DKN.5130.3114.2020

Na podstawie art. 104 § 1 i 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm.), art. 7 ust. 1, art. 60, art. 101 i 103 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a), art. 58 ust. 2 lit. i) w związku z art. 24 ust. 1, art. 31, art. 32 ust. 1 i 2, art. 34 ust. 1, a także art. 83 ust. 1 i 2 oraz art. 83 ust. 4 lit. a) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1,  Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Cyfrowy Polsat Spółka Akcyjna z siedzibą w Warszawie przy ul. Łubinowej 4a, Prezes Urzędu Ochrony Danych Osobowych,

1) stwierdzając naruszenie przez Cyfrowy Polsat Spółka Akcyjna z siedzibą w Warszawie przy ul. Łubinowej 4a art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie  o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1,  Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej: „rozporządzenie 2016/679”, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych przetwarzanych we współpracy  z podmiotem świadczącym usługi kurierskie przez szybką identyfikację naruszeń ochrony danych osobowych, nakłada na Cyfrowy Polsat Spółka Akcyjna z siedzibą w Warszawie przy ul. Łubinowej 4a, za naruszenie art. 32 ust. 1 i 2 rozporządzenia 2016/679, administracyjną karę pieniężną w wysokości 1 136 975 PLN  (słownie: jeden milion sto trzydzieści sześć tysięcy dziewięćset siedemdziesiąt pięć złotych),

2) w pozostałym zakresie postępowanie umarza.  

UZASADNIENIE

Cyfrowy Polsat Spółka Akcyjna z siedzibą w Warszawie przy ul. Łubinowej 4a  (zwana dalej także: „Spółką”) regularnie dokonywała Prezesowi Urzędu Ochrony Danych Osobowych (zwanemu dalej także: „Prezesem UODO”) zgłoszeń naruszeń ochrony danych osobowych klientów Spółki, które polegały m.in. na utracie przez kurierów dokumentów zawierających dane osobowe klientów lub na wydaniu przez kurierów niewłaściwej osobie dokumentów zawierających dane osobowe w postaci: imienia i nazwiska, adresu zamieszkania lub pobytu, numeru PESEL, adresu e-mail, serii i numeru dowodu osobistego bądź innego dokumentu tożsamości, numeru telefonu oraz danych dotyczących łączących strony umów. Niniejszym postępowaniem objęto […] zgłoszenia dokonane przez Spółkę  w okresie od [..] czerwca do [...] lipca 2020 r. (wykaz tych zgłoszeń znajduje się w aktach sprawy). Szczegółowa analiza zgłoszeń dokonanych przez Spółkę we wskazanym wyżej okresie, jak również  w okresie od [...] sierpnia do [...] września 2020 r. stanowi podstawę rozstrzygnięcia podjętego niniejszą decyzją i uzasadnia stwierdzenie dokonania przez Spółkę naruszenia opisanego w sentencji decyzji.

Przyjmując wyjaśnienia Spółki dotyczące naruszeń tego typu, zgłaszanych do UODO w okresie od grudnia 2019 r. do 26 maja 2020 r., Prezes UODO pismami z […] kwietnia oraz […] maja 2020 r. wskazał jednocześnie, że przedmiotowe naruszenia będą podlegały dalszej i ciągłej analizie porównawczej z ewentualnymi naruszeniami dokonywanymi w przyszłości celem ustalenia skuteczności podjętych środków mających na celu zminimalizowanie negatywnych skutków naruszenia i ryzyka jego ponownego wystąpienia. Ponadto zaznaczono, że w celu kontroli przestrzegania prawa przez administratorów danych, w szczególności dla sprawdzenia, czy wypełniają oni obowiązki w procesie przetwarzania danych osobowych, Prezes UODO posiada uprawnienia do przeprowadzenia kontroli również w stosunku do tych podmiotów, z którymi prowadził korespondencję w sprawie naruszeń ochrony danych. Kierowane do Spółki ww. pisma (jak również wcześniejsze pisma dotyczące zgłaszanych przez Spółkę naruszeń) zawierały wskazanie,  że wiele informacji na temat zasad przetwarzania danych osobowych, treść obowiązujących we wspomnianej materii aktów prawnych, jak również wskazówki co do ich stosowania w praktyce, można odnaleźć na stronie internetowej Urzędu Ochrony Danych Osobowych (www.uodo.gov.pl), na której opublikowane są m.in. Obowiązki administratorów związane z naruszeniami ochrony danych osobowych oraz Wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 Grupy Roboczej art. 29 (zwane dalej także „Wytycznymi”). Oznacza to, że Spółka miała możliwość zapoznania się z tymi dokumentami.

Dokonując kolejnych analiz zgłoszeń naruszeń ochrony danych osobowych związanych  ze współpracą Spółki z podmiotem świadczącym usługi kurierskie, w których Spółka wskazała, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych, zwrócono uwagę na wzrost liczby zgłoszeń naruszeń tego typu w czerwcu 2020 r., w porównaniu z okresem od [...] stycznia do [...] maja 2020 r. Ponadto zwrócono uwagę na znaczny upływ czasu od daty zaistnienia zdarzenia powodującego naruszenie ochrony danych osobowych do daty jego stwierdzenia przez Spółkę  i w konsekwencji zawiadomienia osób, których dane dotyczą oraz Prezesa UODO o naruszeniu, ponieważ dokonywane przez Spółkę zgłoszenia w poddanym analizie okresie czerwca 2020 r. dotyczyły m.in. zdarzeń powodujących naruszenia ochrony danych osobowych z lutego oraz stycznia 2020 r., a nawet zdarzeń z 2019 r. Analizując […] zgłoszeń naruszenia ochrony danych osobowych, które wpłynęły do Prezesa UODO w czerwcu 2020 r. nie odnotowano przypadków stwierdzenia przez Spółkę naruszenia w terminie do 7 dni od daty zdarzenia, które spowodowało naruszenie. Ustalono, że […] naruszeń zostało stwierdzonych w terminie powyżej 7 do 14 dni po dacie zdarzenia powodującego naruszenie, […] naruszeń zostało stwierdzonych w terminie powyżej 14 do 30 dni, […] naruszeń zostało stwierdzonych w terminie powyżej 30 do 60 dni. […] naruszenia zostały stwierdzone przez Spółkę w terminie powyżej 60 dni od daty zdarzenia powodującego naruszenie, co stanowi 60 % ogólnej liczby naruszeń ochrony danych osobowych zgłoszonych w poddanym analizie okresie.

W związku z powyższym, w dniu […] lipca 2020 r. Prezes UODO, na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679, zwrócił się do Spółki o przekazanie informacji i wskazanie:

1. działań mających na celu zminimalizowanie ryzyka ponownego wystąpienia naruszenia podjętych przez Spółkę w II kwartale 2020 r. w sprawach naruszeń mających związek  z dostarczaniem przesyłek przez firmy kurierskie;   
2. czy, a jak tak, to jakie techniczne i organizacyjne środki ochrony zostały wdrożone przez Spółkę, by od razu stwierdzić naruszenie ochrony danych osobowych  i bez zbędnej zwłoki zawiadomić organ nadzorczy i osobę, której dane dotyczą;
3. czy Spółka dokonała analizy wpływu terminowości identyfikacji naruszeń ochrony danych osobowych na prawa oraz wolności osób, których dane dotyczą, jak tak, to jakie były wyniki ww. analizy.

Jednocześnie, w piśmie z […] lipca 2020 r. przedstawione zostały Spółce ogólne wyniki analizy zgłoszeń naruszeń ochrony danych osobowych dokonanych przez nią w czerwcu 2020 r.  Prezes UODO podkreślił, że wraz z wyjaśnieniami należy złożyć dowody na ich potwierdzenie. Spółka pouczona została także, że brak złożenia wyjaśnień i dowodów na ich potwierdzenie w ww. zakresie może skutkować nałożeniem administracyjnej kary pieniężnej zgodnie z art. 83 ust. 5 lit. e) rozporządzenia 2016/679.

Pismem z […] lipca 2020 r. Spółka udzieliła wyjaśnień, z których wynika m.in., że została zapewniona przez przewoźnika o bieżącym monitorowaniu skali naruszeń, jak i podejmowaniu działań mających na celu wyeliminowanie lub co najmniej zminimalizowanie tego typu przypadków naruszeń. Spółka wskazała, że w drugim kwartale tego roku dla Spółki istotne było przede wszystkim zapewnienie bezpieczeństwa i zdrowia klientów i kurierów w trakcie trwającej pandemii, co znalazło swoje odzwierciedlenie w wypracowanej pomiędzy stronami instrukcji postępowania w trakcie doręczenia przesyłek, z zachowaniem najwyższych możliwych standardów bezpieczeństwa danych.

Spółka poinformowała również, że na bieżąco prowadzi rozmowy z przewoźnikiem w tym zakresie przedstawiając jako dowód korespondencję stanowiącą załącznik nr 3 do ww. pisma Spółki. Jako dowód dołączono wiadomość e – mail z […] czerwca 2020 r. dotyczącą przypadków zaginięcia przesyłek, nie przedstawiając jednocześnie innych dowodów składanych wyjaśnień. Ponadto analiza ww. dokumentu wykazała, że wiadomość e – mail nie była skierowana do Spółki tylko do innego podmiotu ([P. Sp. z o.o.]). Spółka w swych wyjaśnieniach nie odniosła się do tego faktu. Poza tym w załączniku nr 3 Spółka przedstawiła korespondencję z maja 2020 r. (dwie wiadomości e-mail) dotyczącą nieterminowego zgłoszenia naruszeń przez podmiot świadczący usługi kurierskie.

Spółka wskazała również, że wyjaśnia na bieżąco z przewoźnikiem przypadki naruszeń, celem wyeliminowania problemu opóźnień w przekazywaniu informacji o utracie danych. Spółka wyjaśniła dodatkowo, że istotny wpływ na terminowość zgłoszeń naruszeń ochrony danych osobowych dotyczących przedmiotowego postępowania w zakresie weryfikacji poprawności obsługi procesu dokumentów zwrotnych miał okres trwającej pandemii. Zgodnie z wyjaśnieniami Spółki, z uwagi na ograniczenia u podmiotów kurierskich związane z okresem pandemii, wydłużeniu uległ proces weryfikacji i obsługi dokumentów zwrotnych, stąd informacje o zdarzeniach zostały zaraportowane przez przewoźnika z opóźnieniem. Spółka podkreśliła, że w jej ocenie działania, które podejmuje przynoszą efekty w dłuższej perspektywie, bowiem odsetek naruszeń ochrony danych osobowych  w odniesieniu do wolumenu wszystkich przesyłek jest niewielki oraz przedstawiła wyliczenia za miesiąc czerwiec w tym zakresie. 

Dodatkowo, w odpowiedzi na ww. pismo Prezesa UODO z […] lipca 2020 r. Spółka przekazała wyjaśnienia w przedmiocie naruszeń polegających na doręczeniu dokumentów osobom trzecim, zgodnie z którymi w większości przypadków, jak wynika z wyjaśnień przewoźnika, osoby, którym doręczane są dokumenty, to osoby bliskie (domownicy) osób, których dane dotyczą. Spółka wskazała, że jej zdaniem doręczenie dokumentu osobie trzeciej będącej osobą bliską osoby, której dane dotyczą, powoduje bardzo małe prawdopodobieństwo zmaterializowania się ewentualnego ryzyka naruszenia praw i wolności związanego z tym zdarzeniem i w związku z czym wymaganie od Spółki informowania klientów o potencjalnych skutkach w zakresie naruszenia ich danych osobowych związanego z przekazaniem ich danych osobowych osobie trzeciej – bliskiej, wskutek działania na życzenie lub żądanie klienta, jest w opinii Spółki co najmniej bezprzedmiotowe. Spółka nie wyjaśniła jednak, do którego z 3 pytań z pisma Prezesa UODO się odnosi, ani co w jej rozumieniu oznacza przekazanie danych osobowych osobie trzeciej – bliskiej, wskutek działania na życzenie lub na żądanie klienta.     

Analiza zebranego w sprawie materiału wykazała, że w zakresie określonym w pkt 1) pisma Prezesa UODO z […] lipca 2020 r. Spółka nie przedstawiła dostatecznych dowodów na podejmowane przez nią działania mające na celu zminimalizowanie ryzyka ponownego wystąpienia naruszenia.  W zakresie określonym w pkt 2) pisma Prezesa UODO, w którym zwrócono się o wskazanie  technicznych i organizacyjnych środków ochrony wdrożonych przez Spółkę, by od razu stwierdzić naruszenie ochrony danych osobowych i bez zbędnej zwłoki zawiadomić organ nadzorczy i osobę, której dane dotyczą, Spółka nie wskazując, czy wdrożone zostały środki techniczne bądź proceduralne poinformowała, że „wyjaśnia na bieżąco z przewoźnikiem przypadki naruszeń celem wyeliminowania problemu opóźnień w przekazywaniu informacji o utracie danych.” Z dołączonej przez Spółkę korespondencji e-mail w temacie „Nieterminowe zgłoszenie naruszeń” wynikało jednak, że w maju  2020 r. wyjaśniane były naruszenia związane z przesyłkami nadanymi w grudniu 2019 r. oraz w styczniu i lutym 2020 r., co poddało w wątpliwość wyżej cytowane informacje  Spółki w zakresie bieżącego wyjaśniania z przewoźnikiem przypadków naruszeń. Zgromadzony materiał dowodowy nie mógł potwierdzić również dodatkowych wyjaśnień Spółki, że „istotny wpływ na terminowość zgłoszeń naruszeń danych osobowych dotyczących niniejszego postępowania Urzędu, dotyczących weryfikacji poprawności obsługi procesu dokumentów zwrotnych, miał okres trwającej pandemii”, ponieważ 60 % ogólnej liczby naruszeń ochrony danych osobowych zgłoszonych w czerwcu 2020 r. zostało zidentyfikowanych przez Spółkę powyżej 60 dni od daty zdarzenia powodującego naruszenie, zaś ponad 33 % ogólnej liczby zgłoszeń stanowiły zdarzenia zidentyfikowane przez Spółkę powyżej 90 dni od daty zdarzenia, tj. zdarzenia sprzed ogłoszenia stanu pandemii. Ponad 17 % ogólnej liczby naruszeń ochrony danych osobowych zgłoszonych w czerwcu 2020 r. dotyczyło zdarzeń ze stycznia 2020 r. oraz z 2019 r., co oznacza, że zostały zidentyfikowane przez Spółkę powyżej 120 dni od daty zdarzenia powodującego naruszenie ochrony danych osobowych. Ponadto, Spółka nie odniosła się do wniosku Prezesa UODO o wskazanie, czy dokonała analizy wpływu terminowości identyfikacji naruszeń ochrony danych osobowych na prawa oraz wolności osób, których dane dotyczą, a jeśli  tak, to jakie były wyniki ww. analizy.

Zgromadzony materiał dowodowy wskazał na możliwość naruszenia przez Spółkę, jako administratora danych, przepisów rozporządzenia 2016/679 w zakresie:

1. Niewdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679 i aby móc to wykazać oraz niepoddawanie przeglądom i uaktualnieniom tych środków, co stanowi naruszenie art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679./
2. Niezawiadamiania bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu mogącym powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, co stanowi naruszenie art. 34 ust. 1 rozporządzenia 2016/679.
3. Nieprzekazywania informacji zgodnie z wnioskiem Prezesa UODO, przekazywanie niepełnych bądź nierzetelnych informacji, nieprzekazywanie dowodów potwierdzających składane wyjaśnienia, co stanowi naruszenie art. 31 rozporządzenia 2016/679.

W związku z powyższym, pismem wysłanym […] lipca 2020 r. (znak: DKN.5130.3114.2020 […])Prezes UODO wszczął z urzędu postępowanie administracyjne  w zakresie obejmującym wyżej wskazane naruszenia.

W piśmie z […] sierpnia 2020 r., stanowiącym odpowiedź na zawiadomienie o wszczęciu postępowania administracyjnego, Spółka wskazała m.in., że działa zgodnie z Polityką oceny  i notyfikacji naruszeń ochrony danych osobowych w Cyfrowym Polsacie S.A. (dalej: „Polityka”), dołączając treść dokumentu jako załącznik nr 1 do wyjaśnień. Spółka wskazała, że zgodnie z pkt 3.3. Polityki dokłada starań, aby pracownicy i współpracownicy posiadali niezbędną wiedzę w zakresie ochrony danych osobowych, w szczególności naruszeń oraz, że w tym celu przeprowadzane są cykliczne szkolenia w zakresie ochrony danych osobowych. Jako dowód Spółka przedstawiła treść komunikatu kierowanego do pracowników Spółki informującego o obowiązkowym szkoleniu  w zakresie ochrony danych osobowych, który stanowi załącznik nr 2 do jej wyjaśnień. Jednym  z modułów szkolenia są kwestie związane z naruszeniami ochrony danych osobowych. Jednocześnie, stosownie do pkt 3.4. Polityki, podmioty przetwarzające dane na zlecenie Spółki, zobowiązywane są do współpracy ze Spółką w zakresie zidentyfikowanych naruszeń ochrony danych osobowych.

Spółka wskazała, że kwestie dotyczące powierzenia przetwarzania danych osobowych, w tym odpowiedzialność firmy kurierskiej wobec Spółki, reguluje umowa współpracy w zakresie świadczenia usług kurierskich, jak również aneks do tej umowy (dalej łącznie: „Umowa”), która nakłada na firmę kurierską w szczególności obowiązek zabezpieczenia przesyłki w trakcie jej przewozu oraz od momentu jej wydania do doręczenia do odbiorcy, obowiązek postępowania zgodnie z instrukcją dla kuriera załączoną każdorazowo do przesyłki, której treść stanowi załącznik nr 4 do wskazanego pisma Spółki, obowiązek weryfikacji tożsamości osoby odbierającej przesyłkę z danymi na liście przewozowym i dokumentach zawartych w paczce oraz zabezpieczenie dokumentów zwrotnych poprzez ich bezpieczne zdeponowanie w kopercie zwrotnej dołączonej do przesyłki, obowiązek niezwłocznego zgłoszenia utraty przesyłki i/lub danych w niej zawartych do Inspektora Ochrony Danych Spółki oraz przewiduje możliwość składania reklamacji na jakość świadczenia usług kurierskich, dochodzenia wypłaty odszkodowań przewidzianych w umowie, w tym  w szczególności możliwość nakładania kar w przypadku naruszenia zasad ochrony powierzonych danych osobowych.

Spółka wskazała, że podjęła działania mające na celu „wyeliminowanie przypadków naruszeń zdarzeń w przyszłości poprzez m.in. przygotowanie dla firmy kurierskiej instrukcji dotyczącej rozpoznawania naruszeń ochrony danych osobowych i ich niezwłocznego zgłaszania.” Treść instrukcji Spółka dołączyła jako załącznik nr 13 do pisma z […] sierpnia 2020 r. Spółka wskazała, że każdy z kurierów otrzymuje materiał edukacyjny opisujący podstawowe zagadnienia o ochronie danych osobowych, przedstawiając treść „Przewodnika dla kurierów” jako załącznik nr 20 do ww. pisma. Spółka wyjaśniła, że w związku z podjętymi działaniami stwierdziła w lipcu 2020 r. mniejszą liczbę naruszeń logistycznych, niż w poprzedzających miesiącach, tj. w maju i czerwcu, przedstawiając odpowiednie zestawienie w tym zakresie. Ponadto Spółka przedstawiła wyjaśnienia oraz udokumentowała, że korespondencja (sygn. […] załączona jako odpowiedź na pismo Prezesa UODO z dnia […] lipca 2020 r., potwierdzająca podejmowane działania mające na celu wyeliminowanie lub co najmniej zminimalizowanie powstawania naruszeń ochrony danych osobowych mających związek z dostarczaniem przesyłek przez firmy kurierskie, prowadzona pomiędzy przewoźnikiem a [P. Sp. z o.o.], dotyczy jednocześnie działań podejmowanych  w tym zakresie przez Spółkę, ponieważ [P. Sp. z.o.o.] na podstawie łączącej ją ze Spółką umowy z dnia […] stycznia 2017 r. oraz aneksu nr 1 z dnia […] maja 2018 r. prowadzi obsługę procesów logistycznych na rzecz Spółki, a działania dotyczące [P. Sp. z o.o.] są tożsame w kontekście obsługi klientów Spółki. Treść aneksu, o którym mowa powyżej, Spółka przedstawiła jako załącznik nr 16 do swych wyjaśnień z […] lipca 2020 r.

Dodatkowo, odnosząc się do liczby zgłoszeń wskazanej w zawiadomieniu o wszczęciu postępowania, Spółka zwróciła uwagę, iż ze względu na prowadzoną działalność telekomunikacyjną każdorazowo dokonuje oceny zasadności notyfikowania naruszeń organowi nadzorczemu oraz zawiadomienia osoby, nie w oparciu o przesłanki z art. 33 i art. 34 rozporządzenia 2016/679, a na podstawie przepisów szczególnych, tj. rozporządzenia Komisji (UE) Nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady  o prywatności i łączności elektronicznej (dalej „rozporządzenie 611/2013”). Zgodnie bowiem  z art. 2 ust. 1 rozporządzenia 611/2013, dostawca powiadamia właściwy organ krajowy o wszystkich przypadkach naruszenia danych osobowych. Taka konstrukcja przepisu jest zdecydowanie bardziej rygorystyczna, aniżeli dyspozycja wynikająca z art. 33 rozporządzenia 2016/679, co w konsekwencji wpływa na ilość dokonywanych notyfikacji.

Spółka w swych wyjaśnieniach przesłanych pismem z […] sierpnia 2020 r. podkreśliła, iż  art. 33 rozporządzenia 2016/679 stanowi, że „(...) zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych”. Jednocześnie, stosownie do art. 3 ust. 2 lit. a-c rozporządzenia 611/2013, prawdopodobieństwo, że naruszenie danych osobowych może mieć niekorzystne skutki dla danych osobowych lub prywatności abonenta lub osoby fizycznej, ocenia się, biorąc od uwagę w szczególności następujące okoliczności: a) charakter i treść odnośnych danych osobowych, zwłaszcza jeśli dane te związane są z informacjami finansowymi, szczególnymi kategoriami danych, o których mowa w art. 8 ust. 1 dyrektywy 95/46/WE, danymi dotyczącymi poczty elektronicznej, danymi dotyczącymi lokalizacji, internetowymi plikami rejestru, rejestrami przeszukiwanych stron internetowych i wykazami wykonanych usług telekomunikacyjnych; b) prawdopodobne konsekwencje naruszenia danych osobowych dla danego abonenta lub osoby fizycznej, szczególnie, jeżeli naruszenie mogłoby skutkować kradzieżą lub sfałszowaniem tożsamości, uszkodzeniem ciała, cierpieniem psychicznym, upokorzeniem lub naruszeniem dobrego imienia; oraz c) okoliczności, w jakich doszło do naruszenia danych osobowych, w szczególności to, gdzie skradziono dane oraz kiedy dostawca dowiedział się, że dane są w posiadaniu nieupoważnionej strony trzeciej. Spółka wskazała, że biorąc powyższe pod uwagę, dokonała indywidualnej oceny ryzyka każdego ze zdarzeń mających znamiona naruszenia ochrony danych osobowych  z uwzględnieniem dualizmu przepisów, o których mowa powyżej. Spółka dokonała oceny wagi naruszeń ochrony danych osobowych według metodologii oceny stopnia naruszenia ochrony danych opracowanej przez Agencję Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA),  w której zaproponowano trzy główne kryteria: 1 (KPD) Kontekst przetwarzania danych, 2 (Łl) Łatwość identyfikacji osoby, której dane dotyczą, 3 (ON) Okoliczności naruszenia, mające dodatkowy wpływ na powagę (dotkliwość) naruszenia. Jak wskazała Spółka, końcowy wynik oceny dotkliwości naruszenia (DN), po uwzględnieniu przyjętych wartości punktowych dla poszczególnych kryteriów, można uzyskać korzystając z następującego wzoru: DN = KPD x Łl + ON.

W swych wyjaśnieniach Spółka wyodrębniła trzy typy naruszeń, tj.: 1) zdarzenia dotyczące wydania przesyłki osobie trzeciej, gdzie zgodnie z wyjaśnieniami Spółki w większości przypadków osobą trzecią jest członek najbliższej rodziny zamieszkały pod wspólnym adresem z klientem;  2) zagubienie dokumentów przez firmę kurierską; 3) kradzież przesyłki ze sprzętem. W zakresie przesyłek doręczanych osobom trzecim, Spółka wskazała, że zgodnie z informacjami przekazanymi przez firmę kurierską, do zdarzeń tego typu dochodzi, co do zasady, na wyraźne życzenie klienta Spółki, a kurier działa wbrew instrukcji przekazanej przez Spółkę, łamiąc tym samym zasady prawidłowego doręczenia przesyłki. Dodatkowo, kurierzy często działają na wyraźne życzenie klientów, którzy proszą ich o przekazanie przesyłek do wskazanych przez nich osób, zwykle najbliższych członków ich rodzin. W zakresie przesyłek doręczanych osobom trzecim, Spółka ponownie podkreśliła, że z analizy tych zgłoszeń wynika, że osobami tymi są najczęściej osoby bliskie (członkowie rodziny) osób, do których te przesyłki faktycznie są skierowane. W związku  z tym, wydanie takich dokumentów osobie, która zna te dane i mieszka z klientem w jednym gospodarstwie domowym, rodzi większe konsekwencje w zakresie prawa cywilnego [brak umocowania do podpisania umowy, a więc brak możliwości rozpoczęcia świadczenia usługi przez Spółkę], aniżeli rodzi ryzyko ewentualnych negatywnych następstw w sferze praw i wolności osoby, której dane dotyczą. Jednocześnie, zgodnie z wyjaśnieniami Spółki, taki sposób doręczania korespondencji jest powszechnie przyjętą zasadą w procedurze doręczeń w postępowaniu cywilnym i administracyjnym. Jak wskazała Spółka, „powyższe, pozwala na stwierdzenie, że brak jest przesłanek do twierdzenia o możliwości wystąpienia negatywnych skutków dla klienta w następstwie opisanego zdarzenia, w postaci kradzieży tożsamości bądź wykorzystania jego danych do  np. wyłudzenia pożyczek, czy świadczeń medycznych.”]

Spółka wskazała, że dokonała szczegółowej oceny ryzyka naruszeń dla każdej z trzech wyżej wymienionych kategorii zdarzeń. Zgodnie z wyjaśnieniami Spółki, uzyskany wynik według metodologii ENISA pozwolił określić poziom dotkliwości naruszenia ochrony danych dla osób, których dane dotyczą, jako niski. Wyniki, określonej przez Spółkę w jej wyjaśnieniach, „szczegółowej analizy  ryzyka” naruszeń będących przedmiotem niniejszego postępowania, zostały przedstawione odpowiednio w załącznikach nr 12, 14 i 15 do pisma Spółki z […] sierpnia 2020 r.

 Spółka wskazała, że pomimo analizy naruszeń, której wynik pozwolił określić poziom dotkliwości naruszenia ochrony danych dla osób, których dane dotyczą, jako „niski”, notyfikowała jednak te naruszenia ze względu na wytyczne Prezesa Urzędu Ochrony Danych Osobowych przekazane Spółce w wystąpieniu z dnia […] września 2018 r. (sygn. […]), wskazujące na konieczność notyfikowania zdarzeń, które obejmowały nr PESEL, uwzględniając ryzyko jako „wysokie”.

Ponadto Spółka wskazała na zgodność swoich działań z art. 33 rozporządzenia 2016/679  i motywu 85 rozporządzenia 2016/679 oraz poinformowała, że nałożyła na podmiot świadczący usługi kurierskie w dniu […] lutego 2020 r. kary umowne, w związku z utratą danych osobowych klientów Spółki, na łączną kwotę […] zł, przedstawiając notę obciążeniową jako załącznik nr 9 do swych wyjaśnień. Spółka wskazała również, że podjęła decyzję o nałożeniu kolejnych kar za naruszenie postanowień umowy przedstawiając noty obciążeniowe z dnia […] czerwca 2020 r. oraz […] lipca 2020 r. na łączną kwotę […] zł (załączniki nr 10 i 11).

W związku z faktem, że w zawiadomieniu o wszczęciu postępowania administracyjnego wskazano m.in. na możliwość naruszenia przez Spółkę art. 34 ust 1 rozporządzenia 2016/679 oraz przytoczono treść motywu 87, zaś Spółka w swym piśmie z […] sierpnia 2020 r. przedstawiła wyjaśnienia dotyczące wypełniania przez nią wymogów określonych w art. 33 oraz motywu 85 rozporządzenia 2016/679, a także z uwagi na to, że w pismach z […] lipca i […] sierpnia 2020 r. Spółka nie udzieliła odpowiedzi, czy dokonała analizy wpływu terminowości identyfikacji naruszeń ochrony danych osobowych na prawa lub wolności osób, których dane dotyczą, a jak tak, to jakie były wyniki ww. analizy, Prezes UODO pismem z […] października 2020 r. ponownie zwrócił się do Spółki o złożenie wyjaśnień w tym zakresie. Prezes UODO zwrócił się równocześnie o wskazanie, czy oprócz umowy z firmą kurierską Spółka posiada wewnętrzne procedury zapewniające spełnienie wymogów określonych w art. 34 ust. 1 rozporządzenia 2016/679, prosząc jednocześnie o wskazanie konkretnych przepisów z wewnętrznych regulacji. W ww. piśmie Prezes UODO nadmienił także, że  w zawiadomieniu o wszczęciu postępowania administracyjnego przywołał motyw 87 rozporządzenia 2016/679, a nie jak wskazała w swych wyjaśnieniach Spółka motyw 85 rozporządzenia 2016/679. Ponadto Prezes UODO zwrócił się o przesłanie szczegółowej metodyki oceny ryzyka zastosowanej przez Spółkę do oceny ryzyka, o której mowa w pkt 2 jej wyjaśnień z […] sierpnia 2020 r.

Pismem z […] października 2020 r. Spółka złożyła dodatkowe wyjaśnienia w sprawie.  W odniesieniu do wniosku Prezesa UODO o udzielenie odpowiedzi, czy dokonano analizy wpływu terminowości identyfikacji naruszeń ochrony danych osobowych na prawa lub wolności osób Spółka wskazała m.in., że podejmuje działania mające na celu analizę wpływu naruszeń ochrony danych osobowych na prawa i wolności osób fizycznych. Spółka poinformowała, że ocenia w każdym przypadku indywidualnie ryzyko wystąpienia skutków dla osoby, której dane dotyczą, poprzez pryzmat możliwych negatywnych konsekwencji dla osoby, której dane zostały naruszone. Spółka wskazała, że na dzień sporządzania przedmiotowej odpowiedzi nie odnotowała wpływu korespondencji od osób, których dane zostały naruszone, w przedmiocie poniesienia przez te osoby jakichkolwiek konsekwencji, o których mowa w szczególności w rozporządzeniu 611/2013. Spółka wyjaśniła, że „dokonując analizy ryzyka ocenia potencjalne negatywne skutki dla osoby, której dane dotyczą, posługując się przygotowanym na potrzeby wewnętrzne zestawieniem zagrożeń, w tym praw i wolności osoby fizycznej mogących stanowić naruszenie, z uwzględnieniem zagrożeń oraz skutków i środków zapobiegawczych, które stanowi Załącznik nr1 do niniejszego pisma.”. Odnosząc się do wniosku w zakresie wskazania wewnętrznych regulacji mających na celu zapewnienie spełnienia wymogów określonych w art. 34 ust. 1 rozporządzenia 2016/679 Spółka podkreśliła, że jako przedsiębiorca telekomunikacyjny, w pierwszej kolejności w stosunku do danych osobowych abonentów stosuje postanowienia rozporządzenia 611/2013, zaś w drugiej kolejności postanowienia rozporządzenia 2016/679. Ponadto, Spółka wskazała na pkt 5.5 Polityki Oceny i Notyfikacji Naruszeń Ochrony Danych Osobowych w Cyfrowy Polsat S.A., zgodnie z którym „w przypadku ustalenia, że istnieje prawdopodobieństwo, że naruszenie danych osobowych wywoła niekorzystne skutki dla danych osobowych lub prywatności abonenta lub osoby fizycznej, Administrator dokonuje zgłoszenia, o którym mowa w pkt. 5.5. Polityki, a ponadto niezwłocznie informuje o Naruszeniu Podmioty danych, których dotyczy Naruszenie (…). Jeśli wyczerpujące określenie Podmiotów danych, których dotyczy Naruszenie, nie jest możliwe, Administrator zamieszcza informację na swojej stronie internetowej lub przekazuje ją w inny sposób, który maksymalizuje szansę dotarcia informacji do odpowiednich Podmiotów danych”. W odpowiedzi na wniosek dotyczący przesłania szczegółowej metodyki oceny ryzyka zastosowanej do oceny ryzyka Spółka podkreśliła, że już w poprzednim piśmie kierowanym do Urzędu Ochrony Danych Osobowych w dniu […] sierpnia 2020 r. wskazała, że przy ocenie wagi ryzyka korzysta z metodyki oceny wagi naruszenia przygotowanej przez Agencję Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA). Spółka ponadto w swych wyjaśnieniach przesłała wzory użyte do oceny ryzyka naruszeń. Spółka potwierdziła również, że indywidualnie przeprowadzone analizy ryzyka naruszenia praw i wolności osoby, której dane dotyczą, dla każdego naruszenia objętego niniejszym postępowaniem, zgodnie z metodologią ENISA, zostały przekazane do UODO przy jej piśmie z dnia […] sierpnia 2020 r.

Ponadto Spółka poinformowała, że na początku września 2020 r. nastąpiła zmiana  w parametrach usług przypisywanych do przesyłek przekazywanych przewoźnikowi, aby w jeszcze większym stopniu zobligować kuriera do doręczenia przesyłki tylko i wyłącznie do rąk własnych abonenta, którego dane widnieją na etykiecie adresowej przesyłki. Zmiana, w ocenie Spółki, pozwoliła na wyeliminowanie przypadków wydawania przesyłki osobie nieupoważnionej, w tym również domownikom zamieszkującym pod tym samym adresem doręczenia. Spółka poinformowała również o wdrożeniu dodatkowych działań mających na celu usprawnienie procesu śledzenia przesyłek w drodze, tak, aby w krótkim terminie po nadaniu przesyłki ustalać jej finalny status. Cyklicznej weryfikacji podawane są wszystkie przesyłki nadawane w kanałach zdalnych Spółki. Zgodnie z wyjaśnieniami Spółki, informacje pozyskane w ramach wyjaśnień i interwencji  z przewoźnikiem pozwalają Spółce na podejmowanie dalszych działań względem przesyłki, w tym potwierdzenie w szczególności zaginięć przesyłek, a co za tym idzie szybsze identyfikowanie  i zgłaszanie ewentualnej utraty danych osobowych. Spółka wskazała, że w jej ocenie wprowadzone zmiany przyniosły pozytywne rezultaty, bazując na skali naruszeń, która znacząco spadła we wrześniu 2020 r. Spółka przedstawiła również wyliczenia w zakresie m.in. liczby naruszeń związanych z doręczeniami przesyłek kurierskich w okresie od kwietnia do września 2020 r.

Pismem z […] lutego 2021 r. Spółka ponownie wskazała na okres trwającej pandemii, co powodowało dodatkowe trudności w prawidłowej realizacji usług przez podmiot świadczący usługi kurierskie, a pośrednio przyczyniało się do liczby naruszeń oraz do opóźnień w zawiadamianiu Spółki o tych zdarzeniach.

Spółka podkreśliła, że dokonując rzeczonych zawiadomień (zarówno do Prezesa UODO, jak i do podmiotów danych), Spółka nie popadała w zwłokę – bowiem realizowała je niezwłocznie po stwierdzeniu naruszenia (tj. niezwłocznie po poinformowaniu jej o zdarzeniu stanowiącym  o naruszeniu ochrony danych przez firmę kurierską). Spółka wskazała ponadto, że upływ dłuższego czasu pomiędzy zdarzeniami prowadzącymi do naruszenia ochrony danych osobowych,  a zgłoszeniami dokonanymi przez Spółkę do Prezesa UODO oraz do osób, których dane dotyczyły, nie był wynikiem zwłoki Spółki, jako administratora danych, lecz niewywiązywania się przez firmę kurierską z umownego i ustawowego obowiązku niezwłocznego zgłoszenia naruszenia ochrony danych osobowych administratorowi danych.  

W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:  

Zgodnie z brzmieniem art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Oznacza to, że administrator przy dokonywaniu oceny proporcjonalności zabezpieczeń powinien wziąć pod uwagę czynniki i okoliczności dotyczące przetwarzania (np. rodzaj, sposób przetwarzania danych) i ryzyko, jakie się z nim wiąże. Jednocześnie wdrożenie odpowiednich zabezpieczeń stanowi obowiązek będący przejawem realizacji ogólnej zasady przetwarzania danych – zasady integralności i poufności, określonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679. Wdrożenie środków technicznych i organizacyjnych powinno polegać na implementowaniu przez administratora odpowiednich przepisów, zasad przetwarzania danych osobowych w danej organizacji, ale także na dokonywaniu regularnych przeglądów tych środków, a w razie potrzeby na uaktualnianiu uprzednio przyjętych zabezpieczeń.

Z treści art. 32 ust. 1 rozporządzenia 2016/679 wynika, że administrator jest zobowiązany do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Przepis precyzuje, że decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, zgodnie z lit. b) i d) tego artykułu, powinny obejmować środki takie, jak zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Art. 32 ust. 2 rozporządzenia 2016/679 stanowi, że oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Motyw 87 rozporządzenia 2016/679 stanowi m.in., że należy się upewnić, czy wdrożono wszelkie odpowiednie techniczne środki ochrony i wszelkie odpowiednie środki organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy  i osobę, której dane dotyczą. To, czy zawiadomienia dokonano bez zbędnej zwłoki, należy ustalić  z uwzględnieniem w szczególności charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą.

W ocenie Prezesa UODO Spółka w sposób niewystarczający dokonywała oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych znajdujących się na dokumentach dostarczanych klientom Spółki za pośrednictwem podmiotu świadczącego usługi kurierskie, co stanowi naruszenie art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679.

W pierwszej kolejności należy odnieść się do wyjaśnień Spółki w zakresie oceny ryzyka naruszenia praw lub wolności osób fizycznych, których dotyczyły naruszenia ochrony danych osobowych objęte niniejszym postępowaniem. W odpowiedzi na wszczęcie postępowania administracyjnego Spółka podkreśliła, że zgodnie z art. 33 rozporządzenia 2016/679 „(...) zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych”, powołując jednocześnie art. 3 ust. 2 rozporządzenia 611/2013, zgodnie z którym prawdopodobieństwo, że naruszenie danych osobowych może mieć niekorzystne skutki dla danych osobowych lub prywatności abonenta lub osoby fizycznej, ocenia się, biorąc od uwagę w szczególności okoliczności określone w pkt a-c wskazanego przepisu. Następnie Spółka wskazała, że dokonała indywidualnej oceny ryzyka każdego ze zdarzeń mających znamiona naruszenia ochrony danych osobowych. Spółka wskazała, że dokonała oceny wagi naruszeń ochrony danych osobowych według metodologii oceny stopnia naruszenia ochrony danych opracowanej przez Agencję Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA).

Ponadto Spółka wyodrębniła trzy typy naruszeń, tj. 1) zdarzenia dotyczące wydania przesyłki osobie trzeciej, 2) zagubienie dokumentów przez firmę kurierską 3) kradzież przesyłki ze sprzętem. Spółka wskazała, że dokonała szczegółowej oceny ryzyka naruszeń dla każdego z trzech ww. typów naruszeń, przedstawiając jej wyniki odpowiednio w załącznikach nr 12, 14 i 15 do pisma Spółki  z […] sierpnia 2020 r.

W swych pismach z […] sierpnia oraz […] października 2020 r. Spółka wskazała, że we wszystkich 3 typach naruszeń, opisanych powyżej, na podstawie dokonanej indywidualnej oceny ryzyka według metodologii ENISA, uzyskany wynik analizy naruszeń pozwolił określić poziom dotkliwości naruszenia ochrony danych dla osób, których dane dotyczą, jako „niski”. Zdaniem Spółki, odnosi się to także do naruszeń polegających na kradzieży dokumentacji, gdyż, jak podniosła Spółka, złodziej zainteresowany był sprzętem przesyłanym do klienta, a nie jego danymi osobowymi. Poza wynikiem analizy tego typu naruszeń Spółka nie przedstawiła jednak innych dowodów uzasadniających taką ocenę.

Spółka wyjaśniła, że „mimo to, że uzyskany wynik analizy naruszeń pozwolił określić poziom dotkliwości naruszenia ochrony danych dla osób, których dane dotyczą, jako „niski”, Spółka notyfikowała jednak naruszenia, ze względu na wytyczne Prezesa Urzędu Ochrony Danych Osobowych przekazane Spółce w wystąpieniu z dnia […] września 2018 r. (sygn.  […]), wskazujące na konieczność notyfikowania zdarzeń, które obejmowały nr PESEL, uwzględniając ryzyko jako „wysokie".” Z powyższych wyjaśnień nie wynika jednak wprost, czy Spółka podważa dokonaną wówczas przez Prezesa UODO ocenę, dlaczego jej wtedy nie kwestionowała oraz dlaczego dokonywała zgłoszeń, gdzie w formularzach zgłoszenia wskazywała na wysokie ryzyko naruszenia praw lub wolności osób fizycznych w związku z tymi naruszeniami pomimo dokonywanej przez siebie odmiennej oceny tego ryzyka.

W tym miejscu podkreślenia wymaga fakt, że wystąpienie (sygn. […]) skierowane zostało do Spółki w związku z dokonanym przez Spółkę zgłoszeniem naruszenia ochrony danych osobowych z […] sierpnia 2018 r., w którym Spółka poinformowała, że zawiadomiła osobę, której dane dotyczą, o fakcie naruszenia jej danych osobowych oraz przekazała treść tego zawiadomienia. W przedmiotowym wystąpieniu Prezes UODO wskazał, że zawiadomienie przesłane przez Spółkę nie spełnia warunków określonych w art. 34 ust. 2 rozporządzenia 2016/679, tj. nie zawiera informacji, o których mowa w art. 34 ust. 2 w zw. z art. 33 ust. 3 lit. c) rozporządzenia 2016/679, ponieważ nie opisuje możliwych konsekwencji naruszenia ochrony danych osobowych. W odpowiedzi na przedmiotowe wystąpienie Spółka pismem z […] października 2018 r. poinformowała, że zawiadomiła osobę, której dane dotyczyły zgodnie z wytycznymi przedstawionymi w przedmiotowym wystąpieniu Prezesa UODO. Spółka nie kwestionowała w żaden sposób wskazanego wystąpienia, dokonywała zgłoszeń naruszeń ochrony danych osobowych wynikających ze współpracy z podmiotem świadczącym usługi kurierskie oraz zawiadamiała osoby, których dane dotyczyły, w przypadkach dotyczących naruszeń ochrony danych osobowych,  w których wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Podkreślić należy fakt, że Spółka podnosi powyższe dopiero na etapie niniejszego postępowania, kwestionując tym samym zasadność dokonywanej przez siebie w zgłoszeniach naruszeń ochrony danych osobowych oceny wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, skoro mogła to zakwestionować już w odpowiedzi na wystąpienie Prezesa UODO sygn. […] z […] września 2018 r.

Odnosząc się do przedstawionej przez Spółkę oceny ryzyka naruszeń praw lub wolności osób fizycznych, przedstawionej dla wyodrębnionych przez Spółkę typów naruszeń, wskazać należy na poniższe okoliczności. Dla naruszeń związanych z wydaniem dokumentacji osobom trzecim Spółka podniosła, że dokumentacja ta najczęściej wydawana jest osobom bliskim i w związku z tym wydanie takich dokumentów osobie, która zna te dane i mieszka z klientem w jednym gospodarstwie domowym, rodzi większe konsekwencje w zakresie prawa cywilnego [brak umocowania do podpisania umowy, a więc brak możliwości rozpoczęcia świadczenia usługi przez Spółkę], aniżeli rodzi ryzyko ewentualnych negatywnych następstw w sferze praw i wolności osoby, której dane dotyczą. Wobec powyższego wskazać należy, że zgodnie z Wytycznymi, w zależności od konkretnej sytuacji administrator może uznać przypadkowego odbiorcę, osobę trzecią za „zaufanego”, zaś fakt, że odbiorca jest zaufany może spowodować, że skutki naruszenia nie będą poważne, ale nie znaczy to, że naruszenie nie miało miejsca. To z kolei może jednak wyeliminować prawdopodobieństwo wystąpienia ryzyka dla osób fizycznych, w wyniku czego nie będzie już potrzeby powiadomienia organu nadzorczego lub osób fizycznych, na które to naruszenie wywiera wpływ. Oznacza to, że administrator powinien dokonać oceny indywidualnie dla każdego przypadku naruszenia. Spółka  w swych wyjaśnieniach oparła swoją ocenę na ogólnych informacjach przekazanych przez podmiot świadczący usługi kurierskie, nie przedstawiając jednocześnie dowodów wykonanej przez siebie indywidualnej analizy w tym zakresie dla poszczególnych przypadków naruszeń ochrony danych osobowych tego typu. Spółka poinformowała co prawda, że dokonała szczegółowej oceny ryzyka naruszeń polegających na wydaniu przesyłki osobie trzeciej, której treść stanowi załącznik nr 12 (1-20) do wyjaśnień Spółki z […] sierpnia 2020 r., jednak wskazana dokumentacja przedstawiona przez Spółkę nie uwzględnia sytuacji wydania przez firmę kurierską dokumentów zawierających dane osobowe klienta Spółki osobie, którą można by uznać za zaufanego odbiorcę. Wskazać należy, że uznanie osoby, która faktycznie odebrała dokumentację zawierającą dane osobowe klienta Spółki, za zaufanego odbiorcę wymagałoby jednak, aby w każdym przypadku Spółka zbadała relacje łączące takiego odbiorcę z klientem, np. czy nie są w konflikcie oraz czy rzeczywiście dysponowała już ona wszystkimi danymi osobowymi klienta. Należy też podkreślić, że podnoszone przez Spółkę konsekwencje w zakresie prawa cywilnego przekładają się też na naruszenie praw lub wolności osób fizycznych, o którym mowa w rozporządzeniu 2016/679. Ta kwestia, jak wynika z dokumentacji przedłożonej przez Spółkę, nie została jednak również wzięta pod uwagę przez Spółkę przy dokonywaniu oceny ryzyka związanego z naruszeniem ochrony danych osobowych.

Spółka w piśmie z […] lipca 2020 r. podała, że jej zdaniem „wydaje się, że doręczenie dokumentu osobie trzeciej stanowiącej osobę bliską, której dane dotyczą powoduje bardzo małe prawdopodobieństwo zmaterializowania się ewentualnego ryzyka naruszenia praw i wolności związanego z tym zdarzeniem”, jednak, jak wskazano powyżej, nie udokumentowała dostatecznie, że dokonywała indywidualnej oceny poszczególnych przypadków naruszeń tego typu, opierając swą ocenę głównie na wyjaśnieniach przekazanych przez podmiot świadczący na jej rzecz usługi kurierskie. Podkreślić należy że dla oceny wysokiego ryzyka naruszenia praw lub wolności osób fizycznych związanego z naruszeniem ochrony danych osobowych nie ma znaczenia, czy to ryzyko się zmaterializuje, a fakt istnienia ryzyka. W związku z powyższym, nie można uznać argumentacji Spółki uzasadniającej brak wysokiego ryzyka naruszenia praw lub wolności osób fizycznych w tym zakresie. Ponownie należy w tym miejscu podkreślić, że Spółka powinna wyjaśnić indywidualnie każdy przypadek, czego jak wynika z przedstawionej dokumentacji nie uczyniła. Podnieść należy, że z uwagi na zakres ujawnionych danych osobowych, naruszenia tego typu, w przypadku braku indywidualnego potwierdzenia, że osoba, która odebrała dokumentację zawierającą dane osobowe klienta, może zostać uznana za odbiorcę zaufanego, należało ocenić jako powodujące wysokie ryzyko naruszenia praw lub wolności osób fizycznych i zawiadomić o nich klientów, co zresztą Spółka wykonywała. Analogicznie dla pozostałych dwóch wyodrębnionych przez Spółkę kategorii naruszeń, tj. zagubienia lub kradzieży dokumentacji zawierającej dane osobowe klientów, w przypadku braku indywidualnej oceny dostatecznie uzasadniającej brak wysokiego ryzyka, z uwagi na zakres ujawnionych danych osobowych, ryzyko to należało ocenić na poziomie wysokim i zawiadomić  o naruszeniu klienta.

Prezes UODO wskazuje, że przedstawiona przez Spółkę „szczegółowa analiza ryzyka” stanowiąca załączniki do jej wyjaśnień, to w rzeczywistości wydruki z kalkulatora wagi naruszeń ochrony danych osobowych udostępnianego na stronie internetowej jednego z podmiotów świadczących usługi wsparcia w zakresie ochrony danych osobowych. Prezes UODO nie ocenia  w tym miejscu poprawności działania wskazanego kalkulatora, zaznaczając jednak, że za pomocą kalkulatorów możliwe jest uzyskanie dowolnego wyniku, w zależności od danych wprowadzonych do obliczeń. Ponadto na przedmiotowych wydrukach zawarte jest zastrzeżenie, „że każdy przypadek naruszenia, bądź podejrzenia naruszenia ochrony danych osobowych powinien być analizowany indywidualnie, w szczególności w zakresie obowiązków określonych w art. 33 i 34 RODO, z tego względu niniejszy kalkulator może stanowić co najwyżej dodatkowe źródło pomocnicze i nie może być samodzielną podstawą podejmowania decyzji przez jakikolwiek podmiot lub osobę, które korzystają z kalkulatora na własną odpowiedzialność”. Dokumenty te nie są opatrzone w datę wytworzenia, ani nie zawierają opisu szczegółowych kryteriów, jakimi kierowała się Spółka dokonując oceny za pomocą wskazanego kalkulatora. Jak już wcześniej wskazano, ocena ryzyka dla naruszeń polegających na wydaniu dokumentacji osobie trzeciej nie zawiera indywidualnej oceny ani uzasadnienia, że w danym przypadku doszło do ujawnienia danych osobowych podmiotowi zaufanemu, co mogłoby uzasadnić dla tego przypadku ocenę braku wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Oprócz wskazanych wydruków z kalkulatora, takiej oceny Spółka nie przedstawiła również w stosunku do pozostałych wyodrębnionych przez siebie kategorii naruszeń.

Spółka w swych wyjaśnieniach podkreśla jedynie, że dokonała oceny zgodnie z metodą ENISA nie wskazując jednocześnie dodatkowego uzasadnienia przyjętych przez siebie kryteriów oceny ryzyka.

Należy zwrócić ponadto uwagę, że metoda ENISA wskazuje, że ostateczna wartość punktowa dla kontekstu przetwarzania (KPD) może być zwiększana bądź zmniejszana w zależności od wystąpienia różnych czynników m.in. szerokiego zakresu danych dla jednej osoby, charakteru danych czy możliwych negatywnych skutków dla podmiotu danych oraz skali naruszonych danych (dla tej samej osoby).

Zgodnie z Wytycznymi, kluczowym czynnikiem podczas oceniania ryzyka jest oczywiście rodzaj i wrażliwość danych osobowych, które zostały ujawnione w wyniku naruszenia. Zazwyczaj ryzyko powstania szkody dla osób, których dotyczy naruszenie, wzrasta wraz z wrażliwością danych, lecz należy wziąć pod uwagę również inne dane osobowe dotyczące tych osób, które mogą już być dostępne  (…). Naruszenia powiązane z danymi dotyczącymi zdrowia, dokumentami tożsamości lub danymi finansowymi takimi jak dane kart kredytowych mogą spowodować szkody, jeżeli występują pojedynczo, lecz jeżeli wystąpią łącznie, mogą zostać wykorzystane do kradzieży tożsamości. Zbiór różnych danych osobowych ma zazwyczaj bardziej wrażliwy charakter niż pojedynczy element danych osobowych. Ponadto, w art. 3 ust 2 rozporządzenia 611/2013, na który powoływała się Spółka w swych wyjaśnieniach, również przedstawiono wytyczne dotyczące czynników, które należy wziąć pod uwagę w związku ze zgłaszaniem naruszeń w sektorze usług łączności elektronicznej. Zgodnie z przedmiotowym przepisem, prawdopodobieństwo, że naruszenie danych osobowych może mieć niekorzystne skutki dla danych osobowych lub prywatności abonenta lub osoby fizycznej, ocenia się, biorąc od uwagę w szczególności następujące okoliczności: (…) prawdopodobne konsekwencje naruszenia danych osobowych dla danego abonenta lub osoby fizycznej, szczególnie jeżeli naruszenie mogłoby skutkować kradzieżą lub sfałszowaniem tożsamości, uszkodzeniem ciała, cierpieniem psychicznym, upokorzeniem lub naruszeniem dobrego imienia.

Prezes UODO analizując przedstawioną przez Spółkę w zgłoszeniach naruszeń ochrony danych osobowych objętych niniejszym postępowaniem ocenę ryzyka naruszenia praw lub wolności osób fizycznych wziął pod uwagę informacje w tym zakresie, zawarte w treści tych zgłoszeń.  Oceniając naruszenia ochrony danych osobowych objęte niniejszym postępowaniem Prezes UODO uznał, że naruszenie poufności danych, w szczególności danych dotyczących łącznie imienia  i nazwiska, adresu zamieszkania lub pobytu, numeru PESEL, serii i numeru dowodu osobistego bądź innego dokumentu tożsamości, numeru telefonu oraz innych kategorii danych dotyczące łączących strony umów (np. ID kontraktu, numer umowy, numer dokumentu, numer sprzętowy, numer i kwota faktury VAT, numer konta do wpłat), powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w związku z czym konieczne jest zawiadomienie osoby, której dane dotyczą,  o naruszeniu jej danych osobowych. Oznacza to, że dokonując zgłoszeń naruszeń ochrony danych osobowych, w formularzach tych zgłoszeń Spółka prawidłowo wskazywała, że powodują one wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Przedstawiona na etapie przedmiotowego postępowania odmienna ocena ryzyka dla dokonywanych zgłoszeń naruszeń nie została przez Spółkę dostatecznie uzasadniona,  a przedstawione przez Spółkę wydruki, zgodnie zresztą z zastrzeżeniem dostawcy na nich zawartym, mogą mieć jedynie pomocniczy charakter i nie mogą stanowić podstawy dokonania oceny ryzyka naruszenia praw lub wolności osób fizycznych. O tym, że przedstawiona przez Spółkę dokumentacja może mieć jedynie charakter pomocniczy niech świadczy jeszcze fakt, że według „szczegółowej”, jak to określiła Spółka, oceny, zdarzenia polegające na zagubieniu przez kurierów dokumentacji zawierającej dane osobowe w postaci: imienia i nazwiska, adresu zamieszkania lub pobytu, numeru PESEL, adresu e-mail, serii i numeru dowodu osobistego bądź innego dokumentu tożsamości, numeru telefonu oraz ww. innych kategorii danych dotyczące łączących strony umów, zgodnie  z przedstawioną przez Spółkę dokumentacją (np. naruszenia oznaczone przez Spółkę […], […], […]) ocenione zostały nie tylko jako posiadające niską wagę (tj. osoby nie zostaną dotknięte naruszeniem lub wywoła ono drobne niedogodności), ale również jako zdarzenia niepodlegające obowiązkowi zgłaszania naruszenia. W ocenie Prezesa UODO w swych wyliczeniach przedstawionych w toku niniejszego postępowania Spółka nie uwzględniła dodatkowych kryteriów związanych z zakresem ujawnionych danych osobowych mających wpływ na kontekst przetwarzania danych, co w konsekwencji spowodowało niezasadne obniżenie ryzyka.

Reasumując, objęte niniejszym postępowaniem naruszenia ochrony danych osobowych wynikające ze współpracy Spółki z podmiotem świadczącym usługi kurierskie powodowały  wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a Spółka jako administrator zobowiązana była bez zbędnej zwłoki zawiadamiać osoby, których dane dotyczą, o tych naruszeniach.

W toku postępowania Spółka wykazała, że posiada Politykę oceny i notyfikacji naruszeń ochrony danych osobowych w Cyfrowym Polsacie S.A. Spółka wskazała, że zgodnie z pkt 3.3. Polityki dokłada starań, aby pracownicy i współpracownicy posiadali niezbędną wiedzę w zakresie ochrony danych osobowych, w szczególności naruszeń oraz, że w tym celu przeprowadzane są cykliczne szkolenia w zakresie ochrony danych osobowych, przedstawiając jako dowód treść komunikatu kierowanego do pracowników Spółki informującego o obowiązkowym szkoleniu  w zakresie ochrony danych osobowych.

Spółka wskazała, że kwestie dotyczące powierzenia przetwarzania danych osobowych klientów Spółki, w tym odpowiedzialność firmy kurierskiej wobec Spółki, zostały uregulowane  w umowie z podmiotem świadczącym usługi kurierskie oraz odpowiednich instrukcjach dla kurierów.

Wskazać jednak należy, że Spółka pomimo wdrożenia Polityki oraz procedur ochrony danych osobowych związanych ze zgłaszaniem naruszeń, a także zawarcia umowy powierzenia przetwarzania danych osobowych z podmiotem przetwarzającym, nie wypracowała odpowiednich mechanizmów mających na celu kontrolę realizacji przez podmiot przetwarzający swoich zobowiązań. Spółka wskazywała, że podejmuje działania w celu odpowiedniej realizacji umowy przez podmiot przetwarzający i w konsekwencji zmniejszenia liczby naruszeń, przedstawiając jako dowód korespondencję stanowiącą załącznik do wyjaśnień z […] lipca 2020 r., jednak realne działania w tym zakresie podjęte zostały dopiero w związku z pismem Prezesa UODO z […] lipca 2020 r., w którym przedstawione zostały wyniki analiz naruszeń ochrony danych osobowych zgłaszanych przez Spółkę, przeprowadzonych w UODO, a następnie w związku ze wszczęciem przedmiotowego postępowania administracyjnego. Świadczy o powyższym korespondencja Spółki stanowiąca załączniki nr 8 i 17 do pisma Spółki z […] sierpnia 2020 r. .

W toku postępowania Spółka wdrożyła zmianę w parametrach usług przypisywanych do przesyłek przekazywanych przewoźnikowi, aby w jeszcze większym stopniu zobligować kuriera do doręczenia przesyłki tylko i wyłącznie do rąk własnych Abonenta, która w ocenie Spółki, pozwoliła na wyeliminowanie przypadków wydawania przesyłki osobie nieupoważnionej, w tym również domownikom zamieszkującym pod tym samym adresem doręczenia. W ramach wysyłki paczek zawierających jedynie sam egzemplarz umowy dla klienta, dodano w procesie dodatkowe elementy weryfikacji kompletności nadawanych paczek. Spółka poinformowała o wdrożeniu również dodatkowych działań mających na celu usprawnienie procesu śledzenia przesyłek w drodze, tak, aby w krótkim terminie po nadaniu przesyłki ustalać jej status. Jak wskazała Spółka informacje pozyskane w ramach wyjaśnień i interwencji z przewoźnikiem pozwalają Spółce na podejmowanie dalszych działań względem przesyłki, w tym potwierdzenie, w szczególności zaginięć przesyłek, a co za tym idzie szybsze identyfikowanie i zgłaszanie ewentualnej utraty danych osobowych.

W toku postępowania administracyjnego, Spółka przedstawiła wyjaśnienia w zakresie wypełniania przez nią wymogów określonych w art. 33 oraz motywie 85 rozporządzenia 2016/679. Spółka w swych wyjaśnieniach z […] października 2020 r. podkreśliła, że w pierwszej kolejności,  w stosunku do danych osobowych abonentów, stosuje postanowienia rozporządzenia 611/2013, zaś w drugiej kolejności postanowienia rozporządzenia 2016/679.

W kontekście ww. wyjaśnień Spółki należy zwrócić uwagę, że Prezes UODO na żadnym etapie oceny zgodności postępowania Spółki z rozporządzeniem 2016/679 w przypadku naruszeń objętych niniejszym postepowaniem nie wskazywał na możliwość naruszenia przez Spółkę przepisu art. 33 rozporządzenia 2016/679. Przepisy rozporządzenia 611/2013, na co słusznie zwróciła uwagę Spółka w swym piśmie z […] sierpnia 2020 r. mają bardziej rygorystyczny charakter od przepisu art. 33 rozporządzenia 2016/679, nakładając na podmioty prowadzące działalność telekomunikacyjną obowiązek powiadamiania właściwego organu krajowego o wszystkich przypadkach naruszenia danych osobowych, nie później niż 24 godziny po wykryciu naruszenia danych osobowych. Fakt, że Spółka spełnia wymogi określone w art. 33 rozporządzenia 2016/679 (i art. 2 rozporządzenia 611/2013), nie oznacza jednocześnie, że spełnia ona wymogi określone w innych przepisach rozporządzenia 2016/679. Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu w terminie określonym w ww. przepisie rozporządzenia 2016/679 bądź w terminie określonym w art. 2 ust. 2 rozporządzenia 611/2013 nie zwalnia bowiem administratora danych od podejmowania działań mających na celu sprawne i szybkie identyfikowanie naruszeń ochrony danych osobowych. „Termin na zgłoszenie naruszenia danych osobowych jest liczony od chwili jego stwierdzenia. Poprzez stwierdzenie naruszenia należy rozumieć uzyskanie przez administratora wiedzy  o okolicznościach faktycznych, które mogłyby zostać zakwalifikowane jako spełniające przesłanki określone w przepisie art. 4 pkt 12. Nie jest natomiast decydujący moment, gdy administrator dokonał takiej subsumpcji. Należy przy tym pamiętać, że zgodnie z motywem 87 administrator powinien wprowadzić takie środki technicznej ochrony, by być w stanie od razu stwierdzać naruszenia ochrony danych osobowych. Jeżeli tak się nie stanie, to brak stwierdzenia naruszenia nie spowoduje naruszenia art. 33 ust. 1 z uwagi na nierozpoczęcie się biegu terminu do zgłoszenia, lecz administrator naruszy wymogi dotyczące wdrożenia odpowiednich środków technicznych, które służą wychwytywaniu możliwych naruszeń. Należy podkreślić, że każde opóźnienie w zawiadomieniu osób o naruszeniu ich danych osobowych dodatkowo zwiększa możliwość zmaterializowania się ryzyka naruszenia ich praw lub wolności. Im wcześniej osoba, której dane zostały ujawnione, zostanie odpowiednio zawiadomiona o naruszeniu, tym wcześniej będzie mogła podjąć działania mające na celu zminimalizowanie ryzyka negatywnych konsekwencji tego naruszenia.

Jak wskazano w Wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 Grupy Roboczej art. 29, przepisy rozporządzenia 2016/679 zobowiązują zarówno administratorów, jak i podmioty przetwarzające do przyjęcia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych. Administratorzy i podmioty przetwarzające powinni uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Ponadto, w rozporządzeniu 2016/679 ustanowiono wymóg przyjęcia wszelkich odpowiednich technicznych środków ochrony i wszelkich odpowiednich środków organizacyjnych, by od razu stwierdzić naruszenie ochrony danych osobowych, co z kolei ma decydujące znaczenie dla ustalenia, czy w danym przypadku obowiązek zgłoszenia naruszenia ma zastosowanie. Oznacza to, że zdolność do zapobiegania naruszeniom w przypadkach, w których jest to możliwe, oraz zdolność do niezwłocznego reagowania na naruszenia w sytuacjach, w których mimo to dojdzie do ich wystąpienia, stanowi kluczowy element każdej polityki w zakresie bezpieczeństwa danych.

W złożonych wyjaśnieniach Spółka wykazywała, że niezwłocznie po otrzymaniu informacji o naruszeniu od podmiotu przetwarzającego dokonywała zgłoszeń naruszeń oraz zawiadamiała osoby, których dane dotyczą. Brak szybkiej reakcji ze strony podmiotu przetwarzającego nie zdejmuje jednak z administratora odpowiedzialności za stwierdzenie naruszenia ochrony danych osobowych, bowiem zdolność do m.in. wykrywania naruszeń powinna być postrzegana jako kluczowy element środków technicznych i organizacyjnych, w tym każdej polityki w zakresie bezpieczeństwa danych. Z treści art. 32 ust. 1 rozporządzenia 2016/679 wynika, że administrator jest zobowiązany do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Przepisy rozporządzenia 2016/679 zobowiązują zarówno administratorów, jak i podmioty przetwarzające do przyjęcia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych. Z wyżej wymienionych przepisów, jak i motywu 87 rozporządzenia 2016/679 wynika ponadto, że rozporządzenie ustanowiło wymóg przyjęcia ww. środków, by od razu stwierdzić naruszenie ochrony danych osobowych. Zgromadzony materiał dowodowy potwierdza, że Spółka podejmowała działania mające na celu wyjaśnienie przyczyn opóźnień w raportowaniu naruszeń przez podmiot świadczący usługi kurierskie, jednak działania te podejmowane były po zaraportowaniu naruszeń przez ten podmiot. Spółka nie powinna więc oczekiwać tylko na raportowanie przez podmiot przetwarzający naruszeń, ale wdrożyć odpowiednie rozwiązania umożliwiające weryfikację tych zobowiązań np. poprzez bieżące monitorowanie etapu doręczania przesyłek.

Spółka powołując się na opóźnienia w raportowaniu przez przewoźnika informacji  o naruszeniach potwierdza tym samym brak mechanizmów weryfikacji po stronie Spółki.

W toku postępowania Spółka wskazała na pkt 5.5 Polityki, zgodnie z którym „w przypadku ustalenia, że istnieje prawdopodobieństwo, że naruszenie danych osobowych wywoła niekorzystne skutki dla danych osobowych lub prywatności abonenta lub osoby fizycznej, Administrator dokonuje zgłoszenia, o którym mowa w pkt. 5.5. Polityki, a ponadto niezwłocznie informuje o Naruszeniu Podmioty danych, których dotyczy Naruszenie”. Zgromadzony materiał dowodowy wskazuje jednak, że powyższy przepis polityki w rzeczywistości pozostawał martwy, bowiem Spółka nie wdrożyła dostatecznych mechanizmów pozwalających na bieżące monitorowanie przesyłek kurierskich. Spółka wskazała, że wyjaśnia na bieżąco z przewoźnikiem przypadki naruszeń, celem wyeliminowania problemu opóźnień w przekazywaniu informacji o utracie danych, jednak przedstawiona przez Spółkę korespondencja, w której wyjaśniane są przyczyny opóźnień  w raportowaniu przez podmiot przetwarzający naruszeń ochrony danych osobowych, nie potwierdza wyjaśnień Spółki w tym zakresie (korespondencja e-mail stanowiąca załączniki nr 5, 6 i 7 do wyjaśnień Spółki z […] sierpnia 2020 r.) 

W toku postępowania Spółka wykazała, że zawarła z podmiotem świadczącym usługi kurierskie umowę powierzenia przetwarzania danych osobowych.  Spółka w swych wyjaśnieniach  z […] sierpnia 2020 r. przytoczyła brzmienie § 8 umowy, a następnie wyjaśniła, że wystawiła noty obciążeniowe z tego tytułu. Prezes UODO nie neguje, że Spółka podejmowała działania mające na celu należyte wykonanie umowy, niemniej dołączone noty obciążeniowe nie dotyczą wskazanego przez spółkę § 8, lecz innych postanowień umownych. Nawet jeżeli Spółka obciążyłaby podmiot przetwarzający z tytułu nieterminowego raportowania naruszeń ochrony danych osobowych, to zgromadzony materiał dowodowy jednoznacznie wskazuje na brak dostatecznego nadzoru w tym zakresie, o czym, oprócz rzeczywistych dat identyfikacji zdarzeń powodujących naruszenia ochrony danych osobowych, świadczy ww. korespondencja Spółki, w której wyjaśnia przyczyny zaraportowania zdarzeń m.in. z lipca, października i grudnia 2019 r., gdzie zapytania ze strony Spółki wysyłane były w styczniu i maju 2020 r.

Zgodnie z Wytycznymi, „RODO stanowi, że osoby fizyczne należy poinformować o naruszeniu „bez zbędnej zwłoki” – tj. najszybciej, jak to możliwe. Zawiadomienie osób fizycznych ma na celu przede wszystkim dostarczenie im szczegółowych informacji na temat działań zapobiegawczych, które powinny podjąć. W zależności od charakteru naruszenia i powstałego ryzyka, szybkie zawiadomienie pozwoli osobom fizycznym podjąć działania, aby uchronić się przed wszelkimi negatywnymi skutkami naruszenia”. Istotność niezwłocznego reagowania na naruszenia podkreślana jest zarówno w Wytycznych, jak i w wydanym przez Prezesa UODO dokumencie Obowiązki administratorów związane z naruszeniami ochrony danych osobowych. Mając powyższe na względzie, w toku postępowania Prezes UODO zwracał się do Spółki o udzielenie odpowiedzi, czy Spółka dokonała analizy wpływu terminowości identyfikacji naruszeń ochrony danych osobowych na prawa lub wolności osób, których dane dotyczą. Pismem z […] października 2020 r. Spółka wyjaśniła, że „dokonując analizy ryzyka ocenia potencjalne negatywne skutki dla osoby, której dane dotyczą, posługując się przygotowanym na potrzeby wewnętrzne zestawieniem zagrożeń, w tym praw i wolności osoby fizycznej mogących stanowić naruszenie, z uwzględnieniem zagrożeń oraz skutków i środków zapobiegawczych”, przedstawiając ww. zestawienia jako załącznik nr 1 do wyjaśnień. Przedstawiona dokumentacja nie zawiera jednak kryteriów oceny naruszeń pod kątem ich szybkiej identyfikacji i w konsekwencji szybkiego zawiadamiania osób, których dane dotyczą, o naruszeniach. Spółka nie dokonała analizy wpływu terminowości identyfikacji naruszeń ochrony danych osobowych na prawa lub wolności osób, których dane dotyczą.

W świetle ww. wyjaśnień Spółki należy ponownie podkreślić, że w rozporządzeniu 2016/679 ustanowiono wymóg zobowiązujący administratora do wdrożenia wszelkich odpowiednich technicznych środków ochrony i wszelkich odpowiednich środków organizacyjnych, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy i osoby, których dane dotyczą. W rozporządzeniu 2016/679 stwierdzono również, że to, czy zawiadomienia dokonano bez zbędnej zwłoki, należy ustalić z uwzględnieniem w szczególności charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą. Wiąże się to z nałożeniem na administratora obowiązku utrzymania zdolności do terminowego „stwierdzania” wystąpienia wszelkich naruszeń, aby zapewnić możliwość podjęcia stosownych działań także osobie, której dane dotyczą.

W toku postępowania Spółka wskazała, że wdrożyła procedury mające na celu niezwłoczne informowanie osób, których dane dotyczyły, jak i organ nadzorczy, o naruszeniach ochrony danych osobowych, jednak zgromadzony materiał potwierdza, że nie prowadziła dostatecznego nadzoru  w tym obszarze, co w konsekwencji prowadziło do zawiadamiania osób, których dane dotyczyły,  o naruszeniu ich danych osobowych w większości przypadków po upływie 60 dni od daty zdarzenia, które spowodowało naruszenie. W czerwcu 2020 r. Spółka dokonała […] zgłoszeń naruszeń ochrony danych osobowych. […] naruszenia, co stanowi 60 % ogólnej liczby naruszeń ochrony danych osobowych zgłoszonych w czerwcu 2020 r. zostało zidentyfikowanych przez Spółkę powyżej 60 dni od daty zdarzenia powodującego naruszenie, zaś ponad 33 % ogólnej liczby zgłoszeń stanowiły zdarzenia zidentyfikowane przez Spółkę powyżej 90 dni od daty zdarzenia. Ponad 17 % ogólnej liczby naruszeń ochrony danych osobowych zgłoszonych w czerwcu 2020 r. dotyczyło zdarzeń ze stycznia 2020 r. oraz z 2019 r., co oznacza, że zostały zidentyfikowane przez Spółkę powyżej 120 dni od daty zdarzenia powodującego naruszenie ochrony danych osobowych. W lipcu 2020 r. Spółka dokonała kolejnych […] zgłoszeń. […] z nich, co stanowi ponad 44 % ogólnej liczby zgłoszeń stanowią naruszenia zidentyfikowane powyżej 60 dni od daty zdarzenia powodującego naruszenie, zaś 15% ogólnej liczby zgłoszeń stanowiły zdarzenia zidentyfikowane przez Spółkę powyżej 90 dni od daty zdarzenia powodującego naruszenie.

Przed otrzymaniem pisma Prezesa UODO, w którym przedstawione zostały analizy terminowości identyfikacji naruszeń, Spółka co prawda zwracała się do podmiotu świadczącego usługi kurierskie o wyjaśnienia przyczyn opóźnienia, ale jak wskazuje zebrany w sprawie materiał dowodowy, były to działania następcze, po zaraportowaniu zdarzeń przez podmiot świadczący usługi kurierskie i dotyczyły wyjaśniania przyczyn opóźnień w zgłoszeniach naruszeń zdarzeń nawet sprzed kilku miesięcy od daty zaraportowania (korespondencja e-mail stanowiąca załączniki nr 5, 6 i 7 do pisma Spółki z […] sierpnia 2020 r.). Przedstawiona przykładowa korespondencja dotycząca wyjaśniania powodów późnego raportowania przez firmę kurierską nieprawidłowości w dostarczaniu przesyłek dotyczyła m.in. zdarzeń z lipca, października i grudnia 2019 r., gdzie zapytania ze strony Spółki wysyłane były w styczniu i maju 2020 r., co wskazuje na brak dostatecznego nadzoru w tym obszarze również w stosunku do naruszeń ochrony danych osobowych identyfikowanych przez Spółkę przed czerwcem 2020 r. i jak i przed okresem pandemii.

Spółka w wyjaśnieniach z […] października 2020 r. wskazała, że niezwłocznie po pojawieniu się przypadków późnego zgłoszenia utraty lub naruszenia danych osobowych przez podmiot przetwarzający na zlecenie Spółki, ponownie poddała przeglądowi proces dystrybucji przesyłek oraz rozliczenia dokumentów zwrotnych, co pozwoliło na wskazanie obszarów, które należało usprawnić. Dzięki tej weryfikacji Spółka wprowadziła dodatkowe zmiany systemowe, a także zmiany po stronie przewoźnika w raportowaniu odsyłanych do Spółki dokumentów zwrotnych oraz weryfikacji  i terminowości zgłoszeń dotyczących podejrzenia utraty danych osobowych klientów Spółki.

Ze zgromadzonego w toku postępowania materiału dowodowego wynika jednak, że realne działania mające na celu szybką identyfikację zdarzeń powodujących naruszenia ochrony danych osobowych podjęte zostały dopiero w związku z pismem Prezesa UODO z  […] lipca 2020 r., a następnie w związku z wszczęciem w tym zakresie postępowania administracyjnego (korespondencja stanowiąca załączniki 8 i 17 do pisma Spółki z […] sierpnia 2020 r.). Nie można również zgodzić się z twierdzeniami Spółki, że jej działania w tym zakresie podjęte zostały niezwłocznie po pojawieniu się przypadków późnego zgłaszania naruszenia danych przez podmiot przetwarzający, bowiem, jak wskazuje przedstawiona przez Spółkę korespondencja e-mail, przypadki późnego zgłaszania naruszeń przez podmiot przetwarzający identyfikowane były przez Spółkę co najmniej od stycznia 2020 r. Brak w tym zakresie skutecznych środków organizacyjnych pozwalających na szybką identyfikację naruszeń ochrony danych osobowych przesądza o naruszeniu przez Spółkę obowiązków wynikających z art. 24 ust. 1 oraz 32 ust. 1 i 2 rozporządzenia 2016/679.

W piśmie z […] października 2020 r. Spółka wskazała ponadto, że na początku września  2020 r. wdrożyła nowe mechanizmy, które pozwoliły na wyeliminowanie przypadków wydawania przesyłki osobie nieupoważnionej. Spółka poinformowała również o wdrożeniu dodatkowych działań mających na celu usprawnienie procesu śledzenia przesyłek, które w konsekwencji powoduje szybsze identyfikowanie i zgłaszanie ewentualnej utraty danych osobowych. W związku z wyjaśnieniami Spółki w powyższym zakresie Prezes UODO dokonał analizy zgłoszeń niewykazanych  w zestawieniu naruszeń będących podstawą do wszczęcia niniejszego postępowania. W wyniku analizy zgłoszeń dokonanych w sierpniu i wrześniu  2020 r. wykazanych przez Spółkę w zestawieniu przesłanym pismem z […] października 2020 r. nie odnotowano ani jednego przypadku naruszenia zidentyfikowanego przez Spółkę w terminie powyżej 90 dni od daty zdarzenia powodującego naruszenie, zaś zgłoszenia naruszeń ochrony danych osobowych, w których Spółka zidentyfikowała naruszenie w terminie powyżej 60 dni od daty zdarzenia stanowiły 16 % ogólnej liczby zgłoszeń naruszeń ochrony danych osobowych, dokonanych w tym okresie przez Spółkę. Podkreślić jednak ponownie należy, że działania te Spółka podjęła dopiero po wszczęciu postępowania administracyjnego.

W toku postępowania Spółka podkreślała, że istotny wpływ na terminowość zgłoszeń naruszeń danych osobowych dotyczących niniejszego postępowania miał okres trwającej pandemii. Prezes UODO nie negując faktu, że w okresie trwającej pandemii może dochodzić do różnego rodzaju opóźnień wskazuje jednocześnie, że zebrany w sprawie materiał potwierdza brak nadzoru Spółki  w tym obszarze, co w konsekwencji prowadziło do zawiadamiania osób, których dane dotyczą,  o naruszeniu ochrony ich danych po upływie nawet dwóch czy trzech miesięcy od daty naruszenia. W czerwcu 2020 r. naruszenia zidentyfikowane przez Spółkę w terminie powyżej 60 dni od daty zdarzenia stanowiły 60 % ogólnej liczby naruszeń ochrony danych osobowych zgłoszonych do UODO. O ile jeszcze w lipcu 2020 r., tj. bezpośrednio po przesłaniu Spółce analiz wykonanych  w UODO w tym zakresie, naruszenia zidentyfikowane przez Spółkę w terminie powyżej 60 dni od daty zdarzenia powodującego naruszenie stanowiły jeszcze 44 % ogólnej liczby zgłoszeń, to po wszczęciu postępowania w analizowanym okresie sierpnia i września 2020 r. naruszenia zidentyfikowane w terminie powyżej 60 dni od daty zdarzenia stanowiły już tylko 16 % ogólnej liczby zgłoszeń.

Powyższa analiza potwierdza, że możliwe było podjęcie przez Spółkę skutecznych działań mających na celu zminimalizowanie skali naruszeń, jak również szybsze identyfikowanie naruszeń związanych z dostarczaniem przesyłek kurierskich, nawet pomimo okresu pandemii. Mechanizmy te wdrożone zostały jednak po wszczęciu postępowania administracyjnego oraz po uprzednim przedstawieniu własnych analiz wykonanych przez Prezesa UODO. Potwierdza to jednocześnie brak stosowania przez Spółkę przed wszczęciem postępowania administracyjnego odpowiednich środków organizacyjnych i technicznych mających zapewnić bezpieczeństwo przetwarzania danych osobowych i szybką identyfikację naruszeń ochrony danych osobowych, a w konsekwencji  naruszenie w tym zakresie wyżej przywołanych przepisów rozporządzenia 2016/679.

Zgodzić należy się z wyjaśnieniami Spółki, że naruszenia tego typu powstają głównie  z powodu błędów ludzkich i nie jest możliwe wyeliminowanie ich w 100% poprzez wdrożenie jakichkolwiek dodatkowych środków organizacyjnych lub technicznych, niemniej zgromadzony  w toku postępowania materiał dowodowy wskazuje, co należy po raz kolejny podkreślić, że Spółka nie sprawowała odpowiedniego nadzoru w obszarze przetwarzania danych osobowych zawartych  w dokumentach przesyłanych za pośrednictwem podmiotów świadczących usługi kurierskie, z uwagi na brak wdrożenia odpowiednich środków w celu szybkiego identyfikowania naruszeń ochrony danych osobowych, jak również zminimalizowania ich skali.

Odnosząc się do dodatkowych wyjaśnień Spółki, zgodnie z którymi „na ilość zgłoszeń naruszeń dokonanych przez Spółkę wpływa fakt stosowania się przez nią do przepisów Rozporządzenia 611/2013, które mają bardziej rygorystyczny charakter niż przepisy rozporządzenia 2016/679, ponieważ zgodnie z art. 2 ust. 1 Rozporządzenia, dostawca powiadamia właściwy organ krajowy o wszystkich przypadkach naruszenia danych osobowych co w konsekwencji wpływa na ilość dokonywanych notyfikacji”, Prezes UODO wskazuje, że przedmiotem niniejszego postępowania były jedynie zgłoszenia naruszeń ochrony danych osobowych, wynikających ze współpracy Spółki  z podmiotami świadczącymi usługi kurierskie, w których Spółka wskazała na wysokie ryzyko naruszenia praw lub wolności osób fizycznych, zaś analiza tych przypadków dokonana przez Prezesa UODO potwierdziła dokonaną przez Spółkę ocenę. Dokonywane przez Spółkę zgłoszenia pozostałych naruszeń ochrony danych osobowych, w przypadku których ocena dokonana przez Prezesa UODO potwierdziła brak wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, bądź zgłoszenia naruszeń ochrony danych osobowych nie wynikających ze współpracy Spółki  z podmiotami świadczącymi usługi kurierskie, ujęte są w odrębnych zestawieniach wewnętrznych UODO, i nie stanowiły podstawy do wyliczeń statystycznych w ramach analizy zgłoszeń przedstawionej w treści niniejszej decyzji i nie były przedmiotem niniejszego postępowania.

Nawiasem mówiąc, przypadki zgłaszanych naruszeń ochrony danych osobowych związanych z nieprawidłowościami po stronie operatorów pocztowych nie należą do wyjątkowych w praktyce UODO, do wyjątków należą jednak sytuacje, w których administrator nie podejmuje natychmiastowych działań związanych z zaginięciem bądź nieprawidłowym doręczeniem nadanych przez siebie przesyłek zawierających dane osobowe klientów.

Mając powyższe na względzie należy uznać, że Spółkaw sposób niewystarczający dokonywała oceny skuteczności wdrożonych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych zawartych w dokumentach wysyłanych za pośrednictwem podmiotu świadczącego usługi kurierskie i mających zapewnić szybką identyfikację naruszeń ochrony danych osobowych, czym naruszyła przepisy art. 24 ust. 1, art. 32 ust. 1 i 2 rozporządzenia 2016/679.

Mając na uwadze powyższe ustalenia, Prezes Urzędu Ochrony Danych Osobowych, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. i rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a-h oraz lit. j tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 ust. 4 lit. a)  rozporządzenia 2016/679, mając na względzie okoliczności ustalone w przedmiotowym postępowaniu stwierdził, iż w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę administracyjnej kary pieniężnej.

Decydując o nałożeniu na Spółkę administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a-k rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, wpływające obciążająco i mające wpływ na wymiar nałożonej kary finansowej:

1. Charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
Przy wymierzaniu kary istotne znaczenie miała okoliczność, że naruszenie rozporządzenia 2016/679 miało wpływ na opóźnienia w zawiadamianiu klientów Spółki o naruszeniu ochrony ich danych osobowych. Spółka z uwagi na brak wdrożenia środków technicznych  i organizacyjnych umożliwiających szybką identyfikację naruszeń ochrony danych osobowych powodujących wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w konsekwencji zawiadamiała swoich klientów o naruszeniu ze znacznym opóźnieniem (ponad 17 % ogólnej liczby naruszeń ochrony danych osobowych zgłoszonych w czerwcu 2020 r. dotyczyło zdarzeń ze stycznia 2020 r. oraz z 2019 r., co oznacza, że zostały zidentyfikowane przez Spółkę powyżej 120 dni od daty zdarzenia powodującego naruszenie ochrony danych osobowych). Postępowaniem objęte były zgłoszenia naruszeń ochrony danych osobowych dokonane przez Spółkę w czerwcu i lipcu 2020 r. Zgromadzony materiał dowodowy wskazuje jednak na brak nadzoru w tym obszarze już we wcześniejszym okresie, bowiem zgłoszenia naruszeń z tego okresu obejmowały zdarzenia zidentyfikowane przez Spółkę nawet po 120 dniach od ich wystąpienia. Ponadto przedstawiona w toku postępowania przykładowa korespondencja dotycząca wyjaśniania powodów późnego raportowania przez firmę kurierską nieprawidłowości w dostarczaniu przesyłek dotyczyła m.in. zdarzeń z lipca, października i grudnia 2019 r., gdzie zapytania ze strony Spółki wysyłane były w styczniu i maju 2020 r., co wskazuje na brak dostatecznego nadzoru w tym obszarze również w stosunku do naruszeń ochrony danych osobowych zidentyfikowanych przez Spółkę przed czerwcem 2020 r. Wyżej przedstawione wyniki analizy zgłoszeń naruszeń ochrony danych osobowych dokonywanych przez Spółkę wskazują jednoznacznie na nadmierne – w stosunku do terminów uznanych za właściwe przepisami rozporządzenia 2016/679 – opóźnienia w identyfikacji naruszeń i w konsekwencji opóźnienia w zawiadomieniu o naruszeniach osób dotkniętych tymi naruszeniami. Takie opóźnienia, wynikające – jak wykazano to wyżej – z niewdrożenia przez Spółkę odpowiednich środków technicznych i organizacyjnych zapewniających szybką identyfikację naruszeń ochrony danych osobowych, uznać należy za poważne i wymagające negatywnej oceny w kontekście ryzyka ponoszonego prze osoby, których dane osobowe naruszono. Jak wskazuje bowiem motyw 85 rozporządzenia 2016/679: „Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne”.

2. Stopień odpowiedzialności Spółki (jako administratora) z uwzględnieniem wdrożonych środków technicznych i organizacyjnych (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
Ustalenia dokonane przez Prezesa UODO pozwalają na stwierdzenie, że Spółka pomimo zawartej umowy z podmiotem świadczącym usługi kurierskie oraz odpowiednich zapisów  w Polityce nie sprawowała należytego nadzoru w tym obszarze, nie identyfikując tym samym na bieżąco naruszeń ochrony danych osobowych związanych z wysyłką dokumentacji zawierającej dane osobowe, co w konsekwencji prowadziło do zawiadamiania osób, których dane dotyczyły, po upływie znacznego czasu od daty zdarzenia powodującego naruszenie ochrony ich danych osobowych. Stwierdzić więc należy, że obciąża Spółkę odpowiedzialność za niewdrożenie mechanizmów gwarantujących skuteczność środków (zapisów umownych i postanowień dokumentów wewnętrznych Spółki) mających w założeniu zapewniać – zgodne z przepisami rozporządzenia 2016/679 – identyfikowanie naruszeń ochrony danych osobowych,  a w konsekwencji ich zgłaszanie Prezesowi UODO oraz informowanie o nich osób dotkniętych naruszeniem.   

3. Kategorie danych osobowych, których dotyczyło naruszenie  (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Objęte niniejszym postępowaniem zgłoszenia naruszeń ochrony danych osobowych dotyczyły nieprawidłowości w dostarczaniu przesyłek zawierających dane osobowe w zakresie: imię, nazwisko, adres zamieszkania lub pobytu, numer identyfikacyjny PESEL, często adres e-mail, seria i numer dowodu osobistego bądź innego dokumentu tożsamości, numer telefonu oraz inne kategorie danych dotyczące łączących strony umów (np. ID kontraktu, numer umowy, numer dokumentu, numer sprzętowy, numer i kwota faktury VAT, numer konta do wpłat). Tak szeroki zakres danych osobowych ujawnianych osobom nieupoważnionym i pozostających w posiadaniu tych osób przez dłuższy czas - w konsekwencji naruszenia stwierdzonego niniejszą decyzją – bez wiedzy i bez możliwości jakiejkolwiek reakcji podmiotu tych danych, musi wpływać obciążająco na ocenę stwierdzonego naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej. Podkreślić należy, że naruszenie, którego dopuściła się Spółka, wiąże się z dużym ryzykiem naruszenia praw lub wolności osób dotkniętych naruszeniem. Cytowane już wyżej Wytyczne wskazują wyraźnie na duże ryzyko związane z ujawnieniem w szczególności danych dotyczących dokumentów tożsamości, podkreślają również, że „zbiór różnych danych osobowych ma zazwyczaj bardziej wrażliwy charakter niż pojedynczy element danych osobowych”.

Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił jako okoliczność łagodzącą przesłankę określoną w art. 83 ust. 2 lit. f rozporządzenia 2016/679, tj.  stopień współpracy Spółki z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków. Prezes UODO dostrzegł i ocenił pozytywnie fakt, że Spółka (już po przedstawieniu jej analiz wykonanych przez Prezesa UODO i wszczęciu niniejszego postępowania) podjęła działania mające na celu szybszą  identyfikację naruszeń ochrony danych osobowych. Pomimo tego, że Spółka w toku postępowania kwestionowała wysokie ryzyko naruszenia praw lub wolności osób fizycznych związane z naruszeniami objętymi postępowaniem, to jednak wdrożyła mechanizmy, w efekcie których zarówno zmniejszyła się liczba naruszeń ochrony danych osobowych związanych z tego typu zdarzeniami, jak również zdarzenia te identyfikowane są znacznie szybciej. Potwierdzają to przedstawione powyżej w uzasadnieniu niniejszej decyzji (str. 25) wyniki analizy zgłoszeń naruszeń ochrony danych osobowych dokonanych przez Spółkę w sierpniu i wrześniu 2020 r.  

Na fakt zastosowania w niniejszej sprawie przez Prezesa Urzędu sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały wpływu inne, wskazane  w art. 83 ust. 2 rozporządzenia 2016/679 okoliczności, to jest:

1. Nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679) – Prezes UODO nie stwierdził w niniejszej sprawie celowych działań Spółki prowadzących do stanu naruszenia przepisów rozporządzenia 2016/679, niemniej zaniedbania w kontroliskuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych w procesie doręczania jej klientom przesyłek nie dają podstaw do zwolnienia jej od odpowiedzialności za stwierdzone naruszenie.
2. Działania podjęte przez Spółkę w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679) – w niniejszej sprawie nie stwierdzono powstania szkód po stronie osób dotkniętych naruszeniem, w związku z czym brak jest podstaw do oczekiwania od Spółki podjęcia działań mających na celu ich zminimalizowanie.
3. Stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 dokonane przez Spółkę (art. 83 ust. 2 lit. e rozporządzenia 2016/679) – nie stwierdzono ze strony Spółki stosownych wcześniejszych naruszeń rozporządzenia 2016/679.
4. Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679) – Prezes UODO stwierdził naruszenie dokonując analizy zgłoszeń naruszeń ochrony danych osobowych dokonywanych przez samą Spółkę, jednakże w związku z tym, że Spółka dokonując tych zgłoszeń realizowała jedynie ciążący na niej obowiązek prawny, brak jest podstaw do uznania, że okoliczność ta stanowi dla Spółki okoliczność łagodzącą.
5. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679) – w niniejszej sprawie nie zastosowano wcześniej wobec Spółki środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679.
6. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679) - Spółka nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679.
7. Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679) – Prezes UODO nie stwierdził w toku niniejszego postępowania, że dopuszczając się naruszenia podlegającego karze Spółka osiągnęła jakiekolwiek korzyści finansowe lub uniknęła jakichkolwiek strat finansowych.

Uwzględniając wszystkie omówione wyżej okoliczności, Prezes Urzędu Ochrony Danych Osobowych uznał, iż nałożenie administracyjnej kary pieniężnej na Spółkę jest konieczne i uzasadnione wagą oraz charakterem i zakresem zarzucanych Spółce naruszeń przepisów rozporządzenia 2016/679. Stwierdzić należy, iż zastosowanie wobec Spółki jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit b), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że Spółka w przyszłości nie dopuści się podobnych, co w sprawie niniejszej zaniedbań.

Stosownie do treści art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych  (Dz. U. z 2019 r., poz. 1781), równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.

W ocenie Prezesa UODO orzeczona administracyjna kara pieniężna w wysokości 1 136 975 zł (słownie: jeden milion sto trzydzieści sześć tysięcy dziewięćset siedemdziesiąt pięć złotych), co stanowi równowartość 250 000 euro (średni kurs euro z 28 stycznia 2021 r. - 4,5479 zł), spełnia  w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. W toku postępowania Spółka przedstawiła sprawozdanie finansowe za 2019 r., zgodnie z którym jej przychody netto ze sprzedaży wyniosły ok. 2,38 mld zł, natomiast zysk netto 586,8 mln zł. Należy dodatkowo zauważyć, że Spółka jest podmiotem dominującym w Grupie Kapitałowej Cyfrowy Polsat S.A., której przychody netto ze sprzedaży za 2019 r wyniosły ok. 11,68 mld zł, a zysk netto w roku 2019 ok. 1,1 mld zł (dane przedstawione przez Spółkę  w „Skonsolidowanym raporcie rocznym za rok obrotowy zakończony 31 grudnia 2019 roku” zamieszczonym na stronie internetowej o adresie https://grupapolsat.pl/sites/default/files/documents/cps_raport_roczny_2019.pdf). Zważywszy na wyżej przedstawione wyniki finansowe zarówno samej Spółki, jak i grupy kapitałowej, w której Spółka jest spółką dominującą, stwierdzić należy, że orzeczona administracyjna kara pieniężna nie będzie dla niej nadmiernie dotkliwa.

Administracyjna kara pieniężna spełni w tych konkretnych okolicznościach funkcję represyjną, ponieważ Spółka naruszyła przepisy rozporządzenia 2016/679, ale i prewencyjną, czyli zapobieganie naruszeniom przepisów o ochronie danych osobowych w przyszłości zarówno przez Spółkę, jak i innych administratorów danych. Ponadto zastosowana kara pieniężna spełnia  w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad rozporządzenia 2016/679.  
II. Jednocześnie na podstawie zgromadzonego w toku postępowania materiału dowodowego należy stwierdzić, że nie doszło do naruszenia przez spółkę pozostałych, stanowiących przedmiot niniejszego postępowania przepisów rozporządzenia 2016/679.

Pismem z […] lipca 2020 r. Prezes UODO, na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679, zwrócił się do Spółki o przekazanie informacji i dowodów na ich potwierdzenie. Pismem z […] lipca 2020 r. Spółka przesłała część wyjaśnień, o które wnioskował Prezes UODO, przedstawiając na dowód tego jedynie 3 wiadomości e-mail, z której jedna kierowana była przez przewoźnika do innego podmiotu, czego Spółka nie wyjaśniła w swej odpowiedzi. W związku z powyższym wszczynając postępowanie administracyjne Prezes UODO wskazał również na możliwość naruszenia art. 31 rozporządzenia 2016/679, a więc na brak współpracy Spółki z Prezesem UODO, żądającym przedstawienia informacji niezbędnych do rozpatrzenia sprawy. Dopiero po wszczęciu postępowania administracyjnego Spółka przedstawiła dodatkowe wyjaśnienia oraz dowody na potwierdzenie składanych przez siebie wyjaśnień. Uzyskany w ten sposób materiał dowodowy wystarczający był do wydania decyzji administracyjnej, w związku z powyższym postępowanie należało umorzyć w zakresie możliwości naruszenia art. 31 rozporządzenia 2016/679.

W toku postępowania Spółka wykazała, że zawiadamia osoby, których dane dotyczą,  o naruszeniu ich danych osobowych, bezpośrednio po stwierdzeniu naruszenia, stosując jednocześnie przepisy rozporządzenia 611/2013. W zakresie możliwości naruszenia przez Spółkę art. 34 ust. 1 rozporządzenia 2016/679 postępowanie stało się bezprzedmiotowe ze względu na to, że Spółka bez zbędnej zwłoki realizowała (nawet jeśli aktualnie kwestionuje istnienie wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, związanego z naruszeniami) obowiązek zawiadamiania osób dotkniętych naruszeniem o tym naruszeniu. Opóźnienia w realizacji obowiązku określonego w art. 34 ust. 1 rozporządzenia 2016/679 wynikały z braku mechanizmów umożliwiających szybką identyfikację naruszeń ochrony danych osobowych, a nie ze zwłoką zaistniałą pomiędzy stwierdzeniem tych naruszeń a zawiadomieniami osób nimi dotkniętych. W związku z powyższym postępowanie należało umorzyć w zakresie możliwości naruszenia przez Spółkę ww. przepisu.

Mając powyższe na uwadze Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji niniejszej decyzji.

 

Podmiot udostępniający: Departament Orzecznictwa i Legislacji
Wytworzył informację:
user Jan Nowak
date 2021-04-22
Wprowadził informację:
user Wioletta Golańska
date 2021-05-13 11:07:47
Ostatnio modyfikował:
user Edyta Madziar
date 2021-05-18 09:49:22