Decyzja DKN.5131.16.2025

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2025 r. poz. 1691; dalej jako: Kpa), art. 7 ust. 1 i 2, art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781 ze zm.; dalej jako: u.o.d.o.), a także art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. i), art. 83 ust. 1 i 2 oraz art. 83 ust. 4 lit. a) w związku z art. 33 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej „rozporządzenie 2016/679”,

po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez Wspólnotę Mieszkaniową K. (…) przy ul. (…) w Z. (ul. (…), (…) Z.), Prezes Urzędu Ochrony Danych Osobowych,

stwierdzając naruszenie przez Wspólnotę Mieszkaniową K. (…) przy ul. (…) w Z. (ul. (…), (…) Z.) przepisu art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia,

nakłada na Wspólnotę Mieszkaniową K. (…) (ul. (…), (…) Z.), administracyjną karę pieniężną w wysokości 4 852 zł (słownie: cztery tysiące osiemset pięćdziesiąt dwa złote).

Uzasadnienie

1.

Do Urzędu Ochrony Danych Osobowych wpłynęła informacja o potencjalnym naruszeniu ochrony danych osobowych przez G. (…) Sp. z o.o. (ul. (…), (…) Z.), dalej jako Spółka lub podmiot przetwarzający, polegającym na przesłaniu rozliczenia opłat za użytkowanie lokali mieszkaniowych osobie nieuprawnionej.

2.

W związku z powyższym, 15 maja 2023 r. Prezes Urzędu Ochrony Danych Osobowych, zwany dalej również „Prezesem UODO”, na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679, zwrócił się do ww. podmiotu o wyjaśnienie, czy w związku z ww. zdarzeniem dokonana została analiza pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie.

3.

W piśmie z 22 maja 2023 r. Spółka wskazała, że „(…) Administratorem danych osobowych skarżącej jest Wspólnota Mieszkaniowa K. (…) ul. (…),(…) Z., G. (…) sp. z o.o. ul. (…), jest podmiotem przetwarzającym na podstawie umowy powierzenia (…)”.

4.

Jak wyjaśnił Podmiot przetwarzający, po wpłynięciu uwagi od osoby nieuprawnionej do otrzymania ww. rozliczenia

„

(…) został powołany zespół, który miał za zadanie wyjaśnienie czy doszło do naruszenia, przeanalizowano rodzaj dokumentu sposób wysyłki oraz adres na który pisma zostały wysłane, w wyniku czego ustalono:

–

Pisma pakowane są w koperty z tzw. okienkiem (taki sposób pakowania listów powoduje automatyczną weryfikacje, adresata, oraz eliminuje ryzyko pomyłki /inny adres na kopercie a inny na piśmie)

–

Sprawdzono zostały listy nadawcze - adres z listy nadawczej oraz adres z koperty zgodny (dodatkowa weryfikacje następuje na przez pracowników urzędu pocztowego, którzy w przypadku wykrycia takiej niezgodności, zwracają przesyłkę/list)

–

Analiza raportów doręczenia także wskazuje na fakt prawidłowo zaadresowanych przesyłek i odebranych przesyłek (…) [pisownia oryginalna]”.

5.

Ponadto, w ww. piśmie Podmiot przetwarzający utrzymywał, że w jego ocenie nie doszło do naruszenia ochrony danych osobowych, ponieważ jego zdaniem „(…) zarówno skarżąca jak i osoba widniejąca na dokumencie są Właścicielami nieruchomości tworzącej Wspólnotę Mieszkaniową K. (…), tym samym z mocy Ustawy o Własności Lokali nabywają uprawnienia do wglądu we wszystkie dokumenty wytworzone przez Wspólnotę oraz zestawień takich jak: Listę Współwłaścicieli innych lokali (zawierających takie dane jak Imię i Nazwisko, nr lokalu, wielkość lokalu, wielkość naliczeń, kwoty rozliczeń oraz listę dłużników i inne (…)”.

6.

W związku z otrzymanymi wyjaśnieniami, Prezes UODO zwrócił się do Wspólnoty Mieszkaniowej K. (…) (ul. (…), (…) Z.), dalej jako Wspólnota lub Administrator, o wskazanie, czy w następstwie ww. zdarzenia została przeprowadzona analiza pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie. Ponadto Prezes UODO zwrócił się do Wspólnoty o wyjaśnienie, czy Podmiot przetwarzający poinformował ją o wystąpieniu ww. zdarzenia.

7.

W piśmie z 12 czerwca 2023 r. Administrator wskazał, że nie zawiadomił Prezesa UODO o naruszeniu ochrony danych osobowych, ponieważ „(…) dokument «zawiadomienie o rozliczeniu opłat za użytkowanie lokali mieszkaniowych» zawierał tzw. dane zwykłe, zaś to naruszenie dotyczyło jednego członka Wspólnoty (…)”. Co więcej Administrator wskazał, że „(…) wspólnota nie widziała i nadal nie widzi podstaw do powiadomienia Prezesa Urzędu Ochrony Danych Osobowych o przedmiotowym zdarzeniu (…)”.

8.

W piśmie z 4 sierpnia 2023 r. Administrator wskazał, że przedmiotowy dokument zawierał następujące dane:

–

imię i nazwisko członka Wspólnoty,

–

adres członka Wspólnoty,

–

numer lokalu, którego dotyczy rozliczenie opłat,

–

kwoty dotyczące rozliczenia opłat za użytkowanie lokalu,

–

numery liczników oraz odczyty z tychże liczników,

–

numer rachunku bankowego do wpłat.

9.

Jednocześnie Wspólnota wyjaśniła, że „(…) administratorem przedmiotowych danych osobowych jest Wspólnota, natomiast w związku z zawartą umową o administrowanie nieruchomością zawarta z G., Wspólnota powierza dane osobowe członków Wspólnoty (…)”.

10.

Wobec braku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, 4 listopada 2025 r. Prezes UODO wszczął wobec Wspólnoty postępowanie administracyjne w sprawie naruszenia przez Administratora przepisu art. 33 ust. 1 rozporządzenia 2016/679.

11.

Po wszczęciu postępowania administracyjnego, w piśmie z 5 grudnia 2025 r, Wspólnota podtrzymała swoje stanowisko dotyczące braku konieczności zgłoszenia przedmiotowego naruszenia ochrony danych osobowych.

12.

Organ nadzorczy dokonał oceny materiału dowodowego pod kątem zbadania jego wiarygodności i mocy dowodowej. Zgromadzone dowody cechują się spójnością i wzajemną korelacją, co oznacza, że układają się w logiczny opis działań Administratora. Wyjaśnienia i pozostałe materiały dowodowe wzajemnie się uzupełniają wskazując na określony sposób postępowania Administratora. Nie ma podstaw do kwestionowania ich wiarygodności, bowiem dowody nie noszą znamion fałszerstwa, są autentyczne oraz formalnie poprawne. Moc dowodowa zgromadzonego materiału jest wystarczająca dla wydania rozstrzygnięcia w przedmiocie niniejszego postępowania administracyjnego.

13.

Strona niniejszego postępowania administracyjnego została przed wydaniem przedmiotowej decyzji poinformowane o przysługującej jej uprawnieniach wynikających z art. 10 § 1 oraz art. 73 § 1 Kpa, w tym o możliwości zapoznania się z materiałem dowodowym, wypowiedzenia się co do zebranych dowodów, materiałów i zgłoszonych żądań, a także o prawie przeglądania akt sprawy oraz sporządzania z nich notatek, kopii lub odpisów.

Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych, zważył co następuje.

14.

Zgodnie z art. 34 u.o.d.o., Prezes UODO jest organem właściwym w sprawie ochrony danych i organem nadzorczym w rozumieniu rozporządzenia 2016/679. Stosownie do art. 57 ust. 1 lit. a) i h) rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia oraz prowadzi postępowania w sprawie naruszenia niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego.

I. Status administratora danych.

15.

Zgodnie z art. 4 pkt 7) rozporządzenia 2016/679 – „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

16.

Ze zgromadzonego materiału dowodowego wynika, że Wspólnota Mieszkaniową K. (…) ustala cele i sposoby przetwarzania danych osobowych dla potrzeb związanych z jej funkcjonowaniem np. w związku z prowadzeniem rozliczeń opłat za użytkowanie lokali mieszkaniowych, a zatem w przedmiotowej sprawie Wspólnota jest administratorem danych, zgodnie z definicją zawartą w art. 4 pkt 7 rozporządzenia 2016/679.

II. Niezgłoszenie Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych. Naruszenie art. 33 ust. 1 rozporządzenia 2016/679.

17.

W przedmiotowej sprawie, co jednoznacznie wynika z dokonanych ustaleń, doszło do udostępnienia danych osobowych osobie nieuprawnionej, a tym samym do naruszenia ochrony danych osobowych, w związku z przekazaniem tej osobie „zawiadomienia o rozliczeniu opłat za użytkowanie lokali mieszkaniowych” zawierającego dane osobowe innego członka Wspólnoty w zakresie wskazanym w pkt 8 uzasadnienia decyzji.

18.

Zgodnie z art. 4 pkt 12 rozporządzenia 2016/679, „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

19.

Art. 33 ust. 1 i 3 rozporządzenia 2016/679 stanowi, że w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej: a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

20.

Przy ocenie, czy naruszenie ochrony danych osobowych skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych należy brać pod uwagę m.in. treść motywów 75 oraz 85 rozporządzenia 2016/679. Nadto, Europejska Rada Ochrony Danych (dalej jako: EROD), w Wytycznych 9/2022^[1], wskazała, że administrator powinien ocenić konkretne okoliczności naruszenia, dane, których dotyczy naruszenie, oraz potencjalny poziom wpływu na osoby fizyczne, a także prawdopodobieństwo urzeczywistnienia się tego ryzyka.

21.

Z ww. wytycznych wynika również, że oceniając ryzyko, które może wynikać z naruszenia, administrator powinien rozważyć połączenie wagi potencjalnego wpływu na prawa i wolności osób fizycznych oraz prawdopodobieństwa ich wystąpienia. Oczywiście tam, gdzie konsekwencje naruszenia są poważniejsze, ryzyko jest większe i podobnie tam, gdzie prawdopodobieństwo ich wystąpienia jest większe, ryzyko jest również podwyższone.

22.

Z treści powołanych wyżej przepisów rozporządzenia 2016/679 wynika, że w przypadku wystąpienia naruszenia ochrony danych osobowych po stronie administratora danych powstaje obowiązek zgłoszenia go Prezesowi UODO, jeśli z danym naruszeniem wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, niezależnie od poziomu tego ryzyka. Podkreślić w tym miejscu należy, że „małe prawdopodobieństwo” zaistnienia skutku w postaci naruszenia praw lub wolności osoby, której dane dotyczą, które stosownie do art. 33 ust. 1 rozporządzenia 2016/679 powoduje brak konieczności zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, powinno być utożsamiane z sytuacją, w której oceniający posiada przesłanki pozwalające na stwierdzenie, że skutek ten nie urzeczywistni się w ogóle – a zatem wtedy, gdy mówimy o „braku ryzyka”. Warto zauważyć, że w polskiej wersji rozporządzenia 2016/679 użyto sformułowania „mało prawdopodobne”, zaś w angielskiej – terminu „unlikely”. Wyraz ten ma silniejsze znaczenie niż nasz rodzimy odpowiednik i służy do określenia czegoś, co jest raczej nieprawdopodobne, wątpliwie lub niemal niemożliwe. Warto również odwołać się w tym miejscu do Wytycznych 9/2022, a zwłaszcza do działu II tych Wytycznych dotyczącego art. 33 rozporządzenia 2016/679 oraz wynikającego z niego obowiązku powiadomienia organu nadzorczego. W rozdziale D tego działu EROD omówiła warunki, w których powiadomienie takie nie jest wymagane. Wnikliwe przeanalizowanie treści tego rozdziału pozwala stwierdzić, że EROD stoi na stanowisku, że wyjątek z art. 33 ust. 1 rozporządzenia 2016/679 (tj. przypadek, gdy nie powstaje obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu ze względu na małe prawdopodobieństwo wystąpienia naruszenia praw lub wolności osób fizycznych) należy rozumieć wąsko – inaczej mówiąc: jako wyjątek, który znajdzie zastosowanie w sytuacjach, gdy to prawdopodobieństwo jest w sposób oczywisty małe.

23.

Zgłaszanie naruszeń ochrony danych osobowych przez administratorów stanowi zatem skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Zgłaszając naruszenie organowi nadzorczemu, administratorzy informują Prezesa UODO, czy w ich ocenie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą oraz – jeżeli takie ryzyko wystąpiło – czy przekazali stosowne informacje osobom fizycznym, na które naruszenie wywiera wpływ. W uzasadnionych przypadkach mogą również przekazać informacje, że powiadomienie w ich ocenie nie jest konieczne ze względu na spełnienie warunków określonych w art. 34 ust. 3 lit. a) – c) rozporządzenia 2016/679. Prezes UODO dokonuje weryfikacji oceny dokonanej przez administratora i może – jeżeli administrator nie zawiadomił osób, których dane dotyczą – zażądać od niego takiego zawiadomienia. Zgłoszenia naruszenia ochrony danych osobowych pozwalają organowi nadzorczemu na właściwą reakcję mogącą ograniczyć skutki takich naruszeń, bowiem administrator ma obowiązek podjęcia skutecznych działań zapewniających ochronę osobom fizycznym i ich danym osobowym, które z jednej strony pozwolą na kontrolę skuteczności dotychczasowych rozwiązań, a z drugiej ocenę modyfikacji i usprawnień służących zapobieżeniu nieprawidłowościom analogicznym do objętych naruszeniem.

24.

Odnosząc powyższe do stanu faktycznego przedmiotowej sprawy wskazać, że nie zasługują na uwzględnienie tezy Administratora jakoby nie był on zobowiązany do zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, z uwagi na prawo wglądu do dokumentacji Wspólnoty. Administrator bezpodstawnie powoływał się przy tym na art. 27 oraz art. 29 ust. 3 ustawy z dnia 24 czerwca 1994 r. o własności lokali (Dz. U. z 2021 r. poz. 1048), dalej jako ustawa o własności lokali.

25.

Art. 27 ustawy o własności lokali stanowi, że każdy właściciel lokalu ma prawo i obowiązek współdziałania w zarządzie nieruchomością wspólną. Nie uchybia to jednak przepisom art. 21 ust. 1 i art. 22 ust. 1. Stosownie zaś do art. 29 ust. 3 ustawy o własności lokali, prawo kontroli działalności zarządu służy każdemu właścicielowi lokalu.

26.

Powyżej przytoczone przepisy prawa nie legitymizują przekazania nieuprawnionej osobie przesyłki zawierającej „zawiadomienie o rozliczeniu opłat za użytkowanie lokali mieszkaniowych”. Uprawnienia członków wspólnoty mieszkaniowej wynikające z ww. przepisów nie oznaczają, że Wspólnota może dowolnie udostępniać dane osobowe członków wspólnoty, w szczególności w następstwie przekazania przesyłki zawierającej zawiadomienie o rozliczeniu opłat za użytkowania lokalu mieszkaniowego innej osoby, a tym bardziej wbrew woli członka wspólnoty, który tę błędnie przekazaną korespondencję otrzymał.

27.

W przedmiotowej materii wypowiedział Wojewódzki Sąd Administracyjny w Warszawie, który w wyroku z 4 listopada 2020 r. (sygn. II Sa/Wa 2586/19), potwierdzonym wyrokiem Naczelnego Sądu Administracyjnego z 18 listopada 2022 r. (sygn. III OSK 4597/21), wskazał, że „(…) Wspólnota została upoważniona do przetwarzania danych osobowych swoich członków na mocy przepisów ustawy o własności lokali, a w zakresie w nich nieuregulowanym na podstawie przepisów Kodeksu cywilnego, bowiem w myśl art. 200, każdy ze współwłaścicieli jest obowiązany do współdziałania w zarządzie rzeczą wspólną, zaś w myśl art. 29 ust. 3 ustawy o własności lokali, prawo kontroli działalności zarządu służy każdemu właścicielowi lokalu. Zatem każdemu współwłaścicielowi przysługuje prawo dostępu do dokumentacji związanej z zarządzaniem nieruchomością wspólną. Jednakże, zakres danych i informacji udostępnianych współwłaścicielom musi być adekwatny do ich potrzeb związanych ze zgodnym z prawem celem udostępnienia (…) Z tego wynika, że nie jest dopuszczalne udostępnienie współwłaścicielom określonej nieruchomości, w tym skarżącej, danych, których przetwarzanie nie jest niezbędne do współdziałania w zarządzie nieruchomością wspólną oraz do sprawowania kontroli działalności jej zarządcy (…)”.

28.

W omawianej sprawie osoba, której udostępniono dane osobowe innego członka Wspólnoty, w ogóle nie wnioskowała o przekazania jej tych danych, w szczególności w celu współdziałania w zarządzie nieruchomością wspólną oraz do sprawowania kontroli działalności jej zarządcy. Ponadto, przekazanie tych danych osobie nieuprawnionej nie wiązało się z realizacją – zgodnego z prawem – celu udostępnienia. Wręcz przeciwnie, udostępnienie to nastąpiło bez związku z celami określonymi w ww. przepisach ustawy o własności lokali (było efektem naruszenia ochrony danych osobowych).

29.

Wskazać należy, że członek wspólnoty mieszkaniowej może upoważnić do odbioru korespondencji dowolnie inną osobę, która nie musi być członkiem Wspólnoty. Administrator nie wykazał, zgodnie z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679, że dostęp do danych osobowych członka Wspólnoty – w następstwie przedmiotowego naruszenia ochrony danych osobowych – nie uzyskała osoba niebędąca członkiem Wspólnoty.

30.

Niedopuszczalne jest również ignorowanie obowiązku rzetelnego przeprowadzenia analizy ryzyka naruszenia praw lub wolności osób fizycznych tylko dlatego, że naruszenie to dotyczyło jednej osoby. Uchylenie się przez Administratora od obowiązku zgłoszenia naruszenia osobowych ponieważ „naruszenie dotyczyło jednego członka Wspólnoty” nie znajduje oparcia w przepisach rozporządzenia 2016/679, a w gruncie rzeczy jest sprzeczne z podstawowym celem regulacji zawartych w tym rozporządzeniu, tj. ochroną praw podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych.

31.

W przedmiotowej sprawie doszło do bezpodstawnego ujawnienia danych osobowych w zakresie obejmującym: imię i nazwisko członka Wspólnoty, adres członka Wspólnoty, numer lokalu, którego dotyczy rozliczenie opłat, kwoty dotyczącej rozliczenia opłat za użytkowanie lokalu, numerów liczników oraz odczyty z tychże liczników oraz numeru rachunku bankowego do wpłat. Ujawnienie takich danych nie jest co prawda związane z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych (a co za tym idzie, Wspólnota nie miała obowiązku zawiadomić o naruszeniu osoby, której dane dotyczą, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679), tym niemniej nie jest to równoznaczne z brakiem ryzyka jako takiego – stąd zaistniała konieczność zawiadomienia Prezesa UODO o naruszeniu ochrony danych osobowych. Wskazać również należy, że ujawnione nieuprawnionej osobie w następstwie omawianego zdarzenia dane osobowe członka Wspólnoty pozwalają na jego jednoznaczną identyfikację.

32.

Warte szczególnego podkreślenia jest to, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować – w treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu. Powyższe stanowisko potwierdzone zostało przez Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 22 września 2021 r. wydanym w sprawie o sygn. akt II SA/Wa 791/21 (utrzymanym przez Naczelny Sąd Administracyjny wyrokiem z dnia 20 marca 2025 r., sygn. akt III OSK 210/22): „Podkreślić należy, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować. W treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” (przy czym Sąd ten podobnie orzekł w wyroku z1 lipca 2022 r. wydanym w sprawie o sygn. akt II SA/Wa 4143/21 oraz w wyrokach z 31 sierpnia 2022 r., sygn. akt II SA/Wa 2993/21 i z 15 listopada 2022 r., sygn. akt II SA/Wa 546/22). Z kolei w wyroku z 26 kwietnia 2023 r., sygn. II SA/Wa 1272/22 (orzeczenie prawomocne) Wojewódzki Sąd Administracyjny w Warszawie wskazał, że „(…) w toku dokonywania oceny, czy występują ryzyka naruszenia praw lub wolności człowieka, administrator powinien brać pod uwagę wszelkie możliwe szkody, jak i krzywdy, które mogą wyniknąć z danego zdarzenia dla osób fizycznych [tak: S. Jandt [w:] DS.-GVO..., red. J. Kühling, B. Buchner, s. 617; Y. Reif [w:] DS.-GVO..., red. P. Gola, s. 496]. Mogą one w szczególności polegać na utracie kontroli nad własnymi danymi osobowymi, negatywnych konsekwencjach wizerunkowych, możliwości zawierania przez inną osobę umów z wykorzystaniem danych osobowych innej osoby fizycznej, stratach finansowych czy wreszcie negatywnym odbiorze społecznym, który może być konsekwencją upublicznienia niektórych danych osobowych. Do zaistnienia ryzyka nie jest przy tym konieczne, by ostatecznie doszło do wystąpienia szkody lub krzywdy wynikających z danego naruszenia ochrony danych osobowych [tak: jw., s. 616] (…)”.

33.

Nie ulega wątpliwości, że kluczowe – w perspektywie omawianego incydentu – jest także stanowisko Naczelnego Sądu Administracyjnego, ujęte w wyroku z 1 października 2025 roku, sygn. akt III OSK 1830/22. Zgodnie z przywołanym powyżej orzeczeniem, cyt.: „Oceny, czy występuje ryzyko naruszenia praw lub wolności człowieka, musi dokonać administrator. Ocena taka powinna być oparta na obiektywnych kryteriach (jak dotychczasowe doświadczenie związane z podobnymi sprawami, wiedza z zakresu bezpieczeństwa informacji) oraz na uwzględnieniu okoliczności samego naruszenia ochrony danych osobowych. Trzeba też pamiętać, że dla braku konieczności zgłoszenia naruszenia do organu nadzorczego niezbędne jest wystąpienie małego prawdopodobieństwa, ale nie samego naruszenia praw lub wolności osób fizycznych, lecz ryzyka takiego naruszenia. Powoduje to szerszy zakres obowiązku niż w przypadku, gdyby ocena dotyczyła prawdopodobieństwa wystąpienia naruszenia praw lub wolności. Nie jest konieczne, by wysokie ryzyko się zmaterializowało i by faktycznie doszło do naruszenia praw lub wolności. Dlatego nie ma znaczenia, czy ostatecznie ich naruszenie nastąpi. […] W toku dokonywania oceny, czy występują ryzyka ich naruszenia, administrator powinien brać pod uwagę wszelkie możliwe szkody, jak i krzywdy, które mogą wyniknąć z danego zdarzenia dla osób fizycznych” […] „Do zaistnienia ryzyka nie jest przy tym konieczne, by ostatecznie doszło do wystąpienia szkody lub krzywdy wynikających z danego naruszenia ochrony danych osobowych”.

34.

W sytuacji, gdy na skutek naruszenia ochrony danych osobowych występuje ryzyko naruszenia praw lub wolności osób fizycznych (a jak wyżej wykazano w omawianym przypadku takie ryzyko wystąpiło), administrator zobowiązany jest wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy. Administrator powinien zrealizować przedmiotowy obowiązek możliwie najszybciej.

35.

W motywie 85 preambuły rozporządzenia 2016/679 wyjaśniono: „Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki”.

36.

Z kolei w motywie 75 preambuły rozporządzenia 2016/679 wskazano m.in.: „Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną; jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi (…)”.

37.

Stosując przepisy rozporządzenia 2016/679 należy mieć na uwadze, że ich celem (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów – nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy opracowywaniu technicznych i organizacyjnych środków bezpieczeństwa mających im zapobiegać – należy w pierwszej kolejności brać pod uwagę te wartości.

38.

Podkreślić należy, że przed wszczęciem postępowania administracyjnego, Prezes UODO informował Administratora o konieczności wypełnienia tego obowiązku. Wskazywał także Administratorowi, że powodem, dla którego uchylił się on od ww. obowiązku, nie może być prawo członka Wspólnoty do dostępu do dokumentacji związanej z zarządem nieruchomością wspólną. Mimo wezwań Prezesa UODO Administrator konsekwentnie odmawiał spełnienia obowiązku zgłoszenia naruszenia ochrony danych osobowych twierdząc, że „wspólnota nie widziała i nadal nie widzi podstaw do powiadomienia Prezesa Urzędu Ochrony Danych Osobowych o przedmiotowym zdarzeniu”. Przekazanie takiego zgłoszenia nie powinno stanowić dla Wspólnoty nadmiernego wysiłku organizacyjnego.

39.

W konsekwencji należy stwierdzić, że niedokonanie przez Wspólnotę zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w związku z opisanym incydentem, w terminie określonym w art. 33 ust. 1 rozporządzenia 2016/679, stanowi naruszenie przez Wspólnotę tego przepisu.

III. Uzasadnienie nałożenia administracyjnej kary pieniężnej na Administratora.

40.

Postępowanie administracyjne prowadzone przez Prezesa UODO służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej w celu zastosowania uprawnień naprawczych określonych w art. 58 ust. 2 rozporządzenia 2016/679.

41.

Zgodnie z art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast środków naprawczych, o których mowa w art. 58 ust. 2 lit. a) - h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy.

42.

Oceniając, czy a jeśli tak, to w jakim wymiarze powinna być nałożona kara, organ nadzorczy ma obowiązek uwzględnić następujące okoliczności – przesłanki wymiaru kary określone w art. 83 ust. 2 rozporządzenia 2016/679, tj.:

a)

Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą oraz rozmiar poniesionej przez nie szkody;

b)

Umyślny lub nieumyślny charakter naruszenia;

c)

Działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;

d)

Stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32;

e)

Wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;

f)

Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;

g)

Kategorie danych osobowych, których dotyczyło naruszenie;

h)

Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;

i)

Jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2- przestrzeganie tych środków;

j)

Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42; oraz

k)

Wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

43.

Natomiast – zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 – naruszenie obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25-39 oraz 42 i 43 tego aktu prawnego, podlega administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

44.

Ponadto organ nadzorczy – zgodnie z art. 83 ust. 1 rozporządzenia 2016/679 – zapewnia, by stosowane administracyjne kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające (zasady wymiaru kary).

IV. Przesłanki wymiaru administracyjnej kary pieniężnej.

45.

Decydując o nałożeniu na Administratora administracyjnej kary pieniężnej za naruszenie przepisu art. 33 ust. 1 rozporządzenia 2016/679, Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.

46.

Charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679)

Administrator dokonał naruszenia obowiązku określonego w art. 33 ust. 1 rozporządzenia 2016/679 poprzez zaniechanie zgłoszenia Prezesowi UODO naruszenia ochrony danych osobowych. Obowiązek ten jest ściśle związany z systemem mającym na celu ochronę jednego z podstawowych praw osoby fizycznej, którym jest prawo do ochrony jej danych osobowych, czy też szerzej – do ochrony jej prywatności. Istotnym elementem tego systemu, którego ramy określone zostały przepisami rozporządzenia 2016/679, są organy nadzorcze, na które nałożone zostały zadania związane z ochroną i egzekwowaniem praw osób fizycznych w tym zakresie. Stwierdzone w tym zakresie naruszenie ma znaczną wagę i poważny charakter, ponieważ zgłaszanie naruszeń ochrony danych osobowych przez administratorów danych stanowi skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Przede wszystkim na podstawie informacji przekazanych przez administratorów w zgłoszeniach naruszenia ochrony danych osobowych organ nadzorczy może dokonać oceny, czy administrator w sposób prawidłowy dokonał analizy ewentualnego wpływu naruszenia na prawa lub wolności osób, których dotyczą dane objęte naruszeniem, a w konsekwencji, czy występuje wysokie ryzyko naruszenia praw lub wolności osób fizycznych i zachodzi konieczność zawiadomienia tych osób o naruszeniu ich danych. Prawidłowo zrealizowane przez administratorów obowiązki w tym zakresie pozwalają także na ograniczenie negatywnych skutków naruszeń ochrony danych osobowych oraz wyeliminowanie bądź przynajmniej ograniczenie ryzyka wystąpienia tego typu naruszeń w przyszłości, gdyż administratorzy mają obowiązek podjęcia działań, które zapewnią właściwą ochronę danych osobowych poprzez zastosowanie odpowiednich środków bezpieczeństwa oraz kontrolę ich skuteczności.

Oceniając wagę naruszenia Prezes UODO uwzględnił jako okoliczność łagodzącą charakter, zakres i cel dokonywanego przez Administratora przetwarzania, z którym związane było bezpośrednio naruszenie ochrony danych osobowych, a pośrednio również oceniane w niniejszej sprawie naruszenie przepisu art. 33 ust. 1 rozporządzenia 2016/679. Administrator przetwarza dane osobowe bardzo lokalnie, na niewielką skalę i w celach niezarobkowych. Przetwarzanie danych nie leży przy tym w centrum jego działalności; dokonywane jest ono wyłącznie pomocniczo – w celu i w zakresie niezbędnym do zapewnienia realizacji potrzeb mieszkaniowych członków Wspólnoty. W ocenie Prezesa UODO wagę naruszenia dokonanego przez administratora przetwarzającego dane w takich okolicznościach należy uznać za znaczną, chociaż nie wielką – ze względu na ograniczenie skali i zakresu ewentualnych negatywnych konsekwencji jakie takie naruszenie może mieć dla praw, wolności i interesów osób nim dotkniętych.

Za okoliczność obciążającą z kolei Prezes UODO musiał uznać długi – blisko trzyletni – czas trwania naruszenia. Naruszenie przepisu art. 33 ust. 1 rozporządzenia 2016/679 trwa od momentu upływu 72 godzin od stwierdzenia naruszenia ochrony danych osobowych, które miało miejsce w ostatnich dniach kwietnia 2023 r. (o czym Administrator miał wiedzę co najmniej od 5 czerwca 2023 r.) i ma miejsce nadal, bowiem w dalszym ciągu Administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO.

Uwzględniając wszystkie okoliczności objęte przesłanką „charakteru, wagi i czasu trwania naruszenia” Prezes UODO uznał, że – rozpatrywane łącznie – przemawiają one za orzeczeniem w niniejszej sprawie administracyjnej kary pieniężnej i wpływają – aczkolwiek w sposób ograniczony – na jej wymiar.

47.

Umyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679)

Zgodnie z Wytycznymi 04/2022 EROD^[2]: „zasadniczo umyślność obejmuje zarówno wiedzę jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego, podczas gdy nieumyślność oznacza brak zamiaru spowodowania naruszenia, pomimo niedopełnienia przez administratora/podmiot przetwarzający obowiązku staranności wymaganego prawem”. Dokonując oceny umyślności działania Administratora organ nadzorczy uwzględnił okoliczności, w jakich doszło do naruszenia przez niego art. 33 ust. 1 rozporządzenia 2016/679. Okoliczności te wskazują, że bezpośrednio po stwierdzeniu naruszenia Administrator mógł działać nieumyślnie. Administrator, w oparciu również o ustalenia dokonane przez Podmiot przetwarzający (pkt 5 uzasadnienia decyzji), ocenił, że nie doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia o nim Prezesa UODO oraz osób, których to naruszenie dotyczyło (pkt 7 uzasadnienia decyzji). Ocena ta, stanowiąca podstawę decyzji Administratora o niezłożeniu do Prezesa UODO zawiadomienia o incydencie, była błędna; wynikała z zaniedbania i braku należytej staranności w analizie zaistniałego incydentu.

Uzasadnia ona jednak stwierdzenie, że brak było po stronie Administratora wiedzy o bezprawności zachowania będącego następstwem tej decyzji. Wiedzę tę Administrator musiał jednak posiąść już na skutek korespondencji kierowanej do niego przez Prezesa UODO w postępowaniu wyjaśniającym okoliczności incydentu. Już w piśmie z 29 maja 2023 r., doręczonym Administratorowi 5 czerwca 2023 r., poinformowany został on o wynikającym z art. 33 obowiązku związanym z wystąpieniem naruszenia ochrony danych osobowych. Konsekwentnie informacja ta przedstawiona została Administratorowi ponownie pismem z 19 lipca 2023 r., w którym to piśmie ponadto Prezes UODO wskazał na bezpodstawność stanowiska Administratora próbującego wykazać, że nie wystąpiło naruszenie ochrony danych osobowych z uwagi na prawo wglądu do dokumentacji Wspólnoty członka tej wspólnoty – nieuprawnionego odbiorcy danych osobowych innego jej członka. Powziąwszy, na skutek informacji przekazanych przez Prezesa UODO, wiedzę o istnieniu obowiązku wynikającego z art. 33 rozporządzenia 2016/679 i naruszeniu swoim zachowaniem realizacji tego obowiązku, Administrator powziął już świadomą i celową decyzję o dalszym zaniechaniu wykonania obowiązku powiadomienia Prezesa UODO o naruszeniu ochrony danych osobowych i przekazaniu mu wszystkich informacji, o których mowa w art. 33 ust. 3 rozporządzenia 2016/679. Pozwala to przyjąć, że od 5 czerwca 2023 r. (od daty doręczenia Administratorowi pierwszej informacji o ciążącym na nim obowiązku wynikającym z art. 33 rozporządzenia 2016/679) do chwili wydania niniejszej decyzji naruszenie przypisane w niniejszej sprawie Administratorowi ma umyślny charakter.

48.

Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679)

Z uwagi na świadome niezgłoszenie naruszenia ochrony danych osobowych przez Administratora i w konsekwencji brak usunięcia naruszenia przepisów rozporządzenia 2016/679, stopień współpracy z organem nadzorczym należy uznać za dalece niezadowalający. Pomimo zawiadomienia Administratora przez Prezesa UODO o stwierdzonym naruszeniu obowiązku z art. 33 ust. 1 rozporządzenia 2016/679 i poinformowaniu Administratora o wszczętym wobec niego postępowaniu nie podjął on żadnych czynności zmierzających do usunięcia naruszenia. Prowadzenie korespondencji z organem nadzorczym, w tym ustalenie stanu faktycznego w związku z naruszeniem nie może być uznane za przesłankę łagodzącą, bądź neutralną ze względu na to, że czynności te są obowiązkiem wynikającym z przepisów prawa. Oznacza to, że stopień współpracy Administratora z organem nadzorczym w celu usunięcia naruszenia art. 33 ust. 1 rozporządzenia 2016/679 oraz złagodzenia jego ewentualnych skutków należy ocenić jako niezadawalający, co stanowi okoliczność obciążającą podczas ustalania wysokości administracyjnej kary pieniężnej.

49.

Inne, niżej wskazane okoliczności spośród tych wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (zob. pkt 50-54 uzasadnienia decyzji), po dokonaniu oceny ich wpływu na wysokość wymierzonej kary administracyjnej przez organ nadzorczy, zostały uznane za przesłanki neutralne, tj. niemające w ocenie Prezesa UODO ani charakteru obciążającego ani łagodzącego.

50.

Wszelkie stosowne wcześniejsze naruszenia (art. 83 ust. 2 lit. e) rozporządzenia 2016/679)

Organ nadzorczy nie stwierdził po stronie Administratora wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do potraktowania tej przesłanki jako obciążającej. Obowiązkiem każdego administratora jest przestrzeganie przepisów prawa, a zatem brak wcześniejszych naruszeń nie może być również okolicznością łagodzącą przy wymierzaniu sankcji.

51.

Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie (art. 83 ust. 2 lit. h) rozporządzenia 2016/679)

Prezes UODO nie został poinformowany o naruszeniu ochrony danych osobowych zgodnie z przewidzianą dla takich sytuacji procedurą określoną w art. 33 rozporządzenia 2016/679. O zaistnieniu przedmiotowego naruszenia związanego ze zdarzeniem polegającym na udostępnieniu danych osobowych osobie trzeciej Prezes UODO został poinformowany przez nieuprawnionego odbiorcę tych danych. Brak zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych jest również przedmiotem niniejszego postępowania i w okolicznościach rozważanego stanu faktycznego organ nadzorczy przyjął, że przesłanki tej nie potraktuje jako okoliczności obciążającej, ponieważ stanowi ona o istocie niniejszego naruszenia.

52.

Jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków (art. 83. ust. 2 lit. i) rozporządzenia 2016/679)

Organ nadzorczy nie zastosował dotychczas żadnych środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 wobec Administratora, wobec czego Administrator nie miał obowiązku przestrzegać żadnego środka wymienionego w ww. przepisie. W związku z tym przesłanki tej nie można rozważać jako obciążającej lub łagodzącej w niniejszej sprawie.

53.

Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 (art. 83 ust. 2 lit. j) rozporządzenia 2016/679)

Administrator nie poinformował o stosowaniu instrumentów, o których mowa w art. 40 i art. 42 rozporządzenia 2016/679. Ich stosowanie nie jest jednak obowiązkowe dla administratorów i podmiotów przetwarzających zgodnie z rozporządzeniem 2016/679, w związku z czym ocena działania Administratora w tym zakresie nie może być uwzględniona jako okoliczność dla niego obciążająca. Okolicznością łagodzącą natomiast byłoby stosowanie przez Administratora środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.

54.

Wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k) rozporządzenia 2016/679)

Organ nadzorczy nie stwierdził, żeby Administrator w niniejszej sprawie, w związku z naruszeniem obowiązku z art. 33 ust. 1 rozporządzenia 2016/679 osiągnął korzyści finansowe bądź też uniknął strat. Osiągnięcie przez Administratora korzyści finansowych w związku ze stwierdzonym naruszeniem byłoby zdecydowanie okolicznością negatywnie wpływającą na wymiar kary, jednak w niniejszej sprawie nie ma podstaw do uznania tej przesłanki jako obciążającej. Nieosiągnięcie przez Administratora tychże korzyści należy więc potraktować neutralnie, niezależnie od dokonanego naruszenia i jego skutków – jest to okoliczność, która z istoty rzeczy nie może być łagodząca dla Administratora.

55.

Pozostałe okoliczności wymienione w art. 83 ust. 2 rozporządzenia 2016/679 nie mogły być wzięte pod uwagę przez Prezesa UODO ze względu na charakter naruszenia (dotyczącego relacji administratora z organem nadzorczym, a nie z osobami, których dane dotyczą). Są to:

a)

liczba poszkodowanych osób i rozmiar poniesionej przez nie szkody (art. 83 ust. 2 lit. a) rozporządzenia 2016/679) – ze względu na to, że naruszenie polegające na niezgłoszeniu naruszenia ochrony danych osobowych Prezesowi UODO stanowi zaniechanie obowiązków, które administrator był zobowiązany spełnić wobec organu nadzorczego. Oznacza to, że w swojej istocie nie dotyczy ono podmiotów danych, a więc nie może ze swej natury spowodować powstania szkód po ich stronie;

b)

działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c) rozporządzenia 2016/679) – ze względu na istotę naruszenia, które nie może wiązać się z powstaniem szkód po stronie osób fizycznych. Ponieważ wskutek naruszenia art. 33 ust. 1 rozporządzenia 2016/679 nie powstają żadne szkody po stronie podmiotów danych, brak jest możliwości podjęcia przez administratora działań, które te szkody miałyby zminimalizować, a które to działania mogłyby podlegać ocenie organu nadzorczego jako okoliczności łagodzące lub obciążające;

c)

stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d) rozporządzenia 2016/679) – ze względu na to, że naruszenie art. 33 ust. 1 rozporządzenia 2016/679 w samej swojej istocie nie wiąże się ze środkami technicznymi i organizacyjnymi wdrożonymi przez administratora w celu zapewnienia ochrony danych osobowych oraz bezpieczeństwa ich przetwarzania;

d)

kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679) – ze względu na to, że naruszenie art. 33 ust. 1 rozporządzenia 2016/679 w samej istocie nie dotyczy żadnych danych osobowych, a tym samym żadnych ich kategorii. Polega ono bowiem na niespełnieniu (wobec organu nadzorczego) pewnego obowiązku formalnego – „oderwanego” od jakichkolwiek operacji przetwarzania.

V. Ustalenie wysokości administracyjnej kary pieniężnej z zastosowaniem Wytycznych 04/2022

56.

Ustalając wysokość administracyjnej kary pieniężnej nałożonej na Wspólnotę Prezes UODO zastosował metodykę przyjętą w Wytycznych 04/2022.

W związku z tym, że Administrator przedstawił sprawozdanie finansowe, z którego wynika, że osiągnął przychody za 2024 r. na łączną kwotę (…) PLN Prezes UODO ustalił wymiar kary z uwzględnieniem Wytycznych 04/2022.

Prezes UODO uwzględnił przy ustalaniu wysokości kary fakt, że Wspólnota nie jest przedsiębiorcą i nie prowadzi działalności gospodarczej sensu stricte. Jest natomiast jednostką organizacyjną powołaną z mocy prawa do zarządzania nieruchomością wspólną. Wspólnotę tworzy ogół właścicieli, których lokale wchodzą w skład określonej nieruchomości. Pożytki i inne przychody z nieruchomości wspólnej służą pokrywaniu wydatków związanych z jej utrzymaniem, a w części przekraczającej te potrzeby przypadają właścicielom w stosunku do ich udziałów. Ponadto Wspólnota widnieje w rejestrze REGON i w rejestrze VAT o aktywnym statusie działalności jako jednostka nieposiadająca osobowości prawnej i samofinansująca się, a głównym przedmiotem jej działalności jest zarządzanie nieruchomością.

W związku z tym, że Administrator nie jest przedsiębiorstwem w rozumieniu przepisów rozporządzenia 2016/679 (w tym przepisu art. 83 ust. 4 stanowiącego podstawę wymierzenia kary w niniejszej sprawie), ustalenie wysokości administracyjnej kary pieniężnej nie nastąpiło poprzez odniesienie jej do całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego Administratora, a z założeniem kwotowego (do 10 000 000 EUR) jej ograniczenia określonego w wyżej przywołanym przepisie.

57.

Zgodnie z przedstawionymi w Wytycznych 04/2022 wskazówkami Prezes UODO dokonał kategoryzacji stwierdzonego w niniejszej sprawie naruszenia przepisu rozporządzenia 2016/679 (zob. Rozdział 4.1 Wytycznych 04/2022). Stwierdzone w niniejszej sprawie naruszenie przepisu art. 33 ust. 1 rozporządzenia 2016/679 należy – zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą niższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 10 000 000 EUR lub do 2% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Zostało więc ono in abstracto (w oderwaniu od indywidualnych okoliczności konkretnej sprawy) uznane przez prawodawcę unijnego za mniej poważne niż naruszenia wskazane w art. 83 ust. 5 i 6 rozporządzenia 2016/679.

58.

Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o niskim poziomie powagi (Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które dotyczą strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny lub nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679). Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679) nie zostały wzięte pod uwagę przy ocenie „powagi” naruszenia ze względu na jego charakter (dotyczącego relacji administratora z organem nadzorczym, a nie z osobami, których dane dotyczą). Szczegółowa ocena wskazanych okoliczności została przedstawiona powyżej (pkt 45-54 decyzji). W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest niski. Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 0% do 10% maksymalnej wysokości kary możliwej do orzeczenia wobec Administratora (pkt 60 Wytycznych EROD 04/2022). Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę 300 000 EUR (równowartość 1 260 270 PLN).

59.

Prezes UODO dostosował kwotę wyjściową, odpowiadającą niskiej powadze stwierdzonego naruszenia, do wielkości przychodów Administratora, tj. (…) PLN (co stanowi równowartość (…) EUR). Po zastosowaniu korekty z uwagi na przychody Administratora, organ nadzorczy uznał za stosowne skorygowanie podlegającej obliczeniom kwoty kary do wartości odpowiadającej (…)% kwoty wyjściowej (mieszczącej się w przedziale od 0,2% do 0,4%), to jest do kwoty (…) EUR (równowartość (…) PLN).

60.

Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (rozdział 5 Wytycznych 04/2022).

Okoliczności te mogą mieć obciążający bądź łagodzący wpływ na ocenę naruszenia. Zgodnie z Wytycznymi 04/2022 odnoszą się do strony podmiotowej naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie i po jego zaistnieniu.

Prezes UODO mając na względzie powagę naruszenia uznał, że okolicznością obciążającą w niniejszej sprawie jest stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679). Administrator nie podjął bowiem żadnych czynności zmierzających do usunięcia naruszenia obowiązku wynikającego z art. 33 ust. 1 rozporządzenia 2016/679 do momentu wydania niniejszej decyzji. Ze względu na zaistnienie w sprawie okoliczności obciążającej, Prezes UODO oceniając jej wpływ na stwierdzone naruszenie, uznał za zasadne zwiększenie o 10 % ustalonej wyżej kwoty kary (…) EUR (równowartość 4 411 PLN) – do kwoty 1 155 EUR (tj. równowartość 4 852 PLN). Ponadto organ nadzorczy nie stwierdził w niniejszej sprawie okoliczności łagodzących wpływających na obniżenie orzeczonej administracyjnej kary pieniężnej.

61.

W ocenie Prezesa Urzędu Ochrony Danych Osobowych nałożona na Wspólnotę administracyjna kara pieniężna w przedstawionych okolicznościach spełnia funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tj. jest w tym przypadku skuteczna, proporcjonalna i odstraszająca. W ocenie Prezesa UODO orzeczona administracyjna kara pieniężna będzie proporcjonalna do stwierdzonego naruszenia obowiązku wynikającego z art. 33 ust. 1 rozporządzenia 2016/679 i współmierna w stosunku do charakteru prowadzonej działalności Administratora. Jednocześnie będzie ona skutecznym środkiem naprawczym, gdyż osiągnie cel jakim jest ukaranie Wspólnoty za naruszenie przepisów rozporządzenia 2016/679. Zdaniem organu nadzorczego administracyjna kara pieniężna spełni także funkcję prewencyjną i spowoduje, że Wspólnota jako administrator danych nie dopuści się w przyszłości podobnych uchybień i dołoży wszelkich starań by właściwie wypełnić obowiązek z art. 33 ust. 1 rozporządzenia 2016/679, zawiadamiając organ nadzorczy o naruszeniu ochrony danych osobowych bez zbędnej zwłoki, co pozwoli jej uniknąć ewentualnych sankcji.

62.

Mając na uwadze powyższe zgodnie z art. 103 u.o.d.o. Prezes UODO za naruszenie opisane w sentencji niniejszej decyzji administracyjnej, nałożył na Administratora – stosując średni kurs euro z dnia 28 stycznia 2026 r., zgodnie z którym 1 EUR = 4,2009 PLN – administracyjną karę pieniężną w kwocie 4 852 PLN (słownie: cztery tysiące osiemset pięćdziesiąt dwa złote), co stanowi równowartość 1 155 EUR. Warto podkreślić, że kwota nałożonej kary to jedynie 0,01155 % maksymalnej wysokości kary, którą Prezes UODO mógł nałożyć na Wspólnotę za stwierdzone w niniejszej sprawie naruszenie przepisów rozporządzenia 2016/679. Zdaniem Prezesa UODO wysokość środków finansowych, którymi Wspólnota dysponuje, umożliwia jej zapłatę orzeczonej administracyjnej kary pieniężnej – w szczególności wobec faktu, że jej wysokość to jedynie ok. 0,069 % osiągniętych przez Administratora przychodów w 2024 r. W jego ocenie takie określenie ostatecznej wysokości orzeczonej administracyjnej kary pieniężnej nie wpłynie na obniżenie jej skuteczności i odstraszającego charakteru.

Uwzględniając wszystkie wyżej omówione okoliczności, Prezes UODO uznał, że nałożenie na Wspólnotę administracyjnej kary pieniężnej jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanego jej naruszenia przepisu art. 33 ust. 1 rozporządzenia 2016/679. Należy stwierdzić, że zastosowanie innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności poprzestanie przez organ nadzorczy na upomnieniu ( art. 58 ust. 2 lit. b rozporządzenia 2016/679), nie byłoby adekwatne do stwierdzonych nieprawidłowości i nie gwarantowałoby tego, że Administrator nie dopuści się podobnych zaniedbań w przyszłości.

Mając powyższe na uwadze, Prezes UODO orzekł, jak w sentencji.