Decyzja

Zgodnie z art. 2 ust. 1 ustawy, do działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych w rozumieniu ustawy z dnia 26 stycznia 1984 r. – Prawo prasowe (Dz. U. z 2018 r. poz. 1914), a także do wypowiedzi w ramach działalności literackiej lub artystycznej nie stosuje się przepisów art. 5-9, art. 11, art. 13-16, art. 18-22, art. 27, art. 28 ust. 2-10 oraz art. 30 rozporządzenia 2016/679. W tym miejscu należy wyjaśnić, że mimo wyłączenia stosowania wskazanych w ww. art. 2 ust. 1 ustawy przepisów rozporządzenia 2016/679 do działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych, co jest wyrazem realizacji przez ustawodawcę obowiązku wynikającego z art. 85 rozporządzenia 2016/679, pozostałe przepisy tego rozporządzenia mają zastosowanie w tej dziedzinie. Takie wyłączenie nie dotyczy zatem m.in. obowiązków administratora nałożonych przez art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679.

Art. 24 ust. 1 rozporządzenia 2016/679 wskazuje, że administrator uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

Zgodnie z art. 32 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

Wskazać zatem należy, że do podstaw prawnej ochrony danych osobowych wprowadzonej rozporządzeniem 2016/679 należy obowiązek zapewnienia bezpieczeństwa przetwarzanych danych, określony między innymi w art. 32 ust. 1 rozporządzenia 2016/679. Przepis ten wprowadza podejście oparte na ryzyku, wskazując jednocześnie kryteria, w oparciu o które administrator powinien dokonać wyboru odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Obok ryzyka naruszenia praw lub wolności osób fizycznych należy zatem uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania. Rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 rozporządzenia 2016/679, a następnie dobór takich środków technicznych i organizacyjnych, które zapewnią odpowiedni poziom bezpieczeństwa względem tego ryzyka. W stosownych przypadkach należy wdrożyć takie środki jak pseudonimizacja i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Podmiot, który przetwarza dane osobowe, zobligowany jest nie tylko do zapewnienia zgodności z wytycznymi rozporządzenia 2016/679 poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka. Konsekwencją takiej orientacji jest rezygnacja z list wymagań, w zakresie bezpieczeństwa narzuconych przez prawodawcę, na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa. Wojewódzki Sąd Administracyjny w Warszawie w uzasadnieniu wyroku z 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19, wskazał, że „(…) Przepis ten [art. 32 rozporządzenia 2016/679] nie wymaga od administratora danych wdrożenia jakichkolwiek środków technicznych i organizacyjnych, które mają stanowić środki ochrony danych osobowych, ale wymaga wdrożenia środków adekwatnych. Taką adekwatność oceniać należy pod kątem sposobu i celu, w jakim dane osobowe są przetwarzane, ale też należy brać pod uwagę ryzyko związane z przetwarzaniem tych danych osobowych, które to ryzyko charakteryzować się może różną wysokością. Przyjęte środki mają mieć charakter skuteczny, w konkretnych przypadkach niektóre środki będą musiały być środkami o charakterze niwelującym niskie ryzyko, inne – muszą niwelować ryzyko wysokie, ważne jednak jest, aby wszystkie środki (a także każdy z osobna) były adekwatne i proporcjonalne do stopnia ryzyka (…) czynności o charakterze techniczno-organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych (…)”.

W świetle powyższego wskazać należy, że analiza ryzyka przeprowadzana przez administratora danych powinna zostać udokumentowana oraz uzasadniona na podstawie przede wszystkim określenia stanu faktycznego, istniejącego w momencie jej przeprowadzania. Należy wziąć pod uwagę w szczególności charakterystykę zachodzących procesów, aktywa, podatności, zagrożenia oraz istniejące zabezpieczenia, w ramach zachodzących procesów przetwarzania danych osobowych. Nie można również w trakcie tego procesu pominąć zakresu oraz charakteru danych osobowych przetwarzanych w toku czynności realizowanych przez administratora danych, albowiem w zależności właśnie od zakresu oraz charakteru ujawnionych danych zależeć będą potencjalne negatywne skutki dla osoby fizycznej w przypadku wystąpienia naruszenia ochrony jej danych osobowych.

Aby analiza ryzyka została przeprowadzona w sposób właściwy, winny być zdefiniowane dla każdego z aktywów zagrożenia, mogące wystąpić w procesach przetwarzania danych. Określenie aktywa używane jest dla wskazania wszystkiego, co stanowi wartość dla administratora danych. Pewne aktywa stanowić będą wartość wyższą od innych, i również z tej perspektywy winny być oceniane i zabezpieczane. Bardzo istotne są również wzajemne powiązania występujących aktywów, np. poufność aktywów (danych osobowych) zależna będzie od rodzaju i sposobu przetwarzania tych danych. Ustalenie wartości aktywów jest konieczne do oszacowania skutków ewentualnego incydentu (naruszenia ochrony danych osobowych). Jest oczywistym, że szeroki zakres danych osobowych lub przetwarzanie danych osobowych, o których mowa w art. 9 ust. 1 lub art. 10 rozporządzenia 2016/679, może spowodować (w przypadku wystąpienia naruszenia ochrony danych osobowych) daleko idące negatywne skutki dla osób, których dane dotyczą, powinny być zatem oceniane jako aktywa o wysokiej wartości, a co za tym idzie stopień ich ochrony powinien być odpowiednio wysoki.

Określenie stosowanych zabezpieczeń jest konieczne, między innymi w tym celu, aby ich nie powielać. Należy również bezwzględnie sprawdzić skuteczność funkcjonowania tych zabezpieczeń, ponieważ istnienie zabezpieczenia niesprawdzonego po pierwsze może wyeliminować jego wartość, po drugie zaś może dać fałszywe poczucie bezpieczeństwa oraz może skutkować pominięciem (niewykryciem) krytycznej podatności, która wykorzystana spowoduje negatywne skutki, w tym w szczególności może doprowadzić do naruszenia ochrony danych osobowych. Zgodnie z normą ISO/IEC 27000 podatność jest określana jako słabość bądź luka w zabezpieczeniach, która wykorzystana przez dane zagrożenie może zakłócać funkcjonowanie, a także może prowadzić do incydentów bądź naruszeń ochrony danych osobowych. Identyfikowanie zagrożeń polega na określaniu, jakie zagrożenia i z jakiego kierunku (powodu) mogą się pojawić.

Metodą przeprowadzenia analizy ryzyka jest np. zdefiniowanie poziomu ryzyka jako iloczynu prawdopodobieństwa i skutków wystąpienia danego incydentu. Konieczność przeprowadzenia analizy ryzyka podkreślona jest także w orzecznictwie. W tym przedmiocie wypowiedział się WSA w Warszawie, między innymi w wyroku z 13 maja 2021 r., sygn. II SA/Wa 2129/20, gdzie podniósł, że „Administrator danych powinien zatem przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia”. Sąd ten podobnie wypowiedział się m.in. w wyroku z 5 października 2023 r., sygn. akt II SA/Wa 502/23.

W toku przeprowadzonej kontroli ustalono, że w ramach przyjętych środków organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych, w celu realizacji obowiązków wynikających z rozporządzenia 2016/679, Spółka zarządzeniem nr (…) z (…) grudnia 2018 r. Prezesa Zarządu J. (…) S.A. w sprawie ochrony danych osobowych w J. (…) S.A. wprowadziła „Politykę bezpieczeństwa danych osobowych w J. (…) S.A.” jako załącznik nr 1 do tego zarządzenia oraz „Instrukcję zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych w J. (…) S.A.” jako załącznik nr 2 do wskazanego zarządzenia. Wprowadzona „Polityka bezpieczeństwa danych osobowych w J. (…) S.A.” w § 5 ust. 4 wskazuje, że podstawą projektowanego i utrzymywanego systemu bezpieczeństwa danych osobowych jest analiza ryzyka dokonywana doraźnie do nowych oraz podlegających zmianom procesów biznesowych (czynności przetwarzania danych), które mogą nieść ze sobą realne zagrożenie dla prywatności osób, których dane są przetwarzane w Spółce; regularna ocena ryzyka (w określonych odstępach czasu) dokonywana jest w odniesieniu do wcześniej zanalizowanych procesów w celu aktualizacji wdrożonych rozwiązań systemowych i zastosowanych zabezpieczeń. W § 5 ust. 6 ww. dokumentu wskazano zaś, że proces analizy ryzyka prowadzony jest w trybie i zakresie określonym odrębną instrukcją nie stanowiącą elementu tej Polityki w okresie nie późniejszym niż dwa lata od ostatniego szacowania ryzyka lub w sytuacji zmiany zakresu i zasad przetwarzania danych osobowych w ramach określonej czynności przetwarzania danych.

Niemniej jednak przeprowadzone czynności kontrolne wykazały, że Spółka jako administrator danych nie przeprowadziła takiej analizy ryzyka dla operacji przetwarzania danych osobowych w związku z prowadzeniem działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych. Taka analiza ryzyka nie została również przedstawiona organowi nadzorczemu w reakcji na zawiadomienie o wszczęciu postępowania administracyjnego. Nie zostały zrealizowane również postanowienia „Instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych w J. (…) S.A.”, gdzie w pkt 13 znajdują się informacje, że urządzenia i nośniki zawierające dane osobowe przekazywane poza obszar przetwarzania należy zabezpieczyć w sposób zapewniający poufność i integralność tych danych. Realizacja zabezpieczeń powinna nastąpić poprzez zaszyfrowanie nośników zawierających dane osobowe. Natomiast w toku dokonywania czynności kontrolnych stwierdzono, że (…), smartfony i dyski w laptopach nie są szyfrowane. Powyższe prowadzi do wniosku, że Spółka pomimo wprowadzenia, a właściwie tylko opracowania „Polityki bezpieczeństwa danych osobowych w J. (…) S.A.” oraz „Instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych w J. (…) S.A.” nie wdrożyła ich w pełnym zakresie, bowiem zawarte w nich postanowienia nie są przez Spółkę przestrzegane. Braki w tym zakresie świadczą o naruszeniu obowiązków administratora wynikających z art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679.

Zaznaczyć należy, że wyżej powołany art. 24 ust. 1 rozporządzenia 2016/679 obejmuje obowiązek wykazania przez administratora, że przetwarzanie odbywa się zgodnie z rozporządzeniem 2016/679, a więc wykazania, że wypełnił on obowiązek wdrożenia „odpowiednich środków technicznych i organizacyjnych”, uwzględniając przy tym pojęcie „ryzyka” jako istotnego dla każdego z kryteriów, które administrator musi brać pod uwagę przy ocenie stosowności takich środków, a mianowicie: charakter, zakres, kontekst i cel przetwarzania, a także ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia. Co więcej, powołana norma prawna wymaga, aby stosowane przez administratora środki były w razie potrzeby poddawane przeglądowi i aktualizacji. Art. 32 ust. 1 rozporządzenia 2016/679 rozwija i uszczegóławia ww. ogólne obowiązki administratora zapewnienia bezpieczeństwa przetwarzania, wskazując przy tym podstawowe środki techniczne i organizacyjne, jakie ma obowiązek wdrożyć administrator danych, aby zapewnić odpowiedni stopień ochrony. Przy czym, przy ocenie odpowiedniości stopnia bezpieczeństwa przyjętych środków, art. 32 ust. 2 rozporządzenia 2016/679 wymaga, by administrator uwzględnił ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Braki w zakresie przeprowadzenia oceny ryzyka stanowią naruszenie ww. wymogów rozporządzenia 2016/679 i świadczą o tym, że Administrator nie dokonał identyfikacji zagrożeń, które – przy prowadzonej przez Spółkę działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych – mogą wystąpić, oraz nie zidentyfikowała ryzyka dla podmiotów danych, jakie z tego mogą wynikać. Co z kolei przekłada się na niemożność dokonania oceny, jakie środki techniczne i organizacyjne będą odpowiednie do wynikających z przetwarzania danych zagrożeń. W konsekwencji, bez dokonania analizy ryzyka Spółka nie może skutecznie identyfikować i zarządzać zagrożeniami, co może doprowadzić do naruszenia praw lub wolności osób, których dane dotyczą. Nie jest w stanie bowiem wykazać, że stosowane przez nią środki techniczne i organizacyjne, mające zapewnić bezpieczeństwo przetwarzanych danych odpowiadające ryzyku naruszenia praw lub wolności tych osób przy przetwarzaniu ich danych osobowych, są odpowiednio dobrane.

Wskazać należy, że ustawa Prawo prasowe w art. 13 ust. 2 statuuje zakaz publikowania w prasie wizerunku i innych danych osobowych osób, przeciwko którym toczy się postępowanie przygotowawcze lub sądowe, jak również wizerunku i innych danych osobowych świadków, pokrzywdzonych i poszkodowanych, chyba że osoby te wyrażą na to zgodę. Do pojęcia zgody jako warunku dla zgodnego z prawem publikowania informacji pozyskanych od osób ich udzielających odwołuje się też art. 14 ustawy Prawo prasowe, który przewiduje, że publikowanie lub rozpowszechnianie w inny sposób informacji utrwalonych za pomocą zapisów fonicznych i wizualnych wymaga zgody osób udzielających informacji (ust. 1). W dalszej części przepis ten stanowi, że nie wolno bez zgody osoby zainteresowanej publikować informacji oraz danych dotyczących prywatnej sfery życia, chyba że wiąże się to bezpośrednio z działalnością publiczną danej osoby (ust. 6). Zakaz publikacji rozciąga się zatem na wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, co wynika z definicji danych osobowych zawartej w art. 4 pkt 1 rozporządzenia 2016/679. Zgodnie z tym przepisem, „dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Przestrzeganie ww. zakazu publikowania danych osobowych na gruncie przepisów o ochronie danych osobowych rodzi po stronie administratora danych obowiązek wdrożenia odpowiednich środków bezpieczeństwa gwarantujących zdolność do ciągłego zapewnienia poufności, jak również integralności, dostępności i odporności systemów i usług przetwarzania danych wykorzystywanych do prowadzenia działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych.

W toku kontroli ustalono natomiast, że weryfikacja materiałów prasowych zawierających dane osobowe, których publikacja może podlegać ograniczeniom wynikających z przepisów prawa prasowego, nie odbywa się w oparciu o jakąkolwiek procedurę postępowania z takimi materiałami, bowiem taka procedura czy instrukcja nie została przyjęta przez Spółkę jako administratora danych. Zasad w tym zakresie Administrator nie określił także w żaden inny sposób. Wprawdzie w Spółce funkcjonuje dokumentacja odnosząca się do ochrony danych osobowych, regulująca m.in. obowiązki pracowników przy przetwarzaniu danych osobowych, podstawowe zasady ochrony danych, metody zabezpieczenia danych, czy obowiązek zachowania tajemnicy, tj. „Polityka bezpieczeństwa danych osobowych w J. (…) S.A.”, z którą zaznajamiani są pracownicy przy przyjęciu do pracy (a postanowienia której, jak już wcześniej wspomniano, nie są realizowane przez Administratora), zakres obowiązków pracownika zatrudnionego przy przetwarzaniu danych osobowych, oświadczenie o zapoznaniu się z przepisami dotyczącymi ochrony danych osobowych oraz zasady etyczne dziennikarstwa. Niemniej jednak z tej dokumentacji nie można wywieść jakichkolwiek zasad dotyczących weryfikacji materiału prasowego przed jego publikacją, regulujących kwestie takie jak np. wskazanie osoby czy osób odpowiedzialnych w Spółce za przestrzeganie zakazu publikowania danych, sposobu dokumentowania i weryfikacji zgody na publikowanie danych, sposobu anonimizacji danych, itp. Weryfikacja materiałów opiera się jedynie na strukturze organizacyjnej pionu redakcyjnego i podległości służbowej pracujących w danej redakcji dziennikarzy (redaktorów).

W ocenie Prezesa Urzędu brak przejrzystej procedury weryfikacji materiałów prasowych przeznaczonych do publikacji pod kątem ich zgodności z prawem oraz pod kątem tego, czy nie naruszają one praw lub wolności osób fizycznych przed ich publikacją, oznacza pełną dowolność w tym zakresie oraz brak kontroli nad tym, czy w każdym przypadku publikacja materiałów prasowych odbyła się po przeprowadzeniu ww. weryfikacji. Brak szyfrowania urządzeń i nośników wykorzystywanych do przetwarzania danych osobowych przekazywanych poza obszar przetwarzania, jak i brak przyjętych zasad weryfikacji materiałów prasowych przed ich publikacją pod kątem zawartych w nich danych osobowych potwierdza, że funkcjonujące w Spółce środki bezpieczeństwa danych osobowych nie zapewniają zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, o której mowa w art. 32 ust. 1 lit. b) rozporządzenia 2016/679.

Dodatkowo stwierdzono w toku kontroli, że funkcjonująca w Spółce opracowana w 2018 r. „Polityka bezpieczeństwa danych osobowych w J. (…) S.A.” oraz „Instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych w J. (…) S.A.” nie były poddawane regularnym przeglądom i modyfikacjom w celu zapewnienia ich aktualności w odniesieniu do istniejących procesów przetwarzania danych osobowych, w tym operacji przetwarzania danych osobowych w związku z prowadzeniem działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych. Dotyczy to m.in. takich kwestii, jak wyznaczenie administratora systemów informatycznych, wykazu systemów informatycznych, wykonywania kopii bezpieczeństwa, częstotliwości zmiany haseł, czy zabezpieczenia urządzeń i nośników zawierających dane osobowe przekazywanych poza obszar przetwarzania. Działania takie nie były przez Administratora podejmowane, mimo iż taki obowiązek określony został w § 15 Polityki, a dodatkowo poddany nadzorowi przez inspektora ochrony danych na podstawie § 18 przyjętej „Polityki bezpieczeństwa danych osobowych w J. (…) S.A.”. Opisany wymóg dokonywania przeglądu ww. dokumentacji wpisuje się w obowiązek Administratora przeprowadzania regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania danych osobowych, wynikający z art. 32 ust. 1 lit. d) rozporządzenia 2016/679. Administrator zobowiązany jest bowiem do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków bezpieczeństwa, na każdym etapie przetwarzania. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk i proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania. Testowanie, mierzenie i ocenianie, aby stanowiło realizację wymogu wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, musi być dokonywane w sposób regularny, świadomie zaplanowany, zorganizowany i udokumentowany w określonych przedziałach czasowych, niezależnie od zmian w organizacji i przebiegu procesów przetwarzania danych.

Nowe ryzyka lub zagrożenia mogą zmaterializować się lub zostać ujawnione również samoistnie, w sposób całkowicie niezależny od administratora i jest to fakt, który również powinien być brany pod uwagę zarówno podczas budowania systemu ochrony danych osobowych, jak i w czasie jego realizowania. To zaś z kolei definiuje konieczność prowadzenia regularnej weryfikacji całego systemu ochrony danych osobowych zarówno pod kątem adekwatności, jak i skuteczności wdrożonych rozwiązań organizacyjnych i technicznych. Badanie prawdopodobieństwa wystąpienia danego zdarzenia nie powinno opierać się wyłącznie na podstawie częstotliwości występowania zdarzeń w danej organizacji, albowiem fakt nie wystąpienia danego zdarzenia w przeszłości wcale nie oznacza, że nie może ono zaistnieć w przyszłości. Na konieczność realizacji przez Administratora omawianego obowiązku zwrócił również uwagę Wojewódzki Sąd Administracyjny w Warszawie (zwany dalej „WSA”), który w wyroku z 21 października 2021 r., sygn. akt II SA/Wa 272/21, wskazał, że „(…) rację miał również Prezes UODO, wskazując w uzasadnieniu zaskarżonej decyzji, że brak w przyjętych przez Spółkę procedurach uregulowań zapewniających regularne testowanie, mierzenie i ocenianie skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych przyczynił się do wystąpienia naruszenia ochrony danych osobowych. Trafnie także wskazuje organ, że w postępowaniu wykazano, że Spółka nie przeprowadzała testów nastawionych na weryfikację zabezpieczeń aplikacji (…) oraz WebAPI systemu (…), dotyczących podatności systemu informatycznego związanej z zaistniałym naruszeniem danych osobowych (…) dokonywanie testów wyłącznie w sytuacji pojawiającego się zagrożenia, bez wprowadzenia procedury, która by określała harmonogram działań zapewniających regularne testowanie, mierzenie i ocenianie skuteczności wdrożonych środków jest niewystarczające. Spółka bowiem, jak wynika ze zgromadzonego materiału, mimo przyjętych rozwiązań nie była w stanie wykryć podatności ze względu na brak regularnych testów wdrożonego przez Spółkę systemu (…) Nie sposób w tym kontekście zakwestionować więc ocen Prezesa UODO, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem każdego administratora oraz podmiotu przetwarzającego wynikającym z art. 32 ust. 1 lit. d RODO (…)”. Z kolei w wyroku z 6 czerwca 2023 r., sygn. akt II SA/Wa 1939/22, WSA wskazał, że „(…) powinność regularnego testowania środków technicznych i organizacyjnych, zabezpieczenia przetwarzania danych osobowych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w rozumieniu art. 32 ust. 1 zd. wstępne RODO, wynika wprost z brzmienia lit. d wskazanego art. 32 ust. 1 (…)”. Podobnie wypowiedział się WSA w wyroku z 21 czerwca 2023 r., sygn. akt II SA/Wa 150/23.

Konieczność bieżącej weryfikacji skuteczności przewidzianych środków bezpieczeństwa jest szczególnie ważna w przypadku przetwarzania danych osobowych poza obszarem organizacji Administratora. W tym kontekście należy zatem podkreślić, że prawidłowa realizacja przez Administratora obowiązku wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679 pozwoliłaby na wykrycie, że określony w pkt 13 „Instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych w J. (…) SA” wymóg szyfrowania nośników wykorzystywanych do przetwarzania danych osobowych przekazywanych poza obszar przetwarzania nie jest w praktyce realizowany.

Podsumowując, wykazane wyżej nieprawidłowości stanowią w konsekwencji o naruszeniu przez Administratora obowiązków wynikających z art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2026/679.

Zgodnie z art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy. Mając na uwadze stwierdzone naruszenie przepisów rozporządzenia 2016/679, Prezes Urzędu, korzystając z przysługującego mu uprawnienia określonego w ww. przepisie, stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę administracyjnej kary pieniężnej. Stosownie zaś do treści art. 83 ust. 2 rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)-h) oraz lit. j) rozporządzenia 2016/679.

Wedle art. 83 ust. 4 lit. a) rozporządzenia 2016/679 naruszenie przepisów kształtujących obowiązki administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25-39 oraz 42 i 43, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Decydując o nałożeniu administracyjnej kary pieniężnej Prezes Urzędu – w myśl art. 83 ust. 2 lit. a)–k) rozporządzenia 2016/679 – wziął pod uwagę niżej przedstawione okoliczności sprawy (vide pkt 29–32 uzasadnienia decyzji), stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.

Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą oraz rozmiaru poniesionej przez nie szkody [art. 83 ust. 2 lit. a) rozporządzenia 2016/679].

Naruszenie przepisów art. 32 ust. 1 i 2 rozporządzenia 2016/679 przez Spółkę w związku z przetwarzaniem danych osobowych w ramach prowadzonej przez nią działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych, bez wdrożenia odpowiednich środków technicznych i organizacyjnych, opartych na przeprowadzonej analizie ryzyka ma znaczną wagę, z uwagi na rodzaj wykonywanej przez nią działalności, a przez to potencjalny zakres przetwarzania danych. Należy zaznaczyć, że działalność Spółki nie ogranicza się jedynie do prowadzenia (…) o charakterze regionalnym. Prowadzona przez Spółkę strona internetowa www.(…).pl ma zasięg większy niż lokalny. Dzięki internetowi strona jest dostępna globalnie (powszechnie), co pozwala na odwiedzanie jej i korzystanie z jej zasobów z różnych części świata. Mimo, że głównymi odbiorcami treści (…) mogą być mieszkańcy M. i okolic, to zasięg strony internetowej nie jest ograniczony jedynie do tego regionu. Stronę internetową mogą odwiedzać użytkownicy zarówno z Polski, jak i z zagranicy, którzy są zainteresowani treściami związanymi z tym regionem. Szczególnie jednak dzięki wyszukiwarkom oraz powszechnie dostępnym translatorom strona ta jest obecnie dostępna praktycznie każdemu i wszędzie. Taki charakter przetwarzania wiąże się ze znacznie większym ryzykiem dla osób, których dane dotyczą i oznacza, że naruszenie przepisów rozporządzenia 2016/679 ma poważny charakter i znaczną wagę. Wytworzona przez Spółkę informacja prasowa może docierać bowiem do nieograniczonej liczby odbiorców, co w konsekwencji rodzi wyższe ryzyko związane z przetwarzaniem danych osobowych w przypadku wystąpienia naruszenia bezpieczeństwa tych danych. Brak procedury weryfikacji materiałów prasowych przed ich publikacją, pod kątem zawartych w nich danych osób fizycznych, pociąga za sobą ryzyko nieuprawnionego ujawnienia i wykorzystania tych danych wbrew woli osób, których dane dotyczą. A ze względu na charakter działalności i zakres przetwarzania danych, w przypadku wystąpienia naruszenia, jego usunięcie oraz złagodzenie ewentualnych negatywnych skutków może być niemożliwe do osiągnięcia. Należy podkreślić, że Spółka jest (…) i w związku z prowadzoną przez nią działalnością oczekuje się stosowania przez nią wyższych standardów, a przede wszystkim staranności w kontekście przetwarzania danych osobowych (vide (…), szczególnie w zakresie obowiązków wynikających z misji mediów publicznych oraz obowiązku odpowiedzialności za słowo). Stwierdzone w niniejszej sprawie naruszenie przepisów ochrony danych osobowych stwarza zaś wysokie ryzyko negatywnych skutków dla każdej osoby, będącej w zainteresowaniu Spółki (…). Co więcej, brak procedur weryfikacji materiału prasowego przed jego publikacją pod kątem ochrony danych osobowych, które mają zostać udostępnione, może prowadzić do identyfikacji osoby, której te dane dotyczą, oraz do ich dalszego rozpowszechniania poprzez środki masowego przekazu. W konsekwencji może to skutkować powstaniem dla tej osoby szkód zarówno o charakterze majątkowym i niemajątkowym, a nawet uszczerbkiem fizycznym. Istotny również jest fakt, że przetwarzanie danych z naruszeniem przepisów rozporządzenia 2016/679 odbywa się od dnia rozpoczęcia stosowania przepisów rozporządzenia 2016/679, tj. od 25 maja 2018 r., i trwa nadal. Ma ono zatem charakter ciągły i długotrwały, a przez to niosący poważniejsze zagrożenia w obszarze naruszenia prywatności osób, których dane i informacje ich dotyczące mogły zostać opublikowane przez Spółkę w tym czasie, a których identyfikacja może nastąpić w różnych okolicznościach również w przyszłości.

Nieumyślny charakter naruszenia [art. 83 ust. 2 lit. b) rozporządzenia 2016/679].

Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków [art. 83 ust. 2 lit. f) rozporządzenia 2016/679].

Kategorie danych osobowych, których dotyczyło naruszenie [art. 83 ust. 2 lit. g) rozporządzenia 2016/679].

Ustalając wysokość administracyjnej kary pieniężnej, Prezes Urzędu nie znalazł podstaw do uwzględnienia okoliczności łagodzących, mających wpływ na ostateczny wymiar kary. Wszystkie przesłanki wymienione w art. 83 ust. 2 lit. a)-j) rozporządzenia 2016/679 w ocenie organu nadzorczego stanowią albo przesłanki obciążające albo jedynie neutralne. Również stosując przesłankę wymienioną w art. 83 ust. 2 lit. k) rozporządzenia 2016/679 (nakazującą wzięcie pod uwagę wszelkich innych obciążających lub łagodzących czynników mających zastosowanie do okoliczności sprawy) nie znaleziono żadnych okoliczności łagodzących, a jedynie neutralne.

Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa Urzędu uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.

Uwzględniając wszystkie omówione wyżej okoliczności Prezes Urzędu uznał, że nałożenie administracyjnej kary pieniężnej na Spółkę jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanego Spółce naruszenia przepisów rozporządzenia 2016/679. Stwierdzić należy, że zastosowanie wobec Spółki jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b) rozporządzenia 2016/679), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że Spółka w przyszłości nie dopuści się kolejnych zaniedbań.

Odnosząc się do wysokości wymierzonej Spółce administracyjnej kary pieniężnej wskazać należy, że w ustalonych okolicznościach niniejszej sprawy, wobec stwierdzenia naruszenia obowiązków określonych w art. 32 ust. 1 i 2 rozporządzenia 2016/679 zastosowanie znajdzie art. 83 ust. 4 lit. a) rozporządzenia 2016/679, zgodnie z którym naruszenie wskazanych przepisów podlega – stosownie do ust. 2 tego przepisu – administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Prezes Urzędu zastosował metodykę przyjętą przez Europejską Radę Ochrony Danych w Wytycznych 04/2022 celem ustalenia w niniejszej sprawie wysokości administracyjnej kary pieniężnej.

Prezes Urzędu dokonał kategoryzacji stwierdzonego w niniejszej sprawie naruszenia przepisów rozporządzenia 2016/679 (vide Rozdział 4.1 Wytycznych 04/2022). Stwierdzone w niniejszej sprawie naruszenie art. 32 ust. 1 i 2 rozporządzenia 2016/679 należy – zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą niższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 10 000 000 EUR lub do 2% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Zostało więc ono in abstracto (w oderwaniu od indywidualnych okoliczności konkretnej sprawy) uznane przez prawodawcę unijnego za mniej poważne niż naruszenia wskazane w art. 83 ust. 5 rozporządzenia 2016/679.

Prezes Urzędu ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o średnim poziomie powagi (vide Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które dotyczą strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny lub nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679) oraz kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej. Wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest średni. Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 10% do 20% maksymalnej wysokości kary możliwej do orzeczenia wobec Spółki (vide Podrozdział 4.2.4 Wytycznych 04/2022). Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes Urzędu uznał kwotę 1 500 000,00 EUR (równowartość 6 313 800,00 PLN).

Prezes Urzędu dostosował kwotę wyjściową, odpowiadającą średniej powadze stwierdzonego naruszenia, do obrotu Spółki jako miernika jej wielkości i siły gospodarczej. Stosownie do wskazówek Europejskiej Rady Ochrony Danych przedstawionych w rozdz. 4.3 pkt 65 Wytycznych 04/2022, w przypadku przedsiębiorstw, których roczny obrót, jak w przedmiotowej sprawie, wynosi od 2 do 10 mln EUR, organ nadzorczy może rozważyć dokonanie dalszych obliczeń wysokości kary na podstawie wartości mieszczącej się w przedziale od 0,3 do 2% kwoty wyjściowej. Zważywszy, że całkowity obrót (przychód) Spółki w 2023 r. (dane pozyskane z dwóch sprawozdań finansowych Spółki za okres od 1 stycznia 2023 r. do 28 grudnia 2023 r. oraz od 29 grudnia 2023 r. do 31 grudnia 2023 r.) wyniósł (…) PLN, to jest (…) EUR (wg średniego kursu EUR z dnia 28 stycznia 2025 r.), Prezes Urzędu za stosowne uznał skorygowanie podlegającej obliczeniom kwoty kary do wartości odpowiadającej 0,75% kwoty wyjściowej, to jest do kwoty 11 250,00 EUR (równowartość 47 353,50 PLN).

Prezes Urzędu dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (vide Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się – jak zakładają Wytyczne 04/2022 – do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej. Prezes Urzędu mając na względzie powagę naruszenia uznał, że okolicznością obciążającą w niniejszej sprawie jest stopień współpracy w celu usunięcia naruszenia (art. 83 ust. 2 lit. f) rozporządzenia 2016/679). Organ nadzorczy przeprowadzając analizę w niniejszej sprawie nie uwzględnił żadnej okoliczności łagodzącej, mającej wpływ na obniżenie wymiaru sankcji. Ze względu na zaistnienie w sprawie okoliczności obciążającej, Prezes Urzędu oceniając jej wpływ na stwierdzone naruszenie, uznał za zasadne zwiększenie o 20% ustalonej wyżej kwoty kary (vide pkt 40 uzasadnienia decyzji) – do kwoty 13 500 EUR (równowartość 56 824,20 PLN).

Prezes Urzędu uznał, że ustalona zgodnie z powyższymi zasadami wysokość kary nie wymaga dodatkowej korekty ze względu na skuteczność, zasadę proporcjonalności i odstraszający charakter (art. 83 ust. 1 rozporządzenia 2016/679). W jego ocenie ustalona wysokość administracyjnej kary pieniężnej, tj. 56 824,20 PLN będzie skuteczna (przez swoją dolegliwość pozwala osiągnąć swój cel represyjny, którym jest ukaranie za bezprawne zachowanie), odstraszająca (pozwala skutecznie zniechęcić zarówno Spółkę, jak i innych administratorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679) oraz proporcjonalna (jest adekwatna do stwierdzonej wagi naruszenia, nie wykracza poza możliwości finansowe Spółki oraz pozwala na osiągnięcie celów określonych w rozporządzeniu 2016/679). Kwota 56 824,20 PLN (równowartość 13 500 EUR) stanowi próg, powyżej który dalsze zwiększanie wysokości kary nie będzie wiązało się ze wzrostem jej skuteczności i odstraszającego charakteru. Z drugiej natomiast strony obniżenie w większym stopniu wysokości kary mogłoby się odbyć kosztem jej skuteczności i odstraszającego charakteru, a także spójnego stosowania i egzekwowania rozporządzenia 2016/679 oraz zasady równego traktowania podmiotów na rynku wewnętrznym UE i EOG.

Stosownie do treści art. 103 ustawy o ochronie danych osobowych równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego. W 2025 r. średni kurs euro został ogłoszony przez Narodowy Bank Polski na dzień 28 stycznia 2025 r. w wysokości 1 EUR = 4,2092 PLN. Mając powyższe na uwadze, Prezes Urzędu, na podstawie art. 83 ust. 4 lit. a) rozporządzenia 2016/679 w związku z art. 103 ustawy o ochronie danych osobowych, za naruszenie opisane w sentencji niniejszej decyzji, nałożył na Spółkę – stosując średni kurs euro ogłoszony przez Narodowy Bank Polski z dnia 28 stycznia 2025 r. (1 EUR = 4,2092 PLN) – administracyjną karę pieniężną w kwocie 56 824 PLN.

W ocenie Prezesa Urzędu, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. W ocenie Prezesa Urzędu nałożona na Spółkę administracyjna kara pieniężna jest proporcjonalna, zarówno do powagi naruszenia (skutkującego naruszeniem obowiązków administratora danych we wdrożeniu odpowiednich środków ochrony danych osobowych), jak i do wielkości administratora, którą to wielkość – mierzoną jego obrotem – należy rozpatrywać w nierozerwalnym związku ze względu na skuteczność kary i na jej odstraszający charakter.

Z przedstawionej przez Spółkę informacji wynika, że całkowity roczny obrót z poprzedniego roku obrotowego w 2023 r. wyniósł (…) PLN (słownie: (…)), co stanowi równowartość (…) EUR, wg średniego kursu euro z dnia 28 stycznia 2025 r., w związku z czym kwota nałożonej w niniejszej sprawie administracyjnej kary pieniężnej stanowi ok. 0,3% całkowitego obrotu Spółki w 2023 r. Jednocześnie warto podkreślić, że kwota nałożonej administracyjnej kary pieniężnej to jedynie 0,135% maksymalnej wysokości kary, którą Prezes Urzędu mógł, zgodnie z art. 83 ust. 4 rozporządzenia 2016/679, nałożyć na Spółkę za stwierdzone w niniejszej sprawie naruszenie. Zważywszy na przedstawione wyniki finansowe, stwierdzić należy, że orzeczona administracyjna kara pieniężna nie będzie dla Spółki nadmiernie dotkliwa. Jednocześnie kara będzie skuteczna (osiągnie cel jakim jest ukaranie administratora za najpoważniejsze naruszenie o daleko idących skutkach) i odstraszająca na przyszłość.

Wysokość kary została zatem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność uiszczenia administracyjnej kary pieniężnej pociągnie za sobą negatywne następstwa, w postaci istotnego pogorszenia sytuacji finansowej Spółki. W ocenie Prezesa Urzędu, administracyjna kara pieniężna spełni w tych konkretnych okolicznościach funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Spółkę przepisów rozporządzenia 2016/679, ale i prewencyjną, bowiem przyczyni się do zapobiegania w przyszłości naruszania obowiązków administratora danych wynikających z przepisów o ochronie danych osobowych. W ocenie Prezesa Urzędu, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na wagę stwierdzonego naruszenia w kontekście podstawowych obowiązków administratora wynikających z rozporządzenia 2016/679. Celem nałożonej kary jest doprowadzenie do przestrzegania w przyszłości przez Spółkę przepisów rozporządzenia 2016/679.

Wobec powyższego, Prezes Urzędu Ochrony Danych Osobowych, na podstawie art. 83 ust. 4 lit. a) rozporządzenia 2016/679 w związku z art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, za naruszenie opisane w sentencji niniejszej decyzji, nałożył na Spółkę – stosując średni kurs euro z dnia 28 stycznia 2025 r. (1 EUR = 4,2092 PLN) – administracyjną karę pieniężną w kwocie 56 824 PLN (słownie: pięćdziesięciu sześciu tysięcy ośmiuset dwudziestu czterech złotych), co stanowi równowartość 13 500 EUR.

Mając powyższe na uwadze Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji niniejszej decyzji.