Decyzja
DKN.5131.28.2023
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023 r. poz. 775 ze zm.), art. 7 ust. 1 oraz art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), a także art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. i), art. 83 ust. 1 i 2, art. 83 ust. 4 lit. a) w związku z art. 33 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str.2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej „rozporządzeniem 2016/679”, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez Toyota Bank Polska S.A. z siedzibą wWarszawie (ul. Postępu 18B, 02-676 Warszawa), Prezes Urzędu Ochrony Danych Osobowych,
stwierdzając naruszenie przez Toyota Bank Polska S.A. z siedzibą w Warszawie (ul. Postępu 18B, 02-676 Warszawa) przepisu art. 33 ust. 1 rozporządzenia 2016/679, polegającego na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, nakłada na Toyota Bank Polska S.A. z siedzibą w Warszawie (ul. Postępu 18B, 02-676 Warszawa) administracyjną karę pieniężną w wysokości 78.575,40 PLN (słownie: siedemdziesiąt osiem tysięcy pięćset siedemdziesiąt pięć złotych i czterdzieści groszy).
Uzasadnienie
W dniu 7 września 2022 r. Toyota Bank Polska S.A. z siedzibą w Warszawie (ul. Postępu 18B, 02-676 Warszawa), zwana dalej również „Bankiem” lub „Administratorem”, dokonała zgłoszenia Prezesowi Urzędu Ochrony Danych Osobowych, zwanemu dalej także „Prezesem UODO” lub „organem nadzorczym”, naruszenia ochrony danych osobowych obejmującego dane osobowe jednej osoby fizycznej (dalej „Podmiot Danych” lub „Klientka Banku”) w zakresie: imienia i nazwiska, numeru rachunku bankowego, adresu zamieszkania, numeru ewidencyjnego PESEL, serii i numeru dowodu osobistego. Naruszenie ochrony danych osobowych polegało na wysłaniu – w wyniku błędu pracownika Banku przesyłki bankowej zawierającej umowę i harmonogram spłaty kredytu do innego klienta Banku. Przesyłka została odebrana i otwarta przez tego klienta, w związku z czym doszło do ujawnienia danych osobowych Klientki Banku osobie nieuprawnionej. Po tym jak Bank wysłał kuriera do osoby będącej w posiadaniu błędnie wysłanej przesyłki, korespondencja została zwrócona do Banku. Ze złożonych wyjaśnień wynika, iż Bank zarejestrował incydent bezpieczeństwa w związku z zaistniałą sytuacją, jednak nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w terminie 72 godzin od jego stwierdzenia.
Administrator w formularzu zgłoszenia naruszenia ochrony danych osobowych jako datę stwierdzenia naruszenia wskazał 31 marca 2021 r., zgłoszenia zaś dokonał dopiero 7 września 2022 r., uzasadniając powody opóźnienia powiadomienia organu nadzorczego o naruszeniu ochrony danych osobowych tym, iż „Bank ocenił ryzyko naruszenia praw i wolności osób, których dane dotyczą na niskie, jednakże po wystąpieniu UODO zmienił zasady dokonywania oceny”. Wystąpienie, o którym mowa w wyjaśnieniach Banku, dotyczy postępowania prowadzonego przez Prezesa UODO w sprawie skargi Klientki Banku, w związku z przedmiotowym naruszeniem ochrony danych osobowych, na nieprawidłowości w procesie przetwarzania jej danych osobowych przez Toyota Bank Polska S.A., polegające na udostępnieniu danych osobowych osobie trzeciej bez podstawy prawnej (sygn. (…)).
Wobec zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, po upływie terminu 72 godzin od jego stwierdzenia, tj. prawie 1,5 roku od jego stwierdzenia, Prezes UODO wszczął z urzędu wobec Banku postępowanie administracyjne w zakresie naruszenia art. 33 ust. 1 rozporządzenia 2016/679.
W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego w przedmiotowej sprawie, pismem z dnia 19 października 2023 r. Bank przesłał dodatkowe wyjaśnienia, w których wskazał, że „Oceniając powagę przedmiotowego naruszenia, Bank wziął pod uwagę następujące okoliczności: (i) naruszenie dotyczyło tylko jednej osoby, (ii) dokument zawierający dane został szybko odzyskany, (iii) brak było powodów do zakładania złej wiary osoby, która uzyskała nieuprawniony dostęp do danych na skutek naruszenia, w szczególności ze względu na okoliczność, że osoba ta była klientem Banku, poinformowała Bank o zdarzeniu oraz współpracowała z Bankiem w celu zwrócenia błędnie zaadresowanej przesyłki oraz (iv) okoliczność, że Bank znał dane osobowe tej osoby, co w ocenie Banku stanowiło okoliczność, zmniejszającą ryzyko nieuprawnionego wykorzystania przez nią tych danych na szkodę osoby, której dotyczyło naruszenie. Nadto, w czasie dokonywania oceny, istotnym punktem odniesienia, były wytyczne ENISA dotyczące oceny powagi naruszenia, z których wynikało, że wyżej wymienione okoliczności zmniejszają powagę naruszenia i które sugerowały, że notyfikacji do organu nadzorczego nie powinny podlegać naruszenia, dla których ryzyko negatywnych konsekwencji dla praw i wolności osób fizycznych jest niewielkie”.
Powodem braku zgłoszenia naruszenia ochrony danych osobowych do Prezesa UODO zdaniem Banku „[…] było rzetelne dokonanie takiej, a nie innej oceny powagi naruszenia, w ramach wykładni art. 33 ust. 1 RODO, na podstawie praktyki rynkowej oraz na podstawie dostępnych wytycznych agencji, posiadającej kompetencje w zakresie bezpieczeństwa informacji (ENISA)”. Z kolei jak tylko Bank „powziął świadomość oczekiwań Prezesa UODO w zakresie stosowania art. 33 ust 1 RODO” - „niezwłocznie podjął działania mające na celu dostosowanie własnej praktyki w tym zakresie do oczekiwań Prezesa UODO. Wynikiem zmiany podejścia Banku było poinformowanie Prezesa UODO o naruszeniu, które legło u podstaw niniejszego postępowania”.
W dalszej części wyjaśnień Bank wskazuje, że niezależnie od oceny naruszenia ochrony danych osobowych w kontekście art. 33 ust 1 rozporządzenia 2016/679, ostrożnościowo poinformował o tym naruszeniu osobę, której dotyczyło naruszenie, a więc „mimo, iż nie dokonał zgłoszenia bezpośrednio po wystąpieniu naruszenia ze względu na zastosowaną ocenę ryzyka, wypełnił jednakże główne zadanie jakie ciąży na administratorze danych, tj. przeciwdziałał skutkom naruszenia informując niezwłocznie listownie o naruszeniu osobę, której dane dotyczą”.
W opinii Banku opóźnienie w zgłoszeniu przedmiotowego naruszenia do Prezesa UODO nie wpłynęło negatywnie na prawa i wolności osoby, której dane dotyczą. Klientka miała bowiem możliwość przeciwdziałać skutkom naruszenia ochrony danych osobowych zaraz po jego wystąpieniu, ponadto otrzymała w tym zakresie wsparcie Banku, który m.in pokrył koszty zakupu kodu (…).
W dniu 23 stycznia 2024 r. wpłynęło pismo Administratora, które stanowiło powielenie uprzednio już złożonych wyjaśnień Banku, podkreślające tym samym dotychczasowe stanowisko Banku w niniejszej sprawie.
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
Zgodnie z art. 4 pkt 12 rozporządzenia 2016/679 „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Art. 33 ust. 1 i 3 rozporządzenia 2016/679 stanowi, że w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłasza je organowi nadzorczemu właściwemu zgodnie zart. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgłoszenie, o którym mowa w ust. 1 musi, co najmniej: a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Z analizy ww. przepisów wynika zatem, że w zależności od tego, z jakim poziomem ryzyka naruszenia praw lub wolności osób fizycznych administrator ma do czynienia, inaczej kształtują się jego obowiązki w stosunku do organu nadzorczego, a także osób, których dane dotyczą. Jeżeli w wyniku analizy administrator stwierdził, że prawdopodobieństwo zaistnienia ryzyka naruszenia praw lub wolności osób fizycznych jest małe, nie jest on zobligowany do zgłoszenia naruszenia Prezesowi Urzędu Ochrony Danych Osobowych. Wskazane naruszenie musi jedynie wpisać do wewnętrznej ewidencji naruszeń. W przypadku stwierdzenia ryzyka naruszenia praw lub wolności osób fizycznych, obowiązkiem administratora jest zgłoszenie naruszenia ochrony danych Prezesowi UODO, jak również umieszczenie wpisu w wewnętrznej ewidencji naruszeń. Wystąpienie wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, oprócz wpisu w ewidencji naruszeń, wymaga od administratora podjęcia odpowiednich działań, zarówno wobec organu nadzorczego (zgłoszenie naruszenia ochrony danych), ale także również wobec osób, których dane dotyczą. W przypadku naruszeń ochrony danych osobowych, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, rozporządzenie 2016/679 wprowadza bowiem dodatkowy obowiązek niezwłocznego zawiadomienia podmiotu danych przez administratora, chyba że ten podjął działania prewencyjne przed zaistnieniem naruszenia albo działania zaradcze po wystąpieniu naruszenia (art. 34 ust. 3 rozporządzenia 2016/679).
Jak wynika z powyższego, w przypadku wykrycia przez administratora naruszenia ochrony danych osobowych, w pierwszej kolejności konieczne jest dokonanie analizy pod kątem wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. Administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu, jeśli w wyniku przeprowadzonego badania okaże się, że istnieje co najwyżej małe prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. Należy jednak mieć na względzie fakt, iż organ nadzorczy będzie mógł zwrócić się do administratora o uzasadnienie decyzji o niezgłaszaniu naruszenia, w związku z tym wnioski z przeprowadzonej analizy należy odnotować w wewnętrznej ewidencji naruszeń.
Warto przy tym przypomnieć, że w Wytycznych Europejskiej Rady Ochrony Danych (EROD) nr 9/2022[1] przyjętych 28 marca 2023 r., znajdują się rekomendacje dotyczące zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu.
Należy podkreślić, że oceny ryzyka naruszenia praw lub wolności osoby fizycznej powinno się dokonać przez pryzmat osoby, której dane dotyczą, a nie interesów administratora. Brak zgłoszenia naruszenia ochrony danych osobowych pozbawia organ nadzorczy możliwości odpowiedniej reakcji na naruszenie ochrony danych osobowych, która przejawia się nie tylko w ocenie ryzyka naruszenia dla praw lub wolności osoby fizycznej, ale również w szczególności na weryfikacji, czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą, jak również, czy zastosował odpowiednie środki bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia.
Zgłaszanie naruszeń ochrony danych osobowych przez administratorów stanowi zatem skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Zgłaszając naruszenie organowi nadzorczemu, administratorzy informują Prezesa UODO, czy w ich ocenie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą oraz jeśli takie ryzyko wystąpiło to czy przekazali stosowne informacje osobom fizycznym, na które naruszenie wywiera wpływ. Prezes UODO dokonuje weryfikacji oceny dokonanej przez administratora i może jeżeli administrator nie zawiadomił osób, których dane dotyczą zażądać od niego takiego zawiadomienia. Zgłoszenia naruszenia ochrony danych osobowych pozwalają organowi nadzorczemu na właściwą reakcję mogącą ograniczyć skutki takich naruszeń, bowiem administrator ma obowiązek podjęcia skutecznych działań zapewniających ochronę osobom fizycznym i ich danym osobowym, które z jednej strony pozwolą na kontrolę skuteczności dotychczasowych rozwiązań, a z drugiej ocenę modyfikacji i usprawnień służących zapobieżeniu nieprawidłowościom analogicznym do objętych naruszeniem. Natomiast zawiadomienie osób fizycznych o naruszeniu zapewnia możliwość przekazania tym osobom informacji na temat ryzyka związanego z naruszeniem oraz wskazania działań, jakie osoby te mogą podjąć, aby uchronić się przed potencjalnymi negatywnymi skutkami naruszenia (umożliwia to osobie fizycznej dokonanie samodzielnej oceny naruszenia w kontekście możliwości materializacji negatywnych konsekwencji dla takiej osoby i podjęcia decyzji o zastosowaniu lub braku zastosowania działań zaradczych).
W piśmie z dnia 19 października 2023 r. Administrator wskazuje, że „W opinii Banku opóźnienie w zgłoszeniu przedmiotowego naruszenia do UODO nie wpłynęło negatywnie na prawa i wolności osoby, której dane dotyczą, bowiem klientka miała możliwość przeciwdziałać skutkom naruszenia zaraz po jego wystąpieniu, ponadto otrzymała w tym zakresie wsparcie Banku, który m.in pokrył koszty zakupu kodu (…) (co również jest obecnie standardem Banku)”. Zdaniem organu nadzorczego z kolei fakt, iż osoba, której dotyczy przedmiotowe naruszenie ochrony danych osobowych, złożyła do Prezesa UODO skargę na nieprawidłowości w procesie przetwarzania jej danych osobowych przez Bank, polegające na udostępnieniu jej danych osobowych osobie trzeciej bez podstawy prawnej, świadczy o tym, że reakcja Banku na to naruszenie nie była wystarczająca, a sama Klientka Banku miała obawy co do bezpieczeństwa przetwarzanych przez Bank danych.
Toyota Bank Polska S.A., z uwagi na skalę i przedmiot swojej działalności, tj. świadczenie różnego rodzaju usług finansowych, przetwarza dane osobowe bardzo dużej liczby klientów, z którymi zawiera m.in. umowy o kredyt. W rozpatrywanym przypadku z danymi osobowymi Klientki Banku zawartymi w umowie łączącej strony, tj.: numerem PESEL, imieniem i nazwiskiem, adresem zamieszkania, numerem rachunku bankowego oraz serią i numerem dowodu osobistego, zapoznała się osoba nieuprawniona. Nie ulega więc wątpliwości, że w oparciu o ujawnione dane można łatwo zidentyfikować Podmiot Danych. Ponadto, ujawnione zostały dane związane z faktem zawarcia umowy i jej treścią.
W konsekwencji, sama ocena naruszenia przeprowadzona przez Administratora pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do stwierdzenia, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO (art. 33 ust. 1 i 3 rozporządzenia 2016/679) oraz osób, których dotyczy naruszenie (art. 34 ust. 1 i 2 rozporządzenia 2016/679), powinna być, jak należy raz jeszcze podkreślić, dokonana przez pryzmat osoby dotkniętej naruszeniem.
Bank co prawda poinformował o naruszeniu ochrony danych osobowych osobę, której dane dotyczą, przekazując jej treść zawiadomienia, jednak z uwagi na brak dokonania w tym zakresie stosownego zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO w przewidzianym przepisami prawa terminie (72 godziny od stwierdzenia naruszenia), pozbawił organ nadzorczy możliwości podjęcia właściwej reakcji na to naruszenie, a co za tym idzie możliwości przeprowadzenia stosownej analizy treści zawiadomienia, skierowanego do tej osoby, pod kątem wypełnienia przez Administratora obowiązków wynikających z art. 34 ust. 2 w związku z art. 33 ust. 3 rozporządzenia 2016/679 i udzielenia Podmiotowi Danych kompletnych informacji w kwestii możliwych konsekwencji naruszenia, jak również środków, jakie ta osoba może podjąć, aby uchronić się przed potencjalnymi skutkami naruszenia.
Należy pamiętać, że przypadkowe ujawnienie danych osobowych nawet jednej zidentyfikowanej osobie może prowadzić do zwiększenia skali naruszenia i tym samym ryzyka naruszenia praw lub wolności osoby, której dane dotyczą. Jednocześnie Administrator nie wykazał, zgodnie z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679, że jego klient, na adres którego została wysłana umowa z danymi Klientki Banku, może zostać uznany za tzw. zaufanego odbiorcę. Z wyjaśnień, których Bank udzielił pismem z dnia 19 października 2023 r. wynika, że oceniając powagę przedmiotowego naruszenia, co skutkowało odstąpieniem od zgłoszenia przedmiotowego naruszenia do organu nadzorczego, „wziął pod uwagę następujące okoliczności: (i) naruszenie dotyczyło tylko jednej osoby, (ii) dokument zawierający dane został szybko odzyskany, (iii) brak było powodów do zakładania złej wiary osoby, która uzyskała nieuprawniony dostęp do danych na skutek naruszenia, w szczególności ze względu na okoliczność, że osoba ta była klientem Banku, poinformowała Bank o zdarzeniu oraz współpracowała z Bankiem w celu zwrócenia błędnie zaadresowanej przesyłki oraz (iv) okoliczność, że Bank znał dane osobowe tej osoby, co w ocenie Banku stanowiło okoliczność, zmniejszającą ryzyko nieuprawnionego wykorzystania przez nią tych danych na szkodę osoby, której dotyczyło naruszenie”.
Dokonaną ocenę ryzyka oparto na przekonaniu, że osoba, która weszła w posiadanie umowy, charakteryzuje się tzw. „dobrą wiarą”, gdyż „poinformowała Bank o zdarzeniu oraz współpracowała z Bankiem w celu zwrócenia błędnie zaadresowanej przesyłki”, a także „Bank znał dane osobowe tej osoby”. Biorąc powyższe pod uwagę, Bank ocenił, „że wyżej wymienione okoliczności zmniejszają powagę naruszenia i które sugerowały, że notyfikacji do organu nadzorczego nie powinny podlegać naruszenia, dla których ryzyko negatywnych konsekwencji dla praw i wolności osób fizycznych jest niewielkie”.
Wobec powyższego, dla lepszego zobrazowania przypadków naruszeń ochrony danych osobowych, w wyniku których doszło do przypadkowego ujawnienia danych osobie nieuprawnionej, należy odnieść się do Wytycznych 9/2022, gdzie wskazano przypadek naruszenia dotyczącego poufności danych polegający na omyłkowym ujawnieniu danych osobowych stronie trzeciej lub innemu odbiorcy w sytuacji, gdy dane te zostaną przypadkowo wysłane do niewłaściwego działu organizacji lub do organizacji dostawców, z której usług administrator korzysta. Administrator ma podstawy, aby wówczas uznać nieuprawnionego odbiorcę za zaufanego, ponieważ pozostaje z takim podmiotem w stałych stosunkach, zna stosowane u niego procedury i może ufać odbiorcy na tyle, aby móc racjonalnie oczekiwać, że odbiorca nie odczyta omyłkowo wysłanych danych lub nie uzyska wglądu do nich, jak również wypełni polecenie ich odesłania. Nawet w sytuacji, gdy do danych uzyskany został wgląd, administrator nadal może mieć zaufanie do odbiorcy, że nie podejmie on żadnych nieodpowiednich działań i zwróci dane niezwłocznie do administratora. Jak wskazuje dalej EROD, w opisanym wyżej przypadku administrator w ocenie ryzyka przeprowadzonej w następstwie naruszenia może uwzględnić fakt, że odbiorca jest osobą zaufaną. Taka sytuacja nie zachodzi jednak w omawianym przypadku. Inny klient Banku, do którego omyłkowo została skierowana korespondencja z umową zawierającą dane osobowe Podmiotu Danych, nie pozostaje z Bankiem w relacjach pozwalających na przyjęcie, że jest on zaufanym odbiorcą, stosownie do powyższego stanowiska EROD.
Odnosząc się do powyższego wskazać należy, że niezrozumiałe jest stanowisko Banku, który brak zgłoszenia naruszenia ochrony danych osobowych tłumaczy m.in. tym, iż Bank znał dane osobowe osoby, do której błędnie trafiła przesyłka i w oparciu o to przekonanie dokonano oceny ryzyka zupełnie bagatelizując fakt, że doszło do ujawnienia nieuprawnionej osobie danych osobowych Klientki Banku. W przeciwnym razie, Bank mógłby każdorazowo wysyłając dane swoich klientów na błędne adresy, a tym samym udostępniając je osobom trzecim – innym klientom, traktować tego typu sytuacje jako nie niosące za sobą ryzyka naruszenia praw lub wolności osób fizycznych. Bez znaczenia jest również fakt, że dane zostały udostępnione tylko jednej zidentyfikowanej osobie. W sytuacji dostarczenia omyłkowej korespondencji osobie znanej Administratorowi, np. innemu klientowi, który poinformował Podmiot Danych o pomyłce Banku, brak jest gwarancji, że intencje tej osoby nie ulegną zmianie.
Co więcej, Administrator nie ma pewności, czy przed zwrotem korespondencji, błędny odbiorca nie wykonał kopii lub też nie utrwalił zawartych w treści umowy danych osobowych w inny sposób, np. poprzez ich spisanie. Również Bank nie ma możliwości faktycznej weryfikacji, że nieuprawniony odbiorca nie przekazał danych Klientki Banku osobom trzecim ani nie posiada kopii tych danych. Podobnie wypowiedział się Wojewódzki Sąd Administracyjny w Warszawie, który w wyroku z dnia 21 stycznia 2022 r., sygn. akt II SA/Wa 1353/21, wskazał, że „(…) nie ma bowiem pewności, że przed tymi czynnościami osoba ta nie wykonała np. kserokopii lub też nie utrwaliła danych osobowych zawartych w treści dokumentu w inny sposób, np. poprzez ich spisanie. Samo dokonanie czynności wskazanych w oświadczeniach złożonych przez Osobę trzecią - nieuprawnionego odbiorcę - nie daje gwarancji, że intencje takiej osoby obecnie lub w przyszłości nie zmienią się, a ewentualne konsekwencje posłużenia się takimi kategoriami danych mogą być znaczące dla osób, których dane objęte zostały naruszeniem”. Należy jeszcze raz podkreślić, że to, że zdaniem Banku „brak było powodów do zakładania złej wiary osoby, która uzyskała nieuprawniony dostęp do danych na skutek naruszenia, w szczególności ze względu na okoliczność, że osoba ta była klientem Banku, poinformowała Bank o zdarzeniu oraz współpracowała z Bankiem w celu zwrócenia błędnie zaadresowanej przesyłki”, nie przesądza o tym, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych oraz nie wyklucza przyjęcia, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą. Należy jeszcze raz wskazać, że dane osobowe zostały udostępnione nieuprawnionemu odbiorcy, co oznacza, że nastąpiło naruszenie bezpieczeństwa prowadzące do nieuprawnionego ujawnienia danych osobowych, nieuprawnionego odbiorcy nie można uznać za „odbiorcę zaufanego”, a zakres tych danych przesądza o tym, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osoby fizycznej. Z kolei Klientka Banku, której dotyczy przedmiotowy incydent, złożyła do Prezesa UODO skargę na nieprawidłowości w procesie przetwarzania jej danych osobowych przez Bank, polegające na udostępnieniu jej danych osobowych osobie trzeciej bez podstawy prawnej. Wystąpienie Podmiotu Danych ze skargą w opinii Prezesa UODO potwierdza, że przedstawiona w wyjaśnieniach Banku ocena ryzyka dokonana w przedmiotowej sprawie nie uwzględnia perspektywy Klientki Banku, która w wyniku naruszenia ochrony jej danych osobowych, z wysokim prawdopodobieństwem, poniosła szkodę niemajątkową.
Jak wskazują Wytyczne 9/2022, naruszenie ochrony danych osobowych może potencjalnie wywołać szereg negatywnych skutków dla osób fizycznych, których dane są przedmiotem naruszenia. Wśród możliwych skutków naruszenia EROD wymienia: uszczerbek fizyczny, szkody materialne lub niemajątkowe. Jako przykłady takich szkód wymienione są m.in.: dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, straty finansowe, naruszenie dobrego imienia, naruszenie poufności danych osobowych oraz znaczna szkoda gospodarcza lub społeczna. W niniejszej sprawie nie ulega wątpliwości, że z uwagi na zakres danych objęty przedmiotowym naruszeniem ochrony danych osobowych, w tym numer ewidencyjny PESEL wraz z imieniem i nazwiskiem, istnieje wysokie prawdopodobieństwo wystąpienia wymienionych powyżej szkód.
Przede wszystkim należy podkreślić, że zaistniałe naruszenie ochrony danych osobowych dotyczyło numeru ewidencyjnego PESEL, czyli jedenastocyfrowego symbolu numerycznego, który jednoznacznie identyfikuje osobę fizyczną, zawierającego m.in.: datę urodzenia oraz oznaczenie płci, a więc ściśle powiązanego ze sferą prywatną osoby fizycznej oraz podlegającego również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679 – będącego daną o szczególnym charakterze i takiej szczególnej ochrony wymagającego. Nr PESEL służy jako dana identyfikująca każdą osobę i jest powszechnie używany w kontaktach z różnymi instytucjami oraz w obiegu prawnym. Nr PESEL wraz z imieniem i nazwiskiem w sposób jednoznaczny identyfikuje osobę fizyczną, w sposób pozwalający przypisać negatywne skutki naruszenia (np. kradzież tożsamości, wyłudzenie pożyczki) tej konkretnej osobie. Ponadto należy wziąć pod uwagę, że w wyniku przedmiotowego naruszenia ochrony danych osobowych doszło do udostępnienia osobie nieuprawnionej tego numeru ewidencyjnego wraz z imieniem i nazwiskiem Klientki Banku, które to zestawienie danych bywa wystarczające do „podszycia się” pod podmiot tych danych i zaciągnięcia w imieniu i na szkodę takiego podmiotu np. zobowiązań pieniężnych (vide: https://www.bik.pl/poradnik-bik/wyludzenie-kredytu-tak-dzialaja-oszusci – gdzie opisano przypadek, w którym: „Tylko imię, nazwisko i numer PESEL wystarczyły oszustom, by wyłudzić kilkanaście kredytów w sumie na dziesiątki tysięcy złotych. Nic więcej się nie zgadzało: ani numer dowodu osobistego, ani adres zamieszkania”).Nie sposób również pominąć, że analizowane naruszenie ochrony danych osobowych dotyczyło także adresu zamieszkania, numeru rachunku bankowego oraz serii i numeru dowodu osobistego Klientki Banku. W ocenie ryzyka kluczowym czynnikiem jest rodzaj i wrażliwość danych osobowych ujawnionych w wyniku naruszenia. W Wytycznych 9/2022 podkreślono, że zbiór różnych danych osobowych ma zazwyczaj bardziej wrażliwy charakter niż pojedyncze dane.
Ponadto, jak wynika z orzecznictwa, wyroki w sprawach wyłudzeń kredytów nie są rzadkością i są wydawane przez polskie sądy w podobnych sprawach od dawna – dla potwierdzenia można podać choćby nawet wyrok Sądu Rejonowego w Łęczycy z dnia 27 lipca 2016 r. (sygn. akt I C 566/15), w którym oszuści biorący pożyczkę na cudze dane posłużyli się numerem PESEL, zmyślonym adresem oraz niewłaściwym numerem dowodu (nieważnym).W uzasadnieniu ww. wyroku Sąd stwierdził, że: „Przeprowadzone postępowanie dowodowe oraz analiza dokumentów, załączonych przez stronę powodową, skutkuje tym, iż można jednoznacznie stwierdzić, że w rozpoznawanej sprawie pozwana nie była stroną umowy pożyczki, zawartej w dniu 5 maja 2014 r. Wprawdzie przy jej zawarciu posłużono numerem PESEL pozwanej J. R., lecz wskazane miejsce zamieszkania nie odpowiada miejscu zamieszkania pozwanej. Pozwana J. R. nigdy nie mieszkała w W. Kwota pożyczki została przelana na konto, którego posiadaczem nie była pozwana. W dacie zawarcia umowy pożyczki dowód osobisty nr (...) utracił ważność z dniem 15 marca 2014 r. Nie jest zgodny także numer telefonu komórkowego, wskazany na umowie pożyczki i jej załącznikach z faktycznymi numerami telefonów, jakimi posługiwała się i posługuje pozwana”.
W innej sprawie (I C 693/16) Sąd Rejonowy w Zgierzu w wyroku z dnia 4 listopada 2016 r. orzekł: „Dane osobowe pozwanego w postaci jego imienia i nazwiska i numeru PESEL, które były zgodne z danymi pozwanego nie świadczyły o tym, że pozwany złożył w dniu 17 grudnia 2014 r. oświadczenie woli o zawarciu umowy pożyczki. Nie wykluczone jest bowiem aby osoba, która w sposób niepowołany uzyskała dostęp do danych osobowych pozwanego zawarła na jego rachunek umowę pożyczki ze spółką (...) sp. z o.o. S.K.A. z siedzibą w W. W przedmiotowej sprawie pozwany wykazał iż nigdy nie mieszkał pod adresem wskazanym w umowie pożyczki oraz aby numer telefonu, adres e - mail za pomocą którego zarejestrowano się na stronie internetowej i złożono wniosek o zawarcie pożyczki do niego należały”.
Podobnie orzekały sądy w innych tego typu sprawach. Jako przykład można podać orzeczenia, w których Sądy oddaliły powództwo o zapłatę kwot, tytułem udzielonych pożyczek, zaciągniętych przez nieznane osoby posługujące się danymi osobowymi (imię i nazwisko oraz nr PESEL) pozwanych:
- Wyrok Sądu Rejonowego dla Łodzi-Widzewa w Łodzi z dnia 13 sierpnia 2020 r. w sprawie o sygn. akt II C 1145/19, w której nieznana pozwanemu osoba trzecia weszła bezprawnie w posiadanie jego numeru PESEL oraz numeru dowodu osobistego, zaś pozostałe dane adresowe - wskazane w umowie pożyczki - były nieprawdziwe - „W ocenie Sądu zaoferowany przez stroną pozwaną materiał dowodowy - zwłaszcza dokumenty z akt sprawy karnej toczącej się przed Sądem Rejonowym w Tarnowskich Górach o sygnaturze akt VI K 383/16 - świadczą o tym, iż umowę pożyczki z dnia 8 listopada 2014 r. zawarła osoba trzecia, posługująca się niektórymi danymi osobowymi Z. A. Podała ona fałszywy adres zamieszkania, pod którym pozwany nigdy nie zamieszkiwał, zaś kwota pożyczki została przelana na rachunek bankowy, który nie należał do Z. A. […] zaś numer dowodu osobistego podany w tej umowie był numerem dowodu, którym pozwany już się nie posługiwał w dacie zawarcia umowy pożyczki, gdyż dowód ten stracił ważność około 8 miesięcy wcześniej”;
- Wyrok Sądu Rejonowego w Piszu z dnia 21 sierpnia 2020 r., sygn. akt I C 260/20 – „[…] Sąd ustalił, że przy zawieraniu przedmiotowej umowy, w sposób nieuprawniony posłużono się danymi pozwanego i wpisano je, jako dane pożyczkobiorcy, przy czym to nie pozwany był stroną umowy. Stanowisko pozwanego znajduje potwierdzenie w zgłoszonym przez niego zawiadomieniu o popełnieniu przestępstwa oszustwa na jego szkodę, jak również w fakcie, że prokuratura prowadzi postępowanie w tej sprawie przeciwko wskazanej przez pozwanego osobie. Na marginesie należy zauważyć, że także w ramach toczących się przed tutejszym sądem postępowań o zapłatę sygn. akt I C 1/19 i I C 482/19, gdzie E. M. także występował w charakterze pozwanego, i gdzie doszło do zaciągnięcia na jego imię i nazwisko zobowiązań finansowych w takich samych okolicznościach, co w ramach niniejszego postępowania, również zapadły prawomocne wyroki oddalające powództwo. W ocenie sądu okoliczności zawarcia umowy z powodem, gdzie tożsame jest pierwsze imię i nazwisko pożyczkobiorcy oraz jego numer PESEL, zaś istnieje rozbieżność co do pozostałych danych wynikających z treści dowodu osobistego pozwanego tj. serii i numeru tego dokumentu, adresu zamieszkania, przy uwzględnieniu faktu prowadzenia procesu karnego w stosunku do osoby, która miała podszyć się pod pozwanego, celem zawierania na odległość umów i zaciągania zobowiązań finansowych w różnych instytucjach, wskazują jednoznacznie, iż to nie pozwany zawarł z poprzednikiem prawnym powoda umowę pożyczki nr (...)”;
- Wyrok Sądu Rejonowego w Puławach z dnia 7 kwietnia 2022 r. w sprawie o sygn. akt I C 475/19, w której Sąd jednoznacznie przyznał, iż „[…] dowodu pozwalającego na weryfikację pozwanego jako strony przedmiotowej umowy nie stanowi samo wskazanie jego danych osobowych: imienia nazwiska, numeru PESEL, a także serii i numeru dowodu osobistego w treści umowy - w szczególności w sytuacji, gdy pożyczka zawierana jest za pośrednictwem platformy internetowej, a więc co oczywiste, pożyczkodawca nie ma możliwości niejako bezpośredniej weryfikacji tożsamości drugiej strony, a sama umowa nie zostaje potwierdzona podpisem pożyczkobiorcy”.
„Znamienne jest także, iż jak wynika z karty doręczenia przesyłki z kartą debetową okazany doręczycielowi dowód osobisty nr (...) miał datę ważności do dnia 21 września 2019 r., a oryginalny dowód osobisty należący do Ł. B. (1) ważny był do dnia 2 czerwca 2021 r. (k. 220), co potwierdza zeznania pozwanego, także co do tego, iż prawdopodobnym źródłem " wycieku" jego danych osobowych była zawarta przez niego w dniu 8 czerwca 2017 r. umowa sprzedaży samochodu, w której oprócz imienia i nazwiska sprzedającego i jego nr PESEL, widnieje także nr dowodu osobistego, przy czym w umowie tej nie zostały zawarte dane obejmujące imiona rodziców - i w umowie rachunku bankowego dane te wpisanej są już błędnie, jak również data ważności dowodu osobistego - ta także błędnie jest wpisana w karcie doręczenia umowy rachunku bankowego, co jednoznacznie wskazuje, iż osoba zawierająca umowę rachunku bankowego nie dysponowała danymi Ł. B. (1) innymi niż zawarte w umowie sprzedaży samochodu, jak również oryginalnym blankietem dowodu osobistego - ten zresztą jak wynika z zeznań pozwanego, cały czas znajduje się w jego posiadaniu i nie był udostępniony osobom trzecim”.
Warto w tym miejscu przytoczyć jeden z przykładów znajdujących się w Wytycznych Europejskiej Rady Ochrony Danych 01/2021[2] (przypadek nr 14, s. 31), odnoszący się do sytuacji „wysłania pocztą przez pomyłkę wysoce poufnych danych osobowych”. W opisanym w ww. Wytycznych przypadku doszło do ujawnienia numeru ubezpieczenia społecznego, będącego odpowiednikiem stosowanego w Polsce numeru PESEL. W przypadku tym EROD nie miała wątpliwości, że ujawnione dane w zakresie: imię i nazwisko, adres e-mail, adres pocztowy, numer ubezpieczenia społecznego, wskazują na wysokie ryzyko naruszenia praw lub wolności osób fizycznych („zaangażowanie ich [osób poszkodowanych] numeru ubezpieczenia społecznego, a także innych, bardziej podstawowych danych osobowych, dodatkowo zwiększa ryzyko, które można określić jako wysokie”). EROD dostrzega wagę krajowych numerów identyfikacyjnych (w tym przypadku numeru PESEL), podkreślając jednocześnie, że tego typu naruszenie ochrony danych osobowych, a więc obejmujące swym zakresem dane w postaci: imienia i nazwiska, adresu e-mail, adresu korespondencyjnego oraz numeru ubezpieczenia społecznego, wymaga realizacji działań, tj.: powiadomienia organu nadzorczego oraz zawiadomienia o naruszeniu osób, których dane dotyczą.
Europejska Rada Ochrony Danych nie ma najmniejszych wątpliwości, że indywidualnie nadany numer jednoznacznie identyfikujący osobę fizyczną powinien podlegać szczególnej ochronie, a jego ujawnienie nieuprawnionym podmiotom może wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych.
Na fakt, że dane jednoznacznie identyfikujące osobę fizyczną mogą powodować wysokie ryzyko naruszenia praw lub wolności EROD wskazuje również w innych przykładach podanych w Wytycznych 01/2021. W pkt 65 i 66 Wytycznych 01/2021 wskazano: „(…) Naruszone dane pozwalają na jednoznaczną identyfikację osób, których dane dotyczą, i zawierają inne informacje na ich temat (w tym płeć, datę i miejsce urodzenia), ponadto mogą być wykorzystywane przez atakującego do odgadnięcia haseł klientów lub do przeprowadzenia kampanii spear phishingowej skierowanej do klientów banku. Z tych powodów uznano, że naruszenie ochrony danych prawdopodobnie spowoduje wysokie ryzyko naruszenia praw i wolności wszystkich osób, których dane dotyczą. W związku z tym możliwe jest wystąpienie szkód materialnych (np. strat finansowych) i niematerialnych (np. kradzieży tożsamości lub oszustwa)”.
Podobnych wątpliwości (że ujawnienie numeru PESEL wraz z innymi danymi osobowymi może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych) nie miał również Wojewódzki Sąd Administracyjny w Warszawie, który w wyroku z dnia 22 września 2021 r., sygn. akt II SA/Wa 791/21, stwierdził, że „Nie ulega wątpliwości, że przywołane w wytycznych przykłady szkód mogą wystąpić w przypadku osób, których dane osobowe – w niektórych przypadkach łącznie z numerem ewidencyjnym Pesel lub serią i nr dowodu osobistego – zostały utrwalone na udostępnionych nagraniach. Nie bez znaczenia dla takiej oceny jest możliwość w oparciu o ujawnione dane identyfikacji osób, których dane zostały objęte naruszeniem.”. Dalej Sąd w przywołanym orzeczeniu wskazał, że „Dane zostały bowiem udostępnione nieuprawnionym osobom, co oznacza, że nastąpiło naruszenie bezpieczeństwa prowadzące do nieuprawnionego ujawnienia danych osobowych, a zakres tych danych obejmujących w niektórych przypadkach również numer ewidencyjny PESEL lub serię i nr dowodu osobistego przesądza o tym, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych.” Rozważając powyższe kwestie należy przywołać również stanowisko Wojewódzkiego Sądu Administracyjnego w Warszawie wyrażone w wyroku z dnia 1 lipca 2022 r. wydanym w sprawie o sygn. akt II SA/Wa 4143/21. W uzasadnieniu tego wyroku Sąd stwierdził, iż: „Należy zgodzić się z Prezesem UODO, że utrata poufności numeru PESEL w połączeniu z danymi osobowymi, takimi jak: imię i nazwisko, adres zameldowania, numery rachunków bankowych oraz numer identyfikacyjny nadawany klientom Banku - numer CIF, wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. W przypadku naruszenia takich danych, jak imię, nazwisko oraz numer PESEL, możliwa jest bowiem kradzież lub sfałszowanie tożsamości skutkująca negatywnymi konsekwencjami dla osób, których dane dotyczą. Dlatego też Bank w przedmiotowej sprawie powinien był bez zbędnej zwłoki, stosownie do art. 34 ust. 1 RODO, zawiadomić osoby, których dane dotyczą, o naruszeniu ochrony danych osobowych, tak aby umożliwić im podjęcie niezbędnych działań zapobiegawczych”. Wskazać również należy na wyrok z dnia 31 sierpnia 2022 r., sygn. akt II SA/Wa 2993/21, w którym Wojewódzki Sąd Administracyjny w Warszawie podkreślił, że „(…) organ trafnie przyjął, iż wystąpiło wysokie ryzyko naruszenia praw i wolności osób objętych przedmiotowym naruszeniem z uwagi na możliwość łatwej, w oparciu o ujawnione dane, identyfikacji osób, których dane zostały objęte naruszeniem. Dane te bowiem to imię i nazwisko, adres do korespondencji, numer telefonu, numer PESEL osób posiadających polskie obywatelstwo. W tej sytuacji administrator zobowiązany był do zawiadomienia bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu”. Podobnie wypowiedział się Wojewódzki Sąd Administracyjny w Warszawie w wyrokach z dnia 15 listopada 2022 r., sygn. akt II SA/Wa 546/22, 21 czerwca 2023 r., sygn. akt II SA/Wa 150/23 oraz 6 listopada 2023 r., sygn. akt II SA/Wa 996/23.
W świetle powyższego warto przywołać także wyrok Naczelnego Sądu Administracyjnego w Warszawie z dnia 6 grudnia 2023 r., sygn. akt III OSK 2931/21: „Prezes UODO prawidłowo ustalił, iż doszło do udostępnienia danych m.in. w zakresie imion i nazwisk, a także numerów PESEL osób fizycznych, a więc danych względnie trwałych, niezmiennych, których ujawnienie zawsze może rodzić ryzyko negatywnych skutków dla ww. osób. Podobnie adresy zamieszkania są to dane osobowe, których nieuprawnione udostępnienie stwarza prawdopodobieństwo wysokiego ryzyka negatywnych skutków prawnych niezależnie od tego, iż do ujawnienia adresów doszło po kilku latach od ich aktualizacji”.
Trzeba również mieć na uwadze, że wykonanie przez Administratora jego obowiązku wnikającego z art. 33 ust. 1 rozporządzenia 2016/679 nie może być uzależniane od zaistnienia naruszenia praw lub wolności osób fizycznych, których danych dotyczy naruszenie ochrony danych osobowych. Jak stwierdził Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 22 września 2021 r. wydanym w sprawie o sygn. II SA/Wa 791/21: „Podkreślić należy, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować. W treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” (przy czym Sąd ten podobnie orzekł we wcześniej przywoływanym wyroku z dnia 1 lipca 2022 r. wydanym w sprawie o sygn. akt II SA/Wa 4143/21 oraz w wyrokach z dnia 31 sierpnia 2022 r., sygn. akt II SA/Wa 2993/21, z dnia 15 listopada 2022 r., sygn. akt II SA/Wa 546/22 i z dnia 26 kwietnia 2023 r., sygn. akt II SA/Wa 1272/22).
W piśmie z dnia 19 października 2023 r. Administrator wskazuje: „Ocena dokonana przez Bank, wskazująca na brak obowiązku notyfikacji naruszenia, wynikała także z braku jednoznacznej praktyki Prezesa UODO, dotyczącej zgłaszania naruszeń ochrony danych osobowych, w czasie dokonywania oceny naruszenia, tj. w kwietniu 2021 roku. W 2021 roku praktyka stosowania art. 33 ust. 1 dopiero się kształtowała, o czym świadczy wiele publicznie udostępnionych i szeroko komentowanych decyzji Prezesa UODO wydanych na przełomie 2021 i 2022 roku, które tę praktykę ostatecznie ukształtowały (m.in. (…) z 14 października 2021 2022 roku, (…) z 7 lipca 2022 roku, (…) z 21 czerwca 2021 roku)”.
Nie sposób zgodzić się z przytoczoną powyżej argumentacją Banku, albowiem Prezes UODO, a wcześniej Generalny Inspektor Ochrony Danych Osobowych, konsekwentnie od wielu lat stoi na stanowisku, że nr PESEL jest unikalnym identyfikatorem osoby, zawierającym w sobie wiele informacji, m.in. o wieku i płci, a jego ujawnienie osobie niepowołanej może rodzić ryzyko kradzieży tożsamości. Wydane decyzje w tym zakresie jedynie potwierdzają powyższe. Szczególnej ochrony danych osobowych, w tym przede wszystkim numeru ewidencyjnego PESEL, wymaga się także od instytucji zaufania publicznego, do których bez wątpienia można zaliczyć stronę przedmiotowego postępowania.
Biorąc pod uwagę dotychczasową działalność Prezesa UODO, który podejmuje możliwe, stosowne kroki mające na celu ochronę krajowego numeru identyfikacyjnego – PESEL, jak choćby nawet w kwestii ujawnienia numeru PESEL w Krajowym Rejestrze Sądowym, czy w kwalifikowanym podpisie elektronicznym, świadczy ona jednoznacznie o tym, jak należy – zdaniem organu nadzorczego – postępować w przypadku możliwego ujawnienia numeru PESEL. Prezes UODO wielokrotnie zwracał bowiem uwagę, że przetwarzanie numeru PESEL bez zachowania odpowiednich zasad bezpieczeństwa stwarza szereg zagrożeń dla prywatności osoby fizycznej, a ujawniony w wielu miejscach ułatwia kradzież tożsamości, a także profilowanie osoby bez jej wiedzy i zgody.
Przede wszystkim jednak, w okresie, w którym doszło do naruszenia, podobne przypadki naruszeń były zgłaszane organowi nadzorczemu, co potwierdza opublikowane z tego roku na stronie internetowej UODO Sprawozdanie z działalności Prezesa Urzędu Ochrony Danych Osobowych[3], a naruszenia polegające na zagubieniu korespondencji przez operatora pocztowego lub otwarcie korespondencji przed zwróceniem jej do nadawcy, były jednymi z najczęściej zgłaszanych przez administratorów danych naruszeń ochrony danych osobowych.
Niezrozumiałe są zatem wyjaśnienia Banku, który brak notyfikacji naruszenia ochrony danych osobowych tłumaczy niejednoznaczną praktyką Prezesa UODO w tym zakresie, a jednocześnie nie skorzystał z przysługujących mu, udostępnianych przez Prezesa UODO materiałów i niezbędnych wskazówek. Co istotne, podejmując decyzję o niezgłoszeniu naruszenia ochrony danych osobowych organowi nadzorczemu, Administrator pozbawił się możliwości zweryfikowania prawidłowości swej własnej praktyki.
Bank z jednej strony twierdzi, że „Wystąpienie Prezesa UODO, z którego wynika, że notyfikacji w trybie przewidzianym w art. 33 ust. 1 RODO ((…)) podlega każde naruszenie obejmujące m.in. numer PESEL jest datowane na 1 lipca 2021 roku, a zatem już po wystąpieniu naruszenia, którego dotyczy postępowanie”, w dalszej części wyjaśnień zaś wskazuje, iż cyt.: „Od momentu, w którym Bank powziął świadomość oczekiwań Prezesa UODO w zakresie stosowania art. 33 ust 1 RODO Bank niezwłocznie podjął działania mające na celu dostosowania własnej praktyki w tym zakresie do oczekiwań Prezesa UODO. Wynikiem zmiany podejścia Banku było poinformowanie Prezesa UODO o naruszeniu, które legło u podstaw niniejszego postępowania”.
Co do pierwszego stwierdzenia, w sprawach analogicznych do tej, której dotyczy przedmiotowe postępowanie, o właściwej praktyce Prezes UODO informował Bank także w pismach sprzed 1 lipca 2021 r., jak np. w sprawie o sygn. (…), gdzie wystąpienie zostało wysłane w dniu 26 marca 2021 r., a więc z okresu kiedy wystąpiło naruszenie, którego dotyczy postępowanie. Co do drugiego stwierdzenia – zgłoszenia naruszenia ochrony danych osobowych Bank dokonał nie w ślad za pierwszymi wysyłanymi wystąpieniami w sprawach zgłoszeń naruszeń ochrony danych osobowych, gdzie zdaniem organu nadzorczego nie dokonano prawidłowej analizy ryzyka naruszenia praw lub wolności osób fizycznych, których nr PESEL dotyczy, lecz dopiero wskutek wysłanego wezwania z dnia 1 września 2022 r. do uzupełnienia wyjaśnień w sprawie złożonej skargi osoby, której to naruszenie dotyczy (sygn. (…)), w którym to piśmie organ nadzorczy zwrócił się do Banku o wskazanie, czy dokonał stosownie do treści art. 33 rozporządzenia 2016/679, zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu.
Na marginesie jedynie należy wskazać, że dla przykładu zgłoszenie naruszenia ochrony danych osobowych z dnia 12 lutego 2021 r. o sygn. (…), które polegało również na wysłaniu korespondencji do niewłaściwego odbiorcy, i w którym zakres danych osobowych objętych był niemalże identyczny z naruszeniem, którego dotyczy niniejsze postępowanie (różnica dotyczyła jedynie serii i numeru dowodu osobistego – w zgłoszeniu (…) ujawnione zostały dane w zakresie: imię i nazwisko, numer ewidencyjny PESEL, numer rachunku bankowego, adres zamieszkania lub pobytu, numer umowy), zostało zgłoszone przez Toyota Bank Polska S.A. do organu nadzorczego.
W sprawie naruszenia ochrony danych osobowych, którego brak zgłoszenia organowi nadzorczemu w terminie 72 godzin od jego stwierdzenia spowodował wszczęcie niniejszego postępowania, Bank dokonał zawiadomienia osoby, której dane dotyczą o naruszeniu ochrony jej danych osobowych, przewidując, że naruszenie to może wiązać się wysokim ryzykiem dla praw i wolności osób fizycznych – tym bardziej zobowiązany był zatem do dokonania zgłoszenia tego naruszenia organowi nadzorczemu. Jak wynika bowiem z art. 33 ust. 1 rozporządzenia 2016/679, w przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki, zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
W kontekście ww. wyjaśnień, Bank zdaje się zapominać, że stosując przepisy rozporządzenia 2016/679 należy mieć na uwadze cel tego rozporządzenia (wyrażony w art. 1 ust. 2), którym jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych. Z kolei ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów – w tym również w sytuacji, gdy doszło do naruszenia ochrony danych osobowych – należy w pierwszej kolejności brać pod uwagę te wartości.
Uzyskanie przez organ nadzorczy pełnych, wymaganych w art. 33 ust. 3 rozporządzenia 2016/679 informacji o określonym naruszeniu ochrony danych osobowych, pozwala mu na właściwą ocenę takiego naruszenia i odpowiednią reakcję polegającą np. na zażądaniu od administratora powiadomienia osób, których dane dotyczą, w sytuacji, gdy jest to konieczne, a administrator nie uczynił tego z własnej inicjatywy. Brak odpowiedniej i szybkiej reakcji na naruszenia ochrony danych osobowych zwiększa ryzyko urzeczywistnienia się związanych z nimi szkód.
Warto podkreślić, że dokonując oceny pod kątem ryzyka naruszenia praw lub wolności osób fizycznych, od której uzależnione jest m.in. dokonanie zgłoszenia naruszenia ochrony danych osobowych, należy łącznie uwzględnić czynnik prawdopodobieństwa i wagę potencjalnych negatywnych skutków. Wysoki poziom któregokolwiek z tych czynników ma wpływ na wysokość ogólnej oceny, od której uzależnione jest wypełnienie m.in. obowiązku określonego w art. 33 ust. 1 rozporządzenia 2016/679. Mając na uwadze, że ze względu na zakres ujawnionych danych osobowych w analizowanym przypadku wystąpiła możliwość zmaterializowania się poważnych negatywnych konsekwencji dla osoby, której dane dotyczą (jak wyżej wykazano), to wagę potencjalnego wpływu na prawa lub wolności osoby fizycznej należy uznać za wysoką. Jednocześnie prawdopodobieństwo wystąpienia wysokiego ryzyka w następstwie przedmiotowego naruszenia nie jest małe i nie zostało wyeliminowane. Tym samym stwierdzić należy, że w związku z przedmiotowym naruszeniem wystąpiło wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, co w konsekwencji determinuje obowiązek dokonania zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu.
W Wytycznych 9/2022 EROD wskazując czynniki, które należy wziąć pod uwagę przy ocenie ryzyka, odsyła do motywów 75 i 76 rozporządzenia 2016/679, które sugerują, że administrator powinien uwzględnić zarówno prawdopodobieństwo wystąpienia, jak i powagę zagrożenia praw lub wolności osoby, której dane dotyczą. W przypadku naruszenia ochrony danych osobowych administrator powinien skupić swoją uwagę na wynikającym z faktu naruszenia ryzyku wpływu naruszenia na osobę fizyczną. Zatem, oceniając ryzyko dla osoby fizycznej powstałe w wyniku naruszenia ochrony danych osobowych, administrator powinien wziąć pod uwagę konkretne okoliczności naruszenia, w tym dotkliwość potencjalnego wpływu oraz prawdopodobieństwo jego wystąpienia. W związku z powyższym, przy ocenie ryzyka, EROD zaleca uwzględnienie takich kryteriów, jak: rodzaj naruszenia, charakter, wrażliwość i ilość danych osobowych, a także łatwość identyfikacji, ponieważ mogą one mieć wpływ na poziom ryzyka dla osób fizycznych. Ryzyko naruszenia praw i wolności osoby fizycznej zgodnie z Wytycznymi 9/2022 będzie większe, gdy konsekwencje naruszenia są poważniejsze, jak również wtedy, gdy wzrasta prawdopodobieństwo ich wystąpienia. Wytyczne wskazują aby, w przypadku jakichkolwiek wątpliwości administrator zgłosił naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna.
Podsumowując powyższe należy stwierdzić, że w przedmiotowym przypadku występuje wysokie ryzyko naruszenia praw lub wolności osoby objętej przedmiotowym naruszeniem, co z kolei skutkowało powstaniem po stronie Banku obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 33 ust. 3 rozporządzenia 2016/679, a także – co zostało wykonane – zawiadomienia tej osoby o naruszeniu, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 34 ust. 2 rozporządzenia 2016/679. Należy też stwierdzić, że w przedmiotowej sytuacji nie ma podstaw do stwierdzenia, by Administrator z jakichkolwiek przyczyn zwolniony był z obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu zgodnie z art. 33 ust. 1 rozporządzenia 2016/679 oraz z obowiązku zawiadomienia o nim osoby, której dotyczą dane objęte tym naruszeniem (zgodnie z art. 34 ust. 1 tego rozporządzenia). W okolicznościach badanego przypadku nie można rozsądnie twierdzić, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności Podmiotu Danych. Naruszenie to dotyczyło bowiem danych w zakresie: imienia i nazwiska, numeru ewidencyjnego PESEL, adresu zamieszkania, numeru rachunku bankowego, serii i numeru dowodu osobistego ww. osoby zawartych w umowie wraz z harmonogramem spłaty kredytu, co udostępnione zostało osobie nieuprawnionej. W ocenie organu nadzorczego nie istnieje więc uzasadnienie dla niewykonania przez Bank obowiązku wynikającego z przepisu art. 33 ust. 1 rozporządzenia 2016/679, którego naruszenie jest przedmiotem niniejszego postępowania.
W motywie 85 preambuły rozporządzenia 2016/679 wyjaśniono: „Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki”.
Podsumowując całościowo powyższą argumentację organu nadzorczego, należy stwierdzić, że Administrator – pomimo zaktualizowania się w okolicznościach analizowanego przypadku jego obowiązków – nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w terminie 72 godzin od stwierdzenia naruszenia, co oznacza naruszenie przez Bank obowiązku z art. 33 ust. 1 rozporządzenia 2016/679.
Zgodnie z art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 rozporządzenia 2016/679, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy. Prezes UODO stwierdza, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Bank administracyjnej kary pieniężnej w oparciu o art. 83 ust. 4 lit. a) rozporządzenia 2016/679 stanowiący m.in., że naruszenie obowiązków administratora, o których mowa w art. 33 rozporządzenia 2016/679, podlega administracyjnej karze pieniężnej w wysokości do 10 000 000 EURO, a w przypadku przedsiębiorstwa - w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Stosownie do treści art. 83 ust. 2 rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a) - h) oraz lit. j) rozporządzenia 2016/679. Decydując o nałożeniu na Bank administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:
1. Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
W niniejszej sprawie stwierdzono naruszenie przepisu art. 33 ust. 1 rozporządzenia 2016/679 (polegającego na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia). Związane jest ono ze zdarzeniem polegającym na udostępnieniu osobie nieuprawnionej umowy wraz z harmonogramem spłaty kredytu zawierających dane osobowe jednej osoby w postaci: imienia, nazwiska, numeru ewidencyjnego PESEL, adresu zamieszkania, numeru rachunku bankowego oraz serii i numer dowodu osobistego, co sprawia, że ma ono znaczną wagę i poważny charakter, ponieważ zdarzenie to może doprowadzić do szkód majątkowych lub niemajątkowych dla osoby, której dane zostały naruszone, a prawdopodobieństwo ich wystąpienia jest wysokie. W związku z wystąpieniem naruszenia ochrony danych osobowych, polegającym na udostępnieniu osobie nieuprawnionej dokumentacji bankowej, doszło do bezprawnego ujawnienia informacji objętych tajemnicą bankową – co dodatkowo zwiększa powagę naruszenia i wskazuje na możliwość wystąpienia negatywnych skutków zdarzenia dla osób, których dane dotyczą.
Za okoliczność obciążającą Prezes UODO uznaje długi czas trwania naruszenia przez Bank przepisu art. 33 ust. 1 rozporządzenia 2016/679. Należy bowiem przyjąć, że trwało niemal 18 miesięcy. O zaistniałym naruszeniu ochrony danych osobowych Administrator dowiedział się bowiem w dniu (...) marca 2021 r., zgłoszenia zaś dokonał dopiero w dniu 7 września 2022 r. i to jedynie ze względu na toczące się równolegle postępowanie w związku ze złożeniem skargi przez Podmiot Danych na udostępnienie jej danych osobowych osobie trzeciej – jedno z pytań zadanych Administratorowi w toczącym się postępowaniu dotyczyło właśnie wskazania, czy, a jeżeli tak, to kiedy, Bank zgłosił naruszenie ochrony danych osobowych organowi nadzorczemu. Podkreślić również należy, że wobec złożenia przez Klientkę Banku ww. skargi na nieprawidłowości w procesie przetwarzania jej danych osobowych przez Toyota Bank Polska S.A., polegające na udostępnieniu jej danych osobowych osobie trzeciej bez podstawy prawnej, w opinii Prezesa UODO potwierdza to jedynie, że przedstawiona w wyjaśnieniach Banku ocena ryzyka dokonana w przedmiotowej sprawie uwzględnia jedynie perspektywę Administratora, a to oznacza, że nie uwzględnia perspektywy Klientki Banku, która w wyniku naruszenia ochrony jej danych osobowych, z wysokim prawdopodobieństwem, poniosła szkodę niemajątkową.
W niniejszej sprawie naruszenie dotyczyło danych osobowych tylko jednej osoby. Taką liczbę osób dotkniętych naruszeniem, szczególnie wobec faktu, że Bank – w związku ze skalą i zakresem swojej działalności – przetwarza dane osobowe bardzo dużej liczby klientów, należy uznać za niewielką, co niewątpliwie przemawia na korzyść Administratora, lecz nie zmieniło to jednak całościowej oceny, tj. uznania w analizowanej sprawie przesłanki z art. 83 ust. 2 lit. a) rozporządzenia 2016/679 za obciążającą.
2. Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
Zgodnie z Wytycznymi Grupy Roboczej Art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 WP253 (przyjętymi w dniu 3 października 2017 r., zatwierdzonymi przez EROD w dniu 25 maja 2018 r.), umyślność „obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego”. Bank podjął świadomą decyzję, by nie zawiadamiać o naruszeniu ochrony danych osobowych Prezesa UODO w terminie 72 godzin od jego stwierdzenia. Nie ulega wątpliwości, że Bank, przetwarzając dane osobowe na masową skalę, musi mieć wiedzę w zakresie ochrony danych osobowych, obejmującą wiedzę o konsekwencjach stwierdzenia naruszenia ochrony danych osobowych skutkującego ryzykiem naruszenia praw lub wolności osób fizycznych (a wiedzy tej wymagać można nie tylko od Administratora lecz również od powołanego przez niego inspektora ochrony danych). Będąc tego świadomym, Administrator podjął jednak decyzję o rezygnacji z dokonania zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO w terminie 72 godzin od jego stwierdzenia.
3. Stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 ze strony administratora (art. 83 ust. 2 lit. e rozporządzenia 2016/679).
Przy podejmowaniu decyzji o nałożeniu i wysokości administracyjnej kary pieniężnej, organ nadzorczy zobowiązany jest do zwrócenia uwagi na wszelkie wcześniejsze naruszenia rozporządzenia 2016/679. EROD w Wytycznych 04/2022[4] w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO przyjętych 24 maja 2023 r wprost wskazuje: „Istnienie wcześniejszych naruszeń można uznać za czynnik obciążający przy obliczaniu wysokości kary pieniężnej. Waga przypisywana temu czynnikowi powinna być ustalana z uwzględnieniem charakteru i częstotliwości wcześniejszych naruszeń. Brak wcześniejszych naruszeń nie może jednak zostać uznany za okoliczność łagodzącą, ponieważ przestrzeganie przepisów [rozporządzenia 2016/679] stanowi normę”. I choć jak wskazują ww. wytyczne „większe znaczenie należy przypisać naruszeniom dotyczącym tego samego przedmiotu, ponieważ są one bliższe naruszeniu będącemu przedmiotem obecnego postępowania, w szczególności gdy administrator lub podmiot przetwarzający dopuścili się wcześniej tego samego naruszenia (powtarzające się naruszenia)” (pkt 88 wytycznych), to jednak „wszystkie wcześniejsze naruszenia mogą stanowić informację o ogólnym podejściu administratora lub podmiotu przetwarzającego do przestrzegania przepisów rozporządzenia 2016/679”.
Organ nadzorczy stwierdził już we wcześniej wydawanych decyzjach administracyjnych naruszenie przez Administratora przepisów o ochronie danych osobowych:
- w decyzji z dnia 29 września 2022 r. (sygn. (…)) naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679;
- w decyzji z dnia 8 maja 2023 r. (sygn. (…)) naruszenie przepisu art. 15 ust. 1 lit. c rozporządzenia 2016/679;
- w decyzji z dnia 9 maja 2023 r. (sygn. (…)) naruszenie przepisu art. 15 ust. 1 lit. a rozporządzenia 2016/679;
- w decyzji z dnia z 14 listopada 2022 r. ((…)) naruszenie przepisu art. 15 ust. 1 lit. c oraz art. 12 ust. 3 rozporządzenia 2016/679;
- w decyzji z dnia 1 lutego 2024 r. (sygn. (…)) naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679.
Wymienione powyżej wcześniejsze naruszenia wskazują na ogólnie lekceważące podejście Administratora do kwestii ochrony danych, a zastosowane uprzednio wobec Administratora w ww. sprawach środki naprawcze, w tym dwukrotnie w maju 2023 r. kiedy to Prezes UODO nakazał Bankowi dostosowanie operacji przetwarzania danych osobowych do przepisów rozporządzenia 2016/679 wobec naruszenia art. 15 ust. 1 lit. c) rozporządzenia 2016/679 i art. 15 ust. 1 lit. a) rozporządzenia 2016/679, czy w związku z decyzjami udzielającymi upomnienia Administratorowi za naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679 jak miało to miejsce w sprawach o sygn. (…) oraz (…), w pełni uzasadniają wymierzenie w niniejszym postępowaniu sankcji finansowej, a także jej wymiar. Nie bez znaczenia pozostaje fakt, iż ostatnia decyzja za naruszenie przepisów rozporządzenia 2016/679 w stosunku do Toyota Bank Polska S.A., w której to organ nadzorczy zastosował względem Administratora środek naprawczy (upomnienie) została wydana 1 lutego 2024 r. co zgodnie z Wytycznymi 04/2022 - „Należy uwzględnić moment, w którym miało miejsce wcześniejsze naruszenie, biorąc pod uwagę to, że im dłuższy jest czas pomiędzy tym naruszeniem a naruszeniem będącym przedmiotem obecnie trwającego postępowania, tym mniejsze jest znaczenie owego wcześniejszego naruszenia. W konsekwencji, im dawniej doszło do naruszenia, tym mniejsze znaczenie powinny mu przypisywać organy nadzorcze” (pkt 84 wytycznych) – winno mieć przełożenie na ostateczną decyzję organu nadzorczego oraz wymiar nałożonej administracyjnej kary pieniężnej.
Z uwagi na powyższe, w przedmiotowej sprawie należy uznać, że istnieją podstawy do traktowania przesłanki z art. 83 ust. 2 lit. e) rozporządzenia 2016/679 jako obciążającej.
4. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Dane osobowe udostępnione osobie nieuprawnionej nie należą do szczególnych kategorii danych osobowych, o których mowa w art. 9 rozporządzenia 2016/679, ani do danych określonych w art. 10 rozporządzenia 2016/679, jednakże fakt, iż w udostępnionej umowie łączącej strony zawarto szeroki ich zakres (imię i nazwisko, adres zamieszkania, numer ewidencyjny PESEL, numer rachunku bankowego, seria i numer dowodu osobistego), wiąże się z wysokim ryzykiem naruszenia praw lub wolności osoby fizycznej. Numer PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający datę urodzenia, numer porządkowy, oznaczenie płci oraz liczbę kontrolną, a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga. Nie ma innej, tak konkretnej danej, która by w sposób jednoznaczny identyfikowała osobę fizyczną. Nie bez powodu numer PESEL służy jako dana identyfikująca każdą osobę i jest powszechnie używany w kontaktach z różnymi instytucjami oraz w obiegu prawnym. Numer PESEL wraz z imieniem i nazwiskiem w sposób jednoznaczny identyfikuje osobę fizyczną, w sposób pozwalający przypisać negatywne skutki naruszenia (np. kradzież tożsamości, wyłudzenie pożyczki) tej konkretnej osobie.
W tym kontekście warto przywołać wytyczne EROD 04/2022, w których to wskazano: „Jeśli chodzi o wymóg uwzględnienia kategorii danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) [rozporządzenia 2016/679]), w [rozporządzeniu 2016/679] wyraźnie wskazano rodzaje danych, które podlegają szczególnej ochronie, a tym samym bardziej rygorystycznej reakcji przy nakładaniu kar pieniężnych. Dotyczy to co najmniej rodzajów danych objętych art. 9 i 10 [rozporządzenia 2016/679] oraz danych nieobjętych zakresem tych artykułów, których rozpowszechnianie natychmiast powoduje szkody lub dyskomfort osoby, której dane dotyczą (np. danych dotyczących lokalizacji, danych dotyczących komunikacji prywatnej, krajowych numerów identyfikacyjnych lub danych finansowych, takich jak zestawienia transakcji lub numery kart kredytowych). Ogólnie rzecz biorąc, im większej liczby takich kategorii danych dotyczy naruszenie lub im bardziej wrażliwe są dane, tym większa wagę organ nadzorczy może przypisać takiemu czynnikowi. Znaczenie ma również ilość danych dotyczących każdej osoby, której dane dotyczą, ponieważ wraz z ilością danych dotyczących każdej osoby, której dane dotyczą, wzrasta skala naruszenia prawa do prywatności i ochrony danych osobowych”.
Warto raz jeszcze wskazać na kształtujące się w tym zakresie orzecznictwo, gdzie dla przykładu w wyroku z dnia 15 listopada 2022 r. o sygn. II SA/Wa 546/22 Wojewódzki Sąd Administracyjny w Warszawie wskazał: „Oczywistym też było, że organ określając wymiar kary musiał uwzględnić fakt, że naruszenie dotyczyło danych o wielkiej wrażliwości (m.in. PESEL, adres, dane o stanie zdrowia)”. Pogląd ten podzielony został także przez ww. Sąd w wyroku z dnia 21 czerwca 2023 r. w sprawie o sygn. II SA/Wa 150/23, gdzie Wojewódzki Sąd Administracyjny w Warszawie wskazał: „Reasumując Sąd stoi na stanowisku, że ujawnienie numeru PESEL, wskazuje na wysokie ryzyko naruszenia praw lub wolności osób fizycznych”.
Decydując o nałożeniu administracyjnej kary pieniężnej Prezes UODO wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające łagodząco na wymiar nałożonej administracyjnej kary pieniężnej:
1. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679).
Należy zaznaczyć, iż poza prawidłowym wywiązywaniem się z ciążących na administratorze obowiązków procesowych w trakcie postępowania administracyjnego zakończonego wydaniem niniejszej decyzji, Bank w toku prowadzonego postępowania administracyjnego współpracował z organem nadzorczym udzielając stosownych informacji związanych z naruszeniem ochrony danych osobowych (odpowiadając na skierowane zawiadomienie o wszczęciu postępowania oraz wezwanie do przesłania dokumentów finansowych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej). Administrator dokonał również zgłoszenia naruszenia ochrony danych osobowych, wskutek wszczęcia postępowania skargowego oraz wystosowanego w związku z tym postępowaniem wezwania i choć zgłoszenie to stanowiło swoistą odpowiedź na wystąpienie organu nadzorczego, to stanowi to przejaw właściwej reakcji na kierowane do Banku pisma, a wobec tego okoliczność tę należy zakwalifikować jako łagodzącą.
2. Wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Bank zawiadomił osobę, której dane dotyczą o naruszeniu ochrony jej danych osobowych oraz udzielił tej osobie wsparcia poprzez wykupienie raportu w Biurze Informacji Kredytowej, co zasługuje na dostrzeżenie i akceptację, dlatego działanie to uznać należy za okoliczność łagodzącą w niniejszej sprawie.
Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej:
1. Działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).
Pomimo dokonania przez Administratora zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony jej danych osobowych, wynikającego z art. 34 ust. 1 rozporządzenia 2016/679, w którym to zawiadomieniu Administrator wskazał tej osobie środki w celu ewentualnego zapobieżenia możliwym negatywnym konsekwencjom naruszenia, to jednak ze względu na charakter naruszenia stwierdzonego w niniejszej sprawie (niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po jego stwierdzeniu) - które to naruszenie w swej istocie nie wiąże się bezpośrednio z ryzykiem powstania szkód po stronie osoby dotkniętej naruszeniem ochrony danych osobowych - należy przyjąć, iż przesłanka wskazana w art. 83 ust. 2 lit. c) rozporządzenia 2016/679 nie ma w rozpatrywanym przypadku wpływu ani obciążającego ani łagodzącego na wymiar orzeczonej administracyjnej kary pieniężnej. Nie ma ona znaczenia w ocenie naruszenia przez Bank przepisu art. 33 ust. 1 rozporządzenia 2016/679.
2. Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
Ze względu na charakter naruszenia stwierdzonego w niniejszej sprawie (niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po jego stwierdzeniu) - które to naruszenie w swej istocie nie wiąże się ze stosowanymi przez administratora środkami technicznymi i organizacyjnymi - należy przyjąć, iż przesłanka wskazana w art. 83 ust. 2 lit. d) rozporządzenia 2016/679 nie ma w rozpatrywanym przypadku wpływu ani obciążającego ani łagodzącego na wymiar orzeczonej administracyjnej kary pieniężnej. Nie ma ona znaczenia w ocenie naruszenia przez Bank przepisu art. 33 ust. 1 rozporządzenia 2016/679.
3. Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).
O zaistnieniu przedmiotowego naruszenia przepisu art. 33 ust. 1 rozporządzenia 2016/679 związanego ze zdarzeniem polegającym na udostępnieniu przez Administratora dokumentu zawierającego dane osobowe nieuprawnionemu odbiorcy, Prezes UODO został poinformowany wskutek zgłoszenia naruszenia ochrony danych osobowych dokonanego przez Bank po upływie niemal 18 miesięcy od jego stwierdzenia. Natomiast samo zgłoszenie naruszenia po upływie tak znacznego czasu, związane było z toczącym się równolegle przed Prezesem UODO postępowaniem ze skargi osoby, której dotyczy przedmiotowe naruszenie, a w której to sprawie, Prezes UODO zwracał się do Banku m.in. z pytaniem o dokonanie zgłoszenia przedmiotowego naruszenia. Jak ustalono, dopiero powyższe wezwanie legło u podstaw dokonania zgłoszenia naruszenia ochrony danych osobowych.
Brak zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, jest jedynym przedmiotem niniejszego postępowania i w okolicznościach rozważanego stanu faktycznego organ nadzorczy przyjął, że przesłanki tej nie potraktuje jako okoliczności obciążającej.
4. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
5. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust 2 lit. j rozporządzenia 2016/679).
Administrator nie stosuje instrumentów, o których mowa w art. 40 i art. 42 rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak - jak stanowią przepisy rozporządzenia 2016/679 - obowiązkowe dla administratorów i podmiotów przetwarzających, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na korzyść Administratora natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.
6. Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO nie stwierdził, żeby Administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Administratora. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez Administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla Administratora. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” - zaistniałe po stronie podmiotu dokonującego naruszenia.
Prezes UODO, wszechstronnie rozpatrując przedmiotową sprawę, nie odnotował okoliczności innych, niż powyżej opisane, mogących wpłynąć na ocenę naruszenia i wysokość orzeczonej administracyjnej kary pieniężnej.
W ocenie Prezesa UODO zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.
Należy podkreślić, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Bank, profesjonalnie i na skalę masową przetwarzający dane osobowe, w przyszłości będzie wywiązywał się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie zgłaszania naruszenia ochrony danych osobowych Prezesowi UODO.
W ocenie Prezesa UODO administracyjna kara pieniężna spełni funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Bank przepisów rozporządzenia 2016/679. Będzie również spełniać funkcję prewencyjną; w ocenie Prezesa UODO wskaże bowiem zarówno Bankowi, jak i innym administratorom danych, na naganność lekceważenia obowiązków administratorów związanych z zaistnieniem naruszenia ochrony danych osobowych, a mających na celu przecież zapobieżenie jego negatywnym i często dotkliwym dla osób, których naruszenie dotyczy, skutkom, a także usunięcie tych skutków lub przynajmniej ograniczenie.
Stosownie do treści art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), zwanej dalej „uodo”, równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.
Mając powyższe na uwadze, Prezes UODO, na podstawie art. 83 ust. 4 lit. a) w związku z art. 103 uodo, za naruszenie opisane w sentencji niniejszej decyzji, nałożył na Bank - stosując średni kurs euro z dnia 29 stycznia 2024 r. (1 EUR = 4,3653 PLN) - administracyjną karę pieniężną w kwocie 78.575,40 PLN (co stanowi równowartość 18.000,- EUR).
W ocenie Prezesa UODO, zastosowana kara pieniężna w wysokości 78.575,40PLN (słownie: siedemdziesiąt osiem tysięcy pięćset siedemdziesiąt pięć złotych i czterdzieści groszy), spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonego naruszenia w kontekście podstawowego celu rozporządzenia 2016/679 - ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych. Odnosząc się do wysokości wymierzonej Bankowi administracyjnej kary pieniężnej, Prezes UODO uznał, iż jest ona proporcjonalna do sytuacji finansowej Administratora i nie będzie stanowiła dla niego nadmiernego obciążenia. Z przedstawionego przez Administratora sprawozdania finansowego wynika, że łączne przychody Banku za rok obrotowy zakończony dnia 31 marca 2023 roku wyniosły 319.617.075,-PLN, w związku z czym kwota nałożonej w niniejszej sprawie administracyjnej kary pieniężnej stanowi ok. 0,02% ww. kwoty wpływów. Jednocześnie warto podkreślić, że kwota nałożonej kary 78.575,40 PLN to jedynie ok. 0,18% maksymalnej wysokości kary, którą Prezes UODO mógł - stosując zgodnie z art. 83 ust. 4 rozporządzenia 2016/679 statyczne maksimum kary (tj. 10.000.000,- euro) - nałożyć na Bank za stwierdzone w niniejszej sprawie naruszenie.
Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność uiszczenia kary finansowej pociągnie za sobą negatywne następstwa, w postaci znaczącej redukcji zatrudnienia bądź istotnego spadku obrotów Banku. Zdaniem Prezesa UODO, Bank powinien i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, o czym świadczy chociażby sprawozdanie finansowe Banku, przesłane do Prezesa UODO w dniu 15 grudnia 2023 r.
Na koniec koniecznym jest wskazanie, że ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej Prezes UODO zastosował metodykę przyjętą przez Europejską Radę Ochrony Danych w Wytycznych 04/2022 w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO przyjętych 24 maja 2023 r. Zgodnie z przedstawionymi w tym dokumencie wskazówkami:
- Prezes UODO dokonał kategoryzacji stwierdzonego w niniejszej sprawie naruszenia przepisów rozporządzenia 2016/679 (vide Rozdział 4.1 Wytycznych 04/2022). Stwierdzone w niniejszej sprawie naruszenie przepisu art. 33 ust. 1 rozporządzenia 2016/679 należy – zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą niższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 10 000 000 EUR lub do 2% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Zostało więc ono in abstracto (w oderwaniu od indywidualnych okoliczności konkretnej sprawy) uznane przez prawodawcę unijnego za mniej poważne niż naruszenia wskazane w art. 83 ust. 5 rozporządzenia 2016/679).
- Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o niskim poziomie powagi (vide Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które tyczą się strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny lub nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679) oraz kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej. W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi również in concreto jest niski (w skali powagi naruszeń przedstawionej w pkt 60 Wytycznych 04/2022). Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia wysokości kary – wartości mieszczącej się w przedziale od 0 do 10% maksymalnej wysokości kary możliwej do orzeczenia wobec Banku. Zważywszy, że przepis art. 83 ust. 4 rozporządzenia 2016/679 zobowiązuje Prezesa UODO do przyjęcia, jako maksymalnej wysokości kary za naruszenie wskazane w tym przepisie, kwoty 10 000 000 EUR lub – o ile wartość ta jest wyższa niż 10 000 000 EUR – kwoty stanowiącej 2% obrotu Banku z poprzedniego roku obrotowego, Prezes UODO stwierdza, że zastosowanie w niniejszej sprawie ma tzw. statyczna maksymalna kwota kary – 10 000 000 EUR. Zastosowanie bowiem 2-procentowego wskaźnika przyłożonego do obrotu Banku za rok obrotowy zakończony dnia 31 marca 2023 r. (73 217 665 EUR, to jest równowartość 319 617 075 zł wg średniego kursu EUR z 29 stycznia 2024 r.) daje kwotę 1 464 353 EUR – niższą niż statyczne maksimum kary, o którym mowa w art. 83 ust. 4 rozporządzenia 2016/679. Mając więc do dyspozycji przedział od 0 do 10 000 000 EUR, Prezes UODO przyjął, jako adekwatną i uzasadnioną okolicznościami sprawy, kwotę wyjściową do obliczenia wysokości kary wynoszącą 300 000 EUR (stanowiącą 3% statycznej maksymalnej wysokości kary).
- Prezes UODO dostosował kwotę wyjściową odpowiadającą niskiej powadze stwierdzonego naruszenia do obrotu Banku jako miernika jego wielkości i siły gospodarczej (vide Rozdział 4.3 Wytycznych 04/2022). Zgodnie z Wytycznymi 04/2022, w przypadku przedsiębiorstw, których roczny obrót wynosi między 50 a 100 mln EUR, organ nadzorczy może rozważyć dokonanie dalszych obliczeń wysokości kary na podstawie wartości mieszczącej się w przedziale od 8% do 20% kwoty wyjściowej. Zważywszy, że obrót Banku w ostatnim roku sprawozdawczym (kończącym się 31 marca 2023 r.) wyniósł 319 617 075 zł, to jest 73 217 665 EUR (wg średniego kursu EUR z dnia 29 stycznia 2024 r.), Prezes UODO za stosowne uznał skorygowanie podlegającej obliczeniom kwoty kary do wartości odpowiadającej 12% kwoty wyjściowej, to jest do kwoty 36 000 EUR (równowartość 157 150,80 zł).
- Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (vide Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się – jak zakładają Wytyczne 04/2022 – do jego strony podmiotowej, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej. Prezes UODO uznał, że okolicznościami łagodzącymi w niniejszej sprawie są: stopień współpracy Banku z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679), jak również działania podjęte przez Bank wobec osoby, której dane stały się przedmiotem naruszenia ochrony danych osobowych („inne łagodzące czynniki”, o których mowa w art. 83 ust. 2 lit. f) rozporządzenia 2016/679). Obciążająco na wymiar kary wpływają natomiast stwierdzone przez Prezesa UODO stosowne wcześniejsze naruszenia Banku w zakresie ochrony danych osobowych (art. 83 ust. 2 lit. e) rozporządzenia 2016/679). Pozostałe przesłanki (z art. 83 ust. 2 lit. c), d), h), i), j) rozporządzenia 2016/679) – jak wskazano wyżej – nie miały wpływu, ani łagodzącego ani obciążającego, na ocenę naruszenia i w konsekwencji na wymiar kary. Ze względu na zaistnienie w sprawie powyższych okoliczności łagodzących i obciążających Prezes UODO za zasadne uznał dalsze obniżenie kwoty kary ustalonej wyżej z uwzględnieniem obrotu Banku (pkt 3 powyżej); adekwatnym do ocenianego łącznie wpływu wyżej wskazanych przesłanek na ocenę naruszenia jest w ocenie Prezesa UODO jej obniżenie do kwoty 28 800 EUR (równowartość 125 720,64 zł).
- Na koniec Prezes UODO ocenił ustaloną w wyżej określony sposób wysokość kary w kontekście zasad skuteczności, proporcjonalności i odstraszającego charakteru administracyjnej kary pieniężnej (vide Rozdział 7 Wytycznych 04/2022). W wyniku tej oceny Prezes UODO uznał, że wymaga ona dodatkowej korekty ze względu na dyrektywę proporcjonalności wskazaną przez prawodawcę unijnego – jako jedna z trzech podstawowych zasad – w art. 83 ust. 1 rozporządzenia 2016/679. Kara pieniężna w wysokości 28 800 EUR byłaby w ocenie Prezesa UODO niewątpliwie karą skuteczną (przez swoją wyraźną dolegliwość pozwoliłaby osiągnąć swój cel represyjny, którym jest ukaranie za bezprawne zachowanie) i odstraszającą (pozwalającą skutecznie zniechęcić zarówno Spółkę, jak i innych administratorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679). Kara taka byłaby jednak – w ocenie Prezesa UODO – karą nieproporcjonalnie wysoką w stosunku do wagi stwierdzonego naruszenia (która, zarówno in abstracto i jak i in concreto, jest niska – vide pkt 1 i 2 powyżej) oraz w kontekście oceny postępowania Banku po stwierdzeniu naruszenia, które – jak wskazano wyżej w ocenie przesłanek z art. 83 ust. 2 lit. f) i k) rozporządzenia 2016 – należy co do zasady ocenić pozytywnie. Zasada proporcjonalności wymaga bowiem m.in., by przyjęte przez organ administracyjny środki nie wykraczały poza to, co odpowiednie i konieczne do realizacji uzasadnionych celów (vide pkt 137 i pkt 139 Wytycznych 04/2022). Innymi słowy: „Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku” (P. Litwiński (red.), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. […]; Komentarz do art. 83 [w:] P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz). Mając więc na uwadze wzgląd na proporcjonalność kary Prezes UODO dokonał dalszego jej obniżenia – do kwoty 18 000 EUR (równowartość 78 575,40 zł). W jego ocenie takie określenie ostatecznej wysokości orzeczonej kary nie wpłynie na obniżenie jej skuteczności i odstraszającego charakteru. Kwota ta bowiem stanowi próg, powyżej którego dalsze zwiększanie wysokości kary nie będzie wiązało się ze wzrostem jej skuteczności i odstraszającego charakteru. Z drugiej natomiast strony obniżenie w większym stopniu wysokości kary mogłoby się odbyć kosztem jej skuteczności i odstraszającego charakteru, a także spójnego – w odniesieniu do innych organów nadzorczych oraz EROD – rozumienia, stosowania i egzekwowania rozporządzenia 2016/679, oraz zasady równego traktowania podmiotów na rynku wewnętrznym UE i EOG. Co istotne również, wymiar skuteczności i odstraszającego charakteru kary wymierzonej w niniejszej sprawie (nawet w wysokości dalekiej od maksymalnego jej limitu) będzie polegał na tym, że fakt jej orzeczenia będzie miał wpływ, niewątpliwie obciążający, na ocenę każdego kolejnego, dokonanego przez Bank w przyszłości, naruszenia przepisów rozporządzenia 2016/679.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
[1] Wytyczne Europejskiej Rady Ochrony Danych w sprawie zgłaszania naruszeń ochrony danych osobowych, wersja 2.0, dalej zwane Wytycznymi 9/2022. Ww. wytyczne zaktualizowały i uzupełniły Wytyczne Grupy Roboczej Art. 29 dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (Wp250 rev.01), przyjęte w dniu 3 października 2017 r.
[2] Wytyczne Europejskiej Rady Ochrony Danych 01/2021 w sprawie przykładów dotyczących powiadomienia o naruszeniu danych osobowych przyjęte w dniu 14 grudnia 2021 r., wersja 2.0, dalej zwane „Wytycznymi 01/2021”.
[3] Sprawozdanie z działalności Prezesa Urzędu Ochrony Danych Osobowych w roku 2021, s. 181.
[4] Wytyczne 04/2022 w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO przyjęte w dniu 24 maja 2023 r., wersja 2.1,dalej zwane „Wytycznymi 04/2022” (dostępne w języku angielskim pod adresem: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-042022-calculation-administrative-fines-under_pl)