Godło Rzeczypospolitej Polskiej

Portal Orzeczeń

DostępnośćBIP
Decision logo
Warszawa, 15 października 2025nieprawomocna

Decyzja DKN.5131.3.2025

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572 ze zm.) w związku z art. 7, art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. i), art. 83 ust. 1 – 3, art. 83 ust. 4 lit. a) w związku z art. 33 ust. 1 oraz art. 58 ust. 2 lit. b) w związku z art. 34 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej „rozporządzeniem 2016/679”,
po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przez B. Sp. z o.o. z siedzibą w M. przy ul. (…), przepisów o ochronie danych osobowych, Prezes Urzędu Ochrony Danych Osobowych,
I.
stwierdzając naruszenie przez B. Sp. z o.o. z siedzibą w M. przepisu art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia,
nakłada na B. Sp. z o.o. z siedzibą w M. za naruszenie przepisu art. 33 ust. 1 rozporządzenia 2016/679 administracyjną karę pieniężną w wysokości 40 514 PLN (słownie: czterdziestu tysięcy pięciuset czternastu złotych);
II.
stwierdzając naruszenie przez B. Sp. z o.o. z siedzibą w M. przepisu art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu ochrony danych osobowych,
udziela B. Sp. z o.o. z siedzibą w M. upomnienia.

Uzasadnienie

1.
B. Sp. z o.o. z siedzibą w M. przy ul. (…), zwana dalej również „Placówką” lub „Administratorem”, jest podmiotem, którego podstawowy charakter działalności gospodarczej skoncentrowany jest na udzielaniu świadczeń i usług medycznych, w szczególności w zakresie (…). Placówka prowadzi swoje kliniki między innymi w (…).
2.
13 grudnia 2023 roku (data nadania: 8 grudnia 2023 roku) do Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej również „Prezesem UODO” lub „organem nadzorczym”, wpłynęło (przesłane organowi nadzorczemu „do wiadomości”) pismo Pani D. R., radcy prawnego z Kancelarii Radcy Prawnego D. R. (ul. (…), (…) P.) (dalej jako pełnomocnik) adresowane do Administratora, wzywające adresata do zadośćuczynienia, cyt.: „za doznaną szkodę niemajątkową spowodowaną naruszeniem rozporządzenia o ochronie danych osobowych (RODO) oraz naruszeniem dobra osobistego mojej Mocodawczyni w postaci prawa do prywatności”. Z informacji zawartych w ww. korespondencji wynikało, że dokument w postaci potwierdzenia realizacji zwrotnego przelewu należności uregulowanej za określone badanie, który opatrzony był danymi osobowymi pacjentki Administratora i jej męża, omyłkowo został przesłany do niewłaściwej, nieuprawnionej osoby (również pacjentki ww. podmiotu medycznego, o tożsamym imieniu).
3.
W związku z pozyskaniem ww. informacji Prezes UODO przeprowadził czynności wyjaśniające w sprawie możliwości wystąpienia w Placówce naruszenia ochrony danych osobowych, mogącego skutkować wysokim ryzykiem naruszenia praw lub wolności osób, których dane dotyczą (pod sygn. DKN.5101.313.2023.(…)), a następnie, 23 kwietnia 2025 r., wszczął z urzędu postępowanie administracyjne (DKN.5131.3.2025) w przedmiocie naruszenia przez Placówkę, jako administratora danych, obowiązków wynikających z przepisów art. 33 ust. 1 oraz 34 ust. 1 rozporządzenia 2016/679 w związku z przedmiotowym zdarzeniem.

Prezes UODO, w wyniku przeprowadzonego postępowania wyjaśniającego oraz postępowania administracyjnego, ustalił następujący stan faktyczny.

4.
Prezes UODO, po otrzymaniu informacji o możliwości wystąpienia naruszenia ochrony danych osobowych, pismem z 18 grudnia 2023 r. zwrócił się do Administratora o wyjaśnienie, czy ma on wiedzę na temat zdarzenia, polegającego na nieuprawnionym ujawnieniu przez pracownika, na rzecz osoby trzeciej (niewłaściwej pacjentki), danych osobowych pacjentki Administratora oraz jej męża utrwalonych w dokumencie potwierdzenia zwrotnego przelewu należności za zlecone (…) badanie (…). Ponadto, organ nadzorczy zobowiązał Administratora do wskazania, czy dokonał on analizy ryzyka pod kątem ryzyka naruszenia praw lub wolności osób fizycznych, niezbędnej do oceny, czy w związku z ww. zdarzeniem doszło do naruszenia ochrony danych osobowych skutkującego koniecznością zgłoszenia tego naruszenia Prezesowi UODO oraz zawiadomienia o nim osób, których dane dotyczą.
5.
Administrator w odpowiedzi na wezwanie Prezesa UODO, pismem z 3 stycznia 2023 r. (data wpływu: 9 stycznia 2024 r., sporządzone pismo przez Administratora opatrzone błędną datą w zakresie roku) udzielił stosownych wyjaśnień wskazując, że:
a)
pozyskał wiedzę na temat zaistniałego zdarzenia 31 sierpnia 2023 r.,
b)
przyczyną wystąpienia przedmiotowego naruszenia było omyłkowe przesłanie przez pracownika Administratora, za pośrednictwem wiadomości MMS, potwierdzenia przelewu stanowiącego zwrot środków z tytułu udzielonej zniżki za badania (…) do innego, niewłaściwego adresata (innej pacjentki) cyt.: „o tym samym imieniu, aniżeli widniejący w treści potwierdzenia przelewu”,
c)
dokument w postaci potwierdzenia przelewu opatrzony był danymi pacjentki Administratora oraz jej męża w zakresie imienia i nazwiska, numeru rachunku bankowego, adresu zamieszkania, tytułu oraz kwoty przelewu,
d)
bezpośrednio po wystąpieniu incydentu przeprowadzona została analiza ryzyka, która nie wykazała, aby przedmiotowe zdarzenie wiązało się z możliwością naruszenia praw lub wolności osób fizycznych – w związku z czym Administrator odstąpił od zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu (Administrator przedłożył tut. organowi dokument pt.: „(…)”),
e)
posiada wdrożony i certyfikowany (…), zgodnie z którym dane szczególnej kategorii przesyłane są w formie zaszyfrowanej, a hasło przekazywane jest innym kanałem komunikacji oraz wskazał, że cyt.: „w wiadomości MMS, w której miało być przesłane potwierdzenie przelewu nie znajdowały się dane szczególnej kategorii dlatego też odstąpiono od szyfrowania wiadomości”,
f)
pacjentka, której dane znajdowały się na potwierdzeniu przelewu, uzyskała informacje o wystąpieniu niniejszego incydentu od nieuprawnionej odbiorczyni błędnie przesłanego dokumentu (będącej także pacjentką Administratora), a nie bezpośrednio od Placówki.
6.
10 stycznia 2024 r. Prezes UODO wezwał Administratora do precyzyjnego wskazania tytułu przelewu, którego potwierdzenie przesłano niewłaściwej osobie, w tym do wskazania nazwy i przedstawienia charakterystyki badania, którego dotyczył zwracany przelew. Jednocześnie organ nadzorczy zwrócił się do Placówki o przekazanie informacji, czy dysponując nazwą ww. badania można wyciągnąć wnioski dotyczące stanu zdrowia klientów (tj. pacjentki i jej męża), ewentualnie (…), a także, czy Administrator przeprowadził analizę ryzyka w związku z przedmiotowym zdarzeniem z punktu widzenia jego wpływu na sferę praw i wolności osób fizycznych z uwzględnieniem, iż ujawnione zostały dane o zleconej procedurze medycznej, jak i o fakcie korzystania z usług podmiotu zajmującego się leczeniem (…).
7.
Administrator pismem datowanym na 22 stycznia 2023 r. (data wpływu: 24 stycznia 2024 r., sporządzone pismo przez Administratora opatrzone błędną datą w zakresie roku) ustosunkował się do wystosowanego 10 stycznia 2024 r. pisma organu nadzorczego informując, że:
a)
tytuł przelewu brzmiał następująco: cyt.: (…), przy czym podana nazwa badania zawierała omyłkę pisarską, tzw. „literówkę” – prawidłowa nazwa to „(…)”,
b)
badanie (…) może wynikać zarówno z zaleceń lekarza, jak i przezornej woli pacjenta,
c)
w ocenie Administratora na podstawie zawartej w potwierdzeniu przelewu (jego tytule) nazwy badania nie można stwierdzić kto był pacjentem, ani wyciągnąć wniosków odnośnie do do stanu zdrowia odbiorcy przelewu – można jedynie stwierdzić, kto jest posiadaczem rachunku bankowego, na który dokonano zwrot,
d)
klienci, których dane znajdowały się na przedmiotowym potwierdzeniu przelewu, nie leczyli się na (…), a jedynie byli zleceniodawcami badań laboratoryjnych.
8.
24 lutego oraz 26 marca 2025 roku Prezes UODO skierował do Administratora wystąpienia, mające na celu zobowiązanie go do niezwłocznego i prawidłowego zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych. Organ nadzorczy podkreślił przy tym, że wbrew ocenie dokonanej przez Placówkę, przedmiotowy incydent stanowi naruszenie poufności danych, które wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, gdyż zawarte w potwierdzeniu przelewu informacje pozwalają na wyciągnięcie określonych wniosków (niezależnie od tego, czy są one poprawne, czy nie) na temat stanu zdrowia podmiotów danych, a tym samym generują ryzyko konkretnych, negatywnych konsekwencji dla ww. osób – w postaci możliwości naruszenia ich dóbr osobistych lub dyskryminacji.
9.
Placówka pismem z 14 marca 2025 r. (data wpływu 24 marca 2025 r.) przekazała Prezesowi UODO zanonimizowaną kopię potwierdzenia realizacji zwrotnego przelewu, która opatrzona była danymi osobowymi pacjentki Administratora oraz jej męża, a także ponownie podniosła, że przeprowadzona 1 września 2023 r. analiza ryzyka cyt.: „wykazała, że incydent stanowi co prawda naruszenie ochrony danych osobowych, o którym mowa w art. 4 pkt 12 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), jednakże jest dalece mało prawdopodobnym, aby powodował prawdopodobieństwo naruszenia praw i wolności osób fizycznych, bowiem ujawnienie przedmiotowych danych nie spełnia którejkolwiek z przesłanek statuowanej przez motyw nr 75 RODO”. Niemniej jednak, w załączeniu do ww. korespondencji Administrator przedłożył również kopię zawiadomienia adresowanego do podmiotów danych, które zrealizował 14 marca 2025 r., w reakcji na wystąpienie Prezesa UODO z 24 lutego 2025 r..
10.
Administrator pismem z 7 kwietnia 2025 r. (data wpływu: 22 kwietnia 2025 r.) poinformował, że w ramach realizacji wystąpienia organu nadzorczego z 26 marca 2025 r., 15 kwietnia 2025 r. ponownie zawiadomił osoby, których dane dotyczą, o fakcie naruszenia ochrony ich danych osobowych oraz przekazał treść ww. zawiadomienia.
11.
Korespondencją z 23 maja 2025 r. (data wpływu: 26 maja 2025 r.) Placówka przedłożyła organowi nadzorczemu sprawozdanie finansowe cyt.: „Spółki za rok 2023 i 2024 w formacie XML, zaznaczając, że sprawozdanie finansowe za rok 2024 jest w trakcie badania przez biegłego rewidenta i może to nie być jego ostateczna wersja”.
12.
Prezes UODO pismami z 21 sierpnia oraz 23 września 2025 r. poinformował Administratora o zgromadzeniu materiału dowodowego wystarczającego do wydania decyzji w przedmiotowej sprawie oraz o przysługującym stronie prawie do wypowiedzenia się zgodnie z art. 10 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (zwaną dalej również „Kpa”).
13.
Placówka korzystając z ww. uprawnienia, korespondencją z 16 oraz 30 września 2025 r., przedłożyła organowi nadzorczemu pisma, które stanowią powtórzenie dotychczas przekazanych (w ramach prowadzonych czynności) informacji przez ten podmiot.

W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

14.
W myśl art. 34 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej: „ustawą z 10 maja 2018 r.”, Prezes UODO jest organem właściwym w sprawie ochrony danych i organem nadzorczym w rozumieniu rozporządzenia 2016/679. Prezes UODO prowadzi postępowania w sprawie naruszenia przepisów o ochronie danych osobowych (art. 60 ustawy z 10 maja 2018 r.), przy czym w sprawach nieuregulowanych w ww. ustawie, do postępowań administracyjnych przed Prezesem UODO, w szczególności unormowanych w rozdziale 7 ustawy z 10 maja 2018 r. – postępowań w sprawie naruszenia przepisów o ochronie danych osobowych, stosuje się Kpa. Stosownie do art. 57 ust. 1 lit. a) i h) rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia oraz prowadzi postępowania w sprawie stosowania niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego. Instrumentami realizacji zadań przewidzianych w art. 57 ust. 1 rozporządzenia 2016/679 są w szczególności określone w jego art. 58 ust. 2 uprawnienia naprawcze, w tym możliwość: udzielenia administratorowi upomnienia w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania (lit. b) oraz zastosowanie, oprócz lub zamiast środków, o których mowa w niniejszym ustępie, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy (lit. i).

I. Naruszenia art. 33 ust. 1 oraz art. 34 ust. 1 rozporządzenia 2016/679.

15.
Zgodnie z art. 4 pkt 12 rozporządzenia 2016/679, naruszenie ochrony danych osobowych jest naruszeniem bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
16.
Art. 33 rozporządzenia 2016/679 stanowi, że w przypadku naruszenia ochrony danych osobowych, administrator, bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia (ust. 1). Zgłoszenie, o którym mowa w ust. 1, musi co najmniej: a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) zawierać imię, nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celi zminimalizowania jego ewentualnych negatywnych skutków (ust. 3).
17.
Z kolei art. 34 ust. 1 rozporządzenia 2016/679 przewiduje, że w sytuacji, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić o takim naruszeniu osobę, której dane dotyczą.
18.
Jak zatem wynika z powołanych przepisów, w zależności od tego, z jakim poziomem ryzyka naruszenia praw lub wolności osób fizycznych administrator ma do czynienia w związku z incydentem stanowiącym naruszenie ochrony danych osobowych, inaczej kształtują się jego obowiązki w stosunku do organu nadzorczego, a także osób, których dane dotyczą. Jeżeli ocena wykaże, że nie jest prawdopodobne, aby naruszenie ochrony danych skutkowało ryzykiem dla praw lub wolności osób fizycznych, należy jedynie udokumentować takie naruszenie w wewnętrznej ewidencji (nie powstaje obowiązek notyfikacji zgłoszenia naruszenia Prezesowi UODO). W przypadku stwierdzenia, że incydent skutkuje powstaniem ryzyka dla praw lub wolności osób fizycznych i jest on wyższy niż pomijalny (zmaterializowanie się określonych zagrożeń jest prawdopodobne), obowiązkiem administratora jest zgłoszenie naruszenia ochrony danych Prezesowi UODO, jak również umieszczenie stosownego wpisu w wewnętrznej ewidencji naruszeń. Natomiast stwierdzenie wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, oprócz wpisu w ewidencji naruszeń, wymaga od administratora podjęcia odpowiednich działań zarówno wobec organu nadzorczego (zgłoszenie naruszenia ochrony danych osobowych), jak również wobec osób, których dane dotyczą (zawiadomienie ich o naruszeniu ochrony danych osobowych). Zatem, w przypadku naruszeń ochrony danych osobowych, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, rozporządzenie 2016/679 wprowadza po stronie administratora dodatkowy obowiązek (oprócz obowiązku dokonania stosownego wpisu w wewnętrznej ewidencji naruszeń oraz obowiązku notyfikacji incydentu organowi nadzorczemu) – tj. obowiązek niezwłocznego bezpośredniego zawiadomienia o incydencie podmiotu danych. Obowiązek ten w podanej formie jest wyłączony jedynie w wyjątkowych sytuacjach – tj. gdy działania podjęte przez administratora, w tym następcze wobec incydentu, dają podstawy by przyjąć, że ryzyko z nim związane zostało zasadniczo wyeliminowane [art. 34 ust. 3 lit. a) i b) rozporządzenia 2016/679] oraz wtedy, gdy istnieją obiektywne przeszkody dla realizacji tego obowiązku w sposób indywidualny [art. 34 ust. 3 lit. c) rozporządzenia 2026/679] – co nie wiąże się zresztą z całkowitym z niego zwolnieniem, a jedynie jego modyfikacją (z zawiadomienia realizowanego ściśle indywidualnie na komunikat publiczny lub inny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób).
19.
W przypadku wykrycia przez administratora naruszenia ochrony danych osobowych, w pierwszej kolejności konieczne jest więc dokonanie analizy zdarzenia pod kątem możliwości wystąpienia w jego wyniku ryzyka naruszenia praw lub wolności osób fizycznych (dla podmiotów, których dotyczą dane objęte zdarzeniem). Administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu wyłącznie wtedy, jeśli przeprowadzone badanie wykaże, że mało prawdopodobnym jest, aby incydent wiązał się z ryzykiem naruszenia praw lub wolności osób fizycznych. Należy jednak mieć na względzie fakt, że organ nadzorczy może w takim przypadku zwrócić się do administratora o uzasadnienie ww. oceny i związanej z nią decyzji o zaniechaniu notyfikacji – w związku z tym wnioski z przeprowadzonej analizy należy odnotować w wewnętrznej ewidencji naruszeń.
20.
Podkreślić w tym miejscu należy, że „małe prawdopodobieństwo” zaistnienia skutku w postaci naruszenia praw lub wolności osoby, której dane dotyczą, powinno być utożsamiane z sytuacją, w której oceniający posiada przesłanki pozwalające na stwierdzenie, że skutek ten nie urzeczywistni się w ogóle – a zatem wtedy, gdy mówimy o „braku ryzyka”. Warto zauważyć, że w polskiej wersji rozporządzenia 2016/679 użyto sformułowania „mało prawdopodobne”, zaś w angielskiej – terminu „unlikely”. Wyraz ten ma silniejsze znaczenie niż nasz rodzimy odpowiednik i służy do określenia czegoś, co jest raczej nieprawdopodobne, wątpliwie lub niemal niemożliwe. Warto również odwołać się w tym miejscu do Wytycznych 9/2022[1] – zwłaszcza do działu II tych Wytycznych dotyczącego art. 33 rozporządzenia 2016/679 oraz wynikającego z niego obowiązku powiadomienia organu nadzorczego. W rozdziale D tego działu EROD omówiła warunki, w których powiadomienie takie nie jest wymagane – wnikliwe przeanalizowanie treści tego rozdziału pozwala stwierdzić, że EROD stoi na stanowisku, że wyjątek z art. 33 ust. 1 rozporządzenia 2016/679 (tj. przypadek, gdy nie powstaje obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu ze względu na małe prawdopodobieństwo wystąpienia naruszenia praw lub wolności osób fizycznych) należy rozumieć wąsko – inaczej mówiąc: jako wyjątek, który znajdzie zastosowanie w sytuacjach, gdy to prawdopodobieństwo jest w sposób oczywisty małe. Z ww. wytycznych wynika, że „zgłoszenie naruszenia właściwemu organowi jest obowiązkowe, chyba że dane naruszenie najprawdopodobniej nie będzie wiązało się z ryzykiem naruszenia praw lub wolności osób fizycznych”. Oznacza to, że występująca w polskiej wersji rozporządzenia 2016/679 przesłanka „małego prawdopodobieństwa” powinna być utożsamiana z brakiem realnych szans na rzeczywistą materializację potencjalnych skutków dla osób, których dane dotyczą.
21.
Ryzyko naruszenia praw lub wolności osób fizycznych występuje wówczas, gdy naruszenie ochrony danych może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Zaznaczyć należy, że zgodnie z treścią art. 33 ust. 1 rozporządzenia 2016/679 już samo wystąpienie naruszenia ochrony danych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych zobowiązuje administratora do powiadomienia organu nadzorczego o wystąpieniu naruszenia, niezależnie od zmaterializowania się jego konsekwencji. Podobnie w przypadku art. 34 ust. 1 rozporządzenia 2016/679 – obowiązek zawiadomienia o naruszeniu ochrony danych osobowych osoby, której dane dotyczą, jest niezależny od rzeczywistego naruszenia jej praw lub wolności (zmaterializowania się określonych ryzyk związanych z tym zdarzeniem). Wynika to z samej zakładanej funkcji tego komunikatu – ma on stanowić istotny środek bezpieczeństwa wobec stwierdzonych, potencjalnych zagrożeń. Zawiadomiona o naruszeniu ochrony danych osobowych i prawidłowo poinstruowana osoba, której dane dotyczą, ma szansę podjąć działania, które pozwolą jej ochronić się przed negatywnymi konsekwencjami zdarzenia lub zminimalizować ich zakres (np. uniemożliwiając wykorzystanie w określonych celach bezprawnie pozyskanych danych).
22.
Zaprezentowane powyżej stanowisko organu nadzorczego ugruntowane zostało również w linii orzeczniczej sądów. Jak stwierdził Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 22 września 2021 r. wydanym w sprawie o sygn. II SA/Wa 791/21 (utrzymanym przez NSA wyrokiem z dnia 20 marca 2025 r., sygn. akt III OSK 210/22): „Podkreślić należy, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować. W treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” (przy czym Sąd ten podobnie orzekł w wyroku z 1 lipca 2022 r. wydanym w sprawie o sygn. akt II SA/Wa 4143/21 oraz w wyrokach z 31 sierpnia 2022 r., sygn. akt II SA/Wa 2993/21, z 15 listopada 2022 r., sygn. akt II SA/Wa 546/22 i z 26 kwietnia 2023 r., sygn. akt II SA/Wa 1272/22).
23.
Wytyczne 9/2022 EROD zawierają rekomendacje dotyczące zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu. EROD wskazując czynniki, które należy wziąć pod uwagę przy ocenie ryzyka, odsyła do motywów 75 i 76 rozporządzenia 2016/679 – akcentujących potrzebę uwzględnienia zarówno prawdopodobieństwa wystąpienia, jak i powagi zagrożenia praw lub wolności osoby, której dane dotyczą. W przypadku naruszenia ochrony danych osobowych administrator powinien skupić swoją uwagę na wynikającym z faktu naruszenia ochrony danych osobowych ryzyku wpływu takiego naruszenia na osobę fizyczną. Zatem oceniając ryzyko dla osoby fizycznej powstałe w wyniku naruszenia ochrony danych osobowych, administrator powinien wziąć pod uwagę konkretne okoliczności naruszenia, w tym dotkliwość potencjalnego wpływu oraz prawdopodobieństwo jego wystąpienia. W związku z powyższym, przy ocenie ryzyka, EROD zaleca uwzględnienie takich kryteriów, jak: rodzaj naruszenia, charakter, wrażliwość i ilość danych osobowych, a także łatwość identyfikacji, ponieważ mogą one mieć wpływ na poziom ryzyka dla osób fizycznych. Ryzyko naruszenia praw lub wolności osoby fizycznej zgodnie z Wytycznymi 9/2022 będzie większe, gdy konsekwencje naruszenia są poważniejsze, jak również wtedy, gdy wzrasta prawdopodobieństwo ich wystąpienia. Wytyczne wskazują, aby w przypadku jakichkolwiek wątpliwości administrator zgłosił naruszenie ochrony danych osobowych organowi nadzorczemu, nawet jeśli taka ostrożność mogłaby się okazać nadmierna.
24.
Co do zasady, konsekwencją stwierdzenia naruszenia ochrony danych osobowych jest więc powstanie po stronie administratora obowiązku notyfikowania go organowi nadzorczemu. Nie należy zapominać jednak o konieczności analizy zdarzenia pod kątem potencjalnego obowiązku zawiadomienia o nim osób, których dane dotyczą. Procedując zgłoszenie naruszenia ochrony danych osobowych administrator powinien pamiętać, że art. 34 ust. 1 rozporządzenia 2016/679 wymaga, aby w sytuacji, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, bez zbędnej zwłoki zawiadomić o nim osoby, których dane dotyczą. Jest to istotne z perspektywy możliwości wdrożenia odpowiednich działań zapobiegawczych, co potwierdza wprost brzmienie motywu 86 rozporządzenia 2016/679. Art. 34 ust. 1 i 2 rozporządzenia 2016/679 ma na celu nie tylko zapewnienie możliwie najskuteczniejszej ochrony podstawowych praw lub wolności podmiotów danych, ale także realizację zasady przejrzystości, która wynika z art. 5 ust. 1 lit. a) rozporządzenia 2016/679[2] .
25.
Zawiadomienie podmiotów danych o naruszeniu ochrony ich danych osobowych wiąże się z potrzebą zapewnienia im szybkiej i przejrzystej informacji o takim zdarzeniu wraz z opisem możliwych jego konsekwencji oraz środków, które mogą być podjęte w celu zminimalizowania jego ewentualnych negatywnych skutków. Mając na uwadze funkcję zawiadomienia szczególnego znaczenia nabiera określony wprost przepisami wymóg zrealizowania go w sposób dostatecznie szybki – tj. bez zbędnej zwłoki. Terminowe (niezwłoczne) wywiązanie się z obowiązku określonego w art. 34 ust. 1 rozporządzenia 2016/679 w stosunku do podmiotów, których dane zostały ujawnione, daje im bowiem realną szansę i możliwość przeciwdziałania konsekwencjom lub uniknięcia przynajmniej niektórych negatywnych następstw naruszenia ochrony danych osobowych. W tym sensie dochowanie wymogu niezwłoczności zawiadomienia jest wyrazem realizacji obowiązku prawnego, a zarazem dbałości o interesy osób, których dane dotyczą.
26.
Tym samym opóźnienie w zawiadomieniu podmiotów danych o wystąpieniu naruszenia ochrony danych osobowych należy traktować jako naruszenie obowiązków nałożonych na administratora przez unijnego prawodawcę. Nie sposób nie wspomnieć, że celem rozporządzenia 2016/679 jest zapewnienie ochrony podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych – zatem wszelkie uchybienia w zakresie prawidłowości realizacji obowiązku informacyjnego względem osób fizycznych, których dane zostały objęte incydentem bezpieczeństwa, należy klasyfikować jako godzące w ich interesy. Realizacja obowiązku zawiadomienia w sposób niezwłoczny leży przy tym również w najlepszym interesie administratora, ponieważ potencjalnie może ograniczyć zakres i wysokość roszczeń cywilnoprawnych, jakie mogą wobec niego kierować osoby, których dane dotyczą[3].
27.
Należy podkreślić, że oceny ryzyka naruszenia praw lub wolności osoby fizycznej (rzutującej na zakres obowiązków administratora) powinno się dokonać przez pryzmat osoby zagrożonej, a nie interesów administratora. Zawiadomiona o naruszeniu ochrony danych osobowych osoba fizyczna może następnie sama ocenić, czy taki incydent bezpieczeństwa może powodować dla niej negatywne konsekwencje, oszacować ich wagę i szansę zmaterializowania się oraz podjąć decyzję odnośnie do do zasadności i rodzaju działań zaradczych. W oparciu o informacje przekazane przez administratora dotyczące opisu charakteru naruszenia i środków zastosowanych lub proponowanych w celu zaradzenia naruszeniu, osoba fizyczna może również ocenić, czy w związku z zaistniałym naruszeniem i reakcją na nie, administrator danych daje rękojmię należytego przetwarzania jej danych osobowych w sposób zapewniający ich bezpieczeństwo. Brak zawiadomienia osoby fizycznej, czy nieuzasadniona zwłoka w dokonaniu tego zawiadomienia, w przypadku wystąpienia wysokiego ryzyka naruszenia praw lub wolności, pozbawiają podmiot danych możliwości odpowiedniej reakcji na naruszenie bądź mogą istotnie wpłynąć na skuteczność podejmowanych przez niego działań zabezpieczających. Zaniechania czy niezasadne opóźnienia administratora w omawianym zakresie pozbawiają także podmiot danych możliwości dokonania samodzielnej, niezwłocznej oceny naruszenia, które przecież dotyczy jego danych osobowych i może powodować dla niego poważne konsekwencje.
28.
Ponadto, podkreślić należy, że brak zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu pozbawia ten organ możliwości odpowiedniej reakcji na naruszenie. Reakcja ta jest związana z weryfikacją poprawności dokonanej przez administratora analizy ryzyka związanego z incydentem i m.in. weryfikacją działań podjętych przez niego następczo – w celu zaradzenia naruszeniu, zminimalizowania jego negatywnych skutków dla osób, których dane dotyczą, oraz środków bezpieczeństwa zastosowanych w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia.
29.
Zaprezentowane powyżej stanowisko organu nadzorczego zostało potwierdzone również w wyr. WSA w Warszawie z 26 kwietnia 2023 r., II SA/Wa 1272/22 (orzeczenie prawomocne), w którym wskazano, że cyt.: „w sytuacji, gdy na skutek naruszenia ochrony danych osobowych, wystąpiło wysokie ryzyko naruszenia praw i wolności osób fizycznych, skarżący jako administrator zobowiązany był wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy. W motywie 85 preambuły RODO wyjaśniono: «Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki». Stosując przepisy RODO, należy mieć na uwadze, że celem tego rozporządzenia (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości na przykład co do wykonania obowiązków przez administratorów - nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy opracowywaniu technicznych i organizacyjnych środków bezpieczeństwa mających im zapobiegać - należy w pierwszej kolejności brać pod uwagę te wartości. W toku dokonywania oceny, czy występują ryzyka naruszenia praw lub wolności człowieka, administrator powinien brać pod uwagę wszelkie możliwe szkody, jak i krzywdy, które mogą wyniknąć z danego zdarzenia dla osób fizycznych (tak: S. Jandt (w:) DS.-GVO..., red. J. Kühling, B. Buchner, s. 617; Y. Reif (w:) DS.-GVO..., red. P. Gola, s. 496). Mogą one w szczególności polegać na utracie kontroli nad własnymi danymi osobowymi, negatywnych konsekwencjach wizerunkowych, możliwości zawierania przez inną osobę umów z wykorzystaniem danych osobowych innej osoby fizycznej, stratach finansowych czy wreszcie negatywnym odbiorze społecznym, który może być konsekwencją upublicznienia niektórych danych osobowych. Do zaistnienia ryzyka nie jest przy tym konieczne, by ostatecznie doszło do wystąpienia szkody lub krzywdy wynikających z danego naruszenia ochrony danych osobowych (tak: jw., s. 616)”.
30.
Zgłaszanie naruszeń ochrony danych osobowych przez administratorów stanowi zatem skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Zgłaszając naruszenie organowi nadzorczemu, administratorzy informują Prezesa UODO, czy w ich ocenie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, oraz – jeśli takie ryzyko wystąpiło – czy przekazali stosowne informacje osobom fizycznym, na które naruszenie wywiera wpływ. W określonych przypadkach mogą również wskazywać na brak wymogu zawiadomienia, z uwagi na szczególne okoliczności przewidziane w art. 34 ust. 3 rozporządzenia 2016/679. Stanowisko administratora w podanym zakresie podlega weryfikacji organu nadzorczego. Warto podkreślić, że notyfikacja incydentu i kontrola prawidłowości obsługi zdarzenia dokonywana przez organ nadzorczy służy w równym stopniu interesom administratora, jak i podmiotów danych – przyczyniając się do prawidłowej realizacji omawianych obowiązków administratora oraz ochrony praw i wolności podmiotów danych.
31.
Prezes UODO weryfikuje poprawność dokonanej przez administratora oceny prawdopodobieństwa wystąpienia ryzyka związanego z naruszeniem ochrony danych osobowych i działań podjętych następczo. Zgłoszenia naruszenia ochrony danych osobowych pozwalają zatem organowi nadzorczemu na właściwą reakcję, która może w rezultacie ograniczyć skutki takich naruszeń. Niezwłoczne zawiadomienie osób fizycznych o naruszeniu służy przekazaniu im informacji na temat zaistniałego zdarzenia, związanego z nim ryzyka oraz wskazaniu działań podjętych przez samego administratora, jak i rekomendowanych podmiotom do samodzielnego podjęcia tak, aby mogły uchronić się przed potencjalnymi negatywnymi skutkami naruszenia (na tej podstawie osoby fizyczne mogą dokonać samodzielnej oceny naruszenia w kontekście możliwości materializacji negatywnych konsekwencji dla nich i podjąć decyzję odnośnie do zasadności podjęcia odpowiednich działań zaradczych – w szczególności skorzystania z rekomendacji przekazanych przez administratora).
32.
Jak wynika z powyższych rozważań, w przypadku uzyskania informacji o naruszeniu ochrony danych osobowych, punktem wyjścia do dalszych działań jest dla administratora niezwłoczne przeprowadzenie oceny ryzyka związanego z tym naruszeniem dla praw lub wolności osób fizycznych, których to naruszenie dotyczy. Ocena ta stanowi podstawę dla decyzji administratora odnośnie do konieczności realizacji obowiązków z art. 33 ust. 1 oraz 34 ust. 1 rozporządzenia 2016/679.
33.
W badanej sprawie Administrator, zapytany przez Prezesa UODO pismami z 18 grudnia 2023 r. oraz 10 stycznia 2024 r. o to, czy przeprowadził analizę ryzyka związaną z przedmiotowym zdarzeniem z punktu widzenia jego wpływu na sferę praw i wolności osób fizycznych z uwzględnieniem ujawnionych danych o zleconej procedurze medycznej, jak i o fakcie korzystania z usług podmiotu zajmującego się leczeniem (…), przedłożył organowi nadzorczemu wraz z pismem datowanym na 3 stycznia 2023 r. (data wpływu: 9 stycznia 2024 r.) dokument pt.: „(…)”, przeprowadzonej 1 września 2023 r., oraz wskazał, że cyt.: „W toku rzeczowej analizy stwierdzono, iż jest dalece mało prawdopodobnym, aby zaszła sytuacja powodowała prawdopodobieństwo naruszenia praw i wolności osób fizycznych, bowiem ujawnienie przedmiotowych danych nie spełnia którejkolwiek z przesłanek statuowanej przez motyw nr 75 RODO. W związku z powyższym odstąpiono jednocześnie od zawiadomienia o wskazanym zdarzeniu Prezesa Urzędu Ochrony Danych Osobowych”. W przekazanych wyjaśnieniach Administrator oświadczył m.in. cyt.: „Sytuacja ta [incydent] została zakwalifikowana jako naruszenie ochrony danych osobowych, o którym mowa w art. 4 pkt 12 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (…), ale powodowała niezwykle niskie prawdopodobieństwo naruszenia praw i wolności osób fizycznych”. W piśmie datowanym na 22 stycznia 2023 r. (data wpływu: 24 stycznia 2024 r., sporządzone pismo przez Administratora opatrzone błędną datą w zakresie roku) Administrator stwierdził z kolei, że wyniki przeprowadzonej analizy ryzyka oraz okoliczności związane z przedmiotowym zdarzeniem wskazują, że cyt.: „nie zachodzi ryzyko naruszenia wolności i/lub praw osób fizycznych”.
34.
Powyższa ocena dokonana przez Placówkę jest błędna. Analiza informacji zawartych w korespondencji, z której Prezes UODO powziął wiedzę o zdarzeniu (pismo Pani D. R., radcy prawnego z Kancelarii Radcy Prawnego D. R. z 13 grudnia 2023 r.; zob. pkt 2 uzasadnienia niniejszej decyzji), a także wyjaśnień samego Administratora, doprowadziła do wniosku, że ww. zdarzenie stanowi takie naruszenie poufności tych danych, które może się wiązać z wysokim ryzykiem naruszenia praw lub wolności ww. osób. Zawarte w ww. dokumencie informacje pozwalają bowiem na identyfikację osób, których dotyczą, oraz na wyciągnięcie określonych wniosków (niezależnie od tego, czy są one poprawne, czy nie) na temat stanu zdrowia podmiotów danych – zatem ich ujawnienie może się wiązać z wysokim ryzykiem wystąpienia konkretnych, negatywnych konsekwencji dla tych osób, w szczególności w postaci naruszenia ich dóbr osobistych lub dyskryminacji. Ze względu na zakres ujawnionych danych osobowych w analizowanym przypadku wystąpiła możliwość zmaterializowania się poważnych negatywnych konsekwencji dla osób, których dane dotyczą, a więc wagę potencjalnego wpływu na prawa lub wolności osób fizycznych należy uznać za wysoką. Widniejący na błędnie wysłanym potwierdzeniu przelewu tytuł, tj.: (…) [(…)], stanowi informację wskazującą, że osoby, których dane znajdowały się na ww. dokumencie, rozliczały się z Administratorem w związku z oferowaną przez niego usługą badania w kierunku (…). Jak wyjaśnił sam Administrator w piśmie datowanym na 22 stycznia 2023 r. (data wpływu: 24 stycznia 2024 r.), cyt.: „Badanie to jest jednym z elementów rozbudowanej diagnostyki (…). Badanie może być również prowadzone na (…)”. W korespondencji z 13 grudnia 2023 r. pochodzącej od pełnomocnika osoby objętej naruszeniem (zob. pkt 2 uzasadnienia niniejszej decyzji), potwierdzono z kolei (a Administrator temu nie zaprzeczył), że 27 sierpnia 2023 r. pacjentka Administratora zleciła Placówce przeprowadzenie badania cyt.: „(…)” (skorzystała z oferowanej przez ten podmiot usługi).
35.
Zgodnie z informacjami umieszczonymi na Zintegrowanej Platformie Edukacyjnej Ministerstwa Edukacji Narodowej badanie (…) umożliwia wykrycie (…) m.in. (…)[4] .
36.
Nie bez znaczenia pozostaje fakt, że ww. badanie może być przeprowadzone również na (…)[5].
37.
Warto podkreślić, że filtrując treści dostępne na stronie internetowej Placówki (tj. https://(…)) pod kątem (…), wśród wyników wyszukiwania znalazły się następujące zagadnienia (wydruk w aktach sprawy): Zlecenie badania (…), przy czym ostatnie z nich odnosi się do nieinwazyjnego przesiewowego testu (…)[6].
38.
W ocenie organu nadzorczego działanie Administratora (podmiotu świadczącego usługi w zakresie ochrony zdrowia, koncentrujące się m.in. na leczeniu (…)), polegające na nieuprawnionym ujawnieniu informacji o rozliczeniach ze wskazanymi w dokumencie potwierdzenia przelewu osobami (współwłaścicielami rachunku bankowego), dotyczących określonej (opisanej wyżej) procedury medycznej (o zwrocie należności z tytułu zlecenia badania), stanowiło naruszenie ochrony danych osobowych, które może wiązać się z istotnymi negatywnymi konsekwencjami dla tych osób i powoduje w konsekwencji wysokie ryzyko naruszenia ich praw lub wolności.
39.
Niezasadne jest w konsekwencji stanowisko Administratora odnośnie do do dopuszczalności obniżenia prawdopodobieństwa wystąpienia ryzyka związanego z ww. zdarzeniem z tego względu, że cyt.: „Z przedmiotowego potwierdzenia przelewu nie wynika podmiot poddany badaniu – w (…)”. W oczywisty sposób zawarta w tym dokumencie i ujawniona nieuprawnionemu odbiorcy informacja odnośnie do do określonej procedury medycznej może bowiem zostać powiązana z każdą z ww. osób. Analizowany incydent objął natomiast informacje odnoszące się do dwóch możliwych do zidentyfikowania osób fizycznych (współwłaścicieli rachunku bankowego, na który zwrócono należność) – zatem do tych właśnie osób należy odnieść zdarzenie i jego potencjalne negatywne konsekwencje w sferze dóbr osobistych.
40.
Podkreślić warto, że argumentacja Administratora odnosząca się do kwestii braku możliwości zidentyfikowania (w oparciu o sam błędnie przesłany dokument), kto konkretnie, i czy w ogóle poddał się określonej procedurze medycznej, w jakim celu i z jakim skutkiem, stanowi w istocie argument na rzecz poszerzenia kręgu podmiotów dotkniętych naruszeniem w istotnym stopniu (objęcia nim obydwu osób, których dane utrwalono w błędnie przesłanym dokumencie), a nie przyjęcia, że zdarzenie nie generuje dla nikogo znaczących konsekwencji. O ile bowiem nie ma podstaw, by zanegować zasadność twierdzeń Administratora, że cyt.: „(…) samo określenie w tytule (…) że zwrócono pieniądze, nie pozwala na żadne wnioski w znaczeniu tego, czy stan (…) zachodzi, a tym bardziej nie można stwierdzić w jakim wymiarze i względem których (…) fakt zlecenia badania (…) może wynikać zarówno z zaleceń lekarza (w związku z podejrzeniem wystąpienia zaburzeń) lub przezornej woli pacjenta – w celu przeprowadzenia szerszego panelu badań (…)”, to niezrozumiałym jest wyprowadzony stąd przez Administratora wniosek, że cyt.: „(…) Tym samym na podstawie zlecenia wykonania badania – bez poznania jego wyników – nie można stwierdzić ani tego kto był pacjentem, ani wyciągnąć wniosków dotyczących stanu zdrowia odbiorcy przelewu (…)”. Przeciwnie – wnioski takie bez wątpienia mogą być formułowane, mogą dotyczyć obydwu objętych naruszeniem osób i – co istotne – niezależnie od ich trafności, odnoszą się one do tych aspektów stanu zdrowia, które mają szczególny wymiar, dotyczą bowiem ściśle intymnej sfery życia.
41.
Zdaniem organu nadzorczego bezprawnie ujawniona informacja o stanie zdrowia nie musi być pełna (szczegółowa, kompletna), poprawna (prawdziwy lub błędny wynik badania), jednoznaczna, czy uzupełniona określonymi wnioskami (diagnozą), aby uznać ją za związaną z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. W niektórych przypadkach samo wskazanie charakteru, czy rodzaju procedury medycznej, z której pacjent korzystał bądź jest prawdopodobne, że korzystał (np. świadczenia w zakresie zdrowia psychicznego, czy zdrowia reprodukcyjnego), a nawet placówki medycznej, której pacjentem jest bądź była dana osoba (np. szpital psychiatryczny, podmiot specjalizujący się w udzielaniu świadczeń w zakresie opieki onkologicznej), skutkuje wysokim ryzykiem w sytuacji naruszenia poufności takich informacji.
42.
W świetle powyższego argumentacja Administratora, że cyt.: „Na podstawie informacji o przeprowadzeniu badania można najszerzej wyciągnąć tylko informację, że odbiorca przelewu rozliczał się z reprezentowanym podmiotem w zakresie wskazanego badania. Fakt, że tytuł przelewu wskazuje na "zwrot" opłaty nie identyfikuje badanej osoby, ani tego czy badanie takie w ogóle przeprowadzono, czy też czy nie doszło do przypadkowego obciążenia za takie badanie i teraz dokonywany jest zwrot (…) wskazanie beneficjenta przelewu nie determinuje tego kto jest klientem (pacjentem) placówki” pozostaje bez znaczenia w kontekście ustalenia prawdopodobieństwa ryzyka związanego ze zdarzeniem (choć – jak już wskazano – przemawia za rozszerzeniem ryzyka wystąpienia potencjalnych negatywnych konsekwencji incydentu na wszystkie osoby, których on dotyczy – w tym przypadku obydwie osoby ujawnione w potwierdzeniu zwrotu należności). Dodatkowo, rozważania Administratora dotyczące hipotetycznych trudności (po stronie nieuprawnionego odbiorcy danych) w ustaleniu rzeczywistego pacjenta palcówki oraz możliwości, że nie jest nim żadna z osób ujawnionych w potwierdzeniu przelewu, mają charakter wyłącznie teoretyczny i ujawniają w istocie słabość ww. argumentacji – jak wskazał sam Administrator, pacjentką w badanym przypadku była współwłaścicielka konta, na które dokonano zwrotu należności za badanie. Nie można również pominąć, że nieuprawniony odbiorca dokumentu zdołał skontaktować się z tą osobą i przekazać jej informację o zdarzeniu. Możliwość identyfikacji podmiotu danych objętego naruszeniem potwierdza prawidłowość oceny odnośnie do możliwości ingerencji w sferę jego dóbr osobistych.
43.
Okoliczności sprawy wskazują w sposób niewątpliwy, że incydent mógł wiązać się dla objętych nim osób (tj. pacjentki Administratora oraz jej męża) z istotną – z uwagi na charakter ujawnionych danych i okoliczności zdarzenia – dolegliwością w postaci naruszenia ich prawa do prywatności.
44.
Zaznaczenia wymaga, że prawo do prywatności jest jednym z podstawowych praw człowieka, a jego ochrona stanowi element zasadniczy systemu wartości. W przedmiotowej materii wypowiedział się również Sąd Apelacyjny w Warszawie w wyroku z 19 listopada 2019 r., sygn. akt VI ACa 397/18, wskazując, że „Prawo do prywatności w świetle regulacji konstytucyjnych ujmowane jest przede wszystkim przez pryzmat autonomii jednostki wywodzonej z godnościowej koncepcji osoby ludzkiej, stanowiącej, w świetle art. 30 Konstytucji RP, źródło wszelkich praw i wolności. Prawo do ochrony życia prywatnego, stanowiące przedmiot ochrony na gruncie art. 47 Konstytucji RP, oznacza prawo jednostki do decydowania o swoim życiu osobistym. Jednostka, jako podmiot obdarzony autonomią woli, ma prawo samodzielnie wyznaczać obszar swojej prywatności, w szczególności wytyczać granice dostępności swojego życia osobistego i informacji o nim dla innych. Prawo do prywatności w aspekcie autonomii informacyjnej jednostki oznacza uprawnienie do decydowania, które informacje jej dotyczące dostępne będą osobom trzecim”.
45.
Z przyczyn omówionych powyżej (zob. pkt 30-43 uzasadnienia niniejszej decyzji), po przeanalizowaniu przedłożonego przez Placówkę wraz z pismem datowanym na 3 stycznia 2023 r. (data wpływu: 9 stycznia 2024 r.) dokumentu pt.: „(…)”, Prezes UODO stwierdził, że przedmiotowa analiza ryzyka została przeprowadzona w sposób nieprawidłowy.
46.
Po pierwsze, Administrator w odpowiedzi na pytanie „Czy nastąpiło naruszenie danych osobowych w jednej z niżej wymienionych kategorii”, w części dotyczącej m.in. danych o stanie zdrowia, wpisał wartość „0” pomimo, że informacje zawarte w błędnie przesłanym potwierdzeniu przelewu pozwalały na formułowanie wniosków odnośnie do stanu zdrowia podmiotów danych – co najmniej na przyjęcie, że podmioty danych są klientami/pacjentami Administratora, co zresztą – jak przyznał Administrator – było faktem w odniesieniu do jednej z nich. Następnie, w rubrykach dotyczących konsekwencji / skutków naruszenia dla ryzyk takich jak: „Naruszenie dobrego imienia”, „Dyskryminacja”, „Utrata kontroli nad własnymi danymi osobowymi” Administrator przyjął wartość „0” („Ryzyko niemożliwe”) oceniając „Możliwość wystąpienia skutku (S)”, „Prawdopodobieństwo wystąpienia (P)”, jak i „Poziom ryzyka (R)”. Ocena ta jest w oczywisty sposób błędna z przyczyn szeroko omówionych wyżej.
47.
Nie sposób również nie zwrócić uwagi na niekonsekwencję Administratora, który ww. składowe analizy podsumował w następujący sposób: „WYNIK ANALIZY RYZYKA: 1 -> RYZYKO NISKIE w każdym badanym przypadku tj. nie zachodzi wysokie prawdopodobieństwo naruszenia praw i wolności osób fizycznych”, nie wyjaśniając przy tym tak określonej sumarycznej oceny składników, dla których w każdym przypadku przyjęto wartość „0”.
48.
Sporządzona przez Administratora analiza ryzyka nie uwzględniała żadnych możliwych następstw przedmiotowego naruszenia ochrony danych osobowych, w szczególności istotnych konsekwencji polegających na utracie kontroli nad własnymi danymi osobowymi oraz potencjalnym naruszeniu dobrego imienia z uwagi na ujawnienie danych dotyczących zdrowia – co świadczy o jej nierzetelności.
49.
Raz jeszcze przypomnieć należy, że pełnomocnik pacjentki skierował do Administratora pismo (zob. pkt 2 uzasadnienia niniejszej decyzji) wzywające Placówkę do zadośćuczynienia cyt.: „za doznaną szkodę niemajątkową spowodowaną naruszeniem rozporządzenia o ochronie danych osobowych (RODO) oraz naruszeniem dobra osobistego mojej Mocodawczyni w postaci prawa do prywatności”. Administrator, w momencie uzyskania wiedzy na temat sformułowanych wobec niego w podany sposób zarzutów (dotyczących rozpoznanego i zidentyfikowanego przez pacjentkę ryzyka związanego z naruszeniem dóbr osobistych) mógł i powinien rozważyć rewizję stanowiska odnośnie do możliwości wystąpienia ryzyka związanego z naruszeniem ochrony danych osobowych zajętego w ramach analizy ryzyka dokonanej 1 września 2023 r., także pod kątem konieczności zawiadomienia podmiotów danych (z uwzględnieniem tego, jaki wpływ może mieć to naruszenie na sferę praw lub wolności). Mimo powzięcia ww. informacji Placówka nie przeprowadziła powtórnej oceny naruszenia – tym samym podtrzymując swoje stanowisko ujęte w pierwotnej analizie z 1 września 2023 r..
50.
Podsumowując tę część rozważań warto przytoczyć stanowisko prezentowane w literaturze przedmiotu, że cyt.: „W rozumieniu RODO de facto każdy negatywny i obiektywny skutek naruszenia ochrony danych – od naruszenia dobrego imienia, przez straty finansowe, po utratę zdrowia – będzie stanowił naruszenie praw i wolności osoby, której dane dotyczą. Kluczową kwestią dla obowiązków, przede wszystkim administratora danych osobowych oraz potencjalnej odpowiedzialności, jest to, jak wysokie jest ryzyko (jak bardzo prawdopodobne jest), że ten skutek się zmaterializuje, w tym także charakter ryzyka – tzn. jaki skutek w ogóle może wystąpić”[7].
51.
Błędnie przeprowadzona analiza ryzyka związanego z przedmiotowym naruszeniem ochrony danych osobowych skutkowała bezpodstawnym zaniechaniem realizacji obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu wynikającego z art. 33 ust. 1 rozporządzenia 2016/679 oraz niezwłocznego zawiadomienia podmiotów danych, o którym mowa w art. 34 ust. 1 rozporządzenia 2016/679.
52.
Administrator w ramach realizacji wystąpień Prezesa UODO z 24 lutego oraz 26 marca 2025 r. zawiadomił osoby, których dane dotyczą, o fakcie naruszenia ochrony ich danych osobowych.
53.
Zawiadomienie przekazane podmiotom danych 15 kwietnia 2025 r. spełniało warunki określone w art. 34 ust. 2 w zw. z art. 33 ust. 3 lit. b), c) i d) rozporządzenia 2016/679, tj. m.in. obejmowało swoim zakresem opis możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków zastosowanych lub proponowanych przez Administratora w celu zaradzenia naruszeniu, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków – adekwatny do zakresu kategorii danych ujawnionych w wyniku zmaterializowania się przedmiotowego incydentu.
54.
Jednakże należy pamiętać, że zawiadomienie osób fizycznych powinno zawierać opis możliwych konsekwencji w odniesieniu między innymi do zakresu danych osobowych podlegających naruszeniu, nie zaś wszelkich możliwych konsekwencji. Skoro zatem wśród danych ujawnionych w wyniku naruszenia ochrony danych osobowych nie było numeru PESEL, to zbędne jest informowanie osób, których dane zostały naruszone, o konsekwencjach związanych z naruszeniem tego typu danych (cyt.: „w związku z opisanym powyżej zdarzeniem nie można wykluczyć mogących wystąpić mało prawdopodobnych, ale – w naszej ocenie – wyłącznie teoretycznie możliwych do zaistnienia, negatywnych skutków incydentu polegających na skorzystaniu przez nieuprawnioną osobę z Państwa danych np. dla przestępczego uzyskania świadczeń finansowych (pożyczek, kredytów itp.)”. Co więcej, przekazanie tym osobom informacji w tym zakresie wprowadza je w błąd co do rzeczywistych negatywnych konsekwencji naruszenia i może spowodować u nich nieuzasadnione obawy dotyczące powagi incydentu i jego znaczenia. Konsekwentnie, opis środków proponowanych do zastosowania w celu zaradzenia naruszeniu lub zminimalizowania jego ewentualnych negatywnych skutków wskazywany osobom, których dane dotyczą, również powinien zostać skorelowany z zakresem danych objętych naruszeniem i możliwymi negatywnymi konsekwencjami incydentu. Zalecenia te powinny mieć formę konkretnych i adekwatnych do danej sytuacji wskazówek, które pozwolą tym osobom podjąć działania służące ochronie ich interesów. Komunikat kierowany do osób, których dane dotyczą, musi być jasny i zrozumiały oraz zawierać spójne i logiczne zalecenia dostosowane do konkretnej sytuacji. Tylko taka informacja pozwala podmiotom danych na racjonalną ocenę znaczenia naruszenia ochrony danych osobowych i podjęcie decyzji odnośnie do zasadności zastosowania określonych środków bezpieczeństwa.
55.
Podnieść również należy, że zawiadomienie osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych, stosownie do art. 34 ust. 1 rozporządzenia 2016/679, powinno nastąpić bez zbędnej zwłoki. W oczywisty sposób nie można przyjąć, że przekazanie ww. osobom zawiadomień kolejno 14 marca oraz 15 kwietnia 2025 r. nastąpiło z poszanowaniem ww. wymogu niezwłoczności, skoro zdarzenie miało miejsce w 2023 r. (Administrator uzyskał wiedzę o jego wystąpieniu 31 sierpnia 2023 r., natomiast 1 września 2023 r. zidentyfikował przedmiotowe zdarzenie, jako naruszenie ochrony danych osobowych). Podkreślić także należy, że zawiadomienia zostały przekazane osobom, których dane dotyczą, dopiero po skierowaniu do Placówki wystąpień w tym zakresie przez Prezesa UODO.
56.
Wskazane opóźnienie w realizacji obowiązku zawiadomienia o naruszeniu ochrony danych osobowych było następstwem błędnej oceny ryzyka związanego z incydentem ze strony Administratora. W konsekwencji, zaniechał on realizacji ww. obowiązku (błędnie oceniając, że nie powstał), aż do czasu otrzymania stanowiska organu nadzorczego wyrażonego w wystąpieniach z 24 lutego oraz 26 marca 2025 r. – otrzymawszy je, niezwłocznie na nie reagował, dążąc do ich prawidłowego wykonania, a tym samym realizacji obowiązku z art. 34 ust. 1 rozporządzenia 2016/679 (co finalnie nastąpiło). W okolicznościach sprawy, mając na uwadze współpracę Placówki z organem nadzorczym w ramach prowadzonych czynności wyjaśniających oraz postępowania administracyjnego, nie ma zatem podstaw do przyjęcia, że w przypadku wcześniejszego przekazania Administratorowi stanowiska organu nadzorczego odnośnie do do oceny ryzyka związanego z niniejszym incydentem (wskazania, że naruszenie ochrony danych osobowych mogło generować wysokie ryzyko naruszenia praw lub wolności osób fizycznych), Placówka nie dokonałaby niezwłocznej realizacji obowiązku zawiadomienia podmiotów danych (co skutkowałoby faktycznie wcześniejszym ich zawiadomieniem).
57.
Niemniej jednak, podkreślić należy, że opóźniona realizacja zawiadomienia – jakkolwiek oczekiwana przez organ nadzorczy i istotna z punktu widzenia poszanowania praw podmiotów danych – nie spełnia już funkcji tak istotnej, jak w sytuacji zawiadomienia bez zbędnej zwłoki. W okresie pomiędzy zaistnieniem naruszenia ochrony danych osobowych i jego stwierdzeniem przez Administratora, a zawiadomieniem o nim pacjentki i jej męża, osoby te nie dysponowały bowiem rzetelną i pełną informacją o zdarzeniu, w tym wiedzą na temat podjętych przez Administratora działaniach zaradczych i minimalizujących ryzyko podobnych zdarzeń, ani o rekomendacjach odnośnie do do działań, które mogą podjąć samodzielnie dążąc do ochrony swoich praw. Sytuacja taka wiązała się z niepewnością odnośnie do szczegółów zdarzenia, jego potencjalnego wpływu na sferę praw i wolności podmiotów danych oraz zasadności podejmowania działań służących ich ochronie.
58.
Warto w tym miejscu zwrócić uwagę na istotne znaczenie faktu, że przepisy rozporządzenia 2016/679 statuują obowiązek notyfikacji naruszenia ochrony danych osobowych organowi nadzorczemu już w sytuacji, gdy może ono skutkować powstaniem ryzyka dla praw lub wolności osób fizycznych, podczas gdy obowiązek zawiadomienia podmiotu danych powstaje dla zdarzeń związanych potencjalnie z ryzykiem „wysokim”. Zgłoszenie naruszenia ochrony danych organowi nadzorczemu, przy jednoczesnym obowiązku współpracy pomiędzy administratorem a organem w sprawie zawiadomienia (motyw 86 rozporządzenia 2016/679) i kompetencją po stronie organu nadzorczego do rewizji prawidłowości oceny administratora (odnośnie do znaczenia incydentu i związanych z nim obowiązków notyfikacyjnych), ma istotny realny wpływ na potencjalną szybkość zawiadomienia o naruszeniu podmiotów danych. W realiach badanej sprawy, w sytuacji, gdyby Administrator zgłosił Prezesowi UODO naruszenie ochrony danych osobowych, możliwe i wysoce prawdopodobne byłoby uniknięcie sytuacji, w której zaniechano zawiadomienia podmiotów danych przez tak długi okres. To z kolei miałoby przełożenie na poziom ochrony praw lub wolności podmiotów danych.
59.
Do dnia wydania niniejszej decyzji Administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych w związku z omawianym zdarzeniem. Powyższa postawa jest niezrozumiała zwłaszcza, że w skierowanych do Administratora wystąpieniach organ nadzorczy przedstawił oraz uzasadnił odmienną ocenę ryzyka (niż prezentowana przez Placówkę) w ramach analizy zaistniałego naruszenia. Pomimo przekazanych przez Prezesa UODO wskazówek Administrator nie zdecydował się na żadne działania, które w tej sytuacji miałyby świadczyć o dążeniu do realizacji – oprócz obowiązku z art. 34 ust. 1 rozporządzenia 2016/679 – także wymogu z art. 33 ust. 1 rozporządzenia 2016/679.

Mając na uwadze powyższe rozważania należy stwierdzić, że w analizowanym przypadku wystąpiło wysokie ryzyko naruszenia praw lub wolności osób objętych przedmiotowym naruszeniem ochrony danych osobowych, co z kolei skutkowało powstaniem po stronie Placówki obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w terminie 72 godzin od chwili jego stwierdzenia oraz niezwłocznego zawiadomienia podmiotów danych o wystąpieniu naruszenia ochrony ich danych osobowych. Administrator bezzasadnie zaniechał notyfikacji naruszenia ochrony danych osobowych organowi nadzorczemu, co stanowi naruszenie art. 33 ust. 1 rozporządzenia 2016/679. Administrator pierwotnie zaniechał również zawiadomienia o naruszeniu ochrony danych osobowych podmiotów danych. Uczynił to dopiero w wykonaniu wystąpień Prezesa UODO z 24 lutego oraz 26 marca 2025 r. – pisami z 14 marca oraz 15 kwietnia 2025 r., co stanowiło naruszenie art. 34 ust. 1 rozporządzenia 2016/679 w obszarze dotyczącym terminu realizacji obowiązku określonego tym przepisem.

II. Sankcje za naruszenia art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679.

60.
Postępowanie administracyjne prowadzone przez Prezesa UODO służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej w celu zastosowania uprawnień naprawczych określonych w art. 58 ust. 2 rozporządzenia 2016/679.
61.
Na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679 Prezes UODO w ramach swoich uprawnień naprawczych może udzielić upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia przez operacje przetwarzania. Zgodnie z Motywem 148 rozporządzenia 2016/679, aby egzekwowanie przepisów rozporządzenia 2016/679 było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, można zamiast tego udzielić upomnienia. Powinno się jednak zwrócić uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
62.
Zgodnie z art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast środków naprawczych, o których mowa w art. 58 ust. 2 lit. a) – h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy.
63.
Wedle art. 83 ust. 4 lit. a) rozporządzenia 2016/679 naruszenia przepisów kształtujących obowiązki administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 – 39 oraz 42 i 43, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego r. obrotowego, przy czym zastosowanie ma kwota wyższa.
64.
Oceniając, czy, a jeśli tak, to w jakim wymiarze powinna być nałożona administracyjna kara pieniężna, organ nadzorczy ma obowiązek uwzględnić następujące okoliczności (przesłanki wymiaru kary) określone w art. 83 ust. 2 rozporządzenia 2016/679:
a)
charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody,
b)
umyślny lub nieumyślny charakter naruszenia,
c)
działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
d)
stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32,
e)
wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego,
f)
stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,
g)
kategorie danych osobowych, których dotyczyło naruszenie,
h)
sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie,
i)
jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 - przestrzeganie tych środków,
j)
stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42,
k)
wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.
65.
Ponadto organ nadzorczy – zgodnie z art. 83 ust. 1 rozporządzenia 2016/679 – zapewnia by stosowane administracyjne kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające (zasady wymiaru kary).
66.
Art. 83 ust. 3 rozporządzenia 2016/679 stanowi natomiast, że jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów rozporządzenia 2016/679, całkowita wysokość administracyjnej kary pieniężnej nie przekroczy wysokości kary za najpoważniejsze naruszenie.

1. Zachowania prowadzące do naruszeń art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679 – zastosowanie art. 83 ust. 3 rozporządzenia 2016/679.

67.
Ustalając konkretne sankcje za stwierdzone w niniejszej sprawie naruszenia przepisów art. 33 ust. 1 oraz art. 34 ust. 1 rozporządzenia 2016/679 Prezes UODO ocenił, czy do oceny sprawy zastosowanie będzie miał art. 83 ust. 3 rozporządzenia 2016/679 (zob. pkt 17 Wytycznych 04/2022[8]). Zgodnie z Wytycznymi 04/2022, w pierwszej kolejności Prezes UODO podjął próbę udzielenia odpowiedzi na następujące pytania (zob. pkt 24 Wytycznych 04/2022):
a)
czy okoliczności wskazują na jedno zachowanie, czy też na wiele zachowań podlegających karze;
b)
w przypadku jednego zachowania, czy zachowanie to stanowi jedno naruszenie czy większą liczbę naruszeń;
c)
w przypadku jednego zachowania, które stanowi wiele naruszeń, czy przypisanie jednego naruszenia wyklucza przypisanie innego naruszenia, czy też należy je przypisać równolegle.
68.
Wykładnia pojęcia „jednego zachowania” została poruszona – w nawiązaniu do art. 83. ust. 3 rozporządzenia 2016/679, w którym mowa jest o „tych samych lub powiązanych operacjach przetwarzania” – w pkt 28 Wytycznych 04/2022. Zgodnie z nim „[t]ermin «powiązane» odnosi się do zasady, zgodnie z którą jedno zachowanie może składać się z kilku części, które są realizowane na skutek jednego aktu woli i są kontekstowo (w szczególności jeśli chodzi o tożsamość osoby, której dane dotyczą, cel i charakter przetwarzania), przestrzennie i czasowo tak blisko powiązane, że z obiektywnego punktu widzenia można uznać je za jedno spójne zachowanie”.
69.
Odnosząc powyższe do niniejszej sprawy należy przyjąć, że przedmiotowe zachowania nie stanowią tych samych ani powiązanych operacji przetwarzania w rozumieniu art. 83 ust. 3 rozporządzenia 2016/679. Przede wszystkim naruszenie art. 33 ust. 1 polega na niezgłoszeniu przez administratora bez zbędnej zwłoki, lecz nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, naruszenia ochrony danych osobowych organowi nadzorczemu. Natomiast naruszenie art. 34 ust. 1 polega na niezawiadomieniu bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia ich praw lub wolności. Omawiane zachowania stanowią zaniechania realizacji obowiązków administratora nałożonych na niego rozporządzeniem 2016/679, które to obowiązki nie mają już związku z żadnymi konkretnymi operacjami przetwarzania; są „oderwane” od operacji, w związku z którymi stwierdzone zostało naruszenie ochrony danych osobowych. Oznacza to, że w swojej istocie zachowania te (i obowiązki, których niewykonanie prowadzi do naruszenia obu omawianych przepisów) nie dotyczą żadnych (ani tych samych, ani powiązanych, ani też niezależnych od siebie) operacji przetwarzania. Stosując terminologię zastosowaną w art. 83 ust. 3 rozporządzenia 2016/679 stwierdzić należy, że zachowania te nie mają miejsca (co wynika z istoty naruszeń przepisów art. 33 i 34 rozporządzenia 2016/679) „w ramach tych samych lub powiązanych operacji przetwarzania”.
70.
Administrator dokonując błędnej analizy ryzyka doprowadził do naruszenia art. 33 ust. 1 oraz art. 34 ust. 1 rozporządzenia 2016/679 (zob. pkt 45 i 51 uzasadnienia niniejszej decyzji). Oznacza to, że analiza ryzyka doprowadziła do podjęcia przez Administratora dwóch decyzji (odrębnych aktów woli), czyli decyzji o zaniechaniu zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych oraz odrębnej decyzji o zaniechaniu zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych. Świadczy o tym chociażby fakt, że adresatami tych obowiązków (podmiotami, wobec których skierowane powinny być działania Administratora) są dwa różne podmioty (kategorie podmiotów); w przypadku obowiązku, o którym mowa w art. 33 ust. 1 rozporządzenia 2016/679 jest nim organ nadzorczy, a w przypadku obowiązku z art. 34 ust. 1 ww. aktu prawnego są nim osoby, których dane dotyczą.
71.
Omawiane zachowania (zaniechania, których źródłem były dwie odrębne decyzje Administratora) nie są również kontekstowo ze sobą powiązane, a świadczy o tym:
a)
cel – zgłoszenie naruszenia ochrony danych osobowych ma zapewnić organowi nadzorczemu niezbędne informacje na temat powstałego naruszenia ochrony danych osobowych, dzięki czemu organ może w odpowiedni sposób zareagować na przedmiotowe naruszenie, np. ocenić, czy administrator podjął właściwe działania i dzięki temu administrator, we współpracy z organem nadzorczym, może zminimalizować konsekwencje tego naruszenia[9]. Oznacza to, że za pomocą mechanizmu określonego w art. 33 ust. 1 rozporządzenia 2016/679 administrator może ograniczyć potencjalne szkody po stronie osób, objętych danym naruszeniem, a organ nadzorczy ma możliwość monitorowania, czy administrator w sposób właściwy realizuje swoje obowiązki. Natomiast celem zawiadomienia osób, których dane dotyczą jest dostarczenie istotnych informacji o zdarzeniu oraz o rekomendowanych środkach ostrożności, co może ograniczyć powstanie potencjalnych szkód wywołanych danym naruszeniem[10]. Wobec tego, osoby objęte danym naruszeniem są świadome jego skutków oraz mają możliwość podjęcia stosownych działań, które mogą zapobiec materializacji, bądź dalszemu rozwojowi przedstawionych przez administratora konsekwencji naruszenia. W konsekwencji: art. 34 ust. 1 rozporządzenia 2016/679 chroni bezpośrednio prawa i interesy faktyczne podmiotów danych (pozwalając zapobiec negatywnym skutkom naruszenia ochrony ich danych osobowych), natomiast art. 33 ust. 1 rozporządzenia 2016/679 zapewnia lub ułatwia realizację kompetencji i uprawnień kontrolnych organu nadzorczego (w postaci monitorowania, czy administrator w sposób właściwy realizuje swoje obowiązki z zakresu ochrony danych osobowych).
b)
kontekst czasowy – realizacja obowiązku określonego w art. 33 ust. 1 rozporządzenia 2016/679 powinna nastąpić w miarę możliwości bez zbędnej zwłoki, ale nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. W przypadku art. 34 ust. 1 termin ten został określony również jako „bez zbędnej zwłoki”, lecz nie został ograniczony limitem 72 godzin od momentu stwierdzenia naruszenia. W Wytycznych 9/2022 termin „bez zbędnej zwłoki” został zdefiniowany jako „(…) [n]ajszybciej jak to możliwe” (zob. pkt 83 Wytycznych 9/2022). Natomiast nie oznacza on terminu natychmiastowego[11]. Zgodnie z motywem 87 rozporządzenia 2016/679, w przypadku art. 34 ust. 1 rozporządzenia 2016/679 termin ten należy ustalić z uwzględnieniem, w szczególności charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutków dla osób, których dane dotyczą. Oznacza to, że termin ten powinien być możliwy do wykonania przez administratora, najszybciej jak to możliwe, lecz przy uwzględnieniu indywidualnych znamion konkretnego naruszenia ochrony danych osobowych. Wobec tego termin realizacji omawianych obowiązków może być tożsamy, ale nie musi, ponieważ zależny jest od indywidualnych cech konkretnej sprawy, oraz tego, czy wystąpiło naruszenie, które może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Należy jednak w tym miejscu podkreślić, że realizacja jednego z powyższych obowiązków nie świadczy o spełnieniu drugiego, ponieważ są to dwie odrębne decyzje (akty woli) administratora (zob. pkt 70 uzasadnienia niniejszej decyzji). Odnosząc powyższe do stanu faktycznego niniejszej sprawy należy wskazać, że naruszenie przepisu art. 34 ust. 1 rozporządzenia 2016/679 trwało do 15 kwietnia 2025 r., czyli do momentu, w którym Administrator w sposób prawidłowy zawiadomił osoby, których dane dotyczą o powstałym naruszeniu. Natomiast naruszenie przepisu art. 33 ust. 1 rozporządzenia 2016/679 nie zostało usunięte przez Administratora, bowiem Placówka nie podjęła żadnych działań prowadzących do usunięcia naruszenia tego przepisu.
72.
Powyższe rozważania prowadzą do wniosku, że do naruszeń obu omawianych przepisów rozporządzenia 2016/679 doprowadziły dwa odrębne zachowania, które powstały w wyniku dwóch odrębnych aktów woli Administratora, a zatem w niniejszej sprawie nie będzie miał zastosowania art. 83 ust. 3 rozporządzenia 2016/679. Mając na uwadze stan faktyczny niniejszej sprawy Prezes UODO uznał, że naruszenie przepisu art. 33 ust. 1 ma znaczną wagę i poważny charakter (szerzej pkt 74-76 uzasadnienia niniejszej decyzji), w związku z czym w tym zakresie za zasadne uznał zastosowanie sankcji w postaci nałożenia na Placówkę administracyjnej kary pieniężnej. Natomiast naruszenie przepisu art. 34 ust. 1 rozporządzenia 2016/679 w niniejszych okolicznościach sprawy Prezes UODO ocenił jako niewielkie (szerzej pkt 94 i 95 uzasadnienia niniejszej decyzji) i dlatego też zastosował w tym zakresie sankcję w postaci upomnienia.

2. Administracyjna kara pieniężna za naruszenie art. 33 ust. 1 rozporządzenia 2016/679.

Przesłanki wymiaru administracyjnej kary pieniężnej.

73.
Decydując o nałożeniu administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) – k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w sprawie tego rodzaju sankcji oraz jednocześnie wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:
74.
Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania (art. 83 ust. 2 lit. a) rozporządzenia 2016/679).
Placówka dokonała naruszenia obowiązku określonego w art. 33 ust. 1 rozporządzenia 2016/679 poprzez zaniechanie zgłoszenia Prezesowi UODO naruszenia ochrony danych osobowych. Obowiązek ten jest ściśle związany z systemem mającym na celu ochronę jednego z podstawowych praw osoby fizycznej, którym jest prawo do ochrony jej danych osobowych, czy też szerzej – do ochrony jej prywatności. Istotnym elementem tego systemu, którego ramy określone zostały przepisami rozporządzenia 2016/679, są organy nadzorcze, na które nałożone zostały zadania związane z ochroną i egzekwowaniem praw osób fizycznych w tym zakresie. W przypadku art. 33 ust. 1 rozporządzenia 2016/679 organy nadzorcze za pomocą mechanizmu zgłoszenia naruszenia ochrony danych osobowych są w stanie w odpowiedni sposób zareagować na zgłoszone naruszenie, np. poprzez ocenę, czy administrator w sposób prawidłowy dokonał analizy wpływu naruszenia na prawa lub wolności osób, których dane objęte są naruszeniem, a w konsekwencji, czy występuje wysokie ryzyko naruszenia praw lub wolności tych osób i zachodzi konieczność zawiadomienia o naruszeniu ich danych. W niniejszej sprawie Prezes UODO pozbawiony został takiej możliwości, ponieważ Administrator przeprowadził błędną analizę ryzyka (zob. pkt 45 uzasadnienia niniejszej decyzji), której wynik doprowadził do niezgłoszenia naruszenia ochrony danych osobowych oraz do znacznego opóźnienia w realizacji obowiązku określonego w art. 34 ust. 1 rozporządzenia 2016/679. Powyższe świadczy o tym, że stwierdzone w tym zakresie naruszenie ma znaczną wagę i poważny charakter, ponieważ mechanizm zgłaszania naruszeń ochrony danych osobowych stanowi skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych.
Naruszenie przepisu art. 33 ust. 1 rozporządzenia 2016/679 trwa od momentu upływu 72 godzin od stwierdzenia naruszenia ochrony danych osobowych, które miało miejsce w dniu 1 września 2023 r. (zob. pkt 9 i 33 uzasadnienia niniejszej decyzji), i nie zostało do chwili obecnej przez Placówkę usunięte.
75.
Umyślny lub nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679).
Dokonując oceny niniejszej przesłanki, Prezes UODO wziął pod uwagę przeprowadzoną przez Administratora analizę ryzyka (zob. pkt 9 i 33 uzasadnienia niniejszej decyzji) oraz przebieg niniejszego postępowania. Placówka po raz pierwszy otrzymała od organu nadzorczego informację, w ramach wystąpienia z dnia 24 lutego 2025 r., że w jego ocenie incydent z 31 sierpnia 2023 r. „(…) stanowi naruszenie poufności danych, które wiąże się z wysokim ryzykiem naruszenia praw lub wolności osoby fizycznej” (zob. pkt 8 i 38 uzasadnienia niniejszej decyzji). Oznacza to, że od momentu doręczenia tego pisma, Administrator miał wiedzę na temat błędnie przeprowadzonej analizy ryzyka, a co za tym idzie miał świadomość, że nie wypełnił obowiązków, które zostały nałożone na niego rozporządzeniem 2016/679. Jednym z nich jest obowiązek zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych. Administrator otrzymując wystąpienie, w którym Prezes UODO ocenił, że powstałe w organizacji naruszenie powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych oraz zobowiązał go do zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych, powinien być świadomy naruszenia art. 33 ust. 1 rozporządzenia 2016/679. Skoro Administrator był zobowiązany do zawiadomienia osób, których dane dotyczą, to tym bardziej ciążył na nim obowiązek zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych. Obowiązek ten materializuje się w sytuacji, gdy prawdopodobne jest, aby naruszenie skutkowało ryzykiem naruszenia praw lub wolności podmiotów danych. W niniejszym stanie faktycznym Prezes UODO ocenił ryzyko jako wysokie, co świadczy o tym, że Administrator dokonał jego błędnej oceny, przyjmując je jako mało prawdopodobne. W związku z powyższym, do momentu doręczenia wystąpienia z 24 lutego 2025 r. należy przyjąć nieumyślny charakter naruszenia z uwagi na brak zamiaru jego spowodowania, pomimo niedopełnienia przez Administratora obowiązku staranności wymaganego prawem (zob. pkt 55 Wytycznych 04/2022). Natomiast od momentu powzięcia przez Administratora informacji o błędnej ocenie ryzyka naruszenia praw lub wolności osób fizycznych, czyli od dnia doręczenia wystąpienia z 24 lutego 2025 r. (26 lutego 2025 r.) do momentu wydania niniejszej decyzji naruszenie to przyjęło umyślny charakter.
76.
Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679).
Administrator, pomimo kierowanej do niego korespondencji, wskazującej na wysokie ryzyko naruszenia praw lub wolności osób fizycznych, których dotyczyło naruszenie ochrony danych osobowych, nie podjął oczekiwanych i prawidłowych w świetle art. 33 ust. 1 rozporządzenia 2016/679 działań, czyli nie zgłosił naruszenia ochrony danych osobowych organowi nadzorczemu. Oznacza to, że stopień współpracy Administratora z organem nadzorczym w celu usunięcia naruszenia art. 33 ust. 1 rozporządzenia 2016/679 oraz złagodzenia jego ewentualnych skutków należy ocenić jako niezadawalający, co stanowi okoliczność obciążającą podczas ustalania wysokości administracyjnej kary pieniężnej.
77.
Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy niemające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
78.
Wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e) rozporządzenia 2016/679).
Prezes UODO nie stwierdził po stronie Administratora jakichkolwiek wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. Obowiązkiem każdego administratora jest przestrzeganie przepisów prawa, a zatem brak wcześniejszych naruszeń nie może być również okolicznością łagodzącą przy wymierzaniu sankcji.
79.
Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator zgłosił naruszenie (art. 83 ust. 2 lit. h) rozporządzenia 2016/679).
Prezes UODO nie został poinformowany o naruszeniu ochrony danych osobowych zgodnie z przewidzianą dla takich sytuacji procedurą określoną w art. 33 rozporządzenia 2016/679. O naruszeniu ochrony danych osobowych polegającym na wysłaniu nieuprawnionemu odbiorcy potwierdzenia przelewu należności uregulowanej za określone badanie, Prezes UODO został poinformowany przez pełnomocnika osoby, której dane były objęte tym naruszeniem, pismem z 1 grudnia 2023 r. (zob. pkt 2 uzasadnienia niniejszej decyzji). Brak zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych jest przedmiotem niniejszego postępowania i w okolicznościach rozważanego stanu faktycznego Prezes UODO przyjął, że przesłanki tej nie potraktuje jako okoliczności obciążającej, ponieważ stanowi ona o istocie omawianego naruszenia.
80.
Jeżeli wobec administratora, którego sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków (art. 83 ust. 2 lit. i) rozporządzenia 2016/679).
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Administratora w rozpatrywanej sprawie środków określonych w art. 58 ust. 2 rozporządzenia 2016/679. Oznacza to, że Administrator nie miał obowiązku podejmowania jakichkolwiek działań związanych ze stosowaniem tychże środków. W odmiennej sytuacji, organ nadzorczy poddałby ocenie takie działania, które mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
81.
Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na moc art. 42 (art. 83 ust. 2 lit. j) rozporządzenia 2016/679).
Administrator nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Przyjęcie powyższych środków, wdrożenie oraz stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratora. Oznacza to, że okoliczność ich niestosowania nie może być poczytywana na jego niekorzyść. Odmienna sytuacja miałaby miejsce, gdyby Administrator przyjął i stosował tego rodzaju instrument, który gwarantuje wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych. W takim przypadku okoliczność ta mogłaby być oceniona na jego korzyść.
82.
Wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięcie straty (art. 83 ust. 2 lit. k) rozporządzenia 2016/679).
Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej. Nie stwierdził, żeby Administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej.
83.
Pozostałe okoliczności wymienione w art. 83 ust. 2 rozporządzenia 2016/679 nie mogły być wzięte pod uwagę przez Prezesa UODO ze względu na istotę tego naruszenia (dotyczącego relacji administratora z organem nadzorczym, a nie z osobami, których dane dotyczą). Są to:
a)
liczba poszkodowanych osób i rozmiar poniesionej przez nie szkody (art. 83 ust. 2 lit. a) rozporządzenia 2016/679) – ze względu na to, że naruszenie polegające na niezgłoszeniu naruszenia ochrony danych osobowych Prezesowi UODO stanowi zaniechanie obowiązków, które administrator był zobowiązany spełnić wobec organu nadzorczego. Oznacza to, że w swojej istocie nie dotyczy ono podmiotów danych, a więc nie może ze swej natury spowodować powstania szkód po ich stronie
b)
działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust 2 lit. c) rozporządzenia 2016/679) – ze względu na istotę naruszenia, która nie może wiązać się z powstaniem szkód po stronie osób fizycznych. Ponieważ wskutek naruszenia nie powstają żadne szkody po stronie podmiotów danych, brak jest możliwości podjęcia przez administratora działań, które te szkody miałyby zminimalizować, a które to działania mogłyby podlegać ocenie organu nadzorczego jako okoliczności łagodzące lub obciążające.
c)
stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d) rozporządzenia 2016/679) – ze względu na to, że naruszenie w samej swojej istocie nie wiąże się ze środkami technicznymi i organizacyjnymi wdrożonymi przez administratora w celu zapewnienia ochrony danych osobowych oraz bezpieczeństwa ich przetwarzania;
d)
kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679) – ze względu na to, że naruszenie w samej istocie nie dotyczy żadnych danych osobowych, a tym samym żadnych ich kategorii. Polega ono bowiem na niespełnieniu (wobec organu nadzorczego) obowiązku oderwanego od jakichkolwiek operacji przetwarzania.

Ustalenie wysokości administracyjnej kary pieniężnej według Wytycznych 04/2022.

84.
Jako podstawę wyjściową do obliczenia administracyjnej kary pieniężnej Prezes UODO przyjął wartość obrotu Placówki za rok 2024 przedstawioną w sprawozdaniu finansowym za rok 2024 załączonym do pisma z 23 maja 2025 r. Zgodnie z tym dokumentem obrót spółki w r. 2024 wyniósł (…) PLN, co – w przeliczeniu na euro (wg średniego kursu euro z 28 stycznia 2025 r. wynoszącego 1 EUR = 4,2092 PLN – przyjętego dla tego oraz dla wszelkich innych poniższych przeliczeń walutowych zgodnie z art. 103 ustawy z 10 maja 2018 r.) – stanowi kwotę (…) EUR.
85.
Zgodnie z przedstawionymi w Wytycznych 04/2022 wskazówkami Prezes UODO dokonał kategoryzacji stwierdzonego w niniejszej sprawie naruszenia przepisu rozporządzenia 2016/679 (zob. Rozdział 4.1 Wytycznych 04/2022). Stwierdzone w niniejszej sprawie naruszenie przepisu art. 33 ust. 1 rozporządzenia 2016/679 należy – zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą niższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 10 000 000 EUR lub do 2% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego r. obrotowego). Zostało więc ono in abstracto (w oderwaniu od indywidualnych okoliczności konkretnej sprawy) uznane przez prawodawcę unijnego za mniej poważne niż naruszenia wskazane w art. 83 ust. 5 i 6 rozporządzenia 2016/679.
86.
Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o niskim poziomie powagi (zob. Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które dotyczą strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679) oraz umyślny lub nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679). Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679) nie zostały wzięte pod uwagę ze względu na charakter naruszenia (dotyczącego relacji administratora z organem nadzorczym, a nie z osobami, których dane dotyczą). Szczegółowa ocena tych okoliczności przedstawiona została powyżej (zob. pkt 74, 75 oraz 83 lit. d) uzasadnienia niniejszej decyzji). W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest niski. Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 0% do 10% maksymalnej wysokości kary możliwej do orzeczenia wobec Administratora (zob. Podrozdział 4.2.4 Wytycznych 04/2022). Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę 500 000,00 EUR (równowartość 2 104 600,00 PLN).
87.
Prezes UODO dostosował kwotę wyjściową, odpowiadającą niskiej powadze stwierdzonego naruszenia, do obrotu Placówki jako miernika jej wielkości i siły gospodarczej. Stosownie do wskazówek Europejskiej Rady Ochrony Danych przedstawionych w rozdz. 4.3 pkt 65 Wytycznych 04/2022, w przypadku przedsiębiorstw, których roczny obrót, jak w przedmiotowej sprawie, wynosi od 10 do 50 mln EUR, organ nadzorczy może rozważyć dokonanie dalszych obliczeń wysokości kary na podstawie wartości mieszczącej się w przedziale od 1,5 do 10% kwoty wyjściowej. Biorąc pod uwagę obrót (przychód) Administratora w 2024 r. (zob. pkt 84 uzasadnienia niniejszej decyzji), Prezes UODO za stosowne uznał skorygowanie podlegającej obliczeniom kwoty kary do wartości odpowiadającej 3,5% kwoty wyjściowej, to jest do kwoty 17 500,00 EUR (równowartość 73 661,00 PLN).
88.
Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (zob. Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się – jak zakładają Wytyczne 04/2022 – do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej (zob. pkt 76-83 uzasadnienia niniejszej decyzji). Prezes UODO mając na względzie powagę naruszenia uznał, że okolicznością obciążającą w niniejszej sprawie jest stopień współpracy w celu usunięcia naruszenia (art. 83 ust. 2 lit. f) rozporządzenia 2016/679). Organ nadzorczy przeprowadzając analizę w niniejszej sprawie nie uwzględnił żadnej okoliczności łagodzącej, mającej wpływ na obniżenie wymiaru sankcji. Ze względu na zaistnienie w sprawie okoliczności obciążającej, Prezes UODO oceniając jej wpływ na stwierdzone naruszenie, uznał za zasadne zwiększenie o 10% ustalonej wyżej kwoty kary (zob. pkt 87 uzasadnienia niniejszej decyzji) – do kwoty 19 250 EUR (równowartość 81 027,10 PLN).
89.
Prezes UODO uznał, że ustalona zgodnie z powyższymi zasadami wysokość kary wymaga dodatkowej korekty ze względu na skuteczność, zasadę proporcjonalności i odstraszający charakter (art. 83 ust. 1 rozporządzenia 2016/679). Pomimo tego, że ustalona zgodnie z powyższymi zasadami kwota kary nie przekracza prawnie określonego maksimum kary Prezes UODO uznał, że wymaga ona dodatkowej korekty ze względu na zasadę proporcjonalności wymienioną w art. 83 ust. 1 rozporządzenia 2016/679 jako jedną z trzech dyrektyw wymiaru kary (zob. Rozdział 7 Wytycznych 04/2022). Niewątpliwie kara pieniężna stanowiąca równowartość 19 250 EUR byłaby karą skuteczną (przez swoją dolegliwość pozwoliłaby osiągnąć swój cel represyjny, którym jest ukaranie za bezprawne zachowanie) i odstraszającą (pozwalającą skutecznie zniechęcić zarówno Placówkę, jak i innych administratorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679). Kara taka byłaby jednak – w ocenie Prezesa UODO – karą nieproporcjonalną ze względu na swoją nadmierną dolegliwość. Zasada proporcjonalności wymaga, bowiem m.in., by przyjęte przez organ nadzorczy środki nie wykraczały poza to, co odpowiednie i konieczne do realizacji uzasadnionych celów (zob. pkt 137 i139 Wytycznych 04/2022). Innymi słowy: „Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku”[12]. Mając, więc na uwadze wzgląd na proporcjonalność kary, Prezes UODO dokonał dalszego obniżenia wysokości kary o równowartość 50% kwoty uzyskanej po uwzględnieniu okoliczności obciążających (zob. pkt 88 powyżej), to jest do kwoty 9 625,00 EUR (równowartość 40 513,55 PLN). W jego ocenie takie określenie ostatecznej wysokości orzeczonej kary nie wpłynie na obniżenie jej skuteczności i odstraszającego charakteru. Kwota ta, bowiem stanowi próg, powyżej którego dalsze zwiększenie wysokości kary nie będzie wiązało się ze wzrostem jej skuteczności i odstraszającego charakteru. Z drugiej strony natomiast obniżenie w większym stopniu wysokości kary mogłoby się odbyć kosztem jej skuteczności i odstraszającego charakteru, a także spójnego stosowania i egzekwowania rozporządzenia 2016/679 i zasady równego traktowania podmiotów na rynku wewnętrznym UE i EOG.
90.
Uwzględniając wszystkie omówione wyżej okoliczności, Prezes UODO uznał, że nałożenie na Placówkę administracyjnej kary pieniężnej jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanego jej naruszenia przepisu art. 33 ust. 1 rozporządzenia 2016/679. Stwierdzić należy, że zastosowanie jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b) rozporządzenia 2016/679), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości oraz nie gwarantowałoby tego, że Administrator w przyszłości nie dopuści się kolejnych zaniedbań.
91.
W ocenie Prezesa UODO, zastosowana kara pieniężna w wysokości 40 514 PLN (słownie: czterdziestu tysięcy pięciuset czternastu złotych) za stwierdzone niniejszą decyzją naruszenie art. 33 ust. 1 rozporządzenia 2016/679, spełnia w ustalonych okolicznościach niniejszej sprawy funkcje o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. będzie w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Zdaniem Prezesa UODO nałożona na Placówkę administracyjna kara pieniężna będzie skuteczna, ponieważ doprowadzi do stanu, w którym Placówka w przyszłości będzie wywiązywała się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu. Oznacza to, że skuteczność kary równoważna jest zatem gwarancji tego, że Administrator od momentu zakończenia niniejszego postępowania będzie z najwyższą starannością podchodzić do wymogów stawianych przez przepisy o ochronie danych osobowych.
92.
Zastosowana administracyjna kara pieniężna jest również proporcjonalna do stwierdzonego naruszenia przepisu art. 33 ust. 1 rozporządzenia 2016/679, bowiem została określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków Administratora, nie powodując z drugiej strony sytuacji, w której konieczność jej uiszczenia pociągnie za sobą negatywne następstwa w postaci istotnego pogorszenia sytuacji finansowej Placówki. Nałożona na Administratora kara pieniężna stanowi ok. (…)% całkowitego obrotu Placówki za 2024 r. Jednocześnie warto podkreślić, że kwota nałożonej administracyjnej kary pieniężnej to jedynie 0,096% maksymalnej wysokości kary, którą Prezes UODO mógł, zgodnie z art. 83 ust. 4 rozporządzenia 2016/679, nałożyć na Administratora za stwierdzone w niniejszej sprawie naruszenie. Zważywszy na przedstawione wyniki finansowe (w tym osiągnięty przez Placówkę w r. 2024 zysk netto w kwocie (…) PLN), stwierdzić należy, że orzeczona administracyjna kara pieniężna nie będzie dla Administratora nadmiernie dotkliwa. W ocenie Prezesa UODO spełni także funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Administratora przepisu rozporządzenia 2016/679, ale i prewencyjną, przyczyniając się do zapobiegania w przyszłości naruszeniom obowiązków administratora wynikających z przepisów o ochronie danych osobowych.
93.
Stosownie do treści art. 103 ustawy z 10 maja 2018 r., równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego r., a w przypadku, gdy w danym r. Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego. Mając na uwadze powyższe, Prezes UODO na podstawie art. 83 ust. 4 lit. a) w związku z art. 103 ustawy z 10 maja 2018 r., za naruszenie art. 33 ust. 1 rozporządzenia 2016/679 nałożył na Placówkę – stosując średni kurs euro z dnia 28 stycznia 2025 r. (1 EUR = 4,2092 PLN) – administracyjną karę pieniężną w kwocie 40 514 PLN (co stanowi równowartość 9 625,00 EUR).
3.
Upomnienie za naruszenie art. 34 ust. 1 rozporządzenia 2016/679.
94.
Odnosząc art. 58 ust. 2 lit. b) oraz Motywu 148 rozporządzenia 2016/679 do ustalonego w niniejszej sprawie stanu faktycznego stwierdzić należy, że Administrator nie zawiadamiając niezwłocznie podmiotów danych o naruszeniu ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia ich praw lub wolności, naruszył obowiązek wynikający z art. 34 ust. 1 rozporządzenia 2016/679. Jednakże Prezes UODO uznał, że w ustalonych okolicznościach sprawy, naruszenie to jest niewielkie i udzielenie Administratorowi upomnienia jest środkiem wystarczającym. Przemawia za tym fakt, że przedmiotowe naruszenie było jednorazowym zdarzeniem, które zostało niezwłocznie przez Administratora usunięte po zastosowaniu wobec niego środka określonego w art. 52 ustawy z 10 maja 2018 r. Należy podkreślić, że celem wystąpienia Prezesa UODO jest zapewnienie skutecznej ochrony danych osobowych, co zostało osiągnięte w momencie, w którym Placówka niezwłocznie po doręczeniu wystąpienia zawiadomiła osoby, których dane podlegały naruszeniu ochrony danych osobowych. Ponadto przedmiotowe naruszenie dotyczyło stosunkowo niewielkiej liczby osób (2 osoby) i miało nieumyślny charakter, bowiem Administrator błędnie oceniając ryzyko powstałego naruszenia ochrony danych osobowych nie miał zamiaru spowodować naruszenia przepisu art. 34 ust. 1. Takie zachowanie kwalifikuje się jako niedopełnienie obowiązku staranności wymaganego prawem (zob. pkt 55 Wytycznych 04/2022).
95.
W świetle powyższego stwierdzić należy, że administracyjna kara pieniężna byłaby środkiem nadmiarowym, ponieważ Prezes UODO za pomocą wystąpienia osiągnął swój podstawowy cel, jakim jest zapewnienie skutecznej ochrony danych osobowych. Niewątpliwie Administrator dokonał zwłoki podczas realizacji obowiązku wynikającego z art. 34 ust. 1, co stanowi o naruszeniu przepisów rozporządzenia 2016/679 i wymaga reakcji organu nadzorczego. Jednakże jego zachowanie nie jest – w ocenie Prezesa UODO – wyrazem lekceważącego, czy też celowo naruszającego przepisy, systemowego jego podejścia do ochrony przetwarzanych przez siebie danych osobowych. W związku z powyższym udzielenie upomnienia w ocenie Prezesa UODO stanowi adekwatny środek naprawczy, który zapewni także, aby w przyszłości podobne zdarzenia nie miały miejsca. Niemniej jednak, gdyby podobne naruszenie ww. przepisu prawa powtórzyło się w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Administratora będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia administracyjnej kary pieniężnej, zgodnie z zasadami określonymi w art. 83 ust. 2 rozporządzenia 2016/679.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
[1] Wytyczne Europejskiej Rady Ochrony Danych (zwanej dalej „EROD”) dotyczące zgłaszania naruszenia ochrony danych osobowych na podstawie RODO (wersja 2.0), przyjęte 28 marca 2023 r. (zwane dalej „Wytycznymi 9/2022”). Wytyczne 9/2022 zaktualizowały i uzupełniły Wytyczne Grupy Roboczej Art. 29 dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (Wp250 rev.01), przyjęte 3 października 2017 r.
[2] W. Chomiczewski [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. red. E. Bielak-Jomaa, D. Lubasz, Warszawa 2018).
[3] A. Klich, B. Skrendo, Od naruszenia bezpieczeństwa przetwarzanych danych osobowych do nałożenia kary przez Prezesa UODO – zagadnienia praktyczne, Radca Prawny ZN. 2024, nr 1, s. 45-68.
[4] (…).
[5] (…).
[6] (…).
[7] M. Ćwiakowski, M. Grzesiuk „Naruszenia ochrony danych osobowych – krok po kroku”, LEX/el. 2024.
[8] Wytyczne EROD w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO (wersja 2.1), przyjęte 24 maja 2023 r. (zwanych dalej „Wytycznymi 04/2022”).
[9] P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 33.
[10] Poradnik na gruncie RODO. Obowiązki administratorów związane z naruszeniami ochrony danych osobowych, wersja 2.0, str. 77 i 86.
[11] P. M. Przybysz [w:] Kodeks postępowania administracyjnego. Komentarz aktualizowany, LEX/el. 2024, art. 35.
[12] P. Litwiński (red.), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (…); Komentarz do art. 83 [w] P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz.