Decyzja

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572) w związku z art. 7 ust. 1 i 2, art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), a także art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. d) oraz i), art. 83 ust. 1 – 3, art. 83 ust. 4 lit. a) w związku z art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 oraz art. 83 ust. 5 lit. a) w związku z art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119  z 4.05.2016, str. 1,  Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej rozporządzenie 2016/679, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez X. w Y. (ul. (…), (…)), Prezes Urzędu Ochrony Danych Osobowych,

1. stwierdzając naruszenie przez X. w Y. (ul. (…), (…)) przepisów art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 polegające na niezastosowaniu przez X. w Y. (ul. (…), (…)):
a) odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy wykorzystaniu komputerów przenośnych, w celu ochrony zapisanych tam danych osobowych, oraz dokumentów zawierających dane osobowe, w tym ich ochrony przed przypadkową utratą, zniszczeniem lub uszkodzeniem oraz ujawnieniem osobom nieuprawnionym;
b) odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych przetwarzanych przy wykorzystaniu komputerów przenośnych,
co skutkowało naruszeniem art. 5 ust. 1 lit. f) (zasady integralności i poufności) oraz art. 5 ust. 2 rozporządzenia 2016/679 (zasady rozliczalności):

2. nakłada na X. w Y. (ul. (…), (…)) za naruszenie przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 administracyjną karę pieniężną w kwocie 24 555 złotych (słownie: dwadzieścia cztery tysiące pięćset pięćdziesiąt pięć złotych),

3. nakazuje X. w Y. (ul. (…), (…)) dostosowanie operacji przetwarzania do przepisów rozporządzenia 2016/679 poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania przy wykorzystaniu komputerów przenośnych, w terminie 3 miesięcy od dnia doręczenia niniejszej decyzji.

Uzasadnienie

X. w Y. (ul. (…), (…)), dalej również jako X. lub Administrator, 17 maja 2023 r. dokonała zgłoszenia Prezesowi Urzędu Ochrony Danych Osobowych (dalej również jako Prezes UODO lub organ nadzorczy) naruszenia ochrony danych osobowych, do którego doszło 14 maja 2023 r.

Przedmiotowe zgłoszenie naruszenia ochrony danych osobowych stało się dla organu nadzorczego impulsem do dokonania oceny realizacji przez Administratora spoczywających na nim obowiązków wynikających z przepisów rozporządzenia 2016/679 dotyczących właściwego zabezpieczenia danych oraz organizacji systemu ochrony danych osobowych. W związku z powyższym, Prezes UODO przeprowadził postępowanie wyjaśniające w tej sprawie, a następnie wszczął z urzędu 15 maja 2024 r. postępowanie administracyjne w zakresie możliwości naruszenia przez X., jako administratora danych, obowiązków wynikających z przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenie 2016/679.

Prezes UODO, w wyniku przeprowadzonego postępowania wyjaśniającego w sprawie zgłoszonego naruszenia ochrony danych osobowych oraz postępowania administracyjnego ustalił następujący stan faktyczny.

I.
Naruszenie ochrony danych osobowych nastąpiło na skutek zagubienia w środku transportu publicznego ( T.) plecaka, w którym znajdowały się dokumenty (faktury) oraz laptop będący własnością X.. W formularzu zgłoszenia naruszenia ochrony danych osobowych Administrator wskazał, że nie jest w stanie określić przybliżonej liczby osób, których dane naruszono. W konsekwencji ww. zdarzenia doszło do utraty poufności danych osobowych. Administrator wskazał, że kategorie danych osobowych, które zostały naruszone, to: nazwiska i imiona, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, dane dotyczące zarobków i/lub posiadanego majątku, seria i numer dowodu osobistego, numer telefonu, dane dotyczące zdrowia i inne (przynależność do stowarzyszenia, przydział służbowy). Administrator określił kategorie osób, których dane osobowe zostały naruszone, podając, że te dane dotyczą pracowników i dzieci. Administrator zawarł szczegółowy opis kategorii osób wskazując, że byli to „(…) uczestnicy wypoczynku, rodzice / opiekunowie prawni, kontrahenci, członkowie W. pełniący funkcję (…)”.

W piśmie z 1 lutego 2024 r. Administrator doprecyzował opis zakresu utraconych danych osobowych wskazując, że „(…) w dokumentacji papierowej były następujące dane osobowe: dane osób wystawiających faktury oraz osób opisujących faktury - imiona i nazwiska, stanowiska służbowe. Na laptopie były następujące dane osobowe: pobrane skany pełnomocnictw dla (…) i skarbników (…) [imiona, nazwiska, pesele wolontariuszy]; skany faktur i pism [generalnie skany korespondencji imiona, nazwiska i stanowiska korespondujących z X.]; listy danych kontaktowych do (…) oraz innych funkcyjnych w (…) [stopień, imiona, nazwiska, numery telefonów, adresy email, pełniona funkcja]; dokumenty dotyczące pracowników X. np.: skany zaświadczeń do urlopów macierzyńskich; [imię, nazwisko, adres, pesel]; plany pracy drużyny - dane osobowe kadry, [imiona i nazwiska członków, wiek, stopień]; dane zgłoszeniowe na zimowy wypoczynek dzieci i młodzieży 2023 – [imiona i nazwiska, telefony rodziców, dane o stanie zdrowia, adres zameldowania]; wyciągi bankowe - imiona i nazwiska, numery rachunków, adresy (…)”. W ww. piśmie X. wyjaśniła ponadto, że zagubiony laptop był własnością Administratora. Natomiast osoba, która zagubiła plecak – w którym przenoszono ten laptop i dokumentację papierową zawierającą dane osobowe – była jednocześnie zleceniobiorcą Administratora, jak i osobą wykonującą działalność wolontarystyczną na rzecz Administratora (był to instruktor W.).

Ze zgłoszenia naruszenia ochrony danych osobowych wynika, że sprawa zagubienia plecaka została zgłoszona Policji. Natomiast w piśmie z 1 lutego 2024 r. Administrator wskazał, że „(…) X. nie otrzymała żadnej informacji z Policji. Mimo dokonanego zgłoszenia z ustnych informacji uzyskanych od funkcjonariuszy na posterunku (…) wynikało, że żadne postępowania nie zostanie wszczęte, ponieważ mamy do czynienia z zagubieniem a nie kradzieżą (…)”.

II.
Przed wystąpieniem naruszenia ochrony danych osobowych Administrator przeprowadził analizę ryzyka dla operacji przetwarzania danych, w ramach których doszło do przedmiotowego naruszenia. Administrator dostarczył organowi nadzorczemu formularz przedmiotowej analizy w pliku o formacie .xlsx. Zgodnie z wyjaśnieniami X. analiza ryzyka wykonywana była regularnie, a dostarczona organowi analiza ryzyka została wykonana w styczniu 2023 r.  W omawianym dokumencie określono następujące czynności przetwarzania danych: (…)

W omawianej analizie ryzyka - w odniesieniu do zidentyfikowanych czynności przetwarzania danych - określono między innymi:
- cel przetwarzania,
- kategorie osób,
- kategorie danych,
- „ogólny opis technicznych i organizacyjnych środków bezpieczeństwa zgodnie z art. 32 ust 1 (jeżeli jest to możliwe)”,
- zidentyfikowane zagrożenia,
- zidentyfikowane podatności,
- prawdopodobieństwo i skutki naruszenia rozliczalności, integralności oraz poufności,
- ryzyko wyrażone wartością liczbową wyznaczoną w oparciu o przyjętą metodologię,
- poziom ryzyka określony zgodnie z przyjętą metodologią (np. niski lub średni),  
- decyzję w związku z ustalonym ryzykiem, tj. sposób postępowania (działania) z tym ryzykiem, np. monitorowanie lub akceptacja,
- uzasadnienie decyzji, co do przyjętego sposobu postępowania z ryzkiem,
- możliwe skutki naruszenia ochrony danych osobowych.

W przeprowadzonej analizie w ramach „ogólnego opisu technicznych i organizacyjnych środków bezpieczeństwa zgodnie z art. 32 ust. 1” Administrator uwzględnił między innymi „zabezpieczenie komputerów hasłami”, „szyfrowanie dysków, w przypadku wynoszenia sprzętu poza siedzibę”, „regularne szkolenia z ochrony danych osobowych”.

W ramach zidentyfikowanych zagrożeń Administrator wskazał: udostępnienie danych uwierzytelniających osobie postronnej; atak hackerski, malware, ransomware; kradzież sprzętu/dokumentów; zgubienie sprzętu/dokumentów; dostęp osoby nieuprawnionej do przetwarzanych informacji.

W ramach zidentyfikowanych podatności Administrator wskazał: luki w aplikacjach; otwieranie podejrzanych stron www; wynoszenie dokumentów/sprzętu poza budynki Administratora; pozostawienie komputera/dokumentacji papierowej bez opieki; nieodpowiednie przewożenie nośników danych; brak szyfrowania dysków.

W przedłożonej analizie dla poszczególnych czynności przetwarzania Administrator wyznaczył poziom ryzyka oraz wskazał jaką decyzję wobec tego ryzyka podjął. Przedstawiono także uzasadnienie decyzji wskazując: „(…) Stosowanie przyjętych zasad przetwarzania danych zapewnia wystarczającą ochronę danych.  Należy stale podnosić świadomość użytkowników w zakresie bezpiecznego przetwarzania danych osobowych. (…)”.

Wraz z analizą ryzyka administrator przekazał metodologię szacowanie poziomu ryzyka określając w tym dokumencie, że „(…) szacowanie ryzyka obejmuje analizę ryzyka i ocenę ryzyka. Ocena ryzyka, czyli określenie, które ryzyka są akceptowalne poprzez porównanie wyznaczonych poziomów ryzyka z tymi, które można zaakceptować (…)”. W omawianej metodologii Administrator zdefiniował pojęcia rozliczalności, integralności i poufności. Rozliczalność została zdefiniowana jako „przestrzeganie wszystkich zasad przy przetwarzaniu danych osobowych oraz możliwość wykazania ich przestrzegania”, integralność została zdefiniowana jako „wszelkie zmiany wykonywane w systemach informatycznych oraz na dokumentach papierowych zawierających dane osobowe, były skutkiem zaplanowanych działań użytkowników; właściwość zapewniająca, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany”, natomiast poufność została zdefiniowana jako „zapewnienie, że dane osobowe nie są udostępniane nieupoważnionym podmiotom”.

III.
Po wystąpieniu naruszenia ochrony danych osobowych (w dniu 17 maja 2023 r.) Administrator przeprowadził analizę ryzyka dla operacji przetwarzania danych, w ramach których doszło do przedmiotowego naruszenia. Administrator dostarczył organowi nadzorczemu formularz przedmiotowej analizy w pliku o formacie .xlsx. Analiza ryzyka wykonana po wystąpieniu naruszenia ochrony danych osobowych w  gruncie rzeczy pokrywa się z analizą ryzyka wykonaną przed naruszeniem.

W omawianym dokumencie wprowadzono następujące zmiany:
- w części dotyczącej zidentyfikowanych podatności Administrator dopisał, że nieodpowiednie przewożenie nośników danych dotyczy także pozostawienia ich w transporcie publicznym,
- w części dotyczącej uzasadnienia decyzji wobec określonego ryzyka wskazano dodatkowo: „(…) W wyniku naruszenia, które miało miejsce 14 maja 2023 r. podjęto decyzję o przeprowadzeniu szczegółowej weryfikacji w zakresie szyfrowania dysków na komputerach służbowych wynoszonych poza budynki Administratora (…)”.

IV.
X. przedstawiła dowody dotyczące środków technicznych i organizacyjnych, których wdrożenie miało zapewnić stopień bezpieczeństwa odpowiadający ryzku naruszenia praw lub wolności osób fizycznych, których dane Administrator przetwarza. W ramach powyższego, Administrator przekazał wyjaśnienia dotyczące procedury wynoszenia komputerów przenośnych oraz dokumentów zawierających dane osobowe poza obszar przetwarzania danych osobowych. Pismem z 19 maja 2023 r. organ nadzorczy zwrócił się do X. o wskazanie, czy Administrator opracował oraz wdrożył procedurę wynoszenia komputerów przenośnych oraz dokumentów zawierających dane osobowe poza obszar przetwarzania danych osobowych, a jeżeli tak, poprosił o przekazanie jej kserokopii oraz podanie, czy i w jaki sposób weryfikowane jest jej przestrzeganie przez pracowników Administratora.

W odpowiedzi na powyższe pytanie w piśmie z 30 maja 2023 r. Administrator wskazał, że „(…) w W. [obejmuje całą organizację w tym X.] przyjęta jest między innymi Instrukcja (…) [załącznik], w której określono bezpieczeństwo danych cyfrowych oraz wymagania dla infrastruktury informatycznej, w tym określono (…). Instrukcja dostępna jest w intranecie W. (…) i została przyjęta uchwałą (…). Zgodnie ze Statutem (…) każdy członek W. zobowiązany jest przestrzegać uchwał władz W., w tym przyjętych regulaminów i instrukcji. W. ma opracowany system kar za łamanie Statutu (…) lub regulaminów wewnętrznych. W W. obowiązuje również Procedura (…) [załącznik]. Procedura jest dostępna w intranecie W. dla każdego członka W. [screen]. W procedurze określono szczegółowe zasady przechowywania, przewożenia dokumentów w formie papierowej oraz elektronicznej. Oba powyższe dokumenty wymienione są w Polityce (…). W grudniu 2023 roku doszło do zmiany władz X. [walne zebranie stowarzyszenia]. Nowa (…) po wdrożeniu się w bieżące sprawy organizacji, po przejęciu protokolarnym X. rozpoczęła wizyty [audyty] w każdym (…) w celu sprawdzenia poprawności funkcjonowania (…), w tym poprawności przetwarzania danych osobowych, stosowania zabezpieczeń i wdrażania przyjętych procedur. Wizyta w (…), którego dotyczy naruszenie została wyznaczona 02.06.2023 r. Osoba, która była odpowiedzialna za naruszenie była przeszkolona z zakresu ochrony danych osobowych (…)” [pisownia oryginalna].

W dokumencie „Procedura (…)” (dalej również jako „Procedura”) znajdują się zapisy (uregulowania) dotyczące przetwarzania danych osobowych przez osoby upoważnione przez Administratora. Na wstępie tego dokumentu wskazano, że „(…) poniżej zamieszczamy krótką listę umiejętności, które powinien posiąść każdy instruktor. Z jej pomocą możecie dokonać samooceny i określić kierunki samokształcenia w zakresie ochrony danych osobowych. Instruktor: - Wie, czym są dane osobowe i ich przetwarzanie, oraz potrafi zidentyfikować operacje przetwarzania danych osobowych w swojej codziennej służbie instruktorskiej (...) - Zna szczególne zasady bezpieczeństwa danych osobowych w czasie pobytu w terenie (...)”. Omawiany dokument zawiera także wskazania dotyczące sposobu postępowania z danymi osobowymi zawartymi w dokumentacji papierowej. W Procedurze wskazano: „(…) nie wynoś dokumentacji zawierającej dane osobowe, w tym sporządzonych doraźnie kopii lub wydruków, poza pomieszczenia zajmowane przez W. bez uprzedniej zgody inspektora ochrony danych, chyba że: - jedziesz do sądu, urzędu itd. w celach służbowych, do których te dokumenty są Ci niezbędne, - jedziesz na biwak lub inną formę wypoczynku dzieci i młodzieży (…)”.

Procedura określa ponadto „Zasady (…)” (Rozdział (…)) W ramach tego rozdziału określono między innymi „Zasady (…)”, gdzie podniesiono konieczność niepozostawiania tego rodzaju nośników bez opieki i nadzoru oraz konieczność stosowania szyfrowania urządzenia (szczegółowe ustalenia stanu faktycznego w obszarze stosowania mechanizmów szyfrowania zostały omówione w pkt V uzasadnienia faktycznego). W rozdziale (…) Procedury „Szczególne (…)” podkreślono konieczność zapewnienia właściwego poziomu bezpieczeństwa w sytuacji, gdy nośniki danych osobowych są wynoszone poza siedzibę organizacji Administratora. W tym rozdziale zawarta została tabela, w której wskazano na zagrożenia oraz „propozycje postępowania”. Określone w niej zagrożenia związane są z przedmiotowym naruszeniem ochrony danych osobowych, a w ramach „propozycji postępowania” zwrócono uwagę na konieczność niepozostawiania nośników danych bez nadzoru osób upoważnionych do ich przetwarzania. W rozdziale (…) Procedury zaznaczono także, że „(…) powyższe uwagi dotyczące papierowej dokumentacji, zawierającej dane osobowe, mają zastosowanie również do elektronicznych nośników takich danych (…)”.

Z kolei w „Instrukcji (…)” (dalej również jako „Instrukcja”) ustalono między innymi, że „(…) wszystkie dane wytworzone w związku z działalnością W. w formie elektronicznej powinny być zabezpieczone w odpowiednim systemie informatycznym zaakceptowanym przez W.. Dane zapisane w urządzeniu lokalnym mogą stanowić jedynie kopię roboczą danych, a ich przechowywanie na urządzeniu prywatnym lub służbowym wymaga spełnienia wymagań opisanych w dalszej części Instrukcji (…)” oraz, że „(…) infrastruktura informatyczna musi być zabezpieczona przed fizycznym dostępem osób nieupoważnionych (…)”.

V.
Administrator przekazał organowi nadzorczemu szczegółowe wyjaśnienia dotyczące szyfrowania dysku twardego utraconego laptopa. W „Instrukcji (…)” wskazano, że „(…) w przypadku urządzeń służbowych wynoszonych poza budynki W. obowiązkowe jest uruchomienie szyfrowania pamięci masowej urządzenia (…)”. Natomiast w „Procedurze (…)” w ramach „Zasad (…)” określono, że „(…) Dane osobowe, które są na takim [tj. wynoszonym poza siedzibę organizacji Administratora – przypis Prezesa UODO] nośniku muszą być zaszyfrowane poprzez hasło dostępu do całego urządzenia (…)”.Z kolei w piśmie z 30 maja 2023 r. Administrator wskazał, że „(…) komputer nie posiadał szyfrowania dysków (…)”. 

Świadomość Administratora o konieczności stosowania szyfrowania dysków na przenośnych komputerach wykorzystywanych do przetwarzania danych osobowych poza jego siedzibą wynika także z przekazanych organowi nadzorczemu komunikatów inspektora ochrony danych. Komunikaty zostały wydane po wystąpieniu przedmiotowego naruszenia ochrony danych osobowych, ale wskazują one na unormowane przez Administratora wymogi dotyczące szyfrowania pamięci dysków i pamięci przenośnych. W komunikacie z 11 sierpnia 2023 r. Inspektor Ochrony Danych W. wskazał, że „(…) jeśli dokumenty muszą być przechowane na dysku twardym komputera należy zastosować szyfrowanie dysku lub ewentualnie należy zaszyfrować foldery, w których dokumenty się znajdują. Można również zaszyfrować bezpośrednio pliki. Do komunikatu dołączam krótki poradnik w zakresie szyfrowania plików i folderów (…)”. Z kolei w komunikacie z 7 lutego 2024 r. Inspektor Ochrony Danych W. wskazał decyzje Prezesa UODO nakładające administracyjne kary pieniężne, w których podniesiono kwestię stosowania szyfrowania nośników pamięci. W tym komunikacie Inspektor Ochrony Danych W. rekomendował między innymi „(…) wdrożenie procedur z Polityki (…) związanych z szyfrowaniem dysków i pamięci przenośnych (…)”.

Co więcej, świadomość Administratora dotycząca konieczności stosowania dodatkowego zabezpieczenia sprzętu komputerowego w sytuacji jego wynoszenia poza siedzibę X. wynika z „ankiet audytowych” za lata 2023 i 2024 (uzupełnione ankiety zostały dostarczone organowi nadzorczemu wraz z pismem z 22 maja 2024 r.). W ankiecie przeprowadzonej przed wystąpieniem przedmiotowego naruszenia ochrony danych osobowych (audyt przeprowadzono 11 kwietnia 2023 r.) znajduje się pytanie dotyczące wynoszenia sprzętu służbowego poza jednostkę na które pada odpowiedź twierdząca. W sekcji ankiety określonej jako „komentarze/stwierdzone nieprawidłowości” wskazano, że „(…) w części komputerów stwierdzono brak zastosowania szyfrowania dysków. X. jest w trakcie wymiany sprzętu i wdrażania nowego, który zawiera program do szyfrowania dysków. Pracownicy i współpracownicy zostali poinformowali, że sprzęt bez szyfrowania dysków ma nie być wynoszony poza siedzibę (…)”.

VI.
Administrator przekazał wyjaśnienia dotyczące testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, które miały zapewnić bezpieczeństwo przetwarzania danych osobowych.

W piśmie z 1 lutego 2024 r. Administrator zaznaczył, że X. jest organizacją pozarządową, która swoją bieżącą działalność opiera w dużej mierze na świadczeniach realizowanych przez wolontariuszy. Administrator wskazał, że „(…) podejmuje wszelkie możliwe środki żeby swoją działalność wykonywać bezpiecznie. Dwa razy w roku robimy audyt sprzętu komputerowego siłami wolontariuszy z wykształceniem IT. Na podstawie jego wyników opracowujemy zestawienie zadań do działania np. wdrożenia dodatkowych zabezpieczeń, zmian sprzętu. Działania te są wdrażane według priorytetów i możliwości finansowych. X. z pozyskanych środków zakupiła po tym naruszeniu sprzęt komputerowy, który umożliwia szyfrowanie dysków na sprzęcie służbowym. Sprzęt, który nie posiada możliwości szyfrowania został wycofany z użytku. Ponadto Administrator wykonuje regularne kopie bezpieczeństwa, które są testowane przez osobę odpowiedzialną za obszar IT. Wolontariusze z wykształceniem i doświadczeniem w zakresie IT wspierają Administratora w kwestii monitorowania aspektów bezpieczeństwa sprzętów i systemów informatycznych (…)”.

X. uzupełniła swoje wyjaśnienia dotyczące ww. obowiązku administratora danych w z 22 maja 2024 r. X. wskazała, że jej działania w tym omawianym zakresie dotyczyły:

1. „Polityki i procedur”,
2. „Kontroli dostępu”,
3. „Regularnych audytów i przeglądów”,
4. „Wykonywania analizy ryzyka i zagrożeń”,
5. „Wykonywania kopii zapasowych i ich testowanie”.

W ramach działań określonych przez Administratora jako „polityki i procedury” X. wskazała, że:
1) przyjęła „Politykę (…)”, która podlega przeglądom i aktualizacjom. Administrator wyjaśnił, że przeglądy są dokonywane w trakcie corocznych audytów wykonywanych przez Inspektora Ochrony Danych,
2) „(…) Administrator stosuje polecenia do przetwarzania danych osobowych, w których każda osoba upoważniania oświadcza, że zobowiązuje się do odpowiedniego zabezpieczenia danych osobowych i zna przyjęte procedury. Wystawiane polecenia do przetwarzania danych osobowych podlegają ocenie w trakcie regularnych audytów [badany jest zakres poleceń, czy wszystkie osoby dopuszczone do przetwarzania danych osobowych mają wystawione polecenia] (…)”,
3) „(…) Pracownicy, współpracownicy oraz wolontariusze w trakcie regularnych odpraw, które miały miejsce w siedzibie, byli wielokrotnie informowani o odpowiednim zabezpieczaniu dokumentów wynoszonych poza siedzibę oraz o zakazie wynoszenia sprzętu służbowego bez szyfrowania poza siedzibę (…)”.
4) „(…) Administrator na podstawie prowadzonej analizy ryzyka, rozmów z pracownikami i wolontariuszami ocenił, że skutecznymi środkami organizacyjnymi są szerokie działania edukacyjne, które podlegają ewaluacji i poszerzaniu treści. Na tej podstawie dokonywano rozbudowy treści szkoleniowych, źródeł dotarcia, metod przekazywania wiedzy i jej sprawdzania (…)”,

W ramach działań określonych przez X. jako „kontrola dostępu” Administrator wskazał, że prowadzi kontrolę w zakresie dopuszczania konkretnych osób do przetwarzania danych osobowych. „(…) Dostęp nadawany jest na podstawie zakresu obowiązków, co dalej znajduje odzwierciedlenie w wystawionym poleceniu do przetwarzania danych osobowych. Zakresy podlegają sprawdzeniu w trakcie audytów (…)”. Ponadto X. wyjaśniła, że prowadzi coroczną inwentaryzację sprzętu IT.  W ramach działań określonych przez X. jako „regularne audyty i przeglądy” Administrator wyjaśnił, że „(…) przy udziale Inspektora Ochrony Danych regularnie [minimum raz w rok]) dokonywał audytów RODO, w tym stosowanych zabezpieczeń (…)” oraz, że „(…) przy wsparciu zespołu wolontariuszy posiadających kompetencje z zakresu IT dokonywał przeglądu sprzętów IT (…)”.

Administrator wyjaśnił ponadto, że wykonuje „(…) regularną analizę ryzyka i zagrożeń (…)” oraz „(…) regularnie kopie zapasowe i dokonuje ich testowania (…)”.

VII.
Administrator przedłożył wyjaśnienia dotyczące działań, które podjął po wystąpieniu naruszenia ochrony danych osobowych.

W pierwszej kolejności należy wskazać, że po wystąpieniu przedmiotowego naruszenia ochrony danych osobowych, X. przeprowadziła analizę ryzyka, którą opisano w pkt II uzasadnienia faktycznego. Ponadto, w ramach omawianych działań inspektor ochrony danych W.  (dalej również jako IOD W.) skierował komunikat, w treści którego wskazał, że „(…) w związku z zaistniałym w ostatnim czasie naruszeniem bezpieczeństwa danych osobowych przypominam, że wynosząc dokumenty lub sprzęt teleinformatyczny zawierający dane osobowe należy zastosować środki bezpieczeństwa (…)”. W tym komunikacie IOD W. wskazał, jakich zasad należy przestrzegać w przypadku przetwarzania danych osobowych z wykorzystaniem dokumentacji papierowej i sprzętu teleinformatycznego. IOD W. zwrócił uwagę między innymi, że „(…) W przypadku dokumentów w formie papierowej należy: (…) pilnować torebki/plecaka/aktówki, w której przewożone są dokumenty i nie pozostawiać jej bez opieki w miejscach, w których dostęp mogą mieć osoby nieupoważnione (…)  przypadku sprzętu teleinformatycznego należy: (…) zabezpieczyć profil hasłem [nie chroni to jednak w sytuacji, w której ktoś dokona demontażu dysku twardego i podepnie go do innego urządzenia] (…) zaszyfrować dysk twardy [chroni to w przypadku wymontowania dysku twardego] (…)”.

Jak wynika z dokumentu „Podsumowanie (…)” z 18 maja 2023 r., na spotkaniu z IOD W. zostały przypomniane „podstawowe zasady wynoszenia dokumentów i sprzętu poza budynki Administratora”. Również i z tego dokumentu wynika, że IOD W. zwrócił uwagę między innymi na konieczność pilnowania dokumentacji papierowej i sprzętu komputerowego z danymi osobowymi oraz na konieczność szyfrowania dysków twardych komputerów w przypadku ich wynoszenia poza siedzibę organizacji Administratora.

Z kolei w piśmie z 1 lutego 2024 r. Administrator wskazał, że po wystąpieniu naruszenia ochrony danych osobowych X. wycofała z użytku sprzęt komputerowy nie posiadający szyfrowania.

Organ nadzorczy dokonał oceny materiału dowodowego pod kątem zbadania jego wiarygodności i mocy dowodowej. Prezes UODO przedłożone przez Administratora dowody uznał za wiarygodne. Za powyższym przemawia fakt, że kluczowe wyjaśnienia Administratora są logiczne, spójne i korelują z całością materiału dowodowego.

W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

I. Naruszenie przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679.
Na wstępie należy wskazać, że w przedmiotowej sprawie administratorem danych jest X., bowiem – zgodnie z art. 4 pkt 7) rozporządzenia 2016/679 – „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

Zgodnie z § (…) Statutu (…), dalej również jako Statut W.,  W.,  jest wspólnotą podstawowych i terenowych jednostek organizacyjnych (ust. 1). Terenowymi jednostkami organizacyjnymi W. są (…) (ust. 2). Z kolei § (…) ust. 2 Statutu W. stanowi, że X. posiada osobowość prawną. W omawianym statucie wskazano, że X. tworzy warunki do działania (…) i podległych jednostek organizacyjnych przez: (…). Jak wynika ze zgromadzonego materiału dowodowego utracony laptop był własnością X. a dokumenty znajdujące się w plecaku zostały wytworzone w związku z jej działalnością.

Z powyższych faktów wynika, że X. ustalała cele i sposoby przetwarzania danych osobowych dla potrzeb związanych z jej statutową działalnością, a zatem w przedmiotowej sprawie X. jest administratorem danych, zgodnie z definicją zawartą z art. 4 pkt 7 rozporządzenia 2016/679. Powyższe potwierdza, przekazany do organu nadzorczego dokument zgłoszenia naruszenia ochrony danych osobowych, w którym wskazano, że pełną nazwą administratora jest „X.”.

Zgodnie z art. 34 u.o.d.o.[1] Prezes UODO jest organem właściwym w sprawie ochrony danych i organem nadzorczym w rozumieniu rozporządzenia 2016/679. Stosownie do art. 57 ust. 1 lit. a) i h) rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia oraz prowadzi postępowania w sprawie naruszenia niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego.

Art. 5 rozporządzenia 2016/679 formułuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 lit. f) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („poufność i integralność”). Stosownie zaś do art. 5 ust. 2 rozporządzenia 2016/679, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”). Konkretyzację zasady poufności, o której mowa w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, stanowią dalsze przepisy tego aktu prawnego. Zgodnie z art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

W myśl z art. 25 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

Z treści art. 32 ust. 1 rozporządzenia 2016/679 wynika, że administrator jest zobowiązany do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Przepis precyzuje, że decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, powinny obejmować środki takie, jak pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się  z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Jak wskazuje art. 24 ust. 1 rozporządzenia 2016/679, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze są czynnikami, które administrator ma obowiązek uwzględniać w procesie budowania systemu ochrony danych, również w szczególności z punktu widzenia pozostałych obowiązków wskazanych w art. 25 ust. 1, art. 32 ust. 1 czy art. 32 ust. 2 rozporządzenia 2016/679. Wskazane przepisy uszczegóławiają zasadę poufności określoną  w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, a przestrzeganie tej zasady jest konieczne dla prawidłowej realizacji zasady rozliczalności wynikającej z art. 5 ust. 2 rozporządzenia 2016/679.

Jedną z podstaw prawnej ochrony danych osobowych wprowadzoną rozporządzeniem 2016/679 jest obowiązek zapewnienia bezpieczeństwa przetwarzanych danych, określony między innymi w art. 32 ust. 1 rozporządzenia 2016/679. Przepis ten wprowadza podejście oparte na ryzyku, wskazując jednocześnie kryteria, w oparciu o które administrator powinien dokonać wyboru odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Obok ryzyka naruszenia praw lub wolności osób fizycznych należy zatem uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania.

Rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są nie tylko do zapewnienia zgodności z wytycznymi ww. rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka. Konsekwencją takiej orientacji jest rezygnacja z list wymagań, w zakresie bezpieczeństwa narzuconych przez prawodawcę, na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa.

W świetle powyższego wskazać należy, że analiza ryzyka przeprowadzana przez administratora danych powinna zostać udokumentowana oraz uzasadniona na podstawie przede wszystkim określenia stanu faktycznego, istniejącego w momencie jej przeprowadzania. Należy wziąć pod uwagę w szczególności charakterystykę zachodzących procesów, aktywa, podatności, zagrożenia oraz istniejące zabezpieczenia, w ramach zachodzących procesów przetwarzania danych osobowych. Nie można również w trakcie tego procesu pominąć zakresu oraz charakteru danych osobowych przetwarzanych w toku czynności realizowanych przez administratora danych, albowiem w zależności właśnie od zakresu oraz charakteru ujawnionych danych zależeć będą potencjalne negatywne skutki dla osoby fizycznej w przypadku wystąpienia naruszenia ochrony jej danych osobowych.

Aby analiza ryzyka została przeprowadzona w sposób właściwy, winny być zdefiniowane dla każdego z aktywów zagrożenia, mogące wystąpić w procesach przetwarzania danych.

Określenie aktywa używane jest dla wskazania wszystkiego, co stanowi wartość dla administratora danych. Pewne aktywa stanowić będą wartość wyższą od innych, i również z tej perspektywy winny być oceniane i zabezpieczane. Bardzo istotne są również wzajemne powiązania występujących aktywów, np. poufność aktywów (danych osobowych) zależna będzie od rodzaju i sposobu przetwarzania tych danych. Ustalenie wartości aktywów jest konieczne do oszacowania skutków ewentualnego incydentu (naruszenia ochrony danych osobowych). Jest oczywistym, że szeroki zakres danych osobowych lub przetwarzanie danych osobowych, o których mowa w art. 9 lub art. 10 rozporządzenia 2016/679, może spowodować (w przypadku wystąpienia naruszenia ochrony danych osobowych) daleko idące negatywne skutki dla osób, których  dane dotyczą, więc winny one być oceniane jako aktywa o wysokiej wartości, a co za tym idzie stopień ich ochrony powinien być odpowiednio wysoki.

Określenie istniejących lub stosowanych zabezpieczeń jest konieczne, między innymi w tym celu, aby ich nie powielać. Należy również bezwzględnie sprawdzić skuteczność funkcjonowania tych zabezpieczeń, ponieważ istnienie zabezpieczenia niesprawdzonego po pierwsze może wyeliminować jego wartość, po drugie zaś może dać fałszywe poczucie bezpieczeństwa oraz może skutkować pominięciem (niewykryciem) krytycznej podatności, która wykorzystana spowoduje bardzo negatywne skutki, w tym w szczególności może doprowadzić do naruszenia ochrony danych osobowych.

Podatność jest określana powszechnie jako słabość bądź luka w zabezpieczeniach, która wykorzystana przez dane zagrożenie może zakłócać funkcjonowanie, a także może prowadzić do incydentów bądź naruszeń ochrony danych osobowych. Identyfikowanie zagrożeń polega na określaniu, jakie zagrożenia i z jakiego kierunku (powodu) mogą się pojawić.

Metodą przeprowadzenia analizy ryzyka jest np. zdefiniowanie poziomu ryzyka jako iloczynu prawdopodobieństwa i skutków wystąpienia danego incydentu. Zazwyczaj wykorzystuje się macierz ryzyka, która pozwala zobrazować poziomy ryzyka w sposób wizualny, przedstawiając poziomy ryzyka, dla których organizacja definiuje odpowiednie działania.

Konieczność przeprowadzenia analizy ryzyka podkreślona jest także w orzecznictwie. W tym przedmiocie wypowiedział WSA w Warszawie, między innymi w wyrokach z 13 maja 2021 r., sygn. akt II SA/Wa 2129/20, i z 5 października 2023 r., sygn. akt II SA/Wa 502/23, gdzie podniósł, że „Administrator danych powinien zatem przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia”. WSA w Warszawie w uzasadnieniu wyroku z 26 sierpnia 2020 r., sygn. akt II SA/Wa 2826/19 (utrzymanym przez NSA wyrokiem z 28 lutego 2024 r., sygn. akt III OSK 3839/21), wskazał, że „(…) Przepis ten [art. 32 rozporządzenia 2016/679] nie wymaga od administratora danych wdrożenia jakichkolwiek środków technicznych i organizacyjnych, które mają stanowić środki ochrony danych osobowych, ale wymaga wdrożenia środków adekwatnych. Taką adekwatność oceniać należy pod kątem sposobu i celu, w jakim dane osobowe są przetwarzane, ale też należy brać pod uwagę ryzyko związane z przetwarzaniem tych danych osobowych, które to ryzyko charakteryzować się może różną wysokością. Przyjęte środki mają mieć charakter skuteczny, w konkretnych przypadkach niektóre środki będą musiały być środkami o charakterze niwelującym niskie ryzyko, inne – muszą niwelować ryzyko wysokie, ważne jednak jest, aby wszystkie środki (a także każdy z osobna) były adekwatne i proporcjonalne do stopnia ryzyka (…) czynności o charakterze techniczno-organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych (…)”. Ponadto, w wyroku z 5 października 2023 r., sygn. akt II SA/Wa 502/23,WSA w Warszawie podniósł, że „organ nadzorczy nie jest zobowiązany do wskazywania Administratorowi rozwiązań technicznych i organizacyjnych, które powinien on wdrożyć, aby przetwarzanie danych osobowych odbywało się zgodnie z prawem. To zadaniem Administratora jest wprowadzenie tych środków, a następnie - jeżeli pojawi się taka konieczność - wykazanie, że przestrzega on zasad przetwarzania danych osobowych określonych w rozporządzeniu 2016/679, zgodnie z zasadą rozliczalności (art. 5 ust. 2 ww. rozporządzenia)”.

Odnosząc powyższe rozważenia do stanu faktycznego przedmiotowej sprawy wskazać należy, że jeżeli Administrator dopuścił możliwość wykorzystywania sprzętu komputerowego (na którym przetwarzane są dane osobowe) oraz wynoszenie dokumentacji papierowej zawierającej dane osobowe poza obszar przetwarzania, to dla prawidłowej realizacji obowiązków wynikających z wyżej przywołanych przepisów rozporządzenia 2016/679 powinien w pierwszej kolejności przeprowadzić analizę ryzyka i na jej podstawie określić oraz wdrożyć adekwatne środki zapewniające bezpieczeństwo w procesie przetwarzania danych osobowych. Analiza ta powinna wskazywać na ryzyka związane z ww. czynnościami przetwarzania danych osobowych oraz powinna przewidywać właściwe środki bezpieczeństwa w celu minimalizacji ryzyka wystąpienia naruszenia ochrony danych osobowych.

W omawianym przypadku przeprowadzenie takiej analizy było szczególnie istotne z uwagi na specyfikę funkcjonowania organizacji jaką jest X. i charakter zadań wykonywanych przez instruktorów tej organizacji.

Powyżej wskazane okoliczności, z uwagi na konieczność przyjęcia rozwiązań w zakresie przetwarzania danych osobowych, powinny spowodować podjęcie szeregu konkretnych działań zapewniających bezpieczeństwo danych osobowych. Punktem wyjścia do określenia tych działań winno być – co ponownie należy podkreślić –  przeprowadzenie analizy ryzyka. W tej analizie, Administrator powinien zidentyfikować możliwość utraty dostępu (np. w następstwie kradzieży lub zagubienia) do dokumentacji papierowej oraz do sprzętu komputerowego wykorzystywanego do przetwarzania danych osobowych poza siedzibą jego organizacji, a w konsekwencji tego zidentyfikować możliwość naruszenia poufności danych osobowych znajdujących się na tym sprzęcie oraz w tych dokumentach.

Podnieść również należy, że obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w celu nadania przetwarzaniu niezbędnych zabezpieczeń z uwagi na przyjęty sposób przetwarzania danych osobowych wynika także wprost z art. 25 ust. 1 rozporządzenia 2016/679. Przepis ten nakazuje administratorowi danych uwzględnienie ochrony danych w szczególności w fazie projektowania. Z tego wynika, że Administrator – dając możliwość wykorzystywania komputerów przenośnych poza siedzibą jego organizacji przez osoby przez niego upoważnione oraz pozwalając na wynoszenie przez te osoby dokumentów zawierających dane osobowe – powinien już na tym etapie określić (i wdrożyć) odpowiednie środki bezpieczeństwa.

Ze zgromadzonego materiału dowodowego wynika, że Administrator przeprowadził analizę ryzyka zarówno przed, jak i po wystąpieniu naruszenia ochrony danych osobowych. W analizie ryzyka przeprowadzonej w styczniu 2023 r. (tj. przed naruszeniem ochrony danych osobowych), Administrator przewidział ryzyka związane z kradzieżą lub zgubieniem sprzętu komputerowego lub dokumentów, na których znajdują się dane osobowe. Szczegółowy opis ryzyk, istotnych z punktu widzenia niniejszej sprawy, znajduje się w uzasadnieniu faktycznym (por. pkt II uzasadnienia faktycznego). Administrator był świadomy istniejących zagrożeń i oszacował prawdopodobieństwo jego wystąpienia, z punktu widzenia rozliczalności, integralności i poufności danych osobowych (sposób zdefiniowania przez Administratora „rozliczalności”, „integralności” i „poufności” opisany został w pkt II uzasadnienia faktycznego).

Administrator zidentyfikował także podatności, których wystąpienie prowadzi do naruszenia ochrony danych osobowych. W ramach zidentyfikowanych podatności X. uwzględniła chociażby pozostawienie nośników danych bez właściwego nadzoru czy też nieodpowiednie ich przewożenie. Co więcej, Administrator uwzględnił podatność w postaci „braku szyfrowania dysków” (należy zakładać, że Administrator miał na myśli dyski tych urządzeń, na których przetwarzane są dane osobowe). Administrator ocenił – zgodnie z przyjętą przez siebie metodologią – poziom ryzyka i sposób postępowania z tym ryzkiem, a także uzasadnił dlaczego taką decyzją podjął. Zwrócić uwagę należy na fakt, że dla czynności przetwarzania danych osobowych (uwzględnionych w omawianej analizie ryzyka) Administrator podjął decyzję o akceptacji lub monitorowaniu poziomu ryzyka uzasadniając tę decyzję w następujący sposób: „(…) Stosowanie przyjętych zasad przetwarzania danych zapewnia wystarczającą ochronę danych. Należy stale podnosić świadomość użytkowników w zakresie bezpiecznego przetwarzania danych osobowych (…)” lub „(…) Stosowanie przyjętych zasad przetwarzania danych zapewnia wystarczającą ochronę danych. Należy stale podnosić świadomość użytkowników w zakresie bezpiecznego przetwarzania danych osobowych, w tym przypominanie o zasadzie przechowywania dokumentów elektronicznych w chmurze (…)”.

W stanie faktycznym przedmiotowej sprawy, ryzyko naruszenia ochrony danych osobowych dotyczyło zagrożenia związanego z zagubieniem lub kradzieżą laptopa i dokumentacji papierowej. Administrator wykorzystywał te nośniki danych w celu przetwarzania danych osobowych poza siedzibą jego organizacji. Zwrócić uwagę należy, że w odniesieniu do komputerów przenośnych wynoszonych poza organizację administratora – z uwagi na zagrożenia z tym związane – w celu przeciwdziałania potencjalnym skutkom naruszenia i zapobieżenia utracie poufności danych osobowych znajdujących się na takim urządzeniu, administrator, stosownie do ww. przepisów rozporządzenia 2016/679, zobowiązany jest zastosować  adekwatne zabezpieczenia w postaci np. szyfrowania dysków twardych komputera. Określenie tych odpowiednich zabezpieczeń powinno nastąpić w wyniku przeprowadzonej analizy ryzyka, po prawidłowej identyfikacji zagrożeń dla danych osobowych przetwarzanych przy użyciu komputerów przenośnych użytkowanych poza organizacją administratora.

Wskazać należy, że w ww. kwestii wypowiedział się również WSA w Warszawie, który w wyroku z 19 stycznia 2021 r., sygn. akt II SA/Wa 702/20, podniósł, że „(…) administrator danych powinien odpowiednio zabezpieczyć dane osobowe przed ich przypadkową utratą za pomocą odpowiednich środków technicznych i organizacyjnych. Dane osobowe powinny być bowiem przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu (motyw 39 rozporządzenia 2016/679)”. Warto także przytoczyć wyrok NSA z 5 lipca 2024 r., sygn. akt III OSK 2654/22, gdzie stwierdzono, że „(…) administrator miał obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Poprzez wdrożenie takich środków należy rozumieć wprowadzenie zabezpieczeń, które będą adekwatne do przyjętego ryzyka, ergo będą zapobiegać naruszeniu zasad przetwarzania danych osobowych w normalnych warunkach. W realiach niniejszej sprawy nie chodziło więc o zapobieżenie zagubienia nośników z danymi osobowymi, lecz o zapobieżenie ich ujawnienia na wypadek takiego zagubienia”.

Z przedłożonej przez X. analizy ryzyka wynika, że Administrator mając świadomość ryzyka związanego z utratą sprzętu komputerowego wynoszonego poza siedzibę jego organizacji, ocenił to ryzyko jako akceptowalne (lub monitorowane), a w ramach sposobu postępowania z tym ryzykiem określił zabezpieczenia, jakie należy wdrożyć, tak aby utrzymać określony przez niego poziom. Zgromadzony w przedmiotowej sprawie materiał dowodowy wskazuje, że przy szacowaniu pozioma ryzyka Administrator uwzględnił to, że komputery wynoszone poza siedzibę jego organizacji posiadają zabezpieczenie w postaci szyfrowania dysków (por. pkt II uzasadnienia faktycznego). Powyższe wynika nie tylko z analizy ryzyka, ale również z innych uregulowań obowiązujących u Administratora, które zakładają, że w przypadku wynoszenia komputerów poza siedzibę jego organizacji, pamięć masowa tych urządzeń powinna być szyfrowana (por. pkt V uzasadnienia faktycznego).

Jak wynika ze zgromadzonego materiału dowodowego Administrator otrzymywał sygnały dotyczące konieczności wdrożenia szczególnych rozwiązań w przypadku przetwarzania danych osobowych z wykorzystaniem komputerów przenośnych. Przed wystąpieniem przedmiotowego naruszenia ochrony danych osobowych został przeprowadzony audyt, w którym wskazano na konieczność wdrożenia przez X. szyfrowania dysków na komputerach wynoszonych poza siedzibę jej organizacji, a w przypadku niewdrożenia szyfrowania, zgodnie z zaleceniami wskazanymi w audycie, komputery nie powinny być wynoszone poza siedzibę Administratora.

Pomimo faktu, że Administrator prawidłowo zidentyfikował zagrożenia w przypadku przetwarzania danych osobowych przy użyciu komputerów przenośnych oraz z wykorzystaniem dokumentacji papierowej wynoszonej poza jego organizację, a także określił poziom ryzyka naruszenia tych danych oraz zdefiniował sposób postępowania z ryzykiem poprzez wskazanie zabezpieczeń, które należy zastosować, nie podjął jednak działań, które sam przewidział, a w szczególności nie uruchomił szyfrowania pamięci masowej komputerów wynoszonych poza siedzibę jego organizacji (por. pkt V uzasadnienia faktycznego).

Kontynuując rozważania dotyczące środków bezpieczeństwa, należy pamiętać, że rola administratora nie ogranicza się tylko do jednorazowego opracowania i wdrożenia środków organizacyjnych i technicznych mających zapewnić przetwarzanie danych osobowych zgodne z zasadami wyrażonymi w rozporządzeniu 2016/679. Konieczność bieżącej weryfikacji adekwatności tych środków jest szczególnie ważna w przypadku przetwarzania danych osobowych w poza obszarem organizacji Administratora. W przypadku zdarzenia takiego, jak to zaistniałe w przedmiotowej sprawie (utrata nośników danych osobowych), bardzo istotne jest przeanalizowanie prawidłowości przestrzegania przez Administratora jego obowiązku wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, tj. regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem każdego administratora i podmiotu przetwarzającego wynikającym z art. 32 ust. 1 lit. d ) rozporządzenia 2016/679. Administrator zobowiązany jest więc do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych, na każdym etapie przetwarzania. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk i proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania. Testowanie, mierzenie i ocenianie, aby stanowiło realizację wymogu wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, musi być dokonywane w sposób regularny, świadomie zaplanowany, zorganizowany i udokumentowany (w związku z zasadą rozliczalności - art. 5 ust. 2 rozporządzenia 2016/679) w określonych przedziałach czasowych, niezależnie od zmian w organizacji i przebiegu procesów przetwarzania danych,

Nowe ryzyka lub zagrożenia mogą zmaterializować się lub zostać ujawnione również samoistnie, w sposób całkowicie niezależny od administratora i jest to fakt, który również powinien być brany pod uwagę zarówno podczas budowania systemu ochrony danych osobowych, jak i w czasie jego realizowania. To zaś z kolei definiuje konieczność prowadzenia regularnej weryfikacji całego systemu ochrony danych osobowych zarówno pod kątem adekwatności, jak i skuteczności wdrożonych rozwiązań organizacyjnych i technicznych. Badanie prawdopodobieństwa wystąpienia danego zdarzenia nie powinno opierać się wyłącznie na podstawie częstotliwości występowania zdarzeń w danej organizacji, albowiem fakt nie wystąpienia danego zdarzenia w przeszłości wcale nie oznacza, że nie może ono zaistnieć w przyszłości.

Na konieczność realizacji przez Administratora omawianego obowiązku zwrócił również uwagę WSA w Warszawie, który w wyroku z 21 października 2021 r., sygn.. akt II SA/Wa 272/21, wskazał, że „(…) rację miał również Prezes UODO, wskazując w uzasadnieniu zaskarżonej decyzji, że brak w przyjętych przez Spółkę procedurach uregulowań zapewniających regularne testowanie, mierzenie i ocenianie skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych przyczynił się do wystąpienia naruszenia ochrony danych osobowych. Trafnie także wskazuje organ, że w postępowaniu wykazano, że Spółka nie przeprowadzała testów nastawionych na weryfikację zabezpieczeń aplikacji (…) oraz WebAPI systemu (...), dotyczących podatności systemu informatycznego związanej z zaistniałym naruszeniem danych osobowych (…) dokonywanie testów wyłącznie w sytuacji pojawiającego się zagrożenia, bez wprowadzenia procedury, która by określała harmonogram działań zapewniających regularne testowanie, mierzenie i ocenianie skuteczności wdrożonych środków jest niewystarczające. Spółka bowiem, jak wynika ze zgromadzonego materiału, mimo przyjętych rozwiązań nie była w stanie wykryć podatności ze względu na brak regularnych testów wdrożonego przez Spółkę systemu (…) Nie sposób w tym kontekście zakwestionować więc ocen Prezesa UODO, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem każdego administratora oraz podmiotu przetwarzającego wynikającym z art. 32 ust. 1 lit. d RODO (…)”.Z kolei w wyroku z 6 czerwca 2023 r., sygn. akt II SA/Wa 1939/22, WSA w Warszawie wskazał, że „(…) powinność regularnego testowania środków technicznych i organizacyjnych, zabezpieczenia przetwarzania danych osobowych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w rozumieniu art. 32 ust. 1 zd. wstępne RODO, wynika wprost z brzmienia lit. d wskazanego art. 32 ust. 1, zaś powinność dokumentowania czynności w danym zakresie statuuje zasada rozliczalności (art. 5 ust. 2 RODO)”. Podobnie wypowiedział się WSA w Warszawie w wyroku z 21 czerwca 2023 r., sygn. akt II SA/Wa 150/23.

Jak wynika ze zgromadzonego materiału dowodowego Administrator podejmował działania w zakresie testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo (por. pkt VI uzasadnienia fatycznego), ale działania te nie doprowadziły do skutecznego ograniczenia negatywnego wpływu podatności, która przyczyniła się do naruszenia ochrony danych osobowych. Uregulowania przyjęte przez Administratora zakładały konieczność stosowania dodatkowych zabezpieczeń w przypadku wykorzystywania przenośnego sprzętu komputerowego poza siedzibą X.. Przeprowadzony proces weryfikacji zabezpieczeń, ze szczególnym uwzględnieniem stosowania szyfrowania pamięci masowej urządzeń wynoszonych poza siedzibę organizacji Administratora okazał się nieskuteczny.

Efektem braku właściwego działania (tzn. adekwatnego do poziomu ryzyka oszacowanego przez X.) w tym zakresie była materializacja zidentyfikowanego zagrożenia w postaci zagubienia w środku komunikacji zbiorowej plecaka, w którym znajdowały się dokumenty papierowe zawierające dane osobowe oraz komputer z danymi osobowymi, na którym nie zastosowano odpowiednich zabezpieczeń w celu ochrony tych danych. Powyższe skutkowało naruszeniem poufności danych osobowych, co zresztą wskazuje sam Administrator w zgłoszeniu naruszenia ochrony danych osobowych (por. pkt I uzasadnienia faktycznego).

Prezes UODO dostrzega, że w tej sprawie mamy do czynienia z wydarzeniem nagłym i nadzwyczajnym, tj. z zagubieniem nośników danych osobowych. Jednak zakładając, że laptop zabezpieczony zostałby zgodnie z rekomendacjami przedstawionymi w analizie ryzyka oraz w uregulowaniach wewnętrznych X. sytuacja przedstawiałaby się zupełnie inaczej – przynajmniej w tym aspekcie związanym z przetwarzaniem danych osobowych znajdujących się na komputerze przenośnym.

Kolejną kwestią, którą należy podnieść jest konieczność przestrzegania zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679. W orzecznictwie wskazuje się, że „(…) rozporządzenie 2016/679 nie przesądza jednak o tym, jak administrator powinien realizować obowiązki wynikające z zasady rozliczalności zawartej w art. 5 ust. 2 ww. rozporządzenia, niemniej jednak wskazuje na konieczność rozliczania się z przestrzegania przepisów, raportowania ich realizacji oraz przedstawiania dowodów świadczących o prawidłowym wykonywaniu obowiązków. Zasada rozliczalności zobowiązuje administratorów do demonstrowania podjęcia wszelkich środków mających na celu zapewnienie zgodności z obowiązkiem ochrony danych osobowych. W świetle ww. zasady to administrator, a nie organ nadzorczy zajmujący się ochroną danych osobowych, odpowiada za opracowanie, aktualizowanie i utrzymywanie wszystkich procedur i dokumentów związanych z ochroną danych osobowych, a także za stworzenie możliwości dowodowych wykazujących zgodność przetwarzania z przepisami (…)” (wyrok WSA w Warszawie z 1 lutego 2022 r., sygn. II SA/Wa 2106/21, LEX nr 3392761). Powyższe potwierdza orzeczenie WSA w Warszawie z 10 lutego 2021 r., sygn. akt II SA/Wa 2378/20: „Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych .” Podobnie kwestię zasady rozliczalności interpretuje WSA w Warszawie w wyroku z 26 sierpnia 2020 r., sygn. akt II SA/Wa 2826/19: „Biorąc pod uwagę całość norm rozporządzenia 2016/679, podkreślić należy, że administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator danych powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 rozporządzenia 2016/679 .”

Podsumowując wskazać ponownie należy, że z okoliczności sprawy wynika, że Administrator przed wystąpieniem naruszenia ochrony danych osobowych – mimo że przepisy rozporządzenia 2016/679 stosowane są od 25 maja 2018 r. – nie wprowadził adekwatnych rozwiązań w celu zapobieżenia możliwości naruszenia zasady poufności danych osobowych (art. 5 ust. 1 lit. f) rozporządzenia 2016/679) na skutek materializacji zagrożeń związanych z wykorzystywaniem przenośnych komputerów poza siedzibą jego organizacji, w tym zagrożeń dotyczących zgubienia takiego sprzętu, pomimo że przeprowadzona przez niego analiza ryzyka przewidywała wdrożenie takich środków w celu zminimalizowania możliwości wystąpienia zidentyfikowanych ryzyk. W konsekwencji, Administrator nie wykazał również przestrzegania w tym zakresie zasady rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679).

Z przedłożonych przez Administratora wyjaśnień wynika, że wdrożenie odpowiednich procedur i rozwiązań nastąpiło dopiero po wystąpieniu przedmiotowego naruszenia ochrony danych osobowych. Podnieść należy, że sprzęt komputerowy, na którym nie uruchomiono szyfrowania pamięci masowej, został wycofany dopiero po wystąpieniu ww. naruszenia i to pomimo faktu, że dokumenty regulujące kwestie ochrony danych osobowych wprost nakazywały szyfrowanie dysków w komputerach wynoszonych poza organizację Administratora. Co więcej, szeroko już omówiona analiza ryzyka wskazywała szyfrowania dysków jako jeden ze  środków technicznych i organizacyjnych, którego wdrożenie miało gwarantować bezpieczeństwo w procesie przetwarzania danych osobowych, tak aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszeniu praw lub wolności osób fizycznych, których dane osobowe Administrator przetwarza.

Wobec braku zastosowania przez X. adekwatnych środków technicznych mających na celu zminimalizowanie ryzyka naruszenia bezpieczeństwa danych przetwarzanych z wykorzystaniem komputera przenośnego wynoszonego poza organizację Administratora stwierdzić należy, że Administrator nie zapewnił odpowiedniego poziomu zabezpieczenia danych przetwarzanych przy jego użyciu. Przesądza to o niewdrożeniu przez administratora adekwatnych środków technicznych w czasie przetwarzania danych osobowych, aby przetwarzanie to odbywało się zgodnie z rozporządzeniem 2016/679 i w celu nadania przetwarzaniu niezbędnych zabezpieczeń, do czego był on zobowiązany zgodnie z art. 24 ust. 1 i 25 ust. 1 rozporządzenia 2016/679, jak również o niezastosowaniu środków technicznych zapewniających stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych poprzez zapewnienie zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, do czego zobowiązuje administratora danych art. 32 ust. 1 lit. b) rozporządzenia 2016/679, oraz przy uwzględnieniu ryzyka wiążącego się z przetwarzaniem danych osobowych, o którym mowa w art. 32 ust. 2 rozporządzenia 2016/679, a w konsekwencji również o naruszeniu zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, której ww. przepisy są uszczegółowieniem. Następstwem zaś naruszenia przez Administratora zasady poufności jest naruszenie zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679.

II. Uzasadnienie nałożenia i ustalenia wysokości administracyjnej kary pieniężnej.
Na podstawie art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a) - h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy. Mając na uwadze ustalenia stanu faktycznego, Prezes Urzędu Ochrony Danych Osobowych, korzystając z przysługującego mu uprawnienia określonego we wskazanym wyżej przepisie rozporządzenia 2016/679 stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na X. administracyjnej kary pieniężnej.

Zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 -39 oraz 42 i 43 podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Art. 83 ust. 3 rozporządzenia 2016/679 natomiast stanowi, że jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.

W niniejszej sprawie administracyjna kara pieniężna wobec Administratora nałożona została za naruszenie art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a) rozporządzenia 2016/679, natomiast za naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679 – na podstawie art. 83 ust. 5 lit. a) tego rozporządzenia. Jednocześnie kara nałożona na Administratora łącznie za naruszenie wszystkich powyższych przepisów – stosownie do przepisu art. 83 ust. 3 rozporządzenia 2016/679 – nie przekracza wysokości kary za najpoważniejsze stwierdzone w niniejszej sprawie naruszenie, tj. naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679, które stosownie do art. 83 ust. 5 lit. a) rozporządzenia 2016/679 podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Decydując o nałożeniu administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:

1. Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
Obciążający charakter omawianej przesłanki wynika przede wszystkim z faktu, że naruszone przepisy rozporządzenia 2016/679 określają fundamentalne obowiązki Administratora. Naruszenie zasady, o której mowa w art. 5 ust. 1 lit. f rozporządzenia 2016/679, oznacza, że X. nie zdołała wdrożyć adekwatnych środków technicznych i organizacyjnych, co ma bezpośredni wpływ na możliwość materializacji ryzyka naruszenia praw lub wolności osób fizycznych, których dane osobowe X. przetwarzała. Podobnie naruszenie zasady rozliczalności wynikającej z art. 5 ust. 2 rozporządzenia 2026/679 związane jest z naruszeniem podstawowych obowiązków przez Administratora. Nieprzestrzeganie tej zasady wiąże się z niepewnością osób fizycznych i obniża poziom zaufania tych osób wobec X.. Podkreślić należy, że charakter i waga naruszenia art. 5 ust. 1 lit. f oraz art. 5 ust. 2 rozporządzenia 2016/679 jest poważna również dla tego, że naruszenie ww. przepisów zagrożone jest możliwą najwyższą administracyjną karą pieniężną – w wysokości do 20 000 000 EUR.

Naruszenie art. 25 ust. 1 rozporządzenia 2016/679 również ma poważny charakter, bowiem przepis ten nakłada na Administratora obowiązek przyjęcia proaktywnego podejścia do kwestii ochrony danych osobowych. Wskazać także należy na istotność norm wynikających z art. 32 ust. 1 i 2 rozporządzenia 2016/679, bowiem te przepisy prawa wskazują na konieczność wdrożenia adekwatnych środków technicznych i organizacyjnych, tak by zapewnić stopień bezpieczeństwa odpowiadający m.in. ryzyku naruszania praw lub wolności osób fizycznych. W świetle powyższego należy podnieść, że naruszenie tych przepisów także ma poważny charakter i znaczną wagę.

Stwierdzone w niniejszej sprawie naruszenie przepisów ochrony danych osobowych, którego skutkiem była możliwość uzyskania dostępu do przetwarzanych przez Administratora danych przez osobę bądź osoby nieuprawnione, a w konsekwencji możliwość pozyskania danych osobowych osób współpracujących z Administratorem oraz osób korzystających z wypoczynku organizowanego przez X. (także ich rodziców lub opiekunów), ma znaczną wagę i poważny charakter, stwarza bowiem wysokie ryzyko negatywnych skutków prawnych dla osób, do których danych dostęp mogła mieć osoba bądź osoby nieuprawnione.

Naruszenie przez Administratora obowiązków zastosowania środków zabezpieczających przetwarzane dane przed ich udostępnieniem osobom nieupoważnionym, pociąga za sobą nie tylko potencjalną, ale również realną możliwość wykorzystania tych danych przez podmioty trzecie bez wiedzy i wbrew woli osób, których dane dotyczą, niezgodnie z przepisami rozporządzenia 2016/679, np. w celu nawiązania stosunków prawnych lub zaciągnięcia zobowiązań w imieniu osób, których dane pozyskano.

W Statucie (…)[2] wskazano, że (…). Z powyżej przytoczonych zapisów statutu wynika, że X. realizuje istotne działania na rzecz wychowania dzieci i młodzieży, a zatem powinna stosować wysokie standardy kultury organizacji, w tym także te dotyczące bezpieczeństwa przetwarzanych danych osobowych. Z informacji zawartej na stronie internetowej organizacji wynika, że w 2023 roku do W. należały (…) osoby[3]. Tymczasem, w tak ważnej organizacji – z punktu widzenia jej wychowawczego charakteru –  dochodzi do naruszenia przepisów o ochronie danych osobowych. Okoliczności wystąpienia naruszenia przepisów o ochronie danych osobowych (szczegółowo opisane już powyżej) nie tylko kreują negatywny wizerunek Administratora, ale również wskazują na lekceważący stosunek tej organizacji do problematyki ochrony danych osobowych, bowiem przyjęte przez X. dokumenty regulujące proces przetwarzania danych osobowych mają jedynie walor formalny, co czyni je w praktyce bezużytecznymi regulacjami niezapewniającymi bezpieczeństwa dla procesu przetwarzania danych osobowych.

Podkreślić należy również długi czas trwania naruszenia przepisów rozporządzenia 2016/679, bowiem przyjąć należy, że naruszenie rozpoczęło się w dniu 25 maja 2018 r., tj. w dniu rozpoczęcia stosowania rozporządzenia 2016/679, a zakończyło się dopiero po wycofaniu laptopów nieposiadających szyfrowania pamięci masowej, które nastąpiło po naruszeniu ochrony danych osobowych zgłoszonym Prezesowi UODO w dniu 17 maja 2023 r. (w odniesieniu do naruszenia obowiązku wdrożenia adekwatnych środków organizacyjnych i technicznych gwarantujących bezpieczeństwo w procesie przetwarzania danych osobowych z wykorzystaniem przenośnych nośników danych). Z kolei w przypadku naruszenia obowiązku wdrożenia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych przetwarzanych przy wykorzystaniu komputerów przenośnych naruszenie przepisów ochrony danych osobowych trwa nadal.

Stwierdzone w niniejszej sprawie naruszenie przepisów o ochronie danych osobowych dotyczyło wszystkich osób, których dane osobowe Administrator przetwarza.

W niniejszej sprawie brak jest dowodów, aby osoby, do danych których dostęp uzyskała osoba lub osoby nieuprawnione, doznały szkody majątkowej. Niemniej jednak już samo naruszenie poufności ich danych stanowi dla nich szkodę niemajątkową (krzywdę); osoby fizyczne, których dane pozyskano w sposób nieuprawniony mogą bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, dyskryminacją, czy wreszcie przed stratą finansową. Ponadto, do chwili wydania niniejszej decyzji zagubiony laptop nie został odnaleziony, więc w dalszym ciągu osoba lub osoby nieuprawnione mogą mieć dostęp do danych osobowych znajdujących się na tym nośniku. Jak wskazał Sąd Okręgowy w Warszawie w wyroku z 6 sierpnia 2020 r. sygn. akt XXV C 2596/19, obawa, a więc utrata bezpieczeństwa stanowi realną szkodę niemajątkową wiążącą się z obowiązkiem jej naprawienia. Z kolei Trybunał Sprawiedliwości UE w orzeczeniu z 14 grudnia 2023 r. w/s Natsionalna agentsia za prihodite (C-340/21) podkreślił, że „Art. 82 ust. 1 RODO należy interpretować w ten sposób, że obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić „szkodę niemajątkową” w rozumieniu tego przepisu”.

2. Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
Zgodnie z Wytycznymi Grupy Roboczej ds. Ochrony Danych Art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 (dalej jako Wytyczne WP253) potwierdzonymi Wytycznymi 04/2022 dotyczącymi obliczania administracyjnych kar pieniężnych na podstawie RODO (dalej jako Wytyczne 04/2022[4]), umyślność „obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego”. Administrator podjął świadomą decyzję, by wykorzystywać komputery przenośne w sposób niegwarantujący bezpieczeństwa w przypadku ich wynoszenia poza siedzibę jego organizacji.

Administrator był świadomy, w jaki sposób powinien przetwarzać dane osobowe na komputerach przenośnych wydanych pracownikom / wolontariuszom, aby zapewnić im odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, za pomocą odpowiednich środków technicznych i organizacyjnych, a wiec w jaki sposób przestrzegać zasadę „integralności i poufności” wyrażoną w art. 5 ust. 1 li. f) rozporządzenia 2016/679. W przeprowadzonej analizie ryzyka Administrator zidentyfikował prawidłowo zagrożenia i określił poziom ryzyka jako akceptowalny (zakładając, że przewidziane środki techniczne i organizacyjne takie jak szyfrowanie dysków laptopów zostały wdrożone). Nie zastosował jednak określonych przez siebie w analizie ryzyka środków bezpieczeństwa, tj. szyfrowania dysków twardych komputerów, a realne działania podjął dopiero po wystąpieniu naruszenia. W działaniach Administratora uwidoczniona została świadomość, co do konieczności wdrożenia adekwatnych zabezpieczeń, w przypadku przetwarzania danych osobowych z wykorzystaniem komputerów przenośnych. Wobec powyższego Administrator był świadomy, że w tym okresie od zidentyfikowania zagrożenia do jego zmaterializowania nie zapewnia odpowiedniego stopnia bezpieczeństwa danych osobowych przetwarzanych na komputerze, co będzie stanowiło naruszenie przepisów o ochronie danych osobowych. Tym samym, umyślnie naruszył przepisy art. 5 ust. 1 li. f) rozporządzenia 2016/679 w zw. z art. 25 ust. 1 oraz 32 ust. 1 i 2 rozporządzenia 2016/679 i w konsekwencji również art. 5 ust. 2 rozporządzenia 2016/679.

Biorąc pod uwagę ustalenia w sprawie będącej przedmiotem rozstrzygnięcia niniejszej decyzji należy stwierdzić, że Administrator – mimo świadomości – dopuścił się zaniechań skutkujących naruszeniem ww. przepisów rozporządzenia 2016/679. Tak więc stanowi to istotną okoliczność wpływającą obciążająco na wysokość administracyjnej kary pieniężnej.

 3. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Dane osobowe, które znajdowały się na utraconych nośnikach stanowią dane podlegające szczególnej ochronie na gruncie art. 9 ust. 1 rozporządzenia 2016/679. Nakłada to na administratorów tych danych obowiązek szczególnego traktowania tych informacji, także z uwagi na możliwe negatywne konsekwencje dla osób, których te dane dotyczą, w przypadku ich ujawnienia osobom nieuprawnionym, włącznie z ich dyskryminacją czy też utratą dobrego imienia. Ponadto fakt, iż doszło do naruszenia poufności danych osobowych w zakresie: nazwiska i imiona, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, dane dotyczące zarobków i/lub posiadanego majątku, seria i numer dowodu osobistego, numer telefonu, inne (przynależność do stowarzyszenia, przydział służbowy) oznacza wystąpienie wysokiego ryzyka naruszenia praw lub wolności osób fizycznych.

Numer PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający datę urodzenia, numer porządkowy, oznaczenie płci oraz liczbę kontrolną, a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga. Nie ma innej, tak konkretnej danej, która by w sposób jednoznaczny identyfikowała osobę fizyczną. Nie bez powodu numer PESEL służy jako dana identyfikująca każdą osobę i jest powszechnie używany w kontaktach z różnymi instytucjami oraz w obiegu prawnym. Numer PESEL wraz z imieniem i nazwiskiem w sposób jednoznaczny identyfikuje osobę fizyczną, w sposób pozwalający przypisać negatywne skutki naruszenia (np. kradzież tożsamości, wyłudzenie pożyczki) tej konkretnej osobie.

 W tym kontekście warto powołać wytyczne EROD 04/2022, w których wskazano: „Jeśli chodzi o wymóg uwzględnienia kategorii danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) RODO), w RODO wyraźnie wskazano rodzaje danych, które podlegają szczególnej ochronie, a tym samym bardziej rygorystycznej reakcji przy nakładaniu kar pieniężnych. Dotyczy to co najmniej rodzajów danych objętych art. 9 i 10 RODO oraz danych nieobjętych zakresem tych artykułów, których rozpowszechnianie natychmiast powoduje szkody lub dyskomfort osoby, której dane dotyczą  (np. danych dotyczących lokalizacji, danych dotyczących komunikacji prywatnej, krajowych numerów identyfikacyjnych lub danych finansowych, takich jak zestawienia transakcji lub numery kart kredytowych) . Ogólnie rzecz biorąc, im większej liczby takich kategorii danych dotyczy naruszenie lub im bardziej wrażliwe są dane, tym większą wagę organ nadzorczy może przypisać temu czynnikowi. 58. Znaczenie ma również ilość danych dotyczących każdej osoby, której dane dotyczą, ponieważ wraz z ilością danych dotyczących każdej osoby, której dane dotyczą, wzrasta skala naruszenia prawa do prywatności i ochrony danych osobowych”.

Warto raz jeszcze wskazać na kształtujące się w tym zakresie orzecznictwo, gdzie dla przykładu w wyroku z 15 listopada 2022 r. o sygn. akt II SA/Wa 546/22 WSA w Warszawie wskazał: „Oczywistym też było, że organ określając wymiar kary musiał uwzględnić fakt, że naruszenie dotyczyło danych o wielkiej wrażliwości (m.in. PESEL, adres, dane o stanie zdrowia)”. Pogląd ten podzielony został także przez ww. Sąd w wyroku z 21 czerwca 2023 r. w sprawie o sygn. akt II SA/Wa 150/23, gdzie WSA w Warszawie stwierdził: „Reasumując Sąd stoi na stanowisku, że ujawnienie numeru PESEL, wskazuje na wysokie ryzyko naruszenia praw lub wolności osób fizycznych”.

Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił jako okoliczność łagodzącą, mającą wpływ na obniżenie wysokości wymierzonej kary, dobrą współpracą Administratora z organem nadzorczym podjętą i prowadzoną w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679). Administrator przeprowadził także ponowną analizę ryzyka po wystąpieniu przedmiotowego naruszenia ochrony danych osobowych, w której to uwzględnił podatności związane z zagubieniem nośników danych, w tym komputerów przenośnych.

W ocenie Prezesa UODO wykonanie ww. czynności należy uznać za okoliczność łagodzącą mającą wpływ na obniżenie wysokości wymierzonej kary.

Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 Rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.

1. Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).
W kontekście tej przesłanki znaczenie ma cel, jakiemu ma służyć działanie Administratora, czyli zminimalizowanie szkody poniesionej przez osoby, których dane dotyczą. Prezes UODO nie odnotował w niniejszym przypadku tego typu działań Administratora. Administrator wykonał jedynie obowiązek zawiadomienia osób o naruszeniu ochrony danych osobowych wynikający z art. 34 ust. 1 rozporządzenia 2016/679. Samo przekazanie osobom, których dotyczą ujawnione dane, informacji o zdarzeniu nie może być w przedmiotowej sprawie uznane za działanie w celu zminimalizowania szkody poniesionej przez te osoby.

2. Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
Prezes UODO stwierdził w niniejszej sprawie naruszenie przez Administratora przepisów art. 25 ust. 1, art. 32 ust. 1 i 2 rozporządzenia 2016/679. W jego ocenie na administratorze ciąży w wysokim stopniu odpowiedzialność za niewdrożenie odpowiednich środków technicznych i organizacyjnych, które zapobiegłyby naruszeniu ochrony danych osobowych. Oczywistym jest, że w rozważanym kontekście charakteru, celu i zakresu przetwarzania danych osobowych Administrator nie „zrobił wszystkiego, czego można by było od niego oczekiwać”; nie wywiązał się tym samym z nałożonych na niego przepisami art. 25 i 32 rozporządzenia 2016/679 obowiązków.

W niniejszej sprawie okoliczność ta stanowi jednak o istocie samego naruszenia; nie jest jedynie czynnikiem wpływającym – łagodząco lub obciążająco – na jego ocenę. Z tego też względu brak odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 25 i art. 32 rozporządzenia 2016/679, nie może zostać przez Prezesa UODO uznany w niniejszej sprawie za okoliczność mogącą dodatkowo wpłynąć na surowszą ocenę naruszenia i wymiar nałożonej na X. administracyjnej kary pieniężnej.

3. Wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust. 2 lit. e rozporządzenia 2016/679).  
Prezes UODO nie stwierdził jakichkolwiek, dokonanych przez Administratora, wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. Obowiązkiem każdego administratora jest przestrzeganie przepisów prawa (w tym o ochronie danych osobowych), więc brak wcześniejszych naruszeń nie może być okolicznością łagodzącą przy wymierzaniu sankcji.

4.Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).
Prezes UODO stwierdził naruszenie przepisów rozporządzenia 2016/679 w wyniku zgłoszenia naruszenia ochrony danych osobowych dokonanego przez Administratora. Administrator dokonując tego zgłoszenia realizował jedynie ciążący na nim obowiązek prawny, brak jest podstaw do uznania, że okoliczność ta stanowi okoliczność łagodzącą. Zgodnie z Wytycznymi 04/2022 „(…) przy ocenie tego aspektu szczególną wagę można przypisać kwestii, czy administrator lub podmiot przetwarzający powiadomił o naruszeniu z własnej inicjatywy, a jeśli tak, to w jakim zakresie, zanim organ nadzorczy został poinformowany o naruszeniu w drodze – na przykład – skargi lub dochodzenia. Okoliczność ta nie ma znaczenia, gdy administrator podlega szczególnym obowiązkom w zakresie zgłaszania naruszeń (jak np. obowiązkowi zgłaszania naruszenia ochrony danych osobowych określonemu w art. 33). W takich przypadkach fakt dokonania zgłoszenia należy uznać za okoliczność neutralną (…)”.

5. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.

6. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).
Administrator nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów i podmiotów przetwarzających w związku, z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na korzyść Administratora natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów, jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.

7. Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO nie stwierdził, żeby Administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej administratora. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla Administratora. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” - zaistniałe po stronie podmiotu dokonującego naruszenia.

8. Inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.

W ocenie Prezesa UODO zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

Uwzględniając wszystkie omówione wyżej okoliczności, Prezes UODO uznał, że nałożenie administracyjnej kary pieniężnej na Administratora jest konieczne i uzasadnione wagą oraz charakterem i zakresem zarzucanych temu podmiotowi naruszeń przepisów rozporządzenia 2016/679. Stwierdzić należy, że zastosowanie wobec tego podmiotu jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b) rozporządzenia 2016/679), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że ww. podmiot w przyszłości nie dopuści się podobnych, co w sprawie niniejszej, zaniedbań.

Odnosząc się do wysokości wymierzonej X. administracyjnej kary pieniężnej, wskazać należy, że Administrator nie należy do grupy podmiotów wymienionych w art. 102 ust. 1 i 2 u.o.d.o., a zatem w związku z tym, w przedmiotowej sprawie, nie mają zastosowania ograniczenia wysokości (odpowiednio do 10.000 lub 100.000 zł) administracyjnej kary pieniężnej. Wobec powyższego, stosownie do art. 101 u.o.d.o., administracyjna kara pieniężna nałożona zostaje na X. na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679.

Stosownie do treści art. 103 u.o.d.o., równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.

Mając powyższe na uwadze, Prezes UODO, na podstawie art. 83 ust. 5 lit. a) w związku z art. 103 u.o.d.o., za naruszenie opisane w sentencji niniejszej decyzji, nałożył na X. – stosując średni kurs euro z dnia 29 stycznia 2024 r. (1 EUR = 4,3653 PLN) – administracyjną karę pieniężną w kwocie 24 555 zł (co stanowi równowartość 5 625 EUR).

W ocenie Prezesa UODO, zastosowana kara pieniężna w wysokości 24 555 zł (słownie: dwadzieścia cztery tysiące pięćset pięćdziesiąt pięć złotych), spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonego naruszenia w kontekście podstawowego celu rozporządzenia 2016/679 – ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych. Odnosząc się do wysokości wymierzonej X. administracyjnej kary pieniężnej, Prezes UODO uznał, że jest ona proporcjonalna do sytuacji finansowej Administratora i nie będzie stanowiła dla niego nadmiernego obciążenia.

Z przedstawionej przez Administratora informacji wynika, że całkowity roczny obrót z poprzedniego roku obrotowego w 2023 r. z tytułu prowadzenia działalności gospodarczej wyniósł (…) zł ((…) EUR), w związku z czym kwota nałożonej w niniejszej sprawie administracyjnej kary pieniężnej stanowi ok. (…) % ww. kwoty wpływów. Jednocześnie warto podkreślić, że kwota nałożonej kary to jedynie ok. 0,03 % maksymalnej wysokości kary, którą Prezes UODO mógł – stosując zgodnie z art. 83 ust. 5 rozporządzenia 2016/679 statyczne maksimum kary w wysokości do 20 000 000 EUR – nałożyć na X. za stwierdzone w niniejszej sprawie naruszenia.

Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność uiszczenia kary finansowej pociągnie za sobą negatywne następstwa, w postaci znaczącego obciążenia dla Administratora. Zdaniem Prezesa UODO, Administrator powinien i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, o czym świadczy chociażby sprawozdanie finansowe X. za 2023 r.

Na koniec koniecznym jest wskazanie, że ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej Prezes UODO zastosował metodykę przyjętą przez Europejską Radę Ochrony Danych w Wytycznych 04/2022. Zgodnie z przedstawionymi w tym dokumencie wskazówkami:

1. Prezes UODO dokonał kategoryzacji stwierdzonych w niniejszej sprawie naruszeń przepisów rozporządzenia 2016/679 (vide Rozdział 4.1 Wytycznych 04/2022). Stwierdzone w niniejszej sprawie naruszenia przepisów ochrony danych osobowych należą zarówno do kategorii naruszeń zagrożonych karą wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa, jak i do kategorii naruszeń zagrożonych karą wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Najpoważniejsze stwierdzone w niniejszej sprawie naruszenie, tj. naruszenie art. 5 ust. 1 lit. f) oraz ust. 2 rozporządzenia 2016/679 – stosownie do art. 83 ust. 5 lit. a) rozporządzenia 2016/679 – podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Zostało więc ono in abstracto (w oderwaniu od indywidualnych okoliczności konkretnej sprawy) uznane przez prawodawcę unijnego za bardziej poważne niż naruszenia wskazane w art. 83 ust. 4 rozporządzenia 2016/679.

2. Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenia jako naruszenia o wysokim poziomie powagi (vide Rozdział 4.2 Wytycznych 04/2022).  W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które tyczą się strony przedmiotowej naruszeń (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszeń (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny lub nieumyślny charakter naruszeń (art. 83 ust. 2 lit. b) rozporządzenia 2016/679) oraz kategorie danych osobowych, których dotyczyły naruszenia (art. 83 ust. 2 lit. g) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej. W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonych w niniejszej sprawie naruszeń traktowanych w całości prowadzi do wniosku, że poziom ich powagi również in concreto jest wysoki (w skali powagi naruszeń przedstawionej w pkt 60 Wytycznych 04/2022). Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 20 do 100% maksymalnej wysokości kary możliwej do orzeczenia wobec X.. Zważywszy, że przepis art. 83 ust. 5 rozporządzenia 2016/679 zobowiązuje Prezesa UODO do przyjęcia jako maksymalnej wysokości kary za naruszenia wskazane w tym przepisie kwoty 20 000 000 EUR lub – o ile wartość ta jest wyższa niż 20 000 000 EUR – kwoty stanowiącej 4% obrotu X.  z poprzedniego roku obrotowego, Prezes UODO uznał, że zastosowanie w niniejszej sprawie ma tzw. statyczna maksymalna kwota kary, tj. 20 000 000 EUR. Mając do dyspozycji przedział od 0 do 20 000 000 EUR, Prezes UODO przyjął, jako adekwatną i uzasadnioną okolicznościami sprawy, kwotę wyjściową do obliczenia wysokości kary wynoszącą 6 000 000 EUR (stanowiącą 30% statycznej maksymalnej wysokości kary).

3. Stosownie do pkt 66 Wytycznych 04/2022 (w odniesieniu do przedsiębiorstw, których roczny obrót zawiera się w przedziale od 0 EUR do 2 000 000 EUR) Prezes UODO uznał za zasadne skorzystanie z możliwości obniżenia przyjętej w oparciu o ocenę powagi naruszenia kwoty wyjściowej do kwoty 15 000 EUR.

4. Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (vide Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się – jak zakładają Wytyczne 04/2022 – do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej. Prezes UODO uznał (co uzasadnione zostało w przedstawionej wyżej części uzasadnienia decyzji), że okolicznościami mającymi łagodzący wpływ na wysokość kary pieniężnej jest stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679). Pozostałe przesłanki (z art. 83 ust. 2 lit. c), d), e), h), i), j), k) rozporządzenia 2016/679) – jak wskazano wyżej – nie miały wpływu, ani łagodzącego ani obciążającego, na ocenę naruszenia i w konsekwencji na wymiar kary. Ze względu na zaistnienie więc w sprawie dodatkowych okoliczności obciążających i łagodzących, związanych ze stroną podmiotową naruszeń, za zasadne Prezes UODO uznał obniżenie kwoty kary pieniężnej do wysokości 11 250 EUR.

5. Prezes UODO stwierdził, że ustalona w przedstawiony wyżej sposób kwota administracyjnej kary pieniężnej nie przekracza – stosownie do art. 83 ust. 3 rozporządzenia 2016/679 – prawnie określonej maksymalnej wysokości kary przewidzianej dla najpoważniejszego naruszenia (vide Rozdział 6 Wytycznych 04/2022).

6. Pomimo tego, że ustalona zgodnie z powyższymi zasadami kwota kary nie przekracza prawnie określonego maksimum kary Prezes UODO uznał, że wymaga ona dodatkowej korekty ze względu na zasadę proporcjonalności wymienioną w art. 83 ust. 1 rozporządzenia 2016/679 jako jedną z trzech dyrektyw wymiaru kary (vide Rozdział 7 Wytycznych 04/2022). Niewątpliwie kara pieniężna w wysokości 11 250 EUR byłaby karą skuteczną (przez swoją dolegliwość pozwoliłaby osiągnąć swój cel represyjny, którym jest ukaranie za bezprawne zachowanie) i odstraszającą (pozwalającą skutecznie zniechęcić zarówno X., jak i innych administratorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679). Kara taka byłaby jednak – w ocenie Prezesa UODO – karą nieproporcjonalną zarówno w stosunku do wagi stwierdzonych naruszeń (która in abstracto i in concreto jest niska – vide pkt 1 i 2 powyżej) jak i ze względu na swoją nadmierną – w odniesieniu do tej wagi – dolegliwość. Zasada proporcjonalności wymaga bowiem m.in., by przyjęte przez organ administracyjny środki nie wykraczały poza to, co odpowiednie i konieczne do realizacji uzasadnionych celów (vide pkt 137 i pkt 139 Wytycznych 04/2022). Innymi słowy: „Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku” (P. Litwiński (red.), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. […]; Komentarz do art. 83 [w:] P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz).

Mając więc na uwadze wzgląd na proporcjonalność kary Prezes UODO dokonał dalszego obniżenia wysokości kary – do kwoty 5 625 EUR (równowartość  24 555,00 zł). W jego ocenie takie określenie ostatecznej wysokości orzeczonej kary nie wpłynie na obniżenie jej skuteczności i odstraszającego charakteru. Kwota ta bowiem stanowi próg, powyżej którego dalsze zwiększanie wysokości kary nie będzie wiązało się ze wzrostem jej skuteczności i odstraszającego charakteru. Z drugiej natomiast strony obniżenie w większym stopniu wysokości kary mogłoby się odbyć kosztem jej skuteczności i odstraszającego charakteru, a także spójnego – w odniesieniu do innych organów nadzorczych oraz EROD – rozumienia, stosowania i egzekwowania rozporządzenia 2016/679, oraz zasady równego traktowania podmiotów na rynku wewnętrznym UE i EOG

Podsumowując powyższe, w ocenie Prezesa UODO orzeczona w niniejszej sprawie wobec Administratora administracyjna kara pieniężna spełnia w świetle całokształtu indywidualnych okoliczności sprawy przesłanki (funkcje kar), o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad rozporządzenia 2016/679 – zwłaszcza zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.