Decyzja
DKN.5131.33.2023
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572) w związku z art. 7 ust. 1 i ust. 2, art. 60, art. 102 ust. 1 pkt 1 i ust. 3 ustawy o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. e) i lit. i), art. 83 ust. 1 i 2, art. 83 ust. 4 lit. a) w związku z art. 33 ust. 1 i art. 34 ust. 1, ust. 2 i ust. 4 oraz art. 83 ust. 5 lit. a) w związku z art. 5 ust. 1 lit. a), art. 6 ust. 1 i art. 9 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej „rozporządzeniem 2016/679”, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez Prokuraturę Krajową z siedzibą w Warszawie przy ul. Postępu 3, Prezes Urzędu Ochrony Danych Osobowych,
stwierdzając naruszenie przez Prokuraturę Krajową z siedzibą w Warszawie przy ul. Postępu 3, przepisów:
a) art. 6 ust. 1 i art. 9 ust. 1 rozporządzenia 2016/679, polegające na ujawnieniu w dniu (…), bez podstawy prawnej, podczas konferencji prasowej przez Prokuraturę Krajową danych osobowych osoby pokrzywdzonej, zawartych w wyroku Sądu Rejonowego (…) z (…), o sygn. akt: (…), co skutkowało naruszeniem art. 5 ust. 1 lit. a) rozporządzenia 2016/679, tj. „zasady zgodności z prawem”,
b) art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych mającego miejsce (…) podczas konferencji prasowej Prokuratury Krajowej bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia,
c) art. 34 ust. 1 i ust. 2 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki, osoby, której dane zostały ujawnione przez Prokuraturę Krajową podczas konferencji prasowej (…),
1) nakłada na Prokuraturę Krajową administracyjną karę pieniężną w wysokości 85.000 zł (słownie: osiemdziesiąt pięć tysięcy złotych);
2) nakazuje Prokuraturze Krajowej zawiadomienie, w terminie 3 dni od dnia otrzymania niniejszej decyzji, osoby, której dane osobowe zostały podczas konferencji prasowej (…) ujawnione bez podstawy prawnej, o naruszeniu ochrony jej danych osobowych w celu przekazania informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, tj.:
a) opisu charakteru naruszenia ochrony danych osobowych;
b) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
c) opisu możliwych konsekwencji naruszenia ochrony danych osobowych z uwzględnieniem kategorii osób i zakresu danych objętych naruszeniem;
d) opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków z uwzględnieniem kategorii osób i zakresu danych objętych naruszeniem.
Uzasadnienie
Do Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej „Prezesem UODO” lub „organem”, (…) wpłynęła od osoby trzeciej informacja o naruszeniu ochrony danych osobowych dokonanym przez Prokuraturę Krajową z siedzibą w Warszawie przy ul. Postępu 3 (zwaną dalej również „Administratorem”). Naruszenie to polegało na ujawnieniu podczas konferencji prasowej (…) przez Prokuraturę Krajową danych osobowych osoby pokrzywdzonej, zawartych w wyroku Sądu Rejonowego (…) z (…), o sygn. akt: (…).
Prezes UODO, w wyniku przeprowadzonego postępowania wyjaśniającego (znak: (…)) oraz postępowania administracyjnego (znak: DKN.5131.33.2023), wszczętego z urzędu (…) w przedmiocie naruszenia przez Administratora przepisów art. 5 ust. 1 lit. a), art. 6 ust. 1, art. 9 ust. 1, art. 33 ust. 1 oraz art. 34 ust. 1 i ust. 2 rozporządzenia 2016/679, ustalił następujący stan faktyczny.
1. (…) odbyła się konferencja prasowa Prokuratury Krajowej, w której udział wziął przedstawiciel Prokuratury Krajowej (Dyrektor Biura Prezydialnego Prokuratury Krajowej – prokurator Tomasz Szafrański) oraz Prokurator Generalny (Minister Sprawiedliwości – Zbigniew Ziobro). Konferencja ta została poświęcona decyzjom personalnym, jakie miały miejsce w Prokuraturze Rejonowej (…) w związku ze sprawą napaści (…). W trakcie konferencji prasowej Prokuratura Krajowa ujawniła dane osobowe osoby posiadającej w postępowaniu karnym status osoby pokrzywdzonej oraz informacje dotyczące stanu faktycznego sprawy zawarte w wyroku Sądu Rejonowego (…) z (…), o sygn. akt: (…). Wśród ujawnionych danych znalazły się jej imię i nazwisko oraz informacje o tym, że jest ofiarą napaści (…) oraz fakt, że miała przyznany status osoby pokrzywdzonej. Zostały ujawnione także informacje na temat stanu jej zdrowia, bowiem doznała ona uszczerbku na zdrowiu – (…). Ponadto, przed ww. wystąpieniem prokuratora Prokuratury Krajowej, który ujawnił ww. informacje, Prokurator Generalny - Minister Sprawiedliwości wskazał, że napastnicy (…). Tym samym podczas konferencji prasowej doszło do ujawnienia także, że status osoby pokrzywdzonej otrzymała w sprawie karnej (…). Nagranie powyższej konferencji dostępne jest na (…).
2. Prokuratura Krajowa jest administratorem danych ujawnionych podczas konferencji, o której mowa w pkt 1, w rozumieniu art. 4 pkt 7 rozporządzenia 2016/679. Ujawnione dane osobowe osoby pokrzywdzonej w powołanej sprawie pochodziły z akt sprawy i były przetwarzane przez Prokuraturę Krajową w związku z analizą poprzedzającą decyzję w przedmiocie skierowania przez Prokuratora Generalnego skargi nadzwyczajnej od zapadłego orzeczenia.
3. Prokuratura Krajowa nie dokonała zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO, ani nie zawiadomiła osoby fizycznej, której dane dotyczą, o tym naruszeniu.
4. Prezes UODO, pismami z 9 i 10 sierpnia 2023 r., wystąpił do Administratora z wezwaniem do złożenia wyjaśnień w związku z ww. zdarzeniem, w którym to wezwaniu zwrócił się między innymi z pytaniem, czy Administrator dokonał analizy zdarzenia pod kątem naruszenia praw lub wolności osoby fizycznej (osoby pokrzywdzonej) w celu oceny, czy doszło do naruszenia ochrony danych skutkującego obowiązkiem zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO oraz zawiadomienia osoby, której dane dotyczą, o takim naruszeniu. Prokuratura Krajowa, w piśmie z 29 sierpnia 2023 r., wskazała, że „(…) wobec braku stosownych podstaw zdarzenie opisane w zgłoszeniu nie było przedmiotem analizy administratora danych Prokuratury Krajowej, w kontekście, o jakim mowa w piśmie z 10 sierpnia 2023 r.”.
5. Administrator, w piśmie z 27 października 2023 r., wskazał, że cyt. „(…) [d]ane osobowe, których dotyczy zawiadomienie o wszczęciu postępowania, stanowiły część orzeczenia wydanego w dniu (…) w sprawie karnej sygn. akt (…) Sądu Rejonowego (…), jak również jego uzasadnienia. Wspomniane fragmenty wyroku i jego uzasadnienia zostały natomiast przytoczone dla zilustrowania zasadniczej rozbieżności pomiędzy przypisanymi osobom skazanym przestępstwami a dokonanymi przez sąd i odzwierciedlonymi w treści uzasadnienia ustaleniami faktycznymi. Co więcej, dane te zostały już uprzednio upublicznione w ramach toczącego się w tej sprawie jawnego postępowania sądowego, zarówno w trakcie przeprowadzanych przez sąd czynności dowodowych, jak i publicznego ogłoszenia wyroku. Co istotne, dane osobowe osoby pokrzywdzonej w powołanej sprawie były przetwarzane przez Prokuraturę Krajową w związku z analizą poprzedzającą decyzję w przedmiocie skierowania przez Prokuratora Generalnego skargi nadzwyczajnej od zapadłego orzeczenia. Przetwarzanie danych w związku z postępowaniem karnym objęte jest wprawdzie, co do zasady, regulacjami zawartymi w ustawie z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2023 r. poz. 1206), jednakże – zgodnie z art. 3 pkt 1 tej ustawy – spod zakresu jej stosowania wyłączone są m.in. dane znajdujące się w aktach lub urządzeniach ewidencyjnych prowadzonych na podstawie wskazanych w tym przepisie aktów prawnych, w tym - co istotne dla niniejszej sprawy - na podstawie Kodeksu postępowania karnego oraz dane osobowe przetwarzane na podstawie ustawy z dnia 28 stycznia 2016 r. - Prawo o prokuraturze (Dz. U. z 2024 r. poz. 390). Pomimo to, dane te nie są wyłączone spod ochrony prawnej, gdyż rygory ich przetwarzania i udostępniania wynikają tak z Kodeksu postępowania karnego, jak i Prawa o prokuraturze. W przedmiotowej sprawie podstawą prawną dla przekazania informacji obejmujących fragmenty, stanowiących część akt sprawy karnej, wyroku i jego uzasadnienia był natomiast przepis art. 12 § 2 Prawa o prokuraturze, uprawniający do przekazania mediom informacji nie tylko z toczącego się postępowania przygotowawczego, ale i dotyczących działalności prokuratury, do której zadań, na co warto wskazać, należy ściganie przestępstw oraz stanie na straży praworządności, a w ich ramach m.in. analizowanie akt spraw sądowych dla podjęcia decyzji w przedmiocie wniesienia przez Prokuratora Generalnego nadzwyczajnych środków zaskarżenia. Spod zakresu tych informacji, które prokurator działający na podstawie przywołanego przepisu uprawniony jest upublicznić, ustawodawca wyłączył jedynie informacje niejawne. Takich natomiast nie dotyczy postępowanie administracyjne, o którym zawiadomiono. Mając na uwadze przytoczoną argumentację, stwierdzić należy, że nie doszło do naruszenia przepisów o ochronie danych osobowych, w tym związanych z ich przetwarzaniem, a zatem podejmowanie działań zmierzających do wyjaśnienia czegoś, co nie zaistniało, pozbawione było i jest podstaw. Niezależnie od powyższego trzeba wskazać, że Prezes Urzędu Ochrony Danych Osobowych nie jest właściwy do wykonywania czynności nadzoru w odniesieniu do danych osobowych przetwarzanych przez powszechne jednostki organizacyjne prokuratury w ramach realizacji zadań określonych w art. 2 Prawa o prokuraturze. Wynika to wprost z art. 1 pkt 3 ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Sposób sprawowania nadzoru nad przetwarzaniem danych osobowych w ramach realizacji zadań określonych w art. 2 Prawa o prokuraturze, których administratorami są powszechne jednostki organizacyjne prokuratury, określa natomiast kompleksowo art. 191a Prawa o prokuraturze, znowelizowany ustawą z dnia 7 lipca 2023 r. o zmianie ustawy - Kodeks postępowania cywilnego, ustawy - Prawo o ustroju sądów powszechnych, ustawy - Kodeks postępowania karnego oraz niektórych innych ustaw (Dz. U. poz. 1860). Powyższe znajduje potwierdzenie zarówno w decyzjach Prezesa Urzędu Ochrony Danych Osobowych, w tym decyzji z (…), nr (…), i decyzji z (…), nr (…), jak i w wyroku WSA w Warszawie z 5 października 2020 r., sygn. akt II SA/Wa 2620/19, w uzasadnieniu którego trafnie wskazano, że nieuprawnionymi (dokonywanymi bez podstawy prawnej) byłyby wszelkie merytoryczne czynności podejmowane przez Prezesa Urzędu Ochrony Danych Osobowych w ramach nadzoru nad przetwarzaniem danych osobowych przez powszechne jednostki prokuratury przy realizacji przez nie zadań określonych w art. 2 Prawa o prokuraturze. Brak podstaw do przyjęcia, że do naruszenia przepisów o ochronie danych osobowych doszło oraz wyłączenie właściwości Prezesa Urzędu Ochrony Danych Osobowych w zakresie nadzoru nad przetwarzaniem danych przez jednostki prokuratury przy realizacji ich ustawowych zadań, wykluczają istnienie po stronie administratora danych obowiązku dokonania zgłoszenia, o którym mowa w art. 33 ust. 1 rozporządzenia 2016/679 oraz zawiadomienia określonego w art. 34 ust. 1 tego rozporządzenia, a w konsekwencji, co oczywiste, rozpatrywanie – z uwagi na ich niedokonanie – naruszenia przez niego przywołanych przepisów.”
6. Administrator, w piśmie z 12 marca 2024 r., odpowiadając na wezwanie Prezesa UODO o wskazanie z czyjego upoważnienia występował prokurator Tomasz Szafrański podczas przedmiotowej konferencji prasowej oraz w jakiej roli procesowej występowała w niej Prokuratura Krajowa, wskazał, że „(…) stosowne informacje posiadają pan prokurator Dariusz Barski, były Prokurator Generalny pan Zbigniew Ziobro oraz były dyrektor Biura Prezydialnego Prokuratury Krajowej pan Tomasz Szafrański. Biuro Prezydialne w chwili obecnej nie może uzyskać informacji od żadnej z wyżej wymienionych osób.” Ponadto zostało wskazane, że „zgodnie z art. 12 § 2 ustawy (…) Prawo o prokuraturze informacje o działalności prokuratury przekazuje mediom Prokurator Generalny, kierownik jednostki organizacyjnej prokuratury lub upoważniony prokurator. Jednostka Organizacyjna jaką jest Prokuratora Krajowa, przekazuje zatem informacje o swojej działalności za pośrednictwem swego kierownika lub upoważnionego prokuratora. Podczas konferencji prasowych organizowanych przez Prokuraturę Krajową jest ona podmiotem przekazującym informacje dotyczące postępowań karnych lub innej swej działalności”. W piśmie z 11 kwietnia 2024 r., Administrator powtórzył wyjaśnienia dotyczące roli Prokuratury Krajowej w ww. konferencji prasowej, wskazując jednocześnie, że nie jest w stanie wskazać na dzień udzielanej odpowiedzi, kto upoważnił prokuratura Tomasza Szafrańskiego do przekazania informacji mediom dotyczących sprawy sygn. akt: (…) (z uwagi na nieobecność ww. prokuratora w pracy). Ponadto Administrator powołał się na treść art. 191a ustawy Prawa o prokuraturze, wskazując, że Prezes UODO nie jest właściwym organem nadzorczym w tej sprawie.
7. W piśmie z 13 maja 2024 r. Administrator wskazał natomiast, że informacje ujawnione podczas konferencji prasowej były przez Prokuraturę Krajową przetwarzane w związku z analizą poprzedzającą decyzję w przedmiocie nadzwyczajnego środka zaskarżenia od zapadłego orzeczenia, jako realizację ustawowych zadań prokuratury. „Przetwarzanie danych miało miejsce w związku z postępowaniem karnym, które co do zasady objęte są regulacjami zawartymi w ustawie z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (…). Nadzór nad przetwarzaniem danych osobowych w ramach realizacji zadań określonych w art. 2 Prawa o prokuraturze, co wynika wprost z art. 1 pkt 3 ustawy (…), pozostaje poza kognicją Prezesa Urzędu Ochrony Danych Osobowych. Sposób sprawowania nadzoru nad przetwarzaniem danych osobowych w ramach realizacji zadań określonych w art. 2 Prawa o prokuraturze reguluje art. 191a tej ustawy. Stosownie do treści art. 191a § 1 pkt 3 Prawa o prokuraturze nadzór nad przetwarzaniem danych osobowych, których administratorem jest Prokuratura Krajowa, wykonuje Prokurator Krajowy”. Administrator powołał się także na stanowiska Prezesa UODO wyrażone w sprawach (…), (…), (…), w których organ uznał się za niewłaściwy. Administrator wskazał także że „(…) udzielenie przez Prokuraturę Krajową wyjaśnień, m.in. w piśmie z 17 października 2023 r.(…), jednoznacznie wskazujących, iż Prezes Urzędu Ochrony Danych Osobowych, w zakresie objętym przedmiotową sprawą, nie jest właściwy do sprawowania nadzoru nad przetwarzaniem danych osobowych, albowiem następowało ono w ramach realizacji zadań określonych w art. 2 Prawa o prokuraturze, kierowanie kolejnych wezwań zawierających żądania złożenia wyjaśnień uznać należy za niezrozumiałe i nieznajdujące podstaw do ich realizacji (…).”
8. W aktach sprawy znajdują się wydruki z artykułów prasowych opisujących konferencję prasową zorganizowaną w związku ze zmianami kadrowymi w Prokuraturze Rejonowej (…) oraz samo udostępnienie danych osobowych osoby pokrzywdzonej:
a) (…);
b) (…);
c) (…);
d) (…).
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes UODO zważył, co następuje.
Przedmiotem niniejszego postępowania jest naruszenie przez Administratora przepisów art. 5 ust. 1 lit. a), art. 6 ust. 1 i art. 9, art. 33 ust. 1 oraz art. 34 ust. 1 i ust. 2 rozporządzenia 2016/679, w związku z ujawnieniem podczas konferencji prasowej (…) przez Prokuraturę Krajową danych osobowych osoby pokrzywdzonej, zawartych w wyroku Sądu Rejonowego (…) z (…), sygn. akt (…), oraz następnie niezgłoszeniem naruszenia ochrony danych osobowych Prezesowi UODO, a także niezawiadomieniem o nim osoby, której dane dotyczą.
I.
Dokonując oceny przedmiotowego zdarzenia Prezes UODO zbadał, czy powyższe ujawnienie danych osobowych osoby pokrzywdzonej na ww. konferencji prasowej stanowiło naruszenie ochrony danych osobowych, jak również czy Prezes UODO jest właściwym organem nadzorczym do weryfikacji prawidłowości przestrzegania przepisów rozporządzenia 2016/679 przez administratora tych danych (Prokuraturę Krajową) w związku z ww. zdarzeniem. Prezes UODO zbadał także, czy przedmiotowe ujawnienie danych osobowych należało do zadań prokuratury, o których mowa w art. 2 i art. 3 ustawy z dnia 28 stycznia 2016 r. Prawo o prokuraturze, a więc czy zastosowanie do jego oceny będą miały przepisy rozporządzenia 2016/679 czy ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, zwanej dalej „uodo z 2018 r.”, oraz czy było ono zgodne z prawem.
Prezes UODO dokonał także analizy przepisów prawa, aby określić właściwy podmiot jako administratora danych osobowych ujawnionych podczas konferencji prasowej Prokuratury Krajowej z (…).
Podczas konferencji prasowej prokurator Prokuratury Krajowej odczytał fragment wyroku sądowego (wydanego przez sąd karny, postępowanie prawomocnie zakończone), udostępniając tym samym dane osobowe pokrzywdzonej. Akta uprzednio były analizowane przez Prokuratora Generalnego w celu dokonania oceny zasadności skorzystania z nadzwyczajnego środka zaskarżenia, tj. skargi nadzwyczajnej do Sądu Najwyższego. Osobą uprawnioną do złożenia takiej skargi jest m.in. Prokurator Generalny, stosownie do art. 89 § 2 ustawy z 8 grudnia 2017 r. o Sądzie Najwyższym (Dz. U. z 2024 r. poz. 622). Prokuratura Krajowa zapewnia obsługę Prokuratorowi Generalnemu i Prokuratorowi Krajowemu (art. 17 §1 Prawa o prokuraturze). Zgodnie zaś z art. 13 § 6 Prawa o prokuraturze, powszechne jednostki organizacyjne prokuratury są administratorami danych przetwarzanych w ramach realizowanych zadań, z wyłączeniem danych o których mowa w § 5. W myśl zaś art. 16 Prawa o prokuraturze, powszechnymi jednostkami organizacyjnymi prokuratury są: prokuratura krajowa, prokuratury regionalne, prokuratury okręgowe i prokuratury rejonowe. Tym samym Prokuraturę Krajową należy uznać za administratora danych ujawnionych podczas ww. konferencji.
W tym miejscu wskazać należy, że z uwagi na sam proces przetwarzania danych, sposób i okoliczności, w jakich te dane zostały ujawnienie (konferencja prasowa przedstawicieli prokuratury), etap sprawy, z której pochodziły ujawnione informacje (zakończone postępowanie sądowe w sprawie karnej), jak również status osoby w postępowaniu (osoby pokrzywdzonej), której dane zostały ujawnione, powoduje, iż w tym przypadku Prezes UODO zachowuje swoje kompetencje jako organ nadzorczy, jak również będą miały zastosowanie przepisy rozporządzenia 2016/679, a nie uodo z 2018 r., o czym szerzej w dalszej części niniejszej decyzji.
(…) odbyła się konferencja prasowa Prokuratury Krajowej poświęcona decyzjom personalnym, jakie zostały podjęte w Prokuraturze Rejonowej (…) w związku ze sprawą napaści na (…). Napaść miała miejsce podczas (…) w (…) próbowano (…). Sąd Rejonowy (…) skazał osobę odpowiedzialną za ww. atak na (…). Podczas konferencji prokurator Prokuratury Krajowej opisując, jakie w jego ocenie miały miejsce nieprawidłowości w zamkniętym już postępowaniu (przed sądem) przytoczył fragmenty akt, podając m.in. imię i nazwisko poszkodowanej w napaści (…) oraz sam opis przebiegu napaści, informację o tym, że pokrzywdzona doznała uszczerbku na zdrowiu, a moment wcześniej Prokurator Generalny - Minister Sprawiedliwości podał informację, (…) (i był to powód napaści i motyw działania sprawców napaści). Celem konferencji prasowej, przy okazji której ujawniono dane osobowe osoby pokrzywdzonej, było poinformowanie opinii publicznej o powodach podjętych już decyzji personalnych w ww. prokuraturze, wynikających z oceny pracy prokuratora podległego w ścieżce służbowej Prokuratorowi Generalnemu. Nie jest to zatem zadanie związane ze ściganiem przestępstw oraz staniem na straży praworządności, w rozumieniu art. 2 lub art. 3 ustawy Prawo o prokuraturze, a tym samym będą miały zastosowanie przepisy rozporządzenia 2016/679, a nie uodo z 2018 r. Jednocześnie, ze względu na specyficzne usytuowanie prokuratury w strukturze władzy państwowej (podlega ona ministrowi – tj. organowi władzy wykonawczej, a nie sądowniczej; zob. art. 1 § 2 ustawy Prawo o prokuraturze) nie jest ona objęta wyłączeniem, o którym mowa w art. 55 ust. 3 rozporządzenia 2016/679.
Ponadto należy zauważyć, że w przypadku ujawnienia przez jednostki organizacyjne prokuratury informacji pochodzących z akt zakończonego postępowania karnego istotny jest tryb tego ujawnienia (a więc sam proces, a nie źródło pochodzenia tych informacji). Ma on bowiem wprost przełożenie na wybór przepisów, według których dane zdarzenie należy ocenić. Prezes UODO dokonał podobnej oceny w decyzji z 14 marca 2023 r., sygn. DKN.5131.45.2022, w której uznał, że nieprawidłowe ujawnienie przez jednostkę organizacyjną prokuratury informacji zawartych w zakończonym postępowaniu karnym, stanowiących dane osobowe, w trybie ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2022 r. poz. 902), zwanej dalej „udip”, należy ocenić w oparciu o przepisy rozporządzenia 2016/679, a nie uodo z 2018 r. WSA w Warszawie w wyroku z 6 listopada 2023 r., sygn. akt II SA/Wa 996/23, przychylił się do tego stanowiska organu oddalając skargę na ww. decyzję. Sąd ocenił ww. decyzję Prezesa UODO jako zgodną z prawem, jednocześnie wskazując, że „Prezes UODO zastosował w sprawie prawidłowe przepisy (…)”.
W ocenie Prezesa UODO, w powyższy sposób doszło do ujawnienia nie tylko imienia i nazwiska (…), ale także danych związanych z samym wydarzeniem, które z uwagi na kontekst i okoliczności jednoznacznie wskazują, że jest ona ofiarą napaści (i na jakim tle), osobą pokrzywdzoną w sprawie karnej, a także pozwalają określić jej (…), jak również informacji o tym, że doznała uszczerbku na zdrowiu. Zgodnie z rozporządzeniem 2016/679, (…) należą do szczególnej kategorii danych i jako takie podlegają wzmożonej ochronie na gruncie art. 9 ust. 1 ww. aktu prawnego.
II.
Prokuratura Krajowa, jako podmiot publiczny, zobowiązana jest do działania na podstawie prawa i w jego granicach, stosownie do art. 7 Konstytucji RP z 2 kwietnia 1997 r. (Dz. U. Nr 78 poz. 483 ze zm.). Przedmiotowe ujawnienie danych osobowych osoby pokrzywdzonej, w tak szerokim zakresie, obejmującym także dane szczególnej kategorii, powinno być oparte o podstawę prawną. Oznacza to, że analizując przesłanki powyższego ujawnienia (rozumianego zgodnie z art. 4 pkt 2 rozporządzenia 2016/679 jako forma przetwarzania danych osobowych) należy mieć na uwadze treść art. 6 ust. 1 rozporządzenia 2016/676 w odniesieniu do tzw. danych zwykłych (jak imię, nazwisko, informacje zawarte w treści wyroku) oraz art. 9 ust. 1 i 2 rozporządzenia 2016/679 w odniesieniu do szczególnych kategorii danych (jak informacje o (…)). Ponadto, przesłanki przetwarzania danych powinny również korelować z zasadami określonymi w art. 5 ust. 1 rozporządzenia 2016/679, a w szczególności z zasadą zgodności z prawem, rzetelności i przejrzystości wyrażonej w art. 5 ust. 1 lit. a) rozporządzenia 2016/679, a administrator powinien móc wykazać ich przestrzeganie (art. 5 ust. 2 rozporządzenia 2016/679).
Zgodnie z art. 6 ust. 1 rozporządzenia 2016/679 przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków: osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów (lit. a); przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (lit. b); przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (lit. c); przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (lit. d); przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (lit. e); przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (lit. f). Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
W przypadku zaś szczególnych kategorii danych, a więc m.in. (…), podkreślenia wymaga, że rozporządzenie 2016/679 zabrania ich przetwarzania (art. 9 ust. 1), chyba, że wystąpi jedna z przesłanek wskazanych w art. 9 ust. 2 rozporządzenia 2016/679. Zgodnie z art. 9 ust. 1 rozporządzenia 2016/679, zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Zgodnie zaś z art. 9 ust. 2 rozporządzenia 2016/679 przepis ust. 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków: osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1 (lit. a); przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą (b); przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody (lit. c); przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą (lit. d); przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą (lit. e); przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy (lit. f); przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą (lit. g); przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3 (lit. h); przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową (lit. i); przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą (lit. j).
W tym miejscu zwrócić uwagę należy, że Prokuratura Krajowa wypowiadając się w piśmie z 27 października 2023 r. wskazała, że podstawą prawną przedmiotowego ujawnienia danych osobowych pokrzywdzonej był „(…) art. 12 § 2 Prawa o prokuraturze, uprawniający do przekazania mediom informacji nie tylko z toczącego się postępowania przygotowawczego, ale i dotyczących działalności prokuratury, do której zadań, na co warto wskazać, należy ściganie przestępstw oraz stanie na straży praworządności, a w ich ramach m.in. analizowanie akt spraw sądowych dla podjęcia decyzji w przedmiocie wniesienia przez Prokuratora Generalnego nadzwyczajnych środków zaskarżenia. Spod zakresu tych informacji, które prokurator działający na podstawie przywołanego przepisu uprawniony jest upublicznić, ustawodawca wyłączył jedynie informacje niejawne”. Zgodnie z art. 12 § 2 Prawa o prokuraturze, Prokurator Generalny oraz kierownicy jednostek organizacyjnych prokuratury mogą przekazać mediom osobiście, lub upoważnić w tym celu innego prokuratora, informacje z toczącego się postępowania przygotowawczego lub dotyczące działalności prokuratury, z wyłączeniem informacji niejawnych, mając na uwadze ważny interes publiczny.
Powyższa norma, o ile zezwala na ujawnienie informacji przez jednostkę organizacyjną prokuratury, to określa jednocześnie okoliczności, w jakich to może nastąpić, tj. informacje powinny dotyczyć toczącego się postępowania przygotowawczego lub działalności prokuratury, o ile istnieje ważny interes publiczny ku temu. Tymczasem informacje ujawnione podczas konferencji prasowej w dniu (…) pochodziły z zakończonego postępowania, rozstrzygniętego przez sąd powszechny (został wydany prawomocny wyrok sądowy), zatem nie było to postępowanie przygotowawcze, o którym mowa w ww. przepisie Prawa o prokuraturze.
Analizując natomiast drugą przesłankę wskazaną w art. 12 § 2 Prawa o prokuraturze, należy rozważyć co należy rozumieć przez pojęcie działalności prokuratury. W tym miejscu należy zatem zwrócić uwagę, że zgodnie z art. 2 Prawa o prokuraturze prokuratura wykonuje zadania w zakresie ścigania przestępstw oraz stoi na straży praworządności. Stosownie zaś do art. 3 § 1 ww. ustawy, obowiązki określone w art. 2 Prokurator Generalny, Prokurator Krajowy i pozostali zastępcy Prokuratora Generalnego oraz podlegli im prokuratorzy wykonują przez: 1) prowadzenie lub nadzorowanie postępowania przygotowawczego w sprawach karnych oraz sprawowanie funkcji oskarżyciela publicznego przed sądami; 2) wytaczanie powództw w sprawach cywilnych oraz składanie wniosków i udział w postępowaniu sądowym w sprawach cywilnych, z zakresu prawa pracy i ubezpieczeń społecznych, jeżeli tego wymaga ochrona praworządności, interesu społecznego, własności lub praw obywateli; 3) podejmowanie środków przewidzianych prawem, zmierzających do prawidłowego i jednolitego stosowania prawa w postępowaniu sądowym, administracyjnym, w sprawach o wykroczenia oraz w innych postępowaniach przewidzianych przez ustawę; 4) sprawowanie nadzoru nad wykonywaniem postanowień o tymczasowym aresztowaniu oraz innych decyzji o pozbawieniu wolności; 5) prowadzenie badań w zakresie problematyki przestępczości oraz jej zwalczania i zapobiegania oraz współpracę z podmiotami, o których mowa w art. 7 ust. 1 pkt 1, 2 i 4-8 ustawy z dnia 20 lipca 2018 r. Prawo o szkolnictwie wyższym i nauce (Dz. U. z 2023 r. poz. 742), w zakresie prowadzenia badań dotyczących problematyki przestępczości, jej zwalczania i zapobiegania oraz kontroli; 6) gromadzenie, przetwarzanie i analizowanie w systemach informatycznych danych, w tym danych osobowych, pochodzących z prowadzonych lub nadzorowanych na podstawie ustawy postępowań oraz z udziału w postępowaniu sądowym, administracyjnym, w sprawach o wykroczenia lub innych postępowaniach przewidzianych przez ustawę, przekazywanie danych i wyników analiz właściwym organom, w tym organom innego państwa, jeżeli przewiduje to ustawa lub umowa międzynarodowa ratyfikowana przez Rzeczpospolitą Polską; 7) zaskarżanie do sądu niezgodnych z prawem decyzji administracyjnych oraz udział w postępowaniu sądowym w sprawach zgodności z prawem takich decyzji; 8) koordynowanie działalności w zakresie ścigania przestępstw lub przestępstw skarbowych, prowadzonej przez inne organy państwowe; 9) współdziałanie z organami państwowymi, państwowymi jednostkami organizacyjnymi i organizacjami społecznymi w zapobieganiu przestępczości i innym naruszeniom prawa; 10) współpracę z Szefem Krajowego Centrum Informacji Kryminalnych w zakresie niezbędnym do realizacji jego zadań ustawowych; 11) współpracę i udział w działaniach podejmowanych przez organizacje międzynarodowe lub ponadnarodowe oraz zespoły międzynarodowe, działające na podstawie umów międzynarodowych, w tym umów konstytuujących organizacje międzynarodowe, ratyfikowanych przez Rzeczpospolitą Polską; 12) opiniowanie projektów aktów normatywnych; 13) współpracę z organizacjami zrzeszającymi prokuratorów lub pracowników prokuratury, w tym współfinansowanie wspólnych projektów badawczych lub szkoleniowych; 14) podejmowanie innych czynności określonych w ustawach.
W ocenie Prezesa UODO ujawnienie danych osobowych pokrzywdzonej, które nastąpiło (…), nie można uznać za informacje dotyczące działalności prokuratury w rozumieniu art. 2 lub art. 3 Prawa o prokuraturze. Realizacja tych zadań nie wymaga bowiem od Administratora publicznego ujawniania (np. podczas konferencji prasowych) danych osobowych stron postępowań zakończonych prawomocnym wyrokiem sądu powszechnego, w tym osób pokrzywdzonych. Co więcej, osoby, którym przyznany został status pokrzywdzonego, powinny być szczególnie chronione przez jednostki prokuratury.
Ponadto ww. przepis określa również kto może dokonać ujawnienia w tym trybie informacji. Stosownie do treści art. 12 § 2 Prawa o prokuraturze, to Prokurator Generalny oraz kierownicy jednostek organizacyjnych prokuratury mogą przekazać mediom osobiście, lub upoważnić w tym celu innego prokuratora do ujawnienia informacji z toczącego się postępowania przygotowawczego lub z zakresu działalności prokuratury. W tym miejscu podkreślenia wymaga, że Prezes UODO zwracał się do Administratora trzykrotnie o wskazanie, w jakiej roli i z czyjego upoważnienia prokurator Tomasz Szafrański występował podczas przedmiotowej konferencji prasowej.
Z otrzymanych przez Prezesa UODO odpowiedzi wynika, że informację w tym zakresie posiada „prokurator Dariusz Barski, były Prokurator Generalny (…) oraz były dyrektor Biura Prezydialnego Prokuratury Krajowej pan prokurator Tomasz Szafrański. Biuro Prezydialne w chwili obecnej nie może uzyskać informacji od żadnej z wyżej wymienionych osób” (pismo z 12 marca 2024 r.) lub „ustalenie kto udzielił upoważnienia prokuratorowi przekazującemu mediom informacje dotyczące sprawy sygn. akt: (…) Sądu Rejonowego (…) będzie ewentualnie możliwe nie wcześniej niż w drugiej połowie kwietnia br. (…)” (pismo z 11 kwietnia 2024 r.). W piśmie z 13 maja 2024 r. Administrator, powołując się na brak kompetencji Prezesa UODO w zakresie nadzoru nad prokuraturą, odmówił udzielenia odpowiedzi w tym zakresie.
W tym miejscu należy zwrócić uwagę na treść art. 12 § 5 Prawa o prokuraturze, zgodnie z którym do odpowiedzialności osób, o których mowa w § 1 i 2, stosuje się odpowiednio art. 119-121 ustawy z dnia 26 czerwca 1974 r. - Kodeks pracy (Dz. U. z 2023 r. poz. 1465 ze zm.), zwanej dalej "Kodeksem pracy". Zatem osoba, która dopuściła się wyrządzenia szkody osobie trzeciej może ponieść odpowiedzialność majątkową za wyrządzoną szkodę w wysokości nieprzewyższającej kwoty trzymiesięcznego wynagrodzenia przysługującego mu w dniu wyrządzenia szkody (art. 119 Kodeksu pracy). Podkreślenia jednak wymaga, że przedmiotowa decyzja związana jest z odpowiedzialnością o charakterze administracyjnym ponoszoną przez Administratora za naruszenie przepisów rozporządzenia 2016/679. Administrator ma natomiast możliwość zastosować środki prawne, które pozwalają mu na dochodzenie odpowiedzialności prawnej i finansowej – w szczególności w cywilnoprawnym postępowaniu regresowym, tudzież w drodze pociągnięcia osoby winnej naruszenia przepisów o ochronie danych osobowych do odpowiedzialności karnej za ich naruszenie. Prezes UODO stoi na stanowisku, że dla zapewnienia skutecznej ochrony danych osobowych konieczne są efektywne mechanizmy dochodzenia odpowiedzialności za ich naruszenie przez administratorów, w tym także w odniesieniu do pracowników administratora. Odpowiedzialność ta powinna być jednak dochodzona w odpowiednich procedurach, wskazanych wyżej.
Należy podkreślić, że art. 12 § 2 Prawa o prokuraturze nie może zostać uznany za podstawę prawną ujawnienia danych osobowych, tym bardziej, że Administrator na żadnym etapie postępowania prowadzonego przed Prezesem UODO nie wykazał ważnego interesu publicznego, który by uzasadniał ujawnienie danych osobowych osoby pokrzywdzonej. Podkreślić również należy, że ujawnienie danych osoby pokrzywdzonej nie miało żadnej wartości dodanej, było zbędne w kontekście celu, w jakim konferencja prasowa w dniu (…) została zwołana, co dodatkowo potwierdza, że odbyło się to bez podstawy prawnej, a efektem jest naruszenie praw lub wolności osoby, której dane dotyczą.
W tym miejscu podkreślenia wymaga, że Prokuratura Krajowa jako organ publiczny, organ ścigania, mający egzekwować przestrzeganie prawa, powinna w sposób niebudzący wątpliwości sama go przestrzegać, a zatem chronić też informacje na temat osoby fizycznej, której przyznano status osoby pokrzywdzonej w danej sprawie. (…) uzyskała w postępowaniu karnym status osoby pokrzywdzonej w rozumieniu art. 49 § 1 ustawy z dnia 6 czerwca 1997 r. Kodeks postępowania karnego (Dz. U. z 2024 r. poz. 37 ze zm.), tj. stwierdzone zostało bezpośrednio naruszenie lub zagrożenie przez przestępstwo jej dobra prawnego.
Analizując przedmiotowe ujawnienie danych osobowych, Prezes UODO rozważył także, czy nie stanowiły one informacji publicznej. Pokrzywdzona nie była jednak osobą pełniącą funkcję publiczną, lecz ofiarą przestępstwa (stwierdzonego prawomocnym wyrokiem sądowym).
Odnosząc się do stanowiska Prokuratury Krajowej wyrażonego w piśmie z 27 października 2023 r., w którym Administrator powołał się na decyzje Prezesa UODO z (…), sygn. (…), i z (…), sygn. (…), oraz wyrok WSA w Warszawie z 5 października 2020 r., sygn. akt II SA/Wa 2620/19, jako uzasadnienie dla uznania, że Prezes UODO nie jest organem nadzorczym właściwym do dokonania oceny przedmiotowego zdarzenia w kontekście naruszenia ochrony danych osobowych oraz przepisów o ochronie danych osobowych, wskazać należy, że organ nie podziela tego stanowiska. Wskazane przez Administratora decyzje oraz wyrok dotyczą bowiem postępowań prowadzonych w sprawach zainicjowanych wniesioną skargą, a nie postępowań prowadzonych z urzędu w związku z wystąpieniem naruszenia ochrony danych osobowych. Ponadto, kwestionowane ujawnienie danych nie jest związane ze zwalczaniem i zapobieganiem przestępczości, tak jak to miało miejsce w sprawach, w których wydane zostały ww. decyzje i wyrok, i oceniane jest, jak to już wyżej wykazano, w oparciu o przepisy rozporządzenia 2016/679, a nie uodo z 2018 r., a zatem nie może być mowy o braku kompetencji Prezesa UODO jako organu nadzorczego w tym zakresie.
Ustosunkowując się natomiast do argumentacji Administratora zawartej w piśmie z 13 maja 2024 r., w którym to powołał się on na trzy sprawy ((…)), przekazane przez Prezesa UODO według właściwości do organu nadzorczego wskazanego w art. 191a § 1 Prawa o prokuraturze, wskazać należy, że ww. sprawy dotyczyły naruszeń ochrony danych osobowych w jednostkach organizacyjnych prokuratury, podlegających zgłoszeniu i ocenie na podstawie przepisów uodo z 2018 r. W związku ze zmianą przepisów Prawa o prokuraturze, od dnia 14 grudnia 2023 r. Prezes UODO nie jest właściwym organem nadzorczym w przypadkach określonych w art. 191a Prawa o prokuraturze. Podkreślić jednak ponownie należy, że przedmiotowa sprawa nie dotyczy naruszenia przepisów ustawy z 2018 r., lecz przepisów rozporządzenia 2016/679. Oznacza to, że Prezes UODO zachowuje pełnię swoich kompetencji oceniając przedmiotową sprawę.
Odnosząc się do twierdzenia Administratora, zawartego w piśmie z 27 października 2023 r., w którym stwierdził, że cyt. „[d]ane te zostały już uprzednio upublicznione w ramach toczącego się w tej sprawie jawnego postępowania sądowego, zarówno w trakcie przeprowadzanych przez sąd czynności dowodowych, jak i publicznego ogłoszenia wyroku”, wskazać należy, iż jawność danych nie oznacza ich powszechnej dostępności. Jawność danych w określonym momencie (np. w czasie rozprawy, w czasie ogłaszania wyroku) dla określonego kręgu osób nie oznacza, że dane te mogą być ujawnione nieograniczonemu kręgowi osób, jak miało to miejsce podczas transmitowanej w telewizji i Internecie konferencji w dniu (…). Upublicznienie lub utrwalenie rozprawy (ogłoszenia wyroku) np. w formie nagrania rozprawy sądowej wymaga zgody sądu (por. art. 357 i art. 358 Kpk), a tym samym nie może być dobrowolności przedstawiciela organów ścigania w tym zakresie.
W związku z powyższym, ujawnienie danych osobowych osoby pokrzywdzonej podczas konferencji prasowej z (…) nastąpiło bez podstawy prawnej, a tym samym z naruszeniem art. 6 ust. 1 oraz art. 9 ust. 1 rozporządzenia 2016/679. W konsekwencji doszło do naruszenia zasady zgodności z prawem, rzetelności i przejrzystości [art. 5 ust. 1 lit. a) rozporządzenia 2016/679].
III.
Zgodnie z art. 33 ust. 1 rozporządzenia 2016/679 w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
Odnosząc się natomiast do praw lub wolności osób objętych naruszeniem, wskazać należy, że zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Zawiadomienie, o którym mowa w ust. 1 niniejszego artykułu, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d) (ust. 2).
Zgłaszanie naruszeń ochrony danych osobowych przez administratorów stanowi skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Zgłaszając naruszenie organowi nadzorczemu, administratorzy informują Prezesa UODO, czy w ich ocenie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą oraz – jeżeli takie ryzyko wystąpiło – czy przekazali stosowne informacje osobom fizycznym, na które naruszenie wywiera wpływ. W uzasadnionych przypadkach mogą również przekazać informacje, że powiadomienie w ich ocenie nie jest konieczne ze względu na spełnienie warunków określonych w art. 34 ust. 3 lit. a) – lit. c) rozporządzenia 2016/679. Prezes UODO dokonuje weryfikacji oceny dokonanej przez administratora i może – jeżeli administrator nie zawiadomił osób, których dane dotyczą – zażądać od niego takiego zawiadomienia. Zgłoszenia naruszenia ochrony danych osobowych pozwalają organowi nadzorczemu na właściwą reakcję mogącą ograniczyć skutki takich naruszeń, bowiem administrator ma obowiązek podjęcia skutecznych działań zapewniających ochronę osobom fizycznym i ich danych osobowych, które z jednej strony pozwolą na kontrolę skuteczności dotychczasowych rozwiązań, a z drugiej ocenę modyfikacji i usprawnień służących zapobieżeniu nieprawidłowościom analogicznym do objętych naruszeniem.
W ocenie Prezesa UODO przedmiotowe zdarzenie (dane osobowe osoby pokrzywdzonej, w tym szczególne kategorie jej danych osobowych, zostały ujawnione na forum publicznym podczas konferencji, w tym w telewizji i Internecie, a więc nieokreślonej dużej liczbie osób) stanowi naruszenie ochrony danych osobowych, powodujące powstanie wysokiego ryzyka naruszenia praw lub wolności osoby nim objętej. A to powoduje po stronie Administratora obowiązek realizacji dyspozycji art. 33 ust. 1 oraz 34 ust. 1 rozporządzenia 2016/679. Prokuratura Krajowa swoim działaniem naraziła bowiem osobę fizyczną, której dane zostały objęte naruszeniem ochrony danych osobowych, na naruszenie jej dóbr osobistych, a w konsekwencji na wtórną jej wiktymizację.
Ujawnione informacje na temat pokrzywdzonej powodują łatwość identyfikacji tej osoby. Imię i nazwisko oraz informacje dotyczące sprawy sądowej ((…)), dają nieograniczonemu kręgowi osób dostęp do jej danych osobowych dzięki temu, że konferencja ta była transmitowana w telewizji i ujawniona. A to powoduje, że osoby dysponujące dostępem do tych informacji oraz do Internetu mogą pozyskać znacznie szerszy zakres informacji o tej osobie. Zwiększa to prawdopodobieństwo jednoznacznego zidentyfikowania tej osoby, ale również zwiększa poziom możliwych do wystąpienia dla tej osoby konsekwencji (szkód majątkowych i niemajątkowych), a więc i wzrasta ryzyko zwiększenia wagi konsekwencji dla tej osoby. Warto w tym miejscu przywołać (…) że mogło już dojść do zmaterializowania się ryzyka naruszenia praw lub wolności tej osoby. (…) mogło zatem dojść do zmaterializowania się ryzyka, ale nie jest też wykluczone w przyszłości, że forma dalszego materializowania się tego ryzyka nie będzie jeszcze inna.
W przedmiotowej sprawie, co należy ponownie podkreślić, doszło do naruszenia ochrony danych osobowych jednej osoby, powodującego powstanie wysokiego ryzyka naruszenia jej praw lub wolności z uwagi na zakres naruszonych danych osobowych (dane szczególnej kategorii w postaci (…)), rodzaj oraz kontekst naruszenia – ujawnione bowiem zostały informacje na temat osoby fizycznej uznanej za osobę pokrzywdzoną w postępowaniu karnym, na którą napadnięto i której (…) został nagłośniony poprzez publiczne ujawnienie jej danych osobowych podczas konferencji z (…). Jak wskazują Wytyczne 9/2022[1], naruszenie ochrony danych osobowych może potencjalnie wywołać szereg negatywnych skutków dla osób fizycznych, których dane są przedmiotem tego naruszenia. Wśród możliwych skutków naruszenia EROD wymienia: uszczerbek fizyczny, szkody materialne lub niemajątkowe. Jako przykłady takich szkód wymienione są m.in.: dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, straty finansowe, naruszenie dobrego imienia, naruszenie poufności danych osobowych oraz znaczna szkoda gospodarcza lub społeczna. Nie ulega wątpliwości, że z uwagi na to, iż naruszeniem ochrony danych osobowych objęte zostały informacje (…) osoby pokrzywdzonej wraz z jej imieniem i nazwiskiem, to przede wszystkim zaistnieć mogą konsekwencje w postaci dyskryminacji czy naruszenia dobrego imienia osoby, której te dane dotyczą. Nie bez znaczenia dla takiej oceny jest również medialny kontekst naruszenia ochrony danych osobowych w związku z ich upublicznieniem podczas konferencji prasowej.
W tym miejscu podkreślenia wymaga, że Prezes UODO przed wszczęciem postępowania administracyjnego w pierwszej kolejności zwrócił się do Prokuratury Krajowej z zapytaniem (dwukrotnie) o przedmiotowe ujawnienie danych. W odpowiedzi uzyskał informację, że „(…) wobec braku stosownych podstaw zdarzenie opisane w zgłoszeniu nie było przedmiotem analizy administratora danych Prokuratury Krajowej, w kontekście, o jakim mowa w piśmie z 10 sierpnia 2023 r.”. Oznacza to, że Administrator nie dokonał żadnej analizy przedmiotowego ujawnienia danych pod kątem konieczności realizacji swoich obowiązków wynikających z art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679, pomimo zapytań organu o przedmiotowe zdarzenie. Nie ocenił zatem, czy zdarzenie stanowi naruszenie ochrony danych osobowych, ani czy powoduje ono powstanie wysokiego ryzyka naruszenia praw lub wolności osoby nim objętej, ani także czy podlega ono zgłoszeniu organowi nadzorczemu i czy osoba fizyczna powinna zostać o nim poinformowana. Takie działanie, w ocenie Prezesa UODO, stanowi o intencjonalnie lekceważącym podejściu Administratora do ochrony danych osobowych.
Należy również mieć na uwadze, że wykonanie przez Administratora jego obowiązku wynikającego z art. 33 ust. 1 oraz 34 ust. 1 rozporządzenia 2016/679 nie może być uzależniane od zmaterializowania się ryzyka wynikającego z naruszenia praw lub wolności osób fizycznych, których danych dotyczy naruszenie ochrony danych osobowych. Jak stwierdził WSA w Warszawie w wyroku z 22 września 2021 r. wydanym w sprawie o sygn. akt II SA/Wa 791/21: „[p]odkreślić należy, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować. W treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” (przy czym Sąd ten podobnie orzekł w wyroku z 1 lipca 2022 r. w sprawie o sygn. akt II SA/Wa 4143/21 oraz w wyrokach z 31 sierpnia 2022 r., sygn. akt II SA/Wa 2993/21, z 15 listopada 2022 r., sygn. akt II SA/Wa 546/22 i z 26 kwietnia 2023 r., sygn. akt II SA/Wa 1272/22).
W tym miejscu wskazać należy, że art. 34 ust. 1 i 2 rozporządzenia 2016/679 ma na celu nie tylko zapewnienie możliwie najskuteczniejszej ochrony podstawowych praw lub wolności podmiotów danych, ale także realizację zasady przejrzystości, która wynika z art. 5 ust. 1 lit. a) rozporządzenia 2016/679 (por. Chomiczewski Witold [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. red. E. Bielak-Jomaa, D. Lubasz, Warszawa 2018). Prawidłowe wykonanie obowiązku określonego w art. 34 rozporządzenia 2016/679 powinno zapewnić podmiotowi danych szybką i przejrzystą informację o naruszeniu ochrony jego danych osobowych wraz z opisem możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków, które może podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków.
Należy zatem zaznaczyć, że aby zachować dbałość o interesy osoby, której dane dotyczą, oraz postępując zgodnie z prawem, Administrator powinien był zapewnić tej osobie możliwość jak najlepszej, samodzielnej oceny naruszenia jej praw lub wolności w związku z zaistniałym zdarzeniem. Osiągnięcie tego celu wymaga od Administratora skierowania do osoby, której dane dotyczą, co najmniej informacji wymienionych w art. 34 ust. 2 rozporządzenia 2016/679 w formie umożliwiającej podmiotowi danych wielokrotne zapoznanie się z treścią skierowanego do niego zawiadomienia.
W konsekwencji należy stwierdzić, że Administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w wykonaniu obowiązku z art. 33 ust. 1 rozporządzenia 2016/679 oraz nie zawiadomił bez zbędnej zwłoki osoby, której dane dotyczą, o naruszeniu ochrony jej danych, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, co oznacza naruszenie przez Administratora tych przepisów.
Oceniając okoliczności przedmiotowego naruszenia ochrony danych osobowych należy podkreślić, że stosując rozporządzenie 2016/679 należy mieć na uwadze, iż jego celem (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych, oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów – nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy opracowywaniu technicznych i organizacyjnych środków bezpieczeństwa mających im zapobiegać – należy w pierwszej kolejności brać pod uwagę te wartości.
Zgodnie z art. 34 ust. 4 rozporządzenia 2016/679, jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3. Z kolei z treści art. 58 ust. 2 lit. e) rozporządzenia 2016/679 wynika, że każdemu organowi nadzorczemu przysługuje uprawnienie naprawcze w postaci nakazania administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych.
Biorąc pod uwagę powyższe ustalenia oraz stwierdzone naruszenia przepisów rozporządzenia 2016/679, Prezes UODO, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. i) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a)-h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 ust. 4 lit. a) i ust. 5 lit. a) rozporządzenia 2016/679, mając na względzie okoliczności ustalone w przedmiotowym postępowaniu stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Administratora administracyjnej kary pieniężnej.
Zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25-39 oraz 42 i 43 podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Natomiast z art. 102 ust. 1 pkt 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (zwanej dalej uodo), wynika, że Prezes UODO może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 000 złotych, na: jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1-12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, instytut badawczy lub Narodowy Bank Polski. Z ust. 3 tego artykułu wynika ponadto, że administracyjne kary pieniężne, o których mowa między innymi w ust. 1, Prezes UODO nakłada na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679.
W niniejszej sprawie administracyjna kara pieniężna na Administratora nałożona została za naruszenie art. 33 ust. 1 oraz art. 34 ust. 1 i 2 rozporządzenia 2016/679 na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a) rozporządzenia 2016/679, natomiast za naruszenie art. 5 ust. 1 lit. a), art. 6 ust. 1 oraz art. 9 ust. 1 rozporządzenia 2016/679 – na podstawie art. 83 ust. 5 lit. a) tego rozporządzenia.
Stosownie do treści art. 83 ust. 2 rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a) - h) oraz lit. j) rozporządzenia 2016/679. Decydując o nałożeniu na Administratora administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:
1. Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody [art. 83 ust. 2 lit. a rozporządzenia 2016/679].
Stwierdzone w niniejszej sprawie naruszenie przepisów rozporządzenia 2016/679 ma znaczną wagę i poważny charakter, ponieważ doszło do ujawnienia danych osobowych osoby pokrzywdzonej bez podstawy prawnej przez przedstawiciela Prokuratury Krajowej, a więc podmiotu, który powinien szczególnie dbać o dobro i bezpieczeństwo danych tych osób. Pociąga to za sobą nie tylko potencjalną, ale również realną możliwość wykorzystania tych danych przez podmioty trzecie bez wiedzy i zgody osoby, której dane dotyczą, a zatem wiąże się z ryzykiem wystąpienia szkody, w szczególności w postaci dyskryminacji, utraty dobrego imienia oraz utraty kontroli nad własnymi danymi. Warto w tym miejscu przytoczyć wyrok Sądu Okręgowego w Warszawie z 6 sierpnia 2020 r., sygn. akt: XXV C 2596/19, w którym sąd wskazał, że utrata bezpieczeństwa stanowi realną szkodę niemajątkową wiążącą się z obowiązkiem jej naprawienia.
W niniejszej sprawie zostały ujawnione bez podstawy prawnej dane osobowe osoby pokrzywdzonej (w tym jej szczególne kategorie danych) szerokiemu gronu odbiorców przez Prokuraturę Krajową, bowiem konferencja prasowa, w czasie której doszło do naruszenia ochrony danych osobowych, była transmitowana w mediach. (…) Oznacza to, że choć samo ujawnienie danych należy zakwalifikować jako jednorazowe (…).
Ponadto, zgłaszanie naruszeń ochrony danych osobowych przez administratorów danych stanowi skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Przede wszystkim na podstawie informacji przekazanych przez administratorów w zgłoszeniach naruszenia ochrony danych osobowych organ nadzorczy może dokonać oceny, czy administrator w sposób prawidłowy dokonał analizy wpływu naruszenia na prawa lub wolności osób, których dotyczą dane objęte naruszeniem, a w konsekwencji, czy występuje wysokie ryzyko naruszenia praw lub wolności osób fizycznych i zachodzi konieczność zawiadomienia tych osób o naruszeniu ich danych. Prawidłowo zrealizowane przez administratorów obowiązki określone w art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679 pozwalają także na ograniczenie negatywnych skutków naruszeń ochrony danych osobowych oraz wyeliminowanie bądź przynajmniej ograniczenie ryzyka wystąpienia tego typu naruszeń w przyszłości, gdyż administratorzy mają obowiązek podjęcia działań, które zapewnią właściwą ochronę danych osobowych poprzez zastosowanie odpowiednich środków bezpieczeństwa oraz kontrolę ich skuteczności. Dokonanie zgłoszenia naruszenia ochrony danych osobowych do organu nadzorczego daje mu możliwość odpowiedniej reakcji, pozwalającej na ograniczenie skutków tego naruszenia. Z kolei brak zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych może doprowadzić do szkód majątkowych lub niemajątkowych, a prawdopodobieństwo ich wystąpienia jest wysokie. Wskazuje na to jednoznacznie wyrok Sądu Okręgowego w Warszawie z 6 sierpnia 2020 r. sygn. akt XXV C 2596/19. Z kolei Trybunał Sprawiedliwości UE w orzeczeniu z 14 grudnia 2023 r. w/s Natsionalna agentsia za prihodite (C-340/21) podkreślił, że „[a]rt. 82 ust. 1 RODO należy interpretować w ten sposób, że obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić »szkodę niemajątkową« w rozumieniu tego przepisu”.
Za okoliczność obciążającą Prezes UODO uznaje długi czas trwania naruszenia. Od powzięcia przez Administratora informacji o naruszeniu ochrony danych osobowych (konferencja miała miejsce (…), pierwsze wezwanie Prezesa UODO (…)) dodnia wydania niniejszej decyzji upłynęło ponad (…), w trakcie których ryzyko naruszenia praw lub wolności osoby fizycznej (osoby o statusie osoby pokrzywdzonej przyznanym w postępowaniu karnym), w stosunku do której wystąpiło takie ryzyko na poziomie wysokim, mogło się zrealizować.
Przedmiotowe naruszenie ochrony danych osobowych dotyczyło jednej osoby fizycznej, będącej osobą pokrzywdzoną. Taką liczbę osób dotkniętych naruszeniem, szczególnie wobec faktu, że Prokuratura Krajowa przetwarza dane osobowe wielu osób, należy uznać za niewielką, lecz nie zmienia to jednak całościowej oceny, tj. uznania w analizowanej sprawie przesłanki z art. 83 ust. 2 lit. a) rozporządzenia 2016/679 za obciążającą.
2. Umyślny charakter naruszenia [art. 83 ust. 2 lit. b) rozporządzenia 2016/679].
Zgodnie z Wytycznymi Grupy Roboczej Art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 WP253 (przyjętymi 3 października 2017 r., zatwierdzonymi przez EROD 25 maja 2018 r.) umyślność „obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego”.
Prezes UODO stwierdził w niniejszej sprawie naruszenie przepisów rozporządzenia 2016/679, które odnosi się do podstaw prawnych przetwarzania danych osobowych oraz obowiązków notyfikacyjnych administratora względem organu nadzorczego i osoby, której dane dotyczą. W obu przypadkach, w ocenie Prezesa UODO, miało miejsce umyślne ich naruszenie. Taki wniosek organ przyjął po wnikliwej analizie nagrania z konferencji prasowej, podczas której prokurator omawiając daną sprawę ujawnił dane osobowe osoby pokrzywdzonej, ponieważ w sposób zbyt szeroki zrelacjonował sprawę. Umyślny charakter naruszenia polega m.in. na tym, że Administrator nie zadbał o środki techniczne i organizacyjne, które nie dopuściłyby do tak rażącego naruszenia praw lub wolności osoby pokrzywdzonej. W ocenie Prezesa UODO, ujawnienie to było świadomym zabiegiem, miało bowiem podkreślić nieprawidłowości, jakie pojawiły się w postępowaniu (krytyka pracy prokuratury prowadzącej sprawę oraz sądu, który wydał orzeczenie).
Ponadto, osoba pełniąca tak istotne stanowisko jak Dyrektor Biura Prezydialnego Prokuratury Krajowej powinna mieć świadomość swoich działań. Nie bez znaczenia dla przyjęcia charakteru naruszenia przepisów rozporządzenia 2016/679 jako umyślnego jest to, że Prokuratura Krajowa jest instytucją szczególną z uwagi na jej umiejscowienie w hierarchii jednostek prokuratury, jak również z uwagi na pełnioną przez nią rolę w procesie ścigania przestępstw i ich zapobieganiu. Jej zadaniem jest dbałość o przestrzeganie prawa, stanie na straży praworządności, respektowanie praw lub wolności osób, a pod szczególną ochroną powinny być osoby, którym przyznano status osób pokrzywdzonych z uwagi na ich rolę w procesie karnym. Nie bez znaczenia jest także ujawnienie szczególnych kategorii danych osoby pokrzywdzonej, które także powinny być pod ochroną, zgodnie dyspozycją art. 9 ust. 1 rozporządzenia 2016/679.
W odniesieniu zaś do braku realizacji obowiązków Administratora wynikających z art. 33 i art. 34 rozporządzenia 2016/679, Prezes UODO stwierdził, że stanowiło to umyślne działanie Administratora. Administrator podjął świadomą decyzję, aby nie zawiadamiać o naruszeniu ochrony danych osobowych Prezesa UODO, jak i osoby, której dane dotyczą. Zdarzenie to dotyczyło ujawnienia danych osobowych jednej osoby fizycznej (osoby, której w postępowaniu przyznano status osoby pokrzywdzonej) bez podstawy prawnej, wśród których znajdowały się m.in. szczególne kategorie danych. Będąc tego świadomym, Administrator podjął jednak decyzję o rezygnacji z dokonania zgłoszenia naruszenia Prezesowi UODO i zawiadomienia osoby, której dane dotyczą, pomimo faktu, że Prezes UODO w pierwszej kolejności poinformował Administratora o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych. W końcu samo wszczęcie przez Prezesa UODO niniejszego postępowania w przedmiocie obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu i zawiadomienia o naruszeniu osoby, której dane dotyczą, powinno nasunąć Administratorowi co najmniej wątpliwości co do słuszności przyjętego przez niego stanowiska.
3. Działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą [art. 83 ust. 2 lit. c) rozporządzenia 2016/679].
Administrator nie wykazał, aby podjął jakiekolwiek działania w celu zminimalizowania skutków naruszenia. Wręcz w toku postępowania zostało wskazane (w piśmie z 29 sierpnia 2023 r.), że „wobec braku stosownych podstaw zdarzenie opisane w zgłoszeniu nie było przedmiotem analizy administratora danych Prokuratury Krajowej (…)”. Nie zostały zatem podjęte przez Administratora żadne działania minimalizujące skutki dla osoby fizycznej, jak np. publiczne przyznanie się do błędu, pisemne przeprosiny, czy zaproponowanie zadośćuczynienia, co mogłoby złagodzić krzywdę osoby dotkniętej naruszeniem. Powyższe wskazania odnośnie do działań mających na celu usunięcie skutków naruszenia dóbr osobistych znajdują – w ocenie Prezesa UODO – zastosowanie również w odniesieniu do czynności możliwych do podjęcia celem naprawienia szkody niemajątkowej (krzywdy) wyrządzonej naruszeniem ochrony danych osobowych. Od podmiotu stojącego na straży praworządności, jakim jest Prokuratura Krajowa, uzasadnione jest oczekiwanie podjęcia stosownych działań w tym zakresie.
4. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków [art. 83 ust. 2 lit. f) rozporządzenia 2016/679].
W toku postępowania wyjaśniającego oraz w toku wszczętego postępowania administracyjnego Administrator udzielał na wezwania organu nadzorczego odpowiedzi. Jednakże fakt udzielania odpowiedzi na wezwania organu nie może być potraktowany przez Prezesa UODO jako przesłanka łagodząca, lecz jako wyraz realizacji obowiązków prawnych spoczywających na Administratorze. Ww. korespondencja pomiędzy organem a Administratorem nie przyczyniła się do usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków, bowiem Administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych, ani nie podjął działań w celu zawiadomienia osoby, której dane dotyczą, o tym naruszeniu. Dlatego też organ zdecydował o tym, że takie postępowanie Administratora stanowi przesłankę obciążającą (podwyższającą wysokość nałożonej administracyjnej kary pieniężnej).
5. Kategorie danych osobowych, których dotyczyło naruszenie [art. 83 ust. 2 lit. g) rozporządzenia 2016/679].
Dane osobowe osoby pokrzywdzonej ujawnione podczas konferencji w dniu (…) obejmują informacje (…), a zatem stanowią dane podlegające szczególnej ochronie na gruncie art. 9 ust. 1 rozporządzenia 2016/679. Nakłada to na administratorów tych danych obowiązek szczególnego traktowania tych informacji, także z uwagi na możliwe negatywne konsekwencje dla osób, których te dane dotyczą, w przypadku ich ujawnienia osobom nieuprawnionym, włącznie z ich dyskryminacją czy też utratą dobrego imienia.
W tym kontekście warto przywołać wytyczne EROD 04/2022, w których to wskazano: „Jeśli chodzi o wymóg uwzględnienia kategorii danych osobowych, których dotyczyło naruszenie (art. 83 ust 2 lit. g) [rozporządzenia 2016/679]), w [rozporządzeniu 2016/679] wyraźnie wskazano rodzaje danych, które podlegają szczególnej ochronie, a tym samym bardziej rygorystycznej reakcji przy nakładaniu kar pieniężnych. Dotyczy to co najmniej rodzajów danych objętych art. 9 i 10 [rozporządzenia 2016/679] oraz danych nieobjętych zakresem tych artykułów, których rozpowszechnianie natychmiast powoduje szkody lub dyskomfort osoby, której dane dotyczą (np. danych dotyczących lokalizacji, danych dotyczących komunikacji prywatnej, krajowych numerów identyfikacyjnych lub danych finansowych, takich jak zestawienia transakcji lub numery kart kredytowych). Ogólnie rzecz biorąc, im większej liczby takich kategorii danych dotyczy naruszenie lub im bardziej wrażliwe są dane, tym większą wagę organ nadzorczy może przypisać takiemu czynnikowi. Znaczenie ma również ilość danych dotyczących każdej osoby, której dane dotyczą, wzrasta skala naruszenia prawa do prywatności i ochrony danych osobowych”.
Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO nie znalazł podstaw do uwzględnienia okoliczności łagodzących, mających wpływ na ostateczny wymiar kary. Wszystkie przesłanki wymienione w art. 83 ust. 2 lit. a)-j) rozporządzenia 2016/679 w ocenie organu stanowią albo przesłanki obciążające albo jedynie neutralne. Również stosując przesłankę wymienioną w art. 83 ust. 2 lit. k) rozporządzenia 2016/679 (nakazującą wzięcie pod uwagę wszelkich innych obciążających lub łagodzących czynników mających zastosowanie do okoliczności sprawy) nie znaleziono żadnych okoliczności łagodzących, a jedynie neutralne (co zostało odnotowane poniżej w pkt 7).
Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
1. Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 [art. 83 ust. 2 lit. d) rozporządzenia 2016/679].
Naruszenie oceniane w niniejszym postępowaniu (niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych oraz niezawiadomienie o naruszeniu ochrony danych osobowych osób, których dane dotyczą oraz naruszenia przepisów art. 5 ust. 1 lit. a), art. 6 ust. 1 i art. 9 ust. 1 rozporządzenia 2016/679 nie ma związku ze stosowanymi przez Administratora środkami technicznymi i organizacyjnymi.
2. Stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 ze strony administratora [art. 83 ust. 2 lit. e) rozporządzenia 2016/679].
Prezes UODO nie stwierdził jakichkolwiek, dokonanych przez Administratora, wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. A ponieważ taki stan (przestrzeganie przepisów o ochronie danych osobowych) jest stanem naturalnym, wynikającym z ciążących na Administratorze obowiązków prawnych, nie może mieć on również wpływu łagodzącego na dokonaną przez Prezesa UODO ocenę naruszenia.
3. Sposób w jaki organ nadzorczy dowiedział się o naruszeniu [art. 83 ust. 2 lit. h) rozporządzenia 2016/679].
O zaistnieniu naruszenia ochrony danych osobowych, tj. ujawnieniu danych osobowych osoby pokrzywdzonej podczas konferencji prasowej, Prezes UODO został poinformowany przez osobę trzecią, jak również z samej konferencji prasowej, a nie przez Administratora. Brak zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych oraz zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych (a więc naruszenie przepisów art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679) jest jednak przedmiotem niniejszej decyzji i w okolicznościach rozważanego stanu faktycznego organ przyjął, że przesłanki tej nie potraktuje jako okoliczności obciążającej.
4. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 [art. 83 ust. 2 lit. i) rozporządzenia 2016/679].
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował w wobec Administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
5. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 [art. 83 ust 2 lit. j) rozporządzenia 2016/679].
Administrator nie stosuje instrumentów, o których mowa w art. 40 i art. 42 rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów i podmiotów przetwarzających, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na korzyść Administratora natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.
6. Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty [art. 83 ust. 2 lit. k) rozporządzenia 2016/679].
Prezes UODO nie stwierdził, żeby Administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Administratora. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez Administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla Administratora. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.
7. Inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy [art. 83 ust. 2 lit. k) rozporządzenia 2016/679].
Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.
Uwzględniając wszystkie omówione wyżej okoliczności, Prezes Urzędu Ochrony Danych Osobowych, uznał, że nałożenie administracyjnej kary pieniężnej na Prokuraturę Krajową jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych Administratorowi naruszeń przepisów rozporządzenia 2016/679. Stwierdzić należy, że zastosowanie wobec Administratora jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b) rozporządzenia 2016/679), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że Administrator w przyszłości nie dopuści się kolejnych zaniedbań.
Odnosząc się do wysokości wymierzonej Administratorowi administracyjnej kary pieniężnej, wskazać należy, że – wobec faktu, iż Administrator jest jednostką sektora finansów publicznych, o której mowa w art. 9 pkt 1) ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2023 r., poz. 1270 ze zm.) – zastosowanie znajdzie art. 102 ust. 1 pkt 1 ustawy o ochronie danych osobowych, z którego wynika ograniczenie wysokości (do 100.000 zł) administracyjnej kary pieniężnej, jaka może zostać nałożona na jednostkę sektora finansów publicznych.
Uzasadniając fakt nałożenia na Administratora administracyjnej kary pieniężnej w wysokości 85 000 zł, wskazać należy, że w ocenie Prezesa UODO kara w niższej wysokości nie spełniłaby swojej funkcji odstraszającej, o której m.in. wprost jest mowa w art. 83 ust. 1 rozporządzenia 2016/670; nie zdyscyplinowałaby też Administratora do prawidłowej współpracy z Prezesem UODO w przyszłości (a jak wskazano niżej kara nałożona w tej konkretnej sprawie ma też charakter dyscyplinujący i prewencyjny).
W ocenie Prezesa UODO, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. będzie w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.
Zdaniem Prezesa UODO nałożona na Prokuraturę Krajową administracyjna kara pieniężna będzie skuteczna, albowiem doprowadzi do stanu, w którym Administrator będzie prawidłowo chronił dane osobowe przed ich ujawnianiem bez podstawy prawnej. Skuteczność tej kary równoważna jest zatem gwarancji tego, że Prokuratura Krajowa od momentu zakończenia niniejszego postępowania będzie ze starannością podchodzić do wymogów stawianych przez przepisy o ochronie danych osobowych. Ponadto przedmiotowa kara powinna również sprawić, że Administrator danych, w przypadku wystąpienia innego naruszenia ochrony danych osobowych, będzie potrafił je prawidłowo ocenić, jak również zrealizować obowiązki na nim spoczywające (art. 33 i 34 rozporządzenia 2016/679).
Zastosowana administracyjna kara pieniężna jest również proporcjonalna do stwierdzonego naruszenia przepisów rozporządzenia 2016/679, w tym zwłaszcza jego wagi, negatywnego skutku dla osoby dotkniętej naruszeniem ochrony danych osobowych oraz wysokiego ryzyka negatywnych konsekwencji, jakie może ona ponieść. Zdaniem Prezesa UODO, nałożona na Administratora administracyjna kara pieniężna nie stanowi dla niego nadmiernego obciążenia, wobec ustawowego ograniczenia jej wysokości w przypadku jednostek sektora finansów publicznych. W szczególności jej zapłata nie wpłynie na zdolność Prokuratury Krajowej do wywiązywania się przez nią z jej ustawowych zadań. Zdaniem Prezesa UODO, Administrator powinien i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, stąd nałożenie administracyjnej kary pieniężnej w wysokości 85 000 złotych (słownie: osiemdziesięciu pięciu tysięcy złotych) jest w pełni uzasadnione.
W ocenie Prezesa UODO, administracyjna kara pieniężna spełni w tych konkretnych okolicznościach funkcję edukacyjną, ale również i prewencyjną; w ocenie Prezesa UODO wskaże bowiem zarówno Prokuraturze Krajowej, jak i innym administratorom danych, na naganność lekceważenia obowiązków administratorów związanych z zaistnieniem naruszenia ochrony danych osobowych, jak również na odpowiedzialność organów władzy państwowej za bezprawne działania podejmowane przez nie z wykorzystaniem swojej władzy oraz możliwości, które ta władza daje.
Zatem zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad rozporządzenia 2016/679 – zwłaszcza zasady zgodności z prawem, rzetelności i przejrzystości wyrażonej w art. 5 ust. 1 lit. a) rozporządzenia 2016/679.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
[1] Wytyczne Europejskiej Rady Ochrony Danych (EROD) nr 9/2022, przyjęte 28 marca 2023 r. w sprawie zgłaszania naruszeń ochrony danych osobowych zgodnie z RODO; dostępne: https://uodo.gov.pl/pl/537/2902.