Decyzja DKN.5131.17.2025

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2025 r. poz. 1691) w związku z art. 7 ust. 1 i 2, art. 60, art. 102 ust. 1 pkt 1 i ust. 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781 ze zm.) oraz art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. i), art. 83 ust. 1-2 oraz art. 83 ust. 4 lit. a) w związku z art. 33 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej: rozporządzenie 2016/679,

po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przez Burmistrza Miasta i Gminy D. (Urząd Miasta i Gminy D., ul. (…), (…)-(…) D.) przepisów o ochronie danych osobowych, Prezes Urzędu Ochrony Danych Osobowych

stwierdzając naruszenie przez Burmistrza Miasta i Gminy D. (Urząd Miasta i Gminy D., ul. (…), (…)-(…) D.) przepisu art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia,

nakłada na Burmistrza Miasta i Gminy D. (Urząd Miasta i Gminy D., ul. (…), (…)-(…) D.) administracyjną karę pieniężną w wysokości 7 700 zł (słownie siedem tysięcy siedemset złotych),

Uzasadnienie

1.

Do Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej również „Prezesem UODO” lub „organem nadzorczym” wpłynęła skarga na nieprawidłowości w procesie przetwarzania danych osobowych określonej osoby fizycznej (skarżącego) przez Burmistrza Miasta i Gminy D. (Urząd Miasta i Gminy D., ul. (…), (…)-(…) D.), dalej także: „Burmistrz” oraz „Administrator”, z której wynikało, iż: „W (…) Urząd MIG na Biuletynie Informacji Publicznej (BIP) https://(…) w pozycji (…) opublikował dane osobowe (…) osób, które podpisały petycję”. Wśród opublikowanych danych osobowych znalazły się imiona, nazwiska, adresy zamieszkania oraz wzory podpisów. Ww. skarga zainicjowała postępowanie administracyjne w indywidualnej sprawie, w którym organ nadzorczy rozstrzyga o prawach konkretnego podmiotu danych, regulowanych przepisami o ochronie danych osobowych, w związku ze zgłoszoną sytuacją.

2.

W związku z pozyskanymi informacjami, pismem z 7 października 2025 r. Prezes UODO, na podstawie art. 58 ust 1 lit. a) i e) rozporządzenia 2016/679, zwrócił się do Burmistrza o wyjaśnienie, czy w związku z zaistniałym zdarzeniem została dokonana analiza pod kątem wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych, niezbędna do oceny, czy doszło do naruszenia ochrony danych osobowych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osoby, której dane dotyczą. W odpowiedzi z 13 października 2025 r. Burmistrz wyjaśnił, że w niniejszej sprawie prowadzone jest już postępowanie administracyjne przez Departament Skarg Urzędu Ochrony Danych Osobowych (sygn. (…)), w związku z czym na podstawie art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2025 r. poz. 1691), zwanej dalej również „Kpa”, wniósł o umorzenie postępowania z uwagi na jego bezprzedmiotowość. Jednocześnie nie została udzielona odpowiedź na pytanie zawarte w piśmie Prezesa UODO z 7 października 2025 r. – Burmistrz wyraził wątpliwość co do konieczności udzielenia ww. informacji z uwagi na prowadzone już postępowanie skargowe, w którym wypowiadał się odnośnie do okoliczności, w związku z którymi wystąpiono z indywidualną skargą.

3.

Pismem z 15 października 2025 r. Prezes UODO wskazał, że „(…) prowadzenie przez Departament Skarg Wydział ds. Sektora Publicznego Urzędu Ochrony Danych Osobowych postępowania nie zwalnia administratora z obowiązków wynikających z art. 33 i 34 rozporządzenia Parlamentu i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (…). W związku z tym wezwanie z dnia 7 października 2025 r. pozostaje aktualne”.

4.

W odpowiedzi na powyższe, pismem z 16 października 2025 r. Burmistrz poinformował Prezesa UODO, że „(…) nie dokonał zgłoszenia zgodnie z treścią art. 33 RODO albowiem dokładna analiza wykazała, iż szacowane ryzyko niekorzystnych skutków incydentu w postaci publikacji załącznika do petycji wraz z listą imion i nazwisk oraz adresami i podpisami dla naruszenia praw lub wolności osób fizycznych jest niskie, co wypełniało treści tego przepisu w zakresie «jest mało prawdopodobne, by skutkowało ono ryzykiem naruszenia praw lub wolności osób fizycznych»”. Burmistrz wyjaśnił także, że: „(…) doszło do całkowicie niezamierzonego błędu poprzez zamieszczenie błędnego pliku z danymi, które nie zostały zanonimizowane zamiast pliku ze zanonimizowanymi danymi, co było działaniem całkowicie niezamierzonym i niezawinionym. Pracownicy Urzędu działali z pełnym przekonaniem, iż opublikowano właściwy plik z danymi, które zostały zanonimizowane. Niezwłocznie po ujawnieniu błędu plik został zamieniony na właściwy. Zatem w działaniu pracowników urzędu nie było żadnego zamiaru w niezgodnym z prawem przetwarzaniu danych osobowych”. Ponadto Burmistrz zaznaczył, że aby uzyskać dostęp do danych osobowych zawartych w załączniku do petycji (w okresie gdy był on publikowany w niezanonimizowanej wersji) należało: „(…) w pierwszej kolejności wejść na oficjalną stronę internetową Miasta i Gminy D., następnie do Biuletynu Informacji Publicznej tut. Urzędu, kolejno odszukać zakładkę Urząd, następnie odszukać zakładkę petycje do Rady Miejskiej, po czym należało odszukać tą konkretną petycję i dopiero pobrać załącznik. Dopiero prawidłowe pobranie i otwarcie załącznika powodowało, iż można było uzyskać dostęp do danych, które zawarte były w listach osób, które podpisały się pod petycją”. Zdaniem Administratora, w świetle wskazanych w ww. piśmie okoliczności i z uwagi na podjęte działania (reakcję na stwierdzony incydent), wykluczona jest możliwość zarzucenia mu naruszenia art. 33 rozporządzenia 2016/679. Do swoich wyjaśnień Administrator załączył także dokument p.n. „Analiza pod kątem wystąpienia ryzyka naruszenia praw lub wolności tych osób fizycznych” z 13 listopada 2024 r.

5.

23 października 2025 r. organ nadzorczy skierował do Burmistrza wezwanie do wskazania, ile dni petycja wraz z danymi osobowymi mieszkańców była dostępna w Biuletynie Informacji Publicznej do pobrania oraz ile razy została ona pobrana. W odpowiedzi z 28 października 2025 r. Administrator wskazał, że: „Petycja została opublikowana w Biuletynie Informacji Publicznej Urzędu Miasta i Gminy D. w dniu (…), natomiast niezwłocznie po ujawnieniu, iż doszło do błędu w publikacji niewłaściwego pliku z listą poparcia mieszkańców, niestety dokładnej daty nie można ustalić, tj. między (…) natychmiast usunięto niewłaściwy plik i opublikowano właściwy”. Burmistrz oświadczył także, że: „W okresie kiedy petycja była opublikowana z niewłaściwym załącznikiem, została ona pobrana tylko 1 raz, natomiast gdy doszło do ujawnienia, iż błędnie opublikowano plik z danymi wówczas jeszcze została pobrana 5 razy, przy czym te wszystkie pobrania zostały wykonane przez pracowników Urzędu Miasta i Gminy D.. (…) w zasadzie tylko jedna osoba pobrała plik i był to wyłącznie skarżący (…)”, którego skarga zapoczątkowała postępowanie administracyjne prowadzone przez Departament Skarg Urzędu Ochrony Danych Osobowych, o którym mowa w punkcie 2 niniejszej decyzji.

6.

W konsekwencji prowadzonych na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679 czynności wyjaśniających (pod sygn. DKN.5101.340.2025), w związku ze zgromadzonymi w ich wyniku informacjami, Prezes UODO 24 listopada 2025 r. wszczął z urzędu postępowanie administracyjne (DKN.5131.17.2025) w przedmiocie naruszenia przez Burmistrza, jako administratora, obowiązku wynikającego z przepisu art. 33 ust. 1 rozporządzenia 2016/679, polegającego na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.

7.

W odpowiedzi na powyższe pismo informujące o wszczęciu wobec Administratora postępowania administracyjnego z urzędu, Burmistrz pismem z 1 grudnia 2025 r. wniósł, aby Prezes UODO w ramach prowadzonego w przedmiotowej sprawie postępowania uwzględnił wszystkie okoliczności faktyczne i prawne, które zostały wzięte pod uwagę w ramach postępowania przeprowadzonego przez organ nadzorczy na skutek indywidualnej skargi związanej z opisaną publikacją w BIP (sygn. (…); zob. pkt 1 uzasadnienia niniejszej decyzji), zwieńczonego decyzją administracyjną z 23 października 2025 r. Administrator wniósł także, aby Prezes UODO wziął pod uwagę, że: „(…) dokonano oszacowania ryzyka niekorzystnych skutków, które ustalono na mało prawdopodobne i tym samym nie zaistniały przesłanki do obligatoryjnego obowiązku notyfikacyjnego” oraz, że: „(…) nie było żadnej postaci zamiaru po stronie pracownika Urzędu albowiem jego zamiarem była publikacja załącznika tj. pliku ze zanonimizowanymi danymi, a doszło do publikacji pliku z niezanonimizowanymi danymi”. Administrator sformułował przy tym następujący wniosek: „Mając powyższe na uwadze jak również wyjaśnienia złożone we wcześniejszym piśmie wnosimy o umorzenie postępowania względnie o udzielenie upomnienia. Jednocześnie wnosimy o dołączenie akt postępowania (…)”.

I. W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

8.

Na wstępie należy wyjaśnić dlaczego organ nadzorczy, wbrew skierowanemu wobec niego wnioskowi Administratora, nie załączył do akt prowadzonego w niniejszej sprawie postępowania akt sprawy (…), jak również wskazać powody, dla których nie było możliwe wzięcie pod uwagę wszelkich okoliczności faktycznych i prawnych ustalonych w ramach prowadzonego przed tut. organem postępowania (…) oraz rozstrzygnięcia zawartego w decyzji z dnia 23 października 2025 r.

9.

Postępowanie w sprawie o sygn. (…) zainicjowane zostało indywidualną skargą podmiotu, którego dane dotyczą (podmiotu, którego dane objęte były kwestionowaną publikacją w Biuletynie Informacji Publicznej), wniesioną w ramach realizacji uprawnienia gwarantowanego podmiotowi danych w art. 77 ust. 1 rozporządzenia 2016/679. Indywidualna skarga dotycząca przepisów rozporządzenia 2016/679 zawsze powinna mieć związek z przetwarzaniem danych osoby, która wnosi skargę. W literaturze wskazuje się, że przedmiotem skargi złożonej do Prezesa UODO mogą być w szczególności naruszenia przepisów dotyczących zasad przetwarzania danych (art. 5 rozporządzenia 2016/679), podstaw dopuszczalności przetwarzania danych (art. 6 rozporządzenia 2016/679), wymogów odnoszących się do wyrażenia zgody (art. 7 i 8 rozporządzenia 2016/679), przetwarzania szczególnych kategorii danych (art. 9 rozporządzenia 2016/679), przetwarzania danych dotyczących wyroków skazujących i czynów zabronionych (art. 10 rozporządzenia 2016/679), wymogów dotyczących przejrzystości informowania i komunikacji (art. 12), uprawnień informacyjnych (art. 12-15 rozporządzenia 2016/679), uprawnień korekcyjnych (art. 16-19) oraz uprawnień szczególnych (art. 20-22)^[1]. W ww. postępowaniu organ nadzorczy rozpatrywał skargę indywidualnego podmiotu danych (badał zasadność jego roszczeń) w związku z nieprawidłowym przetwarzaniem jego danych osobowych przez Administratora, polegającym na zamieszczeniu ich bez podstawy prawnej w Biuletynie Informacji Publicznej Urzędu Miasta i Gminy D. i w tej sprawie wydał rozstrzygnięcie, tj. ocenił zasadność roszczeń określonego podmiotu danych w związku z zarzuconymi Administratorowi nieprawidłowościami w procesie przetwarzania jego (i tylko jego) danych osobowych.

10.

Jednocześnie w sytuacji, w której organ nadzorczy dostrzega w związku ze zgłoszoną skargą możliwość wystąpienia nieprawidłowości w procesie przetwarzania danych osobowych innych niż tylko objęte indywidualnym zaskarżeniem lub wykraczających poza indywidualny (indywidualnie zaskarżony) wymiar sprawy, decyduje o zasadności podjęcia czynności wyjaśniających zmierzających do poczynienia szerszych ustaleń w tym zakresie i – w zależności od wyników tych ustaleń – o zasadności podjęcia odrębnego postępowania administracyjnego z urzędu.

11.

W niniejszym przypadku opisane w skardze zdarzenie, będące przedmiotem rozstrzygnięcia w zakresie indywidualnych praw skarżącego (zob. pkt 1 decyzji), stało się impulsem do weryfikacji przez Prezesa UODO sprawy, o której uzyskał w ten sposób wiedzę, w szerszym (niż tylko objęty indywidualną skargą) zakresie. Było to następstwem faktu, że jednostkowe, nieuprawnione działanie Administratora (publikacja określonego dokumentu w Biuletynie Informacji Publicznej Urzędu Miasta i Gminy D.) wiązało się nie tylko z ingerencją w sferę indywidualnych praw podmiotów danych (z których jeden zdecydował się na dochodzenie wynikających stąd roszczeń w ramach postępowania skargowego przed organem nadzorczym), ale wymagało także oceny w kontekście innych obowiązków Administratora – zarówno w relacji z podmiotami danych, jak i w relacji z organem nadzorczym. W rezultacie poczynionych dodatkowych ustaleń Prezes UODO zdecydował o zasadności wszczęcia postępowania administracyjnego z urzędu w przedmiocie naruszenia przez Administratora przepisów o ochronie danych osobowych w związku z kwestionowaną publikacją w Biuletynie Informacji Publicznej Urzędu Miasta i Gminy D.. W niniejszym postępowaniu przedmiotem oceny stała się kwestia niezamierzonej i błędnej publikacji w Biuletynie Informacji Publicznej Urzędu Miasta i Gminy D. określonych danych osobowych (utrwalonych w określonym dokumencie) w kontekście przepisów dotyczących naruszenia ochrony danych osobowych w rozumieniu art. 4 pkt 12 rozporządzenia 2016/679 i związanych z tym obowiązków Administratora w stosunku do organu nadzorczego.

12.

Już dotychczasowe argumenty wskazują na bezzasadność wniosku Administratora o dołączenie do akt postępowania prowadzonego w niniejszej sprawie (sygn. DKN.5131.17.2025) akt postępowania przeprowadzonego w indywidualnej sprawie skargowej (sygn. (…)), gdyż w każdej z ww. spraw rozstrzygnięcie wydawane jest wprawdzie na kanwie tego samego zdarzenia (publikacja określonego dokumentu w Biuletynie Informacji Publicznej Urzędu Miasta i Gminy D.), jednak ocenianego w kontekście innych przepisów – w ramach postępowania o sygn. (…) rozstrzygano, czy istniała podstawa prawna do przetwarzania danych osobowych skarżącego w ramach zaskarżonych czynności przetwarzania oraz o zasadności związanych z tym indywidualnych roszczeń, natomiast w sprawie DKN.5131.17.2025 przedmiotem postępowania administracyjnego jest kwestia kwalifikacji prawnej incydentu w kontekście przepisów dotyczących naruszenia ochrony danych osobowych (art. 4 pkt 12 rozporządzenia 2016/679) i związanego z tym obowiązku notyfikacyjnego względem organu nadzorczego (art. 33 ust. 1 rozporządzenia 2016/679). Każde z ww. postępowań administracyjnych służy zatem osiągnięciu innych celów. Należy podkreślić, że w ramach czynności poprzedzających wszczęcie przedmiotowego postępowania z urzędu, jak również w ramach czynności samego postępowania, organ nadzorczy zgromadził kompletny, logiczny i spójny materiał dowodowy, wystarczający z punktu widzenia rozstrzygnięcia sprawy. W tym sensie organ nadzorczy zrealizował obowiązki w zakresie postępowania dowodowego określone w art. 75 § 1 Kpa (wymagającym, aby jako dowód dopuścić wszystko, co może przyczynić się do wyjaśnienia sprawy, a nie jest sprzeczne z prawem; w szczególności dowodem mogą być dokumenty, zeznania świadków, opinie biegłych oraz oględziny) i art. 77 § 1 Kpa (wymagającym, aby organ administracji publicznej w sposób wyczerpujący zebrał i rozpatrzył cały materiał dowodowy). Jednocześnie Administrator, wnioskując o włączenie do akt przedmiotowego postępowania z urzędu akt sprawy skargowej, w żadnym stopniu nie uzasadnił, który konkretnie ich fragment i z jakich przyczyn uznaje za istotny z perspektywy rozstrzygnięcia niniejszej sprawy. Powyższe, jak również fakt, że ww. wniosek dotyczył całości akt sprawy skargowej i wiązał się z oczekiwaniem umorzenia niniejszego postępowania z urzędu świadczy jednoznacznie, że Administrator niejako utożsamia obydwa ww. postępowania – zarówno w aspekcie ich przedmiotu, jak i celu. Z omówionych dotychczas przyczyn jest to oczywistym błędem. Powyższe dowodzi zarazem bezzasadności wniosku Administratora w kontekście art. 78 § 1 Kpa (zgodnie z którym żądanie strony dotyczące przeprowadzenia dowodu należy uwzględnić, jeżeli przedmiotem dowodu jest okoliczność mająca znaczenie dla sprawy) oraz art. 78 § 2 Kpa (zgodnie z którym organ administracji publicznej może nie uwzględnić żądania (§ 1), które nie zostało zgłoszone w toku przeprowadzania dowodów lub w czasie rozprawy, jeżeli żądanie to dotyczy okoliczności już stwierdzonych innymi dowodami, chyba że mają one znaczenie dla sprawy).

13.

Zgodnie z art. 4 pkt 12 rozporządzenia 2016/679, naruszenie ochrony danych osobowych jest naruszeniem bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

14.

Art. 33 ust. rozporządzenia 2016/679 stanowi, że w przypadku naruszenia ochrony danych osobowych, administrator, bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej:

a)

opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;

b)

zawierać imię, nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

c)

opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;

d)

opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celi zminimalizowania jego ewentualnych negatywnych skutków (ust. 3).

15.

Analiza powyższych przepisów wskazuje na to, że w zależności od tego, z jakim poziomem ryzyka naruszenia praw lub wolności osób fizycznych administrator ma do czynienia, inaczej kształtują się jego obowiązki w stosunku do organu nadzorczego, a także osób, których dane dotyczą. Jeżeli ocena wykaże, że nie jest prawdopodobne, aby naruszenie ochrony danych osobowych skutkowało ryzykiem dla praw lub wolności osób fizycznych, należy jedynie udokumentować takie naruszenie w wewnętrznej ewidencji (nie powstaje obowiązek notyfikacji zgłoszenia naruszenia Prezesowi UODO). W przypadku stwierdzenia, że incydent może skutkować powstaniem ryzyka dla praw lub wolności osób fizycznych i jest ono wyższe niż pomijalne (zmaterializowanie się określonych zagrożeń jest prawdopodobne), obowiązkiem administratora jest zgłoszenie naruszenia ochrony danych Prezesowi UODO, jak również umieszczenie stosownego wpisu w wewnętrznej ewidencji naruszeń. W przypadku naruszeń ochrony danych osobowych, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, rozporządzenie 2016/679 wprowadza także dodatkowy obowiązek niezwłocznego zawiadomienia podmiotu danych, chyba że administrator podjął działania prewencyjne przed zaistnieniem naruszenia albo działania zaradcze po wystąpieniu naruszenia ochrony danych osobowych (art. 34 ust. 3 rozporządzenia 2026/679).

16.

Z powyższych rozważań wynika, że w przypadku wykrycia przez administratora naruszenia ochrony danych osobowych w pierwszej kolejności niezbędne jest dokonanie analizy pod kątem możliwości wystąpienia w jego wyniku ryzyka dla praw lub wolności osób fizycznych. Administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu, jeśli przeprowadzona analiza wykaże, że istnieje najwyżej małe prawdopodobieństwo wystąpienia takiego ryzyka. Należy jednak mieć na względzie fakt, że organ nadzorczy będzie mógł zwrócić się do administratora o uzasadnienie decyzji o niezgłaszaniu naruszenia ochrony danych osobowych, w związku z czym wnioski z przeprowadzonej analizy należy odnotować w wewnętrznej ewidencji naruszeń.

17.

Podkreślić w tym miejscu należy, że „małe prawdopodobieństwo” zaistnienia skutku w postaci naruszenia praw lub wolności osoby, której dane dotyczą, powinno być utożsamiane z sytuacją, w której oceniający posiada przesłanki pozwalające na stwierdzenie, że skutek ten nie urzeczywistni się w ogóle – a zatem wtedy, gdy mówimy o „braku ryzyka”. Warto zauważyć, że w polskiej wersji rozporządzenia 2016/679 użyto sformułowania „mało prawdopodobne”, zaś w angielskiej – terminu „unlikely”. Wyraz ten ma silniejsze znaczenie niż nasz rodzimy odpowiednik i służy do określenia czegoś, co jest raczej nieprawdopodobne, wątpliwie lub niemal niemożliwe. Warto również odwołać się w tym miejscu do Wytycznych Europejskiej Rady Ochrony Danych (dalej jako EROD) 9/2022 dotyczących zgłaszania naruszenia ochrony danych osobowych na podstawie RODO^[2] – zwłaszcza do działu II tych Wytycznych dotyczącego art. 33 rozporządzenia 2016/679 oraz wynikającego z niego obowiązku powiadomienia organu nadzorczego. W rozdziale D tego działu EROD omówiła warunki, w których powiadomienie takie nie jest wymagane – wnikliwe przeanalizowanie treści tego rozdziału pozwala stwierdzić, że EROD stoi na stanowisku, że wyjątek z art. 33 ust. 1 rozporządzenia 2016/679 (tj. przypadek, gdy nie powstaje obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu ze względu na małe prawdopodobieństwo wystąpienia naruszenia praw lub wolności osób fizycznych) należy rozumieć wąsko – inaczej mówiąc: jako wyjątek, który znajdzie zastosowanie w sytuacjach, gdy to prawdopodobieństwo jest w sposób oczywisty małe. Z ww. Wytycznych wynika, że „zgłoszenie naruszenia właściwemu organowi jest obowiązkowe, chyba że dane naruszenie najprawdopodobniej nie będzie wiązało się z ryzykiem naruszenia praw lub wolności osób fizycznych”. Oznacza to, że występująca w polskiej wersji rozporządzenia 2016/679 przesłanka „małego prawdopodobieństwa” powinna być utożsamiana z brakiem realnych szans na rzeczywistą materializację potencjalnych skutków dla osób, których dane dotyczą.

18.

W Wytycznych 9/2022 EROD wskazując czynniki, które należy wziąć pod uwagę przy ocenie ryzyka, odsyła do motywów 75 i 76 rozporządzenia 2016/679, które sugerują, że administrator powinien uwzględnić zarówno prawdopodobieństwo wystąpienia, jak i powagę zagrożenia praw lub wolności osoby, której dane dotyczą. W przypadku naruszenia ochrony danych osobowych administrator powinien skupić swoją uwagę na wynikającym z faktu naruszenia ryzyku wpływu naruszenia na osobę fizyczną. Zatem, oceniając ryzyko dla osoby fizycznej powstałe w wyniku naruszenia ochrony danych osobowych, administrator powinien wziąć pod uwagę konkretne okoliczności naruszenia, w tym dotkliwość potencjalnego wpływu oraz prawdopodobieństwo jego wystąpienia. W związku z powyższym, przy ocenie ryzyka, EROD zaleca uwzględnienie takich kryteriów, jak: rodzaj naruszenia, charakter, wrażliwość i ilość danych osobowych, a także łatwość identyfikacji, ponieważ mogą one mieć wpływ na poziom ryzyka dla osób fizycznych. Ryzyko naruszenia praw lub wolności osoby fizycznej zgodnie z Wytycznymi 9/2022 będzie większe, gdy konsekwencje naruszenia są poważniejsze, jak również wtedy, gdy wzrasta prawdopodobieństwo ich wystąpienia. Wytyczne wskazują, aby w przypadku jakichkolwiek wątpliwości administrator zgłosił naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna.

19.

Zgłaszanie naruszeń ochrony danych osobowych przez administratorów stanowi zatem skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Zgłaszając naruszenie organowi nadzorczemu, administratorzy informują Prezesa UODO, czy w ich ocenie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, oraz – jeśli takie ryzyko wystąpiło – to czy przekazali stosowne informacje osobom fizycznym, na które naruszenie wywiera wpływ. W uzasadnionych przypadkach mogą również przekazać informację, że powiadomienie w ich ocenie nie jest konieczne ze względu na spełnienie warunków określonych w art. 34 ust. 3 lit. a) i b) rozporządzenia 2016/679. Prezes UODO dokonuje weryfikacji oceny dokonanej przez administratora i może – jeżeli administrator nie zawiadomił osób, których dane dotyczą – zażądać od niego takiego zawiadomienia. Zgłoszenia naruszenia ochrony danych osobowych pozwalają organowi nadzorczemu na właściwą reakcję mogącą ograniczyć skutki takich naruszeń, bowiem administrator ma obowiązek podjęcia skutecznych działań zapewniających ochronę osobom fizycznym i ich danym osobowym, które z jednej strony pozwolą na kontrolę skuteczności dotychczasowych rozwiązań, a z drugiej na ocenę modyfikacji i usprawnień służących zapobieżeniu nieprawidłowościom analogicznym do objętych naruszeniem.

20.

Jak wynika z powyższych rozważań, administrator niezwłocznie po uzyskaniu informacji o naruszeniu ochrony danych osobowych zobowiązany jest przeprowadzić ocenę ryzyka związanego z tym naruszeniem dla praw lub wolności osób fizycznych, których to naruszenie dotyczy. Ocena ryzyka powinna stanowić podstawę dla decyzji administratora odnośnie do konieczności realizacji obowiązków wynikających z art. 33 ust. 1 oraz 34 ust. 1 i 2 rozporządzenia 2016/679.

21.

Odnosząc powyższe do stanu faktycznego sprawy nie można zgodzić się ze stanowiskiem Administratora wyrażonym w piśmie z 28 października 2025 r., iż „(…) do ujawnienia nie doszło, gdyż w zasadzie tylko jedna osoba pobrała plik (…)”. Należy bowiem wskazać, że przypadkowe ujawnienie danych osobowych nawet jednej zidentyfikowanej osobie może prowadzić do zwiększenia skali naruszenia i tym samym powstania ryzyka naruszenia praw lub wolności osób, których dane dotyczą. Ponadto, sam Administrator w swoich wyjaśnieniach przyznaje, że do niezamierzonej publikacji danych doszło, w związku z czym podjął czynności zmierzające do zminimalizowania skutków tego ujawnienia, tj.: „(…) natychmiast usunięto niewłaściwy plik i opublikowano plik właściwy”, oraz przeprowadził analizę ryzyka w związku ze zdarzeniem, w której jako przyczynę naruszenia wskazał „(…) błąd ludzki naszego pracownika, który zamieścił przedmiotową listę stanowiącą załącznik do petycji, bez anonimizacji”. W sposób oczywisty nie można zgodzić się z argumentacją Administratora służącą zaniżeniu poziomu ryzyka naruszenia praw lub wolności osób fizycznych, które pojawiło się wraz z wystąpieniem zdarzenia omawianego w niniejszej decyzji, czy wręcz wykazaniu braku takich ryzyk. Nie można bowiem rozsądnie przyjąć, że w zaistniałej sytuacji, tj. w związku z opublikowaniem w Biuletynie Informacji Publicznej Urzędu Miasta i Gminy D. niezanonimizowanego załącznika do petycji, zawierającego listę popierających ją (…) osób, która następnie została pobrana przez jedną osobę nieuprawnioną, nie doszło do naruszenia poufności danych osobowych znajdujących się w opublikowanym dokumencie.

22.

Niedopuszczalne jest również ignorowanie obowiązku rzetelnego przeprowadzenia analizy ryzyka naruszenia praw lub wolności osób fizycznych tylko dlatego, że petycja z niewłaściwym załącznikiem została pobrana przez osobę nieuprawnioną „tylko 1 raz”. Zaniechanie przez Administratora realizacji obowiązku zgłoszenia naruszenia w oparciu o założenie, że: „(…) do ujawnienia nie doszło, gdyż w zasadzie tylko jedna osoba pobrała plik i był to wyłącznie skarżący (…)”, było następstwem oczywiście błędnej analizy znaczenia zaistniałego incydentu i jego potencjalnych negatywnych następstw dla relatywnie licznej grupy objętych nim osób oraz stanowiło ewidentne uchybienie wymogom art. 33 rozporządzenia 2016/679.

23.

Administrator w „Analizie pod kątem wystąpienia ryzyka naruszenia praw lub wolności tych osób fizycznych” z 13 listopada 2024 r. wskazał, że: „(…) w naszym konkretnym przypadku krótkoterminowego ujawnienia listy osób w załączniku do petycji, a następnie niezwłocznego anonimizowania przedmiotowego załącznika z danymi osobowymi, a także faktu, że numery pesel tych osób nie zostały ujawnione, więc praktycznie nie ma możliwości poniesienia strat finansowych przez te osoby, to w oparciu o te fakty ostatecznie szacujemy ryzyko jest niskie, a niekorzystne skutki tego incydentu dla naruszenia praw lub wolności osób fizycznych raczej nie powinny zajść żadne. Co najwyżej może dojść do utraty poufności danych osobowych, czy naruszenia dobrego imienia administratora i osoby fizycznej”. Z powyższego wynika, że Administrator, wbrew temu co wskazuje w swoich wyjaśnieniach („(…) jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych(…)”), zauważa możliwe konsekwencje zaistniałego zdarzenia w postaci naruszenia dobrego imienia oraz utraty poufności danych osobowych i wprost wskazuje je jako potencjalne niekorzystne skutki analizowanego incydentu.

24.

W ww. „Analizie pod kątem wystąpienia ryzyka naruszenia praw lub wolności tych osób fizycznych” z 13 listopada 2024 r. Administrator deklaruje, że dokumentowana analiza przeprowadzana jest na podstawie art. 35 rozporządzenia 2016/679, który odnosi się do obowiązku oceny skutków dla ochrony danych, dokonywanej przed rozpoczęciem operacji przetwarzania (art. 35 ust 1 rozporządzenia 2016/679: „Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę”). Jednocześnie jednak omawiany dokument obejmuje fragment tekstu znajdujący się pod tabelą, w którym wprost wskazuje się na dokonanie „analizy pod kątem wystąpienia ryzyka naruszenia praw lub wolności (…) osób fizycznych” – „w związku z incydentem ujawnienia na stronie BIP urzędu listy nazwisk (…) osób podpisujących petycję wraz z ich adresami i podpisami”. Jakkolwiek Administrator zadeklarował, że przeprowadza analizę z uwzględnieniem motywu 76 rozporządzenia 2016/679, to jednak istotna jej część dokonywana jest przez pryzmat potencjalnego negatywnego wpływu incydentu bądź zdarzeń podobnych na organizację Administratora – „Szacujemy możliwe skutki: nałożenie kar finansowych przez PUODO, powstanie strat reputacji, ewentualne wystąpienie z roszczeniami ze strony osoby, której dane osobowe zostałyby ujawnione. Ryzyko = Prawdopodobieństwo x Skutek i tu kwalifikujemy ryzyko na poziomie niskim”. Na tej podstawie Administrator wywodzi wniosek o braku konieczności sporządzenia oceny skutków dla ochrony danych oraz o braku konieczności dokonania korekty warunków technicznych i organizacyjnych przetwarzania. Jednocześnie jednak powyższa ocena wydaje się rzutować na ocenę ryzyka związanego z konkretnym incydentem (konkretnym naruszeniem ochrony danych osobowych, które stało się podstawą dla niniejszego postępowania), co jest oczywistym błędem ze strony Administratora. W przypadku oceny ryzyka związanego ze stwierdzonym naruszeniem ochrony danych osobowych, dokonywanej w kontekście obowiązków notyfikacyjnych i informacyjnych, irrelewantne jest bowiem prawdopodobieństwo powtórzenia się analogicznego zdarzenia w przyszłości, podobnie jak jego konsekwencje dla Administratora (te aspekty są istotne z punktu widzenia działań zaradczych), natomiast uwaga powinna koncentrować się na potencjalnych dolegliwościach po stronie podmiotów objętych naruszeniem.

25.

Jak wynika z treści analizowanego dokumentu, Administrator przyjął, że: „Ryzyko naruszenia powstaje wtedy gdy naruszenie może mieć skutek materialny, niematerialny i fizyczny dla osób, których dane dotyczą”, a następnie doprecyzował: „Ogólnie takimi szkodami mogą być m. in.: Dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, nadużycia finansowe, straty finansowe, utrata poufności danych chronionych tajemnicą zawodową, naruszenie dobrego imienia lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej”. Cytowane fragmenty dobrze obrazują, że Administrator dostrzega ryzyka przede wszystkim tam, gdzie następstwa incydentu mogą być dolegliwe dla podmiotu w znacznym stopniu, lub mogą to być dolegliwości o charakterze materialnym (czy uściślając: finansowym). Innymi słowy, Administrator dostrzega znaczenie ryzyk wysokich w kontekście dolegliwości następstw i ryzyk materialnych, natomiast nadmiernie marginalizuje pomniejsze i niematerialne. Administrator podsumował analizę następującym wnioskiem: „w naszym konkretnym przypadku krótkoterminowego ujawnienia listy osób w załączniku do petycji a następnie niezwłocznego zanonimizowania przedmiotowego załącznika (…), a także faktu że numery PESEL tych osób nie zostały ujawnione, więc praktycznie nie ma możliwości poniesienia strat finansowych przez te osoby (…) szacujemy [że] ryzyko jest niskie”. Ocena ta – jak wykazano – nie jest wynikiem rzetelnej analizy opartej na określonej metodologii, lecz ma charakter subiektywny, teoretyczny i sprowadza się w istocie do spekulacji Administratora, a nie prezentacji wyniku określonego procesu wnioskowania – o czym świadczą takie sformułowania jak: „(…) raczej nie powinny zajść żadne niekorzystne skutki incydentu”, czy „Co najwyżej może dojść do utraty poufności danych osobowych, czy naruszenia dobrego imienia administratora i osoby fizycznej (…)”. Nie ulega wątpliwości, że tak przeprowadzona analiza ryzyka nie pozwala na prawidłową ocenę zdarzenia w kontekście obowiązku wynikającego z art. 33 rozporządzenia 2016/679.

26.

W przedmiotowej sprawie doszło do ujawnienia danych osobowych w zakresie obejmującym imiona, nazwiska, adresy zamieszkania oraz wzory podpisów (…) osób. Ujawnienie powyżej wskazanych kategorii danych osobowych nie jest co prawda związane z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych (a co za tym idzie, nie powstał obowiązek zawiadomienia o naruszenia ochrony danych osobowych osób, których dane dotyczą, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679), jednakże nie jest to równoznaczne z brakiem ryzyka jako takiego – stąd zaistniała konieczność zawiadomienia Prezesa UODO o naruszeniu ochrony danych osobowych. Nadmienić można przy tym, że ujawnione w następstwie omawianego zdarzenia dane osobowe pozwalają na relatywnie łatwą identyfikację osób, których dotyczą.

27.

Należy podkreślić fakt, że samo rozporządzenie 2016/679 w motywie 4 preambuły wskazuje, że „Przetwarzanie danych należy zorganizować w taki sposób, aby służyło ludzkości. Prawo do ochrony danych osobowych nie jest prawem bezwzględnym; należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych w myśl zasady proporcjonalności. Niniejsze rozporządzenie nie narusza praw podstawowych, wolności i zasad uznanych w Karcie praw podstawowych – zapisanych w Traktatach – w szczególności prawa do poszanowania życia prywatnego i rodzinnego, domu oraz komunikowania się, ochrony danych osobowych, wolności myśli, sumienia i religii, wolności wypowiedzi i informacji, wolności prowadzenia działalności gospodarczej, prawa do skutecznego środka prawnego i dostępu do bezstronnego sądu oraz różnorodności kulturowej, religijnej i językowej”. Tak samo art. 8 ust. 1 Europejskiej Konwencji Praw Człowieka^[3] podkreśla, że „Każdy ma prawo do poszanowania swojego życia prywatnego i rodzinnego, swojego mieszkania i swojej korespondencji”. Również z art. 7 Karty Praw Podstawowych Unii Europejskiej^[4] wynika, że „Każdy ma prawo do poszanowania życia prywatnego i rodzinnego, domu i komunikowania się”.

28.

Powyżej powołane przepisy wprost wskazują prawo do poszanowania domu, stanowiącego ze względu na ścisłe powiązanie z jego mieszkańcami dane osobowe (w kontekście chociażby adresu, pod którym znajduje się nieruchomość) jako prawo chronione prawem Unii Europejskiej. Podkreślić należy, że ochrona domu jest niezwykle istotna, z uwagi na znaczne nasilenie zagrożeń nieznanego pochodzenia, w tym możliwości prowadzenia działań przestępczych. Bez wszelkich wątpliwości, także w świetle wskazanych zagrożeń, udostępnianie informacji o adresie domowym musi być sankcjonowane.

29.

Reasumując, w niniejszym przypadku Administrator bezzasadnie zignorował niepomijalne w kontekście obowiązku wynikającego z art. 33 rozporządzenia 2016/679 ryzyka związane z omawianym incydentem wyrażające się w możliwej utracie autonomii informacyjnej (…) osób objętych naruszeniem, naruszeniu ich prawa do prywatności i związanym z tym potencjalnie poczuciem niepewności, czy wręcz zagrożenia. I bez znaczenia jest tu fakt, że plik z niezanonimizowanymi danymi ww. osób pobrała tylko jedna osoba – osoba ta nie była bowiem uprawniona do przetwarzania tych danych, w tym ich pobrania, co w konsekwencji oznacza, że doszło do naruszenia ich poufności.

30.

Rozważając zakres obowiązków administratora związanych ze stwierdzeniem konkretnego naruszenia ochrony danych osobowych i zidentyfikowanymi w związku z tym ryzykami szczególną uwagę należy zwrócić na fakt, że powstanie obowiązku notyfikacyjnego względem organu nadzorczego nie jest uzależnione od tego, czy możliwe negatywne konsekwencje zdarzenia się zmaterializowały. Z treści art. 33 ust. 1 rozporządzenia 2016/679 wynika, że już samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu. Powyższe stanowisko potwierdzone zostało przez Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 22 września 2021 r. wydanym w sprawie o sygn. akt II SA/Wa 791/21 (utrzymanym przez Naczelny Sąd Administracyjny wyrokiem z 20 marca 2025 r., sygn. akt III OSK 210/22), w którym zaznaczono: „Podkreślić należy, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować. W treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” (przy czym Sąd ten podobnie orzekł w wyroku z 1 lipca 2022 r. wydanym w sprawie o sygn. akt II SA/Wa 4143/21, utrzymanym przez Naczelny Sąd Administracyjny wyrokiem z 3 grudnia 2025 r., sygn. akt II OSK 2416/22, oraz w wyrokach z 31 sierpnia 2022 r., sygn. akt II SA/Wa 2993/21 i z 15 listopada 2022 r., sygn. akt II SA/Wa 546/22). Z kolei w wyroku z 26 kwietnia 2023 r., sygn. II SA/Wa 1272/22 (orzeczenie prawomocne), Wojewódzki Sąd Administracyjny w Warszawie wskazał, że: „(…) w toku dokonywania oceny, czy występują ryzyka naruszenia praw lub wolności człowieka, administrator powinien brać pod uwagę wszelkie możliwe szkody, jak i krzywdy, które mogą wyniknąć z danego zdarzenia dla osób fizycznych [tak: S. Jandt [w:] DS.-GVO..., red. J. Kühling, B. Buchner, s. 617; Y. Reif [w:] DS.-GVO..., red. P. Gola, s. 496]. Mogą one w szczególności polegać na utracie kontroli nad własnymi danymi osobowymi, negatywnych konsekwencjach wizerunkowych, możliwości zawierania umów z wykorzystaniem danych osobowych innej osoby fizycznej, stratach finansowych czy wreszcie negatywnym odbiorze społecznym, który może być konsekwencją upublicznienia niektórych danych osobowych. Do zaistnienia ryzyka nie jest przy tym konieczne, by ostatecznie doszło do wystąpienia szkody lub krzywdy wynikających z danego naruszenia ochrony danych osobowych [tak: jw., s.616] (…)”.

31.

Istotne – w perspektywie omawianego incydentu – jest także stanowisko Naczelnego Sądu Administracyjnego, ujęte w wyroku z 1 października 2025 roku, sygn. akt III OSK 1830/22, zgodnie z którym: „Oceny, czy występuje ryzyko naruszenia praw lub wolności człowieka, musi dokonać administrator. Ocena taka powinna być oparta na obiektywnych kryteriach (jak dotychczasowe doświadczenie związane z podobnymi sprawami, wiedza z zakresu bezpieczeństwa informacji) oraz na uwzględnieniu okoliczności samego naruszenia ochrony danych osobowych. (…) Nie jest konieczne, by (…) ryzyko się zmaterializowało i by faktycznie doszło do naruszenia praw lub wolności. Dlatego nie ma znaczenia, czy ostatecznie ich naruszenie nastąpi. (…) W toku dokonywania oceny, czy występują ryzyka ich naruszenia, administrator powinien brać pod uwagę wszelkie możliwe szkody, jak i krzywdy, które mogą wynikać z danego zdarzenia osób fizycznych. (…) Do zaistnienia ryzyka nie jest przy tym konieczne, by ostatecznie doszło do wystąpienia szkody lub krzywdy wynikających z danego naruszenia ochrony danych osobowych”.

32.

W sytuacji, gdy na skutek naruszenia ochrony danych osobowych występuje ryzyko naruszenia praw lub wolności osób fizycznych (a jak wyżej wskazano w omawianym przypadku takie ryzyko wystąpiło), administrator zobowiązany jest wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy. Administrator powinien zrealizować przedmiotowy obowiązek możliwie najszybciej.

33.

W motywie 85 preambuły rozporządzenia 2016/679 wyjaśniono, że: „Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki”.

34.

Z kolei w motywie 75 preambuły rozporządzenia 2016/679 wskazano, m.in.: „Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną; jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi (…)”.

35.

Stosując przepisy rozporządzenia 2016/679 należy mieć na uwadze, że ich celem (wyrażonym w art. 1 ust 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów – nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy opracowywaniu technicznych i organizacyjnych środków bezpieczeństwa mających im zapobiegać – należy w pierwszej kolejności brać pod uwagę te wartości.

36.

Podkreślić należy, że przed wszczęciem postępowania administracyjnego w przedmiotowej sprawie, Prezes UODO zwracając się do Administratora o złożenie wyjaśnień w związku z zaistniałym incydentem, przypominał o treści obowiązku wynikającego z art. 33 rozporządzenia 2016/679 (pismo organu nadzorczego do Administratora z 7 października 2025 r.).

37.

Podsumowując powyższe rozważania należy stwierdzić, że w analizowanym przypadku wystąpiło ryzyko naruszenia praw lub wolności osób objętych przedmiotowym naruszeniem, co skutkowało powstaniem po stronie Administratora obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, w którym należało ująć informacje określone w art. 33 ust. 3 rozporządzenia 2016/679. Administrator, z uwagi na charakter swojej działalności, powinien mieć wiedzę o wynikających z przepisów prawa obowiązkach związanych ze stwierdzeniem naruszenia ochrony danych osobowych.

38.

Administrator bezzasadnie zaniechał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, a zatem uchybił obowiązkowi z art. 33 ust. 1 rozporządzenia 2016/679, co oznacza naruszenie ww. przepisu.

II. Uzasadnienie nałożenia i ustalenia wysokości administracyjnej kary pieniężnej

39.

Postępowanie administracyjne prowadzone przez Prezesa UODO służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej w celu zastosowania uprawnień naprawczych określonych w art. 58 ust. 2 rozporządzenia 2016/679.

40.

Zgodnie z art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast środków naprawczych, o których mowa w art. 58 ust. 2 lit. a) - h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy.

41.

Oceniając, czy a jeśli tak, to w jakim wymiarze powinna być nałożona kara, organ nadzorczy ma obowiązek uwzględnić następujące okoliczności – przesłanki wymiaru kary określone w art. 83 ust. 2 rozporządzenia 2016/679, tj.:

a)

charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą oraz rozmiar poniesionej przez nie szkody;

b)

umyślny lub nieumyślny charakter naruszenia;

c)

działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;

d)

stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32;

e)

wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;

f)

stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;

g)

kategorie danych osobowych, których dotyczyło naruszenie;

h)

sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;

i)

jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków;

j)

stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42;

k)

wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

42.

Natomiast zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 naruszenie obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25-39 oraz 42 i 43 znajduje zastosowanie w przedmiotowej sprawie i podlega administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

43.

Ponadto organ nadzorczy – zgodnie z art. 83 ust. 1 rozporządzenia 2016/679 – zapewnia, by stosowane administracyjne kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające (zasady wymiaru kary).

44.

Natomiast zgodnie z art. 102 ust. 1 pkt 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (u.o.d.o.), Prezes UODO może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 000 złotych, na jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1-12 i 14 u.o.f.p.^[5]. Limit ten niewątpliwie znajdzie zastosowanie w niniejszej sprawie do Administratora jako jednostki samorządu terytorialnego w rozumieniu art. 9 pkt 2 u.o.f.p. Administracyjne kary pieniężne, o których tutaj mowa, Prezes UODO nakłada na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679 (art. 102 ust. 3 u.o.d.o.).

III.1. Przesłanki wymiaru administracyjnej kary pieniężnej.

45.

Decydując o nałożeniu na Administratora administracyjnej kary pieniężnej za naruszenie przepisu art. 33 ust. 1 rozporządzenia 2016/679, Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.

46.

Charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679)

Administrator naruszył obowiązek określony w art. 33 ust. 1 rozporządzenia 2016/679 poprzez zaniechanie zgłoszenia Prezesowi UODO naruszenia ochrony danych osobowych. Jako okoliczność obciążającą w omawianej sprawie należy wskazać charakter przetwarzania realizowanego przez Administratora jako jednostka samorządu terytorialnego w zakresie wykonywania zadań wynikających z przepisów ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (Dz. U. z 2025 r. poz. 1153). Administrator jako podmiot publiczny powinien odznaczać się najwyższą znajomością prawa, a w przypadku stwierdzenia naruszenia ochrony danych osobowych powinien wypełnić obowiązek wynikający z art. 33 ust. 1 rozporządzenia 2016/679. Stwierdzone naruszenie przepisów rozporządzenia 2016/679 ma znaczną wagę i poważny charakter, ponieważ zgłaszanie naruszeń ochrony danych osobowych przez administratorów danych stanowi skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych (zob. pkt 19). W niniejszej sprawie znacznie obciążającą przesłanką jest także czas trwania naruszenia, z uwagi na to, że naruszenie art. 33 ust. 1 rozporządzenia 2016/679 nie zostało usunięte i trwa od momentu upłynięcia 72 godzin od stwierdzenia naruszenia ochrony danych osobowych. Publikacja pliku w BIP Administratora miała miejsce 16 września 2024 r. Pierwsze czynności zmierzające do usunięcia pliku zawierającego niezanonimizowane dane osobowe podjęte zostały między 20 a 30 września 2024 r. Natomiast pierwsze wezwanie, w którym Prezes UODO zwrócił się do Burmistrza o wyjaśnienie, czy w związku z zaistniałym zdarzeniem została dokonana analiza pod kątem wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych, niezbędna do oceny, czy doszło do naruszenia ochrony danych osobowych skutkującego koniecznością zawiadomienia Prezesa UODO, zostało skierowane 7 października 2025 r. Nawet jeśli przyjąć, że na podstawie przeprowadzonej analizy Administrator ocenił, że nie zaistniały przesłanki do obligatoryjnego obowiązku notyfikacyjnego, kolejne wezwania organu nadzorczego i w końcu zawiadomienie o wszczęciu postępowania w sprawie naruszenia art. 33 ust. 1 rozporządzenia 2016/679 powinny wzbudzić przynajmniej uzasadnione wątpliwości i ostatecznie doprowadzić do zrewidowania przez niego swojego stanowiska. Należy zatem przyjąć, że Administrator był świadomy obowiązku zgłoszenia naruszenia, jednak do momentu wydania tejże decyzji zgłoszenie to nie nastąpiło.

47.

Umyślny lub nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679)

Zgodnie z Wytycznymi 04/2022^[6]: „zasadniczo umyślność obejmuje zarówno wiedzę jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego, podczas gdy nieumyślność oznacza brak zamiaru spowodowania naruszenia, pomimo niedopełnienia przez administratora/podmiot przetwarzający obowiązku staranności wymaganego prawem”. Dokonując oceny umyślności działania Administratora organ nadzorczy uwzględnił okoliczności, w jakich doszło do naruszenia art. 33 ust. 1 rozporządzenia 2016/679 (pkt 1-7 decyzji). W związku z publikacją w BIP niezanonimizowanej listy osób w wyniku błędu ludzkiego, można stwierdzić, że początkowo brak zgłoszenia tego naruszenia organowi nadzorczemu miał charakter nieumyślny. Po wezwaniu przez Prezesa UODO do złożenia wyjaśnień Administrator tłumaczył, że po stwierdzeniu naruszenia ochrony danych osobowych została przeprowadzona analiza pod kątem ryzyka naruszenia praw lub wolności osoby fizycznej, na podstawie której Administrator stwierdził, że szacowane ryzyko niekorzystnych skutków incydentu w postaci publikacji załącznika do petycji wraz z listą imion i nazwisk oraz adresami i podpisami dla naruszenia praw lub wolności osób fizycznych jest niskie. Administrator przyjął zatem, że wobec tego jest mało prawdopodobne, by skutkowało ono ryzykiem naruszenia praw lub wolności osób fizycznych (pkt 4 decyzji). W pismach z 7 października 2025 r., a następnie 15 października 2025 r., organ nadzorczy powiadomił Administratora o ciążącym na nim obowiązku zgłoszenia naruszenia. Należy podkreślić, że kierowana korespondencja i w konsekwencji wszczęcie przez Prezesa UODO postępowania w niniejszej sprawie w związku z naruszeniem obowiązku z art. 33 ust. 1 rozporządzenia 2016/679 powinno nasunąć Administratorowi wątpliwości co do słuszności przyjętego przez niego stanowiska, a wiedza o stwierdzonym naruszeniu ochrony danych osobowych świadczyła o świadomym zlekceważeniu ww. obowiązku. Dlatego Prezes UODO uznaje, że od momentu wysłania wezwania w październiku 2025 r. przez organ nadzorczy do momentu wydania niniejszej decyzji naruszenie ww. przepisu rozporządzenia 2016/679 przyjęło umyślny charakter.

48.

Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679)

Ze względu na świadome niezgłoszenie naruszenia ochrony danych osobowych i w konsekwencji brak usunięcia naruszenia przepisów rozporządzenia 2016/679 stopień współpracy Administratora z Prezesem UODO należy ocenić jako dalece niezadowalający. Pomimo skierowanych wezwań, a następnie zawiadomienia o wszczęciu postępowania w tym zakresie wobec Administratora, Burmistrz nie wypełnił obowiązku z art. 33 ust. 1 rozporządzenia 2016/679 i nie doprowadził do przywrócenia stanu zgodnego z prawem. W kontekście analizowanej przesłanki stwierdzić należy, że organ nadzorczy dostrzegł co prawda, że Administrator prowadził korespondencję z organem nadzorczym, odpowiadając na wezwania Prezesa UODO. Mimo to udzielenie odpowiedzi na pisma kierowane przez organ nadzorczy nie można uznać za okoliczność łagodzącą, z uwagi na to, że składanie wyjaśnień należy do obowiązków Administratora. W toku postępowania wyjaśniającego Administrator był zobowiązany do składania – na żądanie organu nadzorczego – wyjaśnień oraz do przedstawienia dowodów na ich poparcie. W tym kontekście należy przyjąć, że realizacja obowiązku współpracy Administratora z organem nadzorczym (zwykłej współpracy „procesowej”) jest okolicznością neutralną w świetle przesłanki określonej w art. 83 ust. 2 lit. f) rozporządzenia 2016/679, ponieważ świadczy jedynie o wypełnieniu obowiązku prawnego wynikającego wprost z rozporządzenia 2016/679. Organ nadzorczy mógłby dokonać łagodniejszej oceny naruszenia przepisów rozporządzenia 2016/679 w ramach przesłanki z art. 83 ust. 2 lit. f) rozporządzenia 2016/679, a w konsekwencji obniżyć wysokość orzeczonej kary pieniężnej, jedynie w przypadku, gdyby Administrator we współpracy z organem nadzorczym podjął takie działania, które doprowadziłyby do usunięcia stanu naruszenia (dopełnienie obowiązku notyfikacyjnego) (zob. pkt 96 Wytycznych 04/2022). W niniejszym postępowaniu taka sytuacja nie nastąpiła. Sam fakt udzielania odpowiedzi na wezwania organu nadzorczego nie może świadczyć o współpracy Administratora z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków, zwłaszcza gdy nie dochodzi do materializacji takich efektów współpracy. Wobec powyższego organ nadzorczy uznał, że przesłanka ta stanowi okoliczność obciążającą w zakresie ustalenia wysokości administracyjnej kary pieniężnej wobec Administratora.

49.

Inne, niżej wskazane okoliczności zgodnie z art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na wysokość wymierzonej kary administracyjnej przez organ nadzorczy zostały uznane jako przesłanki neutralne, tj. niemające w ocenie Prezesa UODO ani charakteru obciążającego ani łagodzącego.

50.

Wszelkie stosowne wcześniejsze naruszenia (art. 83 ust. 2 lit. e) rozporządzenia 2016/679)

Organ nadzorczy nie stwierdził po stronie Administratora wcześniejszych naruszeń przepisów o ochronie danych osobowych, wobec powyższego brak jest podstaw do potraktowania tej przesłanki jako obciążającej. Obowiązkiem każdego administratora jest przestrzeganie przepisów prawa, a zatem brak wcześniejszych naruszeń nie może być również okolicznością łagodzącą przy wymierzaniu administracyjnej kary pieniężnej.

51.

Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie (art. 83 ust. 2 lit. h) rozporządzenia 2016/679)

O zaistnieniu naruszenia art. 33 ust. 1 rozporządzenia 2016/679, związanego z publikacją w Biuletynie Informacji Publicznej Urzędu Miasta i Gminy D. niezanonimizowanego pliku zawierającego dane osobowe osób podpisujących petycję, Prezes UODO dowiedział się w toku postępowania wyjaśniającego prowadzonego w przedmiocie tego naruszenia ochrony danych osobowych. Nie można zatem potraktować tej przesłanki jako okoliczności działającej na korzyść Administratora. Jak stanowią Wytyczne 04/2022 w pkt 99: „W przypadku gdy organ nadzorczy dowiedział się o naruszeniu na przykład w wyniku skargi lub w toku postępowania, co do zasady element ten należy uznać […] za okoliczność neutralną”. Brak jest również podstaw do uznania przesłanki za okoliczność obciążającą, z uwagi na to, że brak zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu jest przedmiotem niniejszego postępowania.

52.

Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i) rozporządzenia 2016/679)

Organ nadzorczy nie zastosował dotychczas żadnych środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 wobec Administratora, wobec czego Administrator nie miał obowiązku przestrzegać żadnego środka wymienionego w ww. przepisie. W związku z tym przesłanki tej nie można rozważać jako obciążającej lub łagodzącej w niniejszej sprawie.

53.

Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 (art. 83 ust. 2 lit. j) rozporządzenia 2016/679)

Administrator nie poinformował o stosowaniu instrumentów, o których mowa w art. 40 i art. 42 rozporządzenia 2016/679. Nie stanowi to jednak obowiązku dla administratorów i podmiotów przetwarzających zgodnie z rozporządzeniem 2016/679, w związku z czym ocena działania Administratora w tym zakresie nie może być uwzględniona jako okoliczność dla niego obciążająca. Okolicznością łagodzącą natomiast byłoby stosowanie przez Administratora środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.

54.

Wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k) rozporządzenia 2016/679)

Prezes UODO nie stwierdził, żeby Administrator w niniejszej sprawie, w związku z naruszeniem obowiązku z art. 33 ust. 1 rozporządzenia 2016/679, osiągnął korzyści finansowe bądź też uniknął strat. Osiągnięcie przez Administratora korzyści finansowych w związku ze stwierdzonym naruszeniem przepisów rozporządzenia 2016/679 byłoby zdecydowanie okolicznością negatywnie wpływającą na wymiar kary, jednak w niniejszej sprawie nie ma podstaw do uznania tej przesłanki jako obciążającej. Nieosiągnięcie przez Administratora tychże korzyści należy więc potraktować neutralnie, niezależnie od dokonanego naruszenia przepisów rozporządzenia 2016/679 i jego skutków – jest to okoliczność, która z istoty rzeczy nie może być łagodząca dla Administratora.

55.

Pozostałe okoliczności wymienione w art. 83 ust. 2 rozporządzenia 2016/679 nie mogły być wzięte pod uwagę przez Prezesa UODO ze względu na charakter naruszenia (dotyczącego relacji administratora z organem nadzorczym, a nie z osobami, których dane dotyczą). Są to:

a)

liczba poszkodowanych osób i rozmiar poniesionej przez nie szkody (art. 83 ust. 2 lit. a) rozporządzenia 2016/679) – naruszenie przepisów rozporządzenia 2016/679 polega na niezgłoszeniu naruszenia ochrony danych osobowych Prezesowi UODO, co stanowi zaniechanie obowiązków, które administrator był zobowiązany spełnić wobec organu nadzorczego. Oznacza to, że w swojej istocie nie dotyczy ono podmiotów danych, a więc nie może ze swej natury spowodować powstania szkód po ich stronie;

b)

działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c) rozporządzenia 2016/679) – ze względu na istotę naruszenia przepisów rozporządzenia 2016/679 nie może ono wiązać się z powstaniem szkód po stronie osób fizycznych. W związku z naruszeniem art. 33 ust. 1 rozporządzenia 2016/679 nie powstają żadne szkody po stronie podmiotów danych, brak jest więc możliwości podjęcia przez administratora działań, które te szkody miałyby zminimalizować. Przesłanka ta nie może zatem podlegać ocenie organu nadzorczego jako okoliczność łagodząca lub obciążająca;

c)

stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d) rozporządzenia 2016/679) – przesłanka nie może podlegać ocenie przez organ nadzorczy ze względu na to, że naruszenie art. 33 ust. 1 rozporządzenia 2016/679 w samej swojej istocie nie wiąże się ze środkami technicznymi i organizacyjnymi wdrożonymi przez administratora w celu zapewnienia ochrony danych osobowych oraz bezpieczeństwa ich przetwarzania;

d)

kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679) – ze względu na to, że naruszenie art. 33 ust. 1 rozporządzenia 2016/679 w samej istocie nie dotyczy żadnych danych osobowych, a tym samym żadnych ich kategorii. Polega ono na niespełnieniu (wobec organu nadzorczego) określonego obowiązku formalnego – „oderwanego” od jakichkolwiek operacji przetwarzania.

III.2. Ustalenie wysokości administracyjnej kary pieniężnej z zastosowaniem Wytycznych 04/2022 za naruszenie art. 33 ust. 1 rozporządzenia 2016/679.

56.

Ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej nałożonej na Administratora Prezes UODO w sposób ograniczony zastosował metodykę przyjętą przez EROD w Wytycznych 04/2022. Ograniczony zakres stosowania tych wytycznych do obliczania kar orzekanych wobec organów i podmiotów publicznych wynika z braku możliwości przyjęcia obrotu (przychodów) takiego podmiotu jako miernika jego wielkości pozwalającego ustalić wysokość kary, tak by była ona skuteczna, proporcjonalna i odstraszająca. Jak wskazuje EROD (w pkt 10 Wytycznych 04/2022), jeżeli na podstawie prawa krajowego organy nadzorcze mają uprawnienie do nakładania administracyjnych kar pieniężnych na organy i podmioty publiczne, wytyczne te mają zastosowanie do ich obliczania z wyjątkiem rozdziału 4.3 tego dokumentu („Obrót przedsiębiorstwa do celów nałożenia skutecznej, odstraszającej i proporcjonalnej kary pieniężnej”). W przypadku gdy prawo krajowe przewiduje dla organów i podmiotów publicznych ustawowe maksymalne kwoty kar (inne niż wynikające z art. 83 ust. 4-6 rozporządzenia 2016/679) zastosowania nie będzie znajdował rozdział 6 wytycznych („Prawnie określona maksymalna wysokość kary pieniężnej i odpowiedzialność przedsiębiorstw”). Mając więc na uwadze powyższe Prezes UODO dokonał niżej przedstawionej kalkulacji kary orzekanej wobec Burmistrza Miasta i Gminy D..

57.

Za prawnie określoną maksymalną kwotę kary możliwą do orzeczenia wobec Administratora Prezes UODO przyjął – stosownie do art. 102 ust. 1 pkt 1 u.o.d.o. – kwotę 100 000 zł, przy czym kwota ta znajduje zastosowanie niezależnie od tego, którego przepisu rozporządzenia 2016/679 dotyczy naruszenie.

58.

Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o niskim poziomie powagi (Rozdział 4.2 Wytycznych 04/2022).

W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które dotyczą strony przedmiotowej naruszenia przepisów rozporządzenia 2016/679 (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny lub nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679). Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679) nie zostały wzięte pod uwagę przy ocenie „powagi” naruszenia ze względu na jego charakter (dotyczący wykonania „technicznego” obowiązku administratora i w relacji z organem nadzorczym, a nie z osobami, których dane dotyczą). Szczegółowa ocena wskazanych okoliczności została przedstawiona powyżej (pkt 46-55 decyzji).

Wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia przepisów rozporządzenia 2016/679 traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest niski. Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 0% do 10% maksymalnej wysokości kary możliwej do orzeczenia wobec Administratora (pkt 60 Wytycznych 04/2022), tj. z uwagi na kwotę maksymalną w wysokości 100 000 zł określoną dla organów i podmiotów publicznych – od 0 do kwoty 10 000 zł. Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę 7 000 zł (7% prawnie określonej maksymalnej wysokości kary).

59.

Stosownie do Wytycznych 04/2022 (rozdział 5) organ nadzorczy dokonał oceny wpływu na stwierdzone naruszenie przepisów rozporządzenia 2016/679 (poza uwzględnionymi wyżej w ocenie powagi naruszenia) pozostałych okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679

Wskazane okoliczności mogą mieć obciążający bądź łagodzący wpływ na ocenę naruszenia przepisów rozporządzenia 2016/679. Zgodnie z Wytycznymi 04/2022 odnoszą się do strony podmiotowej tego naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie i po jego zaistnieniu.

Prezes UODO uznał, że okolicznością obciążającą w niniejszej sprawie jest stopień współpracy Administratora z Prezesem UODO w celu usunięcia naruszenia przepisów rozporządzenia 2016/679 oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679. Administrator nie podjął żadnych czynności zmierzających do usunięcia naruszenia obowiązku wynikającego z art. 33 ust. 1 rozporządzenia 2016/679 do momentu wydania niniejszej decyzji. Ze względu na zaistnienie w sprawie okoliczności obciążającej, Prezes UODO oceniając jej wpływ na stwierdzone naruszenie przepisów rozporządzenia 2016/679, uznał za zasadne zwiększenie o 10 % ustalonej wyżej kwoty kary 7 000 zł do kwoty 7 700 zł.

Ponadto, organ nadzorczy nie stwierdził w przedmiotowej sprawie okoliczności łagodzących wpływających na obniżenie orzeczonej administracyjnej kary pieniężnej.

60.

Warto podkreślić, że orzeczona kara uwzględniona została w związku z ograniczeniem zagrożenia karą wobec organów i podmiotów publicznych z art. 102 ust. 1 u.o.d.o. Na zasadach ogólnych maksymalne zagrożenie karą Administratora za naruszenie art. 33 ust. 1 rozporządzenia 2016/679, zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, wynosiłoby 10 000 000 EUR. Byłaby to bowiem kwota wielokrotnie przewyższająca orzeczoną karę w wysokości 7 700 zł.

61.

W ocenie Prezesa Urzędu Ochrony Danych Osobowych nałożona na Burmistrza Miasta i Gminy D. administracyjna kara pieniężna w przedstawionych okolicznościach spełnia funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tj. jest w tym przypadku skuteczna, proporcjonalna i odstraszająca. W ocenie organu nadzorczego wymierzona sankcja będzie skuteczna, gdyż spełni swoją funkcję naprawczą w stosunku do stwierdzonego naruszenia z art. 33 ust. 1 rozporządzenia 2016/679, a także będzie właściwym środkiem prewencyjnym i spowoduje, że Administrator nie dopuści się podobnych uchybień w przyszłości. Warto zaznaczyć, że jednostka samorządu terytorialnego powinna odznaczać się szczególną starannością w realizacji swoich zadań, w tym właściwie stosując się do przepisów w zakresie ochrony danych osobowych. Orzeczona kara w ocenie organu nadzorczego spowoduje, że w przyszłości Administrator dołoży wszelkich starań by właściwie wypełnić obowiązek z art. 33 ust. 1 rozporządzenia 2016/679, zawiadamiając organ nadzorczy o naruszeniu ochrony danych osobowych bez zbędnej zwłoki, co pozwoli też uniknąć ewentualnych sankcji.

62.

Mając na uwadze powyższe, uwzględniając uwarunkowania faktyczne i prawne Prezes UODO zdecydował się nałożyć na Burmistrza Miasta i Gminy D. administracyjną karę pieniężną w wysokości 7 700 zł (słownie: siedem tysięcy siedemset złotych).

63.

Jednocześnie Prezes UODO zauważa, że zastosowanie wobec Administratora jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b) rozporządzenia 2016/679), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że Administrator ten w przyszłości nie dopuściłby się kolejnych zaniedbań.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.