Godło Rzeczypospolitej Polskiej

Portal Orzeczeń

DostępnośćBIP
Decision logo
Warszawa, 2 stycznia 2026nieprawomocna

Decyzja DKN.5131.4.2025

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego[1] (dalej: „k.p.a.”), art. 7 ust. 1 i 2, art. 60, art. 101 oraz art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych[2] (dalej: „u.o.d.o.”), a także art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. i), art. 83 ust. 1-3 oraz art. 83 ust. 4 lit. a) w związku z art. 38 ust. 3 i ust. 6 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych, dalej: „rozporządzenie 2016/679”)[3],
po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez T. (…) S.A. z siedzibą w Z. przy ul. (…) (dalej także: „Spółka” lub „Administrator”), Prezes Urzędu Ochrony Danych Osobowych (dalej: „Prezes UODO” lub „organ nadzorczy”):
stwierdzając naruszenie przez Spółkę przepisów art. 38 ust. 3 i art. 38 ust. 6 rozporządzenia 2016/679, polegające na niezapewnieniu przez Spółkę, jako administratora, niezależności sprawowania funkcji inspektora ochrony danych oraz by wykonywane przez inspektora ochrony danych inne zadania i obowiązki nie powodowały konfliktu interesów,
nakłada na Spółkę administracyjną karę pieniężną w wysokości 978 128 zł (słownie: dziewięćset siedemdziesiąt osiem tysięcy sto dwadzieścia osiem złotych).

Uzasadnienie

1.
24 lutego 2023 roku Spółka dokonała Prezesowi UODO wstępnej notyfikacji naruszenia ochrony danych osobowych (uzupełnionej zgłoszeniem nadesłanym 6 marca 2023 r.), polegającego na uzyskaniu przez osobę nieuprawnioną dostępu do danych osobowych zawartych w dokumencie PIT-11.
2.
Z ww. dokumentacji wynikało, że funkcję inspektora ochrony danych (dalej: „IOD”) w Spółce sprawuje Pan H. S., pozostający jednocześnie w strukturze Spółki Dyrektorem (…). Jednocześnie, Pan H. S. – stosownie do treści pełnomocnictwa udzielonego mu przez Zarząd Spółki 16 lutego 2021 r. – upoważniony był m.in. do „(…) reprezentowania Spółki we wszystkich postępowaniach toczących się przed Prezesem Urzędu Ochrony Danych Osobowych, a także wobec Prezesa Urzędu Ochrony Danych Osobowych, występowania w imieniu Spółki przed sądami administracyjnymi w sprawach dotyczących postępowań przed Prezesem Urzędu Ochrony Danych Osobowych (…)”.
3.
Przedmiotowe zgłoszenie naruszenia ochrony danych osobowych, zarejestrowane pod sygnaturą DKN.5130.2004.2023, stało się dla organu nadzorczego impulsem do dokonania oceny realizacji przez Administratora spoczywających na nim obowiązków wynikających z przepisów rozporządzenia 2016/679 dotyczących wyznaczania i statusu IOD.
4.
W konsekwencji przeprowadzonego na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679 postępowania wyjaśniającego, Prezes UODO, 14 kwietnia 2025 r. wszczął z urzędu postępowanie administracyjne w zakresie możliwości naruszenia przez Spółkę, jako administratora danych, obowiązku wynikającego z art. 38 ust. 3 i ust. 6 rozporządzenia 2016/679, w związku z niezapewnieniem przez Spółkę, by wykonywane przez IOD inne zadania i obowiązki nie powodowały konfliktu interesów (sygn. DKN.5131.4.2025).

Stan faktyczny.

5.
Organ nadzorczy pismami z 13 marca 2023 roku, 22 maja 2023 roku, 24 lipca 2023 roku, 1 grudnia 2023 roku, 13 marca 2025 roku oraz 7 kwietnia 2025 roku zwrócił się do Spółki o złożenie wyjaśnień dotyczących pełnienia funkcji IOD przez osobę zajmującą stanowisko kierownicze w jej organizacji (w tym w szczególności przedstawienie dokumentacji odzwierciedlającej proces dokonanej przez Administratora analizy służącej wyeliminowaniu potencjalnego konfliktu interesów związanego z pełnieniem przez IOD innych funkcji).
6.
Z wyjaśnień udzielonych przez Spółkę korespondencją z 22 marca 2023 roku, 31 maja 2023 roku, 31 lipca 2023 roku, 8 grudnia 2023 roku, a także 10 kwietnia 2025 roku wynika, że:
1)
Spółka jest administratorem w rozumieniu art. 4 ust. 7 rozporządzenia 2016/679.
2)
Dyrektor (…) (dalej jako V.) pełnił w Spółce funkcję IOD, Pełnomocnika ds. (…) oraz (…).
3)
Spółka pismem z 22 marca 2023 roku (data wpływu: 24 marca 2023 roku) wskazała, że jednoczesne pełnienie przez IOD funkcji kierowniczej „(…) nie zostało uznane za powodujące konflikt interesów, ponieważ Dyrektor V. nie określa celów i sposobów przetwarzania danych osobowych w T. (…) S.A. (…)”. W ocenie Spółki, sprawowanie funkcji IOD przez osobę zajmującą stanowisko kierownicze odbywało się z uwzględnieniem istotnych z punktu widzenia zapewnienia niezależności IOD kryteriów organizacyjnych, merytorycznych oraz czasowych, tj. „(…) IOD podlega najwyższemu kierownictwu jednostki organizacyjnej, tj. Prezesowi Zarządu T. (…) S.A.; IOD nie otrzymuje poleceń od jakichkolwiek osób w Spółce; umiejscowienie i funkcjonowanie IOD w strukturze organizacyjnej Spółki uwzględnia liczbę i stopień złożoności procesów, strukturę organizacyjną Spółki oraz jej zasoby kadrowe.” Nadto, Administrator poinformował, że „(…) IOD i Pełnomocnika ds. (…) wspiera w szczególności zespół pełnoetatowych pracowników Wydziału (…) ((…)), którego Kierownik jest jednocześnie stałym Zastępcą IOD oraz Zastępcą Pełnomocnika ds. (…) (…)”. Wśród zadań rzeczonej komórki organizacyjnej Administrator wymienił w szczególności: „(…) organizowanie, nadzór i koordynowanie systemu zarządzania bezpieczeństwem w zakresie ochrony informacji, w tym informacji niejawnych, danych osobowych, tajemnicy przedsiębiorstwa i innych tajemnic prawnie chronionych; wspieranie IOD w realizacji zadań informowania i doradzania administratorowi, podmiotowi przetwarzającemu oraz pracownikom Spółki, którzy przetwarzają dane osobowe, w sprawie obowiązków wynikających z przepisów prawa powszechnie obowiązującego o ochronie danych osobowych; monitorowanie zgodności przetwarzania danych osobowych w T. (…) S.A. i podmiocie przetwarzającym z przepisami o ochronie danych osobowych, a także opracowywanie rekomendacji i zaleceń w tym zakresie oraz sprawowanie nadzoru nad jej realizacją; wdrażanie standardów wymaganych dla utrzymania Systemu (…) zgodnego z normą ISO 27001; organizowanie i koordynacja obsługi podmiotów zewnętrznych w ramach przeprowadzanych w Spółce kontroli i audytów w zakresie ochrony informacji, tajemnic prawnie chronionych i danych osobowych; opiniowanie projektów zawieranych przez Spółkę umów pod kątem zapewnienia ochrony informacji, tajemnic prawnie chronionych i danych osobowych”. Niezależnie od powyższego Spółka wskazała, iż „(…) IOD jest w szczególności: włączany we wszystkie sprawy dotyczące ochrony danych osobowych w T. (…) S.A., współpracuje i prowadzi konsultacje z właściwym organem nadzorczym w kwestiach związanych z przetwarzaniem danych osobowych, jest zobowiązany do zachowania tajemnicy w zakresie wykonywanych zadań, koordynuje wdrażanie Polityki ochrony danych osobowych w T. (…) S.A., zapewnia publikację swoich danych kontaktowych na Portalu wewnętrznym oraz na stronach Biuletynu Informacji Publicznej T. (…) S.A.”. IOD jest również zobowiązany do przedstawienia Zarządowi Spółki wyników „(…) corocznego przeglądu Polityki ochrony danych, który obejmuje: zgodność dokumentacji z obowiązującymi przepisami prawa, przestrzeganie zasad i obowiązków określonych w dokumentacji przetwarzania danych osobowych oraz możliwość udoskonalenia tej Polityki.”.
4)
Pismem z 31 maja 2023 roku (prezentata Urzędu Ochrony Danych Osobowych: 1 czerwca 2023 roku) Administrator zapewnił, że „(…) dokonał analizy pod kątem ewentualnego konfliktu interesów w związku z funkcjami pełnionymi przez Pana H. S., ale nie została ona udokumentowana”. Spółka poinformowała również, iż jeszcze „(…) pod rządami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, funkcję administratora (…) pełnił, łącznie z innymi funkcjami i zadaniami, Dyrektor V., i nie powodowało to przypadków konfliktu interesów”. Spółka odstąpiła przy tym od doprecyzowania podziału wymiaru czasu pracy przypadającego na pełnienie funkcji IOD i innych obowiązków wykonywanych na jej rzecz, tj. Dyrektora V., Pełnomocnika ds. (…) oraz (…), postrzegając takie rozwiązanie jako „(…) niezasadne i wysoce niepraktyczne oraz mogące potencjalnie uniemożliwiać właściwe pełnienie funkcji (…)”. Jednocześnie, Administrator postawił tezę, zgodnie z którą „(…) inne zadania realizowane przez IOD (w przewidzianym dla nich wymiarze czasu pracy) mogą uniemożliwiać właściwe sprawowanie funkcji IOD, w szczególności co do terminowości podejmowanych czynności.”.
5)
Administrator nie określił w żadnym akcie o charakterze wewnętrznym, pierwszeństwa sprawowanej funkcji (lub wypełnianych obowiązków) przez IOD w przypadku konfliktu pomiędzy zadaniami i obowiązkami IOD a innymi zadaniami i obowiązkami wykonywanymi na rzecz Spółki lub braku możliwości należytego realizowania wszystkich zadań IOD ze względu na konieczność realizacji innych zadań i obowiązków na rzecz Administratora.
6)
Pismem z 31 lipca 2023 roku (data wpływu: 3 sierpnia 2023 r.) Spółka przekazała „Regulamin organizacyjny (…)”, stanowiący załącznik do „Uchwały nr (…) Zarządu T. (…) S.A. z dnia (…) r. w sprawie Regulaminu organizacyjnego (…)” (dalej jako Regulamin). W § 2 przedmiotowego dokumentu określone zostały podstawowe zadania V., do których – stosownie do pkt 3 – zalicza się „(…) organizowanie i doskonalenie systemu ochrony informacji, w tym informacji niejawnych, danych osobowych i innych tajemnic prawnie chronionych (…)”. Z kolei § 6 pkt 7 stanowi, iż do zakresu działania wszystkich komórek organizacyjnych i jednoosobowego stanowiska pracy V. należy „(…) zapewnienie (…), w tym ochrony danych osobowych zgodnie z wewnętrznymi i zewnętrznymi aktami prawnymi”.
7)
Pismem z 8 grudnia 2023 roku (data wpływu: 13 grudnia 2023 roku) Spółka potwierdziła, że analiza pod kątem ewentualnego konfliktu interesów funkcji pełnionych przez IOD nie została udokumentowana, odwołała się natomiast do opinii Prezesa UODO w kwestii możliwości jednoczesnego sprawowania przez IOD funkcji pełnomocnika do spraw (…)[4]. Administrator ponownie odniósł się też do przyjętej w jego organizacji wieloletniej praktyki łączenia przez Dyrektora V. (wraz z innymi funkcjami i zadaniami) funkcji IOD (wcześniej Administratora (…)). Spółka zaznaczyła ponownie fakt bezpośredniej podległości IOD jej najwyższemu kierownictwu oraz okoliczność wspierania IOD w wykonywaniu jego zadań przez dedykowane komórki kierowanego przez niego Biura (wydziały i działy). Administrator podkreślił natomiast znaczenie działań służących zapewnieniu ciągłości realizacji zadań IOD przez jego stałego Zastępcę.
8)
Pismem z 10 kwietnia 2025 r. (data wpływu: 11 kwietnia 2025 r.) Spółka potwierdziła, że ww. Regulamin stanowił wyłączną regulację o charakterze wewnętrznym, określającą zadania i kompetencje komórek, w których Dyrektor V. pełnił jednocześnie funkcje IOD, Pełnomocnika ds. (…) i Pełnomocnika ds. Systemu (…) T. (…) S.A. (zgodnie z § 3 ust. 5 i 6 Regulaminu). Stosownie do postanowień § 3 ust. 2 pkt 1, 4, 5 Regulaminu „(…) Dyrektor V. odpowiadał za realizację zadań oraz nadzorował bezpośrednio pracę komórek: Wydziału (…) (w ramach którego funkcjonował Dział (…)), Działu (…), Działu – (…). Zadania i kompetencje ww. komórek określono w: - § 7 i § 11, tj. Wydziału (…) (w tym Działu (…)) oraz Działu – (…), których pracownicy, wskazani przez Pełnomocnika ds. (…), stanowili pion (…) w rozumieniu ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych; - §10, tj. Działu (…), pełniącego rolę Zespołu (…).” Niezależnie od powyższego, Spółka poinformowała o: likwidacji w dacie (…) 2024 r. V., zatwierdzeniu 24 marca 2025 r. przez Radę Nadzorczą Spółki zmian w jej Regulaminie organizacyjnym (Uchwała Rady Nadzorczej T. (…) S.A. nr (…)), dotyczących, m. in. „(…) wyodrębnienia funkcji Inspektora ochrony danych (IOD) w strukturze administratora danych, obok innych jednostek centralnych Spółki, która to funkcja podlega bezpośrednio pod Zarząd T. (…) S.A. (…) oraz potwierdzające, że IOD realizuje wyłącznie zadania wynikające z przepisów RODO”, wyznaczeniu Uchwałą nr (…) Zarządu Spółki z 16 kwietnia 2025 r. IOD w Spółce.

W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes UODO zważył, co następuje:

Uwagi ogólne.

7.
W myśl art. 34 ustawy z dnia 10 maja 2018 r. u.o.d.o. Prezes UODO jest organem właściwym w sprawie ochrony danych i organem nadzorczym w rozumieniu rozporządzenia 2016/679. Stosownie do art. 57 ust. 1 lit. a) i h) rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia oraz prowadzi postępowania w sprawie naruszenia niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego.
8.
Na podstawie art. 4 pkt 7 rozporządzenia 2016/679, administratorem jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.
9.
Zgodnie z art. 38 ust. 3 rozporządzenia 2016/679 administrator oraz podmiot przetwarzający zapewniają, by IOD nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie może on być również odwoływany ani karany przez administratora/podmiot przetwarzający za wypełnianie swoich zadań. IOD podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.
10.
Stosownie do art. 38 ust. 6 rozporządzenia 2016/679, IOD może wykonywać inne zadania i obowiązki. Niemniej jednak, administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.
11.
W świetle powyższego wskazać zatem należy, że unijny prawodawca wprowadził możliwość wykonywania przez IOD dodatkowych zadań i obowiązków, ponad te wyznaczone zakresem przepisów art. 38 ust. 4 oraz art. 39 rozporządzenia 2016/679. Powyższa zasada nie zwalnia jednak administratora (względnie podmiotu przetwarzającego) z obowiązku zapobiegania występowaniu ewentualnych konfliktów interesów w działalności IOD w związku powierzeniem mu dodatkowych obowiązków i zadań. Niezwykle celnie wypowiedział się w tej materii TSUE, który w wyroku z 9 lutego 2023 r. stwierdził, że „(…) zgodnie z celem realizowanym przez art. 38 ust. 6 RODO nie można powierzyć osobie będącej IOD wykonywania zadań lub obowiązków, które mogłyby zaszkodzić pełnieniu funkcji, które wykonuje jako IOD.”[5]. W konsekwencji, identyfikacja potencjalnego konfliktu interesu następować powinna w ścisłym nawiązaniu do wyznaczonych ww. przepisami rozporządzenia 2016/679 zadań IOD. Powyższa argumentacja doznaje wzmocnienia w zestawieniu z faktem, iż podstawowym celem przyświecającym podejmowanym przez IOD aktywnościom pozostaje świadczenie w sposób niezależny na rzecz wzmiankowanych podmiotów wsparcia w obszarze realizacji przez te podmioty obowiązków wynikających z przepisów o ochronie danych osobowych[6].
12.
Prezes UODO od dawna stoi na stanowisku, w którym właśnie z uwagi na charakter zadań IOD ogniskujących się na doradzaniu oraz monitorowaniu działalności administratora (podmiotu przetwarzającego) pod kątem zgodności operacji przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz wymóg sprawowania tej funkcji w sposób niezależny, administrator nie powinien nakładać na IOD zadań, które zgodnie z przepisami rozporządzenia 2016/679 należą do administratora (chodzi tu o działania związane z realizacją spoczywających na administratorze zadań w obszarze przetwarzania danych, w tym rozstrzygania o celach i sposobach ich przetwarzania oraz zapewniania zgodności z prawem tego procesu). Przyjęcie bowiem odmiennego założenia, w którym IOD byłby odpowiedzialny za wykonanie określonego zadania administratora, np. zgłaszanie naruszeń ochrony danych osobowych, a jednocześnie miałby monitorować zgodność wykonywania tego zadania z przepisami o ochronie danych osobowych, do czego zobowiązuje go unormowanie zawarte w art. 39 ust. 1 lit. b) rozporządzenia 2016/679, doprowadziłoby do sytuacji, w której IOD sprawowałby de facto nadzór nad własną działalnością, a więc prowadziłoby to do konfliktu interesów. Rzecz jasna ów konflikt w działalności IOD można rozpatrywać również z uwzględnieniem kryterium czasowego. Oczywistym jest bowiem, że w sytuacji powierzenia IOD dodatkowych funkcji lub zadań, powinien on dysponować odpowiednim czasem, pozwalającym mu na ich prawidłową realizację (biorąc pod uwagę w szczególności ich stopień skomplikowania oraz liczbę). Nadmierna zaś koncentracja obowiązków spoczywających na IOD może ujemnie wpływać na skuteczność jego działań, np. w zakresie monitorowania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych i opracowywania rekomendacji i zaleceń w tym zakresie, co stanowi przecież kwintesencję instytucji IOD.
13.
Należy zatem przemyśleć ilość czasu potrzebnego na wykonywanie poszczególnych obowiązków (w tym na współpracę z innymi służbami kontrolnymi), stopień skomplikowania i ważności zadań, rezerwę czasową na nieplanowane zadania, ilość i rodzaj danych osobowych oraz procesów i systemów informatycznych służących do ich przetwarzania, a także obszary ryzyka związane z tymi procesami. Pod rozwagę należy brać również wiele innych czynników, takich jak np. struktura, wielkość i zasoby kadrowe danego podmiotu (w tym również pod kątem obowiązku prowadzenia szkoleń personelu)[7]. W tym kontekście nie bez znaczenia pozostają również Wytyczne Grupy Roboczej art. 29, która w ramach dobrych praktyk rekomenduje, by w zależności od charakteru czynności przetwarzania, działalności i wielkości organizacji określić czas, który należy poświęcić na obowiązki IOD[8].
14.
Celem pełniejszego zrozumienia pojęcia „konfliktu interesów” warto w tym miejscu odwołać się do definicji „konfliktu” zawartej w Słowniku Języka Polskiego[9], który nakazuje rozumieć je jako „różnicę między wartościami, postawami itp., której nie sposób usunąć”. Wskazać zatem należy, że na gruncie przepisów o ochronie danych osobowych, konflikt interesów w działalności IOD następuje zawsze wtedy, gdy niemożliwym będzie pogodzenie prawidłowego wykonywania jego zadań, przypisanych mu w przepisach art. 38 ust. 4 oraz art. 39 rozporządzenia 2016/679, z realizacją innych zadań i obowiązków, gdyż pomiędzy tymi zadaniami i obowiązkami występuje sprzeczność, uniemożliwiająca odpowiednią ich realizację. W przypadku IOD sprzeczność taka może wynikać z występowania przez niego jednocześnie w dwóch rolach lub podejmowania przez niego działań lub decyzji, które następnie muszą podlegać jego ocenie zgodnie z art. 39 ust. 1 lit. b) rozporządzenia 2016/679.
15.
Niezależnie od powyższego, wyraźnego podkreślenia wymaga fakt, że IOD, któremu przypisuje się szczególną rolę i szczególne znaczenie w dziedzinie zapewniania właściwego przestrzegania przepisów o ochronie danych osobowych, musi mieć dla tego celu zagwarantowane odpowiednie warunki funkcjonowania, a więc takie, które pozwolą mu na efektywną, niezależną oraz prawidłową realizację obowiązków wynikających z przepisów prawa, co wynika z art. 38 ust. 2 i 3 rozporządzenia 2016/679. W tym kontekście za słuszny uznać należy pogląd, zgodnie z którym nakładanie na IOD zadań i obowiązków prowadzących do powstania konfliktu interesów, stawia pod znakiem zapytania nie tylko możliwość efektywnego wypełniania przez niego zadań, do realizacji których zobowiązuje go dyspozycja normy art. 39 rozporządzenia 2016/679, ale godzi w same fundamenty instytucji IOD, opartej w pierwszym rzędzie na niezależności jego funkcjonowania[10].
16.
Jak zostało to zatem zasygnalizowane, wymóg niepowodowania konfliktu interesów jest – stosownie do motywu 97 do preambuły rozporządzenia 2016/679 – ściśle związany z leżącym po stronie administratora (podmiotu przetwarzającego) obowiązkiem zapewnienia wykonywania przez IOD zadań w sposób niezależny (art. 38 ust. 3 rozporządzenia 2016/679). Takie rozumienie przepisu art. 38 ust. 6 rozporządzenia 2016/679 znajduje swoje potwierdzenie w orzecznictwie TSUE, precyzyjnie wskazującym, że „(…) przepis ten zmierza zasadniczo, podobnie jak inne przepisy, o których mowa w pkt 25 niniejszego wyroku, do zachowania niezależności funkcjonalnej IOD, a tym samym do zapewnienia skuteczności przepisów RODO.” Z orzecznictwa TSUE wynika jasno „(…) że nie można powierzyć IOD zadań lub obowiązków, które prowadziłyby do określania przez niego celów i sposobów przetwarzania danych osobowych u administratora lub jego podmiotu przetwarzającego. Zgodnie bowiem z prawem Unii lub prawem państw członkowskich w dziedzinie ochrony danych monitorowanie tych celów i sposobów powinno być prowadzone w sposób niezależny przez IOD”[11].
17.
Zaprezentowane wyżej zgodne poglądy organu nadzorczego oraz judykatury na kwestie związane z pojęciem konfliktu interesów w działalności IOD znajdują swoje dalsze potwierdzenie w opinii Grupy Roboczej Art. 29 zawartej w Wytycznych. Stwierdza się w niej bowiem wyraźnie, że „(…) Wymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny. I choć DPO [z ang. IOD – dod. wł. Prezesa UODO] mogą posiadać inne zadania i obowiązki to jednak te nie mogą powodować konfliktu interesów. Oznacza to, że DPO nie może zajmować w organizacji stanowiska pociągającego za sobą określanie sposobów i celów przetwarzania danych. Ze względu na indywidualny charakter każdej organizacji ten aspekt powinien być analizowany osobno dla każdego podmiotu.” W Wytycznych przedstawiony został również przykładowy zbiór stanowisk kierowniczych, których łączenie z funkcją IOD prowadzi – co do zasady – do konfliktu interesów, tj. dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT. Co równie istotne, za powodujące konflikt interesów uważane są przez Grupę Roboczą Art. 29 również niższe stanowiska, o ile osoby je piastujące biorą udział w określaniu celów i sposobów przetwarzania danych osobowych. Jednocześnie, w celu przeciwdziałania możliwości naruszenia przepisów rozporządzenia 2016/679 we wzmiankowanych Wytycznych proponuje się wdrożenie określonych działań. Jako dobre praktyki w pierwszym rzędzie wymienia się przy tym zidentyfikowanie przez administratorów lub podmioty przetwarzające stanowisk niekompatybilnych z funkcją IOD oraz opracowanie wewnętrznych zasad uniemożliwiających łączenie stanowisk pozostających w konflikcie interesów.
18.
Mając na względzie przytoczoną powyżej argumentację uznać należy, że ewentualna koncentracja funkcji – kierowniczej oraz IOD, jak również sytuacja związana z powierzeniem IOD wykonywania innych zadań i obowiązków – pełnionych w strukturze administratora bądź podmiotu przetwarzającego powinna zostać poprzedzona zbadaniem pod kątem konfliktu interesu powierzonych obowiązków. Argumentacja, w której sprawdzenie pod kątem istnienia konfliktu interesów w rozumieniu art. 38 ust. 6 rozporządzenia 2016/679 należy dokonywać odrębnie dla każdego przypadku na podstawie oceny wszystkich istotnych okoliczności (w tym w szczególności struktury organizacyjnej administratora) pozostaje zbieżna z utrwaloną linią orzeczniczą TSUE[12]. W konsekwencji, zaniechanie przez podmiot wyznaczający IOD przeprowadzenia takiego badania naraża go na zarzut niedopełnienia obowiązku, o którym mowa w art. 38 ust. 6 zd. 2 rozporządzenia 2016/679.
19.
W tych warunkach podmiot powierzający IOD dodatkowe zadania i obowiązki powinien uwzględnić co najmniej trzy kryteria, tj. organizacyjne (IOD powinien podlegać bezpośrednio najwyższemu kierownictwu w organizacji), merytoryczne (inne obowiązki nie powinny negatywnie wpływać na niezależne wykonywanie zadań IOD) oraz temporalne (IOD powinien dysponować czasem wystarczającym do wykonywania swoich zadań, przy uwzględnieniu m.in. liczby obowiązków czy stopnia ich skomplikowania). Jak słusznie zauważa się w doktrynie, zaistnienie konfliktu interesów o charakterze ustrojowym godzi bowiem w niezależność IOD, podczas gdy wystąpienie konfliktu czasowego zmniejsza skuteczność IOD, merytoryczny zaś negatywnie wpływa na jego obiektywizm i niezależność[13]. Jednocześnie, ryzyko pojawienia się któregoś z ww. rodzajów konfliktu powinno być stale monitorowane, ponieważ przyczyny zaistnienia takiego konfliktu mogą występować również w późniejszym czasie, po rozpoczęciu pełnienia funkcji przez IOD[14].
20.
Odnosząc powyższe ustalenia do utrwalonego w toku niniejszego postępowania stanu faktycznego odnotować należy, że w ocenie Spółki sprawowanie funkcji IOD przez osobę zajmującą stanowisko kierownicze odbywa się z uwzględnieniem kryteriów organizacyjnych, merytorycznych oraz czasowych, niemniej jednak Administrator nie uprawdopodobnił przeprowadzenia w tym zakresie żadnych analiz, służących zapobieżeniu konfliktowi interesów, ograniczając się do własnego oświadczenia w tym zakresie (vide: pkt 3 ustaleń faktycznych). Przedstawione przez Spółkę usytuowanie organizacyjne IOD, czyniące go zgodnie z wymogiem art. 38 ust. 3 rozporządzenia 2016/679 podległym najwyższemu kierownictwu jednostki organizacyjnej, tj. Prezesowi Zarządu T. (…) S.A., wyklucza – w ocenie Prezesa UODO – istnienie w przedmiotowej sprawie konfliktu interesów o charakterze organizacyjnym. Niemniej jednak treść pozostałych wyjaśnień udzielonych przez Spółkę stwarza asumpt do postawienia Administratorowi uzasadnionego zarzutu naruszenia art. 38 ust. 6 rozporządzenia 2016/679 w aspekcie czasowym i merytorycznym. Dzieje się tak przede wszystkim z uwagi na fakt, iż Spółka nie udokumentowała przeprowadzonej przez siebie analizy pod kątem ewentualnego konfliktu interesów w związku z pełnieniem przez IOD funkcji kierowniczej w jej strukturze, pomimo, że – stosownie do wymogów prawnych, wyjaśnionych w Wytycznych oraz w powołanym wyżej orzecznictwie TSUE – Administrator zobowiązany był to uczynić z uwzględnieniem oceny wszystkich istotnych okoliczności. W konsekwencji, Administrator nie jest w stanie skutecznie wykazać, że faktycznie zagwarantował IOD odpowiednie warunki funkcjonowania, umożliwiając mu nie tylko efektywną, ale i niezależną realizację obowiązków, o których mowa w art. 39 rozporządzenia 2016/679 (tym bardziej, że nie jest w stanie dostatecznie uprawdopodobnić, że jakiekolwiek analizy rzeczywiście były w jego organizacji prowadzone).

Konflikt interesów o charakterze merytorycznym.

21.
Spółka podała wprawdzie, że Dyrektor V. (pełniący jednocześnie funkcję IOD) nie określał celów i sposobów przetwarzania danych osobowych, przeczy temu jednak ujawniona przez nią treść obowiązującego co najmniej do (…) 2024 r. Regulaminu. Stwierdza się w nim bowiem wyraźnie, m.in. w § 2 pkt 3, że do zadań V. (na czele którego stał Dyrektor V.) zaliczało się choćby „(…) organizowanie i doskonalenie systemu ochrony informacji, w tym informacji niejawnych, danych osobowych i innych tajemnic prawnie chronionych (…)”. Oczywistym zatem będzie, że osoba stojąca na czele jednostki merytorycznie odpowiedzialnej za organizowanie, a następnie rozwijanie tego systemu, z założenia zobowiązana była ustalać cele i sposoby przetwarzania danych osobowych, w dodatku nie tylko w ramach procesów przetwarzania danych osobowych realizowanych w ramach działalności podległej jej struktury, ale również danych osobowych zatrudnionych w niej osób. W konsekwencji, podejmowanie przez nią decyzji co do tych celów i sposobów stawiało Dyrektora V. w roli przypisanej administratorowi danych. Taki stan rzeczy stanowił w sposób jednoznaczny o niedochowaniu przez Spółkę obowiązkowi określonemu w art. 38 ust. 6 rozporządzenia 2016/679, którego ratio legis (za wykładnią TSUE) zmierza do „(…) zachowania niezależności funkcjonalnej IOD, a tym samym do zapewnienia skuteczności przepisów RODO” (vide pkt 42 powołanego wyroku TSUE).
22.
Sytuacja, w której wyznaczony IOD zajmował jednocześnie stanowisko kierownicze Dyrektora V. powodowała natomiast wyłączenie tej niezależności. Dyrektor V. odpowiadał bowiem za realizację zadań oraz nadzorował bezpośrednio pracę podległych mu komórek organizacyjnych (Wydziału (…), w ramach którego funkcjonował Dział (…) Działu (…), Działu – (…)). W tych warunkach piastujący jednocześnie ww. stanowisko IOD nie był zatem w stanie w sposób obiektywny wykonywać przypisanych mu przez art. 39 ust. 1 rozporządzenia 2016/679 zadań. W wyniku ustanowionych przez Spółkę warunków funkcjonowania pozostawał on odpowiedzialny za określanie celów i sposobów przetwarzania danych osobowych, a jednocześnie był on zgodnie z art. 39 ust. 1 lit. b) rozporządzenia 2016/679 zobowiązany monitorować zgodność zarządzanych przez siebie procesów przetwarzania z przepisami o ochronie danych osobowych. W konsekwencji, IOD sprawował w Spółce de facto nadzór nad własną działalnością, co bez wątpienia stanowi przykład konfliktu interesów o charakterze merytorycznym i świadczy o rażącym naruszeniu przez Administratora przepisu art. 38 ust. 6 zd. 2 rozporządzenia 2016/679. Nie można bowiem powierzyć IOD zadań lub obowiązków, które prowadziłyby do określania przez niego celów i sposobów przetwarzania danych osobowych u administratora lub jego podmiotu przetwarzającego, albowiem monitorowanie tych celów i sposobów powinno być prowadzone w sposób niezależny przez IOD[15].
23.
Dostrzegalna jest również zachodząca między funkcjami Dyrektora V., Pełnomocnika ds. ochrony informacji oraz (…) a IOD sprzeczność w aspekcie wykonywania przez IOD zadań określonych w art. 38 ust. 4 rozporządzenia 2016/679. Przyjęte przez Spółkę rozwiązania organizacyjne spowodowały bowiem, że ta sama osoba miała z jednej strony występować w pozycji władczej, organizując pracę podległej jej jednostek organizacyjnych, sprawując w tym zakresie nadzór i kontrolę nad zatrudnionymi w tej strukturze osobami, np. poprzez ewaluację efektów ich pracy, z drugiej natomiast pełnić rolę punktu kontaktowego, który ma za zadanie ułatwiać podmiotom danych (pracownikom) kontakt z Administratorem. Sformułowanie zawarte w powołanym przepisie rozporządzenia 2016/679 wskazuje, że IOD występuje niejako w roli punktu wsparcia dla podmiotów danych, działającego w ich interesie (w zakresie w jakim udziela porad związanych z przetwarzaniem ich danych oraz z wykonywaniem praw przysługujących im na mocy rozporządzenia 2016/679).
24.
Wedle poglądów doktryny, które organ nadzorczy podziela, taki stan rzeczy mógł stwarzać sytuacje konfliktowe (czego Spółka nie jest w stanie wykluczyć, albowiem żadnych analiz w tym kierunku nie przeprowadziła). Realny był bowiem scenariusz, w którym IOD będzie działał wbrew interesowi administratora, np. informując o możliwości złożenia skargi do organu nadzorczego albo wbrew interesowi osób, których dane dotyczą, odstępując od przekazania im takowej informacji[16].
25.
Powyższego stanu rzeczy nie konwalidowała okoliczność, że „(…) pod rządami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, funkcję administratora (…) [obecnie IOD – dod. wł.] pełnił, łącznie z innymi funkcjami i zadaniami, Dyrektor V. (…)”, co – w ocenie Spółki – nie powodowało konfliktu interesów. Przeciwnie: wbrew intencji Administratora, stanowi to czytelne potwierdzenie, że – wbrew jego twierdzeniom – żadna analiza pod kątem konfliktu interesu pełnionych zadań przez IOD w jego organizacji w istocie nie miała miejsca, skoro Administrator a priori zakładał, że długotrwałe łączenie w jego organizacji funkcji IOD z innymi obowiązkami (również tymi powiązanymi z podejmowaniem decyzji co do celów i sposobów przetwarzania danych osobowych) nie powoduje konfliktu interesów. Co więcej, argumentacja Spółki nie znajduje logicznego uzasadnienia również ze względu na podnoszoną w niej kwestię długiego czasu trwania naruszenia przepisu art. 38 ust. 6 rozporządzenia 2016/679, która – jak się wydaje – ma w pewien sposób usprawiedliwiać stwierdzone w toku niniejszego postępowania naruszenie prawa. Zamiast tego stanowi czytelną egzemplifikację systemowego charakteru przypisywanego Administratorowi naruszenia przepisu art. 38 ust. 6 zd. 2 rozporządzenia 2016/679.
26.
Niezależnie od powyższego, Prezes UODO dopatrzył się również w organizacji Administratora konfliktu interesu o charakterze merytorycznym w zakresie, w jakim IOD udzielone zostały pełnomocnictwa do występowania w imieniu Spółki przed Prezesem UODO lub sądami administracyjnymi w sprawach z zakresu ochrony danych osobowych (w tym w sprawach dotyczących postępowań przed organem nadzorczym), a także reprezentowania Spółki w sprawach dotyczących danych osobowych w Spółce, w tym udzielenia informacji i odpowiedzi na żądania osób, których dane dotyczą (treść przedmiotowych pełnomocnictw w aktach sprawy). Związanie IOD instrukcjami Spółki, występującej w tej relacji w roli mocodawcy, w sposób naturalny ogranicza bowiem obiektywizm pełnomocnika, w konsekwencji wpływając negatywnie na jego niezależność, którą powinien cechować się IOD. Jak zostało to ustalone, specyfika zadań IOD powinna ogniskować się wszak na doradzaniu oraz kontrolowaniu działalności administratora (podmiotu przetwarzającego) pod kątem zgodności operacji przetwarzania danych osobowych z przepisami o ochronie danych osobowych, nie zaś osiągnięciu ustalonych celów procesowych[17]. Wykazana Spółce praktyka udzielania IOD szerokich pełnomocnictw do reprezentowania Administratora prowadziła zatem do naruszenia zakazu nakładania na IOD zadań powodujących konflikt interesów (art. 38 ust. 6 rozporządzenia 2016/679) oraz zakazu otrzymywania przez IOD instrukcji dotyczących wykonywania zadań (art. 38 ust. 3 rozporządzenia 2016/679) – tym bardziej, biorąc pod uwagę podległość IOD najwyższemu kierownictwu jednostki organizacyjnej, tj. Prezesowi Zarządu T. (…) S.A.[18]

Konflikt interesów o charakterze czasowym.

27.
W toku postępowania wyjaśniającego organ nadzorczy ustalił, że Spółka nie określiła pierwszeństwa sprawowanej funkcji (lub wypełnianych obowiązków) przez IOD w przypadku konfliktu pomiędzy zadaniami i obowiązkami IOD a innymi zadaniami i obowiązkami wykonywanymi na rzecz Administratora lub braku możliwości należytego realizowania wszystkich zadań IOD ze względu na konieczność realizacji innych zadań i obowiązków na rzecz Spółki (vide: pkt 5 ustaleń faktycznych). Tymczasem, jak słusznie podnosi się w doktrynie: „Konflikt interesów może być także wynikiem nadmiaru obowiązków powierzonych do realizacji inspektorowi ochrony danych w sytuacji, gdy inspektor będzie musiał wybierać, które z obowiązków będzie wykonywał, a którego wykonać nie zdoła ze względu na brak czasu potrzebnego na jego realizację”[19]. W tym kontekście, Prezes UODO tym bardziej podtrzymuje swój pogląd, w którym uwzględnienie kryterium czasowego powinno zatem obejmować analizę, czy IOD pełniący jednocześnie inne funkcje będzie w stanie wykonywać swoje obowiązki we właściwy sposób, biorąc pod uwagę w szczególności stopień skomplikowania i liczbę innych zadań[20]. Oczywistym jest bowiem, że IOD powinien dysponować odpowiednim czasem pozwalającym mu na prawidłowe realizowanie wszystkich zadań, o których mowa w art. 39 rozporządzenia 2016/679. Administrator powinien natomiast – stosownie do wymogów art. 38 ust. 2 rozporządzenia 2016/679 – wspierać IOD w wypełnianiu tych zadań. Powstrzymując się od dokonania takiej analizy Spółka nie jest zatem w stanie skutecznie wykazać, że wyznaczony w jej strukturze IOD mógł w sposób efektywny wykonywać swoje zadania, tym bardziej, że nałożone na niego zostały również zadania i obowiązki związane ze sprawowaniem funkcji Dyrektora (…), Pełnomocnika ds. (…) oraz (…).
28.
Przeprowadzenie takiej analizy na podstawie oceny wszystkich istotnych okoliczności, w szczególności struktury organizacyjnej Administratora, wymagałoby zatem od Spółki starannego rozważenia m.in. ilość informacji niejawnych oraz ich rodzaju, a także czasu i możliwości wykonywania wszystkich zadań określonych w art. 15 ustawy o ochronie informacji niejawnych, do których należy m.in. zapewnienie (…), w tym stosowanie środków bezpieczeństwa fizycznego, zapewnienie ochrony systemów teleinformatycznych, w których są przetwarzane informacje niejawne, zarządzanie ryzykiem bezpieczeństwa, w szczególności szacowanie ryzyka, kontrola (…) oraz przestrzegania przepisów o ochronie tych informacji[21]. Natomiast Spółka nie wykazała, ażeby jakiekolwiek analizy w tym kierunku kiedykolwiek prowadziła. Uchybienie zaś przez Administratora obowiązkowi rzetelnego sprawdzenia, czy IOD jest w stanie wykonywać swoje zadania w sposób prawidłowy przy pełnieniu wszystkich powierzonych mu funkcji jednocześnie (a także doprecyzowania podziału wymiaru czasu pracy przypadającego na pełnienie funkcji IOD i innych obowiązków wykonywanych na jej rzecz, tj. Dyrektora V., Pełnomocnika ds. (…) oraz (…)), w oczywisty sposób świadczy także o jego niekonsekwencji zwłaszcza w sytuacji, gdy sam odwołał się do przedstawionej wyżej opinii Prezesa UODO w kwestii możliwości jednoczesnego sprawowania przez IOD funkcji pełnomocnika do spraw (…).
29.
Powyższe jednak nie umniejsza dotychczasowej argumentacji wskazującej, że nawet gdyby Spółka takiej oceny w tym zakresie dokonała, to okoliczność ta nie powodowałby usunięcia konfliktu interesów w działalności IOD o charakterze merytorycznym (por. pkt II.B).
30.
Co istotne, dla osiągnięcia tego celu wcale nie jest konieczne ścisłe określenie podziału czasu, jaki osoba łącząca funkcję IOD z innymi funkcjami ma przeznaczać na realizację poszczególnych obowiązków. W tym sensie organ nadzorczy nie neguje dopuszczalności odstąpienia od rozwiązania polegającego na jednoznacznym, sztywnym określeniu ram czasowych dla realizacji obowiązków IOD i obowiązków związanych z pełnionymi przez niego innymi funkcjami czy realizowanymi zadaniami. Co do zasady rację ma zatem Spółka, podnosząc, że w niektórych przypadkach „(…) [r]ozwiązanie takie należy ocenić jako niezasadne i wysoce niepraktyczne oraz mogące potencjalnie uniemożliwiać właściwe pełnienie funkcji (…)” (vide: pkt 4 ustaleń faktycznych). Niemniej jednak ocena taka powinna opierać się na realnych podstawach, a więc być wynikiem przeprowadzonej analizy pod kątem istnienia konfliktu interesów w działalności IOD w organizacji Administratora (faktu, którego Spółka nie jest jednak w stanie wykazać). W konsekwencji, Administrator nie może w celu wykazania przestrzegania przepisu art. 38 ust. 6 rozporządzenia 2016/679 opierać się jedynie na własnym oświadczeniu, że nałożenie na IOD innych zadań i obowiązków nie wpływa negatywie na efektywność tych podejmowanych na gruncie art. 39 rozporządzenia 2016/679. Powyższa argumentacja doznaje wzmocnienia w zestawieniu z wymogiem zapewnienia IOD warunków do aktywnego wykonywania przypisanych mu prawnie obowiązków. Przejawem takiego podejścia jest, w szczególności zgłaszanie przez IOD inicjatyw, np. w przedmiocie wskazówek adresowanych do Administratora w zakresie czynności przetwarzania danych, a nie jedynie reagowanie na zdarzenia w organizacji[22].
31.
Zgodnie zatem z podejściem opartym na ryzyku w działalności IOD (art. 39 ust. 2 rozporządzenia 2016/679), zakładającym jego proaktywną postawę, tym bardziej konieczne staje się zapewnienie mu przez Administratora warunków (również czasowych) umożliwiających sprawowanie jej w sposób efektywny. W oczywisty sposób postulatu tego nie spełnia zaniechanie przez Spółkę ustanowienia choćby minimalnych ram czasu pracy poświęconego wyłącznie na wypełnianie przez IOD obowiązków przypisanych mu na gruncie art. 39 rozporządzenia 2016/679. Jednocześnie twierdzenie Administratora, że określenie sztywnych ram czasowych na wypełnianie poszczególnych zadań może utrudniać sprawowanie funkcji IOD (vide pkt 4 ustaleń faktycznych) pozostaje gołosłowne, albowiem Spółka nie wykazała, ażeby jakiekolwiek analizy w tym kierunku kiedykolwiek prowadziła. W konsekwencji, Administrator nie dokonywał sprawdzeń, czy IOD jest w stanie wykonywać swoje zadania w sposób prawidłowy oraz gwarantujący efektywność podejmowanych działań, bazując na przyjętym a priori założeniu, „(…) że inne zadania realizowane przez IOD (w przewidzianym dla nich wymiarze czasu pracy) mogą uniemożliwiać właściwe sprawowanie funkcji IOD (…)”.
32.
Prezes UODO rzecz jasna wziął pod uwagę wyjaśnienia Spółki, w których powołuje się ona na okoliczność wsparcia udzielanego wyznaczonemu w jej strukturze IOD przez dedykowany do tego celu zespół osób (vide: pkt 3 ustaleń faktycznych). Uwzględnił przy tym przywołane w Wytycznych stanowisko, zgodnie z którym „W zależności od rozmiaru i struktury organizacji przydatne może być powołanie zespołu inspektora ochrony danych (IOD i jego pracowników). W przypadku powołania takiego zespołu, jego struktura, podział i zakres obowiązków powinny zostać jasno ustalone. Również w przypadku wyznaczenia IOD spoza organizacji, zespół pracowników podmiotu zewnętrznego powołany do wypełniania obowiązków związanych z ochroną danych osobowych może efektywnie wypełniać zadania IOD, gdy wyznaczona zostanie osoba odpowiedzialna za kontakt z klientem”. Konsekwencją przyjęcia tego podejścia jest uznanie, że IOD nie jest zobowiązany do osobistej realizacji wszystkich zadań i obowiązków ciążących na nim na gruncie art. 39 rozporządzenia 2016/679. Może on zatem wspierać się – jako osoba decyzyjna – zasobami podległego mu zespołu.
33.
Nie oznacza to jednak, że Administrator oddając do dyspozycji IOD zespół współpracowników mógł odstąpić od uwzględnienia kryterium czasowego dla skutecznej realizacji przez IOD przypisanych mu prawem obowiązków (w szczególności mając na uwadze konieczność proaktywnej postawy przejawiającej się w działaniach IOD, zgodnie z art. 39 ust. 2 rozporządzenia 2016/679). Fakt korzystania IOD ze wsparcia zespołu „(…) pełnoetatowych pracowników Wydziału (…) ((…)), którego Kierownik jest jednocześnie stałym Zastępcą IOD oraz Zastępcą Pełnomocnika ds. (…). (…)” nie spełniał bowiem jeszcze powyższego postulatu. Dzieje się tak z dwóch powodów. Po pierwsze, pominięcie przez Spółkę etapu, w którym dokonałaby ona analizy czasu potrzebnego dla skutecznego zrealizowania przez IOD stojących przed nim zadań (do takiego racjonalnego wniosku prowadzi fakt, iż Administrator nie przedstawił żadnych dowodów należycie uprawdopodabniających okoliczność przeprowadzenia takiej analizy) pozbawia ją racjonalnych podstaw do posiadania przekonania odnośnie do tego, czy zespół IOD jest w jej strukturze w ogóle potrzebny. Po wtóre, powołanie takiego wyspecjalizowanego ciała bez wykazania dokonania takiej rzetelnej analizy pozbawia wiarygodności stanowisko Administratora, że członkowie tego zespołu (realizujący, jak wynika z wyjaśnień Spółki, równolegle też inne obowiązki służbowe) będą dysponowali czasem pozwalającym im na realne wsparcie IOD w jego obowiązkach. Administrator, nie znając potrzeb tego zespołu, nie mógł mieć również świadomości co do roli w nim IOD, tj. czy ma być ona bardziej aktywna i koordynatorska (jak nakazywałoby podejście oparte na ryzyku), czy też będzie ona responsywna z uwagi na ilość zadań będących udziałem IOD oraz podległej mu grupy osób. Innymi słowy, Spółka w tych warunkach, pomimo powołania zespołu IOD, w dalszym ciągu nie była w stanie wykazać, że wspierany przez ten zespół IOD sprawuje swoją funkcję efektywnie, a zatem, że Administrator stworzył mu odpowiednie warunki funkcjonowania (umożliwiające efektywną, niezależną oraz prawidłową realizację obowiązków wynikających z przepisów prawa).
34.
Niezależnie od powyższego, uwadze organu nadzorczego nie uszedł również fakt, że Zastępca IOD zajmował jednocześnie w Spółce stanowisko Kierownika Wydziału (…) ((…)), do którego zadań zalicza się m.in. „(…) organizowanie, nadzór i koordynowanie systemu zarządzania bezpieczeństwem w zakresie ochrony informacji, w tym informacji niejawnych, danych osobowych, tajemnicy przedsiębiorstwa i innych tajemnic prawnie chronionych (…)”. Oczywistym zatem będzie wniosek, że stojący na czele (…) Kierownik określał cele i sposoby przetwarzania danych osobowych (również zatrudnionych w podległej mu strukturze osób). W tej sytuacji do Zastępcy IOD odnieść należy wszystkie uwagi dotyczące konfliktu interesów o charakterze merytorycznym poczynione w rozdziale II.B. uzasadnienia niniejszej decyzji. W konsekwencji, również z tego względu nie można mówić o spełnieniu przez Administratora wymogu określonego w art. 38 ust. 6 rozporządzenia 2016/679.

Naruszenie przepisów art. 38 ust. 3 i art. 38 ust. 6 rozporządzenia 2016/679.

35.
W rezultacie swoich zaniedbań Spółka nie stworzyła IOD (oraz jego zespołowi) warunków, w których byłby on w stanie wykonywać swoje obowiązki i zadania w sposób niezależny. Uchybiając zaś wymogowi niezależności IOD, Administrator nie sprostał obowiązkowi umożliwienia wypełniania przez IOD tych zadań zgodnie z celem rozporządzenia 2016/679, które – jak wynika z jego motywu 10 – dąży do zapewnienia wysokiego poziomu ochrony osób fizycznych w Unii[23].
36.
Niemożność wykazania przez Spółkę przeprowadzenia analizy w celu ustalenia, czy IOD jest w stanie wykonywać swoje zadania w sposób prawidłowy przy pełnieniu wszystkich powierzonych mu funkcji jednocześnie, a także zaniechanie doprecyzowania podziału wymiaru czasu pracy przypadającego na pełnienie funkcji IOD i innych obowiązków wykonywanych na jej rzecz, tj. Dyrektora V., Pełnomocnika ds. (…) oraz (…), stanowi naruszenie obowiązku Administratora przeciwdziałania występowaniu konfliktu interesu o charakterze czasowym, godzącego w skuteczność funkcji IOD.
37.
Występowanie IOD w roli pełnomocnika Spółki, poprzez związanie go instrukcjami Spółki, nie tylko ujemnie wpływało na jego niezależność, ale godziło również w jego obiektywizm.
38.
W konsekwencji wykazanych Administratorowi w szerokim horyzoncie czasowym naruszeń przepisów art. 38 ust. 3 i ust. 6 rozporządzenia 2016/679, nie może on zatem skutecznie podnosić, że umożliwił wykonywanie zadań IOD w sposób prawidłowy, tj. niezależny, obiektywny oraz skuteczny.
39.
Do dnia zaistnienia pierwszych zmian organizacyjnych w strukturze Administratora, które miały miejsce (…) 2024 r., kiedy „(…) V. uległo likwidacji”, w ład korporacyjny Spółki wpisane było skupianie przez Dyrektora V. funkcji IOD, Pełnomocnika ds. (…) oraz (…). Co więcej, system ten funkcjonował w jej strukturze jeszcze pod rządami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, kiedy to „(…) funkcję administratora (…) pełnił, łącznie z innymi funkcjami i zadaniami, Dyrektor V. (…)”. Taki stan rzeczy, utrzymujący się nieprzerwanie aż do wspomnianej daty, nigdy nie powodował – w ocenie Spółki – „(…) przypadków konfliktu interesów.”. Pozostawała ona również niezmiennie na swoim stanowisku, odrzucającym, jako „(…) niezasadne i wysoce niepraktyczne oraz mogące potencjalnie uniemożliwiać właściwe pełnienie funkcji (…)”, konieczność doprecyzowania podziału wymiaru czasu pracy przypadającego na pełnienie funkcji IOD i innych obowiązków wykonywanych na jej rzecz. Administrator stawiał nawet tezę, że „(…) inne zadania realizowane przez IOD (w przewidzianym dla nich wymiarze czasu pracy) mogą uniemożliwiać właściwe sprawowanie funkcji IOD, w szczególności co do terminowości podejmowanych czynności”. W konsekwencji, do czasu wspomnianych zmian organizacyjnych, Administrator nie określał też w żadnym akcie o charakterze wewnętrznym pierwszeństwa sprawowanej funkcji (lub wypełnianych obowiązków) przez IOD w przypadku konfliktu pomiędzy zadaniami i obowiązkami IOD a innymi zadaniami i obowiązkami wykonywanymi na rzecz Spółki lub braku możliwości należytego realizowania wszystkich zadań IOD ze względu na konieczność realizacji innych zadań i obowiązków na rzecz Administratora. Pomimo wieloletniej praktyki systemowego naruszania przez Spółkę przepisu art. 38 ust. 6 rozporządzenia 2016/679, ostatecznie zdecydowała się ona wdrożyć zmiany w swoim Regulaminie organizacyjnym, polegające na „(…) wyodrębnieni[u] funkcji Inspektora ochrony danych (IOD) w strukturze administratora danych, obok innych jednostek centralnych Spółki, która to funkcja podlega bezpośrednio pod Zarząd T. (…) S.A. (…) oraz potwierdzające, że IOD realizuje wyłącznie zadania wynikające z przepisów RODO”, co nastąpiło dopiero 24 marca 2025 r. Zatem, w świetle przyjętych przez Spółkę rozwiązań można uznać, że wyeliminowała ona na gruncie wdrożonych zmian na poziomie organizacyjnym „konflikt interesów” w działalności IOD. Organ nadzorczy wziął przede wszystkim pod uwagę nie tylko fakt wyodrębnienia przez Spółkę funkcji IOD, ale również odseparowanie (w ramach nowej struktury Spółki) pionu odpowiedzialnego za monitorowanie zgodności Administratora z przepisami o ochronie danych osobowych od tych działów zajmujących się wdrażaniem rozwiązań z zakresu ochrony danych osobowych.
40.
Należy w tym miejscu podkreślić, że Administrator, stosownie do zasady rozliczalności wyrażonej w art. 5 ust. 2 rozporządzenia 2016/679, jest zobowiązany wykazać, że spełnia wymogi rozporządzenia 2016/679 poprzez udowodnienie, że opracował i stosuje środki mające na celu przestrzeganie przepisów o ochronie danych osobowych, w tym przypadku, że przyjął wewnętrzne rozwiązania mające na celu rzeczywiste zapewnienie, że IOD nie będzie realizował zadań i obowiązków, które powodują konflikt interesów. Jak wspomniano powyżej, opracowanie takich zasad rekomenduje Grupa Robocza Art. 29 w swoich Wytycznych. Ta korzystna zatem z perspektywy konieczności wykazania się przez Administratora przestrzeganiem przepisów rozporządzenia 2016/679 zmiana nie tylko w sposób oczywisty odbiera wiarygodność dotychczas prezentowanej przez niego argumentacji. Stanowi ona jednocześnie czytelne potwierdzenie dla wykazanych Spółce długotrwałych naruszeń przepisów art. 38 ust. 3 i ust. 6 rozporządzenia 2016/679, skoro Administrator dostrzegł jednak potrzebę wyodrębnienia funkcji IOD i powierzenie mu wyłącznie zadań wynikających z przepisów tego rozporządzenia. W sposób dorozumiany Spółka uznała zatem niezbicie, że dotychczasowe umiejscowienie IOD w jej strukturze organizacyjnej generowało jednak w jej działalności sprzeczności, których nie sposób było uniknąć inaczej, jak wdrażając środki organizacyjne, o których mowa w pkt 6 ppkt 8) opisu stanu faktycznego.
41.
Podsumowując ocenę okoliczności omawianego naruszenia przepisów rozporządzenia 2026/679 należy podkreślić, że przepisy te ukierunkowane są na cel zdefiniowany jako ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych (art. 1 ust. 2 rozporządzenia 2016/679) oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). Gwarantem zaś wspomnianych praw przynależnych osobom fizycznym pozostaje w ramach wykonywanych zadań (określonych w art. 39 rozporządzenia 2016/679), korzystający ze szczególnego statusu w systemie ochrony danych osobowych (na podstawie art. 38 rozporządzenia 2016/679), inspektor ochrony danych. Warunkiem koniecznym dla zachowania tego statusu jest niezależność funkcjonalna IOD, zapewnieniu której służą przepisy art. 38 ust. 3 oraz art. 38 ust. 6 rozporządzenia 2016/679[24].

Administracyjna kara pieniężna.

42.
Postępowanie administracyjne prowadzone przez Prezesa UODO służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej w celu zastosowania uprawnień naprawczych określonych w art. 58 ust. 2 rozporządzenia 2016/679.
43.
Mając na uwadze powyższe, jak również stwierdzone w niniejszym postępowaniu naruszenia przepisów o ochronie danych osobowych, Prezes UODO – korzystając z uprawnienia określonego w art. 58 ust. 2 lit. i) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)-h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej określonej w art. 83 ust. 4 lit. a) – stwierdził, że w rozpatrywanej sprawie zmaterializowały się przesłanki uzasadniające nałożenie na Spółkę, administracyjnej kary pieniężnej.
44.
Zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25-39 oraz 42 i 43, podlegają administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Zachowania podlegające administracyjnym karom pieniężnym i zastosowanie art. 83 ust. 3 rozporządzenia 2016/679.

45.
Stosownie do brzmienia art. 83 ust. 3 rozporządzenia 2016/679, jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.
46.
Wobec stwierdzenia, że Spółka dopuściła się w analizowanym stanie faktycznym naruszenia dwóch przepisów rozporządzenia 2016/679 (tj. art. 38 ust. 3 oraz art. 38 ust. 6, z których każdy mógłby stanowić samodzielną podstawę nałożenia administracyjnej kary pieniężnej) Prezes UODO zobowiązany był uwzględnić przytoczoną w poprzedzającym akapicie regulację celem rozważenia, czy okoliczności niniejszej sprawy determinują skorzystanie przez organ nadzorczy z wyłącznie jednego, czy też z kilku środków naprawczych przewidzianych w art. 58 ust. 2 rozporządzenia 2016/679 – a precyzyjniej, czy organ powinien nałożyć na Spółkę wyłącznie jedną administracyjną karę pieniężną, stanowiącą odpowiedź na oba popełnione przez Spółkę naruszenia, czy też odrębne i samoistne kary dla każdego z tych naruszeń rozpatrywanych osobno.
47.
Ustalając konkretne sankcje za stwierdzone w niniejszej sprawie naruszenia Prezes UODO skorzystał z metodyki obliczania administracyjnych kar pieniężnych przyjętej przez Europejską Radę Ochrony Danych (dalej: „EROD”), zgodnie z którą pierwszym krokiem do dalszych obliczeń jest „ocena zastosowania art. 83 ust. 3 [rozporządzenia 2016/679]”[25] poprzez ustalenie:
a)
czy okoliczności wskazują na jedno zachowanie, czy też na wiele zachowań podlegających karze,
b)
w przypadku jednego zachowania, czy zachowanie to stanowi jedno naruszenie czy większą liczbę naruszeń, oraz
c)
w przypadku jednego zachowania, które stanowi wiele naruszeń, czy przypisanie jednego naruszenia wyklucza przypisanie innego naruszenia, czy też należy je przypisać równolegle[26].
48.
Zgodnie z przyjętą przez EROD wykładnią, „jedno zachowanie może składać się z kilku części, które są realizowane na skutek jednego aktu woli i są kontekstowo (w szczególności jeśli chodzi o tożsamość osoby, której dane dotyczą, cel i charakter przetwarzania), przestrzennie i czasowo tak blisko powiązane, że z obiektywnego punktu widzenia można uznać je za jedno spójne zachowanie”[27].
49.
Odnosząc powyższe do okoliczności rozpatrywanej sprawy, Prezes UODO uznał, że zaniechania Spółki – polegające na niezapewnieniu, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania swoich zadań oraz by wykonywane przez niego inne zadania i obowiązki nie powodowały konfliktu interesów – stanowią „jedno spójne zachowanie” w rozumieniu przedstawionym przez EROD. Za taką interpretacją przemawia fakt, że zachowanie Spółki (skutkujące naruszeniem art. 38 ust. 3 i art. 38 ust. 6 rozporządzenia 2016/679), choć niekoniecznie jest efektem wyłącznie jednego aktu woli administratora, stanowi wypadkową długotrwałego, wadliwego podejścia administratora do roli, jaką powinien pełnić IOD w strukturach Spółki oraz do sposobu, w jaki powinien on wykonywać swoje zadania określone w art. 38 ust. 4 oraz art. 39 rozporządzenia 2016/679. Efektem tego był z jednej strony brak przeprowadzenia przez Spółkę stosownej analizy służącej wyeliminowaniu potencjalnego konfliktu interesów związanego z pełnieniem przez IOD innych funkcji, z drugiej zaś brak wdrożenia odpowiednich rozwiązań organizacyjnych oraz proceduralnych, które zapewniłyby, że IOD będzie wykonywał powierzone mu zadania w sposób niezależny, wolny od dyspozycji i poleceń ze strony administratora oraz z wyłączeniem ryzyka wystąpienia konfliktu interesów – oczywistego w niniejszej sprawie, wobec równoczesnego piastowania przez IOD stanowiska Dyrektora V., któremu powierzono określanie celów i sposobów przetwarzania danych osobowych w Spółce (zob. część II.B. uzasadnienia decyzji). Brak przeprowadzenia odpowiednich analiz i przyjęcia wewnętrznych procedur, jako proces ciągły i długotrwały, skutkujący naruszeniem przepisów rozporządzenia 2016/679 dotyczących statusu IOD, prowadził do utrzymywania się stanu, w którym Spółka nie była zdolna do wykazania przed organem nadzorczym zgodności swego działania z przepisami rozporządzenia 2016/679. Stan ten usunęła dopiero decyzja Spółki o likwidacji V. oraz wyodrębnieniu stanowiska IOD w jej strukturze organizacyjnej, obok innych jednostek centralnych Spółki, podlegających bezpośrednio pod Zarząd T. (…) S.A.
50.
Mimo że zarzucone Spółce naruszenia nie zostały popełnione w związku z żadną z prowadzonych przez nią operacji przetwarzania – co jest jednym z warunków zastosowania art. 83 ust. 3 rozporządzenia 2016/679 – lecz dotyczyły nieprawidłowości w należytym określeniu statusu i uprawnień inspektora ochrony danych, to jednak zdaniem organu nadzorczego wzmiankowany przepis powinien znaleźć zastosowanie w niniejszej sprawie. Wynika to z faktu, że stwierdzone naruszenia mogły, w czasie ich trwania, pośrednio wpływać negatywnie na bezpieczeństwo procesów przetwarzania danych w Spółce oraz na właściwą ochronę praw, wolności i interesów osób, których dane są przetwarzane (choć nie był to wpływ bezpośredni i automatyczny). Dodatkowo wykładnia funkcjonalna art. 83 ust. 3 rozporządzenia 2016/679 przemawia za przyjęciem, że administrator dopuszczający się kilku naruszeń stanowiących konsekwencję wyłącznie jednego zachowania – jak ma to miejsce w analizowanym przypadku – nie powinien być karany równie surowo co administrator, który dopuszcza się wielu odrębnie motywowanych zachowań, oddzielonych od siebie czasowo i kontekstowo, które dotyczyłyby jednak tych samym lub powiązanych operacji przetwarzania. Byłoby to bowiem działanie dalece niesprawiedliwe. W ocenie Prezesa UODO wszystkie wyżej wskazane okoliczności nakazują rozpatrywać przypisane Spółce naruszenia łącznie.
51.
Przyjmując więc, że zaniechania Spółki polegające na niezapewnieniu, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania swoich zadań oraz by wykonywane przez niego inne zadania i obowiązki nie powodowały konfliktu interesów, stanowią jedno spójne zachowanie, a przy tym zachowanie to narusza kilka przepisów rozporządzenia 2016/679 (art. 38 ust. 3 i art. 38 ust. 6) – stwierdzić należy w dalszej kolejności, że żadne z tych naruszeń nie wyklucza możliwości przypisania Spółce drugiego z nich. Każdy z ww. przepisów zawiera bowiem inną (osobną) normę, wskazującą sposób, w jaki administrator powinien zapewnić swobodę decyzyjną i niezależność IOD w swojej organizacji. Konsekwencją powyższego jest ustalenie, że odpowiedzialność Spółki w niniejszym postępowaniu powinna kształtować się „równolegle” w stosunku do wszystkich popełnionych naruszeń, tj. z zastosowaniem przepisu art. 83 ust. 3 rozporządzenia 2016/679.
52.
Podsumowując, w niniejszej sprawie administracyjna kara pieniężna została nałożona na Spółkę za naruszenie art. 38 ust. 3 oraz art. 38 ust. 6 rozporządzenia 2016/679. W stosunku do obu tych naruszeń zastosowany został przepis art. 83 ust. 3 rozporządzenia 2016/679, przy czym – w związku z tym, że oba naruszenia zagrożone są (in abstracto) taką samą karą wynikającą z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, w wysokości do 10 000 000 EUR lub do 2 % rocznego obrotu – naruszeniom tym należy przypisać taką samą powagę, uznając je za „najpoważniejsze” w rozumieniu art. 83 ust 3 rozporządzenia 2016/679. Konsekwencją tego jest zaś niemożność orzeczenia, za wymienione powyżej naruszenia, kary o wysokości wyższej niż maksymalna wysokość kary za jedno z nich, tj. kwoty 32 274 822,82 EUR – ze względu na konieczność przyjęcia w odniesieniu do Spółki tzw. „dynamicznego maksimum kary” (zob. pkt 75 uzasadnienia decyzji).

Uzasadnienie nałożenia i ustalenia wysokości administracyjnej kary pieniężnej nałożonej na Spółkę.

Przesłanki wymiaru kary – zastosowanie art. 83 ust. 2 rozporządzenia 2016/679.

53.
Decydując o nałożeniu na Spółkę administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.
54.
Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a) rozporządzenia 2016/679). Charakter naruszenia jest okolicznością obciążającą T. (…) S.A. Jako podmiot profesjonalny, w ramach prowadzonej działalności gospodarczej, (…) i wiąże się ze stosunkowo wysokim ryzykiem naruszenia praw lub wolności podmiotów danych. Okoliczność ta przemawia za przyjęciem, iż Spółka powinna była dołożyć szczególnej staranności celem zapewnienia, że status wyznaczonego przez nią IOD, powierzone mu zadania oraz sposób ich wykonywania będą odpowiadać wymogom określonym w przepisach rozporządzenia 2016/679. Prawodawca unijny w treści art. 38 ust. 3 i ust. 6 rozporządzenia 2016/679 dlatego zawarł skierowany do administratora zakaz wydawania IOD instrukcji dotyczących wykonywania jego zadań, a jednocześnie ustanowił obowiązek zapewnienia, że wykonywanie przez IOD jakichkolwiek innych zadań i obowiązków nie będzie powodowało konfliktu interesów, bowiem uznał, że – ze względu na istotę i doniosłość tej funkcji dla bezpieczeństwa danych – jest ona znacząca i wymagająca pełnej niezależności tak organizacyjnej, jak i merytorycznej. Tymczasem Spółka zaniechawszy spełnienia ww. wymogów wyraźnie osłabiła bezpieczeństwo przetwarzanych danych i sprzeniewierzyła się podstawowym obowiązkom administratora ustanowionym w przepisach rozporządzenia 2016/679. Naruszenie norm związanych ze statusem oraz prawidłowym usytuowaniem IOD w strukturze Administratora ma również znaczną wagę z uwagi na: szeroki zakres danych osobowych przetwarzanych przez Spółkę (…), sposób ich przetwarzania (z użyciem systemów teleinformatycznych, (…)) oraz dużą skalę przetwarzania. Zapewnienie niezależności IOD w takiej instytucji, jak T. (…) S.A. – zważywszy na powyższe okoliczności przetwarzania, tj. biorąc pod uwagę charakter, zakres i skalę przetwarzania danych przez Spółkę – przekłada się na bezpieczeństwo tych danych, a w rezultacie na prawa i wolności osób, których dane są przetwarzane, w tym sposób ich realizacji. Mając na względzie powyższe, charakter i wagę stwierdzonych naruszeń należało zakwalifikować jako kryterium w istotnym stopniu wpływające na decyzję organu o nałożeniu administracyjnej kary pieniężnej.
55.
Obciążająco w tym kontekście należy traktować również fakt, że naruszenie przepisów rozporządzenia 2016/679 dotyczących statusu IOD miało charakter ciągły i długotrwały. Jak wynika ze zgromadzonego materiału dowodowego skupianie przez Dyrektora V. funkcji IOD (a poprzednio: administratora (…)), Pełnomocnika ds. (…) oraz (…) miało miejsce jeszcze pod rządami przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i kontynuowane było aż do (…) 2024 r., kiedy to Spółka podjęła decyzję o likwidacji V.. Logicznym następstwem tej decyzji były kolejne zmiany w strukturze organizacyjnej Spółki i wyodrębnienie 24 marca 2025 r. funkcji IOD, obok innych jednostek centralnych Spółki podlegających bezpośrednio pod Zarząd T. (…) S.A. W konsekwencji należy stwierdzić, że pierwsze działania naprawcze, służące przywróceniu zgodności uregulowań wewnętrznych Spółki do obecnie obowiązujących przepisów dotyczących pozycji i niezależności IOD, Spółka podjęła dopiero po ponad 6 latach od momentu wejścia w życie (z pełną mocą) przepisów rozporządzenia 2016/679. Tak długi czas trwania naruszeń nie mógł pozostać bez wpływu na decyzję organu nadzorczego, zarówno o nałożeniu administracyjnej kary pieniężnej, jak i jej wysokości – skutkując jej odpowiednim zwiększeniem.
56.
Na stwierdzone niniejszą decyzją naruszenia przepisów art. 38 ust. 3 i ust. 6 rozporządzenia 2016/679 bez wpływu pozostaje – w ramach analizowanej przesłanki – kryterium liczby poszkodowanych osób, których dane dotyczą, oraz rozmiar poniesionej przez nie szkody, ponieważ w przedmiotowej sprawie nie stwierdzono zaistnienia jakichkolwiek szkód po stronie podmiotów danych. Należy jednak podnieść, że analizowane naruszenia nie miały bezpośredniego związku z przetwarzaniem przez Spółkę danych osobowych (choć w sposób pośredni mogły na jego bezpieczeństwo oddziaływać), tak więc do wyrządzenia szkód osobom fizycznym w przedmiotowej sprawie nie doszło i nie mogło dojść z uwagi na istotę tych naruszeń, mających charakter formalny. Niezależnie od powyższego ocena przedmiotowej przesłanki, rozpatrywanej w sposób całościowy, nakazuje traktować ją jako obciążającą.
57.
Umyślny charakter naruszenia przepisów rozporządzenia 2016/679 przez Spółkę (art. 83 ust. 2 lit. b rozporządzenia 2016/679). Materiał dowodowy zebrany w toku niniejszego postępowania administracyjnego nakazuje przyjąć, że Spółka zarzucanych jej naruszeń dopuściła się w sposób umyślny. Za umyślnością jej działania przemawia okoliczność wieloletniej praktyki łączenia funkcji Dyrektora V. z zadaniami i obowiązkami IOD, a jednocześnie Pełnomocnika ds. (…) oraz (…) pomimo, znajomości – na co bezpośrednio wskazuje treść wyjaśnień Spółki z 8 grudnia 2023 r. (zob. pkt 6 ppkt 7 uzasadnienia decyzji) – stanowiska Prezesa UODO w kwestii możliwości jednoczesnego sprawowania przez IOD funkcji pełnomocnika do spraw (…)[30], które to stanowisko poprzez analogię należy stosować również do wszelkich innych zadań i obowiązków powierzanych IOD. Z powołanej opinii Prezesa UODO wynika jednoznacznie, że decyzja administratora o powierzeniu IOD dodatkowych zadań i obowiązków powinna zostać poprzedzona rzetelną oceną pod kątem spełnienia wszystkich wymogów gwarantujących IOD niezależne i prawidłowe wykonywanie swoich zadań w warunkach wyłączających ryzyko wystąpienia konfliktu interesów. Ocena taka, zgodnie z zasadą rozliczalności wyrażoną w art. 5 ust. 2 rozporządzenia 2016/679, powinna zostać należycie utrwalona w formie dokumentacji wewnętrznej. W przypadku jej braku administrator nie jest bowiem w stanie wykazać przed organem nadzorczym, iż faktycznie podjął się jakiekolwiek analizy w omawianym zakresie. W niniejszej sprawie Spółka, pomimo wezwania Prezesa UODO, nie dostarczyła jakichkolwiek dowodów wskazujących na to kto, kiedy (w jakich okolicznościach), w jakim zakresie, w jaki sposób i na jakiej podstawie przeprowadził analizę możliwości wystąpienia konfliktu interesów w sytuacji powierzenia IOD obowiązków Dyrektora V., Pełnomocnika ds. (…) czy (…). Dowodem takim z pewnością nie może być samo oświadczenie Spółki, którego stopień ogólności wzbudza uzasadnione wątpliwości co do jego wiarygodności.
58.
Dodatkowo podnieść należy, że na Spółce jako administratorze, spoczywa obowiązek znajomości przepisów rozporządzenia 2016/679, w tym – jeśli zdecydowała się na wyznaczenie IOD – przepisów dotyczących jego umiejscowienia w strukturze administratora oraz wykonywania przez niego zadań w sposób niezależny i wolny od ryzyka wystąpienia konfliktu interesów. Jakiekolwiek trudności interpretacyjne w powyższym zakresie usuwają, co do zasady, powszechnie dostępne Wytyczne WP 243 dotyczące inspektorów ochrony danych przyjęte 13 grudnia 2016 r. Mając na względzie, że przepisy rozporządzenia 2016/679, przyjęte 27 kwietnia 2016 r., zaczęły być stosowane z pełną mocą dopiero od 25 maja 2018 r. dając administratorom czas na dostosowanie obowiązujących dotychczas procedur oraz wdrożonych środków organizacyjnych związanych z przetwarzaniem danych osobowych do nowej rzeczywistości prawnej, należy stwierdzić, że Spółka miała wystarczająco dużo czasu, by przeanalizować swoje wewnętrzne regulacje związane ze statusem IOD pod kątem zgodności z rozporządzeniem 2016/679, jak i ww. Wytycznymi. Ewentualne wątpliwości co do interpretacji przepisów rozporządzenia 2016/679 Spółka mogła zasygnalizować Prezesowi UODO, czego jednak nie uczyniła. Z uwagi na powyższe należy przyjąć, że Spółka świadomie podjęła decyzję o sposobie usytuowania IOD w swoich strukturach (w tym o związaniu go instrukcjami udzielanymi przez Administratora) oraz o powierzeniu mu dodatkowych zadań (w tym o charakterze władczym), odstąpiwszy od analizy wpływu tychże na możliwość należytego sprawowania funkcji IOD – zwłaszcza w ujęciu merytorycznym oraz czasowym. Okoliczność ta przemawia nie tylko za nałożeniem na Spółkę administracyjnej kary pieniężnej, ale również wpływa na jej wysokość, stosownie ją zwiększając.
59.
Wszelkie stosowne wcześniejsze naruszenia ze strony Spółki (art. 83 ust. 2 lit. e rozporządzenia 2016/679). Decydując o nałożeniu, jak i wysokości administracyjnej kary pieniężnej orzeczonej wobec Spółki, Prezes UODO uwzględnił jako okoliczność obciążającą fakt uprzedniego naruszenia przez Spółkę przepisów rozporządzania 2016/679. W związku z wpływem skarg osób fizycznych na nieprawidłowości w procesie przetwarzania ich danych osobowych przez Spółkę, organ nadzorczy wydał wobec niej następujące rozstrzygnięcia, mocą których udzielił Spółce upomnienia lub nakazał jej dostosowanie operacji przetwarzania danych osobowych do przepisów rozporządzenia 2016/679:
decyzję z 22 września 2020 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 12 ust. 3 i 4 w zw. z art. 15 ust. 1 lit. b) rozporządzenia 2016/679,
decyzję z 11 stycznia 2021 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 15 ust. 1 lit. c), art. 15 ust. 1 lit. h) oraz art. 15 ust. 3 rozporządzenia 2016/679,
decyzję z 1 lipca 2021 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679,
decyzję z 7 marca 2022 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679,
decyzję z 16 marca 2022 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679,
decyzję z 20 września 2022 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679,
decyzję z 21 grudnia 2022 r. o sygn. (…), stwierdzająca naruszenie przepisu art. 6 ust. 1, art. 9 ust. 1 i art. 5 ust. 1 lit. a) rozporządzenia 2016/679,
decyzję z 26 stycznia 2023 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 5 ust. 1 lit. c) oraz art. 6 ust. 1 rozporządzenia 2016/679,
decyzję z 2 lutego 2023 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679,
decyzję z 2 lutego 2023 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679,
decyzję z 29 czerwca 2023 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679,
decyzję z 28 grudnia 2023 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. a) rozporządzenia 2016/679,
decyzję z 25 marca 2024 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679,
decyzję z 10 lipca 2024 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679,
decyzję z 12 września 2024 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679,
decyzję z 27 listopada 2024 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 9 ust. 1 w zw. z art. 5 ust. 1 lit. a) rozporządzenia 2016/679,
decyzję z 26 lutego 2025 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679,
decyzję z 28 lutego 2025 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679,
decyzję z 6 marca 2025 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679,
decyzję dnia 16 kwietnia 2025 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679.
60.
Wskazane wyżej wcześniejsze naruszenia świadczą o występowaniu w strukturach Spółki istotnych problemów z realizacją obowiązków wynikających z przepisów rozporządzenia 2016/679. Spółka nie była bowiem w stanie w ww. indywidualnych sprawach wykazać przed organem nadzorczym legalności przetwarzania, ani należytej realizacji praw przysługujących osobom, których dane dotyczą – co skutkowało zastosowaniem wobec niej odpowiednich środków naprawczych. Jednakże należy stwierdzić, że stwierdzone poprzednio nieprawidłowości (dotyczące m.in. (…) lub niezgodnego z prawem przetwarzania danych osobowych pracowników Spółki) powstały w większości na skutek błędu ludzkiego i dotyczyły przetwarzania danych osobowych na szczeblu lokalnym, a tym samym w żaden sposób nie wiązały się z działaniami Spółki poddanymi ocenie w niniejszym postępowaniu – co do których organ nadzorczy przyjął, że miały one charakter scentralizowany i systemowy. Przede wszystkim jednak Prezes UODO nie stwierdził wcześniej żadnych innych naruszeń, które miałyby związek ze sposobem usytuowania inspektora ochrony danych w strukturze organizacyjnej Spółki, ani jego niezależnością, niezbędną z punktu widzenia wykonywania powierzonych mu zadań. Z uwagi na powyższe wymienione na wstępie, przypisane Spółce poprzednio naruszenia nie mogą być uznane za „stosowne wcześniejsze naruszenia” w rozumieniu art. 83 ust. 2 lit. e) rozporządzenia 2016/679. Niemniej uwzględniając stanowisko EROD, zgodnie z którym „wszystkie wcześniejsze naruszenia mogą stanowić informację o ogólnym podejściu administratora lub podmiotu przetwarzającego do przestrzegania przepisów RODO”[31], Prezes UODO poczytał dotychczasową postawę Spółki – wskazującą na istniejące trudności w respektowaniu przepisów o ochronie danych osobowych – na jej niekorzyść przyjmując, że stwierdzone wcześniejsze naruszenia uzasadniają obecnie nałożenie na Spółkę administracyjnej kary pieniężnej.
61.
Dodatkowo obciążający w kontekście analizowanej przesłanki jest fakt, że Prezes UODO decyzją administracyjną z 17 marca 2025 r., sygn. (…), stwierdził naruszenie przez Spółkę art. 5 ust. 1 lit. a) i art. 6 ust. 1 rozporządzenia 2016/679, polegające na bezprawnym przetwarzaniu danych osobowych (…). Choć decyzja ta jest nieprawomocna, a jednocześnie brak jest bezpośredniego związku przedmiotowego pomiędzy ww. naruszeniami, a zachowaniem Spółki poddanym analizie w niniejszej sprawie (art. 5 i art. 6 rozporządzenia 2016/679 realizują bowiem zgoła odmienne cele od norm wyrażonych w art. 38 komentowanego aktu prawnego), to jednak przypadek tak rażącego naruszenia przepisów o ochronie danych osobowych nie mógł pozostać bez wpływu – choć ograniczonego – na wysokość kolejnej już administracyjnej kary pieniężnej, orzeczonej wobec T. (…) S.A.
62.
Ustalając czy zasadnym jest nałożenie na Spółkę administracyjnej kary pieniężnej, Prezes UODO uwzględnił na korzyść Spółki, w ramach przesłanki wszelkich innych obciążających lub łagodzących czynników mających zastosowanie do okoliczności sprawy (art. 83 ust. 2 lit. k rozporządzenia 2016/679), fakt usunięcia stwierdzonych naruszeń w toku prowadzonego przez organ nadzorczy postępowania wyjaśniającego, a jeszcze przed wszczęciem niniejszego postępowania administracyjnego w zakresie możliwości naruszenia przez T. (…) S.A. obowiązków wynikających z art. 38 ust. 3 i ust. 6 rozporządzenia 2016/679. Powyższe przejawiło się w likwidacji V., a następnie w wyodrębnieniu stanowiska IOD w strukturze organizacyjnej Spółki oraz zmianie treści Regulaminu organizacyjnego T. (…) S.A. (zob. pkt 6 ppkt 8 uzasadnienia decyzji). Jakkolwiek okoliczność ta – zestawiona z innymi kryteriami wskazanymi w art. 83 ust. 2 rozporządzenia 2016/679, które Prezes UODO poczytał na niekorzyść Spółki (zob. pkt 54-61 uzasadnienia decyzji) – nie mogła samodzielnie przesądzić o odstąpieniu od nałożenia administracyjnej kary pieniężnej, to jednak zezwoliła ona na znaczną redukcję jej wymiaru.
63.
Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy niemające ani obciążającego, ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
64.
Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).
W przedmiotowej sprawie Prezes UODO poddał ocenie wywiązywanie się przez Spółkę z ciążących na niej na gruncie przepisów art. 38 ust. 3 i ust. 6 rozporządzenia 2016/679 obowiązków. Przypisane zaś naruszenia ww. przepisów prawa mają charakter formalny i jako takie pozostają w oderwaniu od kwestii szkód o charakterze materialnych lub niematerialnym, jakie mogły stać się udziałem osób, których dane dotyczą. Fakt, że nie wystąpiły okoliczności, w których Spółka miałaby podejmować aktywność w celu zminimalizowania szkód poniesionych przez te osoby sprawia, że niniejsza przesłanka nie może zostać potraktowana jako element oceny stwierdzonych w toku niniejszego postępowania naruszeń przepisów rozporządzenia 2016/679.
65.
Stopień odpowiedzialności z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 rozporządzenia 2016/679 (art. 83 ust. 2 lit. d rozporządzenia 2016/679). Ze względu na charakter naruszeń przepisów art. 38 ust. 3 i ust. 6 rozporządzenia 2016/679, stwierdzonych w niniejszej sprawie – które to naruszenia w swej istocie nie wiążą się ze stosowanymi przez Spółkę środkami technicznymi i organizacyjnymi związanymi z procesami przetwarzania danych osobowych w Spółce – należy przyjąć, iż przesłanka wskazana w art. 83 ust. 2 lit. d) rozporządzenia 2016/679 nie ma wpływu ani obciążającego, ani łagodzącego na wymiar orzeczonej administracyjnej kary pieniężnej.
66.
Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679). Prezes UODO w toku postępowania ustalił, że Spółka dołożyła starań by zapewnić, że IOD swoją funkcję będzie pełnił w sposób niezależny, jednocześnie zwalniając go z wykonywania innych zadań i obowiązków, co w konsekwencji doprowadziło do usunięcia stwierdzonego konfliktu interesów. Nastąpiło to jednak z własnej inicjatywy Spółki, przed wszczęciem niniejszego postępowania administracyjnego. Nie można więc tutaj mówić o „współpracy z organem”, która to współpraca mogłaby być traktowana jako okoliczność łagodząca w ramach przesłanki sformułowanej w art. 83 ust. 2 lit. f) rozporządzenia 2016/679. Natomiast działanie Spółki, o którym mowa powyżej, potraktowane zostało przez Prezesa UODO jako „inny łagodzący czynnik”, o którym mowa w art. 83 ust. 2 lit. k) rozporządzenia 2016/679 (zob. pkt 62 uzasadnienia decyzji).
67.
Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679). Ze względu na okoliczność, że naruszenia polegające na niezapewnieniu by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania swoich zadań, zaś wykonywanie przez niego innych zadań i obowiązków nie powodowało konfliktu interesów nie wiążą się bezpośrednio z naruszeniem ochrony jakichkolwiek danych osobowych (i ich kategorii), przesłanka ta ze swej istoty nie może mieć zastosowania do oceny tych naruszeń.
68.
Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie (art. 83 ust. 2 lit. h rozporządzenia 2016/679).
Prezes UODO dowiedział się o możliwości naruszenia przez Spółkę art. 38 ust. 3 i ust. 6 rozporządzenia 2016/679 w toku postępowania wyjaśniającego, zainicjowanego wskutek notyfikacji organowi nadzorczemu naruszenia ochrony danych osobowych, polegającego na uzyskaniu przez osobę nieuprawnioną dostępu do danych osobowych zawartych w dokumencie PIT-11 (zob. pkt 1-3 uzasadnienia decyzji). Jednocześnie, jak wskazuje EROD, „sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, może stanowić istotną okoliczność obciążającą albo łagodzącą. Przy ocenie tego aspektu szczególną wagę można przypisać kwestii, czy administrator lub podmiot przetwarzający powiadomił o naruszeniu organ nadzorczy z własnej inicjatywy, a jeśli tak, to w jakim zakresie, zanim organ nadzorczy został poinformowany o naruszeniu w drodze - na przykład - skargi lub postępowania. (…) W przypadku gdy organ nadzorczy dowiedział się o naruszeniu na przykład w wyniku skargi lub w toku postępowania, co do zasady element ten należy uznać również za okoliczność neutralną. Organ nadzorczy może uznać ten fakt za okoliczność łagodzącą, jeżeli administrator lub podmiot przetwarzający zgłosili naruszenie z własnej inicjatywy, zanim organ nadzorczy dowiedział się o danej sprawie”[33]. Z uwagi na fakt, iż niejako bezwiednie zasygnalizowane organowi bezprawne zachowanie administratora nie stanowi „naruszenia ochrony danych osobowych” w rozumieniu art. 4 pkt 12 rozporządzenia 2016/679 – tj. naruszenia bezpieczeństwa prowadzącego do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – Spółka nie miała obowiązku zgłoszenia go organowi nadzorczemu w trybie przewidzianym w art. 33 omawianego aktu prawnego. Należy bowiem wskazać, że przepisy rozporządzenia 2016/679 nie nakładają na administratorów analogicznego obowiązku w sytuacji wystąpienia naruszenia, które nie skutkuje zakłóceniem bezpieczeństwa przetwarzanych danych osobowych, mogącym wpłynąć na poufność, integralność lub dostępność tych danych. Tym samym sposób, w jaki organ dowiedział się o naruszeniu – w toku postępowania wyjaśniającego wszczętego na skutek notyfikacji przez Spółkę naruszenia ochrony danych osobowych – należy ocenić jako fakt neutralny, niemający znaczenia dla rozstrzygnięcia niniejszej decyzji.
69.
Jeżeli wobec administratora, którego sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków (art. 83 ust. 2 lit. i rozporządzenia 2016/679). Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Spółki w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Spółka nie miała obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie organu nadzorczego, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonych naruszeń.
70.
Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 (art. 83 ust. 2 lit. j rozporządzenia 2016/679). Spółka na dzień wydania decyzji nie stosowała zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Spółki. Na jej korzyść mogłaby być natomiast uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów, jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzania danych osobowych, jednak w przedmiotowej sprawie okoliczność taka nie wystąpiła.
71.
Inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy (art. 83 ust. 2 lit. k rozporządzenia 2016/679) – Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszeń i na wysokość orzeczonej za nie administracyjnej kary pieniężnej.

Ustalenie wysokości kary z zastosowaniem Wytycznych 04/2022

72.
Ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej nałożonej na Spółkę Prezes UODO zastosował metodykę przyjętą przez EROD w Wytycznych 04/2022. Zgodnie z przedstawionymi w tym dokumencie wskazówkami Prezes UODO przeprowadził niżej przedstawiony proces kalkulacji kary.
73.
Jako podstawę obliczenia administracyjnej kary pieniężnej Prezes UODO przyjął wartość obrotu Spółki za rok 2024 wynikającą ze sprawozdania finansowego za 2024 rok, załączonego do pisma Spółki z 7 sierpnia 2025 r. Zgodnie z tym dokumentem obrót Spółki w roku 2024 (tj. w „poprzednim roku obrotowym”, rozumianym jako rok poprzedzając wydanie decyzji[34]) wyniósł (…) zł, co – w przeliczeniu na euro (wg średniego kursu euro z 28 stycznia 2025 r., przyjętego dla tego oraz dla wszelkich innych poniższych przeliczeń walutowych zgodnie z art. 103 u.o.d.o., zgodnie z którym 1 euro = 4,2092 zł) – stanowi równowartość kwoty (…) euro. Dodatkowo z przedstawionego przez Spółkę sprawozdania finansowego za rok 2023, załączonego do pisma Spółki z 12 maja 2025 r., wynika, że jej obrót w tym roku obrotowym wyniósł (…) zł, zaś w roku 2022 – (…) zł.
74.
Prezes UODO dokonał kategoryzacji stwierdzonych w niniejszej sprawie naruszeń przepisów rozporządzenia 2016/679 (zob. Rozdział 4.1 Wytycznych 04/2022). Naruszenia przepisów art. 38 ust. 3 i ust. 6 rozporządzenia 2016/679 należą – zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą niższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 10 000 000 EUR lub do 2 % obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Są one więc in abstracto mniej poważne od naruszeń przewidzianych w art. 83 ust. 5 rozporządzenia 2016/679, zagrożonych wyższą administracyjną karą pieniężną – z górną granicą w kwocie 20 000 000 EUR lub do 4 % obrotu przedsiębiorstwa z poprzedniego roku obrotowego.
75.
Prezes UODO ustalił również prawnie określoną maksymalną wysokość kary możliwą do orzeczenia wobec Spółki w niniejszej sprawie – zob. Rozdział 6.1 Wytycznych 04/2022. Przepis art. 83 ust. 4 lit. a) rozporządzenia 2016/679 zobowiązuje Prezesa UODO do określenia, czy w sprawie zastosowanie będzie miała tzw. „statyczna kwota maksymalna” (10 000 000 euro), czy „dynamiczna kwota maksymalna” (2 % obrotu z poprzedniego roku obrotowego), i do przyjęcia kwoty wyższej jako kwoty maksymalnej, której orzeczona w sprawie administracyjna kara pieniężna nie może przekroczyć. Wartość 2 % obrotu Spółki za poprzedni rok obrotowy to kwota (…) zł (równowartość (…) euro). W związku z tym, że jest to kwota wyższa niż statyczna kwota maksymalna (10 000 000 euro), Prezes UODO zobligowany jest do jej przyjęcia jako maksimum, którego nie może przekroczyć orzekając wobec Spółki administracyjną karę pieniężną.
76.
Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenia jako naruszenie o średnim poziomie powagi (zob. Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które tyczą się strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679) oraz umyślny lub nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679) – z pominięciem kategorii danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679), jako że stwierdzone naruszenia nie wiązały się bezpośrednio z przetwarzaniem danych osobowych. Szczegółowa ocena tych okoliczności przedstawiona została powyżej (zob. pkt 54-58 uzasadnienia decyzji). Rozważenie ich łącznego wpływu na ocenę przypisanych Spółce naruszeń rozpatrywanych łącznie prowadzi do wniosku, że poziom ich powagi jest średni. Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 10 % do 20 % maksymalnej wysokości kary możliwej do orzeczenia wobec Spółki[35]. Zważywszy na dynamiczną kwotę maksymalną ustaloną dla Spółki (zob. pkt 75 uzasadnienia) będzie to kwota od (…) zł ((…) euro) do kwoty (…) zł ((…) euro). Za adekwatną i uzasadnioną okolicznościami niniejszej sprawy kwotę wyjściową Prezes UODO uznał kwotę (…) zł, stanowiącą równowartość (…) euro (10 % prawnie określonej maksymalnej wysokości kary dla Spółki).
77.
Stosownie do wskazówek EROD odnoszących się do przedsiębiorstw, których roczny obrót wynosi powyżej 500 mln EUR[36], Prezes UODO nie uznał za zasadne skorzystania z możliwości obniżenia przyjętej w oparciu o ocenę wysokiej powagi naruszenia kwoty wyjściowej, którą to możliwość wytyczne te (w Rozdziale 4.3) przewidują dla przedsiębiorstw o mniejszej wielkości i sile gospodarczej. EROD wskazuje bowiem, że w przypadku wielkich podmiotów (a takim w niniejszej sprawie niewątpliwie jest Spółka, o czym świadczą osiągane przez nią obroty) „wielkość przedsiębiorstwa jest już odzwierciedlona w dynamicznej ustawowej maksymalnej kwocie”[37].
78.
Prezes UODO dokonał następnie oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (zob. Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się – jak zakładają Wytyczne 04/2022 – do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie i po jego zaistnieniu, a także ewentualnie do innych okoliczności istotnych dla sprawy. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej (zob. pkt 59-71 uzasadnienia decyzji). W tym miejscu wskazać jedynie należy, że dwie spośród nich miały wpływ na wymiar orzeczonej kary. Prezes UODO uznał, że okolicznością obciążającą Spółkę są stwierdzone przez Prezesa UODO stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 (art. 83 ust. 2 lit. e) rozporządzenia 2016/679). Natomiast okolicznością łagodzącą, i to w sposób znaczący, wymiar orzeczonej kary jest fakt usunięcia przez Spółkę stanu naruszenia (art. 83 ust. 2 lit. k) rozporządzenia 2016/679). Pozostałe przesłanki z art. 83 ust. 2 (lit. c), d), f), h), i), oraz j)) rozporządzenia 2016/679 nie miały wpływu ani łagodzącego, ani obciążającego na ocenę naruszenia i w konsekwencji na wymiar kary. Ze względu więc na zaistnienie w sprawie dodatkowych okoliczności mających wpływ na ocenę naruszenia za zasadne Prezes UODO uznał dalsze skorygowanie kwoty kary ustalonej na podstawie oceny powagi naruszenia (zob. pkt 76 uzasadnienia). Adekwatnym do łącznego wpływu obu tych przesłanek na ocenę naruszenia jest w ocenie Prezesa UODO dalsze obniżenie wysokości kary o 40 % – do kwoty (…) zł, stanowiącej równowartość (…) euro. Tak wyraźne obniżenie wysokości kary na tym etapie jej kalkulacji jest przede wszystkim efektem uwzględnienia przez Prezesa UODO faktu usunięcia przez Spółkę naruszenia jeszcze przed wszczęciem niniejszego postępowania administracyjnego. To działanie Spółki zezwoliło bowiem na usunięcie jednego z celów, którym służyć ma administracyjna kara pieniężna – konieczności przywrócenia stanu zgodnego z prawem.
79.
Pomimo tego, że ustalona zgodnie z powyższymi zasadami kwota kary nie przekracza prawnie określonego maksimum kary, Prezes UODO uznał, że wymaga ona dodatkowej korekty ze względu na zasadę proporcjonalności wymienioną w art. 83 ust. 1 rozporządzenia 2016/679, jako jedną z trzech dyrektyw wymiaru kary (zob. Rozdział 7 Wytycznych 04/2022). Niewątpliwie kara pieniężna w wysokości (…) zł byłaby karą skuteczną, która pozwoliłaby osiągnąć cel represyjny zastosowanej sankcji, jakim jest ukaranie administratora za jego bezprawne zachowanie. Kara w takim wymiarze byłaby również odstraszającą, tj. pozwalającą skutecznie zniechęcić zarówno Spółkę, jak i innych administratorów do popełniania w przyszłości podobnych naruszeń przepisów rozporządzenia 2016/679. Kara w tej wysokości byłaby jednak – zdaniem Prezesa UODO – karą nieproporcjonalną ze względu na swoją nadmierną dolegliwość.
80.
Zgodnie z Wytycznymi 04/2022 zasada proporcjonalności wymaga, by przyjęte środki nie wykraczały poza to, co odpowiednie i konieczne do realizacji uzasadnionych celów, którym mają służyć dane przepisy, przy czym, w przypadku gdy istnieje możliwość wyboru spośród większej liczby odpowiednich rozwiązań, należy stosować to najmniej dotkliwe[38]. Innymi słowy, jak przyjmuje się w polskiej doktrynie, „[s]ankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku”[39].
81.
Należy zauważyć, że wzgląd na jak najmniejszą dolegliwość zastosowanej sankcji przemawia w niniejszej sprawie za obniżeniem wysokości kary nałożonej na Spółkę. Wyważając wpływ na wymiar kary zasady proporcjonalności, a także jednocześnie konieczności zachowania waloru skuteczności i odstraszającego charakteru kary, czyli wszystkich wymogów wskazanych w art. 83 ust. 1 rozporządzenia 2016/679 – które są wobec siebie równorzędne i na równi istotne – Prezes UODO wziął pod uwagę szczególny status Spółki, kontekst jej działalności jako (…), a także jej aktualną sytuację finansową wynikającą po części z tego kontekstu oraz otoczenia regulacyjnego, w którym Spółka działa.
82.
Z przedstawionego przez Spółkę sprawozdania finansowego za 2024 r. wynika, że obrót (przychód netto) Spółki w tym okresie wyniósł (…) zł, przy czym Spółka poniosła stratę netto w kwocie około (…) zł. Dla porównania, w roku 2023 obrót Spółki kształtował się na poziomie (…) zł, przy stracie netto w wysokości około (…) zł. Oznacza to wzrost obrotów Spółki o 3%, w stosunku do roku poprzedniego, przy jednoczesnym zmniejszeniu wygenerowanej straty o 69%. Choć dane te niewątpliwie świadczą o wciąż trudnej sytuacji finansowej T. (…) S.A., to jednak widoczny wzrost wzmiankowanych wskaźników implikuje postępującą jej stabilizację. Oceniając kondycję finansową Spółki Prezes UODO uwzględnił fakt, że osiągane przez nią wyniki uzależnione są w znacznej mierze od szczególnego charakteru wykonywanej przez nią działalności gospodarczej. T. (…) S.A. jest bowiem jednoosobową spółką (…). Straty finansowe, które Spółka odnotowała w ostatnich latach, ściśle wiążą się z ciążącym na niej obowiązkiem (…), które to usługi nie podlegają warunkom wolnego rynku. Jako (…) – co wpływa zarówno na konkurencyjność Spółki, jak i zwiększenie kosztów, które Spółka musi ponosić w związku z utrzymaniem oraz rozwijaniem swojej infrastruktury, w tym (…). Z drugiej jednak strony konsekwencją szczególnego statusu Spółki jest wsparcie, jakie ta uzyskuje (…). W sytuacji, gdy (…).
83.
Uwzględniając powyższe należy stwierdzić, że ujemny wynik finansowy Spółki w latach 2023-2024 wynikał z (…) przez Spółkę w latach 2021-2022. Opóźnienie to powodowane było, po pierwsze, koniecznością notyfikowania tego kosztu (jako pomocy publicznej) Komisji Europejskiej, a po drugie opóźnieniem w wydaniu przez ten organ decyzji o zgodności refinansowania z unijnymi zasadami udzielania pomocy publicznej. Ostatecznie jednak w czerwcu 2024 r. Spółka otrzymała wstępną płatność na poczet finansowania kosztu netto (…) w latach 2021-2022 (w wysokości ok. (…) zł), a decyzją z (…) 2024 r. Komisja Europejska potwierdziła zgodność, z prawem Unii Europejskiej, pomocy publicznej polegającej na finansowaniu tego kosztu przez państwo polskie w latach 2021-2025 . Następstwem powyższego było wydanie przez Prezesa Urzędu Komunikacji Elektronicznej (dalej: „Prezes UKE”) decyzji z (…) określającej kwotę refinansowania zweryfikowanego kosztu netto za rok 2023 w wysokości ok. (…) zł. Wpływ ww. środków pieniężnych Spółka odnotowała 13 marca 2025 r. , co – z uwagi na kwotę wsparcia – z pewnością pomogło ustabilizować jej sytuację finansową. Dodatkowo decyzją Prezesa UKE ogłoszoną (…) T. (…) S.A. została (…) Z kolei mocą ustawy (…) zwiększono limit wydatków budżetowych na rzecz Spółki, w celu umożliwienia wypłaty Spółce rekompensaty za straty poniesione przez nią w związku (…). Zgodnie z założeniami ustawy – której przepisy weszły w życie z dniem (…) – limit ten został określony na kwotę (…) zł w 2026 r. (celem pokrycia straty za 2024 r.) oraz na kwotę (…) zł w 2027 r. (celem pokrycia straty za 2025 r.). Uwzględniając powyższe należy założyć, że w obecnej sytuacji dalsze funkcjonowanie Spółki jest niezagrożone, zaś jej wyniki finansowe (tak w roku bieżącym, jak i latach kolejnych) powinny stopniowo ulegać poprawie. Zauważać to zdaje się również sama Spółka, która w „(…)” do sprawozdania finansowego za rok 2024 wskazuje, że „zdaniem Zarządu T. (…) S.A., nie występuje niepewność, iż Spółka nie będzie w stanie kontynuować działalności w okresie 12 miesięcy od dnia bilansowego” (tj. od (…) do (…)).
84.
Analizując kondycję finansową Spółki w kontekście oceny dolegliwości kary i jej skutków dla dalszego funkcjonowania ukaranej, Prezes UODO uwzględnił również podejmowane przez Spółkę samodzielnie próby poprawy jej sytuacji finansowej. W sierpniu 2024 r. Spółka rozpoczęła wdrażanie działań naprawczych obejmujących m.in.: przyjęcie przez zarząd Spółki tzw. „Planu (…)” (zakładającego przekształcenie Spółki w „nowoczesną firmę (…)”[41]), wypowiedzenie Zakładowego (…) na dzień (…) oraz wdrożenie Programu (…), trwającego od (…) do (…). Prezes UODO ma świadomość, że wszystkie ww. działania naprawcze, konieczne i usprawiedliwione sytuacją finansową Spółki, mogą mieć wpływ na możliwość wywiązywania się przez nią z powierzonych jej zadań publicznych. W tych okolicznościach nałożenie na Spółkę kary nadmiernie dolegliwej mogłoby wiązać się z ryzykiem obniżenia jakości świadczonych przez nią usług, czy też zakłócić proces wdrażania (…). Jednocześnie jednak organ nadzorczy zauważa, że podejmowana przez Spółkę aktywność służąca odbudowaniu jej pozycji rynkowej przynosi pierwsze efekty. W szczególności aktywność ta zezwoliła na zmniejszenie kosztów działalności prowadzonej przez Spółkę, w tym ograniczenie kosztów („optymalizację”) zatrudnienia – czego dowodem jest niewątpliwie decyzja Zarządu Spółki o zakończeniu procesu redukcji zatrudnienia oraz o wypłaceniu pracownikom, w drugiej połowie 2025 r., premii rocznych o łącznej wartości (…) zł[44]. Zdaniem Prezesa UODO trwający w Spółce proces transformacji zezwala na przyjęcie, że jej sytuacja, choć nadal skomplikowana, ulegnie poprawie i to w najbliższej perspektywie. Dokonana na tym etapie redukcja kary, którą Prezes UODO uznał za nadmiernie dolegliwą, uwzględnia również tę okoliczność.
85.
Uznając zatem, że kara w wysokości (…) zł (uwzględniająca powagę naruszenia, wielkość przedsiębiorstwa Spółki oraz wszystkie okoliczności wskazane w art. 83 ust. 2 rozporządzenia 2016/679, a przy tym niewątpliwie skuteczna i odstraszająca) byłaby karą nadmiernie dolegliwą i tym samą nieodpowiadającą zasadzie proporcjonalności, Prezes UODO dokonał dalszego obniżenia jej wysokości – o 88 % w stosunku do kwoty uzyskanej po uwzględnieniu dodatkowych okoliczności wpływających obciążająco i łagodząco na wymiar kary (zob. pkt 78 uzasadnienia decyzji), to jest do kwoty 978 128 zł (równowartość 232 378,72 euro). Zdaniem organu nadzorczego taki wymiar ostatecznej wysokości orzeczonej kary nie wpłynie na obniżenie jej skuteczności czy odstraszającego charakteru. Kwota ta stanowi bowiem pewien próg, powyżej którego dalsze zwiększenie wysokości kary (a tym samym jej dolegliwości) nie będzie wiązało się ze wzrostem jej skuteczności, ani wzrostem jej odziaływania prewencyjnego. Z drugiej natomiast strony redukcja kary w stopniu większym niż zastosowany mogłaby doprowadzić do sytuacji, w której sankcja ta nie realizowałaby celów określonych przepisami rozporządzenia 2016/679. Takie działanie organu byłoby sprzeczne z wymogiem spójnego stosowania i egzekwowania rozporządzenia 2016/679 przez europejskie organy nadzorcze oraz równoznacznie z naruszeniem zasady równego traktowania podmiotów na rynku wewnętrznym UE i EOG. Zdaniem Prezesa UODO wysokość obrotów Spółki umożliwia jej zapłatę orzeczonej administracyjnej kary pieniężnej bez nadmiernego uszczerbku dla jej funkcjonowania oraz dla realizacji zadań wynikających z jej statusu (…). Kara ta stanowi bowiem zaledwie ok. (…) % przychodów osiągniętych przez Spółkę w roku 2024. Jednocześnie jej wysokość to jedynie ok. (…) % prawnie określonej maksymalnej wysokości kary zagrażającej Spółce za dokonane przez nią naruszenia przepisów rozporządzenia 2016/679.
86.
Prezes UODO stwierdził, że ustalona w przedstawiony powyżej sposób kwota administracyjnej kary pieniężnej nie przekracza – stosownie do art. 83 ust. 3 rozporządzenia 2016/679 – prawnie określonej maksymalnej wysokości kary przewidzianej dla najpoważniejszego naruszenia. Stwierdzone w niniejszej sprawie naruszenia art. 38 ust. 3 i 6 rozporządzenia 2016/679 zagrożone są taką samą karą w wysokości do 2 % rocznego obrotu Spółki z poprzedniego roku obrotowego; naruszenia te należy uznać więc za mające tę samą powagę w rozumieniu art. 83 ust. 3 rozporządzenia 2016/679. Jak wskazano wyżej zastosowanie ma w niniejszej sprawie w odniesieniu do Spółki „dynamiczna kwota maksymalna” to jest kwota (…) zł (równowartość (…) euro). Ustalona w sposób przedstawiony w powyższych punktach kwota kary orzeczonej łącznie za naruszenia obu przepisów rozporządzenia 2016/679 – do kwoty 978 128 zł – w sposób oczywisty nie przekracza „dynamicznej kwoty maksymalnej” określonej dla każdego z rozpatrywanych naruszeń z osobna („nie przekracza wysokości kary za najpoważniejsze naruszenie”, zgodnie z literalnym brzmieniem art. 83 ust. 3 rozporządzenia 2016/679).

Podsumowanie

87.
Uwzględniając ustalone okoliczności faktyczne i uwarunkowania prawne Prezes UODO – za naruszenia art. 38 ust. 3 i ust. 6 rozporządzenia 2016/679, przypisywane w niniejszym postępowaniu T. (…) S.A., nałożył na nią administracyjną karę pieniężną w wysokości 978 128 zł, stanowiącą równowartość 232 378,72 euro. Zastosowana wobec Spółki kara została nałożona na podstawie art. 83 ust. 4 lit. a) w związku z art. 83 ust. 3 rozporządzenia 2016/679.
88.
W ocenie Prezesa UODO ww. sankcja finansowa spełnia funkcje kary określone w art. 83 ust. 1 rozporządzenia 2016/679 i stanowi możliwie adekwatną, a nade wszystko sprawiedliwą reakcję organu nadzorczego na stwierdzone naruszenia przepisów rozporządzenia 2016/679. Nałożenie administracyjnej kary pieniężnej w kwocie ustalonej przez organ nadzorczy jest konieczne i uzasadnione charakterem, wagą, jak i pozostałymi okolicznościami sprawy, które organ nadzorczy uznał za obciążające w kontekście przypisanych Spółce naruszeń. Jednocześnie Prezes UODO zauważa, że zastosowanie wobec Spółki jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b) rozporządzenia 2016/679), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości oraz nie gwarantowałoby tego, że Spółka w przyszłości nie dopuściłaby się kolejnych zaniedbań w sferze ochrony danych.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
[1] Dz. U. z 2025 r. poz. 1691.
[2] Dz. U. z 2019 r. poz. 1781.
[3] Dz. Urz. UE L 119, s. 1, Dz. Urz. UE L 127 z 2018 r., str. 2, Dz. Urz. UE L 74 z 2021 r., s. 35.
[4] Wersja aktualna, dostęp on-line: https://uodo.gov.pl/497/2371 .
[5] Zob. wyrok TSUE z 9 lutego 2023 r., C-453/21, X-Fab Dresden GmbH & Co. KG, pkt 41.
[6] G. Sibiga, B. Żeromski, Konsekwencje warunku unikania konfliktu interesów inspektora ochrony danych dla dopuszczalnego zakresu jego zadań w ochronie danych osobowych, Monitor Prawniczy dodatek do Nr 11/2024, s. 85.
[7] Zob. interpretacja Prezesa UODO dotycząca pojęcia „konfliktu interesów”, dostęp on-line: https://uodo.gov.pl/pl/495/2371.
[8] Zob. Wytyczne WP 243 dotyczące inspektorów ochrony danych, str. 18, pkt 3.2 oraz str. 28, pkt 9, dalej jako „Wytyczne”, dostęp on-line: https://ec.europa.eu/newsroom/just/document.cfm?doc_id=48137 .
[9] Dostęp on-line: https://sjp.pwn.pl/slowniki/konflikt.html .
[10] Zob. Sprawozdanie krajowe polskiego organu nadzorczego, str. 2, dostęp on-line: https://uodo.gov.pl/pl/138/2960.
[11] Zob. wyrok TSUE z 9 lutego 2023 r., C-453/21, X-Fab Dresden GmbH & Co. KG, odpowiednio pkt 42 i pkt 44.
[12] Zob. wyrok TSUE z 9 lutego 2023 r., C-453/21, X-Fab Dresden GmbH & Co. KG, pkt 45.
[13] Zob. G. Sibiga, B. Żeromski, op. cit., s. 85.
[14] Zob. interpretacja Prezesa UODO dotyczące pojęcia „konfliktu interesów”, dostęp on-line: https://uodo.gov.pl/pl/495/2398.
[15] Zob. wyrok TSUE z 9 lutego 2023 r., C-453/21, X-Fab Dresden GmbH & Co. KG, pkt 44.
[16] Zob. Komentarz do art. 38 [w] E. Bielak-Jomaa (red.), D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. Lex/el 2018.
[17] Por. G. Sibiga, Inspektor ochrony danych wobec działań władczych organu nadzorczego w sprawach indywidualnych, Monitor Prawniczy dodatek do Nr 23/2020, str. 66.
[18] Por. wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 18 września 2025 r., sygn. akt II SA/Wa 295/25.
[19] Zob. P. Fajgielski, Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Lex/el 2022.
[20] Zob. interpretacja Prezesa UODO dotycząca pojęcia konfliktu interesu, dostęp on-line: https://uodo.gov.pl/pl/495/2372.
[21] Zob. interpretacja Prezesa UODO dotycząca pojęcia „konfliktu interesów”, dostęp on-line: https://uodo.gov.pl/pl/495/2371.
[22] Zob. G. Sibiga, B. Żeromski, op. cit., str. 85.
[23] Zob. wyrok TSUE z 9 lutego 2023 r., C-453/21, X-Fab Dresden GmbH & Co. KG, pkt 25.
[24] Zob. wyrok TSUE z 9 lutego 2023 r., C-453/21, X-Fab Dresden GmbH & Co. KG, pkt 42.
[25] Zob. Wytyczne 04/2022 w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO. Wersja 2.1. Przyjęte 24 maja 2023 r., str. 9, pkt 17, dostępne w Internecie: https://edpb.europa.eu/system/files/2024-01/edpb_guidelines_042022_calculationofadministrativefines_pl_0.pdf [dostęp: 01.09.2025 r.], dalej: „Wytyczne 04/2022”.
[26] Tamże, str. 10, pkt 24.
[27] Tamże, str. 12, pkt 28.
[28] Zob. decyzję Prezesa Urzędu Komunikacji Elektronicznej (…).
[29] Zob. informację o zbieraniu danych osobowych przez Spółkę: https://(…) [dostęp: 01.09.2025 r.].
[30] Zob. wersję aktualną stanowiska Prezesa UODO: https://uodo.gov.pl/497/2371 [dostęp: 01.09.2025 r.]
[31] Zob. Wytyczne 04/2022, str. 29, pkt 88.
[32] Zob.: decyzja administracyjna Prezesa UODO z 17.03. 2025 r., sygn. (…), dostępna: https://uodo.gov.pl/decyzje/(…) [dostęp: 01.09.2025 r.]
[33] Zob. Wytyczne 04/2022, str. 31, pkt 98-99.
[34] Zob. Wytyczne 04/2022, str. 41, pkt 131.
[35] Zob. Wytyczne 04/2022, str. 22, pkt 60 tiret drugie.
[36] Tamże, str. 26, pkt 66 tiret czwarte.
[37] Tamże.
[38] Zob. Wytyczne 04/2022, str.42, pkt 137.
[39] Komentarz do art. 83 [w] P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz. Komentarz do art. 83. Legalis.
[40] Dz. U. z 2025 r., poz. 366.
[41] Zob. komunikat Spółki: (…).
[42] Zob. komunikat (…).
[43] Zob. komunikat Spółki: (…).
[44] Zob. komunikat Spółki: (…).