DOKE.561.7.2024

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 2024 r., poz. 572) w związku z art. 7 ust. 1 i 2 oraz art. 60ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz na oraz na podstawie art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. b) w związku z art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4 maja 2016 r., str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23 maja 2018 r., str. 2, oraz w Dz. Urz. UE L 74 z 4 marca 2021 r., str. 35), dalej jako: „rozporządzenie 2016/679”, po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na Samodzielny Publiczny Zakład Opieki Zdrowotnej w R. z siedzibą w R. przy ul. W., Prezes Urzędu Ochrony Danych Osobowych

udziela upomnienia Samodzielnemu Publicznemu Zakładowi Opieki Zdrowotnej w R. z siedzibą w R. przy ul. W. za naruszenie przepisów art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679, polegające na braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ramach wykonywania przez niego jego zadań oraz niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań w postępowaniu o sygn. (…).

UZASADNIENIE

Stan faktyczny

1. Do Prezesa Urzędu Ochrony Danych Osobowych (dalej jako: „Prezes UODO”) w dniu 31 sierpnia 2023 r. wpłynęło wstępne zgłoszenie naruszenia ochrony danych osobowych dokonane przez Samodzielny Publiczny Zakład Opieki Zdrowotnej w R. z siedzibą w R. przy ul. W. (dalej jako: „Administrator” lub „SP ZOZ”). Zgodnie z treścią zgłoszenia naruszenie polegało na omyłkowym załączeniu plików zawierających dane osobowe (…) zatrudnionych na podstawie (…) w SP ZOZ w pakiecie instalacyjnym systemu, którego dostawcą jest S. S.A. z siedzibą w W. (podmiot przetwarzający). Wyjaśnienie tej kwestii wymagało podjęcia dodatkowych działań, w szczególności pozyskania informacji o celach wykorzystywania systemu dostarczonego przez S. S.A., kategorii danych przetwarzanych w tym systemie, ilości osób w nim przetwarzanych, informacji, czy system ten jest użytkowany do chwili obecnej oraz czy Administrator uzyskał od S. S.A. precyzyjne informacje na temat konkretnych plików lub danych osobowych, które na skutek niezamierzonego pobierania do pakietu instalacyjnego systemu, zostały następnie ujawnione na rzecz podmiotu trzeciego (innego użytkownika systemu). W związku z tym, Prezes UODO trzykrotnie zwracał się do Administratora – pismami z: 12 października 2023 r., 21 listopada 2023 r., 10 stycznia 2024 r. z żądaniem złożenia wyjaśnień w ww. zakresie. Ww. pisma, wysłane na adres siedziby Administratora ujawniony w Rejestrze Stowarzyszeń, Innych Organizacji Społecznych i Zawodowych, Fundacji oraz Samodzielnych Publicznych Zakładów Opieki Zdrowotnej (tj. ul. W., R.), zostały odebrane przez adresata – odpowiednio: 19 października 2023 r., 24 listopada 2023 r., 15 stycznia 2024 r.
2. Na wezwania organu nadzorczego zawarte w pismach z: 12 października 2023 r., 21 listopada 2023 r. oraz 10 stycznia 2024 r. Administrator wprawdzie złożył wyjaśnienia pismami, które wpłynęły do Urzędu Ochrony Danych Osobowych (dalej jako „UODO”) 3 listopada 2023 r. oraz 26 lutego 2024 r., jednakże wyjaśnienia te nie pozwoliły organowi nadzorczemu na wszechstronną ocenę zgłoszonego incydentu. Uwzględniając otrzymane informacje oraz potrzebę dokonania wszechstronnej oceny zgłoszonego incydentu, Prezes UODO ponownie – pismami z 16 kwietnia 2024 r. i z 18 czerwca 2024 r. – zwrócił się do Administratora z żądaniem podjęcie stosownych działań mających na celu:

1)      ponowne i prawidłowe zawiadomienie osoby, której dane dotyczą o naruszeniu ochrony jej danych osobowych,

2)      wskazanie imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,

3)      przekazanie tej osobie szczegółowych informacji dotyczących opisu możliwych konsekwencji naruszenia ochrony danych osobowych,

4)      wyeliminowanie podobnych nieprawidłowości w przyszłości.

3. Wezwania te, skierowane na adres rejestrowy Administratora, zostały odebrane przez niego – odpowiednio: 19 kwietnia 2024 r. oraz 25 czerwca 2024 r. Mimo odbioru korespondencji Administrator nie przedstawił żadnych wyjaśnień umożliwiających organowi dalsze procedowanie w sprawie, a także nie uzasadnił w żaden sposób zaistniałego po jego stronie zaniechania.
4. Każde z ww. skierowanych do Administratora pism Prezesa UODO zawierało pouczenie o tym, że brak złożenia wyjaśnień w żądanym przez organ nadzorczy zakresie może skutkować nałożeniem na Administratora administracyjnej kary pieniężnej zgodnie z art. 83 ust. 5 lit. e) rozporządzenia 2016/679.
5. Powyższe okoliczności stanu faktycznego Prezes UODO ustalił na podstawie całokształtu korespondencji urzędowej, wystosowanej przez Prezesa UODO do Administratora, znajdującej się w aktach postępowania o sygn. (…).Korespondencja ta odzwierciedla całokształt prób uzyskania przez Prezesa UODO dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań – to jest do rozpatrzenia sprawy o sygn. (…).Z drugiej zaś strony, stanowi bezpośredni dowód braku współpracy Administratora z Prezesem UODO w ramach wykonywania przez niego jego zadań.

Postępowanie

6. W związku z nieudzieleniem przez Administratora wyczerpujących informacji niezbędnych do zbadania sprawy o sygn. (…), Prezes UODO wszczął z urzędu – na podstawie art. 83 ust. 5 lit. e) rozporządzenia 2016/679 – niniejsze postępowanie administracyjne o sygn. DOKE.561.7.2024, w przedmiocie nałożenia na Administratora administracyjnej kary pieniężnej, w związku z naruszeniem art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679. O wszczęciu postępowania Administrator został poinformowany pismem z 01 października 2024 r. (sygn. DOKE.561.7.2024), doręczonym Administratorowi 3 października 2024 r. Pismem tym, Administrator został poinformowany, że okoliczność złożenia wyczerpujących wyjaśnień, o które Prezes UODO uprzednio zwracał się do niego w postępowaniu o sygn. (…), może wpłynąć łagodząco na wymiar wymierzonej w niniejszym postępowaniu administracyjnej kary pieniężnej bądź spowodować odstąpienie od jej nałożenia.
7. W odpowiedzi na informację o wszczęciu przez Prezesa UODO postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej – pismem z 17 października 2024 r. oraz pismem z 30 października 2024 r. – pełnomocnik Administratora (pełnomocnictwo w aktach sprawy o sygn. DOKE.561.7.2024) uzupełnił złożone wcześniej wyjaśnienia, m.in. o informację o ponownym zawiadomieniu osoby, której dane dotyczą o naruszeniu jej danych osobowych. Osoba ta zawiadomiona została o naruszeniu jej danych osobowych pismem z 18 kwietnia 2024 r., które doręczone zostało jej osobiście na spotkaniu w SP ZOZ. Dodatkowo inspektor ochrony danych osobowych obecny na tym spotkaniu wytłumaczył osobie, której dane zostały naruszone na czym polegało naruszenie jej danych osobowych, wskazał potencjalne zagrożenia wynikające z naruszenia, a także jakie kroki należy podjąć w celu zabezpieczenia się przed negatywnymi skutkami tego incydentu. Ponadto, pełnomocnik Administratora złożył dodatkowe wyjaśnienia dotyczące m.in. podstawy współpracy SP ZOZ z S. S.A. z siedzibą w W. (podmiot przetwarzający), tj. dostawcą systemu, którego naruszenie dotyczyło.
8. W kwestii naruszenia art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679, pełnomocnik Administratora oświadczył, że brak właściwej współpracy z Prezesem UODO, spowodowany był jedynie względami technicznymi, które zaistniały w SP ZOZ. Pełnomocnik SP ZOZ przygotowujący treść odpowiedzi na wezwania Prezesa UODO z 16 kwietnia 2024 r. oraz z 18 czerwca 2024 r. przesłał je drogą elektroniczną (e-mail) na skrzynkę odbiorczą Administratora w postaci pliku. Filtr ochronny stosowany przez pełnomocnika spowodował, że Microsoft Outlook zablokował do niego dostęp jako potencjalnie niebezpiecznego. Administrator ma świadomość, że ww. okoliczność nie stanowi wytłumaczenia „bierności” SP ZOZ na wezwania Prezesa UODO ale pokazuje, że w zachowaniu Administratora nie zaistniał świadomy i celowy brak woli współpracy w zapewnieniu organowi nadzorczemu dostępu do wszelkich informacji niezbędnych do rozstrzygnięcia sprawy. Administrator wyjaśnił także, że w odpowiedzi na wezwanie Prezesa UODO z 16 kwietnia 2024 r. (sygn. (…)) nakazujące ponowne zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony jej danych osobowych zostało niezwłocznie przez SP ZOZ wykonane (dowód: pismo z 18 kwietnia 2024 r. doręczone osobie, której dane dotyczą, o naruszeniu ochrony jej danych osobowych). Oznacza to, że Administrator poprzez ww. zachowanie przejawiał wolę wywiązania się z ciążących na nim obowiązków. Administrator ma świadomość, że niezłożenie wyjaśnień Prezesowi UODO na wezwanie z 16 kwietnia 2024 r. oraz z 18 czerwca 2024 r. we wskazanym przez niego terminie stanowi naruszenie art. 31 rozporządzenia 2016/679. Jednak podjęta przez niego współpraca wyklucza lekceważący stosunek do prowadzonego przez organ ochrony danych postępowania (sygn. (…)). Obecnie SP ZOZ udzielił Prezesowi UODO odpowiedzi na wszystkie wezwania do niego skierowane. W związku z tym, że Administrator podjął współpracę z organem nadzorczym poprzez udzielenie odpowiedzi na wszystkie ww. wezwania, wyrażając czynny żal wniósł prośbę do Prezesa UODO o odstąpienie od nałożenia na niego administracyjnej kary pieniężnej za uchybienie obowiązkom wynikającym z art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679.

Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Przepisy prawne

9. Zgodnie z art. 57 ust. 1 lit. a) rozporządzenia 2016/679, Prezes UODO, jako organ nadzorczy w rozumieniu art. 51 rozporządzenia 2016/679, na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO m. in. prowadzi postępowania w sprawie stosowania niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego (art. 57 ust. 1 lit. h) rozporządzenia 2016/679).
10. Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a) rozporządzenia 2016/679) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e) rozporządzenia 2016/679).
11. Naruszenie przepisów rozporządzenia 2016/679, polegające na niezapewnieniu przez organ publiczny będący administratorem lub podmiotem przetwarzającym dostępu do danych i informacji, o których mowa powyżej, skutkującym naruszeniem uprawnień organu określonych w art. 58 ust. 1 rozporządzenia 2016/679 (w tym uprawnień do uzyskania danych osobowych i informacji niezbędnych do realizacji jego zadań oraz do uzyskania dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych), podlegać zaś może – zgodnie z art. 83 ust. 5 lit e) in fine rozporządzenia 2016/679 w związku z art. 102 ust. 1 i 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej „u.o.d.o.” – administracyjnej karze pieniężnej w wysokości do 100 000 złotych. Wskazać należy ponadto, że administrator i podmiot przetwarzający obowiązani są współpracować z organem nadzorczym w ramach wykonywania przez niego zadań, o czym stanowi art. 31 rozporządzenia 2016/679. Niewywiązanie się z tego obowiązku również zagrożone jest - zgodnie z art. 83 ust. 4 lit. a)rozporządzenia 2016/679 w związku z art. 102 ust. 1 i 3 u.o.d.o. – administracyjną karą pieniężną w wysokości do 100 000 złotych.
12. Prezesowi UODO przysługuje ponadto szereg określonych w art. 58 ust. 2 rozporządzenia 2016/679 uprawnień naprawczych, w tym prawo udzielenia upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia 2016/679 przez operacje przetwarzania. Zgodnie z motywem 148 rozporządzenia 2016/679, aby egzekwowanie jego przepisów było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy rozporządzenia 2016/679 przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte przez administratora dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
13. Stosownie do art. 60 u.o.d.o. postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych jest prowadzone przez Prezesa UODO. Z kolei art. 7 ust. 1 u.o.d.o. stanowi, że w sprawach nieuregulowanych w tej ustawie do postępowań administracyjnych przed Prezesem UODO (w tym w postępowaniach w przedmiocie nałożenia administracyjnej kary pieniężnej, o których mowa w Rozdziale 11 u.o.d.o.) stosuje się przepisy ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 2024 r., poz. 572), zwanej dalej: „k.p.a.”. Zgodnie z art. 7 ust. 2 u.o.d.o. postępowania te są postępowaniami jednoinstancyjnymi.

Ocena prawna

14. Odnosząc przytoczone powyżej przepisy rozporządzenia 2016/679 do ustalonego w niniejszej sprawie stanu faktycznego stwierdzić należy, że Administrator, jako strona postępowania o sygn. (…), poprzez brak udzielenia merytorycznej odpowiedzi na wezwania (pisma z 16 kwietnia 2024 r. i z 18 czerwca 2024 r.) Prezesa UODO do złożenia wyjaśnień naruszył obowiązek współpracy z organem nadzorczym oraz obowiązek zapewnienia Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań – wynikające z art. 31 oraz 58 ust. 1. lit. a) i lit. e) rozporządzenia 2016/679.
15. Uniemożliwianie uzyskania dostępu do wszystkich informacji, których Prezes UODO żądał od Administratora, a które niewątpliwie były w jego posiadaniu, stało na przeszkodzie wnikliwemu rozpatrzeniu sprawy i skutkowało nieuzasadnionym przedłużaniem postępowania, co stoi z kolei w sprzeczności z podstawowymi zasadami rządzącymi postępowaniem administracyjnym – określonymi w art. 12 ust. 1 k.p.a. zasadami wnikliwości i szybkości postępowania.
16. W toku postępowania o sygn. (…) Prezes UODO kilkakrotnie wzywał Administratora do przedłożenia informacji niezbędnych do dokonania oceny zgłoszonego naruszenia. Pierwsze trzy pisma spośród wystosowanych do Administratora pism, doręczone mu odpowiednio w dniach: 19października 2023 r., 24 listopada 2023 r. oraz 15 stycznia 2024 r., zawierały wezwanie do złożenia wyjaśnień dotyczących wstępnego zgłoszenia naruszenia ochrony danych osobowych. Administrator wprawdzie złożył wyjaśnienia pismami, które wpłynęły do UODO 3 listopada 2023 r. oraz 26 lutego 2024 r., jednakże wyjaśnienia te nie pozwoliły organowi nadzorczemu na wszechstronną ocenę zgłoszonego incydentu. Kolejnymi dwoma pismami: z 16 kwietnia 2024 r. i z 18 czerwca 2024 r. wystosowanymi w sprawie Prezes UODO zwrócił się do Administratora z żądaniem uzupełnienia złożonych wyjaśnień. Pisma te – doręczone Administratorowi odpowiednio 19 kwietnia 2024 r. oraz 25 czerwca 2024 r. – pozostały bez żadnej reakcji z jego strony. Okoliczność doręczenia ww. korespondencji uzasadnia przekonanie, że Administrator miał obiektywną możliwość zapoznania się z treścią kierowanych do niego pism oraz udzielenia na nie odpowiedzi w zakreślonym przez organ nadzorczy terminie. Opisywane zaniechanie Administratora, bezsporne wobec zgromadzonego w niniejszej sprawie materiału dowodowego, spowodowało konieczność wszczęcia niniejszego postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej. Dopiero bezpośredni kontakt telefoniczny zainicjowany przez pracownika UODO spowodował, że Administrator wznowił współpracę z Prezesem UODO i pismem z 17października 2024 r. oraz pismem z 30 października 2024 r. pełnomocnik Administratora udzielił żądanych wyjaśnień – co pozwoliło Prezesowi UODO na dalsze prowadzenie czynności w ww.sprawie.
17. Uwzględniając powyższe ustalenia nie budzi wątpliwości fakt, że Administrator swoim zachowaniem dopuścił się naruszenia przepisów rozporządzenia 2016/679. Przedstawione przez pełnomocnika Administratora uzasadnienie braku odpowiedzi na wezwania Prezesa UODO, choć wiarygodne oraz mające istotny wpływ na ocenę zachowania Administratora w kontekście wyboru zastosowanej wobec niego w niniejszym postępowaniu sankcji, nie zdejmuje bowiem z niego odpowiedzialności za stwierdzone zaniechanie. Wynika to z faktu, że na Administratorze spoczywa ciężar zapewnienia takiego obiegu korespondencji przesyłanej także za pomocą elektronicznej poczty wewnątrz organizacji Administratora, który zezwoli na efektywne oraz terminowe wywiązywanie się z nałożonych na niego obowiązków, w tym przypadku udzielenia odpowiedzi na wezwanie Prezesa UODO w ramach postępowania o sygn. (…).
18. Mimo oczywistego zaniedbania po stronie Administratora, Prezes UODO stanął na stanowisku, że stwierdzone naruszenie, polegające na braku współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań oraz niezapewnieniu Prezesowi UODO dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań – jakkolwiek wysoce naganne – zostało przez Administratora usunięte niezwłocznie po powzięciu informacji o niniejszym postepowaniu w przedmiocie nałożenia administracyjnej kary pieniężnej, tj. z chwilą wpłynięcia do UODO w dniu 17 października 2024 r. oraz 30 października 2024 r. kolejnych wyjaśnień Administratora. Składając szczegółowe wyjaśnienia, Administrator wykazał aktywną postawę oraz gotowość do dalszej współpracy z organem nadzorczym, zarówno w niniejszym postępowaniu, jak i w ewentualnych przyszłych postępowaniach wszczętych przez Prezesa UODO, których Administrator byłby stroną. Prowadzi to do wniosku, że brak odpowiedzi Administratora na wezwania Prezesa UODO nie wynikał ze złej woli Administratora i nie miał na celu świadomego utrudniania prowadzonego przez organ nadzorczy postępowania. W ocenie Prezesa UODO, samo już wszczęcie postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej oraz realna perspektywa wymierzenia kary finansowej stały się dla Administratora wyraźnym sygnałem tego, iż dalsze uchylanie się od obowiązków nałożonych przepisami rozporządzenia 2016/679, nieuchronnie prowadziło będzie do zastosowania wobec niego najsurowszych, przewidzianych tymi przepisami sankcji.
19. Mając powyższe na uwadze, Prezes UODO uznał za uzasadnione udzielenie Administratorowi upomnienia w zakresie stwierdzonego naruszenia art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679, przyjmując jednocześnie, że w świetle kryteriów określonych w art. 83 ust. 2 rozporządzenia 2016/679 będzie ono skuteczne i wystarczające. Należy jednak zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Administratora będzie uwzględnione przy ocenie przesłanek warunkujących zasadność wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 rozporządzenia 2016/679 i poczytywane będzie na jego niekorzyść.

W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął jak w sentencji niniejszej decyzji.

Pouczenie

Decyzja jest ostateczna. Od decyzji Stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 – 193 Warszawa). Wpis od skargi wynosi 200 zł. W postępowaniu przed Wojewódzkim Sądem Administracyjnym Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.