Decyzja DKN.5131.7.2025

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572 ze zm.) w związku z art. 7, art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. i), art. 83 ust. 1 – 3, art. 83 ust. 4 lit. a) w związku z art. 38 ust. 6 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej „rozporządzeniem 2016/679”,

po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przez Q. Sp. z o.o. (ul. (…), (…)-(…) H.) przepisów o ochronie danych osobowych Prezes Urzędu Ochrony Danych Osobowych,

stwierdzając naruszenie przez Q. Sp. z o.o. (ul. (…), (…)-(…) H.), jako administratora, przepisu art. 38 ust. 6 rozporządzenia 2016/679, w związku z pełnieniem funkcji inspektora ochrony danych przez osobę zajmującą stanowisko prezesa zarządu w strukturze organizacyjnej podmiotu w okresie od 16 lipca 2018 roku do 4 lipca 2024 roku, nie zapewniając tym samym, by wykonywane przez inspektora ochrony danych inne zadania i obowiązki nie powodowały konfliktu interesów,

nakłada na Q. Sp. z o.o. (ul. (…), (…)-(…) H.) administracyjną karę pieniężną w wysokości 11 365 zł (słownie: jedenaście tysięcy trzysta sześćdziesiąt pięć złotych).

Uzasadnienie

1.

Q. Sp. z o.o. (ul. (…), (…)-(…) H.), zwana dalej również „Administratorem” lub „Spółką”, jest podmiotem, którego podstawowy charakter działalności gospodarczej skoncentrowany jest na udzielaniu świadczeń i usług medycznych, w szczególności w zakresie fizjoterapii, terapii integracji sensorycznej, logopedycznej oraz psychologicznej (zgodnie z informacjami zawartymi na oficjalnej stronie internetowej, tj. https://(…) – wydruk w aktach sprawy).

2.

11 sierpnia 2023 r. Administrator zgłosił Prezesowi Urzędu Ochrony Danych Osobowych, zwanemu dalej również „Prezesem UODO” lub „organem nadzorczym”, naruszenie ochrony danych osobowych, polegające na omyłkowym wydaniu pacjentowi zaświadczenia lekarskiego, opatrzonego w części niewłaściwymi danymi (w wyniku zaciągnięcia danych innego pacjenta z systemu).

3.

Z przedłożonego dokumentu zgłoszenia naruszenia ochrony danych osobowych wynikało, że funkcję inspektora ochrony danych (dalej jako IOD) w organizacji Administratora sprawuje Pani T. W., piastująca jednocześnie w strukturze organizacyjnej Spółki stanowisko prezesa zarządu.

4.

Przedmiotowe zgłoszenie naruszenia ochrony danych osobowych, zarejestrowane pod sygn. DKN.5130.9752.2023.AB, stało się dla organu nadzorczego impulsem do dokonania oceny realizacji przez Administratora spoczywającego na nim obowiązku wynikającego z przepisów rozporządzenia 2016/679 dotyczącego wyznaczenia i statusu IOD.

5.

W konsekwencji prowadzonych na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679 czynności wyjaśniających, w związku ze zgromadzonymi w ich wyniku informacjami, Prezes UODO 20 maja 2025 r. wszczął z urzędu postępowanie administracyjne (DKN.5131.7.2025.AB) w przedmiocie naruszenia przez Spółkę, jako administratora danych, obowiązków wynikających z przepisu art. 38 ust. 6 rozporządzenia 2016/679, w związku z pełnieniem funkcji inspektora ochrony danych przez osobę zajmującą stanowisko prezesa zarządu w strukturze organizacyjnej podmiotu w okresie od 16 lipca 2018 roku do 4 lipca 2024 roku, nie zapewniając tym samym, by wykonywane przez inspektora ochrony danych inne zadania i obowiązki nie powodowały konfliktu interesów.

Prezes UODO, w wyniku przeprowadzonych czynności wyjaśniających oraz postępowania administracyjnego ustalił następujący stan faktyczny.

6.

W związku z przekazanym 11 sierpnia 2023 r. zgłoszeniem naruszenia ochrony danych osobowych, Prezes UODO pismem z 16 sierpnia 2023 roku zwrócił się do Administratora m.in. o przekazanie wyjaśnień i dowodów dotyczących pełnienia funkcji IOD przez osobę zajmującą w jego organizacji stanowisko prezesa zarządu w kontekście obowiązków administratora regulowanych w art. 38 rozporządzenia 2016/679, a dotyczących zapewnienia określonego statusu IOD. W szczególności Administratora wezwano do przedstawienia przeprowadzonej ewentualnie analizy dotyczącej dopuszczalności łączenia ww. funkcji, w kontekście wymogu zapewnienia niezależności IOD oraz wykluczenia wystąpienia potencjalnego konfliktu interesów.

7.

Administrator udzielił odpowiedzi na ww. wezwanie Prezesa UODO w piśmie z 28 sierpnia 2023 r. wskazując, że:

a)

w 2018 r., przed podjęciem decyzji o powołaniu IOD, Administrator przeprowadził analizę w postaci oceny niezależności IOD. Wedle przekazanych przez niego informacji cyt.: „Kwestia ta była również przedmiotem analizy w ramach trwającego od września 2022 r. kompleksowego przeglądu wewnętrznych procedur i dokumentacji RODO w Q. Sp. z o.o., realizowanego przez zewnętrznego eksperta ds. RODO – r. pr. U. G. (wcześniej K. M.). Rekomendacje dotyczące obowiązku powołania IOD-a przez Q. Sp. z o.o. oraz możliwości pełnienia tejże funkcji przez Prezesa Zarządu miały być końcowym elementem przeprowadzanych zmian, zaplanowanym na wrzesień br. [2023 r.] Dotychczas, w ww. obszarze dotyczącym pełnienia funkcji IOD, opracowaliśmy nową procedurę realizacji funkcji IOD w Spółce, przewidującą odpowiednie regulacje dające gwarancję odpowiedniego wsparcia IOD przez ekspertów zewnętrznych oraz Koordynatora ds. RODO (nową funkcję pomocniczą dla IOD w Spółce), co odpowiada bieżącym potrzebom Spółki w tym obszarze”;

b)

24 sierpnia 2023 r. Administrator przeprowadził ponowną analizę niezależności IOD, która nie wykazała zagrożenia dla prawidłowości pełnienia funkcji IOD przez prezesa zarządu, w rezultacie czego wynik sporządzonej oceny był pozytywny. Ponadto, Spółka wskazała cyt.: „obecne rozwiązanie uważamy za optymalne, gwarantujące najlepszą opiekę merytoryczną osób, których dane dotyczą, Spółki jako administratora oraz IOD-a”. Ww. dokument p.n. „(…)”, opatrzony na końcu adnotacją: „Sporządzono: 22 sierpnia 2023 r., r. pr. U. G.” został dołączony do wyjaśnień Administratora z 28 sierpnia 2023 r.

c)

podtrzymanie decyzji o pełnieniu funkcji IOD przez osobę zajmującą stanowisko prezesa zarządu (mając na uwadze pozytywny wynik oceny niezależności IOD-a) wynikało z ograniczeń finansowych Spółki – cyt.: „przy naszych realnych możliwościach finansowych, ale też bieżących potrzebach Spółki, nie jesteśmy w stanie finansowo ponieść kosztów wynagrodzenia mec. Z. w zakresie pełnienia funkcji IOD, co wiązałoby się z ponoszeniem stałych, comiesięcznych kosztów, niezależnie od bieżącego zapotrzebowania Spółki na wiedzę ekspercką”.

8.

Prezes UODO, chcąc doprecyzować stan faktyczny przedmiotowej sprawy, pismem z 7 maja 2025 r. zwrócił się do Administratora o przekazanie informacji, czy aktualnie w Spółce funkcję prezesa zarządu i inspektora ochrony danych w dalszym ciągu pełni ta sama osoba, a w przypadku zmiany w ww. zakresie – o wskazanie kiedy nastąpiła i na czym konkretnie polega zmiana. Dodatkowo, organ nadzorczy zobowiązał Administratora do przekazania cyt.: „nowej procedury realizacji funkcji IOD”, o której mowa w piśmie podmiotu z 25 sierpnia 2023 r.

9.

Spółka pismem z 15 maja 2025 r. ustosunkowała się do zagadnień ujętych w piśmie organu nadzorczego z 7 maja 2025 r. informując, że cyt.: „Na dzień sporządzenia niniejszego pisma, funkcji prezesa zarządu oraz Inspektora Ochrony Danych w Spółce Q. Sp. z o.o. nie pełni ta sama osoba. Zmiana w zakresie pełnienia funkcji IOD nastąpiła w dniu 5 lipca 2024 r., kiedy to na mocy uchwały Zarządu Spółki wyznaczono na Inspektora Ochrony Danych Pana J. C. – osobę prowadzącą działalność gospodarczą i wykonującą obowiązki IOD w ramach umowy cywilnoprawnej”. Do ww. pisma Administratora z 7 maja 2025 r. dołączony został dokument p.n. „(…)” (stanowiący załącznik nr 19 do (…) obowiązującej w Spółce) oraz dokument potwierdzający cyt.: „zawiadomienie Urzędu o wyznaczeniu nowego Inspektora Ochrony Danych”.

10.

Administrator pismem z 3 czerwca 2025 r. poinformował, że prezes zarządu Pani T. W. pełniła równolegle funkcję IOD w okresie od 16 lipca 2018 r. do 4 lipca 2024 r.

W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

11.

W myśl art. 34 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, zwanej dalej: ustawą z 10 maja 2018 r., Prezes UODO jest organem właściwym w sprawie ochrony danych i organem nadzorczym w rozumieniu rozporządzenia 2016/679. Prezes UODO prowadzi postępowania w sprawie naruszenia przepisów o ochronie danych osobowych (art. 60 ustawy z 10 maja 2018 r.), przy czym w sprawach nieuregulowanych w ww. ustawie, do postępowań administracyjnych przed Prezesem UODO, w szczególności unormowanych w rozdziale 7 ustawy z 10 maja 2018 r. – postępowań w sprawie naruszenia przepisów o ochronie danych osobowych, stosuje się ustawę z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego, zwaną dalej również Kpa. Stosownie do art. 57 ust. 1 lit. a) i h) rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia oraz prowadzi postępowania w sprawie stosowania niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego.

I. Naruszenie art. 38 ust. 6 rozporządzenia 2016/679.

12.

Zgodnie z art. 4 pkt 7 rozporządzenia 2016/679, administratorem jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

13.

Inspektor ochrony danych to osoba, która ma wspierać administratora i podmiot przetwarzający w zapewnieniu zgodności przetwarzania i ochrony danych z przepisami o ochronie danych osobowych. Inspektor ochrony danych zastąpił administratora bezpieczeństwa informacji, którego status i kompetencje były określone w art. 36a u.o.d.o^[1]. W odróżnieniu od wcześniejszej krajowej regulacji, która przewidywała możliwość powołania ABI, unijne rozporządzenie nakłada obowiązek powołania inspektora ochrony danych we wskazanych w art. 37 ust. 1 rozporządzenia 2016/679 przypadkach. Przepisy unijnego rozporządzenia określają również wymogi, jakie powinna spełniać osoba pełniąca funkcję inspektora, dopuszczają możliwość wyznaczenia jednego inspektora dla kilku przedsiębiorców lub podmiotów publicznych, określają status inspektora ochrony danych, a także nakładają na administratora wymóg opublikowania danych kontaktowych inspektora i zawiadomienia o nich organu nadzorczego^[2].

14.

Zadania i obowiązki spoczywające na IOD unormowane zostały w art. 39 rozporządzenia 2016/679 i obejmują one swoim zakresem:

a)

informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;

b)

monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

c)

udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;

d)

współpraca z organem nadzorczym;

e)

pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

15.

Odnosząc się do zagadnienia związanego z zadaniami, jakie ciążą na osobie pełniącej funkcję IOD, w tym miejscu należy również powołać art. 38 ust. 4 rozporządzenia 2016/679, który podkreśla, że osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia.

16.

W procedowanym postępowaniu kluczowy natomiast jest art. 38 ust. 6 rozporządzenia 2016/679 odnoszący się do statusu IOD. Zgodnie z ww. przepisem inspektor ochrony danych może wykonywać inne zadania i obowiązki, jedynie w sytuacji, gdy Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.

17.

Punktem wyjścia dla rozważań w przedmiotowej materii jest zinterpretowanie pojęcia „konfliktu interesów”. Konflikt interesów to pojęcie, które w systemie prawa polskiego nie zostało zdefiniowane. W zgodzie z jedną z zasad wykładni prawa, pojęciom niezdefiniowanym należy nadawać ich znaczenie językowe. Interes to sprawa lub sprawy dotyczące, obchodzące kogoś, a konflikt to sprzeczność. Konflikt interesów to sytuacja, w której istnieje obawa negatywnego wpływu określonych okoliczności na bezstronne oraz bezinteresowne wykonywanie obowiązków służbowych. Jest to więc konflikt pomiędzy interesem podmiotu, w którego imieniu się działa, a interesem prywatnym^[3]. Z kolei, Słownik Języka Polskiego nakazuje rozumieć „konflikt interesów”, jako „różnicę między wartościami, postawami itp., której nie sposób usunąć”^[4].

18.

Podobne znaczenie przypisuje się „konfliktowi interesu” w innych językach. W słowniku języka angielskiego wydawnictwa Cambridge konflikt interesów (ang. conflict of interests) określono jako sytuację, w której dana osoba nie może podejmować sprawiedliwej, uczciwej decyzji, ponieważ skutki decyzji będą miały na nią wpływ. W słowniku wydawnictwa Longman „konflikt interesów” przedstawia się jako sytuację, w której dana osoba nie może wykonywać swojej pracy uczciwie, ponieważ ma moc decydowania o czymś w sposób, który byłby dla niej korzystny, chociaż może to nie być najlepsza decyzja.

19.

Celem pełniejszego zrozumienia wykładni art. 38 ust. 6 rozporządzenia 2016/679 warto powołać stanowisko Trybunału Sprawiedliwości Unii Europejskiej (dalej jako TSUE) ujęte w wyroku z 9 lutego 2023 r. (453/21, X-FAB DRESDEN GMBH & CO. KG PRZECIWKO FC), które w pkt 46 nadmienia, że cyt.: „(…) art. 38 ust. 6 RODO należy interpretować w ten sposób, że 'konflikt interesów' w rozumieniu tego przepisu może istnieć w sytuacji, gdy osoba będąca IOD otrzymuje inne zadania lub obowiązki, które prowadziłyby do określania przez nią celów i sposobów przetwarzania danych osobowych u administratora lub jego podmiotu przetwarzającego”.

20.

Mając na uwadze powyższe, wskazać należy, że unijny ustawodawca wprowadził możliwość wykonywania przez IOD dodatkowych zadań i obowiązków, ponad te wyznaczone zakresem przepisów art. 38 ust. 4 oraz art. 39 rozporządzenia 2016/679. Powyższa zasada nie zwalnia jednak administratora (względnie podmiotu przetwarzającego) z obowiązku zapobiegania występowaniu ewentualnych konfliktów interesów w działalności IOD w związku z powierzeniem mu dodatkowych obowiązków i zadań. Niezwykle celnie wypowiedział się w tej materii TSUE w powołanym wyżej wyroku z 9 lutego 2023 r., gdzie zważył, że „(…) zgodnie z celem realizowanym przez art. 38 ust. 6 RODO nie można powierzyć osobie będącej IOD wykonywania zadań lub obowiązków, które mogłyby zaszkodzić pełnieniu funkcji, które wykonuje jako IOD” (por. wyrok TSUE z 9 lutego 2023 r., C-453/21, X-Fab Dresden GmbH & Co. KG, pkt 41). W konsekwencji, identyfikacja potencjalnego konfliktu interesu następować powinna w ścisłym nawiązaniu do wyznaczonych ww. przepisami rozporządzenia 2016/679 zadań IOD. Powyższa argumentacja doznaje wzmocnienia w zestawieniu z faktem, iż podstawowym celem przyświecającym podejmowanym przez IOD aktywnościom pozostaje świadczenie w sposób niezależny na rzecz wzmiankowanych podmiotów wsparcia w obszarze realizacji przez te podmioty obowiązków wynikających z przepisów o ochronie danych osobowych^[5].

21.

Zatem na gruncie przepisów o ochronie danych osobowych, konflikt interesów w działalności IOD następuje zawsze wtedy, gdy niemożliwym będzie pogodzenie prawidłowego wykonywania jego zadań, przypisanych mu w przepisach art. 38 ust. 4 oraz art. 39 rozporządzenia 2016/679, z realizacją innych zadań i obowiązków, gdyż pomiędzy tymi zadaniami i obowiązkami występuje sprzeczność, uniemożliwiająca odpowiednią ich realizację. W przypadku IOD sprzeczność taka może wynikać z występowania przez niego jednocześnie w dwóch rolach lub podejmowania przez niego działań lub decyzji, które następnie muszą podlegać jego ocenie zgodnie z art. 39 ust. 1 lit. b) rozporządzenia 2016/679.

22.

Prezes UODO w swoich wystąpieniach wielokrotnie odnosił się do kwestii konfliktu interesów wśród osób pełniących funkcję IOD oraz dopuszczalności łączenia funkcji IOD z innymi stanowiskami – przy czym organ nadzorczy wyraźnie zaznaczał, że cyt.: „Niedopuszczalne jest powołanie na IOD osoby będącej kierownikiem (zarządzającym) podmiotem posiadającym status administratora lub podmiotu przetwarzającego, takich jak np. członka zarządu stowarzyszenia, dyrektora szkoły, wójta, członka zarządu spółki. Przyjęcie odmiennego stanowiska prowadziłoby do sytuacji, w których IOD w zakresie przestrzegania przepisów o ochronie danych osobowych – oceniałby i monitorował samego siebie”^[6].

23.

Stanowisko Prezesa UODO odnośnie do ww. problematyki zostało również uwzględnione w „Sprawozdaniu krajowym polskiego organu nadzorczego”^[7] – podsumowującym badanie Europejskiej Rady Ochrony Danych przeprowadzone w ramach CEF (Coordinated Enforcement Framework) w zakresie pozycji i wyznaczania inspektorów ochrony danych (CEF DPO). Niniejszy dokument zawiera rekomendacje organu nadzorczego dotyczące statusu IOD, które podkreślają cyt.: „iż ocena, czy w przypadku konkretnej osoby i wykonywanych przez nią zadań nie występuje konflikt interesów, powinna być dokonywana indywidualnie z uwzględnieniem konkretnych okoliczności. Oznacza to, że możliwość zaistnienia konfliktu powinna być stale monitorowana, ponieważ przyczyny takiego konfliktu mogą wystąpić również w późniejszym czasie, po rozpoczęciu pełnienia funkcji przez IOD”.

24.

Wyraźnego zaznaczenia wymaga fakt, iż IOD, któremu przypisuje się szczególną rolę i szczególne znaczenie w dziedzinie zapewniania właściwego przestrzegania przepisów o ochronie danych osobowych, musi mieć dla tego celu zagwarantowane odpowiednie warunki funkcjonowania, a więc takie, które pozwolą mu na efektywną, niezależną oraz prawidłową realizację obowiązków wynikających z przepisów prawa, co wynika z art. 38 ust. 2 i 3 rozporządzenia 2016/679. W tym kontekście za słuszny uznać należy pogląd, zgodnie z którym nakładanie na IOD zadań i obowiązków prowadzących do powstania konfliktu interesów, stawia pod znakiem zapytania nie tylko możliwość efektywnego wypełniania przez niego zadań, do realizacji których zobowiązuje go dyspozycja normy art. 39 rozporządzenia 2016/679, ale godzi w same fundamenty instytucji IOD, opartej w pierwszym rzędzie na niezależności jego funkcjonowania (por. Sprawozdanie krajowe polskiego organu nadzorczego, s. 2).

25.

Ze względu na wartość merytoryczną, w tym miejscu warto przywołać również rozstrzygnięcie Gegevensbeschermingsautoriteit (GBA), belgijskiego organu nadzorczego właściwego do spraw ochrony danych osobowych, który decyzją z 28 kwietnia 2020 r.^[8] nałożył administracyjną karę pieniężną (w wysokości 50 000 EUR) na operatora telekomunikacyjnego w związku z niedopełnieniem przez ten podmiot obowiązku zapewnienia niezależności inspektora ochrony danych osobowych. Belgijski regulator podkreślił w swoim rozstrzygnięciu, że to na administratorze spoczywa obowiązek zagwarantowania, aby zadania nałożone na IOD (w tym przypadku kierowanie aż trzema komórkami organizacyjnymi ukaranej spółki) oraz obowiązki związane z pełnieniem tej funkcji nie prowadziły do konfliktu interesów. IOD powinien mieć niezależny status w organizacji i zapewnioną swobodę w podejmowaniu autonomicznych decyzji. Osoba pełniąca tę funkcję nie może – zdaniem organu – być również odpowiedzialna za wykonywanie innych zadań u administratora, które wiązałyby się z określaniem celu i środków związanych z czynnościami przetwarzania danych osobowych^[9].

26.

Zaprezentowane wyżej zgodne poglądy organów nadzorczych oraz judykatury związane z pojęciem konfliktu interesów w działalności IOD znajdują swoje dalsze potwierdzenie w opinii Grupy Roboczej Art. 29 zawartej w Wytycznych dotyczących inspektorów ochrony danych („DPO”) (dalej jako Wytyczne). Stwierdza się w niej bowiem wyraźnie, że „(…) Wymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny. I choć DPO [z ang. IOD – dod. wł.] mogą posiadać inne zadania i obowiązki to jednak te nie mogą powodować konfliktu interesów. Oznacza to, że DPO nie może zajmować w organizacji stanowiska pociągającego za sobą określanie sposobów i celów przetwarzania danych. Ze względu na indywidualny charakter każdej organizacji ten aspekt powinien być analizowany osobno dla każdego podmiotu”. W ww. Wytycznych przedstawiony został również przykładowy zbiór stanowisk kierowniczych, których łączenie z funkcją IOD prowadzi – co do zasady – do konfliktu interesów, tj. dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT. Co równie istotne, za powodujące konflikt interesów uważane są przez Grupę Roboczą Art. 29 również niższe stanowiska, o ile osoby je piastujące biorą udział w określaniu celów i sposobów przetwarzania danych osobowych. Zatem, na podstawie przytoczonej powyżej opinii Grupy Roboczej Art. 29, w sposób oczywisty należy stwierdzić, że nieakceptowalne jest pełnienie funkcji IOD przez osobę zajmującą równocześnie stanowisko prezesa zarządu.

27.

Jednocześnie, w celu przeciwdziałania możliwości naruszenia przepisów rozporządzenia 2016/679 we wzmiankowanych Wytycznych proponuje się wdrożenie określonych działań. Jako dobre praktyki w pierwszym rzędzie wymienia się przy tym zidentyfikowanie przez administratorów lub podmioty przetwarzające stanowisk niekompatybilnych z funkcją IOD oraz opracowanie wewnętrznych zasad uniemożliwiających łączenie stanowisk pozostających w konflikcie interesów.

28.

Po przeanalizowaniu przedłożonego przez Spółkę pismem z 25 sierpnia 2023 r. dokumentu pt. „(…)”, Prezes UODO stwierdził, że przedmiotowa analiza została przeprowadzona na kanwie indywidualnej, błędnej wykładni przepisu art. 38 ust. 6 rozporządzenia 2016/679 – co w rezultacie skutkowało wyciągnięciem przez Administratora nieprawidłowych wniosków odnośnie do dopuszczalności i poprawności przyjętych rozwiązań w zakresie statusu IOD (pełnienia tej funkcji przez osobę będącą jednocześnie prezesem zarządu Spółki).

29.

Przywołany dokument (vide: pkt 27) składa się z wyodrębnionych na płaszczyźnie art. 38 rozporządzenia 2016/679 warunków (od 1 do 7) dotyczących statusu IOD, których spełnienie gwarantuje prawidłową realizację zadań i niezależną rolę IOD w organizacji Administratora. Już na wstępnym etapie jego weryfikacji nie sposób przeoczyć, że osobą zatwierdzającą przedmiotową analizę była Pani T. W. (prezes zarządu oraz IOD) – co doprowadziło do sytuacji, gdzie osoba, której personalnie dotyczyła opinia, sama zadecydowała o jej prawidłowości i rzetelności. Powyższe jest bezsprzecznym przejawem konfliktu interesu oraz braku niezależności, a zarazem przykładem potwierdzającym tezę, że łączenie stanowisk kierowniczych z pełnieniem funkcji IOD w ramach jednej struktury organizacyjnej jest niedopuszczalne (vide: pkt 21, 24).

30.

Dokonując analizy dalszej części „(…)” należy przywołać warunek 5 ww. dokumentu, który bezpośrednio dotyczy konfliktu interesów. Zdaniem Administratora cyt.: „(…)”.

31.

Mając na uwadze powyższe, Prezes UODO na wstępie pragnie zaznaczyć, że ww. argumentacja Administratora odnosząca się do specyfiki i charakteru prowadzonej przez niego działalności oraz korelującej z nią tajemnicy lekarskiej, a także kategorii danych przetwarzanych w ramach organizacji (tj. dane szczególnej kategorii, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679), pozostaje bez znaczenia w kontekście obowiązku nałożonego przez unijnego prawodawcę na administratora w art. 38 ust. 6 rozporządzenia 2016/679. W sposób oczywisty zatem przytoczone wyjaśnienia Administratora są merytorycznie nieadekwatne i nie mogą stanowić uzasadnienia dla przyjętych przez niego rozwiązań w procedowanej sprawie.

32.

Nie sposób nie zwrócić przy tym uwagi na niekonsekwencję Administratora, który sam (w analizowanym dokumencie, warunek 5) potwierdził, że ma świadomość, co do ograniczeń prawnych związanych z łączeniem funkcji IOD z innymi stanowiskami – cyt.: „Spółka ma świadomość, że co do zasady funkcja IOD oraz Prezesa Zarządu nie powinny być łączone”. Zatem, w tak nakreślonym stanie faktycznym, niezrozumiałe dla organu nadzorczego jest, że mimo dysponowania przez Administratora wiedzą na temat rekomendacji związanych z pełnieniem funkcji IOD, w tym jego zadań i statusu, podtrzymał on swoje stanowisko wskazując w piśmie z 25 sierpnia 2023 r., że cyt.:

„

obecne rozwiązanie uważamy za optymalne, gwarantujące najlepszą opiekę merytoryczną osób, których dane dotyczą, Spółki jako administratora oraz IOD-a. Mamy świadomość, że rozwiązanie to nie jest idealne, jednak stoimy na stanowisku, że:

–

Prezes Zarządu – Pani T. W. posiada wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych w sektorze usług medycznych zdobyte podczas licznych szkoleń oraz w praktyce pełnienia funkcji IOD w Q. przez wiele lat. IOD może, a wręcz powinien, korzystać ze wsparcia merytorycznego ekspertów zewnętrznych i jest to przejaw wsparcia IOD-a w wypełnianiu przez niego zadań, co IOD w Q. realizuje właśnie poprzez zapewnienie sobie bieżącego wsparcia zewnętrznego eksperta;

–

bieżące wsparcie zewnętrznego eksperta stanowi też bieżący sposób podnoszenia wiedzy fachowej przez IOD-a Q.;

–

w przypadku Q. Sp. z o.o. połączenie funkcji Prezesa Zarządu i IOD nie generuje konfliktu interesów, bowiem Prezes Zarządu zapewnia już odpowiednią ochronę danych objętych tajemnicą lekarską oraz informacji o pacjentach, przetwarzanych w Spółce. Jednocześnie jest to największy zasób zawierający dane osobowe, przetwarzany w Spółce. Zatem rozszerzenie ww. obowiązków o zapewnienie zgodności z RODO w przypadku naszej Spółki stanowi wręcz dopełnienie ww. obowiązków aniżeli generowanie konfliktu interesów”.

33.

Co więcej, uwzględniając stanowisko Prezesa UODO dotyczące pełnienia funkcji IOD przez kierownika komórki organizacyjnej^[10] Administrator w przekazanej „(…)” wysunął daleko idące wnioski (tj. cyt.: „skoro stanowisko to nie wyklucza wprost takiej możliwości, wydaje się, że – po spełnieniu wszystkich wymaganych warunków – tym bardziej IOD-em może być kierownik organizacji, niepodlegający służbowo pod żaden organ spółki”), które nie znajdują poparcia ani w prezentowanych poglądach organu nadzorczego, judykaturze ani w powołanych wytycznych Grupy Roboczej Art. 29, lecz stanowią wyłącznie subiektywną i niepopartą prawnie ocenę Administratora.

34.

Zasadnym aspektem wzmacniającym przytoczoną argumentację organu nadzorczego w omawianej problematyce jest również dyspozycja unijnego prawodawcy wynikająca z art. 38 ust. 3 rozporządzenia 2016/679, która podnosi, że inspektor ochrony danych, w ramach struktury organizacyjnej, podlega służbowo (w sposób bezpośredni) najwyższemu kierownictwu administratora (względnie podmiotu przetwarzającego). Tym samym, tak sformułowana regulacja implikuje konieczność oraz obowiązek rozdzielenia funkcji kierowniczych z funkcją IOD. W przedmiotowej sprawie, w sposób oczywisty Administrator nie zapewnił stosowanego zaszeregowania dla IOD, gdyż to właśnie osoba uplasowana w najwyższej hierarchii organizacji (tj. prezes zarządu) sprawowała jednocześnie stanowisko IOD.

35.

Podsumowując dotychczasowe rozważania zawarte w niniejszej decyzji, za błędne należy uznać stanowisko Administratora akceptujące okoliczności, w których, w ramach jednej organizacji, funkcję IOD pełni osoba piastująca równolegle stanowisko prezesa zarządu. Należy zaznaczyć, że uchybiając wymogowi niezależności IOD, Spółka nie sprostała obowiązkom umożliwiającym wypełnianie przez IOD zadań zgodnie z nadrzędnym celem rozporządzenia 2016/679, które – jak wynika z jego motywu 10 – dąży do zapewnienia wysokiego poziomu ochrony osób fizycznych w Unii (por. wyrok TSUE z 9 lutego 2023 r., C-453/21, X-Fab Dresden GmbH & Co. KG, pkt 25).

36.

Należy podkreślić, że art. 38 ust. 6 rozporządzenia ukierunkowany jest na cel zdefiniowany jako ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych (art. 1 ust. 2 rozporządzenia 2016/679) oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). Gwarantem zaś wspomnianych praw przynależnych osobom fizycznym pozostaje w ramach wykonywanych zadań (określonych w art. 39 rozporządzenia 2016/679), korzystający ze szczególnego statusu w systemie ochrony danych osobowych (na podstawie art. 38 rozporządzenia 2016/679), inspektor ochrony danych. Warunkiem koniecznym dla zachowania tego statusu jest niezależność funkcjonalna IOD, zapewnieniu której służy między innymi przepis art. 38 ust. 6 rozporządzenia 2016/679 (por. wyrok TSUE z 9 lutego 2023 r., C-453/21, X-Fab Dresden GmbH & Co. KG, pkt 42).

37.

Jednocześnie zaznaczenia wymaga, że Administrator pismem z 15 maja 2025 r. (vide: pkt 9) poinformował organ nadzorczy o zmianie dokonanej w zakresie pełnienia funkcji IOD w swojej strukturze organizacyjnej – wskazując, że 5 lipca 2024 r. stanowisko IOD objął Pan J. C., wykonujący obowiązki IOD w ramach umowy cywilnoprawnej. Dodatkowo, Spółka w ramach wprowadzonych zmian kadrowych dokonała stosownego zgłoszenia (tj. zawiadomienie o wyznaczeniu nowej osoby do pełnienia funkcji IOD w Q. Sp. z o.o. z siedzibą w H.) do Urzędu Ochrony Danych Osobowych. Tym samym przyjąć należy, że z ww. chwilą (z dniem 5 lipca 2024 r.) ustał stan naruszenia przez Spółkę przepisu art. 38 ust. 6 rozporządzenia 2016/679.

38.

Podsumowując powyższe rozważania należy stwierdzić, że w okresie od 16 lipca 2018 r. do 4 lipca 2024 r. funkcję IOD w strukturze organizacyjnej Administratora pełniła osoba piastująca jednocześnie stanowisko prezesa zarządu – prowadząc w rezultacie do powstania konfliktu interesów, a w konsekwencji przesądzając o naruszeniu przez Spółkę art. 38 ust. 6 rozporządzenia 2016/679.

II. Administracyjna kara pieniężna

39.

Postępowanie administracyjne prowadzone przez Prezesa UODO służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej w celu zastosowania uprawnień naprawczych określonych w art. 58 ust. 2 rozporządzenia 2016/679.

40.

Mając na uwadze powyższe, jak również stwierdzone w niniejszym postępowaniu naruszenie przepisów o ochronie danych osobowych, Prezes UODO – korzystając z uprawnienia określonego w art. 58 ust. 2 lit. i) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)-h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej określonej w art. 83 ust. 4 lit. a) – stwierdził, że w rozpatrywanej sprawie zmaterializowały się przesłanki uzasadniające nałożenie na Spółkę administracyjnej kary pieniężnej.

41.

Zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 - 39 oraz 42 i 43, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Przesłanki wymiaru kary – zastosowanie art. 83 ust. 2 rozporządzenia 2016/679

42.

Decydując o nałożeniu administracyjnej kary pieniężnej z tytułu naruszenia przez Spółkę art. 38 ust. 6 rozporządzenia 2016/679, Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.

43.

Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a) rozporządzenia 2016/679) – charakter naruszenia jest okolicznością obciążającą z uwagi na fakt, że Administrator jako profesjonalny podmiot, którego istotną część prowadzonej działalności gospodarczej stanowi przetwarzanie na dużą skalę danych (w tym danych szczególnych kategorii) wiążące się ze stosunkowo wysokim ryzykiem naruszenia praw lub wolności podmiotów danych, obowiązany był dołożyć szczególnej staranności celem powierzenia obowiązków IOD w prawidłowy sposób.

Europejski prawodawca w art. 38 ust. 6 rozporządzenia 2016/679 ustanowił obowiązek zapewnienia, by inne zadania i obowiązki IOD nie powodowały konfliktu interesów. Uznał bowiem przez wzgląd na istotę i doniosłość tej funkcji dla bezpieczeństwa danych, że jest ona znacząca i wymaga pełnej niezależności merytorycznej oraz dalece posuniętej niezależności w hierarchii organizacyjnej administratora. Zaniechawszy spełnienia ww. wymogu, Administrator wyraźnie osłabił bezpieczeństwo przetwarzanych danych i sprzeniewierzył się podstawowym obowiązkom administratora ustanowionym w przepisach rozporządzenia 2016/679.

Zapewnienie braku konfliktu interesów niezależności IOD, zważywszy na powyższe okoliczności przetwarzania, tj. biorąc pod uwagę charakter, zakres i skalę przetwarzania danych osobowych, przekłada się na bezpieczeństwo tych danych, a w rezultacie na prawa i wolności osób, których dane są przetwarzane, w tym także sposób ich realizacji.

Dodatkowo, jak wynika z zebranego materiału dowodowego, naruszenie przepisów rozporządzenia 2016/679 dotyczących IOD odbywało się w sposób ciągły i zaplanowany od dnia wyznaczenia Pani T. W. do pełnienia funkcji IOD, tj. od dnia 16 lipca 2018 r., aż do 4 lipca 2024 r. Zmiana w zakresie pełnienia funkcji IOD nastąpiła w dniu 5 lipca 2024 r., kiedy to na mocy uchwały Zarządu Spółki wyznaczono na IOD Pana J. C. (pkt 9 i 37 uzasadnienia). Należy zatem stwierdzić, że naruszenie było długotrwałe, trwało niemalże 6 lat, przy czym dwukrotnie w tym okresie dokonywano analizy statusu IOD w kontekście jego niezależności i przyjmowano, błędny w ocenie organu nadzorczego wniosek o braku konfliktu interesów w piastowaniu tej funkcji przez prezesa zarządu Spółki.

Na stwierdzone niniejszą decyzją naruszenie przepisu art. 38 ust. 6 rozporządzenia 2016/679 pozostaje bez wpływu kryterium liczby poszkodowanych osób, których dane dotyczą, oraz rozmiar poniesionej przez nich szkody, ponieważ w przedmiotowej sprawie nie stwierdzono osób poszkodowanych. Należy też zauważyć, że ww. naruszenie nie miało bezpośredniego związku z przetwarzaniem przez Spółkę danych osobowych, tak więc do wyrządzenia szkód osobom fizycznym w przedmiotowej sprawie nie doszło i nie mogło dojść z uwagi na istotę tego naruszenia. Niemniej jednak z uwagi na charakter, wagę i czas trwania wyżej wskazanego naruszenia przepisów rozporządzenia 2016/679, przedmiotową przesłankę rozpatrywaną w sposób całościowy należy ocenić jako obciążającą.

44.

Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679) - z materiału dowodowego zebranego w toku postępowania wynika, że Spółka przed podjęciem decyzji o powołaniu IOD (w 2018 r.) przeprowadziła analizę pod kątem niezależności osoby powołanej na to stanowisko i nie stwierdziła nieprawidłowości. Następnie podtrzymała swoje stanowisko w ponownej analizie (w 2023 r.) (pkt. 28-32 uzasadnienia). Należy zatem stwierdzić, że Spółka świadomie wyznaczyła osobę będącą prezesem zarządu na funkcję IOD w sposób niezapewniający prawidłowej realizacji zadań i niezależnej roli IOD w organizacji Administratora. Treść argumentacji Spółki mająca przemawiać za dopuszczalnością przyjętego rozwiązania, wbrew prezentowanym poglądom organu nadzorczego, judykatury i przywołanych wytycznych Grupy Roboczej Art. 29, wskazuje, że działania w ww. zakresie nosiły znamiona umyślnego działania, tj. okoliczności sprawy wskazują, że Spółka miała świadomość niedopuszczalności łączenia stanowisk kierowniczych z pełnieniem funkcji IOD oraz potencjalnych skutków z tego wynikających, wpływających na przestrzeganie art. 38 ust. 6 rozporządzenia 2016/679, jednak godziła się na ich potencjalne wystąpienie.

W Wytycznych EROD 04/2022 dotyczących obliczania administracyjnych kar pieniężnych na podstawie RODO (wersja 2.1) przyjętych 24 maja 2023 r., zwanych dalej „Wytycznymi 04/2022”, wskazano, że „umyślny lub nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b) RODO) należy oceniać z uwzględnieniem obiektywnych elementów zachowania zebranych w oparciu o okoliczności faktyczne sprawy. EROD podkreśliła, że powszechnie uznaje się, iż «wykazujące pogardę wobec przepisów prawa umyślne naruszenia są poważniejsze niż te nieumyślne». W przypadku umyślnego naruszenia istnieje prawdopodobieństwo, że organ nadzorczy przypisze temu czynnikowi większą wagę.”

45.

Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił na korzyść Administratora, w ramach przesłanki „innych łagodzących czynników, mających zastosowanie do okoliczności sprawy” (art. 83 ust. 2 lit. k rozporządzenia 216/679), fakt, że Administrator podjął ostatecznie działania mające na celu doprowadzenie do stanu zgodnego z przepisami rozporządzenia 2016/679 w zakresie statusu IOD. Zmiana w zakresie pełnienia funkcji IOD nastąpiła w dniu 5 lipca 2024 r., kiedy to na mocy uchwały zarządu spółki wyznaczono na IOD Pana J. C. w ramach umowy cywilnoprawnej (zob. pkt 9 i 37 uzasadnienia). Usunięcie przez Administratora stanu naruszenia miało wpływ dla określenia wymiaru kary i zostało ocenione jako istotna okoliczność łagodząca.

46.

Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie przepisów rozporządzenia 2016/679, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.

47.

Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679)

Prezes UODO nie stwierdził, aby naruszenie przez Administratora przepisów rozporządzenia 2016/679, tj. brak zapewnienia, by wykonywane przez IOD inne zadania i obowiązki nie powodowały konfliktu interesów, spowodował wystąpienie szkód u osób, których dane obejmował proces przetwarzania. Wobec tego żadne działania mające na celu zminimalizowanie szkody nie były wymagane. Zważywszy na charakter naruszenia art. 38 ust. 6 rozporządzenia 2016/679, omawiana przesłanka nie miała wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.

48.

Stopień odpowiedzialności Administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679)

Naruszenie przepisu art. 38 ust. 6 rozporządzenia 2016/679 nie ma związku ze stosowanymi przez Administratora środkami technicznymi i organizacyjnymi, o których mowa w art. 25 i 32 rozporządzenia 2016/679, zatem przesłanka wskazana w art. 83 ust. 2 lit. d) rozporządzenia 2016/679 nie ma w rozpatrywanym przypadku wpływu ani obciążającego, ani łagodzącego na wymiar orzeczonej administracyjnej kary pieniężnej.

49.

Wszelkie stosowne wcześniejsze naruszenia ze strony Administratora (art. 83 ust. 2 lit. e rozporządzenia 2016/679)

Organ nadzorczy zobowiązany jest do zwrócenia uwagi na wszelkie wcześniejsze naruszenia rozporządzenia 2016/679. Prezes UODO nie stwierdził jakichkolwiek, dokonanych przez Administratora, wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. Obowiązkiem każdego administratora jest przestrzeganie przepisów prawa (w tym o ochronie danych osobowych), więc brak wcześniejszych naruszeń nie może być okolicznością łagodzącą przy wymierzaniu sankcji. EROD w Wytycznych 04/2022 w pkt 94 wprost wskazuje, że: „Brak wcześniejszych naruszeń nie może jednak zostać uznany za okoliczność łagodzącą, ponieważ przestrzeganie przepisów RODO stanowi normę. Brak wcześniejszych naruszeń można uznać za okoliczność o charakterze neutralnym”.

50.

Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679) Administrator podjął ostatecznie działania mające na celu doprowadzenie do stanu zgodnego z przepisami rozporządzenia 2016/679 w zakresie statusu IOD (zob. pkt 9 i 37 uzasadnienia). Działania te Administrator podjął z własnej inicjatywy, samodzielnie i bez wyraźnej rekomendacji ze strony organu nadzorczego. Nie można więc tutaj mówić o „współpracy z organem”, która to współpraca mogłaby być traktowana jako okoliczność łagodząca w ramach przesłanki sformułowanej w art. 83 ust. 2 lit. f) rozporządzenia 2016/679. Natomiast działanie Administratora, o którym mowa powyżej, uwzględnione zostało przez Prezesa UODO jako „inny łagodzący czynnik”, o którym mowa w art. 83 ust. 2 lit. k) rozporządzenia 2016/679 – zob. pkt 44 uzasadnienia.

51.

Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679) Ze względu na okoliczność, że naruszenie polegające na braku zapewnienia, by wykonywane przez IOD inne zadania i obowiązki nie powodowały konfliktu interesów, nie wiąże się bezpośrednio z naruszeniem ochrony jakichkolwiek danych osobowych (i ich kategorii), przesłanka ta ze swej istoty nie może mieć zastosowania do oceny tego naruszenia.

52.

Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679) Prezes UODO dowiedział się o naruszeniu z urzędu – w toku postępowania w przedmiocie zgłoszenia naruszenia ochrony danych osobowych dokonanego przez Administratora. W związku z tym brak jest podstaw do uznania tej okoliczności za działającą na jego korzyść. Jak stanowią Wytyczne 04/2022 w pkt 99: „W przypadku gdy organ nadzorczy dowiedział się o naruszeniu na przykład w wyniku skargi lub w toku postępowania, co do zasady element ten należy uznać […] za okoliczność neutralną”.

53.

Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679). Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.

54.

Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679) Administrator nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów i podmiotów przetwarzających w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść. Na korzyść Administratora natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów, jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.

55.

Inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k rozporządzenia 2016/679) Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej. W szczególności nie stwierdził, by Administrator osiągnął w związku z naruszeniem jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat.

Ustalenie wysokości kary z zastosowaniem Wytycznych 04/2022

56.

Ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej nałożonej na Administratora Prezes UODO zastosował metodykę przyjętą przez EROD w Wytycznych 04/2022. Zgodnie z przedstawionymi w tym dokumencie wskazówkami Prezes UODO przeprowadził niżej przedstawiony proces kalkulacji kary.

57.

Jako podstawę obliczenia administracyjnej kary pieniężnej Prezes UODO przyjął wartość obrotu Administratora za rok 2024 przedstawioną w sprawozdaniu finansowym załączonym do pisma z 18 czerwca 2025 r. Zgodnie z tym dokumentem obrót Spółki („przychody netto ze sprzedaży produktów”) w roku 2024 wyniósł (…) zł, co – w przeliczeniu na euro (wg średniego kursu euro z 28 stycznia 2025 r. wynoszącego 1 EUR: 4,2092 PLN – przyjętego dla tego oraz dla wszelkich innych poniższych przeliczeń walutowych zgodnie z art. 103 u.o.d.o.) – stanowi kwotę (…) euro.

58.

Zgodnie z przedstawionymi w Wytycznych 04/2022 wskazówkami Prezes UODO dokonał kategoryzacji stwierdzonego naruszenia przepisów rozporządzenia 2016/679 (Rozdział 4.1 Wytycznych 04/2022). Naruszenie art. 38 ust. 6 rozporządzenia 2016/679 należy – zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą niższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 10 000 000 euro lub do 2% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Są one więc in abstracto mniej poważne od drugiej grupy naruszeń podlegających administracyjnym karom pieniężnym (wskazanych w art. 83 ust. 5 i 6 rozporządzenia 2016/679).

59.

Prezes UODO ustalił prawnie określoną maksymalną wysokość kary możliwą do orzeczenia wobec Administratora w niniejszej sprawie (za oceniane w niniejszej decyzji naruszenie art. 38 ust. 6 rozporządzenia 2016/679) – patrz Rozdział 6.1 Wytycznych 04/2022. Przepis art. 83 ust. 4 lit. a) rozporządzenia 2016/679 zobowiązuje Prezesa UODO do określenia czy w sprawie zastosowanie będzie miała tzw. „statyczna kwota maksymalna” (10 000 000 euro), czy „dynamiczna kwota maksymalna” (2 % obrotu z poprzedniego roku obrotowego), i do przyjęcia kwoty wyższej jako kwoty maksymalnej, której orzeczona w sprawie administracyjna kara pieniężna nie może przekroczyć. Wartość 2 % obrotu Spółki za poprzedni rok obrotowy to kwota (…) zł (równowartość (…) euro). W związku z tym, że jest to kwota niższa niż statyczna kwota maksymalna (10 000 000 euro), Prezes UODO zobligowany jest do przyjęcia jako maksimum kwoty wynoszącej 10 000 000 euro, którego nie może przekroczyć orzekając administracyjną karę pieniężną.

60.

Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o średnim poziomie powagi (Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które dotyczą strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej. W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest średni. Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 10 % do 20 % maksymalnej wysokości kary możliwej do orzeczenia wobec Podmiotu przetwarzającego, to jest – zważywszy na limit określony w art. 83 ust. 4 rozporządzenia 2016/679 – od kwoty 1 000 000 euro do kwoty 2 000 000 euro (Podrozdział 4.2.4 Wytycznych 04/2022). Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę 1 200 000 euro (równowartość 5 051 040 zł).

61.

Prezes UODO dostosował kwotę wyjściową odpowiadającą powadze stwierdzonego naruszenia do obrotu Administratora jako miernika jego wielkości i siły gospodarczej (Rozdział 4.3 Wytycznych 04/2022). Zgodnie z Wytycznymi 04/2022, w przypadku przedsiębiorstw, których roczny obrót jest niższy lub równy 2 mln euro, organ nadzorczy może rozważyć dokonanie dalszych obliczeń wysokości kary na podstawie wartości mieszczącej się w przedziale od 0,2 % do 0,4 % kwoty wyjściowej. Zważywszy, że przychód Administratora w roku 2024 wyniósł (…) zł, to jest (…) euro (wg średniego kursu euro z dnia 28 stycznia 2025 r.), Prezes UODO za stosowne uznał skorygowanie podlegającej obliczeniom kwoty kary do wartości odpowiadającej 0,3 % kwoty wyjściowej, to jest do kwoty (…) euro (równowartość (…) zł).

62.

Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się – jak zakładają Wytyczne 04/2022 – do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej. Prezes UODO uznał (co uzasadnione zostało w przedstawionej wyżej części uzasadnienia decyzji), że okolicznością łagodzącą w przedmiotowej sprawie, i w związku z tym zmniejszającą wymiar orzeczonej kary, jest usunięcie stanu naruszenia (art. 83 ust. 2 lit. k) rozporządzenia 2016/679). Pozostałe przesłanki (z art. 83 ust. 2 lit. c), d), e), f), g), h), i), j) rozporządzenia 2016/679) – jak wskazano wyżej – nie miały wpływu, ani łagodzącego ani obciążającego, na ocenę naruszenia i w konsekwencji na wymiar kary. Ze względu na zaistnienie więc w sprawie okoliczności łagodzącej, związanej ze stroną podmiotową naruszenia, za zasadne Prezes UODO uznał zmniejszenie kwoty kary ustalonej na podstawie oceny powagi naruszeń. Adekwatnym do wpływu tej przesłanki na ocenę naruszenia jest zdaniem Prezesa UODO jej obniżenie do kwoty 11 365 zł, stanowiącej równowartość 2 700 euro.

63.

Prezes UODO uznał, że wysokość kary nie wymaga dodatkowej korekty ze względu na zasady skuteczności, proporcjonalności i odstraszającego charakteru kary wymienione w art. 83 ust. 1 rozporządzenia 2016/679 (Rozdział 7 Wytycznych 04/2022). Kara pieniężna w wysokości stanowiącej równowartość 2 700 euro będzie karą skuteczną (przez swoją dolegliwość pozwoli osiągnąć swój cel represyjny, którym jest ukaranie za bezprawne zachowanie) i odstraszającą (pozwalającą skutecznie zniechęcić zarówno Administratora, jak i innych administratorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679). Zasada proporcjonalności wymaga z kolei m.in., by przyjęte przez organ nadzorczy środki nie wykraczały poza to, co odpowiednie i konieczne do realizacji uzasadnionych celów (pkt 137 i pkt 139 Wytycznych 04/2022). Innymi słowy: „Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku” (P. Litwiński (red.), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. […]; Komentarz do art. 83 [w:] P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz). Kwota 11 365 zł stanowiąca równowartość 2 700 euro stanowi próg, powyżej którego dalsze zwiększanie wysokości kary nie będzie wiązało się ze wzrostem jej skuteczności i odstraszającego charakteru. Z drugiej natomiast strony obniżenie w większym stopniu wysokości kary mogłoby się odbyć kosztem jej skuteczności i odstraszającego charakteru, a także spójnego stosowania i egzekwowania rozporządzenia 2016/679 i zasady równego traktowania podmiotów na rynku wewnętrznym UE i EOG.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.