Decyzja

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023 r. poz. 775 ze zm.) w związku z art. 7, art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. e) i lit. i), art. 83 ust. 1 – 3, art. 83 ust. 4 lit. a) w związku z art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2, art. 33 ust. 1 i 3 oraz art. 34 ust. 1, 2 i 4, a także art. 83 ust. 5 lit. a) w związku z art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Komitet Inicjatywy Ustawodawczej „StopLGBT” na rzecz ustawy o zmianie ustawy z dn. 24 lipca 2015 r. Prawo o zgromadzeniach oraz niektórych innych ustaw (art. 5 ust 1 ustawy z dnia 24 czerwca 1999 r. o wykonywaniu inicjatywy ustawodawczej przez obywateli) (Warszawa, ul. Ogrodowa 28/30 lok. 104), Prezes Urzędu Ochrony Danych Osobowych,

1) stwierdzając naruszenie przez Komitet Inicjatywy Ustawodawczej „StopLGBT” na rzecz ustawy o zmianie ustawy z dn. 24 lipca 2015 r. Prawo o zgromadzeniach oraz niektórych innych ustaw (art. 5 ust 1 ustawy z dnia 24 czerwca 1999 r. o wykonywaniu inicjatywy ustawodawczej przez obywateli) (Warszawa, ul. Ogrodowa 28/30 lok. 104) przepisów:
a) art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2, art. 33 ust. 1 i 3 oraz art. 34 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej „rozporządzeniem 2016/679”, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych zbieranych na wykazie obywateli, którzy udzielają poparcia projektowi ustawy stanowiącej przedmiot inicjatywy ustawodawczej, w celu ochrony tych danych przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz ochrony przed przypadkową utratą, zniszczeniem lub uszkodzeniem oraz ujawnieniem osobom nieuprawnionym oraz niewdrożeniu odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, co skutkowało naruszeniem art. 5 ust. 1 lit f) rozporządzenia 2016/679 (zasady poufności) oraz art. 5 ust. 2 rozporządzenia 2016/679 (zasady rozliczalności),
b) art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia,
c) art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą,
nakłada na Komitet Inicjatywy Ustawodawczej „StopLGBT” na rzecz ustawy o zmianie ustawy z dn. 24 lipca 2015 r. Prawo o zgromadzeniach oraz niektórych innych ustaw (art. 5 ust 1 ustawy z dnia 24 czerwca 1999 r. o wykonywaniu inicjatywy ustawodawczej przez obywateli) (Warszawa, ul. Ogrodowa 28/30 lok. 104) za naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 administracyjną karę pieniężną w kwocie 10 913 zł (słownie dziesięć tysięcy dziewięćset trzynaście złotych),

2) nakazuje Komitetowi Inicjatywy Ustawodawczej „StopLGBT” na rzecz ustawy o zmianie ustawy z dn. 24 lipca 2015 r. Prawo o zgromadzeniach oraz niektórych innych ustaw (art. 5 ust 1 ustawy z dnia 24 czerwca 1999 r. o wykonywaniu inicjatywy ustawodawczej przez obywateli) (Warszawa, ul. Ogrodowa 28/30 lok. 104) zawiadomienie - w terminie 3 dni od dnia doręczenia niniejszej decyzji - osób, których dane zostały ujawnione w związku z pozostawieniem w kościele w C. wykazu obywateli, którzy udzielają poparcia projektowi ustawy stanowiącej przedmiot inicjatywy ustawodawczej, bez nadzoru, o naruszeniu ochrony danych osobowych w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, tj.:
a) opisu charakteru naruszenia ochrony danych osobowych;
b) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
c) opisu możliwych konsekwencji naruszenia ochrony danych osobowych;
d) opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

Uzasadnienie

Dnia 16 września 2020 r. do Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej Prezesem UODO, wpłynęła informacja wskazująca na możliwość naruszenia ochrony danych osobowych przez Komitet Inicjatywy Ustawodawczej „StopLGBT” na rzecz ustawy o zmianie ustawy z dn. 24 lipca 2015 r. Prawo o zgromadzeniach oraz niektórych innych ustaw (art. 5 ust 1 ustawy z dnia 24 czerwca 1999 r. o wykonywaniu inicjatywy ustawodawczej przez obywateli) z siedzibą w Warszawie przy ul. Ogrodowej 28/30 lok. 104, zwany dalej Administratorem lub Komitetem, mogącym skutkować wysokim ryzykiem naruszenia praw lub wolności osób, których dane dotyczą. Z przekazanej informacji wynikało, że karty do zbiórki podpisów „wykaz obywateli, którzy udzielają poparcia projektowi ustawy”, zawierające takie dane jak imię, nazwisko, numer ewidencyjny PESEL, adres zamieszkania i własnoręczny podpis, w kościele w C., cyt.: „(…) leżą sobie spokojnie na ołtarzach bocznych, a w tygodniu na stoliku z prasą katolicką pod chórem. (…) Każdy może je sfotografować, a nawet bez najmniejszego problemu wynieść z kościoła. A tam są dane wrażliwe, bo przecież ujawniają także konkretny światopogląd i wyznanie. Dane wrażliwe osób wystawione są na niczym nieograniczoną dostępność (…)”.

Wobec powyższego, w dniu 11 marca 2022 r. Prezes UODO zwrócił się do Komitetu w celu ustalenia, czy Administrator zidentyfikował naruszenie ochrony danych osobowych wskazane przez osobę informującą o incydencie, a także czy przeprowadził w tym zakresie analizę ryzyka pod kątem możliwego naruszenia praw lub wolności osób, których dane dotyczą. Ponadto, Prezes UODO wezwał Administratora do przesłania szczegółowych informacji dotyczących sposobu przetwarzania danych osobowych. Następnie, w późniejszej korespondencji z dnia 8 kwietnia 2022 r. oraz z dnia 25 kwietnia 2022 r. Prezes UODO wezwał Administratora do złożenia wyjaśnień w zakresie przeprowadzonej przez niego oceny ryzyka dla przetwarzania danych oraz wskazanych przez niego zagrożeń mogących skutkować naruszeniem ochrony danych osobowych, przedstawienia mechanizmów kontroli i propozycji reakcji na ryzyko oraz instrukcji zbierania podpisów wraz z dowodem na zapoznanie z nią wolontariuszy zbierających podpisy. Administrator udzielił odpowiedzi na wezwania Prezesa UODO pismami z dnia 18 marca 2022 r., 20 kwietnia 2022 r. i 4 maja 2022 r., w których odniósł się do stawianych w wezwaniach Prezesa UODO pytań. W treści ww. pism Administrator wskazał, że znana jest mu sytuacja rzekomego pozostawienia list poparcia inicjatywy ustawodawczej bez nadzoru, jednak na skutek uzyskanych informacji nie stwierdził on naruszenia ochrony danych osobowych. Administrator zaznaczył, że w jego ocenie przy przetwarzaniu zebranych danych osobowych była zachowana zasada minimalizacji danych określona w art. 5 ust. 1 lit. c) rozporządzenia 2016/679, jak również podkreślił, iż przed rozpoczęciem przetwarzania danych osobowych przeprowadził stosowną analizę ryzyka oraz posiada instrukcję zbierania podpisów. Oba dokumenty Administrator załączył do korespondencji kierowanej do Prezesa UODO.

W związku z wyjaśnieniami złożonymi przez Administratora ww. pismami, Prezes UODO w dniu 1 czerwca 2022 r. wszczął z urzędu postępowanie administracyjne w zakresie możliwości naruszenia przez Komitet, jako administratora danych, obowiązków wynikających z art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2, art. 33 ust. 1 i 3 oraz art. 34 ust. 1 i 2  rozporządzenia 2016/679 w związku z naruszeniem ochrony danych osobowych osób, których dane znajdowały się na wykazie obywateli, którzy udzielają poparcia projektowi ustawy stanowiącej przedmiot inicjatywy ustawodawczej pozostawionych bez nadzoru.

W związku z otrzymaniem informacji o wszczęciu postępowania administracyjnego Komitet w piśmie datowanym na dzień 7 czerwca 2022 r. odniósł się do przedstawianych mu zarzutów oraz wskazał, że „Komitet dopełnił wszelkich wymaganych formalności i nie dostrzega naruszenia przepisów wskazanych w zawiadomieniu”.

W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

I.
Stosownie do art. 5 ust. 1 i 4 ustawy z dnia 24 czerwca 1999 r. o wykonywaniu inicjatywy ustawodawczej przez obywateli (Dz. U. z 2018 r. poz. 2120), czynności związane z przygotowaniem projektu ustawy, jego rozpowszechnianiem, kampanią promocyjną, a także organizacją zbierania podpisów obywateli popierających projekt, wykonuje komitet inicjatywy ustawodawczej, zwany dalej "komitetem". Komitet występuje pod nazwą uzupełnioną o tytuł projektu ustawy oraz komitet posiada osobowość prawną, którą nabywa z chwilą przyjęcia przez Marszałka Sejmu RP zawiadomienia, o którym mowa w art. 6 ust. 2 ustawy. W myśl art. 9 ust. 2 ww. ustawy, obywatel udziela poparcia projektowi ustawy, składając na wykazie, obok swojego imienia (imion) i nazwiska, adresu zamieszkania oraz numeru ewidencyjnego PESEL, własnoręczny podpis. Na każdej stronie wykazu musi znajdować się nazwa komitetu i tytuł projektu ustawy, której obywatel udziela poparcia. Wzór wykazu obywateli, którzy udzielają poparcia projektowi ustawy stanowiącej przedmiot inicjatywy ustawodawczej, został określony w rozporządzeniu Prezesa Rady Ministrów z dnia 28 września 1999 r. w sprawie ustalenia wzoru wykazu obywateli, którzy udzielają poparcia projektowi ustawy stanowiącej przedmiot inicjatywy ustawodawczej (Dz. U. Nr 79  poz. 893).

Ww. przepisy, określając, że z wykonywaniem inicjatywy ustawodawczej ściśle związane jest zbieranie danych osobowych osób popierających projekt ustawy, w zakresie określonym w art. 9 ust. 2 powołanej wyżej ustawy, przesądzają, że Komitet jest administratorem, w rozumieniu art. 4 ust. 7 rozporządzenia 2016/679, danych przetwarzanych przez niego w związku z prowadzeniem działań związanych z wykonywaniem inicjatywy ustawodawczej przez cały okres jego istnienia aż do momentu jego rozwiązania jednym ze sposobów wskazanych w art. 18 ww. ustawy.

W myśl art. 34 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych  (Dz. U. z 2019 r. poz. 1781), zwanej dalej: ustawą z dnia 10 maja 2018 r., Prezes UODO jest organem właściwym w sprawie ochrony danych i organem nadzorczym w rozumieniu rozporządzenia 2016/679. Stosownie do art. 57 ust. 1 lit. a) i h) rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia oraz prowadzi postępowania w sprawie naruszenia niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego.

II.
Art. 5 rozporządzenia 2016/679 określa zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 lit. f) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („poufność i integralność”). Stosownie zaś do art. 5 ust. 2 rozporządzenia 2016/679, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”). Konkretyzację zasady poufności, o której mowa w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, stanowią dalsze przepisy niniejszego rozporządzenia, w tym art. 24 ust. 1 rozporządzenia 2016/679, który wskazuje, że uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679 i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Jak wynika z art. 24 ust. 1 rozporządzenia 2016/679, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze są czynnikami, które administrator ma obowiązek uwzględniać w procesie budowania systemu ochrony danych, również w szczególności z punktu widzenia pozostałych obowiązków wskazanych w art. 25 ust. 1, art. 32 ust. 1 czy art. 32 ust. 2 rozporządzenia 2016/679. Wskazane przepisy uszczegóławiają zasadę poufności określoną w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, a przestrzeganie tej zasady jest konieczne dla prawidłowej realizacji zasady rozliczalności wynikającej z art. 5 ust. 2 rozporządzenia 2016/679.

W myśl z art. 25 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

Z treści art. 32 ust. 1 rozporządzenia 2016/679 wynika, że administrator jest zobowiązany do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Przepis precyzuje, że decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych, uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, powinny obejmować środki takie, jak pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Oceniając wagę naruszenia przez Administratora przepisów rozporządzenia 2016/679 należy zwrócić uwagę na zakres przetwarzanych przez niego danych osobowych znajdujących się na wykazie obywateli, którzy udzielają poparcia projektowi ustawy stanowiącej przedmiot inicjatywy ustawodawczej, którego zgodność z art. 9 ustawy o wykonywaniu inicjatywy ustawodawczej przez obywateli nie zwalnia Administratora z obowiązku podjęcia działań zapewniających właściwy poziom ochrony danych poprzez wdrożenie odpowiednich środków technicznych oraz organizacyjnych, mających zapewnić bezpieczeństwo tych danych. Charakter i rodzaj tych działań powinien wynikać z przeprowadzonej analizy ryzyka, w której powinno się zidentyfikować podatności odnoszące się do wykorzystywanych zasobów oraz wynikające z nich zagrożenia, a następnie określić adekwatne środki bezpieczeństwa. Błędne oszacowanie ryzyka lub jego pominięcie uniemożliwia zastosowanie odpowiednich środków bezpieczeństwa dla danego zasobu oraz zwiększa prawdopodobieństwo jego wystąpienia. Efektem powyższego było zmaterializowanie się ryzyka, w wyniku czego osoby nieuprawnione uzyskały dostęp do danych spisanych na kartach poparcia inicjatywy ustawodawczej podjętej przez Administratora.

Wskazać należy, że rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem stanowi fundament działań związanych z ochroną danych osobowych. Zarządzanie ryzykiem ma charakter ciągłego procesu wymuszającego na administratorze danych nie tylko zapewnienie zgodności z przepisami rozporządzenia 2016/679 poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale także zapewnienie ciągłości monitorowania poziomu zagrożeń oraz zapewnienie rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Wobec powyższego, koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma zatem przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka. Konsekwencją takiego podejścia jest konieczność samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie są wskazywane konkretne środki i procedury w zakresie bezpieczeństwa. W wyroku z dnia 26 sierpnia 2020 r., sygn. akt II SA/Wa 2826/19, Wojewódzki Sąd Administracyjny w Warszawie wskazał, że „Przepis ten [art. 32 rozporządzenia 2016/679] nie wymaga od administratora danych wdrożenia jakichkolwiek środków technicznych i organizacyjnych, które mają stanowić środki ochrony danych osobowych, ale wymaga wdrożenia środków adekwatnych. Taką adekwatność oceniać należy pod kątem sposobu i celu, w jakim dane osobowe są przetwarzane, ale też należy brać pod uwagę ryzyko związane z przetwarzaniem tych danych osobowych, które to ryzyko charakteryzować się może różną wysokością.” Dalej WSA stwierdza, że „Przyjęte środki mają mieć charakter skuteczny, w konkretnych przypadkach niektóre środki będą musiały być środkami o charakterze niwelującym niskie ryzyko, inne – muszą niwelować ryzyko wysokie, ważne jednak jest, aby wszystkie środki (a także każdy z osobna) były adekwatne i proporcjonalne do stopnia ryzyka.”, a także „(…) czynności o charakterze techniczno – organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych”.

Wobec powyższego, to odpowiednio przeprowadzona ocena ryzyka zapewnia administratorowi możliwość określenia i wprowadzenia środków technicznych i organizacyjnych, które spowodują wyeliminowanie lub co najmniej znaczne zmniejszenie (obniżenie) ustalonego poziomu ryzyka materializacji zidentyfikowanych zagrożeń dla przetwarzanych danych osobowych. Ocena ryzyka przeprowadzona przez administratora powinna zostać udokumentowana oraz uzasadniona stanem faktycznym istniejącym w chwili jej przeprowadzania. Główne czynniki składające się na prawidłową ocenę, które powinny zostać wzięte pod uwagę podczas przeprowadzania analizy, to charakterystyka zachodzących procesów przetwarzania, aktywa, podatności, zagrożenia oraz aktualne zabezpieczenia. Należy pamiętać, że istotne przy ocenianiu ryzyka są również takie czynniki, jak zakres i charakter przetwarzanych przez administratora danych osobowych, gdyż to od nich zależeć będą ewentualne negatywne skutki dla osoby fizycznej występujące w momencie naruszenia ochrony jej danych osobowych.

Przeprowadzona przez Administratora analiza ryzyka (bez daty) wyróżniła trzy sytuacje, których wystąpienie może powodować ryzyko naruszenia praw lub wolności osób fizycznych: nieuprawniony dostęp do pomieszczenia, w którym są przetwarzane dane osobowe, nieuprawnione skopiowanie kart z podpisami oraz nieuprawnione przeniesienie informacji zawierających dane osobowe. Ryzyko dla każdej z wymienionych podatności zostało określone jako „nieznaczne”, co, patrząc przez pryzmat kategorii danych osobowych znajdujących się na listach poparcia, w tym imię, nazwisko oraz numer PESEL wraz z danymi dotyczącymi światopoglądu tych osób, a także biorąc pod uwagę kontekst sytuacji, w której doszło do naruszenia, tj. pozostawienie kart poparcia inicjatywy ustawodawczej Administratora w kościele bez nadzoru, tym samym ujawniając dane osobowe osób wpierających inicjatywę Administratora, wskazuje na znaczne niedoszacowanie ryzyka wystąpienia negatywnych konsekwencji w przypadku wystąpienia incydentu bezpieczeństwa. W kontekście naruszenia ochrony danych istotna jest druga wskazana kategoria, tj. nieuprawnione skopiowanie kart z podpisami. Administrator wskazał, iż stosowanym przez niego środkiem jest „Stałe pozostawienie kart z podpisami pod nadzorem osób zbierających podpisy […]”. Jako propozycję reakcji na ryzyko Administrator zaproponował wzmożoną kontrolę zbiórek podpisów przez osoby zaufania publicznego. Wskazywane przez Administratora środki mogą stanowić odpowiednie zabezpieczenie przed utrwaleniem treści zapisanych kart poparcia chociażby w formie zdjęcia, nie chronią jednak osób, które zdecydowały się poprzeć inicjatywę, gdyż nie przewidują zasłonięcia tych danych przed wzrokiem kolejnych osób również wyrażających poparcie inicjatywy ustawodawczej bądź osób postronnych, które tylko zainteresowały się taką kartą bez zamiaru wspierania tej inicjatywy, co prowadzi do naruszenia poufności udostępnionych Administratorowi danych stanowiących również manifestację światopoglądu tych osób. Należy także podkreślić, że naruszenie poufności danych zawartych na wykazie obywateli, którzy udzielają poparcia projektowi ustawy, może być także następstwem zabrania takiego wykazu przez osobę nieuprawnioną lub zgubieniem wykazu przez osobę zbierającą podpisy. Takich ryzyk, a w konsekwencji i środków bezpieczeństwa, Administrator jednak nie przewidział w przeprowadzonej analizie ryzyka. Wskazać również należy, że z ustaleń dokonanych w niniejszej sprawie wynika, że nad wykazami znajdującymi się w kościele w C. osoba zbierająca podpisy nie prowadziła stałego nadzoru, co oznacza, że środek bezpieczeństwa o charakterze organizacyjnym, określony w analizie ryzyka, w praktyce nie był stosowany.

Jednocześnie z wyjaśnień Administratora wynika, że „[…] komitet nie odpowiada i nie może odpowiadać za wszystkie inne osoby, które z własnej woli i potrzeby jako osoby fizyczne, niezwiązane z komitetem, włączyły się w zbiórkę podpisów”. Takie stwierdzenie poddaje w wątpliwość praktyczne wdrożenie środków opisywanych w analizie ryzyka jako mitygujących zidentyfikowane zagrożenia dla przetwarzanych danych osobowych oraz podważa wiarygodność twierdzeń Administratora, iż „Po każdej zbiórce karty z podpisami były przechowywane w miejscach niedostępnych publicznie, przeważnie w pomieszczeniach zamkniętych, w osobnych teczkach, często również w zamykanych biurkach, szafach, szufladach” oraz „Osoby zbierające podpisy otrzymały ścisłe i konkretne wytyczne […] zaś organizatorzy zbiórki dbali o jej prawidłowy przebieg”. Przesądza również o tym, że Administrator nie był w stanie wykazać, że sprawował faktyczny nadzór nad zbiórką podpisów, stosownie do wynikającej z art. 5 ust. 2 rozporządzenia 2016/679 zasady rozliczalności.

W toku postępowania Administrator wskazał, że przygotował Instrukcję […] oraz przedstawił jej treść w piśmie z dnia 20 kwietnia 2022 r. W punkcie drugim ww. procedury znajdują się Wytyczne dotyczące ochrony danych osobowych, które zobowiązują wolontariuszy do „(…) przedsięwzięcia środków bezpieczeństwa w celu ochrony danych osobowych” poprzez m.in. nie pozostawianie list poparcia bez nadzoru. Skuteczność tego środka bezpieczeństwa niweluje fakt, iż Administrator w korespondencji z dnia 4 maja 2022 r. wskazał, że „(…) nie jest możliwe „wykazanie” że osoby zapoznały się z instrukcją, gdyż nie sposób nawet ustalić personalia osób, których w skali kraju były tysiące, a które włączyły się w zbiórkę podpisów”, co również bezsprzecznie wskazuje na brak możliwości wykazania przez Administratora przestrzegania zasady rozliczalności zawartej w art. 5 ust. 2 rozporządzenia 2016/679 w kontekście przewidzianych przez niego środków bezpieczeństwa. Ponadto, przytoczony powyżej cytat z korespondencji Prezesa UODO z Administratorem wskazuje jednoznacznie na zdecydowany brak kontroli Administratora nad osobami zaangażowanymi w zbieranie podpisów. Administrator zobowiązany jest bowiem przepisami rozporządzenia 2016/679 do stałego monitorowania przestrzegania przez osoby mu podległe uregulowań procedur chroniących gromadzone przez niego dane osobowe i to właśnie na Administratorze spoczywa odpowiedzialność za niedopełnienie tego obowiązku. Jak wskazał WSA w Warszawie w wyroku z dnia 10 lutego 2021 r., sygn. akt II SA/Wa 2378/20, „Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych”. Podobnie kwestię zasady rozliczalności WSA w Warszawie interpretuje w wyroku z dnia 26 sierpnia 2020 r., sygn. akt II SA/Wa 2826/19, stwierdzając, że „Biorąc pod uwagę całość norm rozporządzenia 2016/679, podkreślić należy, że administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator danych powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 rozporządzenia 2016/679”.  

Nie sposób również oprzeć się wrażeniu, że Administrator w przedstawionej Prezesowi UODO korespondencji usilnie odsuwa od siebie obowiązek przestrzegania przepisów rozporządzenia 2016/679 wskazując, że „(…) przepisy rozporządzenia „RODO” są prawem powszechnie obowiązującym, więc należy wychodzić z założenia, że obywatele (w tym osoby zbierające podpisy) przepisy rozporządzenia znają i je stosują”. W tym miejscu należy wskazać, że przepisy rozporządzenia 2016/679 są prawem bezwzględnie obowiązującym administratorów danych w rozumieniu art. 4 pkt 7 rozporządzenia 2016/679, a zgodnie z art. 24 ust. 1 tegoż rozporządzenia, to właśnie administrator, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.Zatem, stosownie do ww. przepisu rozporządzenia 2016/679, jak również do obowiązków wynikających z art. 25 ust. 1 oraz art. 32 ust. 1 i 2 tego rozporządzenia, to administrator danych, a nie wolontariusz zobowiązany jest do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z wymaganiami rozporządzenia 2016/679. Jak wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 15 lutego 2022 r., sygn. akt II SA/Wa 3309/21, „Pracownik [tu: wolontariusz] nie może bowiem zastępować administratora danych w realizacji jego zadań wynikających z tych przepisów [tj. art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 rozporządzenia 2016/679]”. Z powołanego wyroku wynika, że Administrator powinien nie tylko skutecznie przekazać wolontariuszom instrukcję zawierającą uregulowania odnoszące się do odpowiedniego zabezpieczenia zbieranych przez nich danych osobowych, ale powinien również zweryfikować, czy każdy z wolontariuszy zrozumiał jej treść oraz monitorować przestrzeganie tych postanowień przez wolontariuszy w ramach regularnego testowania wprowadzonych przez Administratora środków bezpieczeństwa, także tych o charakterze organizacyjnym. W wyroku z dnia 6 czerwca 2023 r., sygn. akt II SA/Wa 1939/22, Wojewódzki Sąd Administracyjny w Warszawie wskazał, że „(…) powinność regularnego testowania środków technicznych i organizacyjnych, zabezpieczenia przetwarzania danych osobowych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w rozumieniu art. 32 ust. 1 zd. wstępne RODO, wynika wprost z brzmienia lit. d wskazanego art. 32 ust. 1, zaś powinność dokumentowania czynności w danym zakresie statuuje zasada rozliczalności (art. 5 ust. 2 RODO).” Z kolei w wyroku z dnia 21 czerwca 2023 r., sygn. akt II SA/Wa 150/23, Sąd ten podkreślił, że „(…) regularne testowanie, mierzenie i skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem administratora oraz podmiotu przetwarzającego wynikającym z art. 32 ust 1 lit. d) RODO. Administrator zobowiązany jest więc do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych na każdym etapie przetwarzania. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania”.

 Należy także zwrócić uwagę na nieścisłości w wyjaśnieniach Administratora, który wskazuje, że „Komitet wskazał w poprzednim piśmie, iż z osobą która przeprowadzała zbiórki w danym terenie z ramienia komitetu odbyto rozmowę i wykluczono możliwość naruszenia przepisów RODO”, a następnie podkreśla, że „Tak samo nie sposób ustalić, kto zbierał podpisy w kościele w C.  i ile tych osób było”. Podkreślić należy fakt, iż brak możliwości zidentyfikowania osób biorących udział w zbieraniu podpisów pod inicjatywą świadczy o całkowitym braku kontroli Administratora nad prowadzoną zbiórką podpisów oraz może prowadzić do podszywania się pod wolontariuszy zbierających podpisy na rzecz inicjatywy, co może skutkować rażącym naruszeniem praw lub wolności osób fizycznych oraz daleko idącymi konsekwencjami przekazania przez obywateli szerokiego zakresu danych osobowych osobom niezaufanym, które mogą wykorzystać je nawet do celów przestępczych.

W świetle wykazanych nieprawidłowości przy przeprowadzaniu analizy ryzyka dla procesu zbierania danych osób, które złożyły swój podpis na wykazie obywateli, którzy udzielają poparcia projektowi ustawy, oraz przy doborze środków mających zapewnić bezpieczeństwo danych osobowych zbieranych na kartach poparcia inicjatywy ustawodawczej należy uznać, że Komitet Inicjatywy Ustawodawczej #StopLGBT naruszył zasadę poufności danych (art. 5 ust. 1 lit. f rozporządzenia 2016/679) w związku z naruszeniem obowiązków administratora przy wdrażaniu środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679 (art. 24 ust. 1 rozporządzenia 2016/679), w celu nadania przetwarzaniu niezbędnych zabezpieczeń (art. 25 ust. 1 rozporządzenia 2016/679) i aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku, w tym zdolność do ciągłego zapewnienia poufności i regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (art. 32 ust. 1 rozporządzenia 2016/679) oraz obowiązku uwzględnienia ryzyka wiążącego się z przetwarzaniem, wynikającego z nieuprawnionego dostępu do przetwarzanych danych osobowych, przy ocenie, czy stopień bezpieczeństwa jest odpowiedni (art. 32 ust. 2 rozporządzenia 2016/679). Naruszenie zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679 związane jest z  naruszeniem zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679.

III.
Zgodnie z art. 4 pkt 12 rozporządzenia 2016/679, „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Art. 33 ust. 1 i 3 rozporządzenia 2016/679 stanowi, że w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgłoszenie, o którym mowa w ust. 1 musi, co najmniej: a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Z kolei art. 34 ust. 1 rozporządzenia 2016/679 wskazuje, że w sytuacji możliwości wystąpienia wysokiego ryzyka dla praw lub wolności osób fizycznych wynikających z naruszenia ochrony danych osobowych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o naruszeniu. Zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, zawiadomienie, o którym mowa w ust. 1 niniejszego artykułu, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d) rozporządzenia 2016/679, tj.:
a) imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
b) opis możliwych konsekwencji naruszenia ochrony danych osobowych;
c) opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

Analiza otrzymanego przez Prezesa UODO zawiadomienia o możliwości naruszenia ochrony danych osobowych wykazała, że bez wątpienia zdarzenie polegające na pozostawieniu bez nadzoru wykazu obywateli, którzy udzielają poparcia projektowi ustawy stanowiącej przedmiot inicjatywy ustawodawczej, na których znajdowały się dane osobowe w postaci imienia, nazwiska, adresu zamieszkania, numeru PESEL oraz własnoręcznego podpisu, a także pozwalającej na poznanie światopoglądu osób, które swój podpis na takim wykazie złożyły, z uwagi na zakres danych osobowych stanowi naruszenie poufności danych ze względu na możliwość zapoznania się z tymi danymi przez osoby nieuprawnione, w tym co najmniej przez zawiadamiającego. Nieuprawniony dostęp do danych osobowych zawartych na ww. wykazie, z uwagi na wyłożenie go w kościele w miejscu ogólnodostępnym i bez nadzoru osoby (osób) odpowiedzialnej za zbieranie tych podpisów bezsprzecznie wskazuje na wystąpienie naruszenia ochrony danych osobowych.

Z analizy ww. przepisów wynika, że w zależności od tego, z jakim poziomem ryzyka naruszenia praw lub wolności osób fizycznych administrator ma do czynienia, inaczej kształtują się jego obowiązki w stosunku do organu nadzorczego, a także osób, których dane dotyczą. Jeżeli w wyniku analizy administrator stwierdził, że prawdopodobieństwo zaistnienia ryzyka naruszenia praw lub wolności osób fizycznych jest małe, nie jest on zobligowany do zgłoszenia naruszenia Prezesowi Urzędu Ochrony Danych Osobowych. Wskazane naruszenie musi jedynie wpisać do wewnętrznej ewidencji naruszeń. W przypadku stwierdzenia ryzyka naruszenia praw lub wolności osób fizycznych, obowiązkiem administratora jest zgłoszenie naruszenia ochrony danych Prezesowi UODO, jak również umieszczenie wpisu w wewnętrznej ewidencji naruszeń. Wystąpienie wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, oprócz wpisu w ewidencji naruszeń, wymaga od administratora podjęcia odpowiednich działań, zarówno wobec organu nadzorczego (zgłoszenie naruszenia ochrony danych), ale także również wobec osób, których dane dotyczą. W przypadku naruszeń ochrony danych osobowych, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, rozporządzenie 2016/679 wprowadza bowiem dodatkowy obowiązek niezwłocznego zawiadomienia podmiotu danych przez administratora, chyba że ten podjął działania prewencyjne przed zaistnieniem naruszenia albo działania zaradcze po wystąpieniu naruszenia (art. 34 ust. 3 rozporządzenie 2016/679).

Jak wynika z powyższego, w przypadku wykrycia przez administratora naruszenia ochrony danych osobowych, w pierwszej kolejności konieczne jest dokonanie analizy pod kątem wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. Administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu, jeśli  przeprowadzone badanie wykaże, że istnieje co najwyżej małe prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. Należy jednak mieć na względzie fakt, iż organ nadzorczy będzie mógł zwrócić się do administratora o uzasadnienie decyzji o niezgłaszaniu naruszenia, w związku z tym wnioski z przeprowadzonej analizy należy odnotować w wewnętrznej ewidencji naruszeń. Warto przy tym przypomnieć, że w Wytycznych Europejskiej Rady Ochrony Danych (EROD) nr 9/2022[1] przyjętych w dniu 28 marca 2023 r., zwanych dalej Wytycznymi 9/2022, znajdują się rekomendacje dotyczące zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu.

Podkreślenia wymaga fakt, że zgłaszanie naruszeń ochrony danych osobowych przez administratorów stanowi skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Zgłaszając naruszenie organowi nadzorczemu administratorzy informują Prezesa UODO, czy w ich ocenie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą oraz – jeżeli takie ryzyko wystąpiło – czy przekazali stosowne informacje osobom fizycznym, na które naruszenie wywiera wpływ. W uzasadnionych przypadkach mogą również przekazać informację, że powiadomienie w ich ocenie nie jest konieczne ze względu na spełnienie warunków określonych w art. 34 ust. 3  lit. a) i b) rozporządzenia 2016/679. Prezes UODO dokonuje weryfikacji oceny dokonanej przez administratora i może – jeżeli administrator nie zawiadomił osób, których dane dotyczą – zażądać od niego takiego zawiadomienia. Zgłoszenia naruszenia ochrony danych osobowych pozwalają organowi nadzorczemu na właściwą reakcję mogącą ograniczyć skutki takich naruszeń, bowiem administrator ma obowiązek podjęcia skutecznych działań zapewniających ochronę osobom fizycznym i ich danym osobowych, które z jednej strony pozwolą na kontrolę skuteczności dotychczasowych rozwiązań, a z drugiej ocenę modyfikacji i usprawnień służących zapobieżeniu nieprawidłowościom analogicznym do objętych naruszeniem. Natomiast zawiadomienie osób fizycznych o naruszeniu ochrony danych osobowych zapewnia możliwość przekazania tym osobom informacji na temat ryzyka związanego z naruszeniem oraz wskazanie działań, jakie te osoby mogą podjąć, aby uchronić się przed potencjalnymi negatywnymi skutkami naruszenia (umożliwia to osobie fizycznej dokonanie samodzielnej oceny naruszenia w kontekście możliwości materializacji negatywnych konsekwencji dla takiej osoby i podjęcia decyzji o zastosowaniu lub braku zastosowania działań zaradczych).

Ryzyko naruszenia praw lub wolności osób fizycznych występuje wówczas, gdy naruszenie ochrony danych może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Zaznaczyć należy, że zgodnie z treścią art. 33 ust. 1 rozporządzenia 2016/679 już samo wystąpienie naruszenia ochrony danych z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych zobowiązuje administratora do powiadomienia organu nadzorczego o wystąpieniu naruszenia, niezależnie od zmaterializowania się jego konsekwencji. Podobnie jest w przypadku art. 34 ust. 1 rozporządzenia 2016/679 – obowiązek zawiadomienia osoby, której dane dotyczą, jest niezależny od rzeczywistego naruszenia praw lub wolności osób fizycznych, gdyż to właśnie poprzez zawiadomienie osób, których dane dotyczą, administrator ma zapobiec nieuprawnionemu wykorzystaniu ich danych.

Jak wskazują Wytyczne 9/2022, naruszenie ochrony danych osobowych może potencjalnie wywołać szereg negatywnych skutków dla osób fizycznych, których dane są przedmiotem naruszenia. Wśród możliwych skutków naruszenia EROD wymienia: uszczerbek fizyczny, szkody materialne lub niemajątkowe. Jako przykłady takich szkód wymienione są m.in.: dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, straty finansowe, naruszenie dobrego imienia, naruszenie poufności danych osobowych oraz znaczna szkoda gospodarcza lub społeczna. W niniejszej sprawie nie ulega wątpliwości, że z uwagi na zakres danych objęty przedmiotowym naruszeniem ochrony danych osobowych, obejmujący numer ewidencyjny PESEL wraz z imieniem i nazwiskiem oraz informacje pozwalające na poznanie światopoglądu osób, które złożyły swój podpis na wykazie obywateli, którzy udzielają poparcia projektowi ustawy stanowiącej przedmiot inicjatywy ustawodawczej, istnieje wysokie prawdopodobieństwo wystąpienia wymienionych powyżej szkód. Wskazać również należy, że zakres danych znajdujący się na wykazie obywateli, którzy udzielają poparcia projektowi ustawy stanowiącej przedmiot inicjatywy ustawodawczej, pozwala na jednoznaczną identyfikację osób, które złożyły swój podpis na tym wykazie.

Przede wszystkim należy podkreślić, że zaistniałe naruszenie ochrony danych osobowych dotyczyło numeru ewidencyjnego PESEL, czyli jedenastocyfrowego symbolu numerycznego, który jednoznacznie identyfikuje osobę fizyczną, zawierającego m.in.: datę urodzenia oraz oznaczenie płci, a więc ściśle powiązanego ze sferą prywatną osoby fizycznej oraz podlegającego również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, będącego daną o szczególnym charakterze i takiej szczególnej ochrony wymagającego. Nr PESEL służy jako dana identyfikująca każdą osobę i jest powszechnie używany w kontaktach z różnymi instytucjami oraz w obiegu prawnym. Nr PESEL wraz z imieniem i nazwiskiem w sposób jednoznaczny identyfikuję osobę fizyczną, w sposób pozwalający przypisać negatywne skutki naruszenia (np. kradzież tożsamości, wyłudzenie pożyczki) tej konkretnej osobie. Ponadto należy wziąć pod uwagę, że w wyniku przedmiotowego naruszenia ochrony danych osobowych doszło do udostępnienia osobie nieuprawnionej tego numeru ewidencyjnego wraz z imieniem i nazwiskiem, które to zestawienie danych bywa wystarczające do „podszycia się” pod podmiot tych danych i zaciągnięcia w imieniu i na szkodę takiego podmiotu np. zobowiązań pieniężnych (vide:  https://www.bik.pl/poradnik-bik/wyludzenie-kredytu-tak-dzialaja-oszusci - gdzie opisano przypadek, w którym: „Tylko imię, nazwisko i numer PESEL wystarczyły oszustom, by wyłudzić kilkanaście kredytów w sumie na dziesiątki tysięcy złotych. Nic więcej się nie zgadzało: ani numer dowodu osobistego, ani adres zamieszkania”).

Warto w tym miejscu przytoczyć jeden z przykładów znajdujących się w Wytycznych Europejskiej Rady Ochrony Danych 01/2021^[2] (przypadek nr 14, s. 31), odnoszący się do sytuacji „wysłania pocztą przez pomyłkę wysoce poufnych danych osobowych”. W opisanym w ww. wytycznych przypadku doszło do ujawnienia numeru ubezpieczenia społecznego, będącego odpowiednikiem stosowanego w Polsce numeru PESEL. W przypadku tym EROD nie miała wątpliwości, że ujawnione dane w zakresie: imię i nazwisko, adres e-mail, adres pocztowy, numer ubezpieczenia społecznego, wskazują na wysokie ryzyko naruszenia praw lub wolności osób fizycznych („zaangażowanie ich [osób poszkodowanych] numeru ubezpieczenia społecznego, a także innych, bardziej podstawowych danych osobowych, dodatkowo zwiększa ryzyko, które można określić jako wysokie”). EROD dostrzega wagę krajowych numerów identyfikacyjnych (w tym przypadku numeru PESEL), podkreślając jednocześnie, że tego typu naruszenie ochrony danych osobowych, a więc obejmujące swym zakresem dane w postaci: imienia i nazwiska, adresu e-mail, adresu korespondencyjnego oraz numeru ubezpieczenia społecznego, wymaga realizacji działań, tj.: powiadomienia organu nadzorczego oraz zawiadomienia o naruszeniu osób, których dane dotyczą.

Europejska Rada Ochrony Danych nie ma najmniejszych wątpliwości, że indywidualnie nadany numer jednoznacznie identyfikujący osobę fizyczną powinien podlegać szczególnej ochronie, a jego ujawnienie nieuprawnionym podmiotom może wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych.

Na fakt, że dane jednoznacznie identyfikujące osobę fizyczną mogą powodować wysokie ryzyko naruszenia praw lub wolności EROD wskazuje również w innych przykładach podanych w Wytycznych 01/2021. W pkt 65 i 66 Wytycznych 01/2021 wskazano: „(…) Naruszone dane pozwalają na jednoznaczną identyfikację osób, których dane dotyczą, i zawierają inne informacje na ich temat (w tym płeć, datę i miejsce urodzenia), ponadto mogą być wykorzystywane przez atakującego do odgadnięcia haseł klientów lub do przeprowadzenia kampanii spear phishingowej skierowanej do klientów banku. Z tych powodów uznano, że naruszenie ochrony danych prawdopodobnie spowoduje wysokie ryzyko naruszenia praw i wolności wszystkich osób, których dane dotyczą. W związku z tym możliwe jest wystąpienie szkód materialnych (np. strat finansowych) i niematerialnych (np. kradzieży tożsamości lub oszustwa)”.

Podobnych wątpliwości (że ujawnienie numeru PESEL wraz z innymi danymi osobowymi może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych) nie miał również Wojewódzki Sąd Administracyjny w Warszawie, który w  wyroku z dnia 22 września 2021 r., sygn. akt II SA/Wa 791/21, stwierdził, że „Nie ulega wątpliwości, że przywołane w wytycznych przykłady szkód mogą wystąpić w przypadku osób, których dane osobowe – w niektórych przypadkach łącznie z numerem ewidencyjnym Pesel lub serią i nr dowodu osobistego – zostały utrwalone na udostępnionych nagraniach. Nie bez znaczenia dla takiej oceny jest możliwość w oparciu o ujawnione dane identyfikacji osób, których dane zostały objęte naruszeniem.”. Dalej Sąd w przywołanym orzeczeniu wskazał, że „Dane zostały bowiem udostępnione nieuprawnionym osobom, co oznacza, że nastąpiło naruszenie bezpieczeństwa prowadzące do nieuprawnionego ujawnienia danych osobowych, a zakres tych danych obejmujących w niektórych przypadkach również numer ewidencyjny PESEL lub serię i nr dowodu osobistego przesądza o tym, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych.” Rozważając powyższe kwestie należy przywołać również stanowisko Wojewódzkiego Sądu Administracyjnego w Warszawie wyrażone w wyroku z dnia 1 lipca 2022 r. wydanym w sprawie o sygn. II SA/Wa 4143/21. W uzasadnieniu tego wyroku Sąd stwierdził, iż: „Należy zgodzić się z Prezesem UODO, że utrata poufności numeru PESEL w połączeniu z danymi osobowymi, takimi jak: imię i nazwisko, adres zameldowania, numery rachunków bankowych oraz numer identyfikacyjny nadawany klientom Banku - numer CIF, wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. W przypadku naruszenia takich danych, jak imię, nazwisko oraz numer PESEL, możliwa jest bowiem kradzież lub sfałszowanie tożsamości skutkująca negatywnymi konsekwencjami dla osób, których dane dotyczą. Dlatego też Bank w przedmiotowej sprawie powinien był bez zbędnej zwłoki, stosownie do art. 34 ust. 1 RODO, zawiadomić osoby, których dane dotyczą, o naruszeniu ochrony danych osobowych, tak aby umożliwić im podjęcie niezbędnych działań zapobiegawczych”. Wskazać również należy na wyrok z dnia 31 sierpnia 2022 r., sygn. akt II SA/Wa 2993/21, w którym Wojewódzki Sąd Administracyjny w Warszawie podkreślił, że „(…) organ trafnie przyjął, iż wystąpiło wysokie ryzyko naruszenia praw i wolności osób objętych przedmiotowym naruszeniem z uwagi na możliwość łatwej, w oparciu o ujawnione dane, identyfikacji osób, których dane zostały objęte naruszeniem. Dane te bowiem to imię i nazwisko, adres do korespondencji, numer telefonu, numer PESEL osób posiadających polskie obywatelstwo. W tej sytuacji administrator zobowiązany był do zawiadomienia bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu”. Podobnie wypowiedział się Wojewódzki Sąd Administracyjny w Warszawie w wyrokach z dnia 15 listopada 2022 r., sygn. akt II SA/Wa 546/22, oraz 21 czerwca 2023 r., sygn. akt II SA/Wa 150/23.

Z ostatniego raportu infoDOK[3] (który przygotowywany został w ramach prowadzenia społecznej Kampanii Informacyjnej Systemu DOKUMENTY ZASTRZEŻONE, organizowanej przez Związek Banków Polskich i niektóre banki, pod patronatem Ministerstwa Spraw Wewnętrznych i Administracji i we współpracy m.in. z Policją oraz Federacją Konsumentów), wynika, że w II kwartale 2023 r. odnotowano 2116 prób wyłudzeń kredytów i pożyczek. Z kolei w całym 2020 r. odnotowano 6884 próby wyłudzeń na kwotę 253,8 mln zł, zaś w całym 2021 r. odnotowano 8096 prób wyłudzeń kredytów na łączną kwotę 336,6 mln zł. Oznacza to, że cały rok 2021 pod względem liczby prób wyłudzeń oraz ich kwot był znacząco bardziej niebezpieczny od poprzedniego: nastąpił 17-procentowy wzrost liczby prób wyłudzeń i 32-procentowy wzrost łącznej kwoty tych prób wyłudzeń. Jak wskazuje raport, w roku 2022 liczba prób wyłudzeń kredytów utrzymała się na poziomie 8079 prób, a do połowy tego roku wystąpiło już 4404 prób wyłudzeń kredytów na łączną sumę 103,7 mln zł.

Ponadto, jak wynika z orzecznictwa, wyroki w sprawach wyłudzeń kredytów nie są rzadkością i są wydawane przez polskie sądy w podobnych sprawach od dawna - tytułem przykładu można wskazać na wyrok Sądu Rejonowego w Łęczycy z dnia 27 lipca 2016 r. (sygn. akt I C 566/15), w którym oszuści biorący pożyczkę na cudze dane posłużyli się nr PESEL, zmyślonym adresem oraz niewłaściwym numerem dowodu (nieważnym). W uzasadnieniu ww. wyroku Sąd stwierdził, że:  „W przedmiotowej sprawie powód (...) z siedzibą we W. nabył wierzytelność od (...) Spółka  z ograniczoną odpowiedzialnością S.K.A. z siedzibą w W. Stroną umowy pożyczki z dnia 5 maja 2014r. była osoba, która w nieuprawniony sposób użyła danych J. R. (...) Spółka z ograniczoną odpowiedzialnością S.K.A. z siedzibą w W. przelała na wskazany rachunek bankowy kwotę 500 zł.

Kwestią kluczową w niniejszej sprawie było ustalenie, iż pozwana nie zawarła umowy pożyczki, co było zarzutem podnoszonym przez pozwaną w toku całego postępowania.

Przeprowadzone postępowanie dowodowe oraz analiza dokumentów, załączonych przez stronę powodową, skutkuje tym, iż można jednoznacznie stwierdzić, że w rozpoznawanej sprawie pozwana nie była stroną umowy pożyczki, zawartej w dniu 5 maja 2014 r. Wprawdzie przy jej zawarciu posłużono numerem PESEL pozwanej J. R., lecz wskazane miejsce zamieszkania nie odpowiada miejscu zamieszkania pozwanej. Pozwana J. R. nigdy nie mieszkała w W. Kwota pożyczki została przelana na konto, którego posiadaczem nie była pozwana. W dacie zawarcia umowy pożyczki dowód osobisty nr (...) utracił ważność z dniem 15 marca 2014 r. Nie jest zgodny także numer telefonu komórkowego, wskazany na umowie pożyczki i jej załącznikach z faktycznymi numerami telefonów, jakimi posługiwała się i posługuje pozwana.

W realiach rozpoznawanej sprawy, Sąd uznał, iż strona pozwana wykazała, że nie była stroną umowy pożyczki będącej przedmiotem niniejszego postępowania. Umowy zawierane za pomocą środków porozumiewania się na odległość winny wymagać szczegółowej, wnikliwej weryfikacji i taka weryfikacja dokonana w przedmiotowej sprawie prowadzi do wniosku, że stroną umowy pożyczki nie była pozwana”.

W innej sprawie (I C 693/16) Sąd Rejonowy w Zgierzu w wyroku z dnia 4 listopada 2016 r. orzekł: „Dane osobowe pozwanego w postaci jego imienia i nazwiska i numeru PESEL, które były zgodne z danymi pozwanego nie świadczyły o tym, że pozwany złożył w dniu 17 grudnia 2014 r. oświadczenie woli o zawarciu umowy pożyczki. Nie wykluczone jest bowiem, aby osoba, która w sposób niepowołany uzyskała dostęp do danych osobowych pozwanego zawarła na jego rachunek umowę pożyczki ze spółką (…) sp. z .o.o S.K.A z siedzibą w W. W przedmiotowej sprawie pozwany wykazał iż nigdy nie mieszkał pod adresem wskazanym w umowie pożyczki oraz aby numer telefonu, adres e-mail za pomocą którego zarejestrowano się na stronie internetowej i złożono wniosek o zawarcie pożyczki do niego należały”.

Podobnie orzekały sądy w innych tego typu sprawach. Jako przykład można podać orzeczenia, w których Sądy oddaliły powództwo o zapłatę kwot, tytułem udzielonych pożyczek, zaciągniętych przez nieznane osoby posługujące się danymi osobowymi (imię i nazwisko oraz numer PESEL) pozwanych:

• Wyrok Sądu Rejonowego dla Łodzi-Widzewa w Łodzi z dnia 13 sierpnia 2020 r. w sprawie o sygn.. akt II C 1145/19, w której nieznana pozwanemu osoba trzecia weszła bezprawnie w posiadanie jego numeru PESEL oraz numeru dowodu osobistego, zaś pozostałe dane adresowe - wskazane w umowie pożyczki-były nieprawdziwe- „W ocenie Sądu zaoferowany przez stronę pozwaną materiał dowodowy - zwłaszcza dokumenty z akt sprawy karnej toczącej się przed Sądem Rejonowym w Tarnowskich Górach o sygnaturze akt VI K 383/16 – świadczą o tym, iż umowę pożyczki z dnia 8 listopada 2014 r. zawarła osoba trzecia, posługująca się niektórymi danymi osobowymi Z. A. […] zaś numer dowodu osobistego podany w tej umowie był numerem dowodu, którym pozwany już się nie posługiwał w dacie zawarcia umowy pożyczki, gdyż dowód ten stracił ważność około 8 miesięcy wcześniej”;
• Wyrok Sądu Rejonowego w Piszu z dnia 21 sierpnia 2020 r., sygn. akt I C 260/20-„[…] Sąd ustalił, że przy zawieraniu przedmiotowej umowy, w sposób nieuprawniony posłużono się danymi pozwanego i wpisano je, jako dane pożyczkobiorcy, przy czym to nie pozwany był stroną umowy. Stanowisko pozwanego znajduje potwierdzenie w zgłoszonym przez niego zawiadomieniu o popełnieniu przestępstwa oszustwa na jego szkodę, jak również w fakcie, że prokuratura prowadzi postępowanie w tej sprawie przeciwko wskazanej przez pozwanego osobie. Na marginesie należy zauważyć, że także w ramach toczących się przed tutejszym sądem postępowań o zapłatę sygn. akt I C 1/19 i I C 482/19, gdzie E.M. także występował w charakterze pozwanego, i gdzie doszło do zaciągnięcia na jego imię i nazwisko zobowiązań finansowych w takich samych okolicznościach, co w ramach niniejszego postępowania, również zapadły prawomocne wyroki oddalające powództwo. W ocenie sądu okoliczności zawarcia umowy z powodem, gdzie tożsame jest pierwsze imię i nazwisko pożyczkobiorcy oraz jego numer PESEL, zaś istnieje rozbieżność co do pozostałych danych wynikających z treści dowodu osobistego pozwanego, tj. serii i numeru tego dokumentu, adresu zamieszkania, przy uwzględnieniu faktu prowadzenia procesu karnego w stosunku do osoby, która miała podszyć się pod pozwanego, celem zawierania na odległość umów i zaciągania zobowiązań finansowych w różnych instytucjach, wskazują jednoznacznie, iż to nie pozwany zawarł z poprzednikiem prawnym powoda umowę pożyczki nr (…)”;
• Wyrok Sądu Rejonowego w Puławach z dnia 7 kwietnia 2022 r. w sprawie o sygn. akt I C 475/19, w której Sąd jednoznacznie przyznał, iż „[…] dowodu pozwalającego na weryfikację pozwanego jako strony przedmiotowej umowy nie stanowi samo wskazanie jego danych osobowych: imienia, nazwiska, numeru PESEL, a także serii i numeru dowodu osobistego w treści umowy – w szczególności w sytuacji, gdy pożyczka zawierana jest za pośrednictwem platformy internetowej, a więc co oczywiste, pożyczkodawca nie ma możliwości niejako bezpośredniej weryfikacji tożsamości drugiej strony, a sama umowa nie zostaje potwierdzona podpisem pożyczkobiorcy”.

„Znamienne jest także, iż jak wynika z karty doręczenia przesyłki z kartą debetową okazany doręczycielowi dowód osobisty nr (…) miał datę ważności do dnia 21 września 2019 r., a  oryginalny dowód osobisty należący do Ł.B. (1) ważny był do dnia 2 czerwca 2021 r. (k. 220), co potwierdza zeznania pozwanego, także co do tego, iż prawdopodobnym źródłem ”wycieku” jego danych osobowych była zawarta przez niego w dniu 8 czerwca 2017 r. umowa sprzedaży samochodu, w której oprócz imienia i nazwiska sprzedającego i jego nr PESEL, widnieje także nr dowodu osobistego, przy czym w umowie tej nie zostały zawarte dane obejmujące imiona rodziców – i w umowie rachunku bankowego dane te wpisane są już błędnie, jak również data ważności dowodu osobistego – ta także błędnie jest wpisana w karcie doręczenia umowy rachunku bankowego, co jednoznacznie wskazuje, iż osoba zawierająca umowę rachunku bankowego nie dysponowała danymi Ł.B. (1) innymi niż zawarte w umowie sprzedaży samochodu, jak również oryginalnym blankietem dowodu osobistego- ten zresztą jak wynika z zeznań pozwanego, cały czas znajduje się w jego posiadaniu i nie był udostępniony osobom trzecim”.

Nie sposób również pominąć, że analizowane naruszenie ochrony danych osobowych dotyczyło także adresu zamieszkania osób, które złożyły swój podpis na wykazie obywateli, którzy udzielają poparcia projektowi ustawy stanowiącej przedmiot inicjatywy ustawodawczej. W świetle powyższego warto powołać także wyrok Naczelnego Sądu Administracyjnego w Warszawie z dnia 6 grudnia 2023 r., sygn. akt III OSK 2931/21: „Prezes UODO prawidłowo ustalił, iż doszło do udostępnienia danych m.in. w zakresie imion i nazwisk, a także numerów PESEL osób fizycznych, a więc danych względnie trwałych, niezmiennych, których ujawnienie zawsze może rodzić ryzyko negatywnych skutków dla ww. osób. Podobnie adresy zamieszkania są to dane osobowe, których nieuprawnione udostępnienie stwarza prawdopodobieństwo wysokiego ryzyka negatywnych skutków prawnych niezależnie od tego, iż do ujawnienia adresów doszło po kilku latach od ich aktualizacji”. Ponadto, fakt złożenia tego podpisu, z uwagi na charakter przedsięwzięcia podjętego przez Administratora (zbieranie podpisów pod obywatelskim projektem ustawy „Stop LGBT”) może wskazywać na światopogląd podpisującego, a informacje w tym zakresie stanowią dane podlegające szczególnej ochronie na gruncie art. 9 ust. 1 rozporządzenia 2016/679. Podkreślić należy, że w ocenie ryzyka kluczowym czynnikiem jest rodzaj i wrażliwość danych osobowych ujawnionych w wyniku naruszenia ochrony danych osobowych. W Wytycznych 9/2022 podkreślono, że zbiór różnych danych osobowych ma zazwyczaj bardziej wrażliwy charakter niż pojedyncze dane.

Administrator w złożonych wyjaśnieniach wskazał, że „Komitet nie został poinformowany o jakichkolwiek naruszeniach danych osobowych, zaś sam komitet takowych naruszeń nie stwierdził”. Trzeba zatem mieć na uwadze, że wykonanie przez Administratora jego obowiązku wynikającego z art. 34 ust. 1 rozporządzenia 2016/679 nie może być uzależniane od zaistnienia naruszenia praw lub wolności osób fizycznych, których danych dotyczy naruszenie ochrony danych osobowych. Podobnie jest w przypadku obowiązku wynikającego z art. 33 ust. 1 rozporządzenia 2016/679. Jak stwierdził Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 22 września 2021 r. wydanym w sprawie o sygn. II SA/Wa 791/21: „Podkreślić należy, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować. W treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” (przy czym Sąd ten podobnie orzekł we wcześniej przywoływanym wyroku z dnia 1 lipca 2022 r. wydanym w sprawie o sygn. II SA/Wa 4143/21 oraz w wyrokach z dnia 31 sierpnia 2022 r., sygn. akt II SA/Wa 2993/21 i z dnia 15 listopada 2022 r., sygn. akt II SA/Wa 546/22).

Stosując przepisy rozporządzenia 2016/679 należy mieć na uwadze cel tego rozporządzenia (wyrażony w art. 1 ust. 2), którym jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych. Z kolei ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów – w tym również w sytuacji, gdy doszło do naruszenia ochrony danych osobowych – należy w pierwszej kolejności brać pod uwagę te wartości.

Warto podkreślić, że dokonując oceny pod kątem ryzyka naruszenia praw lub wolności osób fizycznych, od której uzależnione jest dokonanie zgłoszenia naruszenia ochrony danych osobowych oraz zawiadomienie o naruszeniu osoby, której dane dotyczą, należy łącznie uwzględnić czynnik prawdopodobieństwa i wagę potencjalnych negatywnych skutków. Wysoki poziom któregokolwiek z tych czynników ma wpływ na wysokość ogólnej oceny, od której uzależnione jest wypełnienie obowiązków określonych w art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679. Mając na uwadze, że ze względu na zakres danych osobowych znajdujących się na wykazie obywateli, którzy udzielają poparcia projektowi ustawy stanowiącej przedmiot inicjatywy ustawodawczej, oraz fakt, iż złożenie podpisu na tym wykazie może ujawniać światopogląd podpisującego, a wykaz ten był pozostawiony w kościele w C. bez jakiegokolwiek nadzoru ze strony osoby (osób) odpowiedzialnej za zbieranie tych podpisów, to w analizowanym przypadku wystąpiła możliwość zmaterializowania się poważnych negatywnych skutków dla osoby, której dane dotyczą (jak wyżej wykazano). W konsekwencji, wagę potencjalnego wpływu na prawa lub wolności osoby fizycznej należy uznać za wysoką. Jednocześnie prawdopodobieństwo wystąpienia wysokiego ryzyka w następstwie przedmiotowego naruszenia nie jest małe i nie zostało wyeliminowane. Tym samym stwierdzić należy, że w związku z przedmiotowym naruszeniem wystąpiło wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, co w konsekwencji determinuje obowiązek dokonania zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu oraz zawiadomienia o naruszeniu osób, które złożyły swój podpis na ww. wykazie.

W Wytycznych 9/2022 EROD wskazując czynniki, które należy wziąć pod uwagę przy ocenie ryzyka, odsyła do motywów 75 i 76 rozporządzenia 2016/679, które sugerują, że administrator powinien uwzględnić zarówno prawdopodobieństwo wystąpienia, jak i powagę zagrożenia praw lub wolności osoby, której dane dotyczą. W przypadku naruszenia ochrony danych osobowych administrator powinien skupić swoją uwagę na wynikającym z faktu naruszenia ryzyku wpływu naruszenia na osobę fizyczną. Zatem, oceniając ryzyko dla osoby fizycznej powstałe w wyniku naruszenia ochrony danych osobowych, administrator powinien wziąć pod uwagę konkretne okoliczności naruszenia, w tym dotkliwość potencjalnego wpływu oraz prawdopodobieństwo jego wystąpienia. W związku z powyższym, przy ocenie ryzyka, EROD zaleca uwzględnienie takich kryteriów, jak: rodzaj naruszenia, charakter, wrażliwość i ilość danych osobowych, a także łatwość identyfikacji, ponieważ mogą one mieć wpływ na poziom ryzyka dla osób fizycznych. Ryzyko naruszenia praw i wolności osoby fizycznej zgodnie z Wytycznymi 9/2022 będzie większe, gdy konsekwencje naruszenia są poważniejsze, jak również wtedy, gdy wzrasta prawdopodobieństwo ich wystąpienia. Wytyczne wskazują aby, w przypadku jakichkolwiek wątpliwości administrator zgłosił naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna.

Podsumowując powyższe rozważania należy stwierdzić, że w przedmiotowym przypadku występuje wysokie ryzyko naruszenia praw lub wolności osób objętych przedmiotowym naruszeniem, co z kolei skutkuje powstaniem po stronie Komitetu obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 33 ust. 3 rozporządzenia 2016/679 oraz zawiadomienia tej osoby o naruszeniu, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 34 ust. 2 rozporządzenia 2016/679.

Odnosząc się do obowiązku Administratora określonego w art. 34 ust. 2 rozporządzenia 2016/679, Prezes UODO stwierdził, że Administrator (biorąc pod uwagę charakter naruszenia oraz kategorie danych, które uległy naruszeniu) powinien wskazać osobom, których dane dotyczą, najbardziej prawdopodobne, negatywne konsekwencje naruszenia ich danych osobowych. Z całą pewnością w przypadku naruszenia takich danych, jak imię, nazwisko oraz numer ewidencyjny PESEL, należy wskazać przede wszystkim na możliwą kradzież lub sfałszowanie tożsamości poprzez uzyskanie przez osoby trzecie, na szkodę osoby, której dane naruszono, pożyczek w instytucjach pozabankowych bądź wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować negatywne konsekwencje związane z próbą przypisania osobie, której dane dotyczą, odpowiedzialności za dokonanie takiego oszustwa. Opis możliwych konsekwencji powinien bowiem odzwierciedlać ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić jej podjęcie niezbędnych działań zapobiegawczych.

W sytuacji, gdy na skutek naruszenia ochrony danych osobowych, występuje wysokie ryzyko naruszenia praw lub wolności osób fizycznych administrator zobowiązany jest wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy, jak również osoby, których dane dotyczą. Administrator powinien zrealizować przedmiotowy obowiązek możliwie najszybciej.

W motywie 85 preambuły rozporządzenia 2016/679 wyjaśniono: „Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki”.

Z kolei w motywie 86 preambuły rozporządzenia 2016/679 wskazano: „Administrator powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić tej osobie podjęcie niezbędnych działań zapobiegawczych. Informacja taka powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z organem nadzorczym, z poszanowaniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy ścigania. Na przykład potrzeba zminimalizowania bezpośredniego ryzyka wystąpienia szkody będzie wymagać niezwłocznego poinformowania osób, których dane dotyczą, natomiast wdrożenie odpowiednich środków przeciwko takim samym lub podobnym naruszeniom ochrony danych może uzasadniać późniejsze poinformowanie”.

Zawiadamiając bez zbędnej zwłoki podmiot danych, administrator umożliwia osobie podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia. Art. 34 ust. 1 i 2 rozporządzenia 2016/679 ma na celu nie tylko zapewnienie możliwie najskuteczniejszej ochrony podstawowych praw lub wolności podmiotów danych, ale także realizację zasady przejrzystości, która wynika z art. 5 ust. 1 lit. a) rozporządzenia 2016/679 (por. Witold Chomiczewski [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. red. E. Bielak – Jomaa,  D. Lubasz, Warszawa 2018). Właściwe wywiązanie się z obowiązku określonego w art. 34 rozporządzenia 2016/679 ma zapewnić osobom, których dane dotyczą, szybką i przejrzystą informację o naruszeniu ochrony ich danych osobowych wraz z opisem możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków, które mogą one podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków. Postępując zgodnie z prawem i wykazując dbałość o interesy osób, których dane dotyczą, administrator powinien był bez zbędnej zwłoki zapewnić osobom, których dane dotyczą, możliwość jak najlepszej ochrony danych osobowych. Dla osiągnięcia tego celu niezbędne jest przynajmniej wskazanie tych informacji, które wymienione są w art. 34 ust. 2 rozporządzenia 2016/679, z którego to obowiązku administrator nie wywiązał się. Administrator, podejmując zatem decyzję o niezawiadomieniu o naruszeniu organu nadzorczego, jak i osób, których dane dotyczą, w praktyce pozbawił te osoby, przekazanej bez zbędnej zwłoki, rzetelnej informacji o naruszeniu ochrony danych osobowych i możliwości przeciwdziałania potencjalnym szkodom.

Co do zasady administrator powinien zawiadomić indywidualnie osoby, których dane dotyczą, o naruszeniu ochrony danych osobowych. Jeżeli jednak Administrator nie posiada wykazu obywateli, którzy udzielają poparcia projektowi ustawy stanowiącej przedmiot inicjatywy ustawodawczej, lub jego kopii, i tym samym nie jest w stanie zidentyfikować osób, których dane dotyczą, to stosownie do art. 34 ust. 3 lit. c) rozporządzenia 2016/679 powinien dokonać zawiadomienia tych osób poprzez wydanie publicznego komunikatu lub zastosowanie podobnego środka, aby w równie skuteczny sposób poinformować osoby, których dane dotyczą, o naruszeniu.

W konsekwencji należy stwierdzić, że Administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w wykonaniu obowiązku z art. 33 ust. 1 rozporządzenia 2016/679 oraz nie zawiadomił bez zbędnej zwłoki osoby, której dane dotyczą, o naruszeniu ochrony jej danych, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, co oznacza naruszenie przez Administratora tych przepisów.

Oceniając okoliczności przedmiotowego naruszenia ochrony danych osobowych, należy podkreślić, że stosując przepisy rozporządzenia 2016/679 należy mieć na uwadze, że celem tego rozporządzenia (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów – nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy opracowywaniu technicznych i organizacyjnych środków bezpieczeństwa mających im zapobiegać – należy w pierwszej kolejności brać pod uwagę te wartości.

Zgodnie z art. 34 ust. 4 rozporządzenia 2016/679, jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3. Z kolei z treści art. 58 ust. 2 lit. e) rozporządzenia 2016/679 wynika, że każdemu organowi nadzorczemu przysługuje uprawnienie naprawcze w postaci nakazania administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych.

Biorąc pod uwagę powyższe ustalenia oraz stwierdzone naruszenia przepisów rozporządzenia 2016/679, Prezes UODO, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. i) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a)-h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 ust. 4 lit. a) i ust. 5 lit. a) rozporządzenia 2016/679, mając na względzie okoliczności ustalone w przedmiotowym postępowaniu stwierdził, iż w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Administratora administracyjnej kary pieniężnej.

Zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25-39 oraz 42 i 43 podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących  podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Art. 83 ust. 3 rozporządzenia 2016/679 natomiast stanowi, że jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.

W niniejszej sprawie administracyjna kara pieniężna wobec Administratora nałożona została za naruszenie art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a) rozporządzenia 2016/679, natomiast za naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679 - na podstawie art. 83 ust. 5 lit. a) tego rozporządzenia. Jednocześnie administracyjna kara pieniężna w wysokości 9432 zł (słownie dziewięć tysięcy czterysta trzydzieści dwa złote) nałożona na Administratora łącznie za naruszenie wszystkich powyższych przepisów – stosownie do przepisu art. 83 ust. 3 rozporządzenia 2016/679 – nie przekracza wysokości kary za najpoważniejsze stwierdzone w niniejszej sprawie naruszenie, tj. naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679, które stosownie do art. 83 ust. 5 lit. a) rozporządzenia 2016/679 podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Decydując o nałożeniu administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:

1. Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
Stwierdzone w niniejszej sprawie naruszenie przepisów ochrony danych osobowych, będące skutkiem uzyskania nieuprawnionego dostępu do danych znajdujących się na wykazie obywateli, którzy udzielają poparcia projektowi ustawy stanowiącej przedmiot inicjatywy ustawodawczej, ma znaczną wagę i poważny charakter.

Zgłaszanie naruszeń ochrony danych osobowych przez administratorów danych stanowi skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Na podstawie przekazanych przez administratorów w zgłoszeniach naruszenia ochrony danych osobowych informacji organ nadzorczy może dokonać oceny, czy administrator w sposób prawidłowy dokonał analizy wpływu naruszenia na prawa lub wolności osób, których dane objęte naruszeniem dotyczą, a w konsekwencji, czy występuje wysokie ryzyko naruszenia praw lub wolności osób fizycznych i zachodzi konieczność zawiadomienia tych osób o naruszeniu ich danych. Prawidłowo zrealizowane przez Administratorów obowiązki określone w art. 33 ust. 1 i art. 34 ust. 2 rozporządzenia 2016/679 pozwalają także na ograniczenie negatywnych skutków takich naruszeń oraz wyeliminowanie bądź przynajmniej ograniczenie ryzyka wystąpienia tego typu naruszeń w przyszłości, gdyż administratorzy mają obowiązek podjęcia działań, które zapewnią właściwą ochronę danych osobowych poprzez zastosowanie odpowiednich środków bezpieczeństwa oraz kontrolę ich skuteczności. Podnieść należy, że brak zawiadomienia osób, które złożyły swój podpis na wykazie obywateli, którzy udzielają poparcia projektowi ustawy stanowiącej przedmiot inicjatywy ustawodawczej, o naruszeniu ochrony ich danych osobowych skutkuje odebraniem im możliwości samodzielnego zabezpieczenia swoich danych osobowych przed zmaterializowaniem się negatywnych skutków takiego naruszenia.

Z kolei naruszenie przez Administratora obowiązków zastosowania odpowiednich środków zabezpieczających przetwarzane dane przed ich udostępnieniem osobom nieuprawnionym, pociąga za sobą nie tylko potencjalną, ale również realną możliwość wykorzystania tych danych przez podmioty trzecie bez wiedzy i wbrew woli osób, których dane dotyczą, niezgodnie z przepisami rozporządzenia 2016/679. Podkreślić należy, że szeroki zakres danych osobowych znajdujących się w wykazie obywateli, którzy udzielają poparcia projektowi ustawy stanowiącej przedmiot inicjatywy ustawodawczej, z uwagi na pozostawienie tego wykazu bez jakiegokolwiek nadzoru ze strony osoby (osób) odpowiedzialnej za zbieranie podpisów może powodować znaczne konsekwencje w postaci szkody majątkowej i niemajątkowej w związku z ujawnieniem w szczególności nr PESEL oraz danych podlegających szczególnej ochronie na gruncie przepisów rozporządzenia 2016/679, tj. danych dotyczących światopoglądu osób, których dane dotyczą. Jak wskazał Sąd Okręgowy w Warszawie w wyroku z dnia 6 sierpnia 2020 r. sygn. akt XXV C 2596/19, obawa, a więc utrata bezpieczeństwa stanowi realną szkodę niemajątkową wiążącą się z obowiązkiem jej naprawienia. Z kolei Trybunał Sprawiedliwości UE w orzeczeniu z dnia 14 grudnia 2023 r. w sprawie Natsionalna agentsia za prihodite (C-340/21) podkreślił, że „Art. 82 ust. 1 RODO należy interpretować w ten sposób, że obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić „szkodę niemajątkową” w rozumieniu tego przepisu”.

Motyw 51 rozporządzenia 2016/679 wskazuje, iż dane osobowe, które z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności. A zatem, Administrator wykonując czynności związane ze zbiórką podpisów pod projektem ustawy powinien stosować jak najwyższe standardy, w szczególności w zakresie bezpieczeństwa przetwarzanych danych. Tymczasem Administrator, prowadząc zbiórkę podpisów, bez kontroli przestrzegania środków bezpieczeństwa ustanowionych w związku z planowanym procesem przetwarzania danych, dopuścił do naruszenia poufności danych poprzez pozostawienie ich bez nadzoru osoby (osób) odpowiedzialnych za zbieranie podpisów. Taki stan rzeczy wskazuje na lekceważący stosunek Administratora do obywateli, którzy zdecydowali się poprzeć projekt ustawy. Powołać trzeba ponownie wyjaśnienia Administratora, który wskazuje, że „(…) nie jest możliwe „wykazanie” że osoby zapoznały się z instrukcją [zbierania podpisów], gdyż nie sposób nawet ustalić personalia osób, których w skali kraju były tysiące, a które włączyły się w zbiórkę podpisów”,co bezsprzecznie wskazuje na nieprawidłowe wdrożenie przygotowanych przez Administratora środków bezpieczeństwa.

Podkreślić należy również długi czas trwania naruszenia przepisów rozporządzenia 2016/679, bowiem przyjąć należy, że naruszenie rozpoczęło się w drugiej połowie 2020 r., a zakończyło się w dniu 26 lipca 2021 r., tj. w dniu złożenia projektu ustawy w Sejmie RP (w odniesieniu do naruszenia tych przepisów rozporządzenia 2016/579, które nakładają na administratora obowiązki w zakresie zastosowania odpowiednich środków bezpieczeństwa; naruszenie przepisów art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679 trwa nadal, gdyż Administrator nie zgłosił naruszenia ochrony danych osobowych organowi nadzorczemu oraz nie zawiadomił o naruszeniu osób, których dane dotyczą). Rozważając tę przesłankę należy także zaznaczyć, że naruszenie mogło dotyczyć nawet danych około 140 tys. osób, które złożyły podpisy na wykazie obywateli, którzy udzielają poparcia projektowi ustawy stanowiącej przedmiot inicjatywy ustawodawczej (https://www.sejm.gov.pl/sejm10.nsf/PrzebiegProc.xsp?nr=26), a w przypadku wykazu znajdującego się w kościele w C. co najmniej 17 osób.

2. Umyślny lub nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
I. Zgodnie z Wytycznymi Grupy Roboczej Art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 WP253 (przyjętymi w dniu 3 października 2017 r., zatwierdzonymi przez EROD w dniu 25 maja 2018 r.), umyślność „obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego”. Administrator podjął świadomą decyzję, by nie zawiadamiać o naruszeniu ochrony danych osobowych zarówno Prezesa UODO, jak i osób, których dane dotyczą. Nie ulega wątpliwości, że Administrator, przetwarzając dane osobowe w związku z podejmowaniem przedsięwzięcia polegającego na zbieraniu podpisów pod obywatelskim projektem ustawy, powinien mieć wiedzę w zakresie ochrony danych osobowych, obejmującą konsekwencje stwierdzenia naruszenia ochrony danych osobowych skutkującego wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Będąc tego świadomym, Administrator podjął jednak decyzję o rezygnacji z dokonania zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO i powiadomienia osób, których dane dotyczą, pomimo faktu, że Prezes UODO w pierwszej kolejności informował go o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych. W końcu samo wszczęcie przez Prezesa UODO niniejszego postępowania w przedmiocie obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu i zawiadomienia o naruszeniu osób, których dane dotyczą, powinno nasunąć Administratorowi co najmniej wątpliwości co do słuszności przyjętego przez niego stanowiska. Powyższe wskazuje na umyślne naruszenie przepisów art. 33 ust. 1 i 34 ust. 1 rozporządzenia 2016/679.

II. Nieuprawniony dostęp do danych osobowych osób, których dane znajdują się na wykazie obywateli, którzy udzielają poparcia projektowi ustawy stanowiącej przedmiot inicjatywy ustawodawczej, stał się możliwy na skutek niedochowania należytej staranności przez Komitet. W ocenie organu nadzorczego stanowi to o nieumyślnym charakterze naruszenia przepisów art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, wynikającym z niedbalstwa Administratora, gdyż posiadał on analizę ryzyka, w której przewidział ryzyko w postaci możliwości skopiowania danych osobowych znajdujących się na ww. wykazie wraz z określeniem środków organizacyjnych gwarantujących, w ocenie Administratora, odpowiedni stopień bezpieczeństwa danych, jak również instrukcję zbierania podpisów pod projektem ustawy. Pomimo jej opracowania, Administrator nie podjął działań prowadzących do prawidłowego jej wdrożenia, a co więcej, stwierdził brak możliwości wdrożenia przyjętych przez siebie środków, tym samym naruszając art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679.

3. Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).
Na postawie zgromadzonego w sprawie materiału dowodowego potwierdzającego wystąpienie krzywdy wobec osób, których dane dotyczą, nie stwierdzono podjęcia przez Administratora żadnych działań, nawet tych przewidzianych w art. 34 rozporządzenia 2016/679. 

4. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679).
W niniejszej sprawie Prezes UODO uznał za niezadowalającą współpracę z nim ze strony Administratora. Ocena ta dotyczy reakcji Administratora na pisma Prezesa UODO informujące o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych, czy wreszcie wobec wszczęcia postępowania administracyjnego w przedmiocie obowiązku zgłoszenia naruszenia ochrony danych osobowych i zawiadomienia o naruszeniu osoby, której dane dotyczą. Prawidłowe w ocenie Prezesa UODO działania (zgłoszenie naruszenia Prezesowi UODO i zawiadomienie o nim osób, których dotyczyło naruszenie) nie zostały podjęte przez Administratora nawet po wszczęciu przez Prezesa UODO postępowania administracyjnego w sprawie.

5. Kategorie danych osobowych, których dotyczyło naruszenie  (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Dane osobowe znajdujące się na wykazie obywateli, którzy udzielają poparcia projektowi ustawy stanowiącej przedmiot inicjatywy ustawodawczej, pozostawionego w kościele w C. bez nadzoru osoby (osób) zbierających podpisy obejmują dane w zakresie imion, nazwisk, numerów ewidencyjnych PESEL, adresów zamieszkania oraz własnoręcznych podpisów. Charakter przedsięwzięcia podjętego przez Administratora (zbieranie podpisów pod obywatelskim projektem ustawy „Stop LGBT”) może jednak wskazywać (ujawniać) światopogląd osób składających swój podpis na tym wykazie, a informacje w tym zakresie stanowią dane podlegające szczególnej ochronie na gruncie art. 9 ust. 1 rozporządzenia 2016/679.

Należy również zwrócić uwagę, że w wykazie obywateli, którzy udzielają poparcia projektowi ustawy stanowiącej przedmiot inicjatywy ustawodawczej, znajduje się numer PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający datę urodzenia, numer porządkowy, oznaczenie płci oraz liczbę kontrolną, a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga. Nie ma innej, tak konkretnej danej, która by w sposób jednoznaczny identyfikowała osobę fizyczną. Nie bez powodu numer PESEL służy jako dana identyfikująca każdą osobę i jest powszechnie używany w kontaktach z różnymi instytucjami oraz w obiegu prawnym. Numer PESEL wraz z imieniem i nazwiskiem w sposób jednoznaczny identyfikuje osobę fizyczną, w sposób pozwalający przypisać negatywne skutki naruszenia (np. kradzież tożsamości, wyłudzenie pożyczki) tej konkretnej osobie.

W tym kontekście warto przywołać wytyczne EROD 04/2022, w których to wskazano: „Jeśli chodzi o wymóg uwzględnienia kategorii danych osobowych, których dotyczyło naruszenie (art. 83 ust 2 lit. g) [rozporządzenia 2016/679]), w [rozporządzeniu 2016/679] wyraźnie wskazano rodzaje danych, które podlegają szczególnej ochronie, a tym samym bardziej rygorystycznej reakcji przy nakładaniu kar pieniężnych. Dotyczy to co najmniej rodzajów danych objętych art. 9 i 10 [rozporządzenia 2016/679] oraz danych nieobjętych zakresem tych artykułów, których rozpowszechnianie natychmiast powoduje szkody lub dyskomfort osoby, której dane dotyczą (np. danych dotyczących lokalizacji, danych dotyczących komunikacji prywatnej, krajowych numerów identyfikacyjnych lub danych finansowych, takich jak zestawienia transakcji lub numery kart kredytowych). Ogólnie rzecz biorąc, im większej liczby takich kategorii danych dotyczy naruszenie lub im bardziej wrażliwe są dane, tym większą wagę organ nadzorczy może przypisać takiemu czynnikowi. Znaczenie ma również ilość danych dotyczących każdej osoby, której dane dotyczą, wzrasta skala naruszenia prawa do prywatności i ochrony danych osobowych”.

Warto raz jeszcze wskazać na kształtujące się w tym zakresie orzecznictwo, gdzie dla przykładu w wyroku z dnia 15 listopada 2022 r. o sygn. akt II SA/Wa 546/22 Wojewódzki Sąd Administracyjny w Warszawie wskazał: „Oczywistym też było, że organ określając wymiar kary musiał uwzględnić fakt, że naruszenie dotyczyło danych o wielkiej wrażliwości (m.in. PESEL, adres, dane o stanie zdrowia)”. Pogląd ten podzielony został także przez ww. Sąd w wyroku z dnia 21 czerwca 2023 r. w sprawie o sygn. akt II SA/Wa 150/23, gdzie WSA w Warszawie wskazał: „Reasumując Sąd stoi na stanowisku, że ujawnienie numeru PESEL, wskazuje na wysokie ryzyko naruszenia praw lub wolności osób fizycznych”.

Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO nie znalazł podstaw do uwzględnienia okoliczności łagodzących, mających wpływ na ostateczny wymiar kary. Wszystkie przesłanki wymienione w art. 83 ust. 2 lit. a)-j) rozporządzenia 2016/679 w ocenie organu nadzorczego stanowią albo przesłanki obciążające albo jedynie neutralne. Również stosując przesłankę wymienioną w art. 83 ust. 2 lit. k) rozporządzenia 2016/679 (nakazującą wzięcie pod uwagę wszelkich innych obciążających lub łagodzących czynników mających zastosowanie do okoliczności sprawy) nie znaleziono żadnych okoliczności łagodzących, a jedynie neutralne (co zostało odnotowane poniżej w pkt 6 dotyczącym osiągniętych bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowych lub unikniętych strat.

Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.

1. Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
Prezes UODO stwierdził w niniejszej sprawie naruszenie przez Komitet przepisów art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679. W jego ocenie na administratorze ciąży w wysokim stopniu odpowiedzialność za niewdrożenie odpowiednich środków technicznych i organizacyjnych, które zapobiegłyby naruszeniu ochrony danych osobowych. Oczywistym jest, że w rozważanym kontekście charakteru, celu i zakresu przetwarzania danych osobowych Administrator nie „zrobił wszystkiego, czego można by było od niego oczekiwać”; nie wywiązał się tym samym z nałożonych na nią przepisami art. 25 i 32 rozporządzenia 2016/679 obowiązków.

W niniejszej sprawie okoliczność ta stanowi jednak o istocie samego naruszenia; nie jest jedynie czynnikiem wpływającym - łagodząco lub obciążająco - na jego ocenę. Z tego też względu brak odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 25 i art. 32 rozporządzenia 2016/679, nie może zostać przez Prezesa UODO uznany w niniejszej sprawie za okoliczność mogącą dodatkowo wpłynąć na surowszą ocenę naruszenia i wymiar nałożonej na Administratora administracyjnej kary pieniężnej.

2. Wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust. 2 lit. e rozporządzenia 2016/679).
Prezes UODO nie stwierdził stosownych wcześniejszych naruszeń rozporządzenia 2016/679 przez Komitet, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej, jednakże do obowiązków każdego administratora należy przestrzeganie przepisów prawa (w tym przepisów dotyczących ochrony danych osobowych), w związku z czym brak wcześniejszych naruszeń ochrony danych osobowych nie może zostać uznany za okoliczność łagodzącą przy wymierzaniu sankcji.

3.Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).
O zaistnieniu przedmiotowego naruszenia przepisu art. 33 ust. 1 rozporządzenia 2016/679 związanego ze zdarzeniem polegającym na pozostawieniu bez nadzoru wypełnionych kart poparcia inicjatywy ustawodawczej, Prezes UODO został poinformowany przez osobę trzecią, która uzyskała dostęp do zgromadzonych na wykazie obywateli, którzy udzielają poparcia projektowi ustawy stanowiącej przedmiot inicjatywy ustawodawczej, danych osobowych. Brak zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych jest jednak przedmiotem niniejszego postępowania i w okolicznościach rozważanego stanu faktycznego organ nadzorczy przyjął, że przesłanki tej nie potraktuje jako okoliczności obciążającej.

4. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.

5. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).
Komitet nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak - jak stanowią przepisy rozporządzenia 2016/679 - obowiązkowe dla administratorów i podmiotów przetwarzających w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na korzyść Administratora natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.

6. Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO nie stwierdził, żeby administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej administratora. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla Administratora. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.

7. Inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.

 W ocenie Prezesa UODO, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. będzie w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Zdaniem Prezesa UODO nałożona na Komitet administracyjna kara pieniężna będzie skuteczna, albowiem doprowadzi do stanu, w którym Komitet stosował będzie takie środki techniczne i organizacyjne, które zapewnią przetwarzanym danym stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób, których dane dotyczą oraz wadze zagrożeń towarzyszącym procesom przetwarzania tych danych osobowych. Skuteczność administracyjnej kary pieniężnej równoważna jest zatem gwarancji tego, iż Administrator od momentu zakończenia niniejszego postępowania będzie z najwyższą starannością podchodzić do wymogów stawianych przez przepisy o ochronie danych osobowych.

Zastosowana administracyjna kara pieniężna jest również proporcjonalna do stwierdzonego naruszenia, w tym zwłaszcza jego wagi, skutku, kręgu dotkniętych nim osób fizycznych oraz bardzo wysokiego ryzyka negatywnych konsekwencji, jakie w związku z naruszeniem ponoszą. Zdaniem Prezesa UODO, nałożona na Komitet administracyjna kara pieniężna nie będzie stanowiła nadmiernego dla niego obciążenia. Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność jej uiszczenia pociągnie za sobą negatywne następstwa w postaci istotnego pogorszenia sytuacji finansowej Administratora. Zdaniem Prezesa UODO, Komitet powinien i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, stąd nałożenie administracyjnej kary pieniężnej w wysokości 10 913 zł (dziesięć tysięcy dziewięćset trzynaście złotych) jest w pełni uzasadnione.

Odnosząc się do wysokości wymierzonej Komitetowi administracyjnej kary pieniężnej, wskazać należy, że Administrator nie należy do grupy podmiotów wymienionych w art. 102 ust. 1 i 2 ustawy o ochronie danych osobowych i w związku z tym, w przedmiotowej sprawie, nie mają zastosowania ograniczenia wysokości (odpowiednio do 10.000 lub 100.000 zł) administracyjnej kary pieniężnej. Wobec powyższego, stosownie do art. 101 ustawy o ochronie danych osobowych, administracyjna kara pieniężna nałożona zostaje na Administratora na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679. Biorąc jednak pod uwagę, że Administrator nie jest także przedsiębiorcą, to ustalanie wysokości nałożonej administracyjnej kary pieniężnej nie nastąpiło poprzez odniesienie się do całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. 

Administrator, pomimo dwukrotnego wezwania skierowanego na adresy podane na jego stronie internetowej (Administrator nie powiadomił organu nadzorczego o zmianie adresu), nie przekazał rocznego sprawozdania finansowego. W konsekwencji, Prezes UODO określił podstawę wymiaru administracyjnej kary pieniężnej nałożonej na Administratora w sposób szacunkowy, uwzględniając jego wielkość oraz specyfikę prowadzonej działalności, stosownie do art. 101a ust. 2 ustawy o ochronie danych osobowych.

Odnosząc się do wysokości wymierzonej administracyjnej kary pieniężnej, Prezes UODO uznał, że jest ona w tym konkretnym przypadku odstraszająca oraz proporcjonalna do zaistniałych naruszeń. Warto podkreślić, że kwota nałożonej administracyjnej kary pieniężnej, tj. 10 913,- PLN, to jedynie 0,01 % maksymalnej wysokości kary, którą Prezes UODO mógł nałożyć na Administratora za stwierdzone w niniejszej sprawie naruszenia – stosując zgodnie z art. 83 ust. 5 rozporządzenia 2016/679 statyczne maksimum kary (tj. 20.000.000,- euro).

W ocenie Prezesa Urzędu Ochrony Danych Osobowych administracyjna kara pieniężna spełni w tych konkretnych okolicznościach funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Komitet przepisów rozporządzenia 2016/679, ale i prewencyjną, bowiem przyczyni się do zapobiegania w przyszłości naruszania przez Komitet, jak i innych administratorów, obowiązków wynikających z przepisów o ochronie danych osobowych.

W ocenie Prezesa UODO, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad rozporządzenia 2016/679 – zwłaszcza zasady poufności i integralności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679 oraz zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679.

Stosownie do treści art. 103 ustawy o ochronie danych osobowych, równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danych roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego. Mając to na uwadze, Prezes Urzędu Ochrony Danych Osobowych, na podstawie art. 83 ust. 4 lit. a) i art. 83 ust. 5 lit. a) w związku z art. 83 ust. 3 rozporządzenia 2016/679 oraz w związku z art. 103 ustawy z dnia 10 maja 20218 r. o ochronie danych osobowych, za naruszenie opisane w sentencji niniejszej decyzji, nałożył na Komitet – stosując średni kurs euro z dnia 29 stycznia 2024 r. (1EUR= 4,3653 PLN) – administracyjną karę pieniężną w kwocie 10 913 PLN (co stanowi równowartość 2500 EUR).

Celem nałożonej administracyjnej kary pieniężnej jest doprowadzenie do przestrzegania przez Komitet w przyszłości przepisów rozporządzenia 2016/679, a w konsekwencji do prowadzenia procesów przetwarzania danych zgodnie z obowiązującymi przepisami prawa.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.