DKN.5131.35.2021
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572) zwanej dalej: „KPA”, art. 7 ust. 1 i 2, art. 60, art. 101, art. 102 ust. 1 pkt 1 i ust. 3, art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej: „u.o.d.o.”, a także art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. i), art. 83 ust. 1 - 3, art. 83 ust. 4 lit. a) w związku z art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 i 3 oraz art. 32 ust. 1 i 2 oraz art. 83 ust. 5 lit. a) w związku z art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej: „rozporządzeniem 2016/679”, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez X w K. (ul. (…), (…) K.), Y w K. (ul. (…), (…) K.), a także Z sp. z o.o. z siedzibą w Ł. (ul. (…), (…) Ł.), Prezes Urzędu Ochrony Danych Osobowych:
1) stwierdzając naruszenie przez X w K. (ul. (…), (…) K.):
a) przepisów art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych pamięci, które to środki zapobiegłyby utrwaleniu przez pracownika Z sp. z o.o. z siedzibą w Ł. (ul. (…), (…) Ł.) danych osobowych na niezabezpieczonym nośniku danych i w konsekwencji pozwoliłyby uniknąć naruszenia ochrony danych osobowych, skutkujące naruszeniem zasady poufności w wyniku zgubienia tego nośnika (art. 5 ust. 1 lit. f) rozporządzenia 2016/679) oraz zasady rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679),
b) przepisu art. 28 ust. 1 rozporządzenia 2016/679, polegające na braku weryfikacji podmiotu przetwarzającego, pod kątem ustalenia czy zapewnia on wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą,
nakłada na X w K. (ul. (…), (…) K.), za naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1, art. 28 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, administracyjną karę pieniężną w kwocie 15.000,- PLN (słownie: piętnaście tysięcy złotych);
2) stwierdzając naruszenie przez Y w K. (ul. (…), (…) K.):
a) przepisów art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych pamięci, które to środki zapobiegłyby utrwaleniu przez pracownika Z sp. z o.o. z siedzibą w Ł. (ul. (…), (…) Ł.) danych osobowych na niezabezpieczonym nośniku danych i w konsekwencji pozwoliłyby uniknąć naruszenia ochrony danych osobowych, skutkujące naruszeniem zasady poufności w wyniku zgubienia tego nośnika (art. 5 ust. 1 lit. f) rozporządzenia 2016/679) oraz zasady rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679),
b) przepisów art. 28 ust. 1 i 3 rozporządzenia 2016/679, polegające na braku weryfikacji podmiotu przetwarzającego, pod kątem ustalenia czy zapewnia on wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą, a także na powierzeniu przetwarzaniadanych osobowych Z sp. z o.o. z siedzibą w Ł. (ul. (…), (…) Ł.), na podstawie umowy, która nie zawierała wszystkich elementów wymaganych zgodnie z art. 28 ust. 3 rozporządzenia 2016/679, nakłada na Y w K. (ul. (…), (…) K.), za naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1, art. 28 ust. 1 i 3 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, administracyjną karę pieniężną w kwocie 20.000,- PLN (słownie: dwadzieścia tysięcy złotych);
3) stwierdzając naruszenie przez Z sp. z o.o. z siedzibą w Ł. (ul. (…), (…) Ł.) przepisów art. 32 ust. 1 i 2 oraz art. 32 ust. 1 i 2 w zw. z art. 28 ust. 3 lit. c) i f) rozporządzenia 2016/679, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, w tym zapewnienie ich poufności, nakłada na Z sp. z o.o. z siedzibą w Ł. (ul. (…), (…) Ł.), administracyjną karę pieniężną w wysokości 24.882,21 PLN (słownie: dwadzieścia cztery tysiące osiemset osiemdziesiąt dwa złote dwadzieścia jeden groszy).
UZASADNIENIE
Do Prezesa Urzędu Ochrony Danych Osobowych w dniu 5 lutego 2021 r. wpłynęło zgłoszenie naruszenia ochrony danych osobowych złożone przez Y w K. (ul. (…), (…) K.),dalej zwany: „Y”, zarejestrowane pod sygn. (…). Naruszenie to – zgodnie z treścią zawiadomienia – polegało na zagubieniu przez pracownika Z sp. z o.o. z siedzibą w Ł. (ul. (…), (…) Ł.), zwanej dalej również „Podmiotem Przetwarzającym” lub „Spółką”, nośnika danych typu pendrive (dalej: „Pendrive”), zawierającego dane osobowe około tysiąca byłych i obecnych pracowników i współpracowników Y (zwanych dalej „Podmiotami Danych Y”). Znajdujące się na Pendrivie dane tych osób obejmowały (zgodnie z treścią rubryki 6 formularza zgłoszeniowego) ich: imiona, nazwiska, imiona rodziców, daty urodzenia, numery rachunków bankowych, adresy zamieszkania lub pobytu, numery ewidencyjne PESEL, adresy e-mail, dane dotyczące zarobków i/lub posiadanego majątku, nazwiska rodowe matki, serie i numery dowodów osobistych oraz numery telefonu (dane te zwane są dalej „Danymi Y”).
Również w dniu 5 lutego 2021 r. X w K. (ul. (…), (…) K.), zwany dalej „X”, dokonał wstępnego zgłoszenia naruszenia ochrony danych osobowych dotyczącego tego samego zdarzenia. Zgłoszenie to wpłynęło do tutejszego Urzędu 10 lutego 2021 r. i zostało zarejestrowane pod sygn. (…). Zgłoszenia uzupełniające zostały przez X wysłane 8 marca i 31 sierpnia 2021 r., przy czym z ostatniego z nich wynika, że na Pendrivie zgubionym przez pracownika Podmiotu Przetwarzającego znajdowały się dane osobowe pięciuset czterdziestu dziewięciu osób (pracowników, emerytów oraz byłych pracowników, zleceniobiorców oraz uczestników prac interwencyjnych), zwanych dalej „Podmiotami Danych X”, które to dane różniły się swoim zakresem w przypadku poszczególnych grup ich podmiotów i należały do następujących kategorii: imiona, nazwiska, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, dane dotyczące zarobków i/lub posiadanego majątku, nazwisko rodowe matki, seria i numer dowodu osobistego, numer telefonu, dane dotyczące zdrowia (dane dotyczące braku przeciwskazań do zatrudnienia, dane zawarte w orzeczeniach lekarskich medycyny pracy), a także inne dane: miejsce urodzenia, obywatelstwo, dane dotyczące ewidencji czasu pracy (w tym m.in. dane o urlopach, zwolnieniach lekarskich), informacje o szkoleniach BHP, sposób wypłaty (nazwa banku), informacje o wynagrodzeniu, dane dotyczące ukończonych szkół, historia zatrudnienia (dane zawarte w świadectwach pracy), imiona i nazwiska dzieci oraz ich daty urodzenia. Dodatkowo z pisma X z 24 września 2021 r. wynika, że wśród danych tych znajdowały się również numery NIP oraz dane zawarte w orzeczeniach o niepełnosprawności. Dane te dotyczyły osób zatrudnionych w X w latach 1990-2021 (co wynika z pisma X z 28 września 2022 r.) i zwane będą dalej „Danymi X”.
Obaj administratorzy w reakcji na otrzymane wystąpienia Prezesa UODO (wysłane do Y 9 lutego 2021 r., a do X 2 sierpnia 2021 r.), zawiadomili na podstawie art. 34 rozporządzenia 2016/679 osoby, których dane znajdowały się na ww. Pendrivie, o zaistniałym naruszeniu ochrony danych osobowych.
Prezes Urzędu Ochrony Danych Osobowych, zwany dalej również „Prezesem UODO” lub „organem nadzorczym”, przeprowadził postępowanie wyjaśniające w sprawie zgłoszonych naruszeń dotyczących tego samego zdarzenia (zarejestrowanych pod sygn.: (…) oraz (…)), a następnie wszczął z urzędu 5 sierpnia 2021 r. postępowanie administracyjne (sygn.: DKN.5131.35.2021) w przedmiocie możliwości naruszenia przez X, Y (jako administratorów danych), a także przez Z sp. z o.o. z siedzibą w Ł. (jako podmiot przetwarzający), obowiązków wynikających z art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2, a także art. 28 ust. 1 i 3 rozporządzenia 2016/679 – w związku z naruszeniami ochrony danych osobowych Podmiotów Danych X i Y.
Prezes UODO, w wyniku przeprowadzonego postępowania wyjaśniającego w sprawie zgłoszonego naruszenia ochrony danych osobowych oraz postępowania administracyjnego ustalił następujący stan faktyczny:
- X zawarł 16 listopada 2020 r. umowę z Z sp. z o.o. z siedzibą w Ł., której przedmiotem było m.in. przeniesienie danych z dotychczasowego systemu kadrowo-płacowego. W tym samym dniu między tymi podmiotami zawarto również „Umowę (…)”. Kolejną umowę (…) strony te zawarły 29 grudnia 2020 r. (doprecyzowano w niej m.in. zakres powierzonych danych).
- Umowę o tym samym przedmiocie z Z sp. z o.o. z siedzibą w Ł. zawarł 29 grudnia 2020 r. Y. „Umowa (…)” została pomiędzy nimi podpisana tego samego dnia.
- Żadna z powyższych umów nie zawierała postanowień precyzujących sposób udostępnienia Podmiotowi Przetwarzającemu danych osobowych, które miały zostać przeniesione. Nie określono w nich również ewentualnego sposobu zabezpieczania przenośnych nośników danych typu pendrive.
- 5 stycznia 2021 r. pracownik Z sp. z o.o. z siedzibą w Ł. (zwany dalej: „Pracownikiem Podmiotu Przetwarzającego” lub „Pracownikiem Spółki”) udał się do X celem dokonania ostatnich poprawek w funkcjonowaniu działającego od 15 grudnia 2020 r. programu kadrowo-płacowego. Jako że Podmiot Przetwarzający nie miał zgody na połączenie zdalne z X, Pracownik Podmiotu Przetwarzającego poprosił jednego z pracowników X o „przegranie” bazy danych w formacie (…), by możliwe było udzielenie zdalnej pomocy pracownikom tego administratora. Pracownik X udostępnił tę bazę danych we wskazanym formacie (jako jeden plik) na służbowym Pendrivie należącym do Pracownika Spółki, który to nośnik w momencie dokonywania tego przeniesienia nie zawierał innych danych. Przy tej czynności Pracownik X, który był również zatrudniony przez Y (na podstawie umowy zlecenia), przekazał dodatkowo Pracownikowi Podmiotu Przetwarzającego – w czasie pracy w X i pomimo zakazu korzystania w X z infrastruktury IT w celach prywatnych – bazę danych dotyczących Podmiotów Danych Y, którą pobrał poprzez połącznie się przez (…) z systemem Y za pomocą telefonu komórkowego. Samo wgranie danych Podmiotów Danych Y nastąpiło już przy pomocy komputera służbowego Pracownika X w budynku X. Ze względu na inny etap, na którym był proces wdrażania nowego programu kadrowo-płacowego w Y, dane Podmiotów Danych Y zostały zamieszczone w formacie (…) – w jednym folderze w większej ilości plików. Pendrive Pracownika Podmiotu Przetwarzającego nie był zabezpieczony przed zapoznaniem się z jego zawartością przez osoby nieupoważnione – podobnie jak pliki zawierające dane osobowe Podmiotów Danych X i Y.
- Z pkt (…) obowiązującej w chwili wystąpienia naruszenia w Z sp. z o.o. z siedzibą w Ł. „Procedury (…)” wynika, że przy wykorzystaniu dysków przenośnych wymagane jest usunięcie danych niezwłocznie po przekopiowaniu ich na dysk stały i weryfikacji poprawności odczytu. Procedura ta nie przewidywała wówczas obowiązku szyfrowania dysków typu pendrive wykorzystywanych do transportu dokumentów cyfrowych (taki obowiązek został wprowadzony dopiero 1 marca 2021 r. – vide pkt (…) procedury, o której mowa w niniejszym pkt uzasadnienia), a zawarte przez Spółkę z X i Y umowy, o których mowa w pkt 1 i 2 powyżej, nie określały (jak już wyżej wskazano) sposobu udostępniania przenoszonych danych.
- Pracownik Podmiotu Przetwarzającego po powrocie z X zgrał dane z folderu Y na dysk w laptopie firmowym w celu przenoszenia danych. Pracownik Spółki po wykorzystaniu udostępnionych mu przez Pracownika X danych osobowych - wbrew obowiązkowi, o którym mowa w pkt (…) procedury wskazanej w pkt 5 powyżej – nie usunął ich z Pendriva. Do danych znajdujących się w folderze X Pracownik Podmiotu Przetwarzającego nie zaglądał, jako że dane te były mu potrzebne na wypadek konieczności udzielenia pomocy pracownikom X.
- 14 stycznia 2021 r. Pendrive wypadł Pracownikowi Spółki z kieszeni podczas wsiadania do samochodu w S. Fakt zgubienia nośnika danych zauważyła osoba trzecia (zwana dalej: „Znalazcą”), lecz nie zdążyła zwrócić mu na to uwagi – Pracownik odjechał. Pendrive został więc zabrany przez Znalazcę, który tego samego dnia zamieścił ogłoszenie o znalezieniu pendriva na stronie (…)
- Jako że Pracownik Podmiotu Przetwarzającego nie odpowiedział na ww. ogłoszenie (nie zauważył braku pendrive, ponieważ nie był mu on wówczas potrzebny), Znalazca zdecydował się na sprawdzenie, co znajduje się na znalezionym nośniku – wyświetliły mu się dwa foldery: Y K. i X K.. Skontaktował się więc z sekretarką X, która nie będąc jeszcze świadomą zgubienia Pendriva przez Pracownika Spółki i nie wiedząc, jakie dane zawiera folder X K., poprosiła Znalazcę o podjęcie próby jego otwarcia. Dokument w tym folderze podświetlony był białą ikoną, a próba jego otwarcia przez Znalazcę nie powiodła się (komputer, na którym Znalazca podjął próbę otwarcia pliku, zgodnie z oświadczeniem Znalazcy nie posiadał programu umożliwiającego jego otwarcie) – Znalazcy zasugerowano więc kontakt z Y, którego dotyczył drugi folder znajdujący się na Pendrivie (vide: oświadczenie Znalazcy z 28 czerwca 2021 r. oraz notatka służbowa osoby, która przeprowadziła ww. rozmowę telefoniczną ze Znalazcą).
- Powiadomiony przez Znalazcę Y „(…) rozpoznał pendrive i ustalił, iż dane znajdujące się na pendrivie to dane jego pracowników (…)” (vide: pismo X z 30 marca 2021 r.). Następnie poinformował Podmiot Przetwarzający 3 lutego 2021 r. o tym, że znaleziono zgubiony Pendrive (vide: treść pisma Podmiotu Przetwarzającego do X z 4 lutego 2021 r.). Tego samego dnia Znalazca – zgodnie ze swoim oświadczeniem z 3 lutego 2021 r. – wysłał pocztą kurierską Pendrive do Y.
- W związku z powyższym 4 lutego 2021 r. Podmiot Przetwarzający przekazał X oświadczenie Znalazcy Pendriva, w którym opisano okoliczności wejścia przez niego w posiadanie nośnika oraz to, że nie używał, nie kopiował, nie przekazywał ani nie ujawniał osobom trzecim danych się na nim znajdujących (vide: oświadczenie Znalazcy z 3 lutego 2021 r.).
- 5 lutego 2021 r. X i Y zgłosiły naruszenie ochrony danych osobowych zaistniałe w związku z zagubieniem nośnika danych. Jak wyżej wskazano, był to nośnik służbowy i nieszyfrowany. Ustalono, że zawierał dwa foldery: jeden z nich miał nadaną nazwę: „Y K.” i w kilkudziesięciu plikach zawierał dane Podmiotów Danych Y w formacie (…), drugi zaś (o nazwie: „X K.”) zawierał dane Podmiotów Danych X z lat 1990-2021 w postaci jednego pliku: bazy danych (…).
- Przesyłka kurierska zawierająca Pendrive dotarła do Y 8 lutego 2021 r. Tego samego dnia dokonano jego komisyjnego otwarcia i sprawdzenia jego zawartości – uczestnikami tych czynności byli m.in. Dyrektor X, Dyrektor Y oraz Pracownik Podmiotu Przetwarzającego, który utracił Pendrive. Jak wynika z pisma Spółki z 29 czerwca 2021 r.: „Pendrive otwierał Administrator Danych Y (…) na komputerze służbowym (…). Najpierw otworzył folder Y. Było tam kilkadziesiąt plików bazy (…). Przy pomocy notatnika otworzył 1 z tych plików. Pliki (…) po otwarciu w notatniku (…) mają postać znaków (…) przeplatanych co pewien czas wartościami pól bez nazw pól. Wartości pól są czytelne. W pliku znalazł nazwiska i imiona osób oraz wartości, które można uznać za daty urodzenia i nr PESEL. Odczytujące te nazwiska poprosił Zastępcę Dyrektora Y (…) o potwierdzenie podanych nazwisk. (…) Dyrektor potwierdziła te nazwiska jako pracowników Y. Nie otwierał innych plików. Potem przeszedł do folderu X. Był tam 1 plik z rozszerzeniem (…). Był to backup nowej bazy danych systemu Z. Administrator Danych Y otworzył ten plik przy pomocy notatnika nie patrząc w jego zawartość jako nieuprawniony do wglądu do bazy X”. Po ww. weryfikacji zawartości nośnika został on sformatowany.
- Z wyjaśnień Podmiotu Przetwarzającego złożonych w niniejszej sprawie (pismem, które wpłynęło do tutejszego Urzędu 9 kwietnia 2021 r.) wynika, że odczytanie danych X z bazy (…) wymagałoby użycia narzędzi firmy (…), zaś bazy danych (…) mają własną strukturę, a dane rozmieszczone są w wielu plikach. Można te pliki otworzyć notatnikiem i dane są widoczne rozrzucone w środku pliku między znakami w formacie (…) bez opisu pola.
- Prezes UODO odebrał wyjaśnienia od X, z których wynikają następujące ustalenia (vide: pisma X wysłane do organu nadzorczego: 8 i 30 marca, 28 czerwca, 12 i 31 sierpnia i 24 września 2021 r., 28 września 2022 r., a także 16 listopada 2023 r.):
1) X dokonywał cyklicznej analizy ryzyka wiążącego się z przetwarzaniem danych osobowych (która do dziś ma miejsce raz w roku), lecz przed zaistnieniem przedmiotowego naruszenia ochrony danych osobowych nie została przeprowadzona analiza ryzyka związana stricte z samym procesem zmiany programu kadrowo-płacowego, gdyż, jak to wyjaśnił X: »zakres przetwarzanych danych pozostawał ten sam, podobnie jak proces przetwarzania danych w programie a decyzja o zmianie spowodowana była jedynie faktem, iż dotychczasowy program był niewystarczająco kompatybilny z komputerami i pozostałymi programami wykorzystywanymi przez X K. typu „(…)”«.
2) Jednym z załączników do obowiązującej w X polityki (…) jest „Instrukcja (…)” (zwana dalej „Instrukcją X”). Zgodnie z treścią § (…) dane przechowywane są na nośnikach przenośnych jedynie w przypadku, gdy jest to konieczne, przez czas niezbędny do spełnienia celu, w jakim zostały one na nośniku zapisane, a po ustaniu czasu przechowywania zawartość nośnika podlega skasowaniu przy użyciu narzędzi zaakceptowanych do użycia przez X. Zabrania się przenoszenia niezabezpieczonych danych poufnych poza teren X w K. (§ (…) Instrukcji X). Dopuszcza się jednak używanie służbowych nośników elektronicznych (pendrive), które są zabezpieczone przed utratą danych poprzez szyfrowanie (§ (…) Instrukcji X). Zgodnie z treścią § (…) ww. Instrukcji, zabrania się korzystania w X z infrastruktury IT w celach prywatnych.
3) X wskazał, że przed zaistnieniem przedmiotowego naruszenia w ramach regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych, dokonywał analizy ryzyka zgodnie z Procedurą (…) z 23 grudnia 2011 r. Obecnie Zespół Informatyków X co roku dokonuje analizy oraz przeglądu posiadanych ryzyk w ramach własnej komórki organizacyjnej i dokonano pewnych zmian w Instrukcji X. Ponadto bezpośrednio po zaistnieniu przedmiotowego naruszenia ochrony danych osobowych dokonano dodatkowej cyklicznej analizy ryzyka, a także wdrożono dodatkowe środki bezpieczeństwa (m.in. poprzez szkolenie wszystkich pracowników przetwarzających dane osobowe). X nie wskazał innych działań podejmowanych w ramach realizacji obowiązków z art. 32 ust. 1 lit. d) rozporządzenia 2016/679.
4) Zapytany o to, w jaki sposób zweryfikował, czy podmiot przetwarzający daje wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie danych spełniało wymogi rozporządzenia 2016/679, zgodnie z art. 28 ust. 1 tego rozporządzenia, X wyjaśnił, że współpracuje ze Spółką od około 30 lat i że dotychczasowa współpraca układała się pomyślnie i wzorowo. Ponadto wyjaśnił, że Podmiot Przetwarzający wskazywał przed podpisaniem umowy zabezpieczenia w odpowiednim załączniku do tej umowy, które to rozwiązania były akceptowane przez X. Zaznaczył też, że „[d]opiero po wypełnieniu tych rozwiązań nastąpiło podpisanie umowy”. Administrator każdorazowo podpisując umowę z podmiotem przetwarzającym weryfikował stopień zabezpieczeń danych osobowych z tym podmiotem i wypełnianie obowiązków wynikających z rozporządzenia 2016/679.
5) „Umowa (…)” zawarta pomiędzy X a Podmiotem Przetwarzającym 16 listopada 2020 r. zawierała zobowiązanie Podmiotu Przetwarzającego do zabezpieczenia powierzonych danych osobowych przy ich przetwarzaniu poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 rozporządzenia 2016/679 (§ (…)). W umowie tej wskazano również zakres powierzonych danych, który miał obejmować podstawowe dane osobowe (w szczególności: imię, nazwisko, telefon, dane identyfikacji elektronicznej) dotyczące pracowników X oraz kontrahentów tego Administratora w zakresie realizacji kontraktów handlowych. 29 grudnia 2020 r. X zawarł z Podmiotem Przetwarzającym „Umowę (…)”, w której w § (…) doprecyzowano zakres powierzonych danych osobowych obejmujący: dane kadrowe (w tym podstawowe dane osobowe tj. imię i nazwisko, telefon, dane identyfikacji elektronicznej, dokumentację opisującą przebieg zatrudnienia, świadectwa, dokumentację potwierdzającą kwalifikacje i umiejętności zawodowe, orzeczenia lekarskie, zgłoszenia do ubezpieczenia ZUS oraz pozostałe akta osobowe dotyczące zatrudnionych pracowników, kandydatów na pracowników i osób odbywających staż zawodowy u tego Administratora), a także dane płacowe (w tym dane o wynagrodzeniu pracowników, imienne karty wynagrodzeń, listy płac, dokumentację rozliczeniową z ZUS, karty przychodów do celów podatkowych, informacje o zwolnieniach lekarskich) oraz pozostałe dane stanowiące dokumentację płacową pracowników zatrudnionych przez X. W § (…) tej umowy Podmiot Przetwarzający oświadczył, że stosuje środki bezpieczeństwa spełniające wymagania rozporządzenia 2016/679, które zostały wymienione w załączniku nr (…) do tej umowy. W załączniku tym przewidziano np. pewne zasady dotyczące nośników danych archiwalnych (które mają być „odpowiednio zabezpieczone”), a także wskazano, że zdalny dostęp do danych jest realizowany wyłącznie za pomocą szyfrowanych kanałów komunikacji ((…)). W analizowanym stanie faktycznym Pendrive nie był nośnikiem danych archiwalnych, jako że Dane X zostały udostępnione Spółce na wypadek konieczności udzielenia pomocy pracownikom X. Ponownie należy też wskazać, że zgodnie z wyjaśnieniami Podmiotu Przetwarzającego (vide: m.in. pismo Spółki z 19 lutego 2024 r.), w dniu 5 stycznia 2021 r. nie miał on zgody na połączenie zdalne z X. Z uwagi na powyższe należy więc uznać, że środki bezpieczeństwa określone w załączniku nr 1 nie zawierają postanowień istotnych z punktu widzenia analizowanego naruszenia ochrony danych osobowych.
6) Po wystąpieniu naruszenia ochrony danych X wprowadził zmiany w treści umowy (…) – wprowadzono m.in. zasadę, zgodnie z którą Podmiot Przetwarzający odpowiada za szkody spowodowane swoim działaniem w związku z niedopełnieniem obowiązków, które rozporządzenie 2016/679 nakłada bezpośrednio na podmiot przetwarzający lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom. Podmiot Przetwarzający ma również odpowiadać cyt.: „za szkody spowodowane zastosowaniem lub nie zastosowaniem właściwych środków bezpieczeństwa”. Wprowadzono również kary umowne związane z udostępnieniem lub wykorzystaniem danych osobowych niezgodnie z umową. W związku z zawartą ze Spółką umową (…) przewidziano nowy sposób szyfrowanego połączenia za pomocą „bezpiecznego łącza”. Pouczono pracowników odpowiedzialnych za przygotowywanie umów powierzenia przetwarzania danych o konieczności „zwiększenia i zintensyfikowania” przeprowadzanych weryfikacji w ramach podpisywanych umów. Podjęto też działania zmierzające do wprowadzenia zmian w strukturze organizacyjnej działu polegających na zmianie zakresu obowiązków pracowników (tak, aby główny administrator był bezpośrednim przełożonym zatrudnionych w zespole informatyków, co ma zapewnić nad nimi kontrolę tego administratora). Rozpoczęto też dodatkowe szkolenia pracowników.
7) X przeprowadził 5 marca 2021 r. kontrolę Podmiotu Przetwarzającego, na podstawie której 12 maja 2021 r. skierowano do Spółki zalecenia pokontrolne (m.in. dotyczące przeszkolenia pracowników w zakresie szyfrowania danych osobowych w wypadku danych udostępnianych na nośnikach oraz konieczności natychmiastowego usuwania danych z nośników). Przed zaistnieniem naruszenia ochrony danych osobowych X nie dokonywał kontroli ani inspekcji w Spółce w zakresie wiążącym się z przetwarzaniem danych osobowych przez tę Spółkę.
8) X stwierdził naruszenie przez swojego pracownika, który udostępnił dane Podmiotów Danych X i Y, ustalonej organizacji i porządku pracy m.in. poprzez świadczenie usług na rzecz Y w czasie pracy wynikającym z umowy o pracę zawartej z X mimo zakazu korzystania w X z infrastruktury IT w celach prywatnych. W związku z powyższym, pracownik ten został odsunięty od wykonywanych obowiązków wynikających ze stanowiska (…). - Prezes UODO odebrał wyjaśnienia od Y, z których wynikają następujące ustalenia (vide: pisma Y wysłane do organu nadzorczego: 6 kwietnia 2021 r., 17 października 2022 r. oraz 17 listopada 2023 r.):
1) Z przedłożonej przez Y analizy ryzyka bezpieczeństwa informacji przeprowadzonej 4 czerwca 2018 r., wynika, że administrator danych przewidział zagrożenie przypadkowego udostępnienia danych osobom niepowołanym. Zastrzeżono, że jest ono możliwe, ale tylko w przypadku nieprzestrzegania wdrożonych procedur, a jako działania planowane wskazano wyrywkową kontrolę pracowników przetwarzających dane osobowe. Ryzyko to zostało zaakceptowane bez konieczności podejmowania działań planowych. Dodatkowa analiza ryzyka została przeprowadzona 22 czerwca 2021 r. Z wyjaśnień Y nie wynika, by przed zaistnieniem przedmiotowego naruszenia ochrony danych osobowych przeprowadził analizę ryzyka wiążącego się z procesem zmiany programu kadrowo-płacowego, w ramach którego to procesu doszło do skopiowania danych na Pendrive przez Pracownika Spółki. Y wskazał jednak, że co roku dokonuje analizy ryzyka „bezpieczeństwa informacji”, a ostatnia z nich (przeprowadzona w październiku 2022 r.) obejmowała m.in. ocenę skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych.
2) Zgodnie z § (…) „Instrukcji (…)” (zwanej dalej „Instrukcją Y”), w przypadku przetwarzania danych na komputerach przenośnych, dyski twarde oraz inne wykorzystywane nośniki informacji mają być zabezpieczone w sposób uniemożliwiający dostęp do tych danych osobom postronnym (np. nieuprawniony dostęp, kradzież komputera, szpiegostwo przemysłowe), poprzez wykorzystanie metod i środków kryptograficznych (szyfrowane partycje dysków twardych, szyfrowanie plików, ochrona fizyczna nośników). Nadto w § (…) Instrukcji Y przewidziano, że osobom korzystającym z systemu informatycznego, w którym przetwarzane są dane osobowe, zabrania się m.in. kopiowania danych na nośniki informacji, kopiowania na inne systemy celem wynoszenia ich poza miejsce pracy. Z zasadami wynikającymi z tej Instrukcji nie został jednak zapoznany Pracownik X, który został zatrudniony w Y na podstawie umowy zlecenia.
3) Y zapytany przez organ nadzorczy o to, czy przed zaistnieniem przedmiotowego naruszenia ochrony danych osobowych dokonywał regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych – zwłaszcza w związku z przetwarzaniem danych na nośnikach typu pendrive (przy czym poproszono go również o wskazanie, czy czynności takie przeprowadzane są regularnie przez Y już po zaistnieniu ww. naruszenia), wskazał głównie na fakt corocznie dokonywanych analiz ryzyka (w tym na analizę z października 2022 r.), o których mowa w ppkt 1 niniejszego punktu.
4) Odpowiadając na pytanie, w jaki sposób Y zweryfikował, czy Podmiot Przetwarzający daje wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679, zgodnie z art. 28 ust. 1 tego rozporządzenia, Y wyjaśnił, że nie dokonywał szczególnej analizy środków technicznych i organizacyjnych stosowanych przez Spółkę. Wskazał, że wybrał firmę, która jest znana i miała dobrą renomę na lokalnym rynku oprogramowania kadrowo-płacowego, a także obsługiwała wcześniej inne podmioty w K.. Po zaistniałym zdarzeniu Y zwrócił się do Spółki z żądaniem przedstawienia informacji dotyczącej stosowanych przez nią środków bezpieczeństwa w zakresie przetwarzania powierzonych danych, a po ich uzyskaniu nie podejmował wobec Spółki dalszych działań kontrolnych.
5) W „Umowie (…)” zawartej pomiędzy Y a Podmiotem Przetwarzającym 29 grudnia 2020 r. wskazano zakres powierzonych danych, który miał obejmować w szczególności (lecz nie wyłącznie) podstawowe dane osobowe (tj.: imię, nazwisko, telefon, dane identyfikacji elektronicznej) dotyczące pracowników Y oraz kontrahentów tego Administratora w zakresie realizacji kontraktów handlowych. Umowa ta zawierała również zobowiązanie Podmiotu Przetwarzającego do zabezpieczenia powierzonych danych osobowych przy ich przetwarzaniu poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 rozporządzenia 2016/679 (§ (…)). W § (…) tej umowy Podmiot Przetwarzający oświadczył, że stosuje środki bezpieczeństwa spełniające wymagania rozporządzenia 2016/679, które zostały wymienione w załączniku nr 1 do tej umowy. W załączniku tym przewidziano np. pewne zasady dotyczące nośników danych archiwalnych (które mają być odpowiednio zabezpieczone), a także wskazano, że zdalny dostęp do danych jest realizowany wyłącznie za pomocą szyfrowanych kanałów komunikacji ((…)). W analizowanym stanie faktycznym Pendrive nie był nośnikiem danych archiwalnych, lecz takich, których utrwalenie na nim było już w chwili jego zgubienia (przynajmniej w pewnym zakresie) zupełnie zbędne. Środki bezpieczeństwa określone w załączniku nr 1 nie zawierają postanowień istotnych z punktu widzenia analizowanego naruszenia ochrony danych osobowych.
6) Ze sprawozdania z przeprowadzonego przez Inspektora Ochrony Danych Urzędu Miasta K. w dniach 10-17 maja 2021 r. audytu w Y, wynika, że Pracownikowi X powinno było być udzielone upoważnienie do przetwarzania danych osobowych Y, a co za tym idzie powinien on zostać przeszkolony z zakresu ochrony danych osobowych w Y i zapoznany z dokumentacją z zakresu ochrony tych danych oraz wytycznymi w niej zawartymi. W sprawozdaniu tym zawarto również informacje, że Pracownik X wyjaśnił, że dane osobowe przetwarzane w zasobach płacowo kadrowych przekazał Pracownikowi Spółki za zgodą i wiedzą Zastępcy Dyrektora Y.
7) Z wyjaśnień Y wynika, że po zaistnieniu naruszenia ochrony danych osobowych odbyło się dodatkowe szkolenie z ochrony danych dla pracowników administracji oraz kas. Nadto, wprowadzono dodatkowe instrukcje dotyczące nadawania upoważnień oraz zawierania umów powierzenia przetwarzania danych osobowych. - Prezes UODO odebrał wyjaśnienia od Z sp. z o.o. z siedzibą w Ł., z których wynikają następujące ustalenia (vide: pisma Spółki wysłane do organu nadzorczego: 8 kwietnia i 12 maja 2021 r. oraz 19 lutego 2024 r.), oraz wziął pod uwagę wyjaśnienia załączone do pisma Y z 17 października 2022 r. oraz pisma X z 12 sierpnia 2021 r.:
1) Przed zaistnieniem przedmiotowego zdarzenia Spółka przeprowadziła analizę ryzyka wiążącego się z procesem zmiany programu kadrowo-płacowego innych podmiotów. Spółka wskazała również, że posiadała politykę ochrony danych oraz procedury przenoszenia i przechowywania danych, a z wszystkimi swoimi klientami podpisała umowy powierzenia danych.
2) Z Polityki (…) wprowadzonej w Spółce wynika m.in., że uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, wdraża się odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (pkt (…) tej Polityki). Nadto, w pkt (…) tego dokumentu zawarto postanowienia dotyczące przeprowadzania analizy ryzyka w celu zabezpieczenia danych osobowych adekwatnie do zidentyfikowanych zagrożeń. Spółka posiada opracowane metody przenoszenia danych na bieżąco analizowane i testowane – od kilkunastu lat produkuje i wdraża bowiem systemy kadrowo-płacowe. W momencie przenoszenia Danych X i Y od kilku lat Spółka nie stosowała już metody przenoszenia danych na nośnikach typu Pendrive – stosuje bowiem przekazywanie danych elektronicznie przez dyski (…) lub (…). W rzeczonym przypadku – jak wyjaśniła Spółka – Pracownik X nie chciał tą metodą przekazać Spółce danych (przekazał je na Pendrivie) i Podmiot Przetwarzający, chcąc pobrać dane do przenoszenia do systemu HR, nie miał w tej kwestii wyboru.
3) Wprowadzona przez Podmiot Przetwarzający „Procedura (…)” (wdrożona do stosowania w Spółce od 1 lipca 2018 r. i obowiązująca w chwili przenoszenia Danych X i Y na Pendrive) zawierała postanowienie (pkt (…)), z którego wynika, że transport dokumentów cyfrowych winien odbywać się poprzez przesłanie danych z wykorzystaniem platform cyfrowych, poprzez email oraz przenośne dyski typu Pendrive. Nie wprowadzono wymogu szyfrowania nośnika, czy zawartych na nim plików, ani innych dodatkowych zabezpieczeń.
4) Spółka przeprowadziła (cyt.) „analizę ryzyka wycieku danych” przez nią przetwarzanych i w związku z tym dokonano aktualizacji polityki (…). Spółka zrezygnowała z używania nieszyfrowanych dysków typu pendrive, a w ich miejsce wprowadzono do użytku wyłącznie szyfrowane. Przeprowadzono również przegląd używanych laptopów pod kątem sprawdzenia, czy wszystkie dyski są szyfrowane. Zostało również przeprowadzone szkolenie z zakresu bezpieczeństwa przechowywania i przenoszenia danych.
5) Pracownik Spółki, który zgubił Pendrive zawierający dane Podmiotów Danych X i Y, otrzymał naganę.
Nadto X w piśmie, które wpłynęło do tutejszego Urzędu 12 sierpnia 2021 r., złożył na podstawie art. 78 § 1 w zw. z art. 75 § 1 KPA następujące wnioski dowodowe:
1) o przesłuchanie w charakterze świadka Znalazcy Pendriva na następujące fakty:
a) jakie były okoliczności znalezienia przedmiotowego Pendriva przez Znalazcę - w szczególności, czy Znalazca widział samo zdarzenie zgubienia Pendriva,
b) czy zawartość Pendriva była przez Znalazcę udostępniana, w tym w szczególności kopiowana w jakikolwiek sposób osobom trzecim, w tym czy w sensie fizycznym w okresie od znalezienia Pendriva do jego oddania uprawnionemu podmiotowi przekazywała jakiejkolwiek osobie trzeciej posiadanie tego nośnika;
(który to wniosek dowodowy został ponowiony w piśmie X z 28 września 2022 r.);
2) o przeprowadzenie dowodu z dziesięciu wskazanych dokumentów (w tym dwóch oświadczeń złożonych przez Znalazcę: w dniu 3 lutego i 28 czerwca 2021 r.).
Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
Art. 5 rozporządzenia 2016/679 formułuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Tę funkcję w przetwarzaniu danych osobowych w niniejszej sprawie pełnił X oraz Y.
Zgodnie z art. 5 ust. 1 lit. f) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). Konkretyzację tej zasady stanowią dalsze przepisy rozporządzenia.
Zgodnie zaś z art. 5 ust. 2 rozporządzenia 2016/679, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”). Jak wskazano w Wytycznych 07/2020 dotyczących pojęć administratora i podmiotu przetwarzającego zawartych w RODO (dalej zwanych: „Wytycznymi 07/2020”) Europejskiej Rady Ochrony Danych (cyt.): „Celem włączenia zasady rozliczalności do RODO i uczynienia jej główną zasadą było podkreślenie, że administratorzy danych muszą wdrożyć odpowiednie i skuteczne środki oraz być w stanie wykazać zgodność z przepisami. Zasada rozliczalności została doprecyzowana w art. 24 (…). Zasada rozliczalności znajduje również odzwierciedlenie w art. 28, w którym określono obowiązki administratora podczas korzystania z usług podmiotu przetwarzającego”.
Stosownie do art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Oznacza to, że administrator przy dokonywaniu oceny adekwatności zabezpieczeń powinien wziąć pod uwagę czynniki i okoliczności dotyczące przetwarzania (np. rodzaj, sposób przetwarzania danych) i ryzyko, jakie się z nim wiąże. Jednocześnie wdrożenie odpowiednich zabezpieczeń stanowi obowiązek będący przejawem realizacji ogólnej zasady przetwarzania danych – zasady integralności i poufności, określonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679. Wdrożenie środków technicznych i organizacyjnych powinno polegać na implementowaniu przez administratora odpowiednich przepisów, zasad przetwarzania danych osobowych w danej organizacji, ale także na dokonywaniu regularnych przeglądów tych środków, a w razie potrzeby na uaktualnianiu uprzednio przyjętych zabezpieczeń. Zasadę integralności i poufności, wyrażoną w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, oprócz powołanego wyżej art. 24 ust. 1 rozporządzenia 2016/679, konkretyzują także i inne przepisy tego aktu prawnego, tj. art. 25 ust. 1 i art. 32 ust. 1 i 2.
Zgodnie z treścią art. 25 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.
W myśl art. 28 ust. 1 rozporządzenia 2016/679, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Zgodnie z art. 28 ust. 3 rozporządzenia 2016/679, przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:
a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora - co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy
c) podejmuje wszelkie środki wymagane na mocy art. 32;
d) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4;
e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;
f) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36;
g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
h) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.
W związku z obowiązkiem określonym w akapicie pierwszym lit. h) podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.
Z treści art. 32 ust. 1 rozporządzenia 2016/679 wynika, że administrator i podmiot przetwarzający są zobowiązani do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Przepis precyzuje, że decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, zgodnie z lit. b) i d) tego artykułu, powinny obejmować środki takie, jak zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Art. 32 ust. 2 rozporządzenia 2016/679 stanowi, że oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Przepisy rozporządzenia 2016/679 nakładają więc określone obowiązki w zakresie zapewniania bezpieczeństwa przetwarzanych danych osobowych zarówno na administratorów, jak i na podmioty przetwarzające. Zgodnie z art. 32 ust. 1 i 2 rozporządzenia 2016/679 oba typy tych podmiotów zobowiązane są do przyjęcia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych. W przedmiotowej sprawie należy więc najpierw zbadać, czy właściwe podmioty przed podjęciem działań zmierzających do wprowadzenia zmian dotyczących programu kadrowo-płacowego, przeprowadziły w sposób prawidłowy wyżej wskazany dwuetapowy proces, tj.:
1) czy dokonały analizy ryzyka wiążącego się z takimi działaniami, jako że zmiana programu kadrowo-płacowego (w którym przetwarzane są dane o tak szerokim zakresie jak w przypadku Danych X i Danych Y) jest działaniem wprowadzającym zmianę w dotychczasowym przebiegu procesu przetwarzania danych osobowych i jako takie powinno być poprzedzone dokonaniem szczegółowych analiz pod kątem ustalenia wpływu tej czynności na bezpieczeństwo przetwarzanych danych,
2) czy (na podstawie ww. analizy) określiły oraz zastosowały środki techniczne i organizacyjne zapewniające stopień bezpieczeństwa danych osobowych przetwarzanych w tym systemie odpowiadający temu ryzyku.
Aby analiza ryzyka została przeprowadzona w sposób właściwy, konieczna jest pełna znajomość struktury wszystkich elementów systemu przetwarzania danych, zarówno służących do samego przetwarzania, jak i jego zabezpieczenia przed – w tym przypadku – nieuprawnionym dostępem. Należy również podkreślić, że wszelkie zmiany w programach służących do przetwarzania danych osobowych (zwłaszcza wymagające przenoszenia lub replikowania danych) wymagają od administratora danych, a także od podmiotu przetwarzającego, zweryfikowania w pierwszej kolejności, czy dotychczas przeprowadzona analiza ryzyka uwzględnia zagrożenia związane z tym działaniem. Jeżeli nie, to ich obowiązkiem jest dokonanie takiej analizy, aby zidentyfikować te zagrożenia i określić środki bezpieczeństwa sprowadzające prawdopodobieństwo ich wystąpienia do poziomu ryzyka akceptowalnego. Rozporządzenie 2016/679wprowadziło bowiem podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są nie tylko do zapewnienia zgodności z wytycznymi ww. rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Konsekwencją takiej orientacji jest rezygnacja z list wymagań, w zakresie bezpieczeństwa narzuconych przez prawodawcę, na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Podmiotom uczestniczącym w procesie przetwarzania danych nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa – mają one samodzielnie przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.
Rozważając powyższe, warto zwrócić uwagę na wyrok WSA w Warszawie z 5 października 2023 r., sygn. akt II SA/Wa 502/23, w którym wskazano, że: „w pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, powinny obejmować środki takie, jak pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania”, „Administrator dla prawidłowej realizacji obowiązków wynikających z wyżej przywołanych przepisów rozporządzenia 2016/679 powinien w pierwszej kolejności przeprowadzić analizę ryzyka i na jej podstawie określić i wdrożyć adekwatne środki zapewniające bezpieczeństwo w procesie przetwarzania danych osobowych. W przypadku, gdy Administrator przewidział możliwość używania sprzętu komputerowego (na którym są przetwarzane dane osobowe) poza swoją siedzibą, przedmiotowa analiza powinna wskazywać na ewentualne ryzyka wynikające z możliwości jego kradzieży (zarówno sprzętu służbowego, jak i prywatnego należącego do pracowników, na którym wykonywane są czynności służbowe) wykorzystywanego w związku ze świadczeniem pracy poza siedzibą organizacji”.
Z kolei NSA w wyroku z 9 lutego 2023 r., sygn. akt III OSK 3945/21, stwierdził, że: „Na gruncie RODO prawodawca odszedł od statycznego określenia wymaganych od administratora środków technicznych i organizacyjnych na rzecz dynamicznej oceny przyjętych środków bezpieczeństwa. Powyższe oznacza, że to na administratorze i podmiocie przetwarzającym spoczywa obowiązek określenia odpowiednich (adekwatnych) środków bezpieczeństwa, z zachowaniem kompetencji organu nadzorczego do weryfikacji przyjętego poziomu zabezpieczeń”.
Podkreślić należy, że analiza ryzyka oraz zarządzanie ryzykiem są procesami wymagającymi współpracy wszystkich zainteresowanych stron i jako takie wymagają przede wszystkim zaplanowania, zorganizowania, kierowania oraz kontrolowania zasobów wykorzystywanych do przetwarzania, realizacji samych czynności przetwarzania oraz badania i wykrywania ewentualnych podatności oraz luk. W szczególności konieczne jest analizowanie wpływu każdej zmiany na poziom bezpieczeństwa przetwarzanych danych. Co za tym idzie, przed wykonaniem jakichkolwiek działań, w tym polegających na wprowadzaniu zmian w dotychczasowym procesie przetwarzania danych zmierzających do zmiany programu kadrowo-płacowego, każdy administrator danych i podmiot przetwarzający powinni zachować jak najdalej idącą ostrożność, zaś przed wdrożeniem samej zmiany winni określić zasady jej wprowadzenia, zwłaszcza w kontekście zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzanych danych, oraz sprawdzić, czy poszczególne etapy operacji zostały zakończone całkowitym sukcesem nie tylko pod kątem sprawności działania systemu, ale również pod kątem zrealizowania wymagań przepisów prawa (w tym przepisów rozporządzenia 2016/679 nakładających obowiązki w zakresie zapewnienia odpowiedniego poziomu bezpieczeństwa danych). W przedmiotowej sprawie takiej ukierunkowanej analizy jednak nie przeprowadzono, poprzestając jedynie na ogólnych założeniach. Y w dokonanej przez siebie analizie ryzyka wykonanej półtora roku przed wystąpieniem przedmiotowego naruszenia ochrony danych osobowych przewidział zagrożenie przypadkowego udostępnienia danych osobom niepowołanym, a jako działania planowane wskazano wyrywkową kontrolę pracowników przetwarzających dane osobowe. X wskazał, że nie dokonywał analizy ryzyka związanej »stricte z samym procesem zmiany programu kadrowo-płacowego, gdyż zakres przetwarzanych danych pozostawał ten sam, podobnie jak proces przetwarzania danych w programie a decyzja o zmianie spowodowana była jedynie faktem, iż dotychczasowy program był niewystarczająco kompatybilny z komputerami i pozostałymi programami wykorzystywanymi przez X K. typu „(…)”«. W tym miejscu należy zauważyć, że w przypadku istotnej zmiany w sposobie przetwarzania danych osobowych wiążącej się z koniecznością „przeniesienia” przetwarzanych danych powinno się dokonać analizy ryzyka wiążącej się z taką zmianą, a sam fakt, że zakres przetwarzanych danych pozostaje taki sam, jest w tym przypadku pozbawiony znaczenia. Spółka z kolei przeprowadziła analizę ryzyka wiążącego się z procesem zmiany programu kadrowo-płacowego swoich klientów, lecz Pracownik Spółki – w sytuacji odmowy udostępnienia danych potrzebnych do wykonania przez niego odpowiednich działań przez Pracownika X – postąpił wbrew metodom działania Spółki, o których mowa w pkt 16 ppkt 2 (na str. 12 niniejszej decyzji). Ze zgromadzonego w sprawie materiału dowodowego nie wynika, by X lub Y dokonywały jakiejkolwiek analizy ryzyka związanego z procesem przenoszenia danych do nowego programu kadrowo-płacowego, zaś Spółka nie dokonywała wówczas ww. analizy ryzyka w kontekście wykorzystania przy tym przenośnych nośników danych. Dokonując oceny prawidłowości działań X, Y i Podmiotu Przetwarzającego w powyższym kontekście należy podkreślić, że przedmiotowej analizy ryzyka dokonać powinny wszystkie te trzy podmioty, a nie jedynie Podmiot Przetwarzający, którego działania w tym zakresie również nie były odpowiednie do zaistniałego zdarzenia.
Poczynione w niniejszej sprawie ustalenia pozwalają przyjąć, że X, Y oraz Podmiot Przetwarzający dokonywali w niewystraczającym zakresie analizy ryzyka wiążącego się z podejmowanymi działaniami zmierzającymi do zmiany programu kadrowo-płacowego, co wymagało przeniesienia danych osobowych (w tym: nie przeprowadzili analizy ryzyka związanej ze zgubieniem nośnika zawierającego te dane osobowe), a tymczasem jej prawidłowe przeprowadzenie pozwoliłoby na dobór odpowiednich środków bezpieczeństwa. Dla właściwego przeprowadzenia drugiego etapu ww. procesu, warunkiem niezbędnym jest bowiem prawidłowe wykonanie poprzedzającego go pierwszego etapu. W przypadku ww. prac podjętych przez Spółkę w przedmiotowej sprawie należało wziąć pod uwagę ryzyko zgubienia nośnika danych, na którym zapisane zostały dane osobowe Podmiotów Danych X i Y i pozostawiania tego nośnika w lokalizacji dostępnej dla osób nieupoważnionych. Należało przy tym wziąć również pod uwagę możliwość, że osoba, która weszłaby w posiadanie takiego nośnika, mogłaby posiadać, albo nabyć oprogramowanie do odczytania jego zawartości (stąd to, czy z treścią tą zapoznał się Znalazca Pendriva nie ma znaczenia przy ocenie prawidłowości działań X i Y oraz Spółki w kontekście analizy ryzyka związanego z procesem wdrożenia nowego programu kadrowo-płacowego i przetwarzania Danych X i Y). Uwzględniwszy to ryzyko, podmioty, na które obowiązki nakładane są na podstawie art. 32 ust. 1 i 2 rozporządzenia 2016/679, mogły zadecydować np. o szyfrowaniu zawartości Pendriva, o ustawieniu haseł dostępowych do samego Pendriva lub do folderów zawierających dane osobowe albo o poddaniu plików zawierających takie dane szyfrowaniu lub pseudonimizacji. Pozwoliłoby to uniknąć naruszenia ochrony danych osobowych nawet w sytuacji zgubienia nośnika tych danych.
W przedmiotowej sprawie X i Y ograniczył się do polecenia Podmiotowi Przetwarzającemu dokonania przeniesienia danych osobowych (w ramach zawartych w tym przedmiocie umów), nie wskazując wprost, w jaki sposób przeniesienie to ma nastąpić. Istnieją racjonalne podstawy by uznać, że zarówno X jak i Y założyły, iż nastąpi to zgodnie z wewnętrznymi procedurami dotyczącymi zasad przetwarzania danych osobowych oraz zgodnie z ogólnymi zasadami wskazanymi w umowach (…) zawartych ze Spółką. Rozważając zasadność tego założenia należy po pierwsze wskazać, że Pracownik X udostępnił Dane X niezgodnie z Instrukcją X (Pendrive nie był zabezpieczony). Po drugie, należy podkreślić, że Pracownik X, który był jednocześnie zatrudniony przez Y, nie został zapoznany z zasadami przetwarzania danych osobowych w Y. Pracownik ten był zatrudniony w Y na podstawie umowy zlecenia, a w dniu 4 stycznia 2021 r. zawarto z nim umowę powierzenia przetwarzania danych osobowych zamiast udzielić mu upoważnienia do przetwarzania danych (na nieprawidłowość tę wskazywano w sprawozdaniu z przeprowadzonego 17 maja 2021 r. w Y zadania audytowego, drugi akapit na str. 3). Pracownik ten przetwarzał dane za wiedzą i zgodą Zastępcy Dyrektora Y, więc w przypadku, gdy nie został przeszkolony z ww. zasad, powinien dostać konkretne instrukcje co do sposobu przekazania Danych Y czy metod ich zabezpieczenia - nie można było w takiej sytuacji przyjąć, że za podjęte w tym zakresie przez siebie decyzje pełną odpowiedzialność powinien ponieść ten pracownik. Podobnie administrator nie powinien zakładać, że podmiot przetwarzający uwzględni ogólne zasady działania wynikające z wewnętrznych regulacji dotyczących zasad przetwarzania danych osobowych. Pracownik Podmiotu Przetwarzającego nie musiał znać treści Instrukcji X czy Instrukcji Y. Umowa (…) zawarta ze Spółką przez X 16 listopada 2020 r. oraz umowa zawarta w tym przedmiocie 29 grudnia 2020 r. zawierała jedynie zobowiązanie Podmiotu Przetwarzającego do zabezpieczenia powierzonych danych osobowych przy ich przetwarzaniu poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 rozporządzenia 2016/679. Takie samo zobowiązanie znalazło się w Umowie (…) zawartej przez Y ze Spółką 29 grudnia 2020 r. Wyżej cytowane postanowienie, które znalazło się we wszystkich trzech ww. umowach, jest bardzo ogólne – jego treść jest w zasadzie powieleniem obowiązku zawartego w tym artykule rozporządzenia 2016/679. Fakt ten w połączeniu z brakiem wskazówek udzielonych Podmiotowi Przetwarzającemu przez X i Y w zakresie sposobu zabezpieczenia danych w procesie ich przenoszenia do nowego programu kadrowo-płacowego świadczy o tym, że administratorzy założyli, iż Podmiot Przetwarzający sam dokona analizy ryzyka związanego z takimi działaniami i dobierze odpowiednie środki techniczne i organizacyjne mające zapewnić bezpieczeństwo tych danych. Obowiązki w tym zakresie spoczywają jednak zarówno na X i Y, jak i na Podmiocie Przetwarzającym i fakt podejmowania działań przez jednego z nich, nie wpływa na zwolnienie drugiego z obowiązków nałożonych na nich przepisem art. 32 ust. 1 i 2 rozporządzenia 2016/679. Dokonane w przedmiotowej sprawie ustalenia nie pozwalają przyjąć, że X i Y podjęły działania zmierzające do realizacji dwuetapowego procesu, o którym mowa w ww. przepisie. Również Podmiot Przetwarzający nie wykazał w sposób niebudzący poważnych wątpliwości prawidłowości podjętych przez siebie działań, w szczególności nie zabezpieczył plików znajdujących się na Pendrivie przed nieuprawnionym dostępem i nie usunął zbędnych danych, wbrew własnej procedurze.
Jak już wyżej przytoczono, z pkt (…) wprowadzonej w Spółce Polityki (…) wynika m.in., że uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, wdraża się odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Natomiast z pkt (…) obowiązującej w Spółce w chwili replikowania Danych X i Y na Pendrivie „Procedury (…)” wynikało, że transport dokumentów cyfrowych winien odbywać się poprzez przesłanie danych z wykorzystaniem platform cyfrowych, poprzez email oraz przenośne dyski typu Pendrive. Nie wprowadzono wymogu szyfrowania nośnika, czy zawartych na nim plików, ani innych dodatkowych zabezpieczeń. Dobór takich środków technicznych i organizacyjnych świadczy o nieuwzględnieniu w analizie ryzyka możliwości pozostawienia nośnika danych w lokalizacji niezabezpieczonej przed dostępem osób nieupoważnionych. Środki te nie były bowiem adekwatne do tego rodzaju ryzyka.
Oczywistym jest, że przy doborze środków technicznych i organizacyjnych należy weryfikować ich skuteczność uwzględniając aktualne możliwości techniczne, a także potencjalne zagrożenia. Środki odpowiednie niegdyś nie muszą bowiem pozostawać skuteczne w zmienionych okolicznościach. Należy przy tym również pamiętać, że środki nawet odpowiednio dobrane do aktualnego możliwego ryzyka naruszenia ochrony danych osobowych powinny być regularnie testowane. Działania te (polegające na stałej weryfikacji adekwatności i skuteczności dobieranych środków oraz regularnym testowaniu tych już stosowanych) stanowią – jako pewna całość – realizację obowiązku przewidzianego w art. 32 ust. 1 lit. b) rozporządzenia 2016/679 (zdolność do ciągłego zapewnienia poufności).
W sytuacji zmiany programu kadrowo-płacowego i przeniesienia Danych X i Y, wydaje się jasne, że powinny zostać przeprowadzone testy dotyczące zastosowanych środków bezpieczeństwa zarówno przed, jak i po przeniesieniu tych danych. Ich prawidłowe przeprowadzenie pozwoliłyby na wykrycie powstałego błędu, tj. pozostawienia na Pendrivie danych zbędnych (zwłaszcza Danych Y), a następnie: pozostawienia w nieznanej Spółce lokalizacji Pendriva, który nie został zabezpieczony przed dostępem osób nieuprawnionych. Obowiązek przeprowadzenia tego typu testów, zgodnie z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, spoczywa zarówno na podmiocie przetwarzającym, jak i administratorze danych. Z wyjaśnień złożonych przez Spółkę wynika, że dokonywała ona regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych, ale z faktu, iż od kilku lat nie stosowała przy przenoszeniu danych przenośnych nośników należy wywieść wniosek, że nie dokonywała powyższych działań w zakresie przetwarzania danych na służbowych pendrivach pracowników. Z wyjaśnień X i Y również nie wynika, by wykonywali tego typu testy.
Jak już wskazywano, prawidłowy dobór środków technicznych i organizacyjnych uwzględniający możliwe ryzyka oraz regularne przeprowadzanie testów obejmujących również weryfikację prawidłowości wykonywania przez pracowników ich obowiązków (np. udostępniania danych jedynie na zaszyfrowanych nośnikach, czy niepozostawiania nośników danych w lokalizacjach niezabezpieczonych przed dostępem osób nieuprawnionych) pozwoliłoby w przedmiotowej sytuacji na uniknięcie naruszenia ochrony danych osobowych. Należy bowiem przyjąć, że obowiązki podmiotów uczestniczących w procesie przetwarzania danych osobowych nie powinny się kończyć na ww. dwuetapowym procesie, tj. na przeprowadzeniu analizy ryzyka i zastosowaniu odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych. W konsekwencji tego założenia należy stwierdzić, że zarówno X, Y, jak i Podmiot Przetwarzający, powinni byli zweryfikować, czy dane osobowe zostały udostępnione w sposób uwzględniający ryzyko utraty ich nośnika, a także, czy są odpowiednio zabezpieczone przed dostępem do nich osób nieuprawnionych. Brak takiej weryfikacji, wobec niewdrożenia jakichkolwiek środków technicznych i organizacyjnych mających na celu zabezpieczenie danych osobowych (np. poprzez zastosowanie hasła wymaganego do otwarcia wszystkich plików lub folderów plików zawierających dane osobowe) znajdujących się na Pendrivie, skutkował wystąpieniem naruszenia. Działania w zakresie wdrażania odpowiednich środków technicznych (tj. np. wprowadzenie wymogu szyfrowania nośników danych typu pendrive przez Spółkę) zostały przeprowadzone dopiero po wystąpieniu przedmiotowego naruszenia ochrony danych osobowych.
W świetle powyższych ustaleń stwierdzić należy, że brak działań zarówno X, Y, jak i Podmiotu Przetwarzającego, w celu przeprowadzenia analizy ryzyka na potrzeby dokonywanej zmiany programu kadrowo-płacowego oraz przeniesienia Danych X i Y za pomocą Pendriva, określenia i zastosowania adekwatnych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych podczas tej operacji oraz weryfikacji prawidłowości przeprowadzonych przez pracowników działań, skutkował naruszeniem art. 32 ust. 1 i 2 rozporządzenia 2016/679. Prawidłowo przeprowadzone testowanie w ramach realizacji wymogu z art. 32 ust. 1 lit. d) powinno było objąć także postępowanie z Pendrivem po przeniesieniu części danych na dysk twardy w siedzibie Spółki i pozwolić na weryfikację, czy dobór wprowadzonych środków bezpieczeństwa (które powinny być badane pod kątem ich skuteczności już na etapie wdrażania tego rozwiązania) był właściwy. Tymczasem m.in. w wyniku nieadekwatnej weryfikacji prawidłowości podejmowanych działań, ani X, ani Y, ani Podmiot Przetwarzający, nie zorientowali się przez ponad dwa tygodnie, że doszło do niezamierzonego pozostawienia niezabezpieczonego Pendriva w lokalizacji umożliwiającej dostęp do niego osób nieuprawnionych – do wykrycia naruszenia doszło bowiem w wyniku informacji przekazanej przez Znalazcę. Nieprawidłowości w tej sferze w sposób oczywisty rzutują również na ocenę spełnienia przez X, Y oraz Podmiot Przetwarzający ich obowiązku wynikającego z art. 32 ust. 1 lit. b) rozporządzenia 2016/679 (zdolność do ciągłego zapewnienia poufności).
Omawiając obowiązki wynikające z art. 32 ust. 1 lit. d) rozporządzenia 2016/679 należy również zaznaczyć, że X przeprowadził kontrolę Podmiotu Przetwarzającego dopiero po stwierdzeniu naruszenia bezpieczeństwa danych osobowych (5 marca 2021 r.) – niestety było to działanie spóźnione. Y z kolei takiej kontroli nie przeprowadził nawet następczo. Nie należy zapominać, że nadzór administratora nad działaniami podmiotu przetwarzającego stanowi ważny środek organizacyjny mający na celu ochronę bezpieczeństwa przetwarzanych danych osobowych. W wyroku z 6 czerwca 2023 r., sygn. akt II SA/Wa 1939/22, Wojewódzki Sąd Administracyjny w Warszawie wskazał, że „(…) powinność regularnego testowania środków technicznych i organizacyjnych, zabezpieczenia przetwarzania danych osobowych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w rozumieniu art. 32 ust. 1 zd. wstępne RODO, wynika wprost z brzmienia lit. d wskazanego art. 32 ust. 1, zaś powinność dokumentowania czynności w danym zakresie statuuje zasada rozliczalności (art. 5 ust. 2 RODO)”. Podobnie wypowiedział się ten Sąd także w wyroku z 21 czerwca 2023 r., sygn. akt II SA/Wa 150/23.
Wskazać ponadto należy, że obowiązki w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679 oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak aby spełniać wymogi tego rozporządzenia, zostały nałożone na administratora danych (i tylko na administratora danych) przepisami art. 24 ust. 1 i art. 25 ust. 1 ww. rozporządzenia. Wobec braku zastosowania przez X i Y adekwatnych środków bezpieczeństwa, o czym wyżej mowa, uznać należy, iż naruszyły one także i te przepisy rozporządzenia 2016/679. Konsekwencją zaś ich naruszenia jest konieczność stwierdzenia, że naruszona została również zasada poufności wyrażona w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, a także zasada rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679, zobowiązująca administratora do przestrzegania zasad wynikających z art. 5 ust. 1 rozporządzenia 2016/679 i wykazania tego przestrzegania. Powyższe potwierdza orzeczenie WSA w Warszawie z 10 lutego 2021 r., sygn. akt II SA/Wa 2378/20: „Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych”.
Podobnie kwestię zasady rozliczalności interpretuje w wyroku z 26 sierpnia 2020 r. WSA w Warszawie sygn. akt II SA/Wa 2826/19: „Biorąc pod uwagę całość norm rozporządzenia 2016/679, podkreślić należy, że administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator danych powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 rozporządzenia 2016/679”.
Biorąc pod uwagę całość powyższych rozważań, należy stwierdzić, że zapewnienie bezpieczeństwa (w tym poufności) przetwarzanych danych jest z punktu widzenia podmiotów uczestniczących w ich przetwarzaniu sprawą kluczową. Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 15 listopada 2023 r., sygn. akt II SA/Wa 552/23, stwierdził, że: »(…) organ trafnie odkodował pojęcie „poufności danych”, jako pewnego rodzaju właściwość sprawiającą, że dane nie zostaną udostępnione nieuprawnionym podmiotom. Może być ona osiągana między innymi dzięki zastosowaniu środków technicznych i organizacyjnych, adekwatnych do zakresu danych, kontekstu przetwarzania oraz zidentyfikowanych ryzyk«.
Wobec wykazania powyżej, że X, Y i Podmiot Przetwarzający nie dopełnili nałożonych na każdego z nich obowiązków określonych w art. 32 ust. 1 i 2 rozporządzenia 2016/679 w zakresie analizy ryzyka oraz doboru odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych, należy dokonać dodatkowo pogłębionej analizy pewnych aspektów relacji pomiędzy X i Y (pełniącymi funkcję administratora odpowiednio: Danych X i Y) a Podmiotem Przetwarzającym (w tym w kontekście art. 32 ust. 1 i art. 28 ust. 3 rozporządzenia 2016/679), tj. m.in., czy działania Spółki dokonywane były zgodnie z ustalonymi procedurami (a jeśli nie, to czy X i Y udzielił Podmiotowi Przetwarzającemu informacji co do sposobu przeprowadzania działań zmierzających do przeniesienia Danych X i Y), w jaki sposób ukształtowane zostały prawa i obowiązki ww. podmiotów w tym zakresie oraz czy X i Y odpowiednio zweryfikowały to, czy Podmiot Przetwarzający daje gwarancje prawidłowego wykonywania swoich zadań.
W wyjaśnieniach, które wpłynęły do tutejszego Urzędu X i Y wskazały m.in., że zgodnie z zawartymi ze Spółką umowami (…) (z 29 grudnia 2020 r.), Podmiot Przetwarzający zobowiązany był do zabezpieczenia powierzonych danych osobowych przy ich przetwarzaniu poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 rozporządzenia 2016/679. Nie określono w tych umowach w szczególności, by Podmiot Przetwarzający miał obowiązek weryfikacji prawidłowości przebiegu podjętych czynności lub kontroli (bieżącej oraz powykonawczej) w zakresie zabezpieczenia przetwarzanych danych osobowych przed dostępem osób nieuprawnionych. Temu brakowi towarzyszy też fakt, że nie wykazano by którykolwiek z administratorów nadzorował czynności podejmowane przez Podmiot Przetwarzający celem wdrożenia nowego programu kadrowo-płacowego w aspekcie przeniesienia danych X i Y oraz (jak już wspomniano we wcześniejszej części niniejszego uzasadnienia), by weryfikował prawidłowość przebiegu tego procesu w kontekście ochrony tych danych.
Decyzję o zmianie programu kadrowo-płacowego podejmowali w tym przypadku administratorzy, ale w umowach nie zostały doprecyzowane metody przeniesienia tych danych ani środki służące zabezpieczeniu ich poufności. Ze zgromadzonego w sprawie materiału dowodowego wynika, że sposób przeprowadzenia czynności zmierzających do przeniesienia Danych X i Y ustalony został przez Pracownika X i przyjęty przez Pracownika Spółki. Spółka zaś nie wdrożyła zasad dotyczących zabezpieczania nośników danych z uwagi na fakt, że od kilku lat korzystała z innych metod przenoszenia danych. Należy zaznaczyć, że w przedmiotowej sprawie do naruszenia ochrony danych osobowych doszło w pewnym stopniu w wyniku również innego postępowania Pracownika Podmiotu Przetwarzającego. Pozyskawszy dane X i Y Pracownik Spółki nie usunął bowiem tych plików, które zapisał już na dysku twardym komputera w siedzibie Spółki – pozostawił je więc nadmiarowo na Pendrivie, na którym dane te nie były zabezpieczone przed dostępem osób nieuprawnionych (przy czym należy pamiętać, że część danych, tj. Dane X, została replikowana na Pendriva celem umożliwienia udzielenia pomocy pracownikom X, a nie jedynie ich przeniesienia do nowego programu płacowo-kadrowego – cel ten mógł być wciąż aktualny w chwili zgubienia Pendriva przez Pracownika Spółki). Nadto przewoził Pendriva w kieszeni, z której po prostu wypadł. Tymczasem, zgodnie z brzmieniem art. 28 ust. 1 rozporządzenia 2016/679, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, to korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. Zapewnieniu realizacji tej zasady służy wprowadzony w art. 28 ust. 3 rozporządzenia 2016/679 obowiązek zawarcia pomiędzy administratorem a podmiotem przetwarzającym umowy określającej przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora, która to umowa zawiera w szczególności elementy wskazane w lit. a)-h) tego przepisu.
W rozpatrywanym stanie faktycznym umowa (…) zawarta pomiędzy X a Podmiotem Przetwarzającym w dniu 29 grudnia 2020 r. – w odróżnieniu od umowy zawartej w tym przedmiocie pomiędzy tymi samymi podmiotami w dniu 16 listopada 2020 r. – zasadniczo zawierała wymagane przez art. 28 ust. 3 rozporządzenia 2016/679 elementy, choć wiele aspektów w tej umowie warto byłoby rozwinąć celem uniknięcia sytuacji podobnej do tej, w której zaistniało przedmiotowe naruszenie ochrony danych osobowych.
Niestety, sytuacja z umową (…) zawartą również 29 grudnia 2020 r. pomiędzy Y a Podmiotem Przetwarzającym przedstawia się odmiennie. Umowa ta była bardzo zbliżona w swej treści do umowy zawartej w tym przedmiocie pomiędzy X a Podmiotem Przetwarzającym 29 grudnia 2020 r., lecz w odróżnieniu od niej nie określała odpowiednio rodzaju powierzonych do przetwarzania danych osobowych. Wskazano w niej (w § (…) jedynie podstawowe dane osobowe pracowników Y i jego kontrahentów, tj. imiona, nazwiska, numery telefonów, a także dane identyfikacji elektronicznej. Jak już wskazano we wcześniejszej części niniejszego uzasadnienia, Dane Y, których ochrona została naruszona, miały znacznie szerszy zakres. Oczywiście, należy dostrzec, że umowa zawierała w tym punkcie wyrażenie „w szczególności”, lecz nie sposób nie zauważyć, że pominięto w nim wszystkie dane o większym znaczeniu z punktu widzenia ochrony praw lub wolności osób fizycznych tym naruszeniem dotkniętych, tj. np. numery ewidencyjne PESEL, czy dane o wynagrodzeniu. Dlatego należy uznać, że umowa zawarta 29 grudnia 2020 r. pomiędzy Y a Podmiotem Przetwarzającym nie zawierała elementu wskazanego w art. 28 ust. 3 zdanie pierwsze rozporządzenia 2016/679, tj. rodzaju danych osobowych (zgodnie z tym przepisem przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora).
Na podstawie wyjaśnień udzielanych przez X i Y oraz Podmiot Przetwarzający niemożliwe jest potwierdzenie, że wdrażane zmiany realizowane były według określonych z góry zasad zapewniających bezpieczeństwo danych osobowych - środki techniczne i organizacyjne mające zapewnić to bezpieczeństwo nie zostały bowiem szczegółowo określone ani w ogólnych regulacjach wdrożonych przez administratora, ani w stosownej umowie zawartej pomiędzy każdym z administratorów z Podmiotem Przetwarzającym 29 grudnia 2020 r. Nadto, polecenie wdrożenia nowego programu kadrowo - płacowego nie zostało przekazane przez X czy Y wraz z jakąkolwiek instrukcją co do metod zapewnienia bezpieczeństwa przetwarzanych danych. Przeciwnie: o sposobie ich wdrożenia decydować miał Podmiot Przetwarzający, którego zobowiązanie do stosowania odpowiednich środków organizacyjnych i technicznych wynikało z zawartych 29 grudnia 2020 r. umów (...). Dowolność wyboru stosowanych rozwiązań przez Podmiot Przetwarzający w połączeniu z nieodpowiednim postępowaniem przez Pracownika X oraz z brakiem kontroli prawidłowości podejmowanych w tym zakresie czynności, doprowadziły w konsekwencji do naruszenia ochrony danych osobowych.
Z uwagi na powyższe (tj. ustalenie, że w umowach (…) zawartych przez X i Y z Podmiotem Przetwarzającym nie zawarto postanowień dotyczących sposobu dokonywania czynności w zakresie przetwarzania danych w związku ze zmianą programu kadrowo-płacowego), należy dodatkowo przeanalizować, czy takie działanie X i Y mogło wynikać z uzasadnionej pewności co do kompetencji Podmiotu Przetwarzającego.
W przedmiotowej sprawie X – zapytany o to, w jaki sposób zweryfikował, czy podmiot przetwarzający daje wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie danych spełniało wymogi rozporządzenia 2016/679, zgodnie z art. 28 ust. 1 tego rozporządzenia – wyjaśnił, że współpracuje ze Spółką od około 30 lat i że dotychczasowa współpraca układała się pomyślnie i wzorowo. Ponadto wyjaśnił, że Podmiot Przetwarzający wskazywał przed podpisaniem umowy zabezpieczenia w odpowiednim załączniku do tej umowy, które to rozwiązania były akceptowane przez X, zaznaczył też, że „[d]opiero po wypełnieniu tych rozwiązań nastąpiło podpisanie umowy”, a także że Administrator każdorazowo podpisując umowę z podmiotem przetwarzającym weryfikował stopień zabezpieczeń danych osobowych z tym podmiotem i wypełnianie obowiązków wynikających z rozporządzenia 2016/679. Jak już wcześniej wykazywano w uzasadnieniu niniejszej decyzji, załącznik ten nie zawierał postanowień istotnych z punktu widzenia okoliczności wystąpienia przedmiotowego naruszenia ochrony danych osobowych.
Z kolei Y, odpowiadając na to samo pytanie, wyjaśnił, że nie dokonywał szczególnej analizy środków technicznych i organizacyjnych stosowanych przez Spółkę. Wskazał, że wybrał firmę, która jest znana i miała dobrą renomę na lokalnym rynku oprogramowania kadrowo-płacowego, a także obsługiwała wcześniej inne podmioty w K..
Ustosunkowując się do ww. wyjaśnień X i Y wskazać należy, że:
- w poprzednim stanie prawnym, na gruncie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922), zdefiniowane były inne wymagania względem podmiotu przetwarzającego, zaś inne obowiązują od 25 maja 2018 r., tj. od momentu rozpoczęcia stosowania rozporządzenia 2016/679. Zatem dotychczasowa, pozytywnie oceniana współpraca stanowić może jedynie punkt wyjścia przy dokonywaniu weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. Wymóg określony art. 28 ust. 1 rozporządzenia 2016/679 bezwzględnie obowiązuje bowiem każdego administratora danych, który w ramach prowadzonej działalności korzysta z zasobów lub usług podmiotu przetwarzającego podczas przetwarzania danych osobowych. Podkreślić należy, że z obowiązku przeprowadzenia takiej oceny nie zwalnia fakt wieloletniej współpracy i korzystania z usług danego podmiotu przetwarzającego przed dniem 25 maja 2018 r., tj. przed rozpoczęciem stosowania rozporządzenia 2016/679. Ani X ani Y takiej weryfikacji nie przeprowadziły: X poprzestając na pozytywnej ocenie Podmiotu Przetwarzającego, będącej efektem dotychczasowej współpracy nawiązanej jeszcze przed rozpoczęciem stosowania przepisów rozporządzenia 2016/679, zaś Y poprzestając na informacji o dobrej opinii Spółki na lokalnym rynku. Konsekwencją braku dokonania tej oceny jest naruszenie wymogu określonego w art. 28 ust. 1 rozporządzenia 2016/679. Należy przy tym zaznaczyć, że samo podpisanie umowy powierzenia przetwarzania danych osobowych bez dokonania odpowiedniej oceny podmiotu przetwarzającego nie może być uznane jako realizacja obowiązku przeprowadzenia postępowania weryfikującego podmiot przetwarzający pod kątem spełnienia przez niego wymogów rozporządzenia 2016/679;
- długotrwała współpraca stron nie poparta okresowym, systematycznym przeprowadzaniem audytów bądź inspekcji nie gwarantuje, iż podmiot przetwarzający zrealizuje w sposób prawidłowy zadania wymagane przepisami prawa oraz wynikające z zawartej umowy powierzenia. W tym miejscu należy zaznaczyć, że w umowie (…) łączącej zarówno X jak i Y z Podmiotem Przetwarzającym od dnia 29 grudnia 2020 r. zawarto postanowienia dotyczące prawa X i Y do kontroli, czy środki zastosowane przez Podmiot Przetwarzający przy przetwarzaniu i zabezpieczaniu powierzonych danych osobowych spełniają postanowienia tej umowy – działania te mogły więc być realizowane przed wystąpieniem naruszenia ochrony danych osobowych.
Kwestia kryteriów oceny podmiotu przetwarzającego była przedmiotem rozważań również Europejskiej Rady Ochrony Danych. Jak wskazano w Wytycznych 07/2020, odnosząc się do treści art. 28 ust. 1 i motywu 81 rozporządzenia 2016/679, (cyt.): »Administrator jest (…) odpowiedzialny za ocenę adekwatności gwarancji udzielonych przez podmiot przetwarzający i powinien być w stanie udowodnić, że poważnie wziął pod uwagę wszystkie elementy przewidziane w RODO. Gwarancje „zapewniane” przez podmiot przetwarzający to te, które podmiot przetwarzający jest w stanie wykazać w sposób zadowalający administratora, ponieważ są to jedyne gwarancje, które administrator może skutecznie uwzględnić przy ocenie wypełniania swoich obowiązków. Często będzie to wymagało wymiany odpowiedniej dokumentacji (np. polityki prywatności, warunków świadczenia usług, rejestru czynności przetwarzania, polityki zarządzania dokumentacją, polityki bezpieczeństwa informacji, sprawozdań z zewnętrznych audytów ochrony danych, uznanych międzynarodowych certyfikatów, takich jak normy ISO 27000). Ocena administratora, czy gwarancje są wystarczające, jest formą oceny ryzyka, która w znacznym stopniu zależy od rodzaju przetwarzania powierzonego podmiotowi przetwarzającemu i musi być dokonywana indywidualnie dla każdego przypadku, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania, a także zagrożeń dla praw i wolności osób fizycznych. (…) Administrator powinien wziąć pod uwagę następujące elementy (…), aby ocenić, czy gwarancje są wystarczające: wiedza fachowa (np. wiedza techniczna w zakresie środków bezpieczeństwa i naruszeń ochrony danych); wiarygodność podmiotu przetwarzającego; zasoby podmiotu przetwarzającego. Reputacja podmiotu przetwarzającego na rynku może być również istotnym czynnikiem, który administratorzy powinni wziąć pod uwagę. Ponadto jako element umożliwiający wykazanie wystarczających gwarancji można wykorzystać przestrzeganie zatwierdzonego kodeksu postępowania lub mechanizmu certyfikacji. (…) Obowiązek korzystania wyłącznie z usług podmiotów przetwarzających „zapewniających wystarczające gwarancje” zawarty w art. 28 ust. 1 RODO jest obowiązkiem ciągłym. Nie kończy się w momencie zawarcia umowy lub innego aktu prawnego przez administratora i podmiot przetwarzający. Administrator powinien raczej w odpowiednich odstępach czasu weryfikować gwarancje podmiotu przetwarzającego, w tym w stosownych przypadkach przez audyty i inspekcje (…)«.
Podsumowując dotychczasowy wywód należy zaznaczyć, że okoliczności pozostawienia Pendriva, którego zawartość nie była zabezpieczona przed dostępem osób nieuprawnionych, w przypadkowej lokalizacji, miały związek z działaniami podjętymi celem wdrożenia nowego programu kadrowo-płacowego w X i w Y, przy czym Podmiot Przetwarzający prowadził swoje działania realizując umowy z tymi podmiotami nieokreślające ani sposobu przetwarzania (w tym przenoszenia) danych ani środków bezpieczeństwa, które miałyby być przy tym zachowane. Nadto przeprowadzając te procesy Podmiot Przetwarzający nie dołożył należytej staranności – nie usunął z Pendriva zbędnych na nim danych (wbrew obowiązującej w Spółce procedurze), a prawidłowość przebiegu tych procesów nie została zweryfikowana po ich dokonaniu (ani w trakcie). Podmiot Przetwarzający nie realizował więc wymogów określonych przepisami art. 32 ust. 1 i 2 rozporządzenia 2016/679. Oceniając działania podjęte przez Podmiot Przetwarzający, należy wziąć jednak pod uwagę nie tylko to, że z § (…) każdej z „Umów (…)” zawartej pomiędzy X oraz Y a Podmiotem Przetwarzającym wynika, iż Spółka zobowiązała się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych, ale również fakt, że nie przekazano mu w powyższym zakresie żadnych konkretnych instrukcji, których przestrzeganie byłoby kontrolowane przez administratorów.
Z powyższego płynie wniosek, że przyczyn zaistnienia przedmiotowego naruszenia należy się doszukiwać także w nieprawidłowej organizacji i zarządzaniu procesem wdrażania nowego programu kadrowo-płacowego. Należy wskazać bowiem, że X czy Y na żadnym etapie wprowadzanych zmian nie prowadziły nadzoru nad tym, czy zmiany te faktycznie przebiegają prawidłowo i czy przetwarzane dane osobowe są zabezpieczone przed dostępem osób nieuprawnionych (nadzór taki stanowi środek organizacyjny służący zapewnieniu bezpieczeństwu przetwarzanych danych osobowych). Jak już wspomniano we wcześniejszej części niniejszego uzasadnienia, z art. 32 ust. 1 lit. d) rozporządzenia 2016/679 wynika obowiązek regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Dokonywanie przeglądów i aktualizacja wdrożonych rozwiązań są także wymogiem sformułowanym wprost w art. 24 ust. 1 rozporządzenia 2016/679, a także wynikającym z art. 25 ust. 1 rozporządzenia 2016/679, kreującego obowiązek zapewnienia ochrony prywatności w fazie projektowania (privacy by design) i nakładającego na administratora zobowiązanie do wdrożenia odpowiednich środków technicznych zarówno w fazie określania sposobów przetwarzania, jak i w fazie samego przetwarzania (przy czym należy ponownie podkreślić, że obowiązki określone w przepisach art. 24 ust. 1 i 25 ust. 1 rozporządzenia 2016/679 obciążają wyłącznie administratora). Wdrożenie przez administratora środków technicznych i organizacyjnych nie jest działaniem jednorazowym, ale powinno przybrać postać procesu, w ramach którego administrator dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia. Takiej ocenie powinny podlegać nie tylko środki techniczne, ale również organizacyjne, czyli wdrożone przez Administratora procedury dotyczące przetwarzania danych osobowych, w tym procedury dokonywania zmian w programach wykorzystywanych do przetwarzania danych osobowych. Regularna ocena ww. procedury, stosownie do wymogu wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, pozwoliłaby X i Y na weryfikację, czy procedury te nie wykazują braków, a jeśli nie, to czy taka procedura jest skuteczna, tzn. czy zapewnia, że podejmowane są właściwe działania w celu zapewnienia ochrony danych osobowych w trakcie procesu dokonywania zmian w programach wykorzystywanych do przetwarzania danych osobowych i czy jest w ogóle przestrzegana przez osoby odpowiedzialne za przeprowadzenie tych zmian.
W przedmiotowej sprawie, w ocenie Prezesa UODO, weryfikacja przez X i Y sposobu realizacji przez Podmiot Przetwarzający zmian dotyczących programu, w którym przetwarzane były dane osobowe, znacząco obniżyłoby ryzyko uzyskania dostępu przez osoby nieuprawnione do danych przetwarzanych w tym programie, a tym samym zminimalizowałoby ryzyko naruszenia praw lub wolności osób fizycznych, których dane są przez X i Y przetwarzane, gdyż do naruszenia ochrony danych osobowych doszło w wyniku oczywistego błędu polegającego na pozostawieniu Pendriva niezabezpieczonego przed dostępem osób nieupoważnionych do danych się na nim znajdujących, co powinno zostać wykryte w toku weryfikacji prawidłowości przeprowadzenia kolejnych faz procesu zmiany programu kadrowo-płacowego. Efektem powyższego zaniechania był brak działań X i Y w celu zapewnienia bezpieczeństwa danych osobowych m.in. swoich pracowników, do czego były zobowiązane zgodnie z wyżej przywołanymi przepisami rozporządzenia 2016/679, jako administratorzy tych danych. Podkreślić również należy, że z realizacji tych obowiązków nie zwalnia administratora fakt korzystania z usług podmiotu przetwarzającego. Obowiązki w tym zakresie spoczywają bowiem przede wszystkim na administratorze danych. Analizując działania (a właściwe brak działań X i Y w tym zakresie), można wysnuć wniosek, że poprzestały na zleceniu Podmiotowi Przetwarzającemu wdrożenia nowego programu kadrowo-płacowego, nie podejmując jakichkolwiek działań w zakresie zweryfikowania, czy w procesie dokonywania zmian zapewnione zostało bezpieczeństwo przetwarzania danych osobowych Podmiotów Danych X i Y.
Zebrany w sprawie materiał również potwierdza, że przed wszczęciem postępowania administracyjnego X i Y nie przeprowadzały w podmiocie przetwarzającym audytów, w tym inspekcji, w celu sprawdzenia, czy Spółka w sposób prawidłowy realizuje swoje obowiązki wynikające z rozporządzenia 2016/679 (w tym czy zapewnia stosowanie środków wymaganych na mocy art. 32 tego rozporządzenia). Możliwość przeprowadzenia takich audytów, w tym inspekcji, wynika z art. 28 ust. 3 lit. h) rozporządzenia 2016/679, stosownie do którego, umowa powierzenia przetwarzania danych osobowych ma stanowić, że podmiot przetwarzający udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich. Przepis ten daje zatem administratorowi pewne narzędzia, z których korzystanie może zapewnić, że proces przetwarzania danych podlegających powierzeniu będzie zgodny z przepisami rozporządzenia 2016/679, a administrator uniknie odpowiedzialności za ich naruszenie. Podkreślić należy, że przeprowadzanie przez administratora w podmiocie przetwarzającym audytów, w tym inspekcji, należy traktować jako jeden z istotniejszych środków bezpieczeństwa, jakie powinien zastosować administrator w celu prawidłowego wywiązania się ze swoich obowiązków wynikających z art. 32 ust. 1 rozporządzenia 2016/679. Administrator powinien bowiem w czasie korzystania przez niego z usług podmiotu przetwarzającego dysponować wiedzą, czy i w jaki sposób podmiot, któremu powierzył przetwarzanie danych osobowych, spełnia wymogi określone w rozporządzeniu 2016/679. Nie ulega wątpliwości, że najskuteczniejszym sposobem zapewnienia sobie tej wiedzy przez administratora jest dokonywanie w podmiocie przetwarzającym stosownych audytów, w tym inspekcji. Takich środków bezpieczeństwa X i Y jednak nie zastosowały, co w konsekwencji przyczyniło się do wystąpienia naruszenia ochrony danych osobowych. Co więcej, stosowanie ww. środków jest powiązane z obowiązkiem administratora danych wynikającym z art. 28 ust. 1 rozporządzenia 2016/679, co oznacza, iż jego wykonanie ma także potwierdzić, czy podmiot przetwarzający w dalszym ciągu daje gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą.
Brak realizacji audytów (przed audytem przeprowadzonym w następstwie zaistnienia przedmiotowego naruszenia ochrony danych osobowych), w tym inspekcji, w podmiocie przetwarzającym oznacza również naruszenie przepisu art. 25 ust. 1 rozporządzenia 2016/679. Przepis ten obliguje do wdrażania odpowiednich środków technicznych i organizacyjnych, nie tylko przy określaniu sposobów przetwarzania, ale także w czasie samego przetwarzania. Ciągłość wpisana w analizowany obowiązek może więc w praktyce przejawiać się m.in. w konieczności zapewnienia regularnego monitoringu zastosowanych zabezpieczeń oraz prowadzenia stałego nadzoru nad podmiotem przetwarzającym poprzez np. audyty i inspekcje, o których mowa w art. 28 ust. 3 lit. h) rozporządzenia 2016/679.
W ocenie Prezesa UODO zastosowane przez X i Y środki techniczne i organizacyjne jedynie w bardzo ograniczonym stopniu odpowiadały wymogom określonym w art. 32 rozporządzenia 2016/679, w związku z faktem, że nie wdrożyły stosownych procedur zapewniających bezpieczeństwo przetwarzanych danych w procesie wdrażania nowego programu kadrowo-płacowego, w którym te dane są przetwarzane, a także nie nadzorowały Podmiotu Przetwarzającego w zakresie prowadzonych działań mających na celu wdrożenie tego programu. Należy bowiem podkreślić, że zapewnienie przez administratora danych nadzoru i monitorowania prac rozwojowych nad systemami, zleconych podmiotom zewnętrznym, to jeden z podstawowych środków organizacyjnych, jaki powinien administrator skutecznie wdrożyć w celu zapewnienia bezpieczeństwa danych osobowych zgodnie z wymogami wynikającymi z rozporządzenia 2016/679.
W konsekwencji niestosowania przez X i Y powyższych zasad, możliwe do przewidzenia ryzyka nie zostały odpowiednio zminimalizowane i ograniczone w czasie przetwarzania.
Należy uznać, że stosowanie odpowiednich standardów bezpieczeństwa w zakresie wprowadzania zmian w systemach informatycznych służących do przetwarzania danych osobowych, w tym ich weryfikacja pod kątem bezpieczeństwa, a w szczególności spełniania wymogów wynikających z art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, a także skuteczna weryfikacja działań Podmiotu Przetwarzającego w tym zakresie, znacząco obniżyłoby ryzyko uzyskania dostępu przez osoby nieuprawnione do Danych X i Y, a tym samym zminimalizowałoby ryzyko naruszenia praw lub wolności osób fizycznych, których dane są przez X i Y przetwarzane, czyli udostępnienia danych nieuprawnionym odbiorcom.
W tym miejscu należy przywołać wyrok WSA w Warszawie z 26 sierpnia 2020 r., sygn. akt II SA/Wa 2826/19, w którym Sąd wskazał, że „Przyjęte środki mają mieć charakter skuteczny (…)” oraz „(…) czynności o charakterze techniczno – organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych”, a także wyrok tego sądu z 19 stycznia 2021 r., sygn. akt II SA/Wa 702/20, że „Dane osobowe powinny być bowiem przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu (motyw 39 rozporządzenia 2016/679)”.
Podsumowując, dokonane ustalenia nie dają podstawy do stwierdzenia, że stosowane przez X, Y i Podmiot Przetwarzający środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych osobowych były adekwatne do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania, co w konsekwencji nie zapewniało skutecznej realizacji zasad ochrony danych. W konsekwencji, w ocenie Prezesa UODO, zarówno X, Y, jak i Spółka, nie wdrożyły odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych, które przetwarzane były w ramach przenoszenia ich do nowo wdrożonego programu kadrowo-płacowego, co stanowi naruszenie art. 32 ust. 1 i 2 rozporządzenia 2016/679.
Dokonując niniejszego podsumowania, należy powtórzyć wywody zawarte we wcześniejszej części uzasadnienia, z których wynika, że obowiązki w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679 oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak aby spełniać wymogi tego rozporządzenia, zostały nałożone na administratora danych (i tylko na administratora danych) przepisami art. 24 ust. 1 i art. 25 ust. 1 rozporządzenia 2016/679. Wobec braku zastosowania przez X i Y adekwatnych środków bezpieczeństwa, o czym wyżej mowa, uznać należy, że X i Y naruszyły także i te przepisy rozporządzenia 2016/679. Konsekwencją zaś ich naruszenia jest konieczność stwierdzenia, że naruszona została również zasada poufności wyrażona w art. 5 ust. 1 lit. f) rozporządzenia 2016/679. Podkreślić należy, że prawidłowe i skuteczne zabezpieczenie danych podniesione zostało w rozporządzeniu 2016/679 do rangi ogólnej zasady, co świadczy o tym, że kwestia zapewnienia poufności danych powinna być traktowana w sposób szczególny i priorytetowy przez administratora danych. Tymczasem, jak już wykazano w uzasadnieniu niniejszej decyzji, zarówno X, Y, jak i Podmiot Przetwarzający, nie wdrożyli odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych, co doprowadziło do naruszenia przez X i Y ich poufności w związku z wystąpieniem naruszenia ochrony danych osobowych, czyli naruszenia zasady, o której mowa w art. 5 ust. 1 lit. f) rozporządzenia 2016/679. Jak wykazano w niniejszym uzasadnieniu, X i Y naruszyły również przepis art. 5 ust. 2 rozporządzenia 2016/679 (określający zasadę rozliczalności) oraz przepis art. 28 ust. 1 rozporządzenia 2016/679. Ponadto zawarta w dniu 29 grudnia 2020 r. przez Y z Podmiotem Przetwarzającym Umowa (…) nie zawierała wszystkich elementów określonych w art. 28 ust. 3 zdanie pierwsze rozporządzenia 2016/679, tj. nie określała właściwie rodzaju przetwarzanych danych. Tymczasem w Wytycznych 07/2020 wskazano, że (cyt.): „Chociaż elementy określone w art. 28 rozporządzenia stanowią jego podstawową treść, umowa powinna być dla administratora i podmiotu przetwarzającego sposobem na dalsze wyjaśnienie sposobu wdrożenia tych zasadniczych elementów za pomocą szczegółowych instrukcji”, a także że (cyt.): „W każdym razie umowa musi obejmować wszystkie elementy art. 28 ust. 3. Jednocześnie umowa powinna zawierać pewne elementy, które mogą pomóc podmiotowi przetwarzającemu w zrozumieniu zagrożeń dla praw i wolności osób, których dane dotyczą, wynikających z przetwarzania: ponieważ działalność jest wykonywana w imieniu administratora, często administrator ma większe zrozumienie zagrożeń, jakie niesie ze sobą przetwarzanie, ponieważ jest świadomy okoliczności, w których odbywa się przetwarzanie”. Umowa natomiast powinna zostać sporządzona pisemnie, co również zostało podkreślone w ww. Wytycznych (cyt.): „(…) niepisanych umów (niezależnie od stopnia ich szczegółowości lub skuteczności) nie można uznać za wystarczające do spełnienia wymogów określonych w art. 28 RODO”.
Uzasadniając wydaną decyzję należy się odnieść do wcześniej wzmiankowanych wniosków dowodowych złożonych na podstawie art. 78 § 1 w zw. z art. 75 § 1 KPA przez X w piśmie, które wpłynęło do tutejszego Urzędu w dniu 12 sierpnia 2021 r., tj.:
1) o przesłuchanie w charakterze świadka Znalazcy Pendriva na następujące fakty:
a) jakie były okoliczności znalezienia przedmiotowego Pendriva przez Znalazcę - w szczególności, czy Znalazca widział samo zdarzenie zgubienia Pendriva,
b) czy zawartość Pendriva była przez Znalazcę udostępniana, w tym w szczególności kopiowana w jakikolwiek sposób osobom trzecim, w tym czy w sensie fizycznym w okresie od znalezienia Pendriva do jego oddania uprawnionemu podmiotowi przekazywała jakiejkolwiek osobie trzeciej posiadanie tego nośnika;
(który to wniosek dowodowy został ponowiony w piśmie X z 28 września 2022 r.);
2) o przeprowadzenie dowodu z dziesięciu wskazanych dokumentów (w tym dwóch oświadczeń złożonych przez Znalazcę: w dniu 3 lutego i 28 czerwca 2021 r.).
Prezes UODO wziął pod uwagę treść wyżej wzmiankowanych dziesięciu dokumentów. W związku z faktem, że dwa z tych dokumentów stanowią oświadczenia Znalazcy odnoszące się do okoliczności wejścia przez niego w posiadanie Pendriva oraz tego, iż nie używał, nie kopiował, nie przekazywał ani nie ujawniał osobom trzecim znajdujących się na tym Pendrivie danych, Prezes UODO uznał wniosek dowodowy X z pkt 1) powyżej za niemający znaczenia dla prawidłowego ustalenia stanu faktycznego.
Zgodnie z art. 78 § 1 KPA, organ prowadzący postępowanie obowiązany jest uwzględnić żądanie dowodowe strony, jeżeli przedmiotem dowodu jest okoliczność mająca znaczenie dla sprawy. W doktrynie przyjmuje się, że ocena tego, czy przedmiotem dowodu jest okoliczność mająca znaczenie dla sprawy, czy nie, należy do organu, a nie do strony. Oznacza to, że organ prowadzący postępowanie nie jest związany żądaniami dowodowymi strony. Organ jest natomiast związany w tej mierze przepisami prawa materialnego, stanowiącymi podstawę rozstrzygnięcia[1]. Zatem to do organu będzie należało rozstrzygniecie, czy dopuścić dany dowód, czy też nie. Nie ulega wątpliwości, iż organ powinien najpierw rozważyć, czy dana okoliczność, dla której powołany został przez stronę środek dowodowy, wymaga udowodnienia.
Zgodnie z wyrokiem NSA z 4 sierpnia 2017 r. (sygn. akt I OSK 1607/16, LEX nr 2345355), w każdym postępowaniu organ ma obowiązek zgromadzenia dowodów mających znaczenie dla rozstrzygnięcia danej sprawy i poczynienia na tej podstawie niezbędnych ustaleń faktycznych. O tym, jakie ustalenia faktyczne są konieczne dla załatwienia sprawy, decydują jednak prawidłowo wyłożone przepisy prawa materialnego, a nie subiektywne przekonanie strony. Żaden organ prowadzący postępowanie nie ma obowiązku przeprowadzenia wszystkich dowodów wnioskowanych przez stronę. Wskazywanych przez nią środków dowodowych nie można pominąć tylko wtedy, gdy nie zostały wyjaśnione sporne fakty mające znaczenie dla rozstrzygnięcia sprawy. Powoduje to, że tylko nieustalenie okoliczności mających znaczenie dla sprawy można uznawać za naruszenie reguł procedowania, które mogłoby mieć wpływ na treść ustaleń faktycznych, a w konsekwencji na treść orzeczenia kończącego postępowanie w danej sprawie. Przewidziane w art. 78 KPA uprawnienie strony podlega ograniczeniom ze względu na celowość i szybkość postępowania. Organ może nie uwzględnić żądania przeprowadzenia dowodu, jeżeli ma to na celu przewleczenie sprawy (wyrok Naczelnego Sądu Administracyjnego z 29 listopada 2016 r., sygn. akt II GSK 3322/15, LEX nr 2230883).
Prezes UODO uznał wniosek dowodowy X o przesłuchanie w charakterze świadka Znalazcy Pendriva za niemający znaczenia dla sprawy, gdyż w jego ocenie zgromadzony w sprawie materiał dowodowy jest wystarczający do jej rozstrzygnięcia, a organ nie ma obowiązku uwzględniania wszystkich wniosków strony.
Na tym etapie postępowania organ nadzorczy nie stwierdził istnienia wątpliwości, które rozwiać miałyby zeznania złożone przez Znalazcę Pendriva, a ponadto uznał, że zgromadzony materiał dowodowy wystarcza do wydania decyzji administracyjnej (o czym zawiadomił X, Y i Spółkę pismami z 14 sierpnia 2024 r.).
Oceniając okoliczności przedmiotowego naruszenia ochrony danych osobowych, należy podkreślić, że stosując przepisy rozporządzenia 2016/679 należy mieć na uwadze, iż celem tego rozporządzenia (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów – nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy opracowywaniu technicznych i organizacyjnych środków bezpieczeństwa mających im zapobiegać – należy w pierwszej kolejności brać pod uwagę te wartości.
Mając na uwadze powyższe ustalenia, Prezes Urzędu Ochrony Danych Osobowych, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. i) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a)-h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 ust. 4 lit. a) i ust. 5 lit. a) rozporządzenia 2016/679, mając na względzie okoliczności ustalone w przedmiotowym postępowaniu stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na X, Y oraz na Podmiot Przetwarzający administracyjnych kar pieniężnych.
Zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 - 39 oraz 42 i 43 podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Art. 83 ust. 3 rozporządzenia 2016/679 natomiast stanowi, że jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie. Zgodnie z Wytycznymi 04/2022 Europejskiej Rady Ochrony Danych (dalej: „EROD”) w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO przyjętych 24 maja 2023 r. (zwanych dalej „Wytycznymi 04/2022”) termin „całkowita wysokość” oznacza, że przy ocenie wysokości kary pieniężnej należy wziąć pod uwagę wszystkie popełnione naruszenia, a sformułowanie „wysokość kary za najpoważniejsze naruszenie” odnosi się do ustawowych maksymalnych kwot kar pieniężnych (np. art. 83 ust. 4-6 RODO).
Natomiast zgodnie z art. 102 ust. 1 pkt 1 u.o.d.o., Prezes UODO może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 000 złotych, na jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1-12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2023 r. poz. 1270 ze zm.). Zarówno X, jak i Y stanowią podmioty, których dotyczy ten limit kar. Administracyjne kary pieniężne, o których mowa w ust. 1 i 2, Prezes Urzędu nakłada na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679 (art. 102 ust. 3 u.o.d.o.).
W niniejszej sprawie administracyjna kara pieniężna wobec X nałożona została za naruszenie art. 25 ust. 1, art. 28 ust. 1, art. 32 ust. 1 i 2 rozporządzenia 2016/679 na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a) rozporządzenia 2016/679, natomiast za naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679 – na podstawie art. 83 ust. 5 lit. a) tego rozporządzenia. Jednocześnie kara w wysokości 15.000,- zł nałożona na X łącznie za naruszenie wszystkich powyższych przepisów – stosownie do przepisu art. 83 ust. 3 rozporządzenia 2016/679 - nie przekracza wysokości kary za najpoważniejsze stwierdzone w niniejszej sprawie naruszenie, tj. naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679, które stosownie do art. 83 ust. 5 lit. a) rozporządzenia 2016/679 podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, ani nie przekracza limitu kar określonego w art. 102 ust. 1 pkt 1 u.o.d.o.
W niniejszej sprawie administracyjna kara pieniężna wobec Y nałożona została za naruszenie art. 25 ust. 1, art. 28 ust. 1 i 3, art. 32 ust. 1 i 2 rozporządzenia 2016/679 na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a) rozporządzenia 2016/679, natomiast za naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679 - na podstawie art. 83 ust. 5 lit. a) tego rozporządzenia. Jednocześnie kara w wysokości 20.000,- zł nałożona na Y łącznie za naruszenie wszystkich powyższych przepisów – stosownie do przepisu art. 83 ust. 3 rozporządzenia 2016/679 – nie przekracza wysokości kary za najpoważniejsze stwierdzone w niniejszej sprawie naruszenie, tj. naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679, które stosownie do art. 83 ust. 5 lit. a) rozporządzenia 2016/679 podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, ani nie przekracza limitu kar określonego w art. 102 ust. 1 pkt 1 u.o.d.o.
Administracyjna kara pieniężna nałożona na Podmiot Przetwarzający za naruszenie art. 32 ust. 1 i 2 oraz art. 32 ust. 1 i 2 w zw. z art. 28 ust. 3 lit. c) i f) rozporządzenia 2016/679 znajduje podstawę w art. 83 ust. 4 lit. a) rozporządzenia 2016/679.
Decydując o nałożeniu na X administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a-k rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, wpływające obciążająco i mające wpływ na wymiar nałożonej kary finansowej:
- Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
Przy wymierzaniu administracyjnej kary pieniężnej istotne znaczenie miała okoliczność, że naruszenie przepisów rozporządzenia 2016/679, nakładających na administratora obowiązki w zakresie zastosowania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzanym danym osobowym, miało wpływ na naruszenie poufności danych pięciuset czterdziestu dziewięciu Podmiotów Danych X. Stwierdzone w niniejszej sprawie naruszenie przepisów rozporządzenia 2016/679, skutkujące umożliwieniem osobom nieuprawnionym dostępu do ww. danych osobowych, ma znaczną wagę i poważny charakter, ponieważ może doprowadzić do szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone, a wysokiego prawdopodobieństwa ich wystąpienia nie można wykluczyć ze względu na brak zabezpieczeń Pendriva. Ponadto należy wziąć pod uwagę ryzyko wynikające z szerokiego zakresu danych objętych naruszeniem ochrony danych osobowych zaistniałym w niniejszej sprawie, stosunkowo dużą liczbę podmiotów danych, a także względnie dużą skalę i profesjonalny charakter przetwarzania danych (X, jako instytucja publiczna obdarzona zaufaniem obywateli, powinien gwarantować znajomość oraz respektować obowiązujące przepisy prawa - w tym przepisy z zakresu ochrony danych osobowych). Analizując przedmiotowy stan faktyczny, należy stwierdzić, że bezsprzecznie doszło w nim do utraty kontroli nad przetwarzanymi danymi osobowymi przez podmioty odpowiedzialne za zapewnienie odpowiedniego poziomu ich ochrony. Podkreślić też należy, że już samo naruszenie poufności danych stanowi również szkodę niemajątkową (krzywdę). Podmiot danych może bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową. Jak wskazał Sąd Okręgowy w Warszawie w wyroku z dnia 6 sierpnia 2020 r. sygn. akt XXV C 2596/19, obawa, a więc utrata bezpieczeństwa stanowi realną szkodę niemajątkową wiążącą się z obowiązkiem jej naprawienia. Z kolei Trybunał Sprawiedliwości UE w orzeczeniu z 14 grudnia 2023 r. w/s Natsionalna agentsia za prihodite (C-340/21) podkreślił, że „Art. 82 ust. 1 RODO należy interpretować w ten sposób, że obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić „szkodę niemajątkową” w rozumieniu tego przepisu”.
Ponadto należy podkreślić, że naruszenie przepisów rozporządzenia 2016/679 zaistniałe w przedmiotowej sytuacji miało szczególne okoliczności – godzi bowiem w interesy pracowników, których dane X powinien chronić. Rozważając aspekt celu przetwarzania, należy zaznaczyć, że przetwarzanie danych osobowych pracowników wymaga szczególnej staranności, przy czym występuje tu nierównowaga pomiędzy X (pracodawcą lub zleceniodawcą) a podmiotami danych (pracownikami czy zleceniobiorcami).
Należy przyjąć, że naruszenie przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1, art. 28 ust. 1 oraz 32 ust. 1 i 2 rozporządzenia 2016/679 trwało od 2020 r., gdy X podjął działania zmierzające do zmiany dotychczas stosowanego programu kadrowo-płacowego, które to działania obejmowały m.in.: wybór dostawcy nowego programu (który to proces powinien był uwzględniać weryfikację tego podmiotu pod kątem wymogów przewidzianych w art. 28 ust. 1 rozporządzenia 2016/679), podpisanie umowy powierzenia Danych X z Podmiotem Przetwarzającym oraz udostępnianie tych danych Spółce. Prezes UODO w przedmiotowej sprawie przyjął, że doszło do zakończenia naruszenia ww. przepisów rozporządzenia 2016/679 przez X, jako że proces wdrożenia nowego programu kadrowo-płacowego (wiążący się z przenoszeniem Danych X) został już zakończony w 2021 r., w którym to roku doszło również do weryfikacji (audytu) działań Podmiotu Przetwarzającego związanych z przetwarzaniem Danych X.
- Nieumyślny charakter naruszenia(art. 83 ust. 2 lit. b rozporządzenia 2016/679).Naruszenie przepisów przez X powstało na skutek niedochowania przez niego należytej staranności, a wręcz: rażącego niedbalstwa – udostępnienie Danych X nastąpiło poprzez ich replikację na niezabezpieczony przed dostępem osób nieuprawnionych Pendrive. Udostępnienie nastąpiło wbrew procedurom obowiązującym w X – niemniej jednak ponosi on jako administrator odpowiedzialność za stwierdzone nieprawidłowości w procesie przetwarzania danych. X, decydując się na zmianę programu kadrowo-płacowego, nie przeprowadził analizy ryzyka wiążącego się z przetwarzaniem danych przy pomocy przenośnych nośników danych poprzez ujęcie jej w postaci ściśle określonych, precyzyjnych formuł wyjaśniających i porządkujących przebieg tego procesu. X nie był zdolny wykazać, że wdrażając środki techniczne i organizacyjne mające zapewnić zgodność przetwarzania z rozporządzeniem 2016/679, zapewnił, by stopień bezpieczeństwa danych osobowych był odpowiedni. X nie udzielił wskazówek Podmiotowi Przetwarzającemu dotyczących tego, w jaki sposób mają zostać zabezpieczone replikowane dane osobowe, gdy odmówiono Pracownikowi Podmiotu Przetwarzającego dostępu do tych danych w formie zdalnej.
- Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Dane X, których dotyczy naruszenie przepisów rozporządzenia 2016/679 (w których to danych posiadanie wszedł Znalazca i potencjalnie również inne nieznane i nieuprawnione osoby trzecie), należą między innymi do szczególnych kategorii danych osobowych, o których mowa w art. 9 rozporządzenia 2016/679. Dane te miały szeroki zakres: imiona, nazwiska, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, dane dotyczące zarobków i/lub posiadanego majątku, nazwisko rodowe matki, seria i numer dowodu osobistego, numer telefonu, dane dotyczące zdrowia (dane dotyczące braku przeciwskazań do zatrudnienia, dane zawarte w orzeczeniach lekarskich medycyny pracy), a także inne dane: miejsce urodzenia, obywatelstwo, dane dotyczące ewidencji czasu pracy (w tym m.in. dane o urlopach, zwolnieniach lekarskich), informacje o szkoleniach BHP, sposób wypłaty (nazwa banku), informacje o wynagrodzeniu, dane dotyczące ukończonych szkół, historia zatrudnienia (dane zawarte w świadectwach pracy), imiona i nazwiska dzieci oraz ich daty urodzenia (a ponadto numery NIP oraz informacje zawarte w orzeczeniach o niepełnosprawności, na co X wskazywał w piśmie z 24 września 2021 r.). Tak szeroki zakres wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem. Należy podkreślić, iż w szczególności nieuprawnione ujawnienie takiej kategorii danych jak numer ewidencyjny PESEL (w połączeniu z imieniem i nazwiskiem), może realnie i negatywnie wpływać na ochronę praw lub wolności osób fizycznych. Numer ewidencyjny PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający m. in. datę urodzenia oraz oznaczenie płci, a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga. Ponadto objęcie krajowego numeru identyfikacyjnego naruszeniem ochrony danych osobowych zaistniałym w niniejszej sprawie pozwala na potraktowanie tej przesłanki jako obciążającej zgodnie z Wytycznymi 04/2022. Fakt, że udostępnione dane obejmowały również dane dotyczące zdrowia, dodatkowo podwyższa ryzyko naruszenia ochrony praw lub wolności osób fizycznych, których te dane dotyczą.
W Wytycznych 04/2022 wskazano: „Jeśli chodzi o wymóg uwzględnienia kategorii danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) [rozporządzenia 2016/679]), w [rozporządzeniu 2016/679] wyraźnie wskazano rodzaje danych, które podlegają szczególnej ochronie, a tym samym bardziej rygorystycznej reakcji przy nakładaniu kar pieniężnych. Dotyczy to co najmniej rodzajów danych objętych art. 9 i 10 [rozporządzenia 2016/679] oraz danych nieobjętych zakresem tych artykułów, których rozpowszechnianie natychmiast powoduje szkody lub dyskomfort osoby, której dane dotyczą (np. danych dotyczących lokalizacji, danych dotyczących komunikacji prywatnej, krajowych numerów identyfikacyjnych lub danych finansowych, takich jak zestawienia transakcji lub numery kart kredytowych). Ogólnie rzecz biorąc, im większej liczby takich kategorii danych dotyczy naruszenie lub im bardziej wrażliwe są dane, tym większa wagę organ nadzorczy może przypisać takiemu czynnikowi. Znaczenie ma również ilość danych dotyczących każdej osoby, której dane dotyczą, ponieważ wraz z ilością danych dotyczących każdej osoby, której dane dotyczą, wzrasta skala naruszenia prawa do prywatności i ochrony danych osobowych”.
Ustalając wysokość administracyjnej kary pieniężnej nałożonej na X, Prezes UODO uwzględnił jako okoliczności łagodzące następujące przesłanki:
- Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679) – w niniejszej sprawie, na podstawie zgromadzonego materiału dowodowego, organ nadzorczy nie stwierdził powstania szkód majątkowych po stronie osób dotkniętych naruszeniem (Podmiotów Danych X). Wskazać należy, że bezpośrednio po ujawnieniu naruszenia ochrony danych osobowych, jeszcze przed wszczęciem postępowania administracyjnego, zabezpieczono dane przed kolejnymi naruszeniami, tj. przed ich dalszym pozostawaniem w posiadaniu nieuprawnionej osoby, a także przeprowadzono stosowny audyt Podmiotu Przetwarzającego. Jak wyżej wskazano, już samo naruszenie poufności danych stanowi również szkodę niemajątkową (krzywdę), jednak podjęcie działań mających na celu zabezpieczenie danych przed pobraniem ich przez inne nieuprawnione podmioty należało ocenić jako okoliczność łagodzącą, ponieważ w ocenie Prezesa UODO zawężenie kręgu podmiotów mogących w sposób nieuprawniony pobrać Dane X należy uznać jako działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą.
- Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679) - X udzielał wyczerpujących wyjaśnień na wezwania organu nadzorczego oraz zaangażował się w działania naprawcze i prewencyjne (przeprowadzenie audytu i wprowadzenie stosownych zmian).
Na fakt zastosowania wobec X w niniejszej sprawie przez Prezesa UODO sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały wpływu inne, wskazane w art. 83 ust. 2 rozporządzenia 2016/679 okoliczności, to jest:
1. Stopień odpowiedzialności X z uwzględnieniem środków technicznych i organizacyjnych wdrożonych na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
Ustalenia dokonane przez Prezesa UODO pozwalają na stwierdzenie, że X nie realizował swoich obowiązków w zakresie nadzoru nad Podmiotem Przetwarzającym w trakcie realizacji działań zmierzających do zmiany programu kadrowo-płacowego (w zakresie ochrony Danych X), co w konsekwencji prowadziło do swobody w podejmowaniu ww. działań przez Podmiot Przetwarzający, tj. dokonywania prac mających na celu wdrożenie nowego programu kadrowo-płacowego bez prowadzenia bieżącej i powykonawczej kontroli prawidłowości tych działań oraz zabezpieczenia przetwarzanych danych osobowych przed dostępem osób nieuprawnionych. Brak jakiegokolwiek nadzoru nad procesem wdrażania zmian dotyczących programu, w którym przetwarzane były dane osobowe, skutkuje wysokim stopniem odpowiedzialności X za naruszenie poufności danych osobowych. Jednak wypełnianie przez X obowiązków z art. 25 i 32 rozporządzenia 2016/679 jest jednym z przedmiotów niniejszego postępowania i w okolicznościach rozważanego stanu faktycznego organ nadzorczy przyjął, że przesłanki tej nie potraktuje jako okoliczności obciążającej (z uwagi na fakt, że administracyjna kara pieniężna nakładana jest w analizowanej sprawie w związku z naruszeniem tych konkretnych przepisów rozporządzenia 2016/679).
2. Stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 (art. 83 ust. 2 lit. e rozporządzenia 2016/679) – Prezes UODO nie stwierdził jakichkolwiek, dokonanych przez X, wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. A ponieważ taki stan (przestrzeganie przepisów o ochronie danych osobowych) jest stanem naturalnym, wynikającym z ciążących na X obowiązków prawnych, nie może mieć on również wpływu łagodzącego na dokonaną przez Prezesa UODO ocenę naruszenia.
3. Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679) – Prezes UODO stwierdził naruszenie przepisów w wyniku zgłoszenia naruszenia ochrony danych osobowych dokonanego m.in. przez X, jednakże w związku z tym, że X dokonując tego zgłoszenia realizował jedynie ciążący na nim obowiązek prawny, brak jest podstaw do uznania, że okoliczność ta stanowi okoliczność łagodzącą. Zgodnie z Wytycznymi w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 Wp. 253 „Organ nadzorczy może dowiedzieć się o naruszeniu w wyniku postępowania, skarg, artykułów w prasie, anonimowych wskazówek lub powiadomienia przez administratora danych. Zgodnie z rozporządzeniem administrator ma obowiązek zawiadomić organ nadzorczy o naruszeniu ochrony danych osobowych. Zwykłe dopełnienie tego obowiązku przez administratora nie może być interpretowane jako czynnik osłabiający/łagodzący”. Podobnie do kwestii tej podchodzi EROD w Wytycznych 4/2020, w których wskazano, że w przypadku, gdy administrator podlega szczególnym obowiązkom w zakresie zgłaszania naruszeń ochrony danych (np. obowiązkowi określonemu w art. 33 rozporządzenia 2016/679) fakt dokonania tego zgłoszenia należy uznać za okoliczność neutralną.
4. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679) – przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec X w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym X nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
5. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679) – X nie stosuje instrumentów, o których mowa w art. 40 i art. 42 rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów i podmiotów przetwarzających, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść X. Na korzyść X natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.
6. Wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679). Prezes UODO nie stwierdził istnienia innych obciążających lub łagodzących czynników mających zastosowanie do okoliczności sprawy. Nie stwierdził również, żeby X w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej X. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez X takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla niego. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” - zaistniałe po stronie podmiotu dokonującego naruszenia.
Prezes UODO, wszechstronnie rozpatrując sprawę, nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej wobec X administracyjnej kary pieniężnej, które powinny zostać ujęte w ramach rozpatrywania przesłanki z art. 83 ust. 2 lit. k) rozporządzenia 2016/679.
W ocenie Prezesa UODO nałożona na X administracyjna kara pieniężna w wysokości 15.000,- PLN (słownie: piętnaście tysięcy złotych) spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.
W ocenie Prezesa UODO nałożona na X kara jest proporcjonalna zarówno do wagi naruszenia (skutkującego naruszeniem jednej z podstawowych zasad, na których oparty jest w rozporządzeniu 2016/679 system ochrony danych osobowych – zasady poufności danych), jak i w odniesieniu do wielkości tego administratora.
Jednocześnie, w ocenie Prezesa UODO, kara w tej wysokości będzie skuteczna (osiągnie cel jakim jest ukaranie X za poważne naruszenie o poważnych skutkach) i odstraszająca na przyszłość (spowoduje, że X celem uniknięcia kolejnych sankcji zwróci należytą uwagę na przetwarzanie danych osobowych za pośrednictwem i przy pomocy Podmiotu Przetwarzającego, wykorzystując przy tym uprawnienia, które przysługują mu na mocy umowy powierzenia przetwarzania danych). Kara w niższej wysokości dla tego podmiotu mogła by być w praktyce niezauważalna i mogłaby zostawić pole do kalkulowania, czy dla tej organizacji koszty administracyjnych kar pieniężnych nie byłyby niższe niż nakłady na ochronę danych osobowych.
Wobec powyższego Prezes UODO wskazuje ponadto, że nałożona na X administracyjna kara pieniężna spełnia w szczególności kryterium proporcjonalności kary w rozumieniu wypracowanym w orzecznictwie TSUE (na gruncie prawa konkurencji i w stosunku do decyzji Komisji Europejskiej, ale mającym zdaniem Prezesa UODO ogólniejsze zastosowanie): „[…] zasada proporcjonalności wymaga, aby akty wydawane przez instytucje Unii nie przekraczały granic tego, co jest stosowne i konieczne do realizacji uzasadnionych celów, którym służą dane przepisy, przy czym tam, gdzie istnieje możliwość wyboru spośród większej liczby odpowiednich rozwiązań, należy stosować najmniej dotkliwe, a wynikające z tego niedogodności nie mogą być nadmierne w stosunku do zamierzonych celów […] (zob. wyrok z 12 grudnia 2012 r., Electrabel / Komisja, T‑332/09, EU:T:2012:672, pkt 279 i przytoczone tam orzecznictwo)” (zob. wyrok z 26 października 2017 r. w sprawie T-704/14 Marine Harvest ASA przeciwko KE, pkt 580).
W związku z powyższym wskazać należy, że kara pieniężna w wysokości 15.000,- PLN (słownie: piętnaście tysięcy złotych) nałożona na X, spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonego naruszenia w kontekście podstawowego celu rozporządzenia 2016/679, tj. ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych. Jednocześnie wysokość administracyjnej kary pieniężnej nałożonej niniejszą decyzją na X będący jednostką sektora finansów publicznych (wskazaną w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych) mieści się w określonym w art. 102 ust. 1 u.o.d.o. limicie 100 000 złotych.
Decydując o nałożeniu na Y administracyjnej kary pieniężnej Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a-k rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, wpływające obciążająco i mające wpływ na wymiar nałożonej kary finansowej:
1. Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
Przy wymierzaniu administracyjnej kary pieniężnej istotne znaczenie miała okoliczność, że naruszenie przepisów rozporządzenia 2016/679, nakładających na administratora obowiązki w zakresie zastosowania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzanym danym osobowym, miało wpływ na naruszenie poufności danych około tysiąca Podmiotów Danych Y. Stwierdzone w niniejszej sprawie naruszenie przepisów rozporządzenia 2016/679, skutkujące umożliwieniem osobom nieuprawnionym dostępu do ww. danych osobowych, ma znaczną wagę i poważny charakter, ponieważ może doprowadzić do szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone, a wysokiego prawdopodobieństwa ich wystąpienia nie można wykluczyć ze względu na brak zabezpieczeń Pendriva. Ponadto należy wziąć pod uwagę ryzyko wynikające z szerokiego zakresu danych objętych naruszeniem ochrony danych osobowych zaistniałym w niniejszej sprawie, stosunkowo dużą liczbę podmiotów danych, a także względnie dużą skalę i profesjonalny charakter przetwarzania danych (Y, jako instytucja publiczna obdarzona zaufaniem obywateli, powinien gwarantować znajomość oraz respektować obowiązujące przepisy prawa - w tym przepisy z zakresu ochrony danych osobowych). Analizując przedmiotowy stan faktyczny, należy stwierdzić, że bezsprzecznie doszło w nim do utraty kontroli nad przetwarzanymi danymi osobowymi przez podmioty odpowiedzialne za zapewnienie odpowiedniego poziomu ich ochrony. Podkreślić też należy, że już samo naruszenie poufności danych stanowi również szkodę niemajątkową (krzywdę). Podmiot danych może bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową. Jak wskazał Sąd Okręgowy w Warszawie w wyroku z 6 sierpnia 2020 r., sygn. akt XXV C 2596/19, obawa, a więc utrata bezpieczeństwa stanowi realną szkodę niemajątkową wiążącą się z obowiązkiem jej naprawienia. Z kolei Trybunał Sprawiedliwości UE w orzeczeniu z 14 grudnia 2023 r. w/s Natsionalna agentsia za prihodite (C-340/21) podkreślił, że „Art. 82 ust. 1 RODO należy interpretować w ten sposób, że obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić „szkodę niemajątkową” w rozumieniu tego przepisu”.
Ponadto należy podkreślić, że naruszenie przepisów rozporządzenia 2016/679 zaistniałe w przedmiotowej sytuacji miało szczególne okoliczności – godzi bowiem w interesy pracowników, których dane Y powinien chronić. Rozważając aspekt celu przetwarzania, należy zaznaczyć, że przetwarzanie danych osobowych pracowników wymaga szczególnej staranności, przy czym występuje tu nierównowaga pomiędzy Y (pracodawcą) a podmiotami danych (pracownikami czy współpracownikami).
Należy przyjąć, że naruszenie przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1, art. 28 ust. 1 i 3 oraz 32 ust. 1 i 2 rozporządzenia 2016/679 trwało od 2020 r., gdy Y podjął działania zmierzające do zmiany dotychczas stosowanego programu kadrowo-płacowego, które to działania obejmowały m.in.: wybór dostawcy nowego programu (który to proces powinien był uwzględniać weryfikację tego podmiotu pod kątem wymogów przewidzianych w art. 28 ust. 1 rozporządzenia 2016/679), podpisanie umowy powierzenia Danych Y z Podmiotem Przetwarzającym (przy czym umowa (…) zawarta w dniu 29 grudnia 2020 r. nie zawierała wszystkich właściwie określonych elementów wymaganych zgodnie z art. 28 ust. 3 rozporządzenia 2016/679) oraz udostępnianie tych danych Spółce. Prezes UODO w przedmiotowej sprawie przyjął, że doszło do zakończenia naruszenia ww. przepisów rozporządzenia 2016/679 przez Y, m.in. jako że proces wdrożenia nowego programu kadrowo-płacowego (wiążący się z przenoszeniem Danych Y) został już zakończony w 2021 r. (a nową umowę (…) zawarto w dniu 8 lutego 2021 r. i została ona - zgodnie z oświadczeniem Y - skorygowana).
2. Nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).Naruszenie przepisów przez Y powstało na skutek niedochowania przez niego należytej staranności, a wręcz: rażącego niedbalstwa – udostępnienie danych Y nastąpiło poprzez ich replikację na niezabezpieczony przed dostępem osób nieuprawnionych Pendrive. Udostępnienie nastąpiło wbrew procedurom obowiązującym w Y - niemniej jednak ponosi on jako administrator odpowiedzialność za stwierdzone nieprawidłowości w procesie przetwarzania danych. Y, decydując się na zmianę programu kadrowo-płacowego, nie przeprowadził analizy ryzyka wiążącego się z przetwarzaniem danych przy pomocy przenośnych nośników danych poprzez ujęcie jej w postaci ściśle określonych, precyzyjnych formuł wyjaśniających i porządkujących przebieg tego procesu. Y nie był zdolny wykazać, że wdrażając środki techniczne i organizacyjne mające zapewnić zgodność przetwarzania z rozporządzeniem 2016/679, zapewnił, by stopień bezpieczeństwa danych osobowych był odpowiedni. Y nie udzielił wskazówek Podmiotowi Przetwarzającemu dotyczących tego, w jaki sposób mają zostać zabezpieczone replikowane dane osobowe, gdy odmówiono Pracownikowi Podmiotu Przetwarzającego dostępu do tych danych w formie zdalnej. Co więcej, należy podkreślić, że administrator ten nie zapoznał nawet Pracownika X, który został w Y zatrudniony na podstawie umowy zlecenia, z obowiązującymi w Y procedurami dotyczącymi ochrony danych osobowych, a także dopuścił do replikacji Danych Y na Pendrive przez Podmiot Przetwarzający działający na podstawie umowy powierzenia niezawierającej prawidłowo określonych elementów wskazanych w art. 28 ust. 3 rozporządzenia 2016/679.
3. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Dane Y, których dotyczy naruszenie przepisów rozporządzenia 2016/679 (w których to danych posiadanie wszedł Znalazca i potencjalnie również inne nieznane i nieuprawnione osoby trzecie) miały szeroki zakres: imiona, nazwiska, imiona rodziców, daty urodzenia, numery rachunków bankowych, adresy zamieszkania lub pobytu, numery ewidencyjne PESEL, adresy e-mail, dane dotyczące zarobków i/lub posiadanego majątku, nazwiska rodowe matki, serie i numery dowodów osobistych oraz numery telefonu. Tak szeroki zakres wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem. Należy podkreślić, iż w szczególności nieuprawnione ujawnienie takiej kategorii danych jak numer ewidencyjny PESEL (w połączeniu z imieniem i nazwiskiem), może realnie i negatywnie wpływać na ochronę praw lub wolności osób fizycznych. Numer ewidencyjny PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający m. in. datę urodzenia oraz oznaczenie płci, a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga. Ponadto objęcie krajowego numeru identyfikacyjnego naruszeniem ochrony danych osobowych zaistniałym w niniejszej sprawie pozwala na potraktowanie tej przesłanki jako obciążającej zgodnie z Wytycznymi 04/2022.
W Wytycznych 04/2022 wskazano: „Jeśli chodzi o wymóg uwzględnienia kategorii danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) [rozporządzenia 2016/679]), w [rozporządzeniu 2016/679] wyraźnie wskazano rodzaje danych, które podlegają szczególnej ochronie, a tym samym bardziej rygorystycznej reakcji przy nakładaniu kar pieniężnych. Dotyczy to co najmniej rodzajów danych objętych art. 9 i 10 [rozporządzenia 2016/679] oraz danych nieobjętych zakresem tych artykułów, których rozpowszechnianie natychmiast powoduje szkody lub dyskomfort osoby, której dane dotyczą (np. danych dotyczących lokalizacji, danych dotyczących komunikacji prywatnej, krajowych numerów identyfikacyjnych lub danych finansowych, takich jak zestawienia transakcji lub numery kart kredytowych). Ogólnie rzecz biorąc, im większej liczby takich kategorii danych dotyczy naruszenie lub im bardziej wrażliwe są dane, tym większa wagę organ nadzorczy może przypisać takiemu czynnikowi. Znaczenie ma również ilość danych dotyczących każdej osoby, której dane dotyczą, ponieważ wraz z ilością danych dotyczących każdej osoby, której dane dotyczą, wzrasta skala naruszenia prawa do prywatności i ochrony danych osobowych”.
Ustalając wysokość administracyjnej kary pieniężnej nałożonej na Y, Prezes UODO uwzględnił jako okoliczności łagodzące następujące przesłanki:
1. Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679) – w niniejszej sprawie, na podstawie zgromadzonego materiału dowodowego, organ nadzorczy nie stwierdził powstania szkód majątkowych po stronie osób dotkniętych naruszeniem (Podmiotów Danych Y). Wskazać należy, że bezpośrednio po ujawnieniu naruszenia ochrony danych osobowych, jeszcze przed wszczęciem postępowania administracyjnego, zabezpieczono dane przed kolejnymi naruszeniami, tj. przed ich dalszym pozostawaniem w posiadaniu nieuprawnionej osoby. Jak wyżej wskazano, już samo naruszenie poufności danych stanowi również szkodę niemajątkową (krzywdę), jednak podjęcie działań mających na celu zabezpieczenie danych przed pobraniem ich przez inne nieuprawnione podmioty należało ocenić jako okoliczność łagodzącą, ponieważ w ocenie Prezesa UODO zawężenie kręgu podmiotów mogących w sposób nieuprawniony pobrać Dane Y należy uznać jako działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą.
2. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679) – Y udzielał wyczerpujących wyjaśnień na wezwania organu nadzorczego oraz zaangażował się w działania naprawcze i prewencyjne (wprowadzenie stosownych zmian).
Na fakt zastosowania wobec Y w niniejszej sprawie przez Prezesa UODO sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały wpływu inne, wskazane w art. 83 ust. 2 rozporządzenia 2016/679 okoliczności, to jest:
1. Stopień odpowiedzialności Y z uwzględnieniem środków technicznych i organizacyjnych wdrożonych na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
Ustalenia dokonane przez Prezesa UODO pozwalają na stwierdzenie, że Y nie realizował swoich obowiązków w zakresie nadzoru nad Podmiotem Przetwarzającym w trakcie realizacji działań zmierzających do zmiany programu kadrowo-płacowego (w zakresie ochrony Danych Y), co w konsekwencji prowadziło do swobody w podejmowaniu ww. działań przez Podmiot Przetwarzający, tj. dokonywania prac mających na celu wdrożenie nowego programu kadrowo-płacowego bez prowadzenia bieżącej i powykonawczej kontroli prawidłowości tych działań oraz zabezpieczenia przetwarzanych danych osobowych przed dostępem osób nieuprawnionych. Brak jakiegokolwiek nadzoru nad procesem wdrażania zmian dotyczących programu, w którym przetwarzane były dane osobowe, skutkuje wysokim stopniem odpowiedzialności Y za naruszenie poufności danych osobowych. Jednak wypełnianie przez Y obowiązków z art. 25 i 32 rozporządzenia 2016/679 jest jednym z przedmiotów niniejszego postępowania i w okolicznościach rozważanego stanu faktycznego organ nadzorczy przyjął, że przesłanki tej nie potraktuje jako okoliczności obciążającej (z uwagi na fakt, że administracyjna kara pieniężna nakładana jest w analizowanej sprawie w związku z naruszeniem tych konkretnych przepisów rozporządzenia 2016/679).
2. Stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 (art. 83 ust. 2 lit. e rozporządzenia 2016/679) – Prezes UODO nie stwierdził jakichkolwiek, dokonanych przez Y, wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. A ponieważ taki stan (przestrzeganie przepisów o ochronie danych osobowych) jest stanem naturalnym, wynikającym z ciążących na Y obowiązków prawnych, nie może mieć on również wpływu łagodzącego na dokonaną przez Prezesa UODO ocenę naruszenia.
3. Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679) – Prezes UODO stwierdził naruszenie przepisów w wyniku zgłoszenia naruszenia ochrony danych osobowych dokonanego m.in. przez Y, jednakże w związku z tym, że Y dokonując tego zgłoszenia realizował jedynie ciążący na nim obowiązek prawny, brak jest podstaw do uznania, że okoliczność ta stanowi okoliczność łagodzącą. Zgodnie z Wytycznymi w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 Wp. 253 „Organ nadzorczy może dowiedzieć się o naruszeniu w wyniku postępowania, skarg, artykułów w prasie, anonimowych wskazówek lub powiadomienia przez administratora danych. Zgodnie z rozporządzeniem administrator ma obowiązek zawiadomić organ nadzorczy o naruszeniu ochrony danych osobowych. Zwykłe dopełnienie tego obowiązku przez administratora nie może być interpretowane jako czynnik osłabiający/łagodzący”. Podobnie do kwestii tej podchodzi EROD w Wytycznych 4/2020, w których wskazano, że w przypadku, gdy administrator podlega szczególnym obowiązkom w zakresie zgłaszania naruszeń ochrony danych (np. obowiązkowi określonemu w art. 33 rozporządzenia 2016/679) fakt dokonania tego zgłoszenia należy uznać za okoliczność neutralną.
4. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679) - Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Y w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Y nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
5. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679) – Y nie stosuje instrumentów, o których mowa w art. 40 i art. 42 rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów i podmiotów przetwarzających, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Y. Na korzyść Y natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.
6. Wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679). Prezes UODO nie stwierdził istnienia innych obciążających lub łagodzących czynników mających zastosowanie do okoliczności sprawy. Nie stwierdził również, żeby Y w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Y. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez Y takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla niego. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.
Prezes UODO, wszechstronnie rozpatrując sprawę, nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej wobec Y administracyjnej kary pieniężnej, które powinny zostać ujęte w ramach rozpatrywania przesłanki z art. 83 ust. 2 lit. k) rozporządzenia 2016/679.
W ocenie Prezesa UODO nałożona na Y administracyjna kara pieniężna w wysokości 20.000,- PLN (słownie: dwadzieścia tysięcy złotych) spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.
W ocenie Prezesa UODO nałożona na Y kara jest proporcjonalna zarówno do wagi naruszenia (skutkującego naruszeniem jednej z podstawowych zasad, na których oparty jest w rozporządzeniu 2016/679 system ochrony danych osobowych – zasady poufności danych), jak i do wielkości tego administratora. Jednocześnie jej wysokość uwzględnia m.in. fakt, że w przypadku Y doszło do naruszenia przepisów w szerszym zakresie niż w przypadku X poprzez powierzenie przetwarzania danych osobowych Spółce na podstawie umowy niezawierającej wszystkich elementów wymaganych zgodnie z art. 28 ust. 3 rozporządzenia 2016/679.
Jednocześnie, w ocenie Prezesa UODO, kara w tej wysokości będzie skuteczna (osiągnie cel jakim jest ukaranie Y za poważne naruszenie o poważnych skutkach) i odstraszająca na przyszłość (spowoduje, że Y celem uniknięcia kolejnych sankcji zwróci należytą uwagę na przetwarzanie danych osobowych za pośrednictwem i przy pomocy Podmiotu Przetwarzającego, wykorzystując przy tym uprawnienia, które przysługują mu na mocy umowy powierzenia przetwarzania danych). Kara w niższej wysokości dla tego podmiotu mogła by być w praktyce niezauważalna i mogłaby zostawić pole do kalkulowania czy dla tej organizacji koszty administracyjnych kar pieniężnych nie byłyby niższe niż nakłady na ochronę danych osobowych.
Wobec powyższego Prezes UODO wskazuje ponadto, że nałożona na Y administracyjna kara pieniężna spełnia w szczególności kryterium proporcjonalności kary w rozumieniu wypracowanym w orzecznictwie TSUE (na gruncie prawa konkurencji i w stosunku do decyzji Komisji Europejskiej, ale mającym zdaniem Prezesa UODO ogólniejsze zastosowanie): „[…] zasada proporcjonalności wymaga, aby akty wydawane przez instytucje Unii nie przekraczały granic tego, co jest stosowne i konieczne do realizacji uzasadnionych celów, którym służą dane przepisy, przy czym tam, gdzie istnieje możliwość wyboru spośród większej liczby odpowiednich rozwiązań, należy stosować najmniej dotkliwe, a wynikające z tego niedogodności nie mogą być nadmierne w stosunku do zamierzonych celów […] (zob. wyrok z dnia 12 grudnia 2012 r., Electrabel / Komisja, T‑332/09, EU:T:2012:672, pkt 279 i przytoczone tam orzecznictwo)” (zob. wyrok z 26 października 2017 r. w sprawie T-704/14 Marine Harvest ASA przeciwko KE, ust. 580).
W związku z powyższym wskazać należy, że kara pieniężna w wysokości 20.000,- PLN (słownie: dwadzieścia tysięcy złotych) nałożona na Y, spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonego naruszenia w kontekście podstawowego celu rozporządzenia 2016/679 – ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych. Jednocześnie wysokość administracyjnej kary pieniężnej nałożonej niniejszą decyzją na Y będący jednostką sektora finansów publicznych (wskazaną w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych) mieści się w określonym w art. 102 ust. 1 u.o.d.o. limicie 100 000 złotych.
Decydując o nałożeniu na Spółkę administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a-k rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, wpływające obciążająco i mające wpływ na wymiar nałożonej kary finansowej:
1. Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
Przy wymierzaniu administracyjnej kary pieniężnej istotne znaczenie miała okoliczność, że naruszenie przepisów rozporządzenia 2016/679, nakładających na Podmiot Przetwarzający obowiązki w zakresie zastosowania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzanym danym osobowym, miało wpływ na naruszenie poufności danych łącznie około tysiąca pięciuset osób (Podmiotów Danych X i Y). Naruszenie wynikało z niezastosowania przez Podmiot Przetwarzający podstawowych zasad bezpieczeństwa polegających na zabezpieczeniu danych osobowych przed dostępem osób nieuprawnionych. Podmiot Przetwarzający świadcząc profesjonalne usługi m.in. w zakresie wdrażania programu kadrowo-płacowego oraz posiadając odpowiednią wiedzę w tym zakresie nie zastosował zasad bezpieczeństwa m.in. nie weryfikując prawidłowości przebiegu realizowanych procesów (nie sprawdzono, czy zbędne dane zostały usunięte z Pendriva, gdy zostały zgrane na dysk twardy komputera w siedzibie Spółki). Stwierdzone w niniejszej sprawie naruszenie ochrony danych osobowych, polegające na umożliwieniu osobom nieuprawnionym dostępu do danych osobowych ma znaczną wagę i poważny charakter, ponieważ może doprowadzić do szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone, a wysokiego prawdopodobieństwa ich wystąpienia nie można wykluczyć ze względu na brak zabezpieczeń Pendriva. Ponadto należy wziąć pod uwagę ryzyko wynikające z szerokiego zakresu danych objętych naruszeniem ochrony danych osobowych zaistniałym w niniejszej sprawie, stosunkowo dużą liczbę podmiotów danych, a także względnie dużą skalę i profesjonalny charakter przetwarzania danych. Analizując przedmiotowy stan faktyczny, należy stwierdzić, że bezsprzecznie doszło w nim do utraty kontroli nad przetwarzanymi danymi osobowymi przez podmioty odpowiedzialne za zapewnienie odpowiedniego poziomu ich ochrony. Podkreślić też należy, że już samo naruszenie poufności danych stanowi również szkodę niemajątkową (krzywdę). Podmiot danych może bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową. Jak wskazał Sąd Okręgowy w Warszawie w wyroku z 6 sierpnia 2020 r. sygn. akt XXV C 2596/19, obawa, a więc utrata bezpieczeństwa stanowi realną szkodę niemajątkową wiążącą się z obowiązkiem jej naprawienia. Z kolei Trybunał Sprawiedliwości UE w orzeczeniu z 14 grudnia 2023 r. w/s Natsionalna agentsia za prihodite (C-340/21) podkreślił, że „Art. 82 ust. 1 RODO należy interpretować w ten sposób, że obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić „szkodę niemajątkową” w rozumieniu tego przepisu”.
Należy przyjąć, że naruszenie przepisów art. 32 ust. 1 i 2 oraz art. 32 ust. 1 i 2 w zw. z art. 28 ust. 3 lit. c) i f) rozporządzenia 2016/679 trwało od 2020 r., gdy Podmiot Przetwarzający podjął działania zmierzające do zmiany dotychczas stosowanego w X i Y programu kadrowo-płacowego, które to działania obejmowały m.in. przetwarzanie powierzonych Danych X i Y. Prezes UODO w przedmiotowej sprawie przyjął, że doszło do zakończenia naruszenia ww. przepisów rozporządzenia 2016/679 przez Podmiot Przetwarzający, jako że proces wdrożenia nowych programów kadrowo-płacowych (wiążący się z przenoszeniem Danych X i Y) został już zakończony w 2021 r.
2. Nieumyślny charakter naruszenia(art. 83 ust. 2 lit. b rozporządzenia 2016/679).Naruszenie przepisów przez Spółkę powstało na skutek niedochowania przez nią należytej staranności, a wręcz: rażącego niedbalstwa. Spółka jako podmiot przetwarzający ponosi odpowiedzialność za stwierdzone nieprawidłowości w procesie przetwarzania danych - dla Podmiotu Przetwarzającego oczywistym musiało być to, że w analizowanym stanie faktycznym doszło do udostępnienia danych osobowych w sposób niezgodny ze standardową praktyką ich uzyskiwania przyjętą w Spółce (na dzień replikacji danych na Pendriva, która została opisana w pkt 16 ppkt 2 na str. 12 niniejszej decyzji). Przede wszystkim wobec nieprzeprowadzenia analizy ryzyka wiążącego się z przetwarzaniem danych przy pomocy przenośnych nośników danych poprzez ujęcie jej w postaci ściśle określonych, precyzyjnych formuł wyjaśniających i porządkujących przebieg tego procesu, Spółka nie była zdolna wykazać, że wdrażając środki techniczne i organizacyjne mające zapewnić zgodność przetwarzania z rozporządzeniem 2016/679, zapewniła, by stopień bezpieczeństwa danych osobowych był odpowiedni.
3. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Dane osobowe, których dotyczy naruszenie przepisów rozporządzenia 2016/679 (w których to danych posiadanie wszedł Znalazca i potencjalnie również inne nieznane i nieuprawnione osoby trzecie), należą między innymi do szczególnych kategorii danych osobowych, o których mowa w art. 9 rozporządzenia 2016/679 – dotyczących Podmiotów Danych X. Jednocześnie ich szeroki zakres (wskazany przy opisie Danych X i Y) wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem. Należy podkreślić, iż w szczególności nieuprawnione ujawnienie takiej kategorii danych jak numer ewidencyjny PESEL (w połączeniu z imieniem i nazwiskiem), może realnie i negatywnie wpływać na ochronę praw lub wolności osób fizycznych. Numer ewidencyjny PESEL czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający m. in. datę urodzenia oraz oznaczenie płci, a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga. Ponadto, objęcie krajowego numeru identyfikacyjnego naruszeniem ochrony danych osobowych zaistniałym w niniejszej sprawie pozwala na potraktowanie tej przesłanki jako obciążającej zgodnie z Wytycznymi 04/2022. Fakt, że udostępnione Dane X obejmowały również dane dotyczące zdrowia, dodatkowo podwyższa ryzyko naruszenia ochrony praw lub wolności osób fizycznych, których te dane dotyczą.
W Wytycznych 04/2022 wskazano: „Jeśli chodzi o wymóg uwzględnienia kategorii danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) [rozporządzenia 2016/679]), w [rozporządzeniu 2016/679] wyraźnie wskazano rodzaje danych, które podlegają szczególnej ochronie, a tym samym bardziej rygorystycznej reakcji przy nakładaniu kar pieniężnych. Dotyczy to co najmniej rodzajów danych objętych art. 9 i 10 [rozporządzenia 2016/679] oraz danych nieobjętych zakresem tych artykułów, których rozpowszechnianie natychmiast powoduje szkody lub dyskomfort osoby, której dane dotyczą (np. danych dotyczących lokalizacji, danych dotyczących komunikacji prywatnej, krajowych numerów identyfikacyjnych lub danych finansowych, takich jak zestawienia transakcji lub numery kart kredytowych). Ogólnie rzecz biorąc, im większej liczby takich kategorii danych dotyczy naruszenie lub im bardziej wrażliwe są dane, tym większa wagę organ nadzorczy może przypisać takiemu czynnikowi. Znaczenie ma również ilość danych dotyczących każdej osoby, której dane dotyczą, ponieważ wraz z ilością danych dotyczących każdej osoby, której dane dotyczą, wzrasta skala naruszenia prawa do prywatności i ochrony danych osobowych”.
4. Wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy (art. 83 ust. 2 lit. k rozporządzenia 2016/679)
Rozpatrując tę przesłankę należy wziąć pod uwagę, że Spółka została dwukrotnie wezwana do udzielenia wyjaśnień w terminie 3 dni od daty doręczenia pisma (przy czym korespondencja została odebrana przez Spółkę w dniu 13 listopada 2023 r. oraz 16 stycznia 2024 r.), a udzieliła odpowiedzi dopiero pismem z dnia 19 lutego 2024 r. Nadto, Prezes UODO zwrócił się do Spółki o przedstawienie (w terminie 30 dni od otrzymania żądania) rocznego sprawozdania finansowego za rok 2023, a w razie jego braku: oświadczenia dotyczącego całkowitego rocznego obrotu za rok 2023 oraz rocznego sprawozdania finansowego za rok 2022. Wezwanie to zostało odebrane przez Spółkę w dniu 14 lutego 2024 r., lecz informacje te nie zostały udzielone organowi nadzorczemu przez Spółkę. Stąd ponowiono wezwanie 24 kwietnia 2024 r., które zostało doręczone 29 kwietnia 2024 r. Sprawozdanie finansowe Spółki zostało przedstawione dopiero pismem z 10 czerwca 2024 r.
Ustalając wysokość administracyjnej kary pieniężnej nałożonej na Spółkę, Prezes UODO uwzględnił jako okoliczności łagodzące przesłanki:
1. Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).
W niniejszej sprawie, na podstawie zgromadzonego materiału dowodowego, organ nadzorczy nie stwierdził powstania szkód majątkowych po stronie osób dotkniętych naruszeniem, należy jednak wskazać, że bezpośrednio po ujawnieniu naruszenia ochrony danych osobowych, jeszcze przed wszczęciem postępowania administracyjnego, Podmiot Przetwarzający podjął czynności, w wyniku których szybko zabezpieczono dane przed naruszeniami, tj. przed ich dalszym pozostawaniem w posiadaniu nieuprawnionej osoby. Jak wyżej wskazano, już samo naruszenie poufności danych stanowi również szkodę niemajątkową (krzywdę), jednak podjęcie szybkich działań mających na celu zabezpieczenie danych przed pobraniem ich przez inne nieuprawnione podmioty należało ocenić jako okoliczność łagodzącą, ponieważ w ocenie Prezesa UODO zawężenie kręgu podmiotów mogących w sposób nieuprawniony pobrać Dane X i Y należy uznać jako działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą.
2. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679).
Przed wszczęciem postępowania podjęte zostały przez Spółkę samodzielne działania mające na celu zminimalizowanie ryzyka pojawienia się podobnych naruszeń w przyszłości (zmiana procedury przetwarzania danych).
Na fakt zastosowania w niniejszej sprawie przez Prezesa UODO wobec Spółki sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały wpływu inne, wskazane w art. 83 ust. 2 rozporządzenia 2016/679 okoliczności, to jest:
1. Stopień odpowiedzialności Podmiotu Przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
Ustalenia dokonane przez Prezesa UODO pozwalają na stwierdzenie, że Podmiot Przetwarzający nie realizował swoich obowiązków w zakresie wdrażania zmian w programie kadrowo-płacowym, co w konsekwencji doprowadziło do dokonywania zmian bez prowadzenia bieżącej i powykonawczej kontroli prawidłowości dokonywanych działań oraz zabezpieczenia przetwarzanych danych osobowych przed dostępem osób nieuprawnionych. Podmiot Przetwarzający ponosi bezpośrednią odpowiedzialność za naruszenie, a tak rażące zaniedbanie w procesie przetwarzania danych osobowych, w przypadku profesjonalnego podmiotu musi stanowić okoliczność obciążającą. Jednak wypełnianie przez Podmiot Przetwarzający obowiązków z art. 32 rozporządzenia 2016/679 jest jednym z przedmiotów niniejszego postępowania i w okolicznościach rozważanego stanu faktycznego organ nadzorczy przyjął, że przesłanki tej nie potraktuje jako okoliczności obciążającej (z uwagi na fakt, że administracyjna kara pieniężna nakładana jest w analizowanej sprawie w związku z naruszeniem tego konkretnego przepisu rozporządzenia 2016/679).
2. Stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 (art. 83 ust. 2 lit. e rozporządzenia 2016/679) – Prezes UODO nie stwierdził jakichkolwiek, dokonanych przez Spółkę, wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. A ponieważ taki stan (przestrzeganie przepisów o ochronie danych osobowych) jest stanem naturalnym, wynikającym z ciążących na Spółce obowiązków prawnych, nie może mieć on również wpływu łagodzącego na dokonaną przez Prezesa UODO ocenę naruszenia.
3. Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679) – Prezes UODO stwierdził naruszenie przepisów w wyniku zgłoszenia naruszenia ochrony danych osobowych dokonanego przez X i Y. X i Y dokonując tego zgłoszenia realizowały jedynie ciążący na nich obowiązek prawny, brak jest podstaw do uznania, że okoliczność ta stanowi okoliczność łagodzącą – zwłaszcza w przypadku Podmiotu Przetwarzającego. Zgodnie z Wytycznymi w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 Wp. 253 „Organ nadzorczy może dowiedzieć się o naruszeniu w wyniku postępowania, skarg, artykułów w prasie, anonimowych wskazówek lub powiadomienia przez administratora danych. Zgodnie z rozporządzeniem administrator ma obowiązek zawiadomić organ nadzorczy o naruszeniu ochrony danych osobowych. Zwykłe dopełnienie tego obowiązku przez administratora nie może być interpretowane jako czynnik osłabiający/łagodzący”. Podobnie do kwestii tej podchodzi EROD w Wytycznych 4/2020, w których wskazano, że w przypadku, gdy administrator podlega szczególnym obowiązkom zgłaszania naruszeń ochrony danych (np. obowiązkowi określonemu w art. 33 rozporządzenia 2016/679) fakt dokonania tego zgłoszenia należy uznać za okoliczność neutralną.
4. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679) Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Spółki w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Podmiot Przetwarzający nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
5. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679) - Spółka nie stosuje instrumentów, o których mowa w art. 40 i art. 42 rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów i podmiotów przetwarzających, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Podmiotu Przetwarzającego. Na korzyść Spółki natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.
6. Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO nie stwierdził, by Spółka w związku z naruszeniem odniosła jakiekolwiek korzyści finansowe lub uniknęła tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Spółkę. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez Podmiot Przetwarzający takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla niego. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.
Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej wobec Spółki administracyjnej kary pieniężnej, które powinny zostać ujęte w ramach rozpatrywania przesłanki z art. 83 ust. 2 lit. k) rozporządzenia 2016/679.
Na koniec koniecznym jest wskazanie, że ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej zastosowanej wobec Spółki Prezes UODO zastosował metodykę przyjętą przez EROD w Wytycznych 04/2022. Zgodnie z przedstawionymi w tym dokumencie wskazówkami:
1. Prezes UODO dokonał kategoryzacji stwierdzonych w niniejszej sprawie naruszeń przepisów rozporządzenia 2016/679 dokonanych przez Spółkę (vide Rozdział 4.1 Wytycznych 04/2022). Spółka naruszyła art. 32 ust. 1 i 2 oraz art. 32 ust. 1 i 2 w zw. z art. 28 ust. 3 lit. c) i f) rozporządzenia 2016/679. Naruszenia tych przepisów należą - zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 - do kategorii naruszeń zagrożonych karą niższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 10 000 000 EUR lub do 2 % całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego).
2. Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenia jako naruszenia o średnim poziomie powagi (vide Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które dotyczą strony przedmiotowej naruszeń (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszeń (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny lub nieumyślny charakter naruszeń (art. 83 ust. 2 lit. b) rozporządzenia 2016/679) oraz kategorie danych osobowych, których dotyczyły naruszenia (art. 83 ust. 2 lit. g) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej. W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest średni. Konsekwencją tego jest zaś przyjęcie - jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 10 % do 20 % maksymalnej wysokości kary możliwej do orzeczenia wobec Spółki, to jest - zważywszy na limit określony w art. 83 ust. 4 rozporządzenia 2016/679 - od kwoty 1.000.000 EUR do kwoty 2.000.000 EUR (vide Podrozdział 4.2.4 Wytycznych 04/2022). Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę (…) EUR (równowartość (…) zł).
3. Prezes UODO dostosował kwotę wyjściową odpowiadającą średniej powadze stwierdzonego naruszenia do obrotu Spółki jako miernika jej wielkości i siły gospodarczej (vide Rozdział 4.3 Wytycznych 04/2022). Zgodnie z Wytycznymi 04/2022, w przypadku przedsiębiorstw, których roczny obrót jest niższy lub równy 2 mln EUR, organ nadzorczy może rozważyć dokonanie dalszych obliczeń wysokości kary na podstawie wartości mieszczącej się w przedziale od 0,2 % do 0,4 % kwoty wyjściowej. Zważywszy, że obrót Spółki w 2023 r. (kończącym się 31 grudnia 2023 r.) wyniósł (…) zł, to jest ok. (…),- EUR (wg średniego kursu EUR z dnia 29 stycznia 2024 r.), Prezes UODO za stosowne uznał skorygowanie podlegającej obliczeniom kwoty kary do wartości odpowiadającej 0,4 % kwoty wyjściowej, to jest do kwoty (…) EUR (równowartość (…) zł).
4. Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (vide Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się – jak zakładają Wytyczne 04/2022 – do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej. Prezes UODO uznał, że okolicznością łagodzącą w niniejszej sprawie są działania podjęte przez Spółkę w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c) rozporządzenia 2016/679) oraz stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679), zaś okolicznością obciążającą była ta określona w art. 83 ust. 2 lit. k) rozporządzenia 2016/679 w zakresie wskazanym w pkt 4 na str. 50 niniejszej decyzji. Pozostałe przesłanki, tj. z art. 83 ust. 2 lit. d), e), h), i), j) oraz k) (w zakresie w jakim dotyczyła osiągniętych przez Spółkę bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowych lub unikniętych strat) rozporządzenia 2016/679 – jak wskazano wyżej – nie miały wpływu, ani łagodzącego ani obciążającego, na ocenę naruszenia i w konsekwencji na wymiar kary. Ze względu na zaistnienie w sprawie powyższych okoliczności łagodzących i obciążającej Prezes UODO za zasadne uznał dalsze obniżenie kwoty kary ustalonej wyżej z uwzględnieniem obrotu Spółki (pkt 3 powyżej); adekwatnym do ocenianego łącznie wpływu wyżej wskazanych przesłanek na ocenę naruszenia jest w ocenie Prezesa UODO jej obniżenie do kwoty (…) EUR (równowartość (…) zł).
5. Prezes UODO stwierdził, że ustalona w przedstawiony wyżej sposób kwota administracyjnej kary pieniężnej nie przekracza – stosownie do art. 83 ust. 4 lit. a) rozporządzenia 2016/679 – prawnie określonej maksymalnej wysokości kary przewidzianej dla naruszenia (vide Rozdział 6 Wytycznych 04/2022). Jak wskazano powyżej naruszenie art. 32 ust. 1 i 2 oraz art. 32 ust. 1 i 2 w zw. z art. 28 ust. 3 lit. c) i f) rozporządzenia 2016/679, zagrożone są administracyjną karą pieniężną w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Prezes UODO ustalił, że „dynamiczna kwota maksymalna” dla tego naruszenia i dla tego sprawcy naruszenia wyrażona w procencie (2 %) jego obrotu wyniosłaby (…) EUR, w związku z czym zastosować należy w niniejszej sprawie - jako wyższą - „statyczną kwotę maksymalną” wynoszącą dla rozpatrywanego naruszenia 10 000 000 EUR. Wskazana powyżej kwota 5.700,- EUR w sposób oczywisty nie przekracza kwoty 10 000 000 EUR.
6. Prezes UODO uznał, że wysokość ww. kary nie wymaga dodatkowej korekty ze względu na zasadę proporcjonalności wymienioną w art. 83 ust. 1 rozporządzenia 2016/679 będącą jedną z trzech dyrektyw wymiaru kary (vide Rozdział 7 Wytycznych 04/2022). Kara pieniężna w wysokości 5.700 EUR będzie karą skuteczną (przez swoją dolegliwość pozwoli osiągnąć swój cel represyjny, którym jest ukaranie za bezprawne zachowanie) i odstraszającą (pozwalającą skutecznie zniechęcić zarówno Spółkę, jak i innych administratorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679). Zasada proporcjonalności wymaga m.in., by przyjęte przez organ nadzorczy środki nie wykraczały poza to, co odpowiednie i konieczne do realizacji uzasadnionych celów (vide pkt 137 i pkt 139 Wytycznych 04/2022). Innymi słowy: „Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku” (P. Litwiński (red.), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. […]; Komentarz do art. 83 [w:] P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz). Kwota 5.700,- EUR (równowartość 24.882,21 zł) stanowi próg, powyżej którego dalsze zwiększanie wysokości kary nie będzie wiązało się ze wzrostem jej skuteczności i odstraszającego charakteru. Z drugiej natomiast strony obniżenie w większym stopniu wysokości kary mogłoby się odbyć kosztem jej skuteczności i odstraszającego charakteru, a także spójnego stosowania i egzekwowania rozporządzenia 2016/679 i zasady równego traktowania podmiotów na rynku wewnętrznym UE i EOG.
W ocenie Prezesa UODO, zastosowana wobec Spółki administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.
Należy podkreślić, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Podmiot Przetwarzający w przyszłości będzie wywiązywał się ze swoich obowiązków z zakresu ochrony danych osobowych.
Odnosząc się do wysokości wymierzonej Spółce administracyjnej kary pieniężnej, wskazać należy, że nie należy ona do grupy podmiotów wymienionych w art. 102 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. u.o.d.o., i w związku z tym, w przedmiotowej sprawie, nie mają zastosowania ograniczenia wysokości (odpowiednio do 10.000 lub 100.000 zł) administracyjnej kary pieniężnej. Wobec powyższego, stosownie do art. 101 u.o.d.o., administracyjna kara pieniężna nałożona zostaje na Spółkę na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679.
W ocenie Prezesa UODO zastosowana kara pieniężna w wysokości 24.882,21 PLN (słownie: dwadzieścia cztery tysiące osiemset osiemdziesiąt dwa złote dwadzieścia jeden groszy), co stanowi równowartość 5.700,- EUR (średni kurs euro z 29 stycznia 2024 r. - 4,3653 zł) spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonego naruszenia w kontekście podstawowego celu rozporządzenia 2016/679 - ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych.
Odnosząc się do wysokości wymierzonej administracyjnej kary pieniężnej, Prezes UODO uznał, że jest ona w tym konkretnym przypadku odstraszająca oraz proporcjonalna do zaistniałych naruszeń. Z przedstawionego przez Spółkę sprawozdania finansowego wynika, że przychody netto ze sprzedaży i zrównane z nimi w 2023 r. wyniosły (…) zł w związku z czym kwota nałożonej w niniejszej sprawie administracyjnej kary pieniężnej stanowi ok. (…)% ww. wartości tych przychodów z ww. roku obrotowego. Jednocześnie warto podkreślić, że kwota nałożonej kary tj. 5.700,- EUR to jedynie 0,06% maksymalnej wysokości kary, którą Prezes UODO mógł nałożyć na Spółkę za stwierdzone w niniejszej sprawie naruszenia - stosując zgodnie z art. 83 ust. 4 rozporządzenia 2016/679 statyczne maksimum kary (tj. 10 000 000 EUR).
W ocenie Prezesa Urzędu Ochrony Danych Osobowych, administracyjna kara pieniężna spełni funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Podmiot Przetwarzający przepisów rozporządzenia 2016/679. Będzie również spełniać funkcję prewencyjną; w ocenie Prezesa UODO wskaże bowiem zarówno Spółce, jak i innym podmiotom na naganność lekceważenia ich obowiązków związanych z zaistnieniem naruszenia ochrony danych osobowych.
Stosownie do treści art. 103 u.o.d.o., równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.
Uwzględniając wszystkie omówione wyżej okoliczności, Prezes Urzędu Ochrony Danych Osobowych uznał, że nałożenie administracyjnej kary pieniężnej na X, Y i Podmiot Przetwarzający jest konieczne i uzasadnione wagą oraz charakterem i zakresem zarzucanych tym podmiotom naruszeń przepisów rozporządzenia 2016/679. Stwierdzić należy, że zastosowanie wobec tych podmiotów jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b) rozporządzenia 2016/679), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że ww. podmioty w przyszłości nie dopuszczą się podobnych, co w sprawie niniejszej zaniedbań.
Podsumowując powyższe – w ocenie Prezesa UODO – wszystkie trzy orzeczone w niniejszej sprawie administracyjne kary pieniężne spełniają w świetle całokształtu indywidualnych okoliczności sprawy przesłanki (funkcje kar), o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad rozporządzenia 2016/679.
Mając powyższe na uwadze Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji niniejszej decyzji.
[1] B. Adamiak, [w] B. Adamiak, J. Borkowski, Kodeks postępowania administracyjnego. Komentarz, Warszawa 2004, s. 371.
Jednocześnie kara w wysokości 20.000,- zł nałożona na Y łącznie za naruszenie wszystkich powyższych przepisów – stosownie do przepisu art. 83 ust. 3 rozporządzenia 2016/679 – nie przekracza wysokości kary za najpoważniejsze stwierdzone w niniejszej sprawie naruszenie, tj. naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679, które stosownie do art. 83 ust. 5 lit. a) rozporządzenia 2016/679 podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, ani nie przekracza limitu kar określonego w art. 102 ust. 1 pkt 1 u.o.d.o.