PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH Warszawa, dnia 30 kwietnia 2024 r.

Decyzja

DKN.5131.58.2022

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023 r. poz. 775 ze zm.), art. 7 ust. 1 oraz art. 60, art. 101, 101a ust. 2 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), a także art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. i), art. 83 ust. 1 i 2, art. 83 ust. 4 lit. a) w związku z art. 33 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej również „rozporządzeniem 2016/679”, po przeprowadzeniu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez Stowarzyszenie „Maraton” z siedzibą w Gorlicach przy ul. Bieckiej 10, Prezes Urzędu Ochrony Danych Osobowych,

stwierdzając naruszenie przez Stowarzyszenie „Maraton”, z siedzibą w Gorlicach przy ul. Bieckiej 10, przepisu art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, nakłada na Stowarzyszenie „Maraton” z siedzibą w Gorlicach przy ul. Bieckiej 10, administracyjną karę pieniężną w wysokości 916,71 zł (słownie: dziewięćset szesnaście złotych i siedemdziesiąt jeden groszy).

Uzasadnienie

Do Urzędu Ochrony Danych Osobowych, zwanego dalej również „UODO”, wpłynęło pismo z dnia 24 stycznia 2022 r. informujące o naruszeniu ochrony danych osobowych przez Stowarzyszenie „Maraton” z siedzibą w Gorlicach przy ul. Bieckiej 10( dalej jako: „Stowarzyszenie” lub „Administrator”). Nadawcą pisma był członek rodziny osób, których dane osobowe zostały objęte tym naruszeniem.

Naruszenie ochrony danych osobowych polegało na udostępnieniu na profilu Stowarzyszenia na portalu Z., listy uczestników amatorskich zawodów sportowych (które odbyły się w ramach wydarzeń „R.” i „X.”) zawierającej nadmiarowe dane osobowe osób biorących udział w tych zawodach. Nadmiarowe dane osobowe były dostępne dla osób, które pobrały ww. listę z profilu Stowarzyszenia na portalu Z., a następnie otworzyły plik ją zawierający w programie M. i dokonały edycji przedmiotowej listy. Lista uczestników zawodów, która była widoczna na profilu Stowarzyszenia na portalu Z. (umieszczona tam intencjonalnie), zawierała następujący zakres danych: imię, nazwisko, płeć, klub, miejscowość. Natomiast po jej pobraniu i edycji w programie M. lista uczestników zawierała następujący zakres danych: imię, nazwisko, płeć, klub, miejscowość, adres e-mail, data urodzenia. Podkreślić należy, że Stowarzyszenie miało prawo opublikować dane osobowe uczestników zawodów, jednakże zakres udostępnionych danych osobowych powinien być adekwatny do celu takiej publikacji. W wyjaśnieniach przekazanych organowi nadzorczemu samo Stowarzyszenie przyznaje, że w następstwie pomyłki wolontariusza doszło do udostępnienia danych osobowych uczestników zawodów sportowych w nadmiarowym zakresie.

W związku z powyższym, w dniu 23 marca 2022 r. Prezes Urzędu Ochrony Danych Osobowych, zwany dalej również „Prezesem UODO”, na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679, zwrócił się do Stowarzyszenia o złożenie w terminie 7 dni od dnia doręczenia pisma wyjaśnień, czy w związku z ww. zdarzeniem dokonana została analiza pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych oraz osób, których dotyczy naruszenie. Stowarzyszenie nie odebrało w terminie korespondencji i nie udzieliło wyjaśnień organowi. W związku z tym, Prezes UODO pismem z dnia 23 maja 2022 r. ponownie wystąpił do Stowarzyszenia o złożenie wyjaśnień w ww. zakresie.

W odpowiedzi na powyższe, Stowarzyszenie pismem z dnia 30 czerwca 2022 r. wskazało, że lista startowa uczestników zawodów, która została zamieszczona na profilu Stowarzyszenia na portalu Z. nie zawierała danych osobowych osób startujących w zawodach w zakresie ich adresów e-mail oraz dat urodzenia. Ponadto, z wyjaśnień tych wynika, że po otrzymaniu wezwania Prezesa UODO do złożenia wyjaśnień, Stowarzyszenie usunęło z własnego profilu na portalu Z. ww. listę. Stowarzyszenie wskazało przy tym, że „(…) lista startowa była przygotowana przez wolontariusza, gdyż Stowarzyszenie (…) nie posiada środków ani zasobów osobowych na zlecanie tego typu zadań podmiotom zewnętrznym (…)”. Kwestię udostępnienia nadmiarowych danych osobowych Stowarzyszenie wytłumaczyło w następujący sposób: „(…) Jak widać z przesłanej do nas informacji pozyskanie dodatkowych informacji z zamieszczonej listy startowej wymagało wykonania przez osobę trzecią dodatkowych zabiegów, których nie przewidzieliśmy jako organizator amatorskich zawodów ani nie przewidział tego wolontariusz przygotowujący zestawienie startujących (…)”. Jednocześnie Stowarzyszenie wskazało, że uczestnicy dobrowolnie wyrazili zgodę na przetwarzanie ich danych osobowych (do wyjaśnień Stowarzyszenie dołączyło regulamin zawodów, który m.in. reguluje kwestię przetwarzania danych osobowych). Stowarzyszenie wyjaśniło, że dane osobowe uczestników, które zostały przez nie pozyskane, były przetwarzane wyłącznie dla potrzeb zawodów – na co każdy z uczestników miał wyrazić zgodę (stosownie do zapisu punktu (…) regulaminu zawodów). Ponadto, wskazano, że „(…) adresy mailowe podane zostały przez zawodników w celu sprawnej komunikacji ze startującymi. Natomiast daty urodzin są niezbędne do ustalania grup wiekowych w jakich startowali poszczególni zawodnicy (…)”.

Wobec nieudzielenia Prezesowi UODO wyczerpującej odpowiedzi na wezwanie z dnia 23 maja 2022 r., organ nadzorczy pismem z dnia 5 sierpnia 2022 r. ponownie wezwał Stowarzyszenie do wskazania, czy w związku z ww. zdarzeniem dokonana została analiza pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie. Wobec braku odpowiedzi na ww. wezwanie, Prezes UODO – ponownie pismem z dnia 21 października 2022 r. – wezwał Stowarzyszenie do przedłożenia wyjaśnień.

W piśmie z dnia 2 listopada 2022 r. Stowarzyszenie po raz kolejny nie udzieliło precyzyjnej odpowiedzi na wezwanie Prezesa UODO, a wskazało jedynie, że „(…) jest organizacją społeczną działającą na zasadzie wolontariatu i od 2003 r. organizuje nieprzerwanie cykl imprez o charakterze rekreacyjno - sportowym pod wspólną nazwą <W.> skierowanym do osób w wieku od przedszkolnego do wieku nieograniczonego (…) W 2021 r. organizowaliśmy jako Stowarzyszenie (…) zawody biegowe [B.] oraz zawody rolkarskie, a we współpracy z {innym podmiotem} zawody kolarskie (…) Dla wszystkich z wymienionych zawodów przygotowane zostały regulaminy określający zasady przeprowadzenia zawodów w tym w postanowieniach końcowych zapis: Zgłaszający się do udziału w zawodach wyraża zgodę na przetwarzanie swoich danych osobowych dla potrzeb zawodów i wyraża zgodę na rozpowszechnianie swojego wizerunku na materiałach filmowych i fotograficznych z zawodów (…). W zgłoszeniu chętni do udziału w wydarzeniu podawali swoje dane w tym adres mailowy niezbędny do korespondencji z zawodnikiem oraz datę urodzenia, która z kolei była niezbędna do przyporządkowania każdego z zawodników do kategorii wiekowej zgodnie z regulaminem zawodów. Natomiast w dniu zawodów bezpośrednio w biurze zawodów wszyscy uczestnicy podpisywali oświadczenia dotyczące udziału w zawodach i dotyczące zgody na zasady uczestnictwa określone w regulaminie zawodów oraz podpisywali listę startową. (…) Zwracam uwagę, iż w liście startowej jaka udostępniana była zawodnikom w dniu zawodów zawarte są jedynie imię, nazwisko i nazwa klubu, jaką reprezentuje dany zawodnik. Na żadnym etapie zawodów nie była udostępniana informacja z danymi osobowymi zawodników. Na stronie internetowej oraz na Z. {profilu na portalu społecznościowym Z.} stowarzyszenia umieszczona była lista startowa zawierającą jedynie imię i nazwisko zawodnika, informację jaki klub reprezentuje każdy z zawodników oraz miejscowość z jakiej pochodzi każdy z zawodników. Po otrzymaniu zawiadomienia z Urzędu Ochrony Danych Osobowych (…) iż któryś z uczestników zawodów bez zgody i wiedzy organizatora skopiował prezentowane na stronie Z. {profilu na portalu społecznościowym Z.} Stowarzyszenia dane, zostały one bezzwłocznie usunięte. Zwracam przy tym uwagę, iż Stowarzyszenie (…) nie upoważniało kogokolwiek spoza grona organizatorów do, jak to zostało określone w piśmie UODO w Warszawie z dnia 23 maja 2022 r., poprawy wyglądu oraz posegregowania zawodników pod względem dystansu i płci. Biorąc pod uwagę, iż w zawodach na dwóch dystansach (…) uczestniczyło łącznie nieco ponad 100 uczestników, żadne dodatkowe czynności w liście startowej nie były ani niezbędne ani wymagane. Podkreślamy, iż na etapie organizacji zawodów i po ich zakończeniu nie stwierdziliśmy by dane osobowe osób dobrowolnie uczestniczących w amatorskich zawodach rolkarskich w G. były w sposób niezgodny z prawem udostępnione komukolwiek poza organizatorem. Informacja jaka trafiła do UODO w Warszawie nie była przez kogokolwiek ani wcześniej ani później zgłaszana do organizatora. Niemniej jednak po otrzymaniu pisma UODO z 23 maja {2022 r.} niezwłocznie usunięto listę startową by nie doszło do ewentualnych kolejnych ingerencji czy włamań na stronę internetową organizatora lub w listę startową i dane osób biorących udział w zawodach. Informujemy, iż Stowarzyszenie (…) działające wyłącznie na zasadach pracy społecznej i wolontariatu nie posiada służb prawnych ani nie dysponuje zasobami finansowymi pozwalającymi na zlecenie obsługi prawnej podmiotowi zewnętrznemu. W związku z zaistniałym zdarzeniem zwróciliśmy się do Starostwa Powiatowego w G., jako organu pełniącego nadzór nad działalnością Stowarzyszeń działających w Powiecie G. Starostwo G. powołując się na Ustawę o stowarzyszeniach odmówiło pomocy i konsultacji w przedmiotowej sprawie odpowiadając: Zgodnie z art. 25 ustawy z dnia 7 kwietnia 1989 r. - Prawo o stowarzyszeniach organ nadzorujący sprawuje nadzór nad działalnością stowarzyszeń wyłącznie w zakresie zgodności ich działania z przepisami prawa i postanowieniami statutu (…)”.

Wobec braku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, w dniu 1 grudnia 2022 r. Prezes UODO wszczął wobec Stowarzyszenia postępowanie administracyjne w sprawie naruszenia przez Administratora przepisu art. 33 ust. 1 rozporządzenia 2016/679. Ponadto, Prezes UODO zwrócił się o wskazanie przez Stowarzyszenie dokładnej liczby osób, których nadmiarowe dane osobowe zostały udostępnione na profilu Stowarzyszenia na portalu Z. w związku z organizowanymi zawodami sportowymi, o których mowa wyżej.

Do Urzędu Ochrony Danych Osobowych wpłynął zwrot ww. pisma. Pismo to zostało zwrócone przez operatora pocztowego z adnotacją na kopercie „Zwrot, nie podjęto w terminie”, opatrzoną pieczęcią G. 1 i datą 21 grudnia 2022 r., po dwukrotnym awizowaniu w dniach 6 i 14 grudnia 2022 r. Zgodnie z art. 45 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023 r. poz. 775 ze zm.; dalej jako: Kpa), jednostkom organizacyjnym i organizacjom społecznym doręcza się pisma w lokalu ich siedziby do rąk osób uprawnionych do odbioru pism. Przepis art. 44 stosuje się odpowiednio. Stosownie do treści art. 44 § 1 ustawy z dnia 14 czerwca 1960 r. Kpa w razie niemożności doręczenia pisma w sposób wskazany w art. 42 i 43 Kpa operator pocztowy w rozumieniu ustawy z dnia 23 listopada 2012 r. – Prawo pocztowe przechowuje pismo przez okres czternastu dni w swojej placówce pocztowej – w przypadku doręczania pisma przez pocztę (pkt 1), pismo składa się na okres czternastu dni w urzędzie właściwej gminy (miasta) – w przypadku doręczania pisma przez pracownika urzędu gminy (miasta) lub upoważnioną osobę lub organ (pkt 2). Zawiadomienie o pozostawieniu pisma wraz z informacją o możliwości jego odbioru w terminie siedmiu dni, licząc od dnia pozostawienia zawiadomienia w miejscu określonym w § 1, umieszcza się w oddawczej skrzynce pocztowej lub, gdy nie jest to możliwe, na drzwiach mieszkania adresata, jego biura lub innego pomieszczenia, w którym adresat wykonuje swoje czynności zawodowe, bądź w widocznym miejscu przy wejściu na posesję adresata (art. 44 § 2 Kpa). W przypadku niepodjęcia przesyłki w terminie, o którym mowa w § 2, pozostawia się powtórne zawiadomienie o możliwości odbioru przesyłki w terminie nie dłuższym niż czternaście dni od daty pierwszego zawiadomienia (art. 44 § 3 Kpa). Doręczenie uważa się za dokonane z upływem ostatniego dnia okresu, o którym mowa w § 1, a pismo pozostawia się w aktach sprawy (art. 44 § 4 Kpa).

Wobec powyżej przytoczonych przepisów należy przyjąć, iż przesyłka (zawierająca zawiadomienie o wszczęciu postępowania administracyjnego) skierowana do Stowarzyszenia została prawidłowo doręczona jako adresatowi z upływem dnia 20 grudnia 2022 r.

Pismem z dnia 22 listopada 2023 r. (odebranym przez Stowarzyszenie w dniu 8 grudnia 2023 r.) organ nadzorczy ponownie zwrócił się do Stowarzyszenia o wskazanie dokładnej liczby osób, których dane osobowe zostały udostępnione na profilu Stowarzyszenia na portalu Z. w formie list uczestników zawodów sportowych, które odbyły się w ramach wydarzeń „R.” i „X.”. Ponadto w ww. piśmie Prezes UODO zwrócił się do Administratora o przedstawienie rocznego sprawozdania finansowego Stowarzyszenia za rok 2022.  Administrator nie udzielił odpowiedzi na ww. pismo.

Organ nadzorczy dokonał oceny materiału dowodowego pod kątem zbadania jego wiarygodności i mocy dowodowej. Prezes UODO uznał większość materiału dowodowego za wiarygodny. Wątpliwości w dziedzinie wiarygodności zgromadzonego materiału dowodowego może budzić jedynie fakt nieustalenia dokładnej liczby osób objętych naruszeniem. Organ nadzorczy wielokrotnie podejmował próby ustalenia tej liczby. Z pisma osoby informującej o naruszeniu ochrony danych osobowych wynika, że naruszenie mogło dotyczyć 140 lub 180 osób, natomiast z wyjaśnień przedłożonych przez Administratora wynika, że przedmiotowe naruszenie mogło dotyczyć nieco ponad 100 osób. W ocenie organu nadzorczego rozbieżność między tymi dwiema liczbami nie stanowi przeszkody dla określenia skali naruszenia ochrony danych osobowych, a co za tym idzie nie ma istotnego wpływu na rozstrzygnięcie zawarte w przedmiotowej decyzji.

Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych, zważył co następuje.

Przy ocenie, czy naruszenie ochrony danych osobowych skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych należy brać pod uwagę m.in. treść motywów 75 oraz 85 rozporządzenia 2016/679. Nadto, Europejska Rada Ochrony Danych (dalej jako: EROD), w Wytycznych 9/2022[1], wskazała, że administrator powinien ocenić konkretne okoliczności naruszenia, dane, których dotyczy naruszenie, oraz potencjalny poziom wpływu na osoby fizyczne, a także prawdopodobieństwo urzeczywistnienia się tego ryzyka.

Z ww. wytycznych wynika również, że oceniając ryzyko, które może wynikać z naruszenia, administrator powinien rozważyć połączenie wagi potencjalnego wpływu na prawa i wolności osób fizycznych oraz prawdopodobieństwa ich wystąpienia. Oczywiście tam, gdzie konsekwencje naruszenia są poważniejsze, ryzyko jest większe i podobnie tam, gdzie prawdopodobieństwo ich wystąpienia jest większe, ryzyko jest również podwyższone.

Zgodnie z art. 4 pkt 12 rozporządzenia 2016/679, „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Art. 33 ust. 1 i 3 rozporządzenia 2016/679 stanowi, że w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie zart. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej: a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Z treści powołanych wyżej przepisów rozporządzenia 2016/679 wynika, że w przypadku wystąpienia naruszenia ochrony danych osobowych po stronie administratora danych powstaje obowiązek zgłoszenia go Prezesowi UODO, jeśli z danym naruszeniem wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, niezależnie od poziomu tego ryzyka. Podkreślić w tym miejscu należy, że „małe prawdopodobieństwo” zaistnienia skutku w postaci naruszenia praw lub wolności osoby, której dane dotyczą, które stosownie do art. 33 ust. 1 rozporządzenia 2016/679 powoduje brak konieczności zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, powinno być utożsamiane z sytuacją, w której oceniający posiada przesłanki pozwalające na stwierdzenie, że skutek ten nie urzeczywistni się w ogóle – a zatem wtedy, gdy mówimy o „braku ryzyka”. Warto zauważyć, że w polskiej wersji rozporządzenia 2016/679 użyto sformułowania „mało prawdopodobne”, zaś w angielskiej – terminu „unlikely”. Wyraz ten ma silniejsze znaczenie niż nasz rodzimy odpowiednik i służy do określenia czegoś, co jest raczej nieprawdopodobne, wątpliwie lub niemal niemożliwe. Warto również odwołać się w tym miejscu do Wytycznych 9/2022, a zwłaszcza do działu II tych Wytycznych dotyczącego art. 33 rozporządzenia 2016/679 oraz wynikającego z niego obowiązku powiadomienia organu nadzorczego. W rozdziale D tego działu EROD omówiła warunki, w których powiadomienie takie nie jest wymagane. Wnikliwe przeanalizowanie treści tego rozdziału pozwala stwierdzić, że EROD stoi na stanowisku, że wyjątek z art. 33 ust. 1 rozporządzenia 2016/679 (tj. przypadek, gdy nie powstaje obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu ze względu na małe prawdopodobieństwo wystąpienia naruszenia praw lub wolności osób fizycznych) należy rozumieć wąsko – inaczej mówiąc: jako wyjątek, który znajdzie zastosowanie w sytuacjach, gdy to prawdopodobieństwo jest w sposób oczywisty małe.

Zgłaszanie naruszeń ochrony danych osobowych przez administratorów stanowi skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Zgłaszając naruszenie organowi nadzorczemu, administratorzy informują Prezesa UODO, czy w ich ocenie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą oraz – jeżeli takie ryzyko wystąpiło – czy przekazali stosowne informacje osobom fizycznym, na które naruszenie wywiera wpływ. W uzasadnionych przypadkach mogą również przekazać informacje, że powiadomienie w ich ocenie nie jest konieczne ze względu na spełnienie warunków określonych w art. 34 ust. 3 lit. a) – c) rozporządzenia 2016/679. Prezes UODO dokonuje weryfikacji oceny dokonanej przez administratora i może – jeżeli administrator nie zawiadomił osób, których dane dotyczą – zażądać od niego takiego zawiadomienia. Zgłoszenia naruszenia ochrony danych osobowych pozwalają organowi nadzorczemu na właściwą reakcję mogącą ograniczyć skutki takich naruszeń, bowiem administrator ma obowiązek podjęcia skutecznych działań zapewniających ochronę osobom fizycznym i ich danym osobowym, które z jednej strony pozwolą na kontrolę skuteczności dotychczasowych rozwiązań, a z drugiej ocenę modyfikacji i usprawnień służących zapobieżeniu nieprawidłowościom analogicznym do objętych naruszeniem.

W przedmiotowej sprawie, co jednoznacznie wynika z dokonanych ustaleń, doszło do udostępnienia nadmiarowych danych osobowych uczestników zawodów sportowych (które zostały zorganizowane przez Stowarzyszenie w ramach wydarzeń „R.” i „X.”). Wskazać przy tym należy, że upublicznienie przez Stowarzyszenie listy zawodników w zakresie obejmującym imię, nazwisko, płeć, klub, miejscowość było działaniem celowym i zamierzonym. Zakres udostępnionych nadmiarowych danych osobowych obejmował informację o dacie urodzenia i adresie e-mail zawodnika. Do nieuprawnionego udostępnienia danych osobowych uczestników zawodów doszło poprzez zamieszczenie na profilu Stowarzyszenia na portalu Z. listy uczestników zawodów sportowych w taki sposób, że po pobraniu tej listy możliwa była jej edycja w programie M., która umożliwiała dostęp do szerszego zakresu danych niż ten, który w pierwotnej wersji (przed edycją w ww. programie) był widoczny na profilu Stowarzyszenia na portalu Z. Zatem, naruszenie polegało na umożliwieniu dostępu (potencjalnie nieograniczonej liczbie odbiorców, z czego co najmniej jedna osoba faktycznie ten dostęp uzyskała) do danych osobowych w szerszym niż zamierzonym przez Stowarzyszenie zakresie, tj. obejmującym dodatkowo informację o dacie urodzenia i adresie e-mail zawodnika. Na skutek ww. zdarzenia doszło do udostępnienia danych osobowych ponad 100 osób.

Powyższe oznacza, że doszło do naruszenia bezpieczeństwa prowadzącego do ujawnienia danych osobowych ponad stu uczestników zawodów sportowych osobie nieuprawnionej do otrzymania tych danych (względnie osobom nieuprawnionym do otrzymania tych danych, które mogły w analogiczny sposób dokonać edycji rzeczonej listy zawodników po jej wcześniejszym pobraniu z portalu Z. w czasie, gdy ta lista była udostępniona na profilu Stowarzyszenia na wskazanym portalu), a więc do naruszenia poufności danych tych osób, co przesądza, że wystąpiło naruszenie ochrony danych osobowych.

W sprawie będącej przedmiotem niniejszego rozstrzygnięcia, pomimo wielokrotnych wezwań Prezesa UODO, Stowarzyszenie nie udzieliło odpowiedzi na pytanie, czy w związku z ww. zdarzeniem dokonana została analiza pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie. Jednakże, z materiału dowodowego zgromadzonego w niniejszej sprawie wynika, że naruszenie ochrony danych osobowych (poufności danych), jakie wystąpiło w niniejszej sprawie, skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych.

Zazwyczaj potencjalny wpływ naruszenia wzrasta wraz z liczbą osób, których ono dotyczy. Jednak w zależności od charakteru danych osobowych oraz kontekstu, w którym zostały one ujawnione, naruszenie może mieć poważne konsekwencje nawet dla jednej osoby. Również w tym wypadku najważniejsze jest przeanalizowanie prawdopodobieństwa wystąpienia konsekwencji dla osób, na które naruszenie ma wpływ, oraz tego, jak poważne będą te konsekwencje.

Nie ulega wątpliwości, że w omawianym przypadku naruszenie dotyczy wielu osób, co w sposób istotny podnosi wagę naruszenia i prawdopodobieństwo zmaterializowania się zagrożeń związanych z naruszeniem ochrony danych osobowych. Nie bez znaczenia dla takiej oceny ryzyka jest możliwość łatwej – w oparciu o ujawnione dane – identyfikacji osób, których dane zostały objęte naruszeniem – fakt, że w wyniku naruszenia ochrony danych osobowych nie doszło do ujawnienia np. numerów ewidencyjnych PESEL osób nim dotkniętych nie oznacza, że osób tych nie można zidentyfikować. W konsekwencji oznacza to, że występuje ryzyko naruszenia praw lub wolności osób objętych przedmiotowym naruszeniem, co z kolei skutkuje powstaniem po stronie Stowarzyszenia, jako administratora tych danych, obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 33 ust. 3 rozporządzenia 2016/679.

W przedmiotowej sprawie, jak już wspomniano, doszło do ujawnienia danych osobowych ponad 100 osób obejmujących: imię, nazwisko, płeć, klub, miejscowość, adres e-mail, data urodzenia – z czego nadmiarowy zakres danych osobowych obejmuje informację o adresie e-mail i dacie urodzenia (dane w pozostałym zakresie udostępniono intencjonalnie). Ujawnienie takich danych nie jest co prawda związane z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych (a co za tym idzie, Stowarzyszenie nie miało obowiązku zawiadomić o naruszeniu osób, których dane dotyczą, zgodnie z art. 34 rozporządzenia 2016/679), tym niemniej nie jest to równoznaczne z brakiem ryzyka jako takiego – stąd zaistniała konieczność zawiadomienia Prezesa UODO o naruszeniu ochrony danych osobowych.

 Możliwym ryzykiem związanym z zaistniałym zdarzeniem jest bowiem w szczególności utrata przez osoby, których dane dotyczą, kontroli nad ich danymi. Przykładowo, dane osobowe w zakresie adresu e-mail mogą zostać wykorzystane do nawiązania (niechcianych przez osoby, których dane dotyczą) kontaktów poprzez pocztę elektroniczną – również takich, w czasie których podjęte zostaną próby uzyskania dodatkowych danych tych osób. Wreszcie, przy wykorzystaniu tych danych mogą zostać założone konta w różnego rodzaju serwisach społecznościowych i portalach internetowych, co może mieć negatywny wpływ na postrzeganie tych osób w ich środowisku zawodowym czy rodzinnym, a nawet prowadzić do ich dyskryminacji. Powyższe oznacza zatem, że w przypadku przedmiotowego naruszenia ochrony danych osobowych istnieje ryzyko naruszenia praw lub wolności osób fizycznych.

Warte szczególnego podkreślenia jest to, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować – w treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu. Powyższe stanowisko potwierdzone zostało przez Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 22 września 2021 r. wydanym w sprawie o sygn. akt II SA/Wa 791/21: „Podkreślić należy, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować. W treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” (przy czym Sąd ten podobnie orzekł w wyroku z dnia 1 lipca 2022 r. wydanym w sprawie o sygn. akt II SA/Wa 4143/21 oraz w wyrokach z dnia 31 sierpnia 2022 r., sygn. akt II SA/Wa 2993/21, z dnia 15 listopada 2022 r., sygn. akt II SA/Wa 546/22 i z dnia 26 kwietnia 2023 r., sygn. akt II SA/Wa 1272/22). Ponadto, Wojewódzki Sąd Administracyjny w Warszawie, w wyroku z 26 kwietnia 2023 r. (sygn. II SA/Wa 1272/22) wskazał, że „(…) w toku dokonywania oceny, czy występują ryzyka naruszenia praw lub wolności człowieka, administrator powinien brać pod uwagę wszelkie możliwe szkody, jak i krzywdy, które mogą wyniknąć z danego zdarzenia dla osób fizycznych [tak: S. Jandt [w:] DS.-GVO..., red. J. Kühling, B. Buchner, s. 617; Y. Reif [w:] DS.-GVO..., red. P. Gola, s. 496]. Mogą one w szczególności polegać na utracie kontroli nad własnymi danymi osobowymi, negatywnych konsekwencjach wizerunkowych, możliwości zawierania przez inną osobę umów z wykorzystaniem danych osobowych innej osoby fizycznej, stratach finansowych czy wreszcie negatywnym odbiorze społecznym, który może być konsekwencją upublicznienia niektórych danych osobowych. Do zaistnienia ryzyka nie jest przy tym konieczne, by ostatecznie doszło do wystąpienia szkody lub krzywdy wynikających z danego naruszenia ochrony danych osobowych [tak: jw., s. 616] (…)”.

Bez wpływu na powyższą ocenę ryzyka naruszenia praw lub wolności osób fizycznych, związanego z zaistniałym zdarzeniem, pozostaje fakt, że – jak wyjaśniło Stowarzyszenie – „(…) po otrzymaniu pisma UODO z 23 maja {2022 r.} niezwłocznie usunięto listę startową by nie doszło do ewentualnych kolejnych ingerencji czy włamań na stronę internetową organizatora lub w listę startową i dane osób biorących udział w zawodach (…)”. Nawet pomimo usunięcia listy uczestników zawodów (które nastąpiło po 23 maja 2022 r.) nie ma bowiem pewności, że przed usunięciem tej listy (Prezes UODO otrzymał informację o incydencie w piśmie z 24 stycznia 2022 r.) inne osoby nie pobrały przedmiotowej listy i nie dokonały jej edycji i w konsekwencji nie zapoznały się z danymi osobowymi uczestników zawodów zorganizowanych przez Stowarzyszenie w zakresie, który był pierwotnie ukryty. Należy podkreślić, że stan nieprawidłowego udostępnienia danych osobowych utrzymywał się przez kilka miesięcy i miał on miejsce w przestrzeni internetowej (portalu społecznościowym Z.), a co za tym idzie potencjalna liczba nieuprawnionych odbiorców danych osobowych uczestników zawodów sportowych zorganizowanych przez Stowarzyszenie jest w praktyce niemożliwa do oszacowania.

Samo dokonanie czynności wskazanych przez Stowarzyszenie nie daje zatem żadnych gwarancji, że dane osobowe uczestników zawodów sportowych zostały usunięte ze wszystkich możliwych nośników danych i że nie zostaną one w przyszłości wykorzystane przez osoby nieuprawnione.

Podkreślić jednocześnie należy, że Stowarzyszenie dopuszczając możliwość publikowania w Internecie list startowych uczestników zawodów sportowych powinno mieć świadomość ryzyk związanych np. z możliwością edycji takiej listy przez osoby posiadające umiejętności pozwalające na wyodrębnienie danych, które – przed ich publikacją w Internecie – zostały ukryte. Istnienie tych ryzyk, w sytuacji braku działań administratora danych mających na celu ich minimalizację poprzez wdrożenie odpowiednich środków organizacyjnych i technicznych prowadzi wprost do powstania ryzyka naruszenia praw lub wolności osób fizycznych, których dane w taki sposób są udostępniane. Wobec powyższego, nie zasługują na uwzględnienie wyjaśnienia Stowarzyszenia, w których  wskazano, że „(…) lista startowa była przygotowana przez wolontariusza, gdyż Stowarzyszenie (…) nie posiada środków ani zasobów osobowych na zlecanie tego typu zadań podmiotom zewnętrznym (…)” oraz „(…) Stowarzyszenie (…) nie upoważniało kogokolwiek spoza grona organizatorów do, jak to zostało określone w piśmie UODO w Warszawie z dnia 23 maja 2022 r., poprawy wglądu oraz posegregowania zawodników pod względem dystansu i płci (…)”. Jak wynika bowiem z materiału dowodowego, Stowarzyszenie nie wprowadziło żadnych skutecznych środków organizacyjnych i technicznych, które ograniczałaby ryzyko bezpodstawnego udostępnienia danych osobowych uczestników zawodów sportowych.

Mając na uwadze, że Stowarzyszenie zwracało uwagę na ograniczone możliwości organizacyjne – z uwagi na to, że zadania przez nie realizowane wykonują wolontariusze a zawody, które przez ten podmiot są organizowane, mają charakter amatorski – podkreślenia wymaga, że okoliczności te pozostają bez znaczenia z punktu widzenia obowiązków Stowarzyszenia jako administratora danych.

Podkreślić również należy, że pomimo wielokrotnych wezwań Prezesa UODO, Stowarzyszenie nie przedstawiło wyczerpujących wyjaśnień organowi nadzorczemu w żądanym zakresie – tj. nie wskazało, czy w związku z ww. zdarzeniem dokonana została analiza pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia organu nadzorczego oraz osób, których dotyczy naruszenie. Powyższe świadczy o ignorowaniu przez Stowarzyszenie obowiązków, jakie na administratorów danych zostały nałożone po rozpoczęciu stosowania przepisów rozporządzenia 2016/679. Jest to niedopuszczalne w sytuacji, gdy charakter działalności Stowarzyszenia immanentnie wiąże się z koniecznością przetwarzania danych osobowych wielu osób. Nie sposób bowiem przyjąć, że organizacja zawodów sportowych (nawet tych o charakterze amatorskim) nie jest związana z koniecznością przetwarzania danych osobowych uczestników takich zawodów, np. dla celów dokumentowania wyników (np. sporządzanie list uczestników: list startowych, list z wynikami) oraz przyjętym z góry założeniem, że przebieg i wyniki zawodów będą nie tylko dokumentowane, lecz również publikowane. Przyznało to zresztą samo Stowarzyszenie wskazując, że „(…) w dniu zawodów bezpośrednio w biurze zawodów wszyscy uczestnicy podpisywali oświadczenia dotyczące udziału w zawodach i dotyczące zgody na zasady uczestnictwa określone w regulaminie zawodów oraz podpisywali listę startową (…)” oraz powołując się na postanowienia regulaminu, zgodnie z którym: „(…)Zgłaszający się do udziału w zawodach wyraża zgodę na przetwarzanie swoich danych osobowych dla potrzeb zawodów i wyraża zgodę na rozpowszechnianie swojego wizerunku na materiałach filmowych i fotograficznych z zawodów (…)”. Wobec powyższego, Stowarzyszenie powinno być świadome związanych z tym obowiązków regulowanych przepisami o ochronie danych osobowych oraz związanej z tym jego odpowiedzialności jako administratora danych.

W sytuacji, gdy na skutek naruszenia ochrony danych osobowych występuje ryzyko naruszenia praw lub wolności osób fizycznych (a jak wyżej wykazano w omawianym przypadku takie ryzyko wystąpiło), administrator zobowiązany jest wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy. Administrator powinien zrealizować przedmiotowy obowiązek możliwie najszybciej.

W motywie 85 preambuły rozporządzenia 2016/679 wyjaśniono: „Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki”.

Z kolei w motywie 75 preambuły rozporządzenia 2016/679 wskazano m.in.: „Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną; jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi (…)”.

Stosując przepisy rozporządzenia 2016/679 należy mieć na uwadze, że ich celem (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów – nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy opracowywaniu technicznych i organizacyjnych środków bezpieczeństwa mających im zapobiegać – należy w pierwszej kolejności brać pod uwagę te wartości.

W konsekwencji należy stwierdzić, że niedokonanie przez Stowarzyszenie zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w związku z opisanym incydentem, w terminie określonym w art. 33 ust. 1 rozporządzenia 2016/679, stanowi naruszenie przez Stowarzyszenie tego przepisu.

Na podstawie art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a) - h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy. Mając na uwadze ustalenia stanu faktycznego, Prezes Urzędu Ochrony Danych Osobowych, korzystając z przysługującego mu uprawnienia określonego we wskazanym wyżej przepisie rozporządzenia 2016/679 stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Stowarzyszenie administracyjnej kary pieniężnej.

Zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 -39 oraz 42 i 43 podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

W niniejszej sprawie administracyjna kara pieniężna wobec Stowarzyszenia nałożona została za naruszenie art. 33 ust. 1 rozporządzenia 2016/679 na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a) rozporządzenia 2016/679.

Decydując o nałożeniu na Stowarzyszenie administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej kary pieniężnej:

1. Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody(art. 83 ust. 2 lit. a rozporządzenia 2016/679).
W niniejszej sprawie stwierdzono naruszenie przepisu art. 33 ust. 1 rozporządzenia 2016/679 (polegające na niezgłoszeniu Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia). Związane jest ono ze zdarzeniem polegającym na udostępnieniu na profilu Stowarzyszenia na portalu Z. listy uczestników amatorskich zawodów sportowych zawierającej nadmiarowe dane osobowe osób biorących udział w tych zawodach. Stwierdzone w niniejszej sprawie naruszenie dotyczy ponad stu osób i wiąże się z ryzykiem naruszenia ich praw lub wolności. Udostępnienie nadmiarowych danych w zakresie obejmującym między innymi adres e-mail uczestnika zawodów sportowych może przykładowo ułatwić pozyskanie dalszych danych przez osoby nieuprawnione do ich pozyskania. Co więcej, pozyskane ww. sposób dane osobowe mogą służyć do m.in przeprowadzenia ataku phishingowego. Podkreślić przy tym należy – co już wcześniej szczegółowo zostało uzasadnione – że konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować. W świetle powyższego wskazać należy, że istnieje prawdopodobieństwo, że omawiane zdarzenie może doprowadzić do szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone. Już bowiem samo naruszenie poufności ich danych stanowi dla nich szkodę niemajątkową (krzywdę); osoby fizyczne, których dane pozyskano w sposób nieuprawniony, mogą co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi. Jak wskazał Sąd Okręgowy w Warszawie w wyroku z dnia 6 sierpnia 2020 r. sygn. akt XXV C 2596/19, obawa, a więc utrata bezpieczeństwa, stanowi realną szkodę niemajątkową wiążącą się z obowiązkiem jej naprawienia. Z kolei Trybunał Sprawiedliwości UE w orzeczeniu z dnia 14 grudnia 2023 r. w/s Natsionalna agentsia za prihodite (C-340/21) podkreślił, że „[a]rt. 82 ust. 1 RODO należy interpretować w ten sposób, że obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić »szkodę niemajątkową« w rozumieniu tego przepisu”.

Za okoliczność obciążającą Prezes UODO uznaje długi czas trwania naruszenia przez Stowarzyszenie przepisu art. 33 ust. 1 rozporządzenia 2016/679. Należy bowiem przyjąć, że ww. naruszenie trwa od powzięcia przez Stowarzyszenie informacji o wystąpieniu naruszenia ochrony danych osobowych, tj. od dnia 27 maja 2022 r. (data odbioru pisma informującego Stowarzyszenie z dnia 23 maja 2022 r.) i trwa nadal.

Stwierdzone w niniejszej sprawie naruszenie przepisów o ochronie danych osobowych ma poważny charakter i znaczącą wagę, bowiem jest ono związane z podstawowym obowiązkiem administratora, tj. obowiązkiem zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych zgodnie z dyspozycją określoną w art. 33 ust. 1 rozporządzenia 2016/679. W przedmiotowej sprawie Stowarzyszenie tego obowiązku nie dopełniło.

Biorąc pod uwagę powyższe Prezes UODO uznał przesłankę określoną w art. 83 ust. 2 lit. a) rozporządzenia 2016/679 za obciążającą.

2. Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
Zgodnie z Wytycznymi Grupy Roboczej Art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 WP253 (przyjętymi w dniu 3 października 2017 r., zatwierdzonymi przez EROD w dniu 25 maja 2018 r.), dalej WP253, umyślność „obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego”. Stowarzyszenie podjęło świadomą decyzję, by nie zawiadamiać o naruszeniu ochrony danych osobowych Prezesa UODO. Nie ulega wątpliwości, że Stowarzyszenie, przetwarzając dane osobowe w związku z organizacją zawodów sportowych jest zobowiązane aby posiadać wiedzę w zakresie ochrony danych osobowych, obejmującą wiedzę o konsekwencjach stwierdzenia naruszenia ochrony danych osobowych skutkującego ryzykiem naruszenia praw lub wolności osób fizycznych. Administrator podjął decyzję o rezygnacji z dokonania zgłoszenia naruszenia organowi nadzorczemu, pomimo faktu, że Prezes UODO w pierwszej kolejności informował Administratora o możliwości wystąpienia naruszenia ochrony danych osobowych w Stowarzyszeniu mogącym skutkować ryzykiem naruszenia praw lub wolności osób, których dane dotyczą, a następnie wszczął postępowanie administracyjne w przedmiocie naruszenia art. 33 ust. 1 rozporządzenia 2016/679 oraz kierował dalszą korespondencję, w której wskazywał, że dotyczy ona naruszenia ww. przepisu rozporządzenia 2016/679. Wszczęcie przez Prezesa UODO niniejszego postępowania w przedmiocie obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu oraz kierowanie dalszej korespondencji w tej sprawie, powinno nasunąć Administratorowi co najmniej wątpliwości co do słuszności przyjętego przez niego stanowiska.

3. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679).
W niniejszej sprawie Prezes UODO uznał za niezadowalającą współpracę z nim ze strony Stowarzyszenia. Ocena ta wiąże się z reakcją Stowarzyszenie na pisma Prezesa UODO wskazujące na możliwość zaistnienia w niniejszej sprawie ryzyka naruszenia praw lub wolności osób, których dotyczyło naruszenie ochrony danych osobowych. Pomimo ww. korespondencji Stowarzyszenie nie podjęło oczekiwanych, prawidłowych w świetle omówionych przepisów, działań, tj. nie przedstawiło dowodów potwierdzających dokonanie analizy zdarzenia pod kątem ryzyka naruszenia praw lub wolności osób fizycznych i w konsekwencji nie zgłosiło naruszenia ochrony danych osobowych Prezesowi UODO.

4. Inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
W pierwszej kolejności należy podkreślić, że zakres tego przepisu, który z konieczności ma charakter otwarty, powinien obejmować wszystkie uzasadnione względy dotyczące kontekstu społeczno-gospodarczego, w którym działa Administrator. Prezes UODO wszechstronnie rozpatrując sprawę odnotował dodatkowe okoliczności mające wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej. W ocenie organu nadzorczego Administrator nie udzielając kompletnych wyjaśnień wykazał się lekceważącym stosunkiem wobec obowiązków nałożonych na niego rozporządzeniem 2016/679. W omawianym przypadku nieudzielanie odpowiedzi lub udzielanie odpowiedzi niekompletnych utrudniało Prezesowi UODO dokładne zebranie i ocenę materiału dowodowego. Organ nadzorczy utożsamia takie postępowanie Administratora z działaniem, które ma doprowadzić do uniknięcia odpowiedzialności za wykazane naruszenie przepisów rozporządzenia 2016/679.

Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił również okoliczności łagodzące, mające wpływ na ostateczny wymiar kary, tj. działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679) – Stowarzyszenie usunęło kwestionowaną listę uczestników zawodów sportowych. Takie działanie Stowarzyszenia zasługuje na dostrzeżenie i akceptację, jednakże nie jest w żadnym wypadku równoznaczne z gwarancją faktycznego usunięcia danych przez osoby, które zdążyły rzeczoną listę pobrać zanim została usunięta i nie wyklucza ewentualnych negatywnych dla podmiotów danych konsekwencji ich wykorzystania.

Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.

1. Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
Ze względu na charakter naruszenia stwierdzonego w niniejszej sprawie (niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po jego stwierdzeniu) – które to naruszenie w swej istocie nie wiąże się ze stosowanymi przez administratora środkami technicznymi i organizacyjnymi – należy przyjąć, że przesłanka wskazana w art. 83 ust. 2 lit. d) rozporządzenia 2016/679 nie ma w rozpatrywanym przypadku wpływu ani obciążającego ani łagodzącego na wymiar orzeczonej administracyjnej kary pieniężnej. Nie ma ona znaczenia w ocenie naruszenia przez Stowarzyszenie przepisu art. 33 ust. 1 rozporządzenia 2016/679.

2. Wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust. 2 lit. e rozporządzenia 2016/679). 
Prezes UODO nie stwierdził jakichkolwiek, dokonanych przez Administratora, wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. Obowiązkiem każdego administratora jest przestrzeganie przepisów prawa (w tym o ochronie danych osobowych), więc brak wcześniejszych naruszeń nie może być okolicznością łagodzącą przy wymierzaniu sankcji.

3. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Dane osobowe zawarte na udostępnionej liście uczestników zawodów sportowych zorganizowanych przez Stowarzyszenie nie należą do szczególnych kategorii danych osobowych, o których mowa w art. 9 rozporządzenia 2016/679, ani nie stanowią danych dotyczących wyroków skazujących i czynów zabronionych, o których mowa w art. 10 tego rozporządzenia, jednakże w niniejszej sprawie organ uznał, że okoliczność ta nie może stanowić przesłanki łagodzącej wymiar orzeczonej administracyjnej kary pieniężnej. Naruszenie ochrony danych jakichkolwiek kategorii musi być automatycznie oceniane negatywnie, jako że jest to naruszenie przepisów rozporządzenia 2016/679. Jednakże zakres danych udostępnionych nadmiarowo (ujawnionych nieintencjonalnie) w powiązaniu z danymi opublikowanymi celowo (łączny zakres obejmuje imiona, nazwiska, płeć, klub, miejscowość, adresy e-mail, informacje o dacie urodzenia), wiąże się z ryzykiem naruszenia praw lub wolności osób fizycznych – nie istnieją zatem w tym przypadku podstawy do złagodzenia wymiaru administracyjnej kary pieniężnej ze względu na fakt, że dane, których dotyczy zaistniałe naruszenie ochrony danych osobowych, nie są danymi wyżej wskazanych kategorii.

4.Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).
O zaistnieniu przedmiotowego naruszenia przepisu art. 33 ust. 1 rozporządzenia 2016/679 związanego ze zdarzeniem polegającym na udostępnieniu na profilu Stowarzyszenia na portalu Z. listy uczestników amatorskich zawodów sportowych zawierającej nadmiarowe dane osobowe osób biorących udział w tych zawodach, Prezes UODO został poinformowany przez osobę trzecią. Brak zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych jest jedynym przedmiotem niniejszego postępowania i w okolicznościach rozważanego stanu faktycznego organ nadzorczy przyjął, że przesłanki tej nie potraktuje jako okoliczności obciążającej.

5. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował w wobec Administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym administrator nie miał obowiązku podejmowania żadnych  działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.

6. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).
Stowarzyszenie nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak - jak stanowią przepisy rozporządzenia 2016/679 - obowiązkowe dla administratorów i podmiotów przetwarzających w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na korzyść Administratora natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.

7. Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO nie stwierdził, żeby administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej administratora. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla Administratora. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.

W ocenie Prezesa UODO, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

Należy podkreślić, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Stowarzyszenie w przyszłości będzie wywiązywało się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie zgłaszania naruszenia ochrony danych osobowych Prezesowi UODO.

Z naruszeniem ochrony danych mamy do czynienia zarówno wówczas, gdy do zdarzenia dojdzie wskutek świadomego działania, jak i wtedy, gdy doprowadzi do niego nieumyślność – fakt, że do naruszenia doszło w wyniku omyłki nie powoduje zwolnienia administratora z obowiązków określonych w art. 33 ust. 1 rozporządzenia 2016/679 – stąd zastosowanie administracyjnej kary pieniężnej w niniejszym przypadku jest uzasadnione.

Odnosząc się do wysokości wymierzonej Stowarzyszeniu administracyjnej kary pieniężnej, wskazać należy, że Administrator nie należy do grupy podmiotów wymienionych w art. 102 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781; dalej jako: u.o.d.o.), a zatem w związku z tym, w przedmiotowej sprawie, nie mają zastosowania ograniczenia wysokości (odpowiednio do 10.000 lub 100.000 zł) administracyjnej kary pieniężnej. Wobec powyższego, stosownie do art. 101 u.o.d.o., administracyjna kara pieniężna nałożona zostaje na Stowarzyszenie na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679. Biorąc jednak pod uwagę, że Administrator nie jest także przedsiębiorcą, to ustalanie wysokości nałożonej administracyjnej kary pieniężnej nie nastąpiło poprzez odniesienie się do całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.  

Pomimo wezwania Prezesa UODO skierowanego do Administratora, Stowarzyszenie nie przekazało rocznego sprawozdania finansowego za rok 2022 r. W konsekwencji, Prezes UODO określił podstawę wymiaru administracyjnej kary pieniężnej nałożonej na Administratora w sposób szacunkowy uwzględniając jego wielkość oraz specyfikę prowadzonej działalności, stosownie do art. 101a ust. 2 u.o.d.o. Ustalając wysokość administracyjnej kary pieniężnej organ nadzorczy posiłkował się także oświadczeniem dotyczącym uzyskanych przychodów za 2021 r. Zgodnie z sprawozdaniem finansowym przychody Stowarzyszenia w 2021 r. wyniosły (...) zł.

Stosownie do treści art. 103 u.o.d.o., równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.

W ocenie Prezesa UODO zastosowana kara pieniężna w wysokości 916,71 zł (słownie: dziewięćset szesnaście złotych i siedemdziesiąt jeden groszy), co stanowi równowartość 210,00 EUR (średni kurs euro z 29 stycznia 2024 r. – 4,3653 zł) spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonego naruszenia w kontekście podstawowego celu rozporządzenia 2016/679 - ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych.

Odnosząc się do wysokości wymierzonej administracyjnej kary pieniężnej, Prezes UODO uznał, że jest ona w tym konkretnym przypadku wystarczająco odstraszająca oraz proporcjonalna do zaistniałych naruszeń. Warto podkreślić, że kwota nałożonej kary, tj. 210,00 EUR to jedynie 0,0021% maksymalnej wysokości kary, którą Prezes UODO mógł nałożyć na Stowarzyszenie za stwierdzone w niniejszej sprawie naruszenia – stosując zgodnie z art. 83 ust. 4 rozporządzenia 2016/679 statyczne maksimum kary (tj. 10 000 000 EUR).

W ocenie Prezesa Urzędu Ochrony Danych Osobowych, administracyjna kara pieniężna spełni funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Stowarzyszenie przepisów rozporządzenia 2016/679. Będzie również spełniać funkcję prewencyjną; w ocenie Prezesa UODO wskaże bowiem zarówno Stowarzyszeniu, jak i innym administratorom danych na naganność lekceważenia obowiązków administratorów związanych z zaistnieniem naruszenia ochrony danych osobowych.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.


[1] Wytyczne Europejskiej Rady Ochrony Danych w sprawie zgłaszania naruszeń ochrony danych osobowych, wersja 2.0, dalej zwane Wytycznymi 9/2022.

Podmiot udostępniający: Departament Kontroli i Naruszeń
Wytworzył informację:
user Mirosław Wróblewski
date 2024-04-30
Wprowadził informację:
user Wioletta Golańska
date 2024-05-15 13:15:19
Ostatnio modyfikował:
user Edyta Madziar
date 2024-05-15 14:09:28