DKN.5131.31.2022

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2022 r. poz. 2000 ze zm.) w związku z art. 7, art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. d) i lit. i), art. 83 ust. 1 – 3, art. 83 ust. 4 lit. a) w związku z art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2, a także art. 83 ust. 5 lit. a) w związku z art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Rzecznika Dyscyplinarnego Izby Adwokackiej w X. (X., ul. (…)), Prezes Urzędu Ochrony Danych Osobowych,

stwierdzając naruszenie przez Rzecznika Dyscyplinarnego Izby Adwokackiej w X. (X, ul. (…)) przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej „rozporządzeniem 2016/679”, polegające na niewdrożeniu przez Rzecznika Dyscyplinarnego Izby Adwokackiej w X.:

a) odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu zewnętrznych nośników danych, w celu ochrony zapisanych tam danych osobowych, w tym ich ochrony przed przypadkową utratą, zniszczeniem lub uszkodzeniem oraz ujawnieniem osobom nieuprawnionym;

b) odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, co skutkowało naruszeniem zasady poufności danych oraz zasady rozliczalności;

1. nakłada na Rzecznika Dyscyplinarnego Izby Adwokackiej w X. (X., ul. (…)) za naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 administracyjną karę pieniężną w kwocie 23 580 zł (słownie dwadzieścia trzy tysiące pięćset osiemdziesiąt złotych).
2. nakazuje Rzecznikowi Dyscyplinarnemu Izby Adwokackiej w X. (X., ul.(…)) dostosowanie operacji przetwarzania do przepisów rozporządzenia 2016/679 poprzez:
a) wdrożenie odpowiednich środków technicznych i organizacyjnych  w celu zminimalizowania ryzyka wiążącego się z przetwarzaniem danych osobowych za pomocą zewnętrznych nośników danych, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, za pomocą zewnętrznych nośników danych, po uprzednim przeprowadzeniu analizy ryzyka, uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, w tym zagrożenia związane z przetwarzaniem danych osobowych za pomocą zewnętrznych nośników danych, uwzględniając kradzież oraz zagubienie tych nośników,
b) wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania,
w terminie 6 miesięcy od dnia doręczenia niniejszej decyzji

Uzasadnienie

Rzecznik Dyscyplinarny Izby Adwokackiej w X. (X., ul. (…)), zwany dalej również Administratorem, w dniu (…) czerwca 2021 r. dokonał zgłoszenia Prezesowi Urzędu Ochrony Danych Osobowych (zwanemu dalej także „Prezesem UODO”) naruszenia ochrony danych osobowych, które zostało zarejestrowane pod sygnaturą (…). W zgłoszeniu naruszenia ochrony danych osobowych Administrator wskazał, że (…) maja 2021 r. do siedziby Administratora zgłosił się obrońca obwinionego w postępowaniu dyscyplinarnym prowadzonym przed Rzecznikiem Dyscyplinarnym Izby Adwokackiej w X. Obrońca poinformował pracowników Administratora o otrzymaniu uszkodzonej przesyłki, w której wbrew treści pisma przewodniego brakowało załącznika w postaci zewnętrznego nośnika danych (pendrive). Nośnik zawierał nagranie rozprawy rozwodowej z danymi osobowymi 8 osób w zakresie imienia, nazwiska, szczegółów dotyczących życia rodzinnego, relacji stron oraz podejrzeń o niewierność małżeńską.

W związku z ww. zgłoszeniem naruszenia, pismem z dnia (…) marca 2022 r. Prezes Urzędu Ochrony Danych Osobowych zwrócił się do Administratora o złożenie dodatkowych wyjaśnień w zakresie wskazania, czy zewnętrzny nośnik danych (pendrive), będący przedmiotem naruszenia, został zaszyfrowany zgodnie z procedurami, na które powołał się administrator w punkcie 9A formularza zgłoszenia naruszenia z dnia (…) czerwca 2021 r., tj. „szyfrowanie, hasłowanie plików zawierających dane osobowe”. W odpowiedzi z dnia (…) marca 2022 r. Administrator wskazał, iż przedmiotowy nośnik nie został zaszyfrowany.

W dniu (…) kwietnia 2022 r. tutejszy Urząd zwrócił się do Administratora z wezwaniem do:

  1. Wskazania, czy przed zaistniałym naruszeniem Administrator posiadał wdrożoną procedurę zarządzania zewnętrznymi nośnikami danych w zakresie ich zabezpieczenia oraz postępowania na wypadek zniszczenia lub kradzieży.
  2. Wskazania środków bezpieczeństwa technicznych oraz organizacyjnych dotychczas stosowanych w celu zabezpieczenia zewnętrznych nośników danych.
  3. Wskazania, czy przeprowadzono analizę ryzyka dla procesu przetwarzania danych osobowych za pośrednictwem zewnętrznych nośników danych.
  4. Wskazania, czy plik z nagraniem znajdujący się na utraconym zewnętrznym nośniku danych był zabezpieczony (np. za pomocą hasła lub mechanizmu szyfrowania), skoro sam nośnik nie posiadał stosownych zabezpieczeń.

W odpowiedzi na ww. wezwanie Administrator pismem z dnia  (…) kwietnia 2022 r. poinformował, iż:

  1. Rzecznik Dyscyplinarny jako organ Izby Adwokackiej posiada wspólną infrastrukturę informatyczną z Okręgową Radą Adwokacką w X. W tym zakresie obowiązuje (wdrożona przed zaistniałym zdarzeniem) Instrukcja (…) przyjęta przez Administratora w dniu (…) sierpnia 2019 r., w której opisano zasady bezpieczeństwa nośników danych. Ponadto Administrator posiada wdrożoną Politykę (…)określającą zasady ochrony danych osobowych wynikające z rozporządzenia 2016/679 oraz procedury, takie jak procedura zgłaszania naruszeń ochrony danych osobowych.
  2. Przeprowadzona została ocena ryzyka w związku z przetwarzaniem danych osobowych na zewnętrznych nośnikach danych. Administrator jako datę jej przeprowadzenia wskazał (…) stycznia 2021 r. Jako załącznik do niniejszego pisma Administrator zamieścił Procedurę (…) wraz z wynikami przeprowadzonej oceny przed rozpoczęciem przetwarzania. Przeprowadzona analiza uwzględnia ryzyko zniszczenia, kradzieży oraz zagubienia nośników danych, na których odbywa się przetwarzanie. Ponadto Administrator wskazał, że ponowne przeprowadzenie oceny ryzyka dla przetwarzania danych osobowych zaplanowane zostało na czerwiec 2022 r. Przeprowadzona została także analiza ryzyka w związku z zaistniałym naruszeniem, lecz wbrew informacji zawartej w piśmie nie została ona dołączona do korespondencji.
  3. Plik znajdujący się na zagubionym nośniku, tak samo jak i nośnik, nie został zaszyfrowany.

Jednocześnie Administrator odnosząc się do pytania związanego z zabezpieczeniem zewnętrznego nośnika danych, na którym znajdował się plik wideo z nagraniem rozprawy rozwodowej, zaznaczył, iż nośnik należał do obrońcy obwinionego w postępowaniu prowadzonym przed Rzecznikiem Dyscyplinarnym Izby Adwokackiej w X. Nośnik danych został dostarczony do Kancelarii Rzecznika Dyscyplinarnego Izby Adwokackiej w X. celem udostępnienia nagrania rozprawy dostarczonego przez jedną z osób uczestniczących w rozprawie.

W związku ze zgłoszonym naruszeniem ochrony danych osobowych oraz wyjaśnieniami złożonymi przez Administratora ww. pismami, Prezes Urzędu Ochrony Danych Osobowych w dniu (…) maja 2022 r. wszczął z urzędu postępowanie administracyjne w zakresie możliwości naruszenia przez Rzecznika Dyscyplinarnego Izby Adwokackiej w X., jako administratora danych, obowiązków wynikających z art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 rozporządzenia 2016/679, w związku z naruszeniem ochrony danych osobowych osób, których dane znajdowały się na nagraniu rozprawy rozwodowej, zamieszczonym na zagubionym zewnętrznym nośniku danych (sygn. pisma DKN.5131.31.2022.). 

Jednocześnie, ze względu na niedołączenie przez Administratora wszystkich załączników do pisma z dnia (…) kwietnia 2022 r., w dniu (…) czerwca 2022 r. Prezes UODO zwrócił się o przekazanie brakujących dokumentów w postaci Instrukcji (…) przyjętej przez Administratora w dniu (…) sierpnia 2019 r. oraz analizy ryzyka przeprowadzonej w związku z zaistniałym naruszeniem. Administrator w dniu (…) czerwca 2022 r. przekazał wnioskowane dokumenty tutejszemu Urzędowi.

Ponadto, w związku z informacją zawartą w piśmie Administratora z dnia (…) kwietnia 2022 r. o planowanym ponownym przeprowadzeniu analizy ryzyka w związku z przetwarzaniem danych osobowych, organ nadzorczy w dniu (…) sierpnia 2022 r. zwrócił się do Rzecznika Dyscyplinarnego Izby Adwokackiej w X z prośbą o przekazanie wyników tej analizy, a pismem z dnia (…) stycznia 2023 r. o udzielenie informacji, czy Administrator weryfikował przestrzeganie przez swoich pracowników procedur zawartych w Instrukcji (…) (w tym dotyczących wysyłki nośników danych) wraz ze wskazaniem w jaki sposób i kiedy przeprowadzono ostatnią taką weryfikację przed wystąpieniem naruszenia ochrony danych osobowych, oraz czy skuteczność tych procedur weryfikowana była w ramach regularnego testowania przyjętych technicznych oraz organizacyjnych środków bezpieczeństwa. Administrator przekazał przedmiotową analizę w załączeniu do pisma z dnia (…) października 2022 r. Z kolei w piśmie z dnia (…) stycznia 2023 r. wskazał, iż „(…) ostatnia weryfikacja przestrzegania przez pracowników procedur zawartych w Instrukcji (…), w tym dotyczących wysyłki nośników danych przed przedmiotowym naruszeniem ochrony danych osobowych miała miejsce podczas regularnego, zaplanowanego na dzień (…) stycznia 2021 r. sprawdzenia w oparciu o procedurę analizy ryzyka w szczególności ust. (…) (załączona w całości do pisma z dnia (…) kwietnia 2022 r. oraz do pisma z dnia (…) czerwca 2022 r.)”.  

W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

Zgodnie z art. 39 pkt 3a) ustawy z dnia 26 maja 1982 r. Prawo o adwokaturze (Dz.U. z 2022 r., poz. 1184 z późn. zm.), rzecznik dyscyplinarny jest organem izby adwokackiej. Stosownie do art. 51a ust. 1 ustawy Prawo o Adwokaturze, do zakresu działania rzecznika dyscyplinarnego należą czynności w postępowaniu dyscyplinarnym, określone w ustawie i przepisach wydanych na jej podstawie. Na podstawie art. 58 pkt 5a oraz pkt 12 lit. i) ustawy Prawo o Adwokaturze, Naczelna Rada Adwokacka uchwałą nr 50/2018 z dnia 24 listopada 2018 r. przyjęła Regulamin działania rzeczników dyscyplinarnych i zastępców rzeczników dyscyplinarnych oraz trybu i sposobu ich wyboru. W myśl § 4 ust. 1 ww. regulaminu, do zakresu działania rzecznika dyscyplinarnego izby adwokackiej należą czynności procesowe w postępowaniu dyscyplinarnym w sprawach, które dotyczą członków izby adwokackiej, która wybrała rzecznika dyscyplinarnego izby adwokackiej z wyłączeniem spraw należących do zakresu działania Rzecznika Dyscyplinarnego Adwokatury oraz spraw przejętych przez Rzecznika Dyscyplinarnego Adwokatury lub przekazanych do prowadzenia Rzecznikowi Dyscyplinarnemu Adwokatury. Stosownie do § 11 ust. 1 powołanego regulaminu, rzecznik dyscyplinarny prowadzi postępowanie z urzędu. Z kolei w myśl § 41 ust. 1 wskazanego regulaminu, rzecznik dyscyplinarny prowadzi kancelarię, której finansowanie zapewnia właściwa rada adwokacka. W kancelarii rzecznika dyscyplinarnego, zgodnie z § 41 ust. 2 lit. a) ww. regulaminu, prowadzone są akta dochodzeń dyscyplinarnych. W związku z powyższymi przepisami należy uznać, iż Rzecznik Dyscyplinarny Izby Adwokackiej w X. jest administratorem, w rozumieniu art. 4 ust 7 rozporządzenia 2016/679, danych przetwarzanych w związku z prowadzonymi przez niego postępowaniami dyscyplinarnymi.   

W myśl art. 34 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych  (Dz.U. z 2019 r. poz. 1781) - zwanej dalej: ustawą z dnia 10 maja 2018 r., Prezes UODO jest organem właściwym w sprawie ochrony danych i organem nadzorczym w rozumieniu rozporządzenia 2016/679. Stosownie do art. 57 ust. 1 lit. a) i h) rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia oraz prowadzi postępowania w sprawie naruszenia niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego.

Art. 5 rozporządzenia 2016/679 określa zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 lit. f) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („poufność i integralność”). Stosownie zaś do art. 5 ust. 2 rozporządzenia 2016/679, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”). Konkretyzację zasady poufności, o której mowa w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, stanowią dalsze przepisy niniejszego rozporządzenia, w tym art. 24 ust. 1 rozporządzenia 2016/679, który wskazuje, że uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679 i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Jak wynika z art. 24 ust. 1 rozporządzenia 2016/679, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze są czynnikami, które administrator ma obowiązek uwzględniać w procesie budowania systemu ochrony danych, również w szczególności z punktu widzenia pozostałych obowiązków wskazanych w art. 25 ust. 1, art. 32 ust. 1 czy art. 32 ust. 2 rozporządzenia 2016/679. Wskazane przepisy uszczegóławiają zasadę poufności określoną w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, a przestrzeganie tej zasady jest konieczne dla prawidłowej realizacji zasady rozliczalności wynikającej z art. 5 ust. 2 rozporządzenia 2016/679.

W myśl z art. 25 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

Z treści art. 32 ust. 1 rozporządzenia 2016/679 wynika, że administrator jest zobowiązany do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Przepis precyzuje, że decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, powinny obejmować środki takie, jak pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Biorąc pod uwagę w szczególności zakres przetwarzanych danych osobowych przez Administratora, zawarty w pliku znajdującym się na skradzionym (zagubionym) zewnętrznym nośniku danych, w celu prawidłowego wywiązania się z obowiązków nałożonych ww. przepisami rozporządzenia 2016/679, Administrator był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych poprzez wdrożenie odpowiednich środków technicznych oraz organizacyjnych, mających zapewnić bezpieczeństwo przetwarzanych danych osobowych. Charakter i rodzaj tych działań powinien wynikać z przeprowadzonej analizy ryzyka, w której powinno się zidentyfikować podatności odnoszące się do wykorzystywanych zasobów oraz wynikające z nich zagrożenia, a następnie określić adekwatne środki bezpieczeństwa. Błędne oszacowanie poziomu ryzyka uniemożliwia zastosowanie odpowiednich środków bezpieczeństwa dla danego zasobu oraz zwiększa prawdopodobieństwo jego wystąpienia. Efektem powyższego było zmaterializowanie się ryzyka, w wyniku którego osoba (osoby) nieuprawniona uzyskała dostęp do danych zawartych w pliku znajdującym się na skradzionym (zagubionym) zewnętrznym nośniku danych.

Wskazać należy, iż rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem stanowi fundament działań związanych z ochroną danych osobowych. Zarządzanie ryzykiem ma charakter ciągłego procesu wymuszającego na administratorze danych nie tylko zapewnienie zgodności z przepisami rozporządzenia 2016/679 poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale także zapewnienie ciągłości monitorowania poziomu zagrożeń oraz zapewnienie rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Wobec powyższego, koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma zatem przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka. Konsekwencją takiego podejścia jest konieczność samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie są wskazywane konkretne środki i procedury w zakresie bezpieczeństwa. Przeprowadzenie szczegółowej analizy prowadzonych procesów przetwarzania danych i dokonanie oceny ryzyka stanowi obowiązek Administratora, który następnie, na podstawie takiej analizy, powinien zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.

Wobec powyższego, to odpowiednio przeprowadzona ocena ryzyka zapewnia administratorowi możliwość określenia i wprowadzenia środków technicznych i organizacyjnych, które spowodują wyeliminowanie lub co najmniej znaczne obniżenie ustalonego poziomu ryzyka materializacji zidentyfikowanych zagrożeń dla przetwarzanych danych osobowych. Ocena ryzyka przeprowadzona przez administratora powinna zostać udokumentowana oraz uzasadniona stanem faktycznym istniejącym w chwili jej przeprowadzania. Główne czynniki składające się na prawidłową ocenę, które powinny zostać wzięte pod uwagę podczas przeprowadzania analizy, to charakterystyka zachodzących procesów przetwarzania, aktywa, podatności, zagrożenia oraz aktualne zabezpieczenia. Należy pamiętać, iż istotne przy ocenianiu ryzyka są również takie czynniki, jak zakres i charakter przetwarzanych przez administratora danych osobowych, gdyż to od nich zależeć będą ewentualne negatywne skutki dla osoby fizycznej występujące w momencie naruszenia ochrony jej danych osobowych.

Załączona przez Administratora do pisma z dnia (…) kwietnia 2022 r. „Procedura (…)” wraz z arkuszem analizy ryzyka zawierającym ocenę ryzyka dla przyjętych przez administratora czynności przetwarzania danych, przeprowadzona w dniu […] stycznia 2021 r., budzi wiele wątpliwości. Arkusz zawiera między innymi ocenę ryzyka w przypadku „awarii, kradzieży lub zagubienia nośników danych”. Przedstawiona metodyka zakłada ustalenie odpowiednich wartości dla poszczególnych czynników, w których skład wchodzą:
A. Prawdopodobieństwo:
a) wystąpienia zdarzenia
b) ekspozycja
c) przewidywany czas, za jaki naruszenie może nastąpić
B. Wpływ na aktywa:
a) poufność
b) integralność
c) dostępność

Stopień ryzyka dla tej kategorii przetwarzania określony jest jako „1”, co po zapoznaniu się z procedurą oznacza „ryzyko akceptowalne, nie wymagające dalszego postępowania (podjęcia środków minimalizujących)”. Ponadto, środki minimalizujące ryzyko, które zostały wskazane w przypadku powyższej oceny ryzyka, tj. „Kopie zapasowe danych raz dziennie. Szybki czas przywrócenia” w ocenie Prezesa UODO nie są adekwatne do potencjalnych zagrożeń, które administrator przyjął dla tego procesu przetwarzania, a dla których przeprowadzana jest ocena. Analizując przyjęte przez administratora środki zapobiegawcze należy uznać, iż kopie zapasowe danych są środkiem minimalizującym skutki utraty dostępności danych znajdujących się na zagubionym (skradzionym) zewnętrznym nośniku danych, jednak nie minimalizują one ryzyka wystąpienia możliwych konsekwencji w przypadku uzyskania dostępu do nośnika danych i przetwarzanych przy jego użyciu danych osobowych przez osobę trzecią i jego użycia, a więc sytuacji, w których dochodzi do naruszenia poufności danych.

Podkreślić należy, że ochrona danych znajdujących się na zewnętrznych nośnikach danych, w celu skutecznego przeciwdziałania zagrożeniu w postaci „zagubienia nośników danych”, musi skupiać się na prawidłowym zabezpieczeniu danych znajdujących się na takim nośniku przed nieuprawnionym dostępem osób trzecich w przypadku utracenia takiego nośnika w wyniku kradzieży czy jego zgubienia. Tymczasem, Administrator przeprowadzając ww. ocenę ryzyka, w opinii Prezesa UODO, skupił się jedynie na określeniu działania minimalizującego skutki wyłącznie w przypadku awarii nośnika, a więc naruszeniu dostępności danych, pomijając całkowicie działania minimalizujące konsekwencje naruszenia ich poufności. W tym miejscu należy zatem odwołać się do wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19, w uzasadnieniu którego Sąd stwierdził, że „Przepis ten [art. 32 rozporządzenia 2016/679] nie wymaga od administratora danych wdrożenia jakichkolwiek środków technicznych i organizacyjnych, które mają stanowić środki ochrony danych osobowych, ale wymaga wdrożenia środków adekwatnych. Taką adekwatność oceniać należy pod kątem sposobu i celu, w jakim dane osobowe są przetwarzane, ale też należy brać pod uwagę ryzyko związane z przetwarzaniem tych danych osobowych, które to ryzyko charakteryzować się może różną wysokością. (...) Przyjęte środki mają mieć charakter skuteczny, w konkretnych przypadkach niektóre środki będą musiały być środkami o charakterze niwelującym niskie ryzyko, inne - muszą niwelować ryzyko wysokie, ważne jednak jest, aby wszystkie środki (a także każdy z osobna) były adekwatne i proporcjonalne do stopnia ryzyka”. 

Przyjęte przez Administratora środki bezpieczeństwa mające minimalizować skutki opisanego w przeprowadzonej analizie ryzyka zagrożenia polegającego na „awarii, kradzieży lub zagubienia nośników danych” nie są zatem adekwatne do zidentyfikowanego ryzyka związanego z przetwarzaniem, a to prowadzi do konkluzji, że ocena ryzyka w związku z przetwarzaniem danych na zewnętrznych nośnikach danych została przeprowadzona z przyjęciem nieprawidłowych wartości związanych z ryzykiem kradzieży bądź zgubienia takich nośników lub całkowitym ich pominięciem. Za powyższym przemawia również to, że w przekazanej przez Administratora w dniu (…) października 2022 r. analizie ryzyka, która została przeprowadzona już po wystąpieniu naruszenia ochrony danych osobowych, ocena skutków dla przetwarzania danych osobowych na zewnętrznych nośnikach danych w przypadku „awarii, kradzieży lub zagubienia nośników danych” została zastąpiona jedynie oceną skutków w przypadku „awarii nośników danych”. Administrator zaniechał zatem przeprowadzenia analizy ryzyka dla sytuacji, która spowodowała wystąpienie zgłoszonego Prezesowi UODO naruszenia ochrony danych osobowych, co należy uznać za niezgodne z przytoczonymi wyżej przepisami rozporządzenia 2016/679, w szczególności w sytuacji, gdy Administrator przewiduje możliwość dalszego przetwarzania danych osobowych na zewnętrznych nośnikach danych, a omawiane zdarzenie wskazuje bezpośrednio, jakie konsekwencje mogą wystąpić w przypadku ich zagubienia bądź kradzieży.

Zwrócić należy jednak uwagę na fakt, iż pomimo tego, że w przeprowadzonej analizie ryzyka Administrator nie określił środków bezpieczeństwa minimalizujących ryzyko kradzieży czy zgubienia zewnętrznych nośników danych, to jednak wprowadził w praktyce pewne rozwiązania skupiające się na bezpieczeństwie tej kategorii przetwarzania danych osobowych. Rozwiązania te zawarte zostały w „Instrukcji (…)” (dalej: I(…)), wprowadzonej w dniu (…) sierpnia 2019 r., w której znajduje się rozdział poświęcony bezpieczeństwu nośników informacji. Wskazane tam zostało, że za zapewnienie bezpieczeństwa zewnętrznych nośników danych odpowiada osoba, która w danej chwili jest użytkownikiem takiego nośnika. W zgłoszeniu  naruszenia ochrony danych osobowych Administrator wskazał „(…)że pracownicy kancelarii rzecznika dyscyplinarnego pakując przesyłkę zawierającą pendrive z nagraniem podjęli szereg czynności mających na celu zabezpieczyć ten nośnik m.in. nośnik został umieszczony w plastikowej koszulce, która została szczelnie zaszyta, kilka osób dokonywało sprawdzenia szczelności tejże koszulki, koszulkę przyszyto do pisma przewodniego w sposób uniemożliwiający wypadnięcie nośnika bez przerwania ww. zabezpieczeń czy folii (plastikowa koszulka). Pismo wraz z koszulką umieszczono w kopercie, którą szczelnie zaklejono i nadano za pośrednictwem X. S.A.(…)”. Z zebranego materiału wynika, że pracownicy Kancelarii Rzecznika Dyscyplinarnego Izby Adwokackiej w X podjęli czynności zmierzające do zabezpieczenia przedmiotowego nośnika, jednak nie były one zgodne z procedurą zawartą w I(…). Wynikająca z tego dokumentu procedura „Sposób, miejsce i okres przechowywania elektronicznych nośników informacji” określa postępowanie w przypadku wykorzystania zewnętrznych nośników danych, takich jak twarde dyski, płyty CD, płyty DVD oraz nośników pamięci typu pendrive i wyraźnie wskazuje, że w przypadku przekazywania nośników, na których znajdują się dane osobowe, „(…). W odpowiedzi udzielonej przez Administratora w dniu (…) marca 2022 r. Prezes UODO otrzymał informację, iż „(…)przedmiotowy nośnik nie był zaszyfrowany(…)”. Z kolei w piśmie z dnia (…) kwietnia 2022 r. Administrator oświadczył, że „(…)w odpowiedzi na pytanie dotyczące wskazania, czy plik z nagraniem znajdujący się na zewnętrznym nośniku danych był zabezpieczony za pomocą hasła lub mechanizmu szyfrowania wskazuję, że przedmiotowy plik nie został w ten sposób zabezpieczony(…)”. Z dokonanych w tym zakresie ustaleń wynika zatem jednoznacznie, że ani plik z danymi osobowymi, ani sam nośnik danych nie zostały w żaden sposób zabezpieczone, co skutkowało bardzo wysokim prawdopodobieństwem uzyskania dostępu do danych osobowych znajdujących się na tym nośniku przez osoby nieuprawnione w przypadku utracenia przesyłki.Ponadto, ww. procedura przewiduje stosowanie kopert depozytowych, które powszechnie stosowane są w celu zwiększenia bezpieczeństwa przesyłanej zawartości, w tym dokumentów zawierających dane osobowe, z uwagi na fakt pojawiania się widocznych znaków w przypadku ingerencji w opakowanie (raz otwarte opakowanie nie może zostać ponownie zaklejone). Powyższe wyjaśnienia Administratora wskazują, że koperta depozytowa zastąpiona została szczelnie zaszytą zszywkami plastikową koszulką, która następnie została przymocowana do pisma przewodniego oraz umieszczona w zwykłej kopercie. Tak przygotowana przesyłka została nadana za pośrednictwem X. S.A. mimo wyraźnego zapisu znajdującego się w I(…), że „(…)”. Pracownicy Administratora nie dostosowali się do zapisów I(…), w tym do punktu wskazującego, że „(…)osoby korzystające z nośników informacji powinny być świadome zagrożeń i zobowiązane są do zachowania należytej staranności poprzez zastosowanie obowiązujących środków organizacyjno-technicznych i prawnych opisanych w I(…)(…)”. Zaznaczyć należy, iż samo wprowadzenie zapisów dotyczących stosowania środków organizacyjnych i technicznych w I(…) nie zwalnia Administratora z weryfikacji, czy przyjęte w ten sposób środki bezpieczeństwa ograniczają bądź całkowicie eliminują ryzyka związane z przetwarzaniem danych przy wykorzystaniu zewnętrznych nośników danych, w tym ryzyko utraty poufności danych w wyniku kradzieży lub zagubienia takiego nośnika. Weryfikacja ta powinna w pierwszej kolejności nastąpić w ramach analizy ryzyka, która w przypadku Rzecznika Dyscyplinarnego Izby Adwokackiej w X, jak wykazano wyżej, została przeprowadzona nieprawidłowo, a następnie w ramach regularnego testowania, mierzenia i oceniania skuteczności stosowanych środków organizacyjnych i technicznych w celu zapewnienia bezpieczeństwa przetwarzanych danych osobowych.

W piśmie z dnia (…) kwietnia 2022 r. Rzecznik Dyscyplinarny Izby Adwokackiej w X. wskazał, iż „(…)pendrive na którym znajdowało się nagranie i który został zagubiony był własnością obrońcy obwinionego w postępowaniu prowadzonym przed Rzecznikiem Dyscyplinarnym Izby Adwokackiej w X.(…)”. W związku z ww. stwierdzeniem należy zauważyć, że dane znajdujące się na zagubionym zewnętrznym nośniku danych stanowią przedmiot ochrony, za który odpowiedzialność bierze Administrator. Zatem nawet przyjmując, iż nośnik ten nie był własnością Administratora, w związku z czym mógł on nie mieć możliwości odpowiedniego jego zabezpieczenia, Rzecznik Dyscyplinarny Izby Adwokackiej w X. powinien był zabezpieczyć plik, który miał zostać wgrany na nośnik, do czego zobowiązywała go zresztą jego własna procedura znajdująca się w I(…), a czego nie uczynił. Należy także zwrócić uwagę na wyrok WSA w Warszawie z dnia 19 stycznia 2021 r., sygn. II SA/Wa 702/20, w uzasadnieniu którego stwierdzono, że „(…) administrator danych powinien odpowiednio zabezpieczyć dane osobowe przed ich przypadkową utratą za pomocą odpowiednich środków technicznych i organizacyjnych. Dane osobowe powinny być bowiem przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu (motyw 39 rozporządzenia 2016/679)”.

W związku z powyższymi ustaleniami należy wskazać, iż Rzecznik Dyscyplinarny Izby Adwokackiej w X., w chwili wystąpienia naruszenia ochrony danych osobowych, pomimo braku określenia środków bezpieczeństwa minimalizujących ryzyko utraty poufności danych w wyniku kradzieży lub zagubienia zewnętrznego nośnika danych z uwagi na nieprawidłowo przeprowadzoną w dniu (…) stycznia 2021 r. analizę ryzyka, był w posiadaniu procedur w zakresie bezpieczeństwa danych przetwarzanych przy użyciu tego typu nośników, w tym przekazywania zewnętrznych nośników danych zawierających dane osobowe osobom trzecim poza kancelarię Administratora. Wątpliwości budzi jednak skuteczność wdrożenia ww. procedur z uwagi na niezastosowanie ich postanowień przez pracowników kancelarii przy wysyłce zewnętrznego nośnika danych z nagraniem rozprawy rozwodowej, co doprowadziło do naruszenia ochrony danych osobowych. Jak wskazał Administrator w piśmie z dnia (…) stycznia 2023 r. „ostatnia weryfikacja przestrzegania przez pracowników procedur zawartych w Instrukcji (…), w tym dotyczących wysyłki nośników danych przed przedmiotowym naruszeniem ochrony danych osobowych miała miejsce podczas regularnego, zaplanowanego na dzień (…) stycznia 2021 r. sprawdzenia w oparciu o procedurę analizy ryzyka w szczególności ust. 10” oraz „regularnie testował i weryfikował skuteczność przyjętych procedur zgodnie z zaplanowanymi i zorganizowanymi, a także udokumentowanymi działaniami w określonych przedziałach czasowych, niezależnie od przebiegu procesów przetwarzania danych, zgodnie z wdrożoną dokumentacją ochrony danych osobowych”. Z zebranego materiału dowodowego jednakże wynika, iż przeprowadzana przez Administratora weryfikacja przyjętych procedur, wbrew jego twierdzeniom, nie była skuteczna biorąc pod uwagę fakt nieprzestrzegania przez pracowników kancelarii Rzecznika Dyscyplinarnego Izby Adwokackiej w X. zapisów I(…) przy wysyłce zewnętrznego nośnika danych, który zaginął, co (w następstwie braku zabezpieczenia znajdującego się na tym nośniku pliku z nagraniem rozprawy rozwodowej) doprowadziło do wystąpienia naruszenia ochrony danych osobowych. Ponadto, wskazany przez Administratora ustęp (…) procedury (…) traktuje o tym, że „ (…)”. Mimo wyraźnego wskazania do złożenia w tym zakresie wyjaśnień oraz dowodów na ich potwierdzenie w skierowanym przez organ nadzorczy do Administratora w dniu (…) stycznia 2023 r. piśmie, Rzecznik Dyscyplinarny Izby Adwokackiej w X. nie przedstawił żadnego dowodu w postaci pisemnego raportu potwierdzającego monitorowanie procedur obowiązujących w jego organizacji, a jedynie zadeklarował istnienie procedur mówiących o regularnym testowaniu środków bezpieczeństwa. Oznacza to, że Administrator wbrew obowiązkowi wynikającemu z art. 5 ust. 2 rozporządzenia 2016/679 nie wykazał, że w tym zakresie realizuje obowiązki wynikające z przepisów rozporządzenia 2016/679.

Podkreślenia wymaga, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem każdego administratora wynikającym z art. 32 ust. 1 lit. d) rozporządzenia 2016/679. Administrator zobowiązany jest więc do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych na każdym etapie przetwarzania. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania. Natomiast w przedmiotowym stanie faktycznym uznać należy, że Administrator nie wywiązywał się należycie z nałożonego na niego obowiązku dotyczącego regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych. Jak wykazano bowiem wyżej, Administrator nie monitorował skuteczności wprowadzonych procedur w ramach I(…), dotyczących obowiązków pracowników kancelarii Rzecznika Dyscyplinarnego Izby Adwokackiej w X. związanych z zabezpieczaniem danych osobowych znajdujących się na wysyłanym zewnętrznym nośniku danych. Wątpliwości może budzić również wynikający z pkt (…) procedury (…) okres, co jaki należy takich przeglądów dokonywać, w przypadku takiej organizacji jak Rzecznik Dyscyplinarny Izby Adwokackiej w X. Jak wskazano bowiem w tym punkcie „Przynajmniej raz w roku (a w przypadku modyfikacji lub planowanych modyfikacji w procesach przetwarzania danych osobowych) należy dokonać przeglądu ryzyka zgodnie z ww. punktami”. Przyjęcie takiego okresu może skutkować bowiem stosowaniem środka (technicznego lub organizacyjnego), który przestał być skuteczny, a więc takiego, który już przestał zapewniać bezpieczeństwo dla przetwarzanych danych osobowych, niezależnie od powodów utraty tej skuteczności. Na marginesie należy także zauważyć, że przyjęta w pkt (…) procedury (…) terminologia oraz opis poszczególnych działań, jakie należy wykonać w ramach przeglądu, sugeruje bardziej opis postępowania z ryzykiem, w tym terminy przeprowadzania analizy ryzyka dla operacji przetwarzania danych osobowych niż opis działań, jakie należy podejmować w ramach regularnego testowania, oceniania i mierzenia skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych. Tymczasem, wskazane testowanie, mierzenie i ocenianie, aby stanowiło realizację wymogu wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, musi być dokonywane w sposób regularny, co oznacza świadome zaplanowanie i zorganizowanie, a także dokumentowanie (w związku z zasadą rozliczalności, o  której mowa w art. 5 ust. 2 rozporządzenia 2016/679) tego typu działań w określonych przedziałach czasowych, niezależnie od zmian w organizacji i przebiegu procesów przetwarzania danych spowodowanych np. zmianą organizacyjną u administratora danych czy zmianą otoczenia prawnego.

Dla wykazania, że przestrzeganie przez pracowników kancelarii Rzecznika Dyscyplinarnego Izby Adwokackiej w X. ww. procedur podlegało weryfikacji Administrator w piśmie z dnia (…) stycznia 2023 r. poinformował, że „Dodatkowo Administrator regularnie szkolił pracowników Kancelarii Rzecznika Dyscyplinarnego (maj 2020 r.) z zakresu procedur zawartych w dokumentacji przetwarzania i ochrony danych osobowych obowiązujących u Rzecznika Dyscyplinarnego Izby Adwokackiej w X. oraz (sierpień 2020 r.) z zakresu naruszeń ochrony danych osobowych, ich rodzajów i procedur ich zgłaszania”. Z ww. wyjaśnień wynika, że szkolenie z zakresu procedur określonych w I(…) miało miejsce w maju 2020 r., a więc rok przed stwierdzeniem naruszenia ochrony danych osobowych polegającego na utracie niezabezpieczonego zewnętrznego nośnika danych z niezabezpieczonym plikiem z nagraniem rozprawy rozwodowej zawierającym dane osobowe, co miało miejsce w dniu (…) maja 2021 r. Należy zatem podkreślić, że przeprowadzanie szkolenia wyłącznie w terminie wskazanym w ww. piśmie Administratora nie jest wystarczającym środkiem oddziaływania na świadomość osób zobowiązanych do ochrony danych osobowych i stosowania procedur określających środki bezpieczeństwa tych danych. Prawidłowo przeprowadzone szkolenia pozwolą osobom szkolonym na właściwe zrozumienie zasad przetwarzania danych osobowych określonych przez Administratora, a w konsekwencji przyczyniają się do ograniczenia ryzyka wystąpienia naruszeń w tym obszarze. Podnieść również należy, że przeprowadzanie szkoleń z zakresu ochrony danych osobowych, aby mogło zostać uznane za adekwatny środek bezpieczeństwa, musi być realizowane w sposób cykliczny, co zapewni stałe przypominanie, a w konsekwencji utrwalenie, zasad przetwarzania danych osobowych objętych szkoleniem. Ponadto, w takich szkoleniach muszą brać udział wszystkie osoby upoważnione do przetwarzania danych osobowych, a samo szkolenie musi obejmować swoim programem wszystkie zagadnienia związane z przetwarzaniem danych osobowych w ramach ustalonego tematu szkolenia. Pominięcie któregoś z tych elementów spowoduje, że szkolenie nie spełni swojej roli, bowiem część osób nie zostanie w ogóle przeszkolona albo uczestnicy szkolenia nie otrzymają pełnej wiedzy w danym zakresie. Konsekwencją powyższego może być naruszenie ochrony danych osobowych, tak jak w sprawie będącej przedmiotem niniejszego postępowania. Co więcej, brak przeprowadzania szkoleń w opisany wyżej sposób oznacza, że ten środek bezpieczeństwa w praktyce nie obniża ryzyka wystąpienia naruszeń ochrony danych osobowych, co niewątpliwie przyczynia się do osłabienia poziomu ochrony danych osobowych i przesądza o konieczności uznania naruszenia przepisów rozporządzenia 2016/679 odnoszących do obowiązków administratora w zakresie bezpieczeństwa danych.

 W świetle wykazanych nieprawidłowości przy przeprowadzaniu analizy ryzyka, doborze środków mających zapewnić bezpieczeństwo danych osobowych przetwarzanych przy użyciu zewnętrznych nośników danych oraz braku udokumentowanego regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania należy uznać, iż Rzecznik Dyscyplinarny Izby Adwokackiej w X. naruszył zasadę poufności danych (art. 5 ust. 1 lit. f) rozporządzenia 2016/679) w związku z naruszeniem obowiązków administratora przy wdrażaniu środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679 (art. 24 ust. 1 rozporządzenia 2016/679), w celu nadania przetwarzaniu niezbędnych zabezpieczeń (art. 25 ust. 1 rozporządzenia 2016/679) i aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku, w tym zdolność do ciągłego zapewnienia poufności (art. 32 ust. 1 rozporządzenia 2016/679) oraz obowiązku uwzględnienia ryzyka wiążącego się z przetwarzaniem, wynikającego z nieuprawnionego dostępu do przetwarzanych danych osobowych, przy ocenie, czy stopień bezpieczeństwa jest odpowiedni (art. 32 ust. 2 rozporządzenia 2016/679). Naruszenie zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679 związane jest z  naruszeniem zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679. Jak wskazał WSA w Warszawie w wyroku z dnia 10 lutego 2021 r., sygn. II SA/Wa 2378/20, „Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych.” Podobnie kwestię zasady rozliczalności WSA w Warszawie interpretuje w wyroku z dnia 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19, „Biorąc pod uwagę całość norm rozporządzenia 2016/679, podkreślić należy, że administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator danych powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 rozporządzenia 2016/679”.

Mając na uwadze powyższe nieprawidłowości, a także treść art. 58 ust. 2 lit. d) rozporządzenia 2016/679, Prezes UODO nakazał Administratorowi dostosowanie operacji przetwarzania do przepisów rozporządzenia 2016/679 poprzez wykonanie analizy ryzyka uwzględniającej zagrożenia związane z utratą wskutek zagubienia lub kradzieży zewnętrznych nośników danych, na których przetwarzane są dane osobowe, a także wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Oceniając okoliczności przedmiotowego naruszenia ochrony danych osobowych, należy podkreślić, że stosując przepisy rozporządzenia 2016/679 należy mieć na uwadze, iż celem tego rozporządzenia (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów - nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy opracowywaniu technicznych i organizacyjnych środków bezpieczeństwa mających im zapobiegać - należy w pierwszej kolejności brać pod uwagę te wartości.

Biorąc pod uwagę powyższe ustalenia oraz stwierdzone naruszenia przepisów rozporządzenia 2016/679, Prezes UODO, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. i) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a)-h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 ust. 4 lit. a) i ust. 5 lit. a) rozporządzenia 2016/679, mając na względzie okoliczności ustalone w przedmiotowym postępowaniu stwierdził, iż w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Administratora administracyjnej kary pieniężnej.

Zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25-39 oraz 42 i 43 podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących  podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Art. 83 ust. 3 rozporządzenia 2016/679 natomiast stanowi, że jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.

W niniejszej sprawie administracyjna kara pieniężna wobec Administratora nałożona została za naruszenie art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a) rozporządzenia 2016/679, natomiast za naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679 - na podstawie art. 83 ust. 5 lit. a) tego rozporządzenia. Jednocześnie administracyjna kara pieniężna w wysokości 28 296 zł (słownie dwadzieścia osiem tysięcy dwieście dziewięćdziesiąt sześć złotych) nałożona na Administratora łącznie za naruszenie wszystkich powyższych przepisów - stosownie do przepisu art. 83 ust. 3 rozporządzenia 2016/679 - nie przekracza wysokości kary za najpoważniejsze stwierdzone w niniejszej sprawie naruszenie, tj. naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679, które stosownie do art. 83 ust. 5 lit. a) rozporządzenia 2016/679 podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Decydując o nałożeniu administracyjnej kary pieniężnej Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:

1. Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
Stwierdzone w niniejszej sprawie naruszenie przepisów ochrony danych osobowych, którego skutkiem była możliwość uzyskania nieuprawnionego dostępu do danych znajdujących się w pliku z nagraniem rozprawy rozwodowej, umieszczonym na utraconym zewnętrznym nośniku danych, przez osobę bądź osoby nieuprawnione (naruszenie zasady poufności), ma znaczną wagę i poważny charakter, stwarza bowiem wysokie ryzyko negatywnych skutków dla co najmniej 8 osób, których dane dotyczą. Naruszenie przez Rzecznika Dyscyplinarnego Izby Adwokackiej w X. obowiązków zastosowania środków zabezpieczających przetwarzane dane przed ich udostępnieniem osobom nieuprawnionym, pociąga za sobą nie tylko potencjalną, ale również realną możliwość wykorzystania tych danych przez podmioty trzecie bez wiedzy i wbrew woli osób, których dane dotyczą, niezgodnie z przepisami rozporządzenia 2016/679. Ponadto, do chwili wydania niniejszej decyzji zaginiony zewnętrzny nośnik danych nie został odnaleziony, więc w dalszym ciągu osoba lub osoby nieuprawnione mogą mieć dostęp do danych osobowych znajdujących się na tym nośniku. Podkreślić również należy długi czas trwania naruszenia przepisów o ochronie danych osobowych, tj. od (…) stycznia 2021 r., kiedy to Administrator przeprowadził w sposób nieprawidłowy, jak wykazano wyżej, analizę ryzyka,  do chwili obecnej.

W niniejszej sprawie brak jest dowodów, aby osoby, do danych których dostęp mogła uzyskać osoba lub osoby nieuprawnione, doznały szkody majątkowej. Niemniej jednak już samo naruszenie poufności ich danych stanowi dla nich szkodę niemajątkową (krzywdę); osoby fizyczne, których dane pozyskano w sposób nieuprawniony, mogą bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, dyskryminacją, czy naruszeniem dobrego imienia. Należy także wskazać, iż zgodnie z uchwałą nr 50/2018 Naczelnej Rady Adwokackiej z dnia 24 listopada 20218 r. Regulamin działania rzeczników dyscyplinarnych i zastępców rzeczników dyscyplinarnych oraz trybu i sposobu ich wyboru, korespondencja prowadzona w sprawach dyscyplinarnych ma charakter poufny, a Rzecznika Dyscyplinarnego Izby Adwokackiej w X. obejmuje tajemnica adwokacka w zakresie prowadzonych przez niego postępowań.

2. Umyślny lub nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
Nieuprawniony dostęp do danych osobowych osób, których dane znajdują się na nagraniu rozprawy rozwodowej zamieszczonym na utraconym zewnętrznym nośniku danych, stał się możliwy na skutek niedochowania należytej staranności przez Rzecznika Dyscyplinarnego Izby Adwokackiej w X. W ocenie organu nadzorczego stanowi to o nieumyślnym charakterze naruszenia, wynikającym z niedbalstwa Administratora, gdyż Rzecznik Dyscyplinarny Izby Adwokackiej w X., pomimo nieprawidłowo przeprowadzonej analizy ryzyka, posiadał wdrożoną procedurę przesyłania zewnętrznych nośników danych wraz z określeniem środków organizacyjnych gwarantujących, w ocenie Administratora, odpowiedni stopień bezpieczeństwa danych przetwarzanych za pomocą tych nośników. Pomimo jej opracowania, pracownicy Administratora nie zastosowali się do jej postanowień regulujących działania, jakie należy podjąć w celu zapewnienia bezpieczeństwa danych przesyłanych na zewnętrznym nośniku danych. Poddaje to w wątpliwość skuteczność prowadzonych przez Administratora szkoleń pracowników w tym zakresie oraz okresowych weryfikacji przestrzegania zapisów tych procedur.

3. Kategorie danych osobowych, których dotyczyło naruszenie  (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Dane osobowe, znajdujące się na utraconym zewnętrznym nośniku danych, tj. imię i nazwisko, głos, dane dotyczące szczegółów życia rodzinnego, relacji stron oraz podejrzeń o niewierność małżeńską, co do zasady nie są uznawane za należące do szczególnych kategorii danych osobowych, jednakże kontekst charakteru wydarzenia, w ramach którego zostały utrwalone w formie nagrania, tj. rozprawy rozwodowej, może przesądzić o tym, że będą one podlegać takiej ochronie, jak dane osobowe szczególnych kategorii, a w konsekwencji wiązać się będzie z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem. Świadczy o tym także przyjęty przez Administratora poziom ryzyka, który w pkt 8B formularza zgłoszenia naruszenia ochrony danych osobowych wskazał, że naruszenie powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Wobec powyższego, nie można wykluczyć wystąpienia szkody niemajątkowej (krzywdy), gdyż osoby fizyczne, których dane znajdowały się na tym nośniku, mogą odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, dyskryminacją, a także naruszeniem dobrego imienia.

Ustalając wysokość administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych uwzględnił jako okoliczność łagodzącą, mającą wpływ na obniżenie wysokości wymierzonej kary fakt, iż rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej [art. 83 ust. 2 lit k) rozporządzenia 2016/679].

Żadnego wpływu na fakt zastosowania przez Prezesa UODO w niniejszej sprawie sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały inne, wskazane w art. 83 ust. 2 rozporządzenia 2016/679, okoliczności:

1. Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).
Bezpośrednio po ujawnieniu naruszenia ochrony danych osobowych Rzecznik Dyscyplinarny Izby Adwokackiej w X. złożył reklamację u operatora pocztowego.  Administrator również przekazał podmiotom danych prawidłowe zawiadomienie o naruszeniu ochrony danych wraz ze wskazaniem, w jaki sposób mogą zabezpieczyć swoje dane osobowe przed dalszym wykorzystaniem. Należy jednak zaznaczyć, iż zawiadomienie osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych stanowi wypełnienie prawnego obowiązku wynikającego z art. 34 ust. 1 i 2 rozporządzenia 2016/679, a jak stanowią Wytyczne Wp. 253 (w odniesieniu do przesłanki „sposobu, w jaki organ nadzorczy dowiedział się o naruszeniu”) „[z]wykłe dopełnienie […] obowiązku przez Administratora nie może być interpretowane jako czynnik osłabiający/łagodzący”.

2. Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
Przyjęte w dniu 3 października 2017 r. Wytyczne Grupy Roboczej ds. Ochrony Danych Art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 wskazują, iż rozpatrując tę przesłankę „organ nadzorczy musi odpowiedzieć na pytanie, w jakim stopniu administrator «zrobił wszystko, czego można by było oczekiwać», zważywszy na charakter, cele lub zakres przetwarzania oraz w świetle obowiązków nałożonych na niego przez rozporządzenie”.

Prezes UODO stwierdził w niniejszej sprawie naruszenie przez Rzecznika Dyscyplinarnego Izby Adwokackiej w X. przepisów art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679. W jego ocenie na administratorze ciąży w wysokim stopniu odpowiedzialność za niewdrożenie odpowiednich środków technicznych i organizacyjnych, które zapobiegłyby naruszeniu ochrony danych osobowych. Oczywistym jest, że w rozważanym kontekście charakteru, celu i zakresu przetwarzania danych osobowych Administrator nie „zrobił wszystkiego, czego można by było od niego oczekiwać”; nie wywiązał się tym samym z nałożonych na nią przepisami art. 25 i 32 rozporządzenia 2016/679 obowiązków.

W niniejszej sprawie okoliczność ta stanowi jednak o istocie samego naruszenia; nie jest jedynie czynnikiem wpływającym - łagodząco lub obciążająco - na jego ocenę. Z tego też względu brak odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 25 i art. 32 rozporządzenia 2016/679, nie może zostać przez Prezesa UODO uznany w niniejszej sprawie za okoliczność mogącą dodatkowo wpłynąć na surowszą ocenę naruszenia i wymiar nałożonej na Administratora administracyjnej kary pieniężnej.

3. Wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust. 2 lit. e rozporządzenia 2016/679).
Prezes UODO nie stwierdził stosownych wcześniejszych naruszeń rozporządzenia 2016/679 przez Rzecznika Dyscyplinarnego Izby Adwokackiej w X., w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej, jednakże do obowiązków każdego administratora należy przestrzeganie przepisów prawa (w tym przepisów dotyczących ochrony danych osobowych), w związku z czym brak wcześniejszych naruszeń ochrony danych osobowych nie może zostać uznany za okoliczność łagodzącą przy wymierzaniu sankcji.

4.Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679).
Rzecznik Dyscyplinarny Izby Adwokackiej w X. prawidłowo wywiązywał się z ciążących na nim obowiązków procesowych w trakcie postępowania administracyjnego, zakończonego wydaniem niniejszej decyzji.

5. Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).
Prezes UODO stwierdził naruszenie w wyniku zgłoszenia naruszenia ochrony danych osobowych dokonanego przez Rzecznika Dyscyplinarnego Izby Adwokackiej w X. Administrator dokonując tego zgłoszenia realizował jedynie ciążący na nim obowiązek prawny, brak jest zatem podstaw do uznania, że okoliczność ta stanowi okoliczność łagodzącą. Zgodnie z Wytycznymi w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 (Wp. 253) „Organ nadzorczy może dowiedzieć się o naruszeniu w wyniku postępowania, skarg, artykułów w prasie, anonimowych wskazówek lub powiadomienia przez administratora danych. Zgodnie z rozporządzeniem administrator ma obowiązek zawiadomić organ nadzorczy o naruszeniu ochrony danych osobowych. Zwykłe dopełnienie tego obowiązku przez administratora nie może być interpretowane jako czynnik osłabiający/łagodzący”.

6. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował w wobec administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.

7. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).
Rzecznik Dyscyplinarny Izby Adwokackiej w X. nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak - jak stanowią przepisy rozporządzenia 2016/679 - obowiązkowe dla administratorów i podmiotów przetwarzających w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na korzyść Administratora natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.

8. Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO nie stwierdził, żeby administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej administratora. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla Administratora. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.

W ocenie Prezesa UODO, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. będzie w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Zdaniem Prezesa UODO nałożona na Rzecznika Dyscyplinarnego Izby Adwokackiej w X. administracyjna kara pieniężna będzie skuteczna, albowiem doprowadzi do stanu, w którym Rzecznik Dyscyplinarny Izby Adwokackiej w X. stosował będzie takie środki techniczne i organizacyjne, które zapewnią przetwarzanym danym stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób, których dane dotyczą oraz wadze zagrożeń towarzyszącym procesom przetwarzania tych danych osobowych. Skuteczność administracyjnej kary pieniężnej równoważna jest zatem gwarancji tego, iż Rzecznik Dyscyplinarny Izby Adwokackiej w X. od momentu zakończenia niniejszego postępowania będzie z najwyższą starannością podchodzić do wymogów stawianych przez przepisy o ochronie danych osobowych.

Zastosowana administracyjna kara pieniężna jest również proporcjonalna do stwierdzonego naruszenia, w tym zwłaszcza jego wagi, skutku, kręgu dotkniętych nim osób fizycznych oraz bardzo wysokiego ryzyka negatywnych konsekwencji, jakie w związku z naruszeniem ponoszą. Zdaniem Prezesa UODO, nałożona na Rzecznika Dyscyplinarnego Izby Adwokackiej w X. administracyjna kara pieniężna nie będzie stanowiła nadmiernego dla niego obciążenia. Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność jej uiszczenia pociągnie za sobą negatywne następstwa, w postaci istotnego pogorszenia sytuacji finansowej Administratora. Zdaniem Prezesa UODO, Rzecznik Dyscyplinarny Izby Adwokackiej w X. powinien i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, stąd nałożenie administracyjnej kary pieniężnej w wysokości 23 580 zł (słownie dwadzieścia trzy tysiące pięćset osiemdziesiąt złotych) jest w pełni uzasadnione.

W ocenie Prezesa Urzędu Ochrony Danych Osobowych, administracyjna kara pieniężna spełni w tych konkretnych okolicznościach funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Rzecznika Dyscyplinarnego Izby Adwokackiej w X. przepisów rozporządzenia 2016/679, ale i prewencyjną, bowiem przyczyni się do zapobiegania w przyszłości naruszania przez Rzecznika Dyscyplinarnego Izby Adwokackiej w X. obowiązków wynikających z przepisów o ochronie danych osobowych.

W ocenie Prezesa UODO, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad rozporządzenia 2016/679 – zwłaszcza zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679.

Stosownie do treści art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.

Mając powyższe na uwadze, Prezes Urzędu Ochrony Danych Osobowych, na podstawie art. 83 ust. 4 lit. a) i art. 83 ust. 5 lit. a) w związku z art. 83 ust. 3 rozporządzenia 2016/679 oraz w związku z art. 103 ustawy z dnia 10 maja 20218 r. o ochronie danych osobowych, za naruszenie opisane w sentencji niniejszej decyzji, nałożył na Rzecznika Dyscyplinarnego Izby Adwokackiej w X. - stosując średni kurs euro z dnia 30 stycznia 2023 r. (1EUR= 4,7160 PLN) - administracyjną karę pieniężną w kwocie 23 580 PLN (co stanowi równowartość 5000 EUR).

Celem nałożonej administracyjnej kary pieniężnej jest doprowadzenie do przestrzegania przez Rzecznika Dyscyplinarnego Izby Adwokackiej w X. w przyszłości przepisów rozporządzenia 2016/679, a w konsekwencji do prowadzenia procesów przetwarzania danych zgodnie z obowiązującymi przepisami prawa.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Podmiot udostępniający: Departament Kontroli i Naruszeń
Wytworzył informację:
user Jan Nowak
date 2023-04-20
Wprowadził informację:
user Wioletta Golańska
date 2023-05-17 15:16:09
Ostatnio modyfikował:
user Edyta Madziar
date 2023-05-18 12:54:59