PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH Warszawa, dnia 18 października 2023 r.

Decyzja

DKN.5131.55.2022

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023 r., poz. 775, ze zm.), art. 7 ust. 1 oraz art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), a także art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. i), art. 83 ust. 1 i 2, art. 83 ust. 4 lit. a) w związku z art. 33 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str.2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej „rozporządzeniem 2016/679”, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez Link4 Towarzystwo Ubezpieczeń S.A. z siedzibą wWarszawie (ul. Postępu 15, 02-676 Warszawa), Prezes Urzędu Ochrony Danych Osobowych,

stwierdzając naruszenie przez Link4 Towarzystwo Ubezpieczeń S.A. z siedzibą w Warszawie (ul. Postępu 15, 02-676 Warszawa) przepisu art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, nakłada na Link4 Towarzystwo Ubezpieczeń S.A. z siedzibą w Warszawie (ul. Postępu 15, 02-676 Warszawa) administracyjną karę pieniężną w wysokości 103.752,- PLN (słownie: sto trzy tysiące siedemset pięćdziesiąt dwa złote).

Uzasadnienie

Do Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej również „Prezesem UODO” lub „organem nadzorczym”, dnia 28 kwietnia 2022 r. wpłynęła od osoby trzeciej informacja wskazująca na udostępnienie jej - jako osobie nieuprawnionej - potwierdzenia przyznania odszkodowania z dnia 19 maja 2021 r., które ujawniało dane osobowe w postaci: imienia, nazwiska, adresu do korespondencji osoby wskazanej w tym zawiadomieniu, zwanej dalej: „Podmiotem Danych”, przez Link4 Towarzystwo Ubezpieczeń S.A. z siedzibą w Warszawie (ul. Postępu 15, 02-676 Warszawa), zwaną dalej „Administratorem” lub „Spółką”. W dokumencie tym, przesłanym do nieuprawnionego odbiorcy w dniu 28 października 2021 r. jako załącznik do wiadomości e-mail, znajdowały się również dane dotyczące marki i modelu samochodu, którego dotyczyła zaistniała szkoda, jego numeru rejestracyjnego, a ponadto wskazano w nim: numer polisy, numer szkody oraz jej wartość, a także kwotę uznanego roszczenia. Osoba trzecia, która stała się nieuprawnionym odbiorcą ww. dokumentu, wyjaśniła, że przekazała Administratorowi informację o fakcie otrzymania przez nią dokumentu zawierającego cudze dane, lecz jak wskazała - nie dostała odpowiedzi.

W związku z powyższym, pismem z 29 kwietnia 2022 r. Prezes UODO, na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679, zwrócił się do Administratora m.in. o wyjaśnienie, czy wiedział o zaistnieniu ww. zdarzenia, a także czy w związku z ww. sytuacją dokonana została analiza zdarzenia pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie. W piśmie tym zawarto również m.in. informacje o treści art. 33 ust. 1 i 3 rozporządzenia 2016/679 oraz o możliwych sposobach dokonania zgłoszenia naruszenia ochrony danych osobowych.

Z odpowiedzi, której Administrator udzielił pismem z dnia 11 maja 2022 r., wynika, że wiedział on o zaistnieniu przedmiotowego zdarzenia i odnotował je w odpowiednim rejestrze. Wyjaśnił również, że: „W wyniku błędu ludzkiego, w toku prowadzonego procesu likwidacji szkody, dokument potwierdzenia przyznania odszkodowania Klientowi LINK4 został omyłkowo załączony do korespondencji. W wyniku wyżej wskazanej pomyłki, dokument trafił do Klienta (Poszkodowanego) oraz do likwidatora szkody. Błąd został niezwłocznie skorygowany i przesłano właściwy dokument”. Nadto, Spółka wskazała, że przeprowadziła analizę ryzyka wiążącego się z zaistniałym zdarzeniem, a także że: „Wykonując podobne analizy Spółka opiera się na rekomendowanej na stronie internetowej Urzędu Ochrony Danych Osobowych metodologii ENISA, badając w szczególności zakres i kontekst przetwarzania danych, łatwość identyfikacji osoby, której dane dotyczą oraz okoliczności naruszenia, mające dodatkowy wpływ na powagę (dotkliwość) naruszenia. Pod uwagę był brany również fakt, że osoba która otrzymała nieadresowaną do siebie korespondencję poinformowała o tym fakcie administratora. Przy wykonaniu analizy, Spółka posiłkowo posługiwała się udostępnionym na stronie (…) darmowym narzędziem do oceny wagi naruszenia opartym o wskazaną wyżej metodologię ENISA”. Wynik analizy wykonanej z użyciem tego narzędzia został Prezesowi UODO udostępniony jako załącznik do pisma Administratora. Administrator wyjaśnił dalej, że: „Uzyskany w przedmiotowym przypadku wynik wskazujący niskie ryzyko dla praw i wolności osoby, której dane dotyczą został następnie standardowo poddany weryfikacji w zespole Inspektora Ochrony Danych LINK4. Wobec wyniku przeprowadzonej i zweryfikowanej analizy, administrator zdecydował o odnotowaniu incydentu, a z uwagi na stwierdzone niskie ryzyko dla praw i wolności osoby, której dane dotyczą nie zakwalifikował zdarzenia jako naruszenia wymagającego powiadomienia Prezesa UODO oraz indywidualnego zawiadomienia osoby, której dane dotyczą”.

Wobec braku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, w dniu 24 listopada 2022 r. Prezes UODO wszczął z urzędu wobec Spółki postępowanie administracyjne w tym przedmiocie (sygn. pisma: DKN.5131.55.2022).

W odpowiedzi na powyższe, Administrator opisał (pismem z dnia 5 grudnia 2022 r.) w jaki sposób dokonał oceny ryzyka wiążącego się z zaistniałym naruszeniem ochrony danych osobowych. Jak oświadczył, kierował się przy tym zaleceniami dotyczącymi metod oceny wagi naruszeń ochrony danych osobowych zgodnymi z metodologią Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA) oraz motywem 76 rozporządzenia 2016/679 nakazującym uwzględnić powagę zdarzenia, tj. wielkość szkody, jaką zdarzenie może spowodować w odniesieniu do osoby, której dane dotyczą oraz prawdopodobieństwo wystąpienia zdarzenia będącego skutkiem naruszenia. Zaznaczył, że dokonując ww. oceny wziął pod uwagę nie tylko okoliczności faktyczne, ale również potencjalne negatywne skutki i prawdopodobieństwo ich zmaterializowania się. Administrator oświadczył też, że w ocenie przedmiotowego zdarzenia posługiwał się również pomocniczo kalkulatorem oceny wagi naruszenia, której wynik został dołączony do wcześniejszej korespondencji. Przebieg dokonanej przez Spółkę analizy ww. ryzyka zostanie przytoczony w dalszej części uzasadnienia niniejszej decyzji celem uniknięcia zbędnych powtórzeń. Należy w tym miejscu jedynie wskazać, że Spółka, podsumowując obszerną argumentację, oświadczyła, że: „W przedmiotowym przypadku - zgodnie z opisanym wyżej stanem faktycznym i przeprowadzoną analizą ryzyka - ocena ryzyka jako niskiego pozwoliła na niezgłaszanie naruszenia, ponieważ zakres danych jednoznacznie wskazywał na brak możliwości wystąpienia rzeczywistych negatywnych konsekwencji dla osoby, której dane dotyczą. Również szeroko rozpatrywane okoliczności naruszenia w żaden sposób nie skłoniły administratora do podwyższenia poziomu naruszenia do wymagającego zgłoszenia. Tym samym uznając ryzyko za niskie i nie widząc uzasadnienia do podwyższenia tego poziomu, administrator poprzestał na odnotowaniu zdarzenia w rejestrze incydentów”.

Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

Zgodnie z art. 4 pkt 12 rozporządzenia 2016/679 „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Art. 33 ust. 1 i 3 rozporządzenia 2016/679 stanowi, że w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu właściwemu zgodnie zart. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgłoszenie, o którym mowa w ust. 1 musi, co najmniej: a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Rozpoczynając analizę przedmiotowej sprawy, należy wskazać, że Prezes UODO w publikacji pt. „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych” (udostępnionej na stronie: https://archiwum.uodo.gov.pl/pl/134/1029) wyjaśnia: „W zależności, z jakim poziomem ryzyka naruszenia praw i wolności osób fizycznych administrator ma do czynienia, inaczej kształtują się jego obowiązki w stosunku do organu nadzorczego, a także osób, których dane dotyczą. Jeżeli w wyniku analizy administrator stwierdził, że prawdopodobieństwo zaistnienia ryzyka naruszenia praw i wolności osób fizycznych jest małe, nie jest on zobligowany do zgłoszenia naruszenia Prezesowi Urzędu Ochrony Danych Osobowych. Wskazane naruszenie musi jedynie wpisać do wewnętrznej ewidencji naruszeń. W przypadku stwierdzenia ryzyka naruszenia praw i wolności osób fizycznych, obowiązkiem administratora jest zgłoszenie naruszenia ochrony danych Prezesowi UODO, jak również umieszczenie wpisu w wewnętrznej ewidencji naruszeń”.

Jak wynika z powyższego, w przypadku wykrycia przez administratora naruszenia ochrony danych osobowych, w pierwszej kolejności konieczne jest dokonanie analizy pod kątem wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. Administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu, jeśli w wyniku przeprowadzonego badania okaże się, że istnieje co najwyżej małe prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. Należy jednak mieć na względzie fakt, iż organ nadzorczy będzie mógł zwrócić się do administratora o uzasadnienie decyzji o niezgłaszaniu naruszenia, w związku z tym wnioski z przeprowadzonej analizy należy odnotować w wewnętrznej ewidencji naruszeń. Warto przy tym przypomnieć, że w Wytycznych WP250[1] oraz w Wytycznych 9/2022[2], znajdują się rekomendacje odpowiednio: Grupy Roboczej Art. 29 oraz Europejskiej Rady Ochrony Danych (dalej: „EROD”) dotyczące wymogu zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu.

Należy podkreślić, że oceny ryzyka naruszenia praw lub wolności osoby fizycznej powinno się dokonać przez pryzmat osoby, której dane dotyczą, a nie interesów administratora. Brak zgłoszenia naruszenia ochrony danych osobowych pozbawia organ nadzorczy możliwości odpowiedniej reakcji na naruszenie ochrony danych osobowych, która przejawia się nie tylko w ocenie ryzyka naruszenia dla praw lub wolności osoby fizycznej, ale również w szczególności na weryfikacji, czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą, jak również, czy zastosował odpowiednie środki bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia. W analizowanym stanie faktycznym zgłoszenie przez Spółkę naruszenia ochrony danych osobowych Podmiotu Danych wraz ze wskazaniem okoliczności jego zaistnienia - w sytuacji konieczności wskazania przy tym środków, które pozwoliłyby zminimalizować ryzyko wystąpienia podobnych naruszeń w przyszłości - mogłoby ją skłonić do refleksji dotyczącej np. konieczności zabezpieczania danych przesyłanych w formie wiadomości e-mail (przykładowo poprzez ustawianie hasła dla przesyłanych plików, udostępnianego innym kanałem komunikacji).

Zgłaszanie naruszeń ochrony danych osobowych przez administratorów stanowi zatem skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Zgłaszając naruszenie organowi nadzorczemu, administratorzy informują Prezesa UODO, czy w ich ocenie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą oraz - jeśli takie ryzyko wystąpiło - to czy przekazali stosowne informacje osobom fizycznym, na które naruszenie wywiera wpływ. Prezes UODO dokonuje weryfikacji oceny dokonanej przez administratora i może - jeżeli administrator nie zawiadomił osób, których dane dotyczą - zażądać od niego takiego zawiadomienia. Zgłoszenia naruszenia ochrony danych osobowych pozwalają organowi nadzorczemu na właściwą reakcję mogącą ograniczyć skutki takich naruszeń, bowiem administrator ma obowiązek podjęcia skutecznych działań zapewniających ochronę osobom fizycznym i ich danym osobowym, które z jednej strony pozwolą na kontrolę skuteczności dotychczasowych rozwiązań, a z drugiej ocenę modyfikacji i usprawnień służących zapobieżeniu nieprawidłowościom analogicznym do objętych naruszeniem.

Sama ocena naruszenia przeprowadzona przez administratora pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do stwierdzenia, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO (art. 33 ust. 1 i 3 rozporządzenia 2016/679) oraz osób, których dotyczy naruszenie (art. 34 ust. 1 i 2 rozporządzenia 2016/679), powinna być, jak należy raz jeszcze podkreślić, dokonana przez pryzmat osoby dotkniętej naruszeniem.

W piśmie z dnia 5 grudnia 2022 r. Spółka dokładnie opisała przebieg analizy ryzyka naruszenia praw lub wolności osoby fizycznej, której dane znalazły się w załączniku do wiadomości e-mail przesłanej do nieuprawnionego odbiorcy (oraz likwidatora szkody). Odwołując się do metodologii ENISA Spółka jako główne kryteria oceny przyjęła trzy elementy: kontekst przetwarzania danych, łatwość identyfikacji osoby, której dane dotyczą, a także okoliczności naruszenia mające dodatkowy wpływ na powagę/dotkliwość naruszenia.

Oceniając kontekst przetwarzania danych Spółka zaznaczyła, że w analizowanym przypadku udostępniony osobie trzeciej dokument zawierał dane podstawowe osoby fizycznej takie jak: imię, nazwisko, adres korespondencyjny, a także informacje dotyczące szkody, takie jak: koszt naprawy i kwota odszkodowania, informacje o pojeździe poszkodowanego (marka, model, numer rejestracyjny) oraz informacje o numerze polisy i numerze szkody. Jak podkreśliła Spółka, wśród przekazanych danych nie znalazły się jakiekolwiek dane szczególnych kategorii ani też dane dotyczące zachowania lub preferencji - były to dane zwykłe, w stosunkowo wąskim zakresie, umiejscowione w wyraźnym kontekście potwierdzenia przyznania odszkodowania w kwocie(...) złotych. Wobec powyższego, Spółka oświadczyła, że poza imieniem i nazwiskiem oraz adresem korespondencyjnym osoby, której dane dotyczą, osoba trzecia pozyskała jedynie informacje o tym, że na pojeździe innej osoby wystąpiła szkoda określonej wartości i że z jej tytułu osoba ta otrzyma odszkodowanie we wskazanej wyżej, obiektywnie niewielkiej kwocie. Mając to na względzie, administrator oceniając ryzyko uznał, że nie ma do czynienia z danymi finansowymi. W ocenie administratora informacja o przyznaniu odszkodowania we wskazanej wysokości nie pozwala w praktyce na wyprowadzenie jakichkolwiek konkretnych wniosków o stanie finansowym osoby, której dane dotyczą. Zdaniem Administratora nie sposób też w przedmiotowym przypadku wskazać ryzyka związanego z uzyskaniem kredytów na szkodę osoby, której dane dotyczą, uzyskaniem dostępu do danych szczególnej kategorii czy korzystaniem z praw obywatelskich osoby fizycznej - podobnie zakres danych zawartych w udostępnionym dokumencie nie pozwala na dokonywanie wyłudzeń, zawieranie umów cywilnoprawnych na niekorzyść osoby fizycznej czy też posługiwanie się danymi osoby fizycznej do fałszerstw. Spółka uznała, że nie jest możliwe również wykazanie, że skutkiem badanego zdarzenia mogłoby być naruszenie dobrego imienia osoby, której dane dotyczą. Z uwagi na poczynione powyższe ustalenia Administrator przyznał wartość 1 dla kontekstu przetwarzania danych (w czterostopniowej skali, w której dane podstawowe odpowiadają cyfrze 1, dane dotyczące zachowań osoby: cyfrze 2, dane finansowe: cyfrze 3, a dane szczególne: cyfrze 4).

Oceniając łatwość identyfikacji, Spółka uznała, że ujawnione dane osobowe nie były przed naruszeniem ogólnodostępne, a zakres danych pozwalających na identyfikację był stosunkowo wąski. Zaznaczyła też, że samo imię i nazwisko oraz adres korespondencyjny umożliwiają oczywiście zidentyfikowanie osoby fizycznej, chociaż wymaga to dalszych działań z inicjatywy osoby, która otrzymała dane. Ostatecznie Administrator, przyjmując jednak perspektywę osoby, której dane dotyczą i możliwości jakie stwarzają np. media społecznościowe, uznał możliwość identyfikacji osoby fizycznej za wysoką i przyznał w tym aspekcie wartość: 1 (najwyższą w skali).

Omawiając w piśmie z dnia 5 grudnia 2022 r. ostatni z aspektów oceny według metodologii ENISA, to jest okoliczności naruszenia mające dodatkowy wpływ na powagę/dotkliwość naruszenia, Spółka zaznaczyła, że same w sobie również nie zwiększają one ryzyka naruszenia praw i wolności, mając na względzie, że osoba, która otrzymała dane poszkodowanego jest poszkodowanym w innej sprawie, pozostającej bez związku z osobą, której dane dotyczą. Administrator wskazał, że w przypadku, gdyby doszło do ujawnienia danych innemu uczestnikowi tej samej szkody, co mogłoby skutkować negatywnymi konsekwencjami (np. ujawnienie danych sprawcy poszkodowanemu lub danych poszkodowanego sprawcy), wziąłby pod uwagę tę okoliczność i podniósłby ocenę ryzyka dla praw i wolności osoby, której dane dotyczą. Administrator zaznaczył, że dane osoby fizycznej trafiły do znanego mu, wąskiego grona odbiorców (poszkodowany w innej sprawie i likwidator szkody) - tożsamość odbiorców jest zatem znana, a okoliczności sprawy nie wskazują, aby odbiorcom mogły przyświecać jakiekolwiek złe intencje związane z wykorzystaniem danych osoby fizycznej, której dane objęte zostały naruszeniem. Ze względu na naruszenie poufności danych - jak wskazał Administrator - „o niewielkiej wadze” przy ocenie tego aspektu przyznano wartość 0,5.

Po podstawieniu określonych przez Administratora wartości do wzoru, uzyskano wynik 1,5, co kwalifikuje przedmiotowe naruszenie ochrony danych osobowych jako związane z niskim ryzykiem naruszenia praw lub wolności osoby fizycznej, której dane zostały udostępnione nieuprawnionej osobie - niekwalifikujące się do zgłoszenia organowi nadzorczemu.

Administrator przytoczył przy tym wynik analizy dokonanej przy pomocy narzędzia udostępnionego przez portal (…) opartego również na metodologii ENISA, przy czym zaznaczył, że w tym przypadku uzyskał wynik 1,75 przy „ostrożnym i uwzględniającym maksymalnie zawyżone kryteria oceny ryzyka podejściu”. Dokonując oceny przy pomocy tego narzędzia przyjęto, że analizowane naruszenie dotyczyło danych finansowych - Administrator zaznaczył przy tym, że „(…) wiedza o niewielkiej kwocie przyznanego odszkodowania nie pozwala na wyciągnięcie wniosków o sytuacji finansowej osoby, której dane dotyczą, jak również jej ujawnienie nie rodzi ryzyka straty finansowej czy jakichkolwiek nadużyć finansowych na niekorzyść osoby fizycznej”.

Podsumowując Administrator wskazał, że „W sytuacji gdy uzasadnione jest to zakresem danych (np. ujawnienie numeru PESEL lub informacji o zadłużeniu) bądź kontekstem (np. ujawnienie danych osobowych poszkodowanego w zdarzeniu drogowym sprawcy tego zdarzenia) ryzyko jest uznawane za de facto wyższe niż wskazuje jego kalkulacja według metodologii ENISA. W takich jednostkowych przypadkach, w ocenie administratora należy zgłosić naruszenie pomimo, że ocena ryzyka przeprowadzona zgodnie z rekomendowaną przez UODO metodologią wskazuje na poziom niski. Podchodząc do takich przypadków ze szczególną rozwagą, administrator kieruje się dobrem osoby, której dane dotyczą. Administrator zgłasza więc niektóre naruszenia, nawet przy ocenieniu ryzyka jako niskie, jeżeli ujawnienie danych - ze względu na ich charakter, wrażliwość i ilość - może wyrządzić szkodę osobie, której dane dotyczą lub gdy administrator ma jakiekolwiek wątpliwości co do prawdopodobieństwa zmaterializowania się ryzyka dla praw i wolności osób fizycznych. Decydując o konieczności zgłoszenia lub jego braku, administrator ocenia zatem przede wszystkim czy naruszenie może skutkować wysokim ryzykiem naruszenia praw lub wolności. Nawet w przypadku stwierdzenia, że takie ryzyko jest niskie, analizowane są dogłębnie okoliczności związane z zakresem danych osobowych (kontekst przetwarzania), łatwością identyfikacji osoby fizycznej oraz wszelkimi innymi okoliczności naruszenia. Podczas oceny ryzyka dla praw i wolności osoby, której dane dotyczą przyjmowana jest perspektywa osób, których dane są przetwarzane i zostały objęte naruszeniem. Dlatego też administrator, mimo niskiej oceny ryzyka dla praw i wolności zgłasza do Prezesa UODO naruszenia dotyczące udostępnienia dokumentacji zawierającej numer PESEL lub informacje o zadłużeniu, nawet przy wąskim całościowym zakresie danych osobowych. Wiąże się to nie tylko z uwzględnieniem zaleceń organu nadzoru, ale również z przyjęciem perspektywy osoby, której dane dotyczą, a u której mogą powstać obawy o zagrażające jej wykorzystanie danych osobowych. W przedmiotowym przypadku - zgodnie z opisanym wyżej stanem faktycznym i przeprowadzoną analizą ryzyka - ocena ryzyka jako niskiego pozwoliła na niezgłaszanie naruszenia, ponieważ zakres danych jednoznacznie wskazywał na brak możliwości wystąpienia rzeczywistych negatywnych konsekwencji dla osoby, której dane dotyczą. Również szeroko rozpatrywane okoliczności naruszenia w żaden sposób nie skłoniły administratora do podwyższenia poziomu naruszenia do wymagającego zgłoszenia. Tym samym uznając ryzyko za niskie i nie widząc uzasadnienia do podwyższenia tego poziomu, administrator poprzestał na odnotowaniu zdarzenia w rejestrze incydentów”.

W przedmiotowym piśmie Spółki z dnia 5 grudnia 2022 r. wniesiono również (cyt.: „w razie potrzeby, w celu bezpośredniego wyjaśnienia powyższego w zw. z art. 75 Kpa”) o przesłuchanie świadka tj. Pana (...) - Inspektora Ochrony Danych Spółki, jednak organ nadzorczy uznał, że ze względu na obszerność i wyczerpujący charakter wyjaśnień dotyczących okoliczności opisanych przez Spółkę w piśmie z dnia 5 grudnia 2022 r. nie zachodzi taka potrzeba.

Poddając ocenie stanowisko Spółki, należy najpierw zaznaczyć, że pomiędzy sytuacjami, w których istnieje małe prawdopodobieństwo by naruszenie ochrony danych osobowych skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych (co zwykle uzasadnia brak obowiązku informacyjnego z art. 33 ust. 1 rozporządzenia 2016/679) a sytuacjami, gdy istnieje wysokie ryzyko naruszenia praw lub wolności osób fizycznych (gdy - poza obowiązkiem z art. 33 ust. 1 rozporządzenia 2016/679 - najczęściej pojawia się dodatkowy obowiązek z art. 34 ust. 1 tego rozporządzenia), pozostają przypadki „pośrednie”, których istnienia nie sposób pominąć. W takich przypadkach (jak wskazano na stronie 4 niniejszej Decyzji) samo odnotowanie naruszenia w ewidencji naruszeń administratora pozostaje zwykle niewystarczające.

Art. 33 ust. 1 rozporządzenia 2016/679 nie zawiera listy przypadków, w których dokonanie zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu jest obowiązkiem administratorów. Jest to zabieg celowy, pozwalający tym podmiotom na podjęcie przemyślanej decyzji w kwestii ostatecznej oceny potencjalnych skutków takiego naruszenia. Ta swoboda pozwala na zachowanie niezbędnej elastyczności - nie sposób bowiem z góry przewidzieć wszystkich możliwych przypadków naruszeń, a tym bardziej wszystkich przypadków, w których prawdopodobieństwo, iż będą one skutkowały ryzykiem naruszenia praw lub wolności osób fizycznych jest większe niż małe. Ten brak „automatyzmu” wynikający z braku katalogu zamkniętego przypadków, w których obowiązek informacyjny z art. 33 ust. 1 rozporządzenia 2016/679 się aktywuje, skutkuje jednak czasem błędami po stronie administratorów. Zastosowana przez Administratora w niniejszym przypadku metodologia (ENISA) jest jedną z wielu, które administrator może wykorzystać w celu oceny ryzyka naruszenia praw lub wolności osób fizycznych związanego z zaistniałym naruszeniem ochrony danych osobowych, a Prezes UODO nie narzuca stosowania żadnej z nich. Wymaga podkreślenia to, że ze względu na specyfikę ocenianej przy jej pomocy materii, metoda ta wymaga od administratora szacowania przyjmowanych wartości przed ich ujęciem we wzorze - niestety w tym zakresie często dochodzi do błędów w ocenie, niedoszacowania lub przyjmowania zbyt „optymistycznych” założeń. Dlatego dokonana w oparciu o tę metodologię ocena (podobnie jak w przypadku wykorzystania każdego innego narzędzia ułatwiającego szacowanie ww. ryzyka) powinna zostać przez administratora zweryfikowana z uwzględnieniem ogólnych zasad dokonywania tej oceny. Stosując przepisy rozporządzenia 2016/679 należy mieć bowiem na uwadze, że celem tego rozporządzenia (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów - również w sytuacji, gdy doszło do naruszenia ochrony danych osobowych - należy w pierwszej kolejności brać pod uwagę te wartości. Ponadto dokonując oceny ryzyka naruszenia praw lub wolności osób fizycznych administrator powinien dokonywać oceny z odpowiednim krytycyzmem oraz racjonalizmem (czego w przedmiotowej sprawie, w ocenie organu nadzorczego, Spółka nie uczyniła).

Spółka w swojej argumentacji podnosi, że dane osobowe, które stały się przedmiotem zaistniałego naruszenia, są danymi „podstawowymi”. Warto w tym miejscu wskazać na Wytyczne EROD 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych przyjętych w dniu 14 grudnia 2021 r., wersja 2.0, a konkretnie na przykład numer 16 (ww. Wytyczne 01/2021, przypadek nr 16, s. 33), odnoszący się do sytuacji, w której grupa ubezpieczeniowa oferująca ubezpieczenia samochodowe wysłała pocztą do nieuprawnionego odbiorcy propozycję polisy składkowej zawierającą imię, nazwisko, datę urodzenia, adres posiadacza polisy, a także numer rejestracyjny pojazdu bez zamazanych cyfr, stawki ubezpieczeniowe na bieżący i następny rok ubezpieczeniowy, przybliżony roczny przebieg. Przesyłka ta nie zawiera natomiast danych dotyczących zdrowia (art. 9 rozporządzenia 2016/679), danych dotyczących płatności (danych bankowe) oraz danych ekonomicznych i finansowych. W omawianym przypadku EROD wskazała, że skutki dla osoby poszkodowanej należy uznać za średnie, ponieważ informacje niedostępne publicznie, takie jak data urodzenia lub niezamazane numery rejestracyjne pojazdów, a także szczegóły dotyczące wzrostu stawek ubezpieczeniowych zostały ujawnione nieuprawnionemu odbiorcy. Prawdopodobieństwo niewłaściwego wykorzystania tych danych ocenia się na poziomie od niskiego do średniego. EROD wskazała również, że w pojedynczych przypadkach nie można całkowicie wykluczyć, że list zostanie umieszczony w serwisach społecznościowych lub że skontaktuje się z nim właściciel polisy, a także że w takim przypadku należy zgłosić organowi nadzorczemu zaistniałe naruszenie. Okoliczności wskazane w przykładzie nr 16 wykazują duże podobieństwo do naruszenia ochrony danych osobowych analizowanego w ramach przedmiotowego postępowania administracyjnego - zarówno w kwestii zakresu ujawnionych danych (które w pewnym zakresie są tożsame), jak i w aspekcie działalności prowadzonej przez administratora oraz liczby osób dotkniętych naruszeniem. Należy przy tym zauważyć, że możliwe skutki naruszenia nie ograniczają się do wyżej wspomnianych i obejmują m.in. możliwość wykorzystania ujawnionych danych do zawarcia np. umów cywilnoprawnych, a także że przedmiotowe dane osobowe zostały udostępnione nie tylko jednej osobie nieuprawnionej, lecz również likwidatorowi szkody.

Oceniając zakres ujawnionych danych osobowych należy również podkreślić, że Spółka w piśmie z dnia 12 stycznia 2023 r. (poza udzieleniem dalszych wyjaśnień co do metodologii dokonanej przez siebie oceny ryzyka) wskazała, z jakich przyczyn uznała, że ujawniony nieuprawnionemu odbiorcy adres Podmiotu Danych, jest adresem korespondencyjnym, a nie adresem zamieszkania lub pobytu. W tym zakresie wyjaśniła, że jest to adres wykorzystywany „w korespondencji z Klientem”, co - w opinii organu nadzorczego - nie pozwala stwierdzić, że nie jest to jednocześnie adres jego zamieszkania lub pobytu.

Na marginesie warto wskazać, że niepokojące w przypadku argumentacji Spółki wydaje się stwierdzenie zawarte w piśmie z dnia 5 grudnia 2022 r.: „(…) administrator, mimo niskiej oceny ryzyka dla praw i wolności zgłasza do Prezesa UODO naruszenia dotyczące udostępnienia dokumentacji zawierającej numer PESEL lub informacje o zadłużeniu, nawet przy wąskim całościowym zakresie danych osobowych”. W sytuacji naruszenia poufności tego typu danych - w opinii organu nadzorczego - ryzyko naruszenia praw lub wolności osób fizycznych będących podmiotami tych danych trudno uznać zwykle za niskie. Na szczególny charakter danej osobowej w postaci numeru ewidencyjnego PESEL organ nadzorczy wielokrotnie wskazywał w wydawanych przez siebie decyzjach, co znajdowało również poparcie w wydawanych przez Wojewódzki Sąd Administracyjny w Warszawie wyrokach.

Jako że możliwość łatwej identyfikacji osoby fizycznej, której dane zostały udostępnione nieuprawnionemu odbiorcy, nie była przez Spółkę kwestionowana, należy się odnieść do argumentacji Administratora dotyczącej okoliczności naruszenia mających dodatkowy wpływ na powagę/dotkliwość naruszenia. Co prawda Spółka przyjęła przy ocenie tego aspektu naruszenia wartość 0,5, lecz zdaniem organu nadzorczego pod tym kątem na zaistniałe naruszenie należy spojrzeć szerzej. Należy bowiem podkreślić, że Administrator jest podmiotem, na którym ciążą szczególne obowiązki nałożone na niego ustawą z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (Dz. U. z 2023 r., poz. 656, ze zm.). Zgodnie z art. 35 ust. 1 tej ustawy zakład ubezpieczeń i osoby w nim zatrudnione, a także osoby i podmioty, za pomocą których zakład ubezpieczeń wykonuje czynności ubezpieczeniowe, są obowiązane do zachowania tajemnicy dotyczącej poszczególnych umów ubezpieczenia. Ujawnienie danych Podmiotu Danych nieuprawnionemu odbiorcy wiąże się więc w przypadku Spółki z naruszeniem dodatkowych obowiązków nakładanych na nią ww. ustawą, tj. z niedochowaniem tajemnicy dotyczącej umowy ubezpieczenia (aspekt ten nie został poruszony w ramach wyjaśnień składanych przez Spółkę w niniejszej sprawie). Warto również wziąć pod uwagę, że wiadomość e-mail zawierająca dane osobowe została wysłana do nieuprawnionego odbiorcy (...) października 2021 r., a informacja o tym zdarzeniu od osoby trzeciej wpłynęła do Prezesa UODO sześć miesięcy po jego zaistnieniu. Może to wskazywać na to, że osoba posiadająca informacje o tym naruszeniu nie uznała go za coś błahego i niewartego monitorowania mimo upływu relatywnie długiego czasu (z informacji przez nią przekazanych wynika, że zastanawia się, czy ktoś nie otrzymał jej danych osobowych). Jakkolwiek Administrator nie jest związany opinią osób trzecich w zakresie oceny ryzyka naruszenia praw lub wolności osób fizycznych wiążącego się z zaistniałym naruszeniem, to jednak powinien wziąć pod uwagę choćby fakt, że Prezes UODO pouczał go w wezwaniu z dnia 29 kwietnia 2022 r. o treści art. 33 ust. 1 i 3 rozporządzenia 2016/679 oraz o sposobach dokonania zgłoszenia naruszenia. W przedmiotowej sprawie również wszczęcie przez organ nadzorczy postępowania administracyjnego w sprawie braku zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO zgodnie z art. 33 ust. 1 rozporządzenia 2016/679 nie skłoniło Administratora do pogłębionej refleksji na temat prawidłowości przyjętej w tej sprawie oceny ryzyka naruszenia praw lub wolności osoby fizycznej będącej podmiotem danych. Administrator nie wziął również pod uwagę, że w przedmiotowym stanie faktycznym doszło do utraty kontroli nad danymi osobowymi.

Zaznaczyć dla porządku należy, że wykonanie przez Administratora jego obowiązku wnikającego z art. 33 ust. 1 rozporządzenia 2016/679 nie może być uzależniane od zaistnienia naruszenia praw lub wolności osób fizycznych, których danych dotyczy naruszenie ochrony danych osobowych. Jak stwierdził Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 22 września 2021 r. wydanym w sprawie o sygn. II SA/Wa 791/21: „Podkreślić należy, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować. W treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” (przy czym Sąd ten podobnie orzekł w wyroku z dnia 1 lipca 2022 r. wydanym w sprawie o sygn.: II SA/Wa 4143/21 oraz w wyroku z dnia 21 stycznia 2022 r. wydanym w sprawie o sygn.: II SA/Wa 1353/21).

Warto szczególnie podkreślić, że dokonując oceny pod kątem ryzyka naruszenia praw lub wolności osób fizycznych, od której uzależnione jest m.in. dokonanie zgłoszenia naruszenia ochrony danych osobowych, należy łącznie uwzględnić czynnik prawdopodobieństwa i wagę potencjalnych negatywnych skutków. Wysoki poziom któregokolwiek z tych czynników ma wpływ na wysokość ogólnej oceny, od której uzależnione jest wypełnienie m.in. obowiązku określonego w art. 33 ust. 1 rozporządzenia 2016/679. Mając na uwadze, że ze względu na zakres ujawnionych danych osobowych w analizowanym przypadku wystąpiła możliwość zmaterializowania się negatywnych konsekwencji dla osoby, której dane dotyczą, to wagę potencjalnego wpływu na prawa lub wolności osoby fizycznej należy uznać za większą niż niska. Jednocześnie prawdopodobieństwo wystąpienia ryzyka w następstwie przedmiotowego naruszenia nie jest małe i nie zostało wyeliminowane. Tym samym stwierdzić należy, że w związku z przedmiotowym naruszeniem wystąpiło ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, co w konsekwencji determinuje obowiązek dokonania zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu. Grupa Robocza Art. 29 w Wytycznych WP250 wskazuje, że ,,(…) podczas oceny ryzyka, które może powstać w wyniku naruszenia, administrator powinien łącznie uwzględnić wagę potencjalnego wpływu na prawa i wolności osób fizycznych i prawdopodobieństwo jego wystąpienia. Oczywiście ryzyko wzrasta, gdy konsekwencje naruszenia są poważniejsze, jak również wtedy, gdy wzrasta prawdopodobieństwo ich wystąpienia. W przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna”. Należy tu również wziąć pod uwagę fakt, że w związku z zaistnieniem naruszenia ochrony danych osobowych, nie wystąpiły czynniki obniżające poziom prawdopodobieństwa negatywnych skutków, jak ograniczona możliwość identyfikacji, stwierdzenie, że dane osobowe są publicznie dostępne, czy uznanie niewłaściwego odbiorcy (co najmniej w zakresie w jakim odbiorcą tym jest inna osoba niż likwidator szkody) za osobę „zaufaną”. Warto również odwołać się w tym miejscu do wcześniej wspomnianych Wytycznych 9/2022 - zwłaszcza do działu II tych Wytycznych dotyczącego art. 33 rozporządzenia 2016/679 oraz wynikającego z niego obowiązku powiadomienia organu nadzorczego. W rozdziale D tego działu EROD omówiła warunki, w których powiadomienie takie nie jest wymagane - wnikliwe przeanalizowanie treści tego rozdziału pozwala stwierdzić, że EROD stoi na stanowisku, że wyjątek z art. 33 ust. 1 rozporządzenia 2016/679 (tj. przypadek, gdy nie powstaje obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu ze względu na małe prawdopodobieństwo wystąpienia naruszenia praw lub wolności osób fizycznych) należy rozumieć wąsko - inaczej mówiąc: jako wyjątek, który znajdzie zastosowanie w sytuacjach, gdy to prawdopodobieństwo to jest w sposób oczywisty małe. Omawiając kwestię „wielkości” ryzyka warto też przywołać fragment komentarza do art. 24 rozporządzenia 2016/679 pt. „Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz” (red. dr P. Litwiński), w którym wskazano, że »Co do poziomu zagrożenia należy przyjąć, że w RODO ryzyko związane z przetwarzaniem danych może przybrać jedną z dwóch postaci (poziomów):
1) wysokiego ryzyka (art. 35 RODO);
2) takiego, które nie jest ryzykiem wysokim - które można nazwać ryzykiem zwykłym.

Ogólne rozporządzenie o ochronie danych określa również w art. 27 ust. 2 lit. a in fine oraz art. 33 ust. 1 sytuacje, w których jest mało prawdopodobne, by dana czynność przetwarzania danych skutkowała ryzykiem naruszenia praw lub wolności osób fizycznych. Na tle tych przepisów niektórzy próbują wyróżniać trzecią kategorię - niskiego ryzyka (por. G. Maldoff, The Risk-Based, s. 2). Jak wskazuje A. Mednis (A. Mednis, Wymóg, s. 29), „trzeba tu jednak zauważyć, że obydwa przepisy zezwalające na niestosowanie się do wymienionych obowiązków mówią o małym prawdopodobieństwie wystąpienia naruszenia praw lub wolności, czyli o sytuacji, gdy oceniający może dojść do wniosku, że ryzyko nie wystąpi w ogóle (ang. is unlikely to result in risk to the rights and freedoms of natural person). Z tego punktu widzenia należy raczej mówić o sytuacjach: brak ryzyka - ryzyko - wysokie ryzyko, przy czym administrator bądź podmiot przetwarzający ocenia prawdopodobieństwo ryzyka lub wysokiego ryzyka”. Takie podejście będzie o tyle prawdziwe i wyróżnienie tych trzech kategorii będzie uzasadnione w zakresie wykładni przepisów RODO, o ile przyjmiemy, że (na co wskazuje literalne brzmienie przepisów RODO) małe (lub żadne) prawdopodobieństwo wystąpienia skutku w postaci zagrożenia naruszeniem praw i wolności osoby, której dane dotyczą (o którym mowa w art. 33 ust. 1 RODO), jest równoznaczne z brakiem ryzyka jako takiego.

Zgodnie bowiem z motywem 76 preambuły do RODO, ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko«.

Podsumowując powyższe należy stwierdzić, że w przedmiotowym przypadku występuje ryzyko naruszenia praw lub wolności osoby objętej przedmiotowym naruszeniem, co z kolei skutkuje powstaniem po stronie Spółki obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 33 ust. 3 rozporządzenia 2016/679. Należy też stwierdzić, że w przedmiotowej sytuacji nie ma podstaw do stwierdzenia, by Administrator z jakichkolwiek przyczyn zwolniony był z obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu zgodnie z art. 33 ust. 1 rozporządzenia 2016/679. W okolicznościach badanego przypadku nie można rozsądnie twierdzić, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności Podmiotu Danych. Naruszenie to dotyczyło imienia, nazwiska, adresu korespondencyjnego (przy czym z wyjaśnień Spółki nie wynika, by adres ten nie mógł być również adresem zamieszkania lub pobytu) ww. osoby zawartych w potwierdzeniu przyznania odszkodowania, w którym znajdowały się również dane dotyczące marki i modelu samochodu, którego dotyczyła zaistniała szkoda, jego numer rejestracyjny, a ponadto w dokumencie tym wskazano: numer polisy, numer szkody oraz jej wartość, a także kwotę uznanego roszczenia. W ocenie organu nadzorczego nie istnieje więc uzasadnienie dla niewykonania przez Spółkę obowiązku wynikającego z powyższego przepisu.

Podsumowując kompleksowo powyższą argumentację organu nadzorczego, należy stwierdzić, że Administrator - pomimo zaktualizowania się w okolicznościach analizowanego przypadku jego obowiązków - nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w wykonaniu obowiązku z art. 33 ust. 1 rozporządzenia 2016/679, co oznacza naruszenie przez Spółkę tego przepisu.

Zgodnie z art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 rozporządzenia 2016/679, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy. Prezes UODO stwierdza, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę administracyjnej kary pieniężnej w oparciu o art. 83 ust. 4 lit. a) rozporządzenia 2016/679 stanowiący m.in., że naruszenie obowiązków administratora, o których mowa w art. 33 rozporządzenia 2016/679, podlega administracyjnej karze pieniężnej w wysokości do 10 000 000 EURO, a w przypadku przedsiębiorstwa - w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Stosownie do treści art. 83 ust. 2 rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a) - h) oraz lit. j) rozporządzenia 2016/679. Decydując o nałożeniu na Spółkę administracyjnej kary pieniężnej Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:

1. Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679);
W niniejszej sprawie stwierdzono naruszenie przepisu art. 33 ust. 1 rozporządzenia 2016/679 (polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia). Związane jest ono ze zdarzeniem polegającym na udostępnieniu dokumentu (potwierdzenia przyznania odszkodowania) zawierającego dane osobowe jednej osoby w postaci: imienia, nazwiska i adresu do korespondencji, a także inne dane dotyczące marki i modelu samochodu, którego dotyczyła zaistniała szkoda, jego numeru rejestracyjnego, a ponadto w dokumencie tym wskazano: numer polisy, numer szkody oraz jej wartość, a także kwotę uznanego roszczenia. Zdarzenie to może doprowadzić do szkód majątkowych lub niemajątkowych dla osoby, której dane zostały naruszone, a prawdopodobieństwo ich wystąpienia nie jest małe. Za okoliczność obciążającą Prezes UODO uznaje długi czas trwania naruszenia przez Spółkę przepisu art. 33 ust. 1 rozporządzenia 2016/679. Należy bowiem przyjąć, że trwa od ponad siedemnastu miesięcy (o zaistniałym naruszeniu ochrony danych osobowych Administrator dowiedział się najpóźniej 4 maja 2022 r. z pierwszego wezwania do wyjaśnień skierowanego do niego przez organ nadzorczy).

Rozpatrując przesłankę z art. 83 ust. 2 lit. a) rozporządzenia 2016/679, należy wziąć pod uwagę również fakt, że na Administratorze ciążą dodatkowe obowiązki nałożone na niego wcześniej przywołaną ustawą o działalności ubezpieczeniowej i reasekuracyjnej. Zgodnie z art. 35 ust. 1 tej ustawy zakład ubezpieczeń i osoby w nim zatrudnione, a także osoby i podmioty, za pomocą których zakład ubezpieczeń wykonuje czynności ubezpieczeniowe, są obowiązane do zachowania tajemnicy dotyczącej poszczególnych umów ubezpieczenia. Przetwarzanie szerokiego zakresu danych osobowych (na masową wręcz skalę i w wielu przypadkach - choć nie w tym konkretnym - obejmujące dane szczególnych kategorii, jak np. dane dotyczące zdrowia) jest nierozerwalnie związane z podstawową działalnością Administratora, to jest ubezpieczaniem i likwidacją szkód - taki charakter przetwarzania danych wymaga zachowania szczególnych standardów adekwatnych do ryzyk z nim związanych. Wagę naruszenia przepisów należy również rozpatrywać w kontekście tych specyficznych okoliczności i nie można uznać, że jest ona nieznaczna - lub że naruszenie to nie ma poważnego charakteru.

W niniejszej sprawie naruszenie ochrony danych osobowych dotyczyło tylko jednej osoby, w przypadku której nie stwierdzono by poniosła w związku z tym naruszeniem szkodę. W rozważanym przypadku organ uznał te dwa aspekty sprawy za okoliczności łagodzące, lecz nie zmieniło to jednak całościowej oceny, tj. uznania w analizowanej sprawie przesłanki z art. 83 ust. 2 lit. a) rozporządzenia 2016/679 za obciążającą.

2. Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679);
Zgodnie z Wytycznymi Grupy Roboczej Art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 WP253 (przyjętymi w dniu 3 października 2017 r., zatwierdzonymi przez EROD w dniu 25 maja 2018 r.), umyślność „obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego”. Spółka podjęła świadomą decyzję, by nie zawiadamiać o naruszeniu Prezesa UODO. Nie ulega wątpliwości, że Spółka, przetwarzając dane osobowe na masową skalę, musi mieć wiedzę w zakresie ochrony danych osobowych, obejmującą wiedzę o konsekwencjach stwierdzenia naruszenia ochrony danych osobowych skutkującego ryzykiem naruszenia praw lub wolności osób fizycznych (a wiedzy tej wymagać można nie tylko od administratora lecz również od powołanego przez niego inspektora ochrony danych). Będąc tego świadomym, Administrator podjął jednak decyzję o rezygnacji z dokonania zgłoszenia naruszenia Prezesowi UODO, pomimo faktu, że Prezes UODO w pierwszej kolejności informował Spółkę o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych, a następnie wszczął postępowanie administracyjne w przedmiocie naruszenia przez Spółkę przepisu z art. 33 ust. 1 rozporządzenia 2016/679. Samo wszczęcie przez Prezesa UODO niniejszego postępowania w przedmiocie obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, powinno nasunąć Administratorowi co najmniej wątpliwości co do słuszności przyjętego przez niego stanowiska.

3. Stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 ze strony administratora (art. 83 ust. 2 lit. e rozporządzenia 2016/679);
Organ nadzorczy stwierdził już we wcześniej wydanej decyzji administracyjnej (z dnia (…) lutego 2022 r., sygn. (...)) naruszenie przez Administratora przepisów o ochronie danych osobowych. Decyzja ta została wydana w związku z naruszeniem przez Spółkę przepisu art. 6 ust. 1 rozporządzenia 2016/679. Z uwagi na powyższe, w przedmiotowej sprawie należy uznać, że istnieją podstawy do traktowania przesłanki z art. 83 ust. 2 lit. e) rozporządzenia 2016/679 jako obciążającej.

4.Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679).
W niniejszej sprawie Prezes UODO uznał za niezadowalającą współpracę z nim ze strony Spółki. Ocena ta dotyczy reakcji Administratora na pisma Prezesa UODO informujące o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych, czy wreszcie wobec wszczęcia postępowania administracyjnego w przedmiocie obowiązku zgłoszenia naruszenia ochrony danych osobowych. Prawidłowe w ocenie Prezesa UODO działanie (zgłoszenie naruszenia Prezesowi UODO) nie zostały podjęte przez Spółkę nawet po wszczęciu przez Prezesa UODO postępowania administracyjnego w sprawie.

Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO nie znalazł podstaw do uwzględnienia okoliczności łagodzących, mających wpływ na ostateczny wymiar kary. Wszystkie przesłanki wymienione w art. 83 ust. 2 lit. a - j rozporządzenia 2016/679 w ocenie organu nadzorczego stanowią albo przesłanki obciążające albo jedynie neutralne. Również stosując przesłankę wymienioną w art. 83 ust. 2 lit. k rozporządzenia 2016/679 (nakazującą wzięcie pod uwagę wszelkich innych obciążających lub łagodzących czynników mających zastosowanie do okoliczności sprawy) organ nie znalazł żadnych okoliczności łagodzących, a jedynie neutralne (co zostało odnotowane poniżej w pkt 7 dotyczącym osiągniętych bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowych lub unikniętych strat).

Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej:

1. Działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679);
Ze względu na charakter naruszenia stwierdzonego w niniejszej sprawie (niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po jego stwierdzeniu) - które to naruszenie w swej istocie nie wiąże się bezpośrednio z ryzykiem powstania szkód po stronie osoby dotkniętej naruszeniem ochrony danych osobowych - należy przyjąć, iż przesłanka wskazana w art. 83 ust. 2 lit. c) rozporządzenia 2016/679 nie ma w rozpatrywanym przypadku wpływu ani obciążającego ani łagodzącego na wymiar orzeczonej administracyjnej kary pieniężnej. Nie ma ona znaczenia w ocenie naruszenia przez Spółkę przepisu art. 33 ust. 1 rozporządzenia 2016/679.

2. Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679);
Ze względu na charakter naruszenia stwierdzonego w niniejszej sprawie (niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po jego stwierdzeniu) - które to naruszenie w swej istocie nie wiąże się ze stosowanymi przez administratora środkami technicznymi i organizacyjnymi - należy przyjąć, iż przesłanka wskazana w art. 83 ust. 2 lit. d) rozporządzenia 2016/679 nie ma w rozpatrywanym przypadku wpływu ani obciążającego ani łagodzącego na wymiar orzeczonej administracyjnej kary pieniężnej. Nie ma ona znaczenia w ocenie naruszenia przez Spółkę przepisu art. 33 ust. 1 rozporządzenia 2016/679.

3. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679);
Dane osobowe udostępnione osobie nieuprawnionej nie należą do szczególnych kategorii danych osobowych, o których mowa w art. 9 rozporządzenia 2016/679, ani nie stanowią danych dotyczących wyroków skazujących i czynów zabronionych, o których mowa w art. 10 tego rozporządzenia, jednakże w niniejszej sprawie organ uznał, że okoliczność ta nie może stanowić przesłanki łagodzącej wymiar orzeczonej administracyjnej kary pieniężnej. Naruszenie ochrony danych jakichkolwiek kategorii musi być automatycznie oceniane negatywnie, jako że jest to naruszenie przepisów rozporządzenia 2016/679. Fakt, iż w udostępnionym dokumencie (potwierdzenie przyznania szkody) zawarto imię i nazwisko, adres korespondencyjny jednej osoby wraz z szeregiem innych danych dotyczących polisy, samochodu i zaistniałej na nim szkody, wiąże się z ryzykiem naruszenia praw lub wolności osób fizycznych - nie istnieją zatem w tym przypadku podstawy do złagodzenia wymiaru administracyjnej kary pieniężnej ze względu na fakt, że dane, których dotyczy zaistniałe naruszenie ochrony danych osobowych, nie są danymi wyżej wskazanych kategorii.

4. Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679);
O zaistnieniu przedmiotowego naruszenia przepisu art. 33 ust. 1 rozporządzenia 2016/679 związanego ze zdarzeniem polegającym na udostępnieniu przez Administratora dokumentu zawierającego dane osobowe nieuprawnionemu odbiorcy, Prezes UODO został poinformowany przez osobę trzecią. Brak zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych jest jedynym przedmiotem niniejszego postępowania i w okolicznościach rozważanego stanu faktycznego organ nadzorczy przyjął, że przesłanki tej nie potraktuje jako okoliczności obciążającej.

5. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679);
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.

6. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust 2 lit. j rozporządzenia 2016/679);
Administrator nie stosuje instrumentów, o których mowa w art. 40 i art. 42 rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak - jak stanowią przepisy rozporządzenia 2016/679 - obowiązkowe dla administratorów i podmiotów przetwarzających, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na korzyść Administratora natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.

7. Ogsiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679);
Prezes UODO nie stwierdził, żeby Administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Administratora. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez Administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla Administratora. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” - zaistniałe po stronie podmiotu dokonującego naruszenia.

W ocenie Prezesa UODO zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

Należy podkreślić, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Spółka, profesjonalnie i na skalę masową przetwarzająca dane osobowe, w przyszłości będzie wywiązywała się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie zgłaszania naruszenia ochrony danych osobowych Prezesowi UODO.

W ocenie Prezesa UODO administracyjna kara pieniężna spełni funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Spółkę przepisów rozporządzenia 2016/679. Będzie również spełniać funkcję prewencyjną; w ocenie Prezesa UODO wskaże bowiem zarówno Spółce, jak i innym administratorom danych, na naganność lekceważenia obowiązków administratorów związanych z zaistnieniem naruszenia ochrony danych osobowych, a mających na celu przecież zapobieżenie jego negatywnym i często dotkliwym dla osób, których naruszenie dotyczy, skutkom, a także usunięcie tych skutków lub przynajmniej ograniczenie. 

Stosownie do treści art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), zwanej dalej „uodo”, równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.

Mając powyższe na uwadze, Prezes UODO, na podstawie art. 83 ust. 4 lit. a) w związku z art. 103 uodo, za naruszenie opisane w sentencji niniejszej decyzji, nałożył na Spółkę - stosując średni kurs euro z dnia 30 stycznia 2023 r. (1 EUR = 4,7160 PLN)  - administracyjną karę pieniężną w kwocie 103.752,- PLN (co stanowi równowartość 22.000,- EUR).

W ocenie Prezesa UODO, zastosowana kara pieniężna w wysokości 103.752,- PLN (słownie: sto trzy tysiące siedemset pięćdziesiąt dwa złote), spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonego naruszenia w kontekście podstawowego celu rozporządzenia 2016/679 - ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych. Odnosząc się do wysokości wymierzonej Spółce administracyjnej kary pieniężnej, Prezes UODO uznał, iż jest ona proporcjonalna do sytuacji finansowej Administratora i nie będzie stanowiła dla niego nadmiernego obciążenia. Z przedstawionego przez Administratora sprawozdania finansowego wynika, że kwota składek przypisanych brutto w 2022 r. wyniosła (…),- zł, w związku z czym kwota nałożonej w niniejszej sprawie administracyjnej kary pieniężnej stanowi ok. (…)% ww. kwoty wpływów. Jednocześnie warto podkreślić, że kwota nałożonej kary 103.752,- PLN to jedynie 0,22% maksymalnej wysokości kary, którą Prezes UODO mógł - stosując zgodnie z art. 83 ust. 4 rozporządzenia 2016/679 statyczne maksimum kary (tj. 10.000.000,- euro) - nałożyć na Spółkę za stwierdzone w niniejszej sprawie naruszenie.

Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność uiszczenia kary finansowej pociągnie za sobą negatywne następstwa, w postaci znaczącej redukcji zatrudnienia bądź istotnego spadku obrotów Spółki. Zdaniem Prezesa UODO, Spółka powinna i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, o czym świadczy chociażby sprawozdanie finansowe Spółki, przesłane do Prezesa UODO w dniu 28 lipca 2023 r.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

 

[1] Wytyczne Grupy Roboczej Art. 29 dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP250rev.01), dalej zwane Wytycznymi WP250.

[2] Wytyczne Europejskiej Rady Ochrony Danych w sprawie zgłaszania naruszeń ochrony danych osobowych, wersja 2.0, dalej zwane Wytycznymi 9/2022

Podmiot udostępniający: Departament Kontroli i Naruszeń
Wytworzył informację:
user Jan Nowak
date 2023-10-18
Wprowadził informację:
user Wioletta Golańska
date 2023-12-06 13:33:09
Ostatnio modyfikował:
user Edyta Madziar
date 2023-12-07 09:16:54