U. Góral, K. Kloc, J. Łuczak-Tarka, P. Punda, N. Zawadzka, M. Żmijewski, D. Lubasz, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2019, art. 10.
[13] A. Gawrońska-Baran, W. Dzierżanowski, Konflikt interesów w postępowaniu o udzielenie zamówienia publicznego, Kwartalnik PZP • Numer 1(72)/2022.
[15] G. Sibiga, Konflikt interesów w wykonywaniu funkcji inspektora ochrona danych i jego unikanie. Problemy zaistniałe w praktyce i sposoby ich rozwiązania, Opinia prawna, SABI Stowarzyszenia Inspektorów Ochrony Danych oraz Związku Firm Ochrony Danych Osobowych, Warszawa 2024, s. 8.
[16] G. Sibiga, B. Żeromski, Konsekwencje warunku unikania konfliktu interesów inspektora ochrony danych dla dopuszczalnego zakresu jego zadań w ochronie danych osobowych, Monitor Prawniczy dodatek do Nr 11/2024, s. 85.
[22] Wytyczne EROD w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO (wersja 2.1), przyjęte 24 maja 2023 r. (dalej jako: „Wytyczne 04/2022”).
[23] P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 33.
[24] Poradnik na gruncie RODO. Obowiązki administratorów związane z naruszeniami ochrony danych osobowych, wersja 2.0, str. 77 i 86.
[25] P. M. Przybysz [w:] Kodeks postępowania administracyjnego. Komentarz aktualizowany, LEX/el. 2024, art. 35.
[26] Wytyczne w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 przyjęte 3 października 2017 r. (dalej jako: Wytyczne WP 253).
[27] D. Lubasz [w:] E. Bielak-Jomaa, I. Bogucka, W. Chomiczewski, P. Drobek, M. Gawroński, U. Góral, K. Kloc, J. Łuczak-Tarka, P. Punda, N. Zawadzka, M. Żmijewski, D. Lubasz, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2019, art. 11.
[28] D. Lubasz [w:] E. Bielak-Jomaa, I. Bogucka, W. Chomiczewski, P. Drobek, M. Gawroński, U. Góral, K. Kloc, J. Łuczak-Tarka, P. Punda, N. Zawadzka, M. Żmijewski, D. Lubasz, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2019, art. 11.
[29] P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. III, Warszawa 2025, art. 38.