I. stwierdzając naruszenie przez Wspólnotę Mieszkaniową „(…)” w S., przepisów:
a) art. 5 ust. 1 lit. a) oraz art. 28 ust. 1, 3 i 9 rozporządzenia 2016/679, polegające na powierzeniu przez Wspólnotę Mieszkaniową z siedzibą w S., ul. (…), (…) M. G. prowadzącej działalność gospodarczą pod firmą „(…)”, ul. (…), przetwarzania danych osobowych członków tej Wspólnoty bez zawartej na piśmie umowy powierzenia oraz bez przeprowadzenia weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą,
b) art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych przez Wspólnotę Mieszkaniową „(…)” w S., naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu tego naruszenia,
c) art. 34 ust. 1 i 2 rozporządzenia 2016/679, polegające na braku zawiadomienia przez Wspólnotę Mieszkaniową „(…)” w S., o naruszeniu ochrony danych osobowych bez zbędnej zwłoki, osób, których dane dotyczą, oraz nieprzekazaniu tym osobom przynajmniej informacji i środków, o których mowa w art. 33 ust. 3 lit. b), c) i d) rozporządzenia 2016/679,
nakłada na Wspólnotę Mieszkaniową „(…)” w S., administracyjną karę pieniężną w wysokości 1 556,28 PLN (słownie: jeden tysiąc pięćset pięćdziesiąt sześć złotych dwadzieścia osiem groszy).
II. nakazuje zawiadomienie, w terminie 3 dni od dnia doręczenia niniejszej decyzji, osób, których dane przetwarzane były na skradzionej kopii aktu notarialnego, o naruszeniu ochrony ich danych osobowych, w celu przekazania tym osobom wymaganych informacji i środków zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, tj.:
• opisu charakteru naruszenia ochrony danych osobowych;
• imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
• opisu możliwych konsekwencji naruszenia ochrony danych osobowych;
• opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
Uzasadnienie
W dniu […] października 2020 r. do Urzędu Ochrony Danych Osobowych wpłynęło anonimowe zgłoszenie, dotyczące możliwości wystąpienia naruszenia ochrony danych osobowych lokatorów przez Wspólnotę Mieszkaniową „(…)” w S., zwanej dalej Wspólnotą, przekazane wg. właściwości przez (…) Urzędu Skarbowego w B. Z zawartych ww. zawiadomieniu informacji wynikało, że „(…) do nieuprawnionego ujawnienia danych osobowych (…)” mogło dojść u (…) M. G., prowadzącej działalność gospodarczą związaną z profesjonalnym zarządem nieruchomościami (m.in. na rzecz ww. Wspólnoty) pod firmą „(…)” z miejscem jej wykonywania przy ul. (…), zwanej dalej Zarządcą. Sprawa „(…) wyciek[u] danych osobowych lokatorów (…)” została zarejestrowana przez tutejszy Urząd pod sygn. DKN.[…].
Prezes Urzędu Ochrony Danych Osobowych, zwany dalej Prezesem UODO, na podstawie uzyskanego sygnału o możliwości naruszenia przepisów o ochronie danych osobowych, zwrócił się dnia […] listopada 2020 r. w trybie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679 do Wspólnoty o wyjaśnienie, czy w związku z przedmiotowym incydentem bezpieczeństwa została przeprowadzona analiza pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny oraz czy doszło do naruszenia ochrony danych, skutkującego koniecznością odpowiedniej jego notyfikacji zarówno organowi nadzorczemu, jak i osobom, których dane dotyczą. W odpowiedzi udzielonej organowi w dniu […] listopada 2020 r. Zarządca potwierdził, że świadczy na rzecz Wspólnoty usługi z zakresu administrowania nieruchomościami oraz że w lutym 2020 r. doszło do kradzieży dokumentacji Wspólnoty, zawierającej następujące kategorie danych osobowych: „(…) imiona i nazwiska poszczególnych właścicieli, adresy zamieszkań, nr kont, z których właściciele uiszczali opłaty czynszowe, dane firm wykonujących usługi na tym budynku (…)”. Zarządca Wspólnoty przekazał również, że „(…) [s]prawa została zgłoszona na [P]olicję (…)”, zaś „(…) sprawą kradzieży dokumentów zajmuje się Prokuratura w B. (…)”.
W związku z otrzymaną odpowiedzią Zarządcy, Prezes UODO, pismem z dnia […] listopada 2020 r. zwrócił się do (…) M. G. o: poinformowanie, czy Zarządca powiadomił administratora danych, jakim jest Wspólnota, o przedmiotowym naruszeniu ochrony danych, zgodnie z art. 33 ust. 2 rozporządzenia 2016/679, a jeżeli tak, to kiedy i w jakiej formie; wskazanie jakiego rodzaju dokumenty zostały skradzione, a także o przedstawienie zakresu kategorii danych osobowych właścicieli lokali przetwarzanych w skradzionej dokumentacji. Wobec braku odpowiedzi, Prezes UODO w dniu […] stycznia 2021 r. ponownie zwrócił się do Zarządcy o przekazanie ww. informacji, a ponadto o wskazanie, czy pozostaje on w stałym kontakcie z administratorem danych, a w przypadku odpowiedzi twierdzącej, o podanie adresu Wspólnoty.
W replice z dnia […] stycznia 2021 r. Zarządca poinformował, że „(…) sprawa zaginięcia dokumentów wspólnoty mieszkaniowej w S. zgłoszona została dnia […] lutego 2020 roku (…)”, nadmienił przy tym, że „(…) [w] dniu […] lutego 2020 roku (…)” zwołał „(…) zebranie właścicieli w/w budynku, poinformowani zostali o zaistniałej sytuacji. W dokumentacji jaka zaginęła były protokoły z przeprowadzonych kontroli: gazowy, techniczny, kominiarski, znajdowały się tam również wyciągi bankowe wspólnoty, faktury od dostawców (…)”. Wskazał też, że „(…) na wyciągach bankowych znajdowały się imiona i nazwiska wpłacających, ich adresy zamieszkania oraz w niektórych przypadkach nr konta bankowego jeśli dany właściciel wpłacał czynsz internetowo. (…)”
W dniach […] lutego 2021 r. oraz […] marca 2021 r. Prezes UODO ponawiał wezwania celem ustalenia, czy dokonana została przez nią analiza pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych, skutkującego koniecznością zgłoszenia tego faktu Prezesowi UODO oraz ewentualnym zawiadomieniem o fakcie jego wystąpienia osób, których dane dotyczą, niemniej jednak powyższe pisma pozostały, aż do dnia […] lipca 2021 r. bez odpowiedzi. Wówczas bowiem, w nadesłanym do tutejszego Urzędu piśmie, Wspólnota nie odnosząc się wprost do podnoszonej przez Prezesa UODO we wcześniejszych pismach problematyki, wyjaśniła, że „(…) [o] zaginięciu dokumentacji zostaliśmy powiadomieni zaraz po zaistnieniu kradzieży dokumentów – były to wyciągi z rachunków wspólnoty (znajdują się tam następujące dane: imię i nazwisko adres zamieszkania, nr konta wspólnoty i nr konta wpłacającego – jeżeli przelew dokonywany był z jego konta. W jednym przypadku zaginął akt notarialny – osoba ta zgłosiła to na Policji w L. i wyrobiła nowy dowód osobisty. Zebranie Wspólnoty mieszkaniowej odbyło się w lutym 2020 r. i dotyczyło ww. sprawy. Śledztwo w sprawie kradzieży dokumentów prowadzi Komenda Policji w L.”
Przekazanie ww. informacji, wskazującej na możliwość naruszenia przez Wspólnotę jako administratora danych, obowiązków wynikających z przepisów rozporządzenia 2016/679, tj. art. 33 ust. 1 i art. 34 ust. 1 i 2, stanowiło – w ocenie Prezesa UODO – wystarczającą przesłankę do wszczęcia z urzędu postępowania administracyjnego, o czym organ zawiadomił Wspólnotę pismem z dnia […] lipca 2021 r., dokonując jednocześnie rejestracji tego postępowania pod sygn. DKN.5131.31.2021. Jednocześnie, Prezes UODO zwrócił się do Wspólnoty o wskazanie zakresu kategorii danych oraz liczby osób objętych naruszeniem ochrony danych osobowych w związku z utraconą kopią aktu notarialnego, w tym o udzielenie informacji, czy osoba lub osoby, których dane dotyczą, zostały przez Wspólnotę zawiadomione o fakcie naruszenia ochrony ich danych osobowych.
Prezes UODO, pismem z dnia […] lipca 2021 r. zwrócił się do Wspólnoty o jednoznaczne wskazanie formy zawiadomienia wystosowanego przez nią do osób, których dane dotyczą, a w przypadku wyboru opcji ustnego zawiadomienia, o podanie okoliczności, które dostatecznie uzasadniałyby taką formę komunikacji z podmiotami danych w kontekście brzmienia art. 12 rozporządzenia 2016/679. Nadto, organ nadzorczy wezwał do poinformowania, czy w związku z zaistnieniem przedmiotowego naruszenia ochrony danych osobowych członków Wspólnoty przeprowadzona została analiza ryzyka naruszenia praw lub wolności tych osób, a w przypadku udzielenia odpowiedzi twierdzącej, o przedstawienie wyników dokonanej przez Wspólnotę ewaluacji. We wzmiankowanym piśmie Prezes UODO zwrócił się również o przekazanie informacji, w przedmiocie tego, czy, a jeśli tak, to kiedy i w jaki sposób Zarządca notyfikował Wspólnocie fakt wystąpienia przedmiotowego naruszenia ochrony danych osobowych. Organ wystąpił też o przekazanie kserokopii uchwały dotyczącej powołania Zarządu Wspólnoty Mieszkaniowej „(…)” w S.
Nie odnosząc się bezpośrednio do zagadnień poruszonych w ww. piśmie, Wspólnota w piśmie datowanym na dzień […] sierpnia 2021 r., podniosła, m.in., że „(…) informację o kradzieży dokumentów, o zawiadomieniu [P]olicji i o tym, że wśród tych dokumentów znajdowało się prawdopodobnie jedno ksero aktu notarialnego (…)” uzyskała w trakcie zwołanego przez Zarządcę zebrania Wspólnoty, w czasie którego jedna z osób, której dane uwidocznione były w przedmiotowym dokumencie, „(…) podjęła decyzję (…) o indywidualnym zgłoszeniu [przyp. red. faktu jego kradzieży] na [P]olicję (…) i wystąpieniu o wydanie nowego dowodu osobistego (…)”. W ww. korespondencji, Zarząd Wspólnoty, powołując się na nieznajomość przepisów o ochronie danych osobowych, przyznał również, iż pozostawał dotychczas w przekonaniu, że złożone przez Zarządcę do organów ścigania zawiadomienie o możliwości popełnienia przestępstwa w związku z kradzieżą dokonaną w jego siedzibie „(…) jest wystarczające (…)” w zakresie obsługi przedmiotowego naruszenia ochrony danych osobowych.
Z uwagi na niekompletność wyjaśnień, Prezes UODO, pismem z dnia […] września 2021 r. ponownie zwrócił się do Wspólnoty o precyzyjne zdefiniowanie rodzaju kanału komunikacji wykorzystanego do zawiadomienia osób, których dane dotyczą, o fakcie naruszenia ochrony ich danych osobowych, w trakcie prowadzonego przez Zarządcę zebrania członków Wspólnoty. Niezależnie od powyższego, organ nadzorczy wystąpił też o przekazanie informacji, dotyczących okoliczności powiadomienia Wspólnoty przez Zarządcę o fakcie wystąpienia przedmiotowego naruszenia ochrony danych osobowych, w tym o wskazanie konkretnych informacji udzielonych Wspólnocie w związku z kradzieżą/ zaginięciem dokumentów zawierających dane osobowe, a także zakresu informacji przekazanych w trakcie zebrania członków Wspólnoty osobom, których dane osobowe znajdowały się w utraconym akcie notarialnym. Wobec pojawiających się w zgromadzonym materiale dowodowym nieścisłości w zakresie faktycznej liczby osób, których sfera prywatności objęta została przedmiotowym naruszeniem ochrony danych osobowych, Prezes UODO zwrócił się również o uwzględnienie przez Wspólnotę osób, których dane uwidocznione były na utraconych wyciągach bankowych oraz „(…) protokoł[ach] z przeprowadzonych kontroli (…)”, w tym o doprecyzowanie liczby osób, których dane przetwarzane były na utraconym akcie notarialnym. Organ zwrócił się też o ujawnienie – o ile została zawarta – treści istniejącej między Wspólnotą a Zarządcą umowy powierzenia przetwarzania danych osobowych w rozumieniu art. 28 rozporządzenia 2016/679.
Prezes UODO w dniu […] września 2021 r. wezwał Zarządcę do: podania daty dokonania Wspólnocie przez Zarządcę zgłoszenia faktu wystąpienia przedmiotowego naruszenia ochrony danych osobowych, wraz z opisem informacji przekazanych Wspólnocie w związku z tym zdarzeniem; poinformowania, po jakim czasie od kradzieży/zaginięcia dokumentów Zarządca zorganizował zebranie dla właścicieli lokali przy ul. (…), w tym wskazanie konkretnej daty przekazania przez Zarządcę informacji o terminie planowanego zebrania członków Wspólnoty, wraz z kserokopią pisma informującego o planowanym zgromadzeniu oraz oznaczenie daty, w której spotkanie to faktycznie miało miejsce. Ponadto, organ zwrócił się do Zarządcy o wskazanie w sposób jednoznaczny, czy osoby, których dane dotyczą, zostały zawiadomione o naruszeniu ochrony ich danych osobowych w formie pisemnej, czy też ustnie w trakcie ww. zebrania członków Wspólnoty – a w przypadku podjęcia decyzji o wyborze drugiego z tych kanałów komunikacji – o wskazanie przesłanek uzasadniających dokonanie takiego wyboru w kontekście brzmienia art. 12 rozporządzenia 2016/679. W przedmiotowym piśmie organ dochodził również zakresu informacji o naruszeniu ochrony danych osobowych przekazanych osobom, których dane osobowe znajdowały się na utraconym akcie notarialnym, w trakcie zebrania członków Wspólnoty, a także dążył do ustalenia, czy pomiędzy Wspólnotą a Zarządcą zawarta została umowa powierzenia przetwarzania danych osobowych, zgodnie z art. 28 rozporządzenia 2016/679 – Prezes UODO wystąpił też o ujawnienie jej ewentualnej treści.
W odpowiedzi nadesłanej do tutejszego Urzędu w dniu […] września 2021 r., Zarządca wskazał, m.in., że „(…) [o]soby będące na tym spotkaniu [przyp. red. zwołanym w dniu […] lutego 2020 r.] zostały ustnie [przyp. red. przez niego] poinformowane o tym, co się stało, w tym również osoba, której w dokumentacji była kserokopia aktu notarialnego.” Jednocześnie, podkreślając swój stan znacznego wzburzenia emocjonalnego, związany z zaistnieniem przedmiotowego naruszenia ochrony danych osobowych, Zarządca przyznał, że wprawdzie „(…) przepisy mówią jedno, ale nikt z nas nie myślał wtedy, aby sprawę zgłosić do Urzędu Ochrony Danych Osobowych (…)”. Podniósł też kwestię wygasającego – z zachowaniem trzymiesięcznego okresu wypowiedzenia – stosunku prawnego łączącego go ze Wspólnotą.
Dopiero w dokumencie datowanym na dzień […] października 2021 r. Zarządca szerzej ustosunkował się do poruszonej przez Prezesa UODO w piśmie z dnia […] września 2021 r. problematyki, oświadczając, że poinformował Wspólnotę o „(…) kradzieży dokumentów (…)”, do której miało dojść „(…) [d]nia […] lutego 2020 r. (…)” „(…) [n]a zebraniu (…) Wspólnoty zwołanym w dniu […] lutego 2020 r.” Nadmienił przy tym, że kwestią poinformowania członków Wspólnoty o planowanym spotkaniu w sprawie przedmiotowego naruszenia ochrony danych osobowych zająć się miał – na jego prośbę – Zarząd Wspólnoty, poprzez „(…) wywieszenie na klatkach schodowych informacji o zwołaniu zebrania (…)”. Co więcej, Zarządca zaznaczył, że „(…) informacja o kradzieży dokumentów, w tym aktu notarialnego jednego z właścicieli (…)” została przekazana „(…) ustnie (…)”, a wobec faktu, że na skradzionej kserokopii aktu notarialnego uwidocznione były kategorie danych tej osoby w postaci jej imienia i nazwiska, serii i numeru dowodu osobistego, adresu zamieszkania oraz numeru PESEL, „(…) właściciel aktu notarialnego (…) również zgłosił na [P]olicję w L. kradzież kserokopii aktu notarialnego (kradzieży danych osobowych) oraz złożył odpowiednie dokumenty do zmiany dowodu osobistego.” Na koniec Zarządca złożył oświadczenie, zgodnie z którym „(…) pomiędzy Administratorem danych osobowych [przyp. red. tj. Wspólnotą] a podmiotem przetwarzającym dane [przyp. red. tj. Zarządcą] nie została zawarta umowa powierzenia przetwarzania danych osobowych.”
W ślad za ww. pismem, dnia […] października 2021 r. wpłynęła odpowiedź Wspólnoty na wezwanie Prezesa UODO z dnia […] września 2021 r. do złożenia dalszych wyjaśnień w przedmiotowej sprawie, będąca w dużej mierze podtrzymaniem narracji Zarządcy w zakresie okoliczności zwołania i przebiegu zebrania członków Wspólnoty, które miało miejsce w dniu […] lutego 2020 r. Pewne novum w stosunku do złożonych przez niego wyjaśnień stanowiła natomiast informacja o tym, że na skradzionej kopii aktu notarialnego zawarte były dane osobowe małżonki właściciela nieruchomości, której utracony dokument dotyczył. Z przekazanych przez Wspólnotę informacji nie wynikało również, aby na zebraniu członków Wspólnoty w dniu […] lutego 2020 r. w sposób szczegółowy „(…) omawiany był zakres informacji zawarty w akcie notarialnym (…)”. Zapewniono, że w utraconej w wyniku kradzieży dokumentacji, dotyczącej rozliczeń za 2020 r., znajdowały się „(…) nazwiska wszystkich lokatorów (…)”, którzy dokonywali wpłat na rzecz Wspólnoty, podczas gdy protokoły z przeglądów zawierały jedynie „(…) dane techniczne budynku.” Wskazano też, że do umowy „(…) o administrowanie nieruchomością (…)” zawartej między Wspólnotą a Zarządcą w roku (…) „(…) nie sporządzono aneksu dotyczącego powierzenia przetwarzania danych osobowych.” Podkreślenia wymaga przy tym, iż pomimo prowadzonej od dnia […] lipca 2021 r. z tutejszym Urzędem korespondencji oraz parokrotnego użycia w treści przywołanego wyżej pisma sformułowania o „naruszeniu danych osobowych” przynajmniej jednego z lokatorów, Wspólnota nie zgłosiła tego faktu do Prezesa UODO, zgodnie z dyspozycją normy art. 33 ust. 1 rozporządzenia 2016/679.
Wobec ujawnienia w niniejszej sprawie nowych okoliczności w związku z deklaracjami zarówno Wspólnoty, jak i Zarządcy o braku między ww. stronami umowy powierzenia przetwarzania danych osobowych, Prezes UODO, dążąc do przywrócenia stanu zgodności z prawem, zdecydował o rozszerzeniu prowadzonego w stosunku do Wspólnoty postępowania administracyjnego o możliwość naruszenia przez nią również art. 5 ust 1 lit. a) oraz art. 28 ust. 1, 3 i 9 rozporządzenia 2016/679, o czym organ nadzorczy zawiadomił stronę pismem z dnia […] października 2021 r. Jednocześnie, Prezes UODO wezwał Wspólnotę do wskazania środków i sposobów, za pomocą których wykazała, że Zarządca daje gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie danych osobowych spełniało wymogi rozporządzenia 2016/679 oraz chroniło prawa osób, których dane dotyczą.
W odpowiedzi na ww. pismo Prezesa UODO Wspólnota przedłożyła kserokopię „Umowy (…)” zawartej z Zarządcą w dniu (…), z adnotacją, iż jest to jedyny dokument określający prawa i obowiązki stron wskazanego węzła prawnego. Wspólnota wskazała, że załączony dokument był „(…) wystarczając[y] do zarządzania (…) wspólnotą.”. Zarządca otrzymać też miał „(…) odpowiednie pełnomocnictwo do regulowania (…) należności i spraw bankowych (…)”.
W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w niniejszej sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Zgodnie z art. 34 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781 ze zm.), zwanej dalej uodo, Prezes UODO jest organem właściwym w sprawie ochrony danych i organem nadzorczym w rozumieniu rozporządzenia 2016/679. Stosownie do art. 57 ust. 1 lit. a) i h) rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia; prowadzi postępowania w sprawie naruszenia niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego.
Natomiast na podstawie art. 4 pkt 7 rozporządzenia 2016/679, administratorem jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.
Z kolei na gruncie art. 4 pkt 12 rozporządzenia 2016/679 wskazać należy, iż przez pojęcie naruszenia ochrony danych osobowych rozumieć należy takie naruszenie bezpieczeństwa, którego konsekwencję stanowi przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienia lub nieuprawniony dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Dyspozycja normy art. 33 ust. 1 rozporządzenia 2016/679 określa zaś sposób postępowania administratora w sytuacji wystąpienia incydentu bezpieczeństwa, będącego naruszeniem ochrony danych osobowych, nakładając na administratora obowiązek, aby ten bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłosił je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, a do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołączył wyjaśnienie przyczyn opóźnienia.
Stosownie do art. 34 ust. 1 rozporządzenia 2016/679, w przypadku gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator zobowiązany jest, aby nie tylko dokonać zgłoszenia faktu wystąpienia naruszenia ochrony danych osobowych do organu nadzorczego, ale też bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o takim naruszeniu. Jednocześnie, na gruncie ust. 2 przywoływanego przepisu prawa zawiadomienie to powinno jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych oraz zawierać przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d), a zatem zawierać informacje odnoszące się do: imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji, opisu możliwych konsekwencji naruszenia ochrony danych osobowych oraz opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
W tych okolicznościach uznać należy Wspólnotę Mieszkaniową z siedzibą w S., ul. (…), za administratora w rozumieniu art. 4 pkt 7 rozporządzenia 2016/679, albowiem nie ulega wątpliwości, iż to właśnie ww. podmiot ustalał cele i sposoby przetwarzania danych osobowych. Tym samym, odrzucić trzeba argumentację Wspólnoty podniesioną w piśmie nadesłanym do tutejszego Urzędu w dniu […] lipca 2021 r., zgodnie z którą „(…) administratorem danych mieszkańców Wspólnoty Mieszkaniowej „(…)” jest (…) M. G. [przyp. red. Zarządca] (…)”. Zgromadzony w niniejszej sprawie materiał dowodowy pozwala wysnuć tezę, że użytego przez Wspólnotę sformułowania o „administrowaniu danymi mieszkańców” w rozumieniu, w jakim próbuje przypisać mu Wspólnota, nie można utożsamiać ze stanem faktycznego władztwa nad tymi danymi, a raczej z czynnościami faktycznego ich przetwarzania dokonywanego przez (…) M. G. w imieniu i na rzecz Wspólnoty w ramach realizacji zleconych przez Wspólnotę na podstawie umowy z dnia (…) działań związanych ze sprawowaniem zarządu nad należącymi do niej nieruchomościami. Powyższe ustalenia, pozostające zbieżne z ugruntowaną linią orzeczniczą Naczelnego Sądu Administracyjnego[1], precyzyjnie wskazującą, że statusu administratora danych osobowych nie posiada każdorazowy dysponent tych danych lecz podmiot faktycznie decydujący „(…) o celach i środkach przetwarzania (…)”, znajdują również pokrycie w przekazanych przez Zarządcę w piśmie z dnia […] października 2021 r. wyjaśnieniach, gdzie określa się on mianem „organu przetwarzającego”, Wspólnotę zaś wskazuje jako „administratora danych osobowych”.
Mając na uwadze powyższą argumentację, należy więc wskazać, że to właśnie na Wspólnocie i tylko na niej jako podmiocie sprawującym faktyczną kontrolę nad przetwarzaniem danych, ciążył na gruncie art. 33 ust. 1 rozporządzenia 2016/679 obowiązek zgłoszenia Prezesowi UODO o naruszeniu ochrony danych osobowych, do jakiego doszło „(…) [d]nia […] lutego 2020 roku (…)”, wskutek „(….) kradzieży dokumentów z mieszkania (…)” wynajmowanego przez Zarządcę. Nie ulega bowiem wątpliwości, że konsekwencją utraty przedmiotowej dokumentacji w postaci protokołów „(…) z przeprowadzonych kontroli: gazowy, techniczny, kominiarski (…)”, wyciągów bankowych Wspólnoty, faktur od dostawców, a także „(…) kserokopi[i] aktu notarialnego (…)”, zawierającej łącznie następujące kategorie danych osobowych – jak wynika z analizy materiału dowodowego -18 członków Wspólnoty: numer PESEL, seria i numer dowodu osobistego, imiona i nazwiska, data urodzenia, adres zamieszkania lub pobytu, numer rachunku bankowego, wzór podpisu, było takie naruszenie bezpieczeństwa przetwarzanych na ww. nośnikach informacji kategorii danych w wymienionym zakresie, które doprowadziło do nieuprawnionego dostępu przez osoby niepowołane do zbioru tych danych osobowych przetwarzanych w imieniu i na rzecz Wspólnoty przez Zarządcę. Tym samym incydent ten stanowi naruszenie ochrony danych osobowych członków Wspólnoty określone w art. 4 pkt 12 rozporządzenia 2016/679.
Co istotne, przesłankę, która nakazuje administratorowi dokonanie zgłoszenia naruszenia ochrony danych osobowych do organu nadzorczego, stanowi – wedle art. 33 ust. 1 rozporządzenia 2016/679 – już sam fakt wystąpienia naruszenia ochrony danych osobowych. Obowiązek ten nie ma jednak charakteru bezwzględnego, albowiem administrator może się od niego uwolnić, o ile na podstawie przeprowadzonej przez siebie analizy ewentualnego wpływu tego naruszenia na prawa lub wolności osób fizycznych, innymi słowy dokonanego bilansu możliwych szkód materialnych i niematerialnych, jakie mogą wiązać się z powstaniem tego naruszenia dla osób, których dane dotyczą, wykaże zgodnie z zasadą rozliczalności, że ryzyko uaktualnienia się tych negatywnych skutków dla podmiotów danych na podstawie obiektywnie przyjętych kryteriów, w danym kontekście przetwarzania jest znikome. Jak wskazuje Grupa Robocza Art. 29 w „Wytycznych WP 250 dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679”, zwanych dalej Wytycznymi WP 250: „[r]yzyko to istnieje w przypadku, gdy naruszenie może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone. Przykłady takich szkód obejmują dyskryminację, kradzież lub sfałszowanie tożsamości, straty finansowe i naruszenie dobrego imienia”. W takim wypadku administrator winien dokonać odpowiedniego zgłoszenia do organu nadzorczego bez zbędnej zwłoki, jednak w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia oraz przekazać wszystkie informacje wymagane na gruncie art. 33 ust. 3 rozporządzenia 2016/679. Jednocześnie, wskazać należy, iż na aktualizację tego obowiązku nie ma wpływu powstanie realnych strat o charakterze materialnym lub niematerialnym w dobrach osoby, której dane dotyczą, a wystarczy pojawienie się inherentnego ryzyka ich powstania. Powyższa konstatacja znajduje swoje odzwierciedlenie w ugruntowanej linii orzeczniczej Wojewódzkiego Sądu Administracyjnego w Warszawie, zwanego dalej WSA, który choćby w wyroku z dnia 22 września 2021 r.[2] zważył (podobnie orzekał też w wyrokach z dnia 21 stycznia 2022 r.[3] oraz 1 lipca 2022 r.[4]): „Podkreślić należy, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować. W treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych”. Na podstawie dotychczas przytoczonej argumentacji, można więc uznać, że ukształtowane przez unijnego prawodawcę „podejście oparte na ryzyku” kreuje obowiązki administratorów związane z naruszeniami ochrony danych osobowych. Jak wyjaśnia Prezes UODO w swojej publikacji poświęconej tej problematyce[5]: „W zależności, z jakim poziomem ryzyka naruszenia praw i wolności osób fizycznych administrator ma do czynienia, inaczej kształtują się jego obowiązki w stosunku do organu nadzorczego, a także osób, których dane dotyczą. Jeżeli w wyniku analizy administrator stwierdził, że prawdopodobieństwo zaistnienia ryzyka naruszenia praw i wolności osób fizycznych jest małe, nie jest on zobligowany do zgłoszenia naruszenia Prezesowi Urzędu Ochrony Danych Osobowych. Wskazane naruszenie musi jedynie wpisać do wewnętrznej ewidencji naruszeń. W przypadku stwierdzenia ryzyka naruszenia praw i wolności osób fizycznych, obowiązkiem administratora jest zgłoszenie naruszenia ochrony danych Prezesowi UODO, jak również umieszczenie wpisu w wewnętrznej ewidencji naruszeń. Wystąpienie wysokiego ryzyka naruszenia praw i wolności osób fizycznych, oprócz wpisu w ewidencji naruszeń, wymaga od administratora podjęcia odpowiednich działań, zarówno wobec organu nadzorczego (zgłoszenie naruszenia ochrony danych), ale także w niektórych przypadkach również wobec osób, których dane dotyczą. W przypadku naruszeń, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, RODO wprowadza bowiem dodatkowy obowiązek niezwłocznego zawiadomienia podmiotu danych przez administratora, chyba że ten podjął działania prewencyjne przed zaistnieniem naruszenia albo działania zaradcze po wystąpieniu naruszenia (art. 34 ust. 3 RODO)”.
Tymczasem, analiza przedstawionego stanu faktycznego dostarcza aż nadto argumentów na poparcie tezy, wedle której przywołany w Wytycznych WP 250 przykładowy katalog negatywnych skutków dla osób, których dane były przetwarzane na skradzionej kserokopii aktu notarialnego, może się względem tych osób zmaterializować. Rzecz jasna, nie bez znaczenia dla realizacji tego scenariusza pozostaje przy tym możliwość łatwego wyodrębnienia tych osób ze zbiorowości w oparciu o kategorie danych objętych przedmiotowym naruszeniem, do których w szczególności zaliczyć należy numer PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osoby fizyczne, zawierający m.in.: ich datę urodzenia oraz oznaczenie płci, a więc informacje ściśle powiązane ze sferą prywatną tych osób. Ponadto należy wziąć pod uwagę, że w wyniku zaistniałego naruszenia ochrony danych osobowych doszło do utraty poufności tego numeru ewidencyjnego wraz z imionami i nazwiskami członków Wspólnoty na rzecz nieustalonych sprawców włamania i kradzieży, a przecież już samo to zestawienie danych osobowych bywa już wystarczające do „podszycia się” pod osobę, której dane dotyczą i zaciągnięcia w jej imieniu i na jej szkodę np. zobowiązań pieniężnych (vide: (…) – gdzie opisano przypadek, w którym: „Tylko imię, nazwisko i numer PESEL wystarczyły oszustom, by wyłudzić kilkanaście kredytów w sumie na dziesiątki tysięcy złotych. Nic więcej się nie zgadzało: ani numer dowodu osobistego, ani adres zamieszkania”).
Nie można przy tym pominąć faktu, że przedmiotowe naruszenie ochrony danych osobowych dotyczyło jeszcze szerszego katalogu danych osobowych, obejmując swym zasięgiem – zgodnie z oświadczeniem osób, których dane przetwarzane były na skradzionym akcie notarialnym z dnia […] lipca 2021 r. – również takie ich kategorie jak: seria i numer dowodu osobistego, adres zamieszkania lub pobytu, a także wzór podpisu, co w połączeniu z przestępnym działaniem osób, które weszły w posiadanie ww. informacji dotyczących członków Wspólnoty podnosi tylko potencjalną powagę ryzyka naruszenia praw lub wolności osób, których dane dotyczą.
Stąd też wyrażony na gruncie art. 87 rozporządzenia 2016/679 postulat, by krajowy numer identyfikacyjny jako kategoria danych o tym szczególnym charakterze podlegał wyjątkowej ochronie. Do problematyki naruszeń poufności krajowych numerów identyfikacyjnych i wynikających z nich obowiązków administratorów tak w stosunku do organu nadzorczego, jak i względem osób, których dane dotyczą, odniosła się również Europejska Rada Ochrony Danych, zwana dalej EROD, w przyjętych w dniu 14 grudnia 2021 r. „Wytycznych 01/2021 w sprawie przykładów dotyczących powiadomienia o naruszeniu danych osobowych, wersja 2.0” (dalej jako Wytyczne EROD 01/2021). Omawiając w przytoczonym dokumencie przypadek „wysłania pocztą przez pomyłkę wysoce poufnych danych osobowych”, w którym doszło do ujawnienia numeru ubezpieczenia społecznego, będącego notabene odpowiednikiem stosowanego w Polsce numeru PESEL, EROD ponad wszelką wątpliwość uznała, że ujawnienie danych w zakresie: imienia i nazwiska, adresu e-mail, adresu pocztowego oraz numeru ubezpieczenia społecznego, wskazuje na wysokie ryzyko naruszenia praw lub wolności osób fizycznych („zaangażowanie ich [osób poszkodowanych] numeru ubezpieczenia społecznego, a także innych, bardziej podstawowych danych osobowych, dodatkowo zwiększa ryzyko, które można określić jako wysokie”), co tym samym implikuje konieczność powiadomienia organu nadzorczego oraz zawiadomienia o naruszeniu osób, których dane dotyczą. Podobne stanowisko wyraził WSA w przywoływanym orzeczeniu z dnia 1 lipca 2022 r., dotyczącym sprawy o sygn.: II SA/Wa 4143/21, gdzie w uzasadnieniu tego wyroku stwierdził, iż: „Należy zgodzić się z Prezesem UODO, że utrata poufności numeru PESEL w połączeniu z danymi osobowymi, takimi jak: imię i nazwisko, adres zameldowania, numery rachunków bankowych oraz numer identyfikacyjny nadawany klientom Banku – numer CIF, wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. W przypadku naruszenia takich danych, jak imię, nazwisko oraz numer PESEL, możliwa jest bowiem kradzież lub sfałszowanie tożsamości skutkująca negatywnymi konsekwencjami dla osób, których dane dotyczą. Dlatego też Bank w przedmiotowej sprawie powinien był bez zbędnej zwłoki, stosownie do art. 34 ust. 1 RODO, zawiadomić osoby, których dane dotyczą, o naruszeniu ochrony danych osobowych, tak aby umożliwić im podjęcie niezbędnych działań zapobiegawczych.”
Odnosząc przytoczoną wyżej argumentację do przedstawionego stanu faktycznego, podkreślenia wymaga, iż w przypadku jakichkolwiek wątpliwości co do wykonania obowiązków przez administratorów – w tym również w sytuacji, gdy doszło do naruszenia ochrony danych osobowych – należy w pierwszej kolejności, odwołując się do wykładni celowościowej rozporządzenia 2016/679, brać pod uwagę wyrażoną w art. 1 ust. 2 tego aktu prawnego regułę, zgodnie z którą podstawowym celem unormowań w nim zawartych pozostaje zawsze ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych. Tym samym, w próbie spełnienia powyższego postulatu Wspólnota będąc – jak zostało to już wykazane – administratorem danych osobowych swoich członków, winna była w następstwie wystąpienia przedmiotowego naruszenia ochrony danych osobowych dokonać analizy ryzyk, jakie wiążą się z faktem jego zaistnienia dla wartości prawnie chronionych, a dotyczących tych osób. Z kolei analiza ta kierując się – za Wytycznymi WP 250 – kryteriami rodzaju naruszenia ochrony danych osobowych, charakteru, wrażliwości i ilości danych osobowych, łatwością identyfikacji osób fizycznych oraz powagą konsekwencji dla osób, których dane dotyczą, w związku z tym naruszeniem, powinna była uwzględnić konkretne okoliczności naruszenia ochrony danych osobowych, w tym zgodnie z motywami 75 i 76 do preambuły rozporządzenia 2017/679 powagę potencjalnych skutków oraz prawdopodobieństwo ich wystąpienia. Wysoki bowiem poziom któregokolwiek z tych czynników ma wpływ na wysokość ogólnej oceny, od której uzależnione jest wypełnienie obowiązków określonych w art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679. Mając na uwadze, że ze względu na zakres ujawnionych danych osobowych w analizowanym przypadku wystąpiła – jak wykazano powyżej – możliwość zmaterializowania się doniosłych negatywnych konsekwencji dla osób, których dane przetwarzane były na skradzionej kopii aktu notarialnego, to wagę potencjalnego wpływu na prawa lub wolności osoby fizycznej należy uznać za wysoką. Jednocześnie, prawdopodobieństwo wystąpienia wysokiego ryzyka w następstwie przedmiotowego naruszenia nie jest małe i nie zostało wyeliminowane. Tym samym stwierdzić należy, że w związku z przedmiotowym naruszeniem wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, co w konsekwencji determinuje obowiązek dokonania zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu oraz zawiadomienia o naruszeniu podmiotów danych. Grupa Robocza Art. 29 w Wytycznych WP250 wskazuje, że ,,(…) podczas oceny ryzyka, które może powstać w wyniku naruszenia, administrator powinien łącznie uwzględnić wagę potencjalnego wpływu na prawa i wolności osób fizycznych i prawdopodobieństwo jego wystąpienia. Oczywiście ryzyko wzrasta, gdy konsekwencje naruszenia są poważniejsze, jak również wtedy, gdy wzrasta prawdopodobieństwo ich wystąpienia. W przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna”.
Podsumowując powyższe, należy stwierdzić, że w przedmiotowym przypadku występuje wysokie ryzyko naruszenia praw lub wolności osób, których dane uwidocznione były na skradzionej kopii aktu notarialnego, co z kolei skutkuje powstaniem nie tylko obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 33 ust. 3 tego źródła prawa, ale również zawiadomienia tych osób o naruszeniu ochrony poufności ich danych osobowych, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, z uwzględnieniem wszystkich wskazanych w art. 34 ust. 2 rozporządzenia 2016/679 elementów. Niewątpliwie, w niniejszej sprawie zawiadomienie przez Wspólnotę pozostałych osób objętych przedmiotowym naruszeniem ochrony danych osobowych, nie będzie wymagane, albowiem – biorąc pod uwagę właśnie zakres informacji dotyczących tych osób, tj. „(…) imię i nazwisko adres zamieszkania, nr konta wspólnoty i nr konta wpłacającego (…)” – wobec tych podmiotów danych przesłanka wysokiego ryzyka nie zachodzi. Natomiast w sytuacji, gdy na skutek naruszenia ochrony danych osobowych, występuje wysokie ryzyko naruszenia praw lub wolności osób fizycznych administrator zobowiązany jest wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy, a w przypadkach wysokiego ryzyka naruszenia praw lub wolności również osoby, których dane dotyczą. Jako egzemplifikację stanu przeciwnego do postulowanego przez unijnego prawodawcę należy więc wskazać przekazaną organowi w dniu […] lipca 2021 r., treść oświadczenia „(…) osób związanych z zagubionym aktem notarialnym (…)”, przechowywanym „(…) w archiwum Wspólnoty Mieszkaniowej „(…)” w S. przez administratorkę danych (…) M. G. „(…)” (…)”, w którym osoby te wskazały, iż co prawda poinformowano je o zakresie kategorii danych osobowych objętych przedmiotowym naruszeniem, w postaci ich numerów PESEL, serii i numerów dowodów osobistych, imion oraz nazwisk, adresu zamieszkania lub pobytu, a także wzorów podpisów, lecz „(…) o zaginięciu danych (…)” dowiedziały się „(…) z 7-dniowym opóźnieniem podczas zebrania Wspólnoty (…)”.
Jak już zostało to zasygnalizowane, realizacja powyższego obowiązku powinna nastąpić możliwie jak najszybciej, co znajduje zresztą swoje potwierdzenie w motywie 85 do preambuły rozporządzenia 2016/679, gdzie wyjaśniono: „Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki.”
Z kolei w motywie 86 preambuły rozporządzenia 2016/679 wskazano: „Administrator powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić tej osobie podjęcie niezbędnych działań zapobiegawczych. Informacja taka powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z organem nadzorczym, z poszanowaniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy ścigania. (…)”.
Wspólnota, powstrzymując się od zgłoszenia Prezesowi UODO faktu naruszeniu ochrony danych osobowych wszystkich swoich członków, jak i odstępując od zawiadomienia dwóch osób, których dane przetwarzane były na skradzionej kserokopii aktu notarialnego, dotyczącego ich nieruchomości, w praktyce pozbawiła te osoby możliwości przeciwdziałania potencjalnym szkodom. Zawiadamiając bez zbędnej zwłoki podmiot danych, administrator umożliwia bowiem osobie fizycznej podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia. Art. 34 ust. 1 i 2 rozporządzenia 2016/679 ma wszak na celu nie tylko zapewnienie możliwie najskuteczniejszej ochrony podstawowych praw lub wolności podmiotów danych, ale także realizację zasady przejrzystości, która wynika z art. 5 ust. 1 lit. a) rozporządzenia 2016/679 (por. Chomiczewski Witold (w:) RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. red. E. Bielak – Jomaa, D. Lubasz, Warszawa 2018). Właściwe wywiązanie się z obowiązku określonego w art. 34 rozporządzenia 2016/679 ma zapewnić osobom, których dane dotyczą szybką i przejrzystą informację o naruszeniu ochrony ich danych osobowych wraz z opisem możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków, jakie mogą one podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków, które – biorąc pod uwagę zarówno zakres kategorii danych osobowych objętych przedmiotowym naruszeniem ochrony danych osobowych, jak i kontekst przetwarzania, w ramach którego doszło do jego wystąpienia – okazać się mogą brzemienne w skutkach, np. poprzez zaciągnięcie zobowiązań finansowych na szkodę członków Wspólnoty. Doskonałą egzemplifikację zmaterializowania się wspomnianego ryzyka, zawiera – przygotowywany w ramach prowadzenia społecznej Kampanii Informacyjnej Systemu DOKUMENTY ZASTRZEŻONE, organizowanej przez Związek Banków Polskich i niektóre banki, pod patronatem Ministerstwa Spraw Wewnętrznych i we współpracy m.in. z Policją oraz Federacją Konsumentów – raport infoDOK[6]. Wynika z niego, że w I kwartale 2020 r., a więc w czasie zaistnienia niniejszego naruszenia ochrony danych osobowych, odnotowano 1 373 próby wyłudzeń kredytów i pożyczek na łączną kwotę 62,1 mln zł, co oznacza że każdego dnia próbowano 15-krotnie dokonać kradzieży na cudze dane osobowe łącznie na kwotę 682 tys. zł., co z kolei wobec wykazanych zaniedbań ze strony Wspólnoty polegających na niezgłoszeniu Prezesowi UODO faktu wystąpienia przedmiotowego naruszenia ochrony danych osobowych oraz niezawiadomieniu osób, których dane osobowe znajdowały się na skradzionej kopii aktu notarialnego, ma niewątpliwie niebagatelne znaczenie. Dla porównania w IV kwartale 2021 r. próbowano już wyłudzić 2 075 kredytów, na łączną kwotę 91,3 mln zł, zaś cały rok 2021 r. pod względem liczby oraz kwot był znacząco bardziej niebezpieczny od poprzedniego: 17% wzrost liczby prób wyłudzeń oraz 32% wzrost łącznych kwot.
Ponadto, jak wynika z orzecznictwa, wyroki w sprawach wyłudzeń kredytów nie są rzadkością i są wydawane przez polskie sądy w podobnych sprawach od dawna – dla potwierdzenia można podać choćby nawet wyrok Sądu Rejonowego w Łęczycy z dnia 27 lipca 2016 r. (sygn. akt I C 566/15), w którym oszuści biorący pożyczkę na cudze dane posłużyli się nr PESEL, zmyślonym adresem oraz niewłaściwym numerem dowodu (nieważnym).
Należy podkreślić, iż postępując zgodnie z prawem i wykazując dbałość o interesy osób, których dane dotyczą, Wspólnota powinna była bez zbędnej zwłoki zapewnić osobom, których dane dotyczą, możliwość jak najlepszej ochrony danych osobowych. Dla osiągnięcia tego celu konieczne zaś było przynajmniej wskazanie informacji wymienionych w art. 34 ust. 2 rozporządzenia 2016/679, z którego to obowiązku Wspólnota się nie wywiązała. Nie można wszak inaczej niż w kategoriach niedopełnienia przez Wspólnotę obowiązku określonego w art. 34 ust. 1 i ust. 2 rozporządzenia 2016/679 rozpatrywać sytuacji, w której podmioty danych „(…) zostały [przyp. red. przez Zarządcę] ustnie poinformowane o tym, co się stało, w tym również osoba, której w dokumentacji była kserokopia aktu notarialnego”, albowiem stosownie do unormowania zawartego w art. 12 ust. 1 rozporządzenia 2016/679 Wspólnota zobowiązana była, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobom, których dane dotyczą, wszelkich informacji określonych w art. 34 ust. 2 rozporządzenia 2016/679 w związku z art. 33 ust. 3 lit. b), c) i d) rozporządzenia 2016/679, w dodatku w formie umożliwiającej tym osobom nawet wielokrotne zapoznanie się z treścią przekazanego im komunikatu. Ponadto, na podstawie przytoczonego stanu faktycznego zarysowuje się obraz, w którym zawiadomiona została tylko jedna z osób, których dane przetwarzane były na utraconej w wyniku kradzieży kopii aktu notarialnego, podczas gdy z wyjaśnień Wspólnoty wyraźnie wynika, że „(…)[p]ierwotnie w akcie notarialnym figurowała jedna osoba, a dopiero na tym zaginionym dopisana została druga.” Niewątpliwie w tym świetle próżno doszukiwać się wypełnienia przez Wspólnotę obowiązku zawiadomienia tej osoby o naruszeniu ochrony poufności jej danych osobowych, nawet przy założeniu, że została ona odpowiednio poinformowana przez lokatora obecnego na zebraniu, którego dane osobowe również znajdowały się na utraconej kopii dokumentu notarialnego. Dzieje się tak nie tylko z uwagi na literalną wykładnię przepisu art. 34 ust. 1 rozporządzenia 2016/679, która każe traktować administratora jako odbiorcę zawartej ww. przepisie normy, nie zaś inną osobę fizyczną, której dane osobowe również objęte zostały naruszeniem. Po wtóre, zawiadomienie to powinno mieć charakter indywidualnie skierowanego do tej osoby komunikatu, mającego formę zgodną ze wskazaniami art. 12 rozporządzenia 2016/679, co – wobec ujawnionych okoliczności przedmiotowej sprawy – nie miało miejsca. Wreszcie, ani Wspólnota ani Zarządca nie byli w stanie przedstawić konkretnej treści komunikatu przekazanego do wiadomości osób, których dane dotyczą, na zorganizowanym w sprawie przedmiotowego naruszenia ochrony danych osobowych zebrania członków Wspólnoty w dniu […] lutego 2020 r., co już samo w sobie przesądza o braku możliwości wykazania się przez Wspólnotę z należytego wypełnienia obowiązku informacyjnego względem osób, których dane dotyczą, zgodnie z zasadą rozliczalności, a biorąc pod uwagę zawartą w piśmie z dnia […] października 2021 r. konstatację, w której Zarząd Wspólnoty zauważył, iż nie pamięta, „(…) czy dokładnie na zebraniu omówiony był zakres informacji zawartych w akcie notarialnym (…)”, ocenić należy sposób i poziom szczegółowości przekazania informacji w trakcie ww. spotkania jako niewystarczające.
Należy jednocześnie ponownie podkreślić, że stosując przepisy rozporządzenia 2016/679 trzeba mieć na uwadze, że celem tego rozporządzenia (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 do preambuły rozporządzenia 2016/679). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów – nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy opracowywaniu technicznych i organizacyjnych środków bezpieczeństwa mających im zapobiegać – należy w pierwszej kolejności brać pod uwagę te właśnie wartości.
Tym samym na podstawie zgromadzonego w przedmiotowej sprawie materiału dowodowego oraz w świetle przytoczonej powyżej argumentacji zarzut naruszenia przez Wspólnotę obowiązków wynikających z art. 33 ust. 1 rozporządzenia 2016/679, wobec braku dokonania zgłoszenia przedmiotowego naruszenia ochrony danych osobowych Prezesowi UODO, oraz art. 34 ust. 1 i ust. 2 rozporządzenia 2016/679, z uwagi na brak zawiadomienia osób, których dane zawarte były na skradzionej kserokopii aktu notarialnego, o naruszeniu ochrony poufności ich danych osobowych, nie powinien budzić wątpliwości. Z poczynionych w przedmiotowej sprawie ustaleń faktycznych jasno bowiem wynika, że Wspólnota była – na podstawie przekazanych przez Zarządcę jeszcze w dniu […] lutego 2020 r. informacji – w pełni świadoma zaistnienia naruszenia ochrony danych osobowych jej członków, a mimo to nie podjęła wówczas żadnych kroków, aby w terminie normami przepisanymi dokonać stosownego zgłoszenia tego faktu do organu nadzorczego. Co szczególnie naganne, nie podjęła takiej inicjatywy do dnia dzisiejszego i to pomimo faktu, iż od dnia […] lipca 2021 r. prowadziła z Prezesem UODO wymianę korespondencji w przedmiotowej sprawie. W tym kontekście za pozbawione podstaw wydaje się więc być powoływanie się przez Wspólnotę w piśmie z dnia […] października 2021 r. na brak znajomości przepisów o ochronie danych osobowych, m.in. w postaci braku „wyczulenia na RODO”.
Analiza przedstawionego stanu faktycznego ujawniła również, że Wspólnota nie podjęła żadnych działań zmierzających do przekazania osobom, których dane osobowe w szerokim zakresie przetwarzane były na skradzionym akcie notarialnym, pełnowartościowego, tj. z uwzględnieniem wszystkich wymienionych na gruncie art. 34 ust. 2 rozporządzenia 2016/679 w związku z art. 33 ust. 3 lit. b), c) i d) rozporządzenia 2016/679 elementów, komunikatu, poprzestając jedynie na niczym nie popartych zapewnieniach sugerujących, że „(…) (…) M. G. [przyp. red. Zarządca] informację o kradzieży dokumentów przekazała w formie ustnej na zebraniu w dn. […].02.2020 r. (…)”. Fakt, iż jeden z lokatorów dotknięty utratą poufności danych osobowych zawartych w utraconym akcie notarialnym podjął „(…) decyzję w trakcie zebrania o indywidualnym zgłoszeniu na [P]olicję (…) i wystąpieniu o wydanie nowego dowodu osobistego następnego dnia (…)” w żaden sposób nie zwalniało Wspólnoty od wystosowania do tej osoby zindywidualizowanego komunikatu w formie pisemnej, w treści którego mogłaby ona zaproponować podmiotowi danych szerszy wachlarz środków od tych, które faktycznie stały się jego udziałem, mitygujących zaistniałe ryzyko wystąpienia negatywnych skutków w dobrostanie tej osoby. Zamiast tego Wspólnota, uznając, że zgłoszenie faktu kradzieży dokumentacji przez Zarządcę organom ścigania „(…) jest wystarczające (…)”, wolała liczyć na zdroworozsądkowe podejście osoby, której dane dotyczą, de facto na nią też przerzucając obowiązek zawiadomienia o przedmiotowym naruszeniu drugą z osób, której dane uwidocznione były w skradzionym akcie notarialnym.
Niezależnie od dotychczasowych ustaleń, wskazać należy, iż Prezes UODO, w toku niniejszego postępowania administracyjnego dopatrzył się również uchybień ze strony Wspólnoty w postaci powierzenia przetwarzania danych osobowych jej członków Zarządcy bez zawarcia pisemnej umowy powierzenia przetwarzania tych danych oraz bez przeprowadzenia weryfikacji podmiotu przetwarzającego, czy zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą.
Jak zostało to już wykazane powyżej, Wspólnota, będąca administratorem w rozumieniu art. 4 ust. 7 rozporządzenia 2016/679, powierzyła Zarządcy – posiadającemu status podmiotu przetwarzającego, o którym mowa w art. 28 in fine rozporządzenia 2016/679 – na podstawie zgodnych oświadczeń woli obydwu stron „(…) z dniem […].05.2014 roku (…) administrowanie nieruchomością wspólną położoną w S., ul. (…) (…)”. Przekazanie zaś Zarządcy mandatu do „(…) załatwiani[a] spraw i usług w zakresie zwykłego zarządu nieruchomością wspólną (…)”, w konsekwencji było równoznaczne z faktycznym powierzeniem temu podmiotowi przetwarzania danych osobowych członków Wspólnoty, o czym ta donosiła zresztą w piśmie z dnia […] października 2021 r., informując, że Zarządca, tj. (…) M. G. prowadząca działalność gospodarczą pod firmą „(…)”, ul. (…), „(…) miała dostęp do naszych danych.” Fakt zaś powierzenia przetwarzania – jak ustalono – w szerokim zakresie danych osobowych członków Wspólnoty bez zachowania wymaganej – na gruncie art. 28 ust. 3 i ust. 9 rozporządzenia 2016/679 – treści i formy został również potwierdzony przez Zarządcę, który w piśmie z dnia […] października 2021 r. informował, „(…) że pomiędzy Administratorem danych osobowych a podmiotem przetwarzającym dane, nie została zawarta umowa powierzenia przetwarzania danych osobowych.” Jednocześnie, analiza zawartej w dniu (…) pomiędzy Wspólnotą a Zarządcą „Umowy (…)” wykazała, iż jej treść pozbawiona jest jakiejkolwiek wzmianki, odwołującej się do kwestii ochrony danych osobowych członków Wspólnoty. Ze zgromadzonego w niniejszej sprawie materiału dowodowego nie wynika również, aby strony wzmiankowanego kontraktu kiedykolwiek dążyły do uregulowania wzajemnych praw i obowiązków w zakresie zapewnienia realizowanym przez siebie procesom przetwarzania danych osobowych odpowiedniego poziomu ochrony, a więc z uwzględnieniem wymogów wyrażonych w art. 5 ust. 1 lit. a) i f) rozporządzenia 2016/679.
Tymczasem art. 28 ust. 1 rozporządzenia 2016/679 jasno wskazuje, że jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Z kolei zgodnie z art. 28 ust. 3 rozporządzenia 2016/679 przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Natomiast art. 28 ust. 9 rozporządzenia 2016/679 określa formę węzła prawnego łączącego administratora i podmiot przetwarzający, stanowiąc, iż winien przybrać on postać pisemną, w tym elektroniczną.
Odnosząc przytoczone wyżej źródła prawa do ujawnionego w niniejszej sprawie stanu faktycznego, należy w pierwszym rzędzie zauważyć, iż okoliczność braku zawarcia umowy powierzenia przetwarzania danych osobowych w rozumieniu art. 28 ust. 3 rozporządzenia 2016/679 nie pozbawia Wspólnoty ani Zarządcy ich statusów, tj. odpowiednio: administratora oraz podmiotu przetwarzającego. Z Wytycznych 07/2020[7] wynika bowiem, że „Pojęcia administratora (…) i podmiotu przetwarzającego są pojęciami funkcjonalnymi w tym sensie, że ich celem jest podział obowiązków zgodnie z rzeczywistymi rolami stron oraz pojęciami autonomicznymi w tym sensie, że powinno się je interpretować głównie zgodnie z prawem Unii o ochronie danych”. Przypisanie Wspólnocie jako administratorowi danych swoich członków wyłącznej odpowiedzialności za dobór podmiotu przetwarzającego nie powinien zatem budzić wątpliwości, tym bardziej, że art. 28 w ust. 1 stanowi wprost, że to właśnie administrator powierza przetwarzanie danych osobowych wybranej przez siebie osobie fizycznej lub prawnej. Ważkości roli dokonania przez administratora wyboru odpowiedniego podmiotu, który w jego imieniu i na jego rzecz będzie dokonywał operacji przetwarzania danych osobowych, dodaje przy tym wykładnia art. 5 ust. 1 lit. a) i f) rozporządzenia 2016/679, która wskazuje na konieczność zapewnienia, aby procesy przetwarzania danych osobowych były realizowane nie tylko zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”), ale też w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). Troska o wdrożenie powyższych zasad, w szczególności w aspekcie powierzenia przetwarzania danych osobowych innemu podmiotowi, powinna znajdować się w optyce każdego administratora zwłaszcza w kontekście wyrażonej w art. 5 ust. 2 rozporządzenia 2016/679 zasady rozliczalności, która stanowi, że administrator ponosi odpowiedzialność za przetwarzanie danych osobowych zgodnie z tymi zasadami i musi być w stanie wykazać ich przestrzeganie („rozliczalność”). Kontynuację i zarazem rozwinięcie tej myśli można natomiast odnaleźć w art. 28 ust. 1 rozporządzenia 2016/679, zawierającym implikację, wedle której, w przypadku gdy przetwarzanie danych osobowych dokonywane jest w imieniu i na rzecz administratora przez inny podmiot, wówczas jego fundament powinno stanowić korzystanie przez administratora wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Przykładowy katalog elementów, które administrator powinien wziąć pod uwagę przy dokonywaniu doboru podmiotu przetwarzającego spełniającego zakreślone powyżej postulaty zawarty został w Wytycznych 07/2020, a są to m.in.: „wiedza fachowa podmiotu przetwarzającego (np. wiedza techniczna w zakresie środków bezpieczeństwa i naruszeń ochrony danych); wiarygodność podmiotu przetwarzającego; zasoby podmiotu przetwarzającego oraz stosowanie przez podmiot przetwarzający zatwierdzonego kodeksu postępowania lub mechanizmu certyfikacji”. Nadto, „reputacja podmiotu przetwarzającego na rynku może być również istotnym czynnikiem, który administratorzy powinni wziąć pod uwagę”. W ww. źródle wyrażony został też pogląd, zgodnie z którym to „Administrator jest (…) odpowiedzialny za ocenę adekwatności gwarancji udzielonych przez podmiot przetwarzający i powinien być w stanie udowodnić, że poważnie wziął pod uwagę wszystkie elementy przewidziane w RODO. Gwarancje „zapewniane” przez podmiot przetwarzający to te, które podmiot przetwarzający jest w stanie wykazać w sposób zadowalający administratora, ponieważ są to jedyne gwarancje, które administrator może skutecznie uwzględnić przy ocenie wypełniania swoich obowiązków. Często będzie to wymagało wymiany odpowiedniej dokumentacji (np. polityki prywatności, warunków świadczenia usług, rejestru czynności przetwarzania, polityki zarządzania dokumentacją, polityki bezpieczeństwa informacji, sprawozdań z zewnętrznych audytów ochrony danych, uznanych międzynarodowych certyfikatów, takich jak normy ISO 27000). Ocena administratora, czy gwarancje są wystarczające, jest formą oceny ryzyka, która w znacznym stopniu zależy od rodzaju przetwarzania powierzonego podmiotowi przetwarzającemu i musi być dokonywana indywidualnie dla każdego przypadku, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania, a także zagrożeń dla praw i wolności osób fizycznych”. Dopiero to wnikliwe zbadanie kompetencji wybranego podmiotu przetwarzającego (stanowiące notabene także element oceny ryzyka związanego z przetwarzaniem danych osobowych), na którego ślady nie sposób natrafić w trakcie lektury złożonych w toku niniejszego postępowania – tak przez Wspólnotę, jak i Zarządcę –wyjaśnień, może dopiero stanowić dla administratora punkt wyjścia do zawarcia stosownej umowy powierzenia przetwarzania danych osobowych. W Wytycznych 07/2020 podkreślono, że „Wszelkie przetwarzanie danych osobowych przez podmiot przetwarzający musi być uregulowane umową lub innym aktem prawnym na mocy prawa Unii lub państwa członkowskiego zawartym między administratorem a podmiotem przetwarzającym, zgodnie z wymogami art. 28 ust. 3 RODO. Taki akt prawny ma formę pisemną, w tym formę elektroniczną (…)”. Co istotne, konsekwencję braku zachowania formy pisemnej zawarcia umowy powierzenia przetwarzania danych osobowych, w przypadku gdy nie obowiązuje żaden inny odpowiedni instrument prawny, ww. dokument każe traktować jako jednoznaczne „(…) naruszenie RODO”, co rzecz jasna nie umniejsza podnoszonej wyżej argumentacji, na podstawie której „relacja administrator-podmiot przetwarzający nadal istnieje w przypadku braku pisemnej umowy o przetwarzaniu danych. Oznaczałoby to jednak naruszenie art. 28 ust. 3 RODO”.
Obowiązki administratora w zakresie zapewnienia powierzenia przetwarzania danych osobowych podmiotowi spełniającemu wymogi wskazane w art. 28 ust. 1 rozporządzenia 2016/679, trwają co najmniej tak długo, jak okres powierzenia. Jak bowiem wskazano w ww. wytycznych »Obowiązek korzystania wyłącznie z usług podmiotów przetwarzających „zapewniających wystarczające gwarancje” zawarty w art. 28 ust. 1 RODO jest obowiązkiem ciągłym. Nie kończy się w momencie zawarcia umowy lub innego aktu prawnego przez administratora i podmiot przetwarzający. Administrator powinien raczej w odpowiednich odstępach czasu weryfikować gwarancje podmiotu przetwarzającego, w tym w stosownych przypadkach przez audyty i inspekcje(…)«. Jak wynika z powyższych rozważań, decyzja komu administrator miałby powierzyć przetwarzanie danych osobowych nie może być podejmowana bezpodstawnie – wręcz przeciwnie – powinna ona być wynikiem racjonalnego wyboru spełniającego wymogi art. 28 ust. 1 i ust. 3 rozporządzenia 2016/679 oraz przytoczonych w Wytycznych 07/2020 w sposób przykładowy kryteriów. Niedopełnienie przez administratora odpowiedniej formy czy treści umowy powierzenia, lub jego zaniedbania odnośnie obowiązku ciągłej weryfikacji podmiotu przetwarzającego co do gwarancji, o których mowa w art. 28 ust. 1 rozporządzenia 2016/679, może w rezultacie powodować pojawienie się negatywnych skutków bezpośrednio w sferze prywatności osób, których dane osobowe zostały powierzone podmiotowi przetwarzającemu. A przecież – tak jak było to już sygnalizowane – należy mieć na względzie, że stosowanie przepisów rozporządzenia 2016/679 nie może odbywać się w oderwaniu od podstawowego celu tego aktu normatywnego, jakim na gruncie art. 1 ust. 2 pozostaje ochrona podstawowych praw lub wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych. Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest natomiast jednym z praw podstawowych (zdanie pierwsze motywu 1 do preambuły rozporządzenia 2016/679). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów – nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy podejmowaniu decyzji dotyczących powierzenia przetwarzania danych osobowych innym podmiotom – należy w pierwszej kolejności brać pod uwagę te właśnie wartości, których ochronie służą konsekwentnie wymagania stawiane w art. 28 ust. 1, 3 i 9 rozporządzenia 2016/679. Stąd też ich naruszenie musi wiązać się z proporcjonalną do konkretnych okoliczności reakcją organu nadzorczego.
Tak jak w przedmiotowej sprawie, gdzie – w ocenie Prezesa UODO – zaniechania ze strony Wspólnoty stanowią czytelną egzemplifikację stanu przeciwnego do postulowanego przytoczonymi unormowaniami rozporządzenia 2016/679. Zgromadzony w toku niniejszego postępowania materiał dowodowy jednoznacznie wykazuje bowiem, że Wspólnota nie dokonała jakiegokolwiek sprawdzenia, czy Zarządca zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. Nie sposób również stwierdzić, by Wspólnota i Zarządca dokonywali w tym zakresie choćby nieformalnych ustaleń, które obejmowałyby elementy wymienione w art. 28 ust. 3 rozporządzenia 2016/679. Zamiast tego, na podstawie lektury złożonych przez ww. podmioty wyjaśnień, rysuje się obraz, w którym współpraca Wspólnoty i Zarządcy oparta była od dnia (…) na podstawie umowy cywilnoprawnej opisującej wzajemne prawa i obowiązki wyłącznie w odniesieniu do zarządu nieruchomością wspólną. Ten stan kooperacji pomijający wartości prawnie chronione, a odnoszące się do sfery prywatności osób fizycznych, będących członkami wspomnianej społeczności, trwał w niezmienionej formie jeszcze w roku 2021, kiedy to Zarządca podnosił w opatrzonym datą […] września 2021 r. piśmie, że jest „(…) na okresie trzy miesięcznym wypowiedzenia umowy z w/w [W]spólnotą” i to pomimo faktu, że z dniem 25 maja 2018 r. weszły w życie przepisy rozporządzenia 2016/679. Wspólnota, nie mając „wyczulenia na RODO” i uzasadniając swoje niedostatki wiedzy z zakresu przepisów o ochronie danych osobowych powoływaniem się na fakt, że „(…) [n]ikt nie zorganizował [przyp. red. jej] takich szkoleń [przyp. red. z zakresu przepisów o ochronie danych osobowych] (…)”, powstrzymywała się przed dokonywaniem weryfikacji podmiotu przetwarzającego pod kątem dawanych przez niego gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. Konsekwencją zaś przyjętego przez Wspólnotę podejścia do problematyki ochrony danych osobowych swoich członków, stało się, skądinąd, losowe zdarzenie, które miało miejsce w dniu […] lutego 2020 r. Wspólnota, nie dbając o oparcie współpracy z Zarządcą o normatywne zasady stosunku powierzenia przetwarzania danych osobowych, pozbawiła się de facto możliwości kształtowania jego działań. Nie stworzyła takiej przestrzeni jego aktywności, w której przetwarzanie przez ten podmiot danych osobowych członków Wspólnoty odbywałoby się wyłącznie na jej udokumentowane polecenie. Zamiast tego stan faktycznej kooperacji między Administratorem a Podmiotem przetwarzającym cechowała dowolność w działaniu Zarządcy, który w sposób autonomiczny dokonywał operacji przetwarzania danych osobowych, co wynika zresztą wyraźnie z treści datowanego na dzień […] października 2021 r. oświadczenia Wspólnoty, zgodnie z którym „(…)[n]igdy żadnego aktu notarialnego od lokatorów nie żądałyśmy”, a przecież ze zgromadzonego w toku niniejszego postępowania materiału dowodowego w sposób bezsporny wynika, że Zarządca dokonywał również operacji przetwarzania danych, umożliwiających jednoznaczną identyfikację osoby fizycznej, zawartych w dokumentacji tego rodzaju. Wbrew intencji Administratora, świadczy to zatem o braku spełnienia przez niego wymogów określonych w art. 28 ust. 1 i ust. 3 rozporządzenia 2016/679, co – idąc za Wytycznymi 07/2020, jest równoznaczne z naruszeniem przez niego tych przepisów. Ujawnione w toku niniejszego postępowania zaniedbania ze strony Wspólnoty – pozostającej wszak ciągle gospodarzem realizowanych w jej imieniu i na jej rzecz procesów przetwarzania danych osobowych – w kontekście braku ustanowienia odpowiednich ram aktywności dla Zarządcy doprowadziły do powstania, a następnie długotrwałego kontynuowania stanu dowolności jego działania. Powyższe daje asumpt do postawienia tezy, zgodnie z którą konsekwencje naruszenia ochrony danych osobowych z dnia […] lutego 2020 r. mogłyby być mniej doniosłe dla członków Wspólnoty, gdyby faktycznie istniejący między Wspólnotą a Zarządcą stosunek powierzenia przetwarzania danych osobowych zbudowany był na fundamencie precyzyjnie określonych praw i obowiązków obydwu stron umowy, gdzie ów kontrakt normowałby również granice odpowiedzialności Zarządcy za niezgodne z art. 28 ust. 1 i ust. 3 rozporządzenia 2016/679 wypełnianie swoich obowiązków oraz określałby mechanizmy ewentualnej weryfikacji wdrożenia przezeń odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679, chroniło prawa osób, których dane dotyczą i – odnosząc się do ww. oświadczenia Wspólnoty – by przetwarzanie danych osobowych na rzecz i w imieniu Administratora rzeczywiście stanowiło materializację jego decyzji. Tak się jednak w badanej sprawie nie stało, a brak cyklicznych ewaluacji ze strony Wspólnoty wdrożonych przez Zarządcę środków technicznych i organizacyjnych, służących zapewnieniu realizowanych na zlecenie Wspólnoty procesów przetwarzania danych osobowych odpowiedniego, a więc adekwatnego do inherentnie istniejącego ryzyka, poziomu bezpieczeństwa, sprawiły, że Zarządca bez żadnych uzgodnień ze Wspólnotą i poza jej kontrolą przetwarzał dane osobowe jej członków w miejscu swojego zamieszkania, nie legitymując się przy tym żadnymi procedurami, które minimalizowałyby – choćby w najmniejszym stopniu – aktualizację ryzyka związanego z utratą poufności danych osobowych mu powierzonych, co nie tylko świadczy o naruszeniu art. 28 ust. 1, 3 i 9, ale jednocześnie w sposób bezsporny przesądza o naruszeniu przez Wspólnotę art. 5 ust. 1 lit. a) rozporządzenia 2016/679.
Mając na uwadze powyższe ustalenia, Prezes Urzędu Ochrony Danych Osobowych, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. i) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a)-h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 ust. 4 lit. a) i art. 83 ust. 5 lit. a) rozporządzenia 2016/679, mając na względzie okoliczności ustalone w przedmiotowym postępowaniu stwierdził, iż w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Administratora administracyjnej kary pieniężnej.
Zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 –39 oraz 42 i 43 podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Art. 83 ust. 3 rozporządzenia 2016/679 natomiast stanowi, że jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.
Z kolei stosownie do treści art. 103 uodo, równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.
W niniejszej sprawie administracyjna kara pieniężna wobec Wspólnoty nałożona została za naruszenie art. 28 ust. 1, 3 i 9 oraz art. 33 ust. 1 i art. 34 ust. 1 i 2 rozporządzenia 2016/679 na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a) rozporządzenia 2016/679, natomiast za naruszenie art. 5 ust. 1 lit. a) rozporządzenia 2016/679 – na podstawie art. 83 ust. 5 lit. a) tego rozporządzenia. Jednocześnie kara w wysokości 1 556,28 PLN, stanowiącej – stosując średni kurs euro z dnia 30 stycznia 2023 r. (1 EUR = 4,7160 PLN) – równowartość 330 EUR, nałożona została na Wspólnotę łącznie za naruszenie wszystkich powyższych przepisów – stosownie do przepisu art. 83 ust. 3 rozporządzenia 2016/679 i nie przekracza wysokości kary za najpoważniejsze stwierdzone w niniejszej sprawie naruszenie, tj. naruszenie art. 5 ust. 1 lit. a) rozporządzenia 2016/679, które stosownie do art. 83 ust. 5 lit. a) rozporządzenia 2016/679 podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Decydując o nałożeniu na Administratora administracyjnej kary pieniężnej Prezes UODO stosownie do treści art. 83 ust. 2 lit. a-k rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, wpływające obciążająco i mające wpływ na wymiar nałożonej kary finansowej:
1) Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a) rozporządzenia 2016/679) – przy wymierzaniu kary istotne znaczenie miała okoliczność, że w przedmiotowej sprawie doszło do naruszenia przez Wspólnotę szeregu przepisów rozporządzenia 2016/679, określających jej podstawowe i zarazem kluczowe obowiązki w zakresie spełnienia – wyrażonego w art. 1 ust. 2 rozporządzenia 2016/679 – postulatu ochrony podstawowych praw lub wolności 18 członków Wspólnoty, w szczególności prawa do ochrony ich danych osobowych. Powstrzymując się od dokonania stosownego, a więc zawierającego wszystkie wymagane na gruncie art. 33 ust. 3 rozporządzenia 2016/679 elementy, zgłoszenia naruszenia ochrony danych osobowych – i co wymaga szczególnego podkreślenia – pomimo posiadania już od dnia […] lutego 2020 r. pełnej wiedzy o fakcie jego wystąpienia, Wspólnota uniemożliwiła organowi nadzorczemu podjęcie zgodnej z jego kompetencjami reakcji, która mogłaby doprowadzić do ograniczenia skutków przedmiotowego naruszenia. Powyższe zaniechanie z jej strony, skutkujące zmniejszeniem poziomu ochrony przetwarzanych przez nią danych osobowych i jednocześnie stanowiące o uchybieniu Administratora terminowi określonemu w art. 33 ust. 1 rozporządzenia 2016/679, należy oceniać tym bardziej negatywnie w kontekście braku zawiadomienia przez Wspólnotę dwóch osób, których dane przetwarzane były na skradzionej kopii aktu notarialnego, zgodnie z art. 34 ust. 1 i 2 rozporządzenia 2016/679. Biorąc bowiem pod uwagę szeroki zakres zawartych ww. dokumentacji kategorii danych osobowych, w szczególności dotyczących numeru PESEL, umożliwiających jednoznaczną identyfikację osób fizycznych i związane z tym faktem wysokie ryzyko wystąpienia szkód materialnych dla osób, których dane dotyczą, Administrator tym bardziej zobowiązany był do zawiadomienia bez zbędnej zwłoki wszystkich tych osób w formie umożliwiającej im wielokrotne zapoznanie się z treścią skierowanego do nich komunikatu, zawierającego zbiór wszystkich określonych w art. 34 ust. 3 rozporządzenia 2016/679 informacji, na podstawie których osoby fizyczne mogłyby podjąć adekwatne do zaistniałego ryzyka środki zaradcze w celu skutecznego zabezpieczenia swych dóbr. Ta pożądana i jednocześnie wymagana przepisami rozporządzenia 2016/679 reakcja ze strony Administratora jednak nie miała miejsca i co gorsza do chwili obecnej nie nastąpiła i to pomimo faktu, iż zaistnienie przedmiotowego naruszenia ochrony danych osobowych ewidentnie związane było z krzywdą osób, których dane utrwalone były na skradzionej kopii aktu notarialnego. Miarą zaś ujemnych doznań psychicznych tych osób niech będzie fakt, iż jedna z nich z własnej inicjatywy „dokonała wymiany dowodu tożsamości”, co wskazuje na towarzyszący tej osobie wysoki poziom niepokoju związany z potrzebą zabezpieczenia swych dóbr. Co gorsza, osoba ta nie otrzymała dla podejmowanych przez nią wysiłków żadnego wsparcia ze strony Administratora, który wbrew skierowanemu do niego w art. 34 rozporządzenia 2016/679 obowiązkowi, nie udzielił wszystkim pokrzywdzonym wskazówek w celu kompleksowej ochrony sfery ich prywatności, co z kolei tylko potęgowało psychiczne cierpienie tych osób. Rzecz jasna, nie bez znaczenia zarówno dla niekorzystnych zjawisk w sferze materialnej i niematerialnej ww. osób fizycznych w związku z zaniechaniami Administratora, jak również dla oceny wagi przedmiotowego naruszenia pozostają okoliczności zdarzenia mającego miejsce w dniu […] lutego 2020 r., objawiającego się działaniem osób trzecich o charakterze przestępnym, co do których z uwagi na ich modus operandi założyć należy złą wolę jako motyw działania.
Niezależnie od powyższego, niniejsze postępowanie wykazało, iż Wspólnota nie dopełniła swoich obowiązków związanych z weryfikacją podmiotu przetwarzającego oraz zawarciem umowy powierzenia przetwarzania danych osobowych w odpowiedniej formie i o stosownej treści. Konsekwencją zaś naruszenia przepisów art. 28 ust. 1, 3 i 9 rozporządzenia 2016/679 było faktyczne powierzenie przez Wspólnotę przetwarzania danych osobowych jej członków Podmiotowi przetwarzającemu, który nie dawał żadnych gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. Z kolei wynikiem długo istniejącego, bo jeszcze od dnia 25 maja 2018 r., czyli od momentu rozpoczęcia stosowania przepisów rozporządzenia 2016/679, stanu naruszenia prawa było przetwarzanie przez Zarządcę danych osobowych członków Wspólnoty de facto poza jej kontrolą, co do sposobu i zakresu tego przetwarzania, co już samo w sobie godziło w interesy osób, których dane dotyczą. Niemniej jednak, niedozwolona praktyka kontynuowana była za przyzwoleniem Wspólnoty aż do końca 2021 roku i to pomimo faktu wystąpienia w dniu […] lutego 2020 r. przedmiotowego naruszenia ochrony danych osobowych, którego nie sposób nie wiązać z niewdrożeniem przez Podmiot przetwarzający technicznych i organizacyjnych środków bezpieczeństwa dla procesów przetwarzania danych osobowych.
Charakter przytoczonych wyżej naruszeń przepisów art. 28 ust. 1, 3 i 9 oraz art. 33 ust. 1 i art. 34 ust. 1 i 2 rozporządzenia 2016/679, domaga się zdaniem Prezesa UODO – obok aspektu długotrwałości, uporczywości oraz wagi każdego z tych naruszeń z osobna – również łącznego ich rozpatrzenia w kontekście sprzeniewierzenia się przez Administratora wyrażonej w art. 5 ust. 1 lit. a) rozporządzenia 2016/679 zasadzie, nakazującej dokonywać operacji przetwarzania danych osobowych zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą. Nie ulega bowiem wątpliwości, że członkowie Wspólnoty mieli racjonalne prawo oczekiwać, by ich dane osobowe przetwarzane były przez Administratora nie tylko w sposób zgodny z regułami zawartymi ww. źródłach prawa, ale też z poszanowaniem ich interesów oraz w sposób dla nich transparentny. Rzecz jasna postulatów tych nie spełniła przyjęta przez Wspólnotę pragmatyka, stojąca w jawnej opozycji do norm należytego postępowania wyznaczonych art. 28 ust. 1, 3 i 9, art. 33 ust. 1 oraz art. 34 ust. 1 i 2 rozporządzenia 2016/679.
2) Umyślny lub nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679) – ze zgromadzonego w przedmiotowej sprawie materiału dowodowego nie wynika, aby brak zgłoszenia Prezesowi UODO faktu wystąpienia przedmiotowego naruszenia ochrony danych osobowych, czy też niezawiadomienie osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych według norm przepisanych było działaniem umyślnym obliczonym na celowe naruszenie przepisów rozporządzenia 2016/679. Skłaniać się raczej należy do konstatacji, że – podobnie jak w przypadku innych uchybień ze strony Administratora – powierzenie przez Wspólnotę danych osobowych swoich członków Zarządcy bez odpowiedniej weryfikacji tego podmiotu oraz bez zawarcia stosunku powierzenia przetwarzania danych tych osób w przewidzianej prawem formie w umowie o odpowiedniej treści, było wynikiem niedbalstwa ze strony Administratora, spowodowanego niedostatkiem wiedzy z zakresu przepisów o ochronie danych osobowych, o czym zresztą sam donosił. Niemniej jednak to, że nie udowodniono celowości w działaniach Administratora, nie powinno być równoznaczne z przyjęciem, że przesłanki tej nie powinno się ocenić jako obciążającej albo traktować jej wręcz jako okoliczność łagodzącą. Stopień niedbalstwa wykazanego przez Wspólnotę w kontekście naruszeń przepisów z art. 5 ust. 1 lit. a), art. 28 ust. 1, 3 i 9, art. 33 ust. 1 oraz art. 34 ust. 1 i 2 rozporządzenia 2016/679 jest bowiem rażący i świadczy o braku przestrzegania podstawowych zasad ochrony danych osobowych. Podnoszenie argumentu o nieznajomości prawa – lub jak woli Wspólnota „braku wyczucia na RODO”, nie tylko nie może stanowić uzasadnienia dla lekceważenia przepisów rozporządzenia 2016/679, a należy wręcz wyraźnie podkreślić, że próby tego typu racjonalizacji postrzegać niewątpliwie należy zawsze w kategoriach obciążających, zgodnie z maksymą ignorantia iuris nocet.
3) Działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c) rozporządzenia 2016/679) – Administrator nie tylko zaniechał wystosowania do dwóch osób, których dane osobowe przetwarzane były na skradzionej kserokopii aktu notarialnego, określonego w art. 34 ust. 1 rozporządzenia 2016/679 zawiadomienia, tym samym uniemożliwiając podjęcie tym osobom skutecznych działań w celu zaradzenia przedmiotowemu naruszeniu ochrony ich danych osobowych i złagodzenia jego potencjalnych negatywnych skutków, co już stanowiło o braku podjęcia przez Wspólnotę działań, które przyczynić by się mogły do zminimalizowania poniesionej przez te osoby szkody. Jako spełnienia obowiązku określonego w art. 34 ust. 1 i 2 rozporządzenia 2016/679 nie można uznać przekazania w formie ustnej, niepełnej informacji o przedmiotowym naruszeniu ochrony danych osobowych tylko jednemu podmiotowi danych, z pominięciem skierowania indywidualnego komunikatu w formie umożliwiającej jej wielokrotne odtworzenie do drugiej z osób objętych tym naruszeniem. Pomimo faktu, że zakres kategorii danych zawartych w przedmiotowej dokumentacji powodował – w ocenie Prezesa UODO – wysokie ryzyko materializacji negatywnych skutków dla praw lub wolności tych osób, Administrator nie podjął też żadnych innych działań, związanych np. z pokryciem wydatków poniesionych przynajmniej przez jedną z ww. osób w związku z koniecznością wyrobienia przez nią nowego dowodu tożsamości, czy też kosztu usługi BIK Alert, które w wymierny sposób zmniejszyłyby poniesione przez ww. osoby fizyczne szkody, związane bezpośrednio z faktem wystąpienia przedmiotowego naruszenia ochrony danych osobowych.
4) Stopień odpowiedzialności Administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych na mocy art. 25 i 32 (art. 83 ust. 2 lit. d) rozporządzenia 2016/679) – ustalenia dokonane przez Prezesa UODO pozwalają na stwierdzenie, że Wspólnota nie dopełniła obowiązków określonych w art. 28 ust. 1 rozporządzenia 2016/679, dotyczących weryfikacji, czy Zarządca zapewniał wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi tego rozporządzenia i chroniło prawa osób, których dane dotyczą, a ponadto nie zawarła umowy powierzenia w przewidzianej prawem formie (art. 28 ust. 9 rozporządzenia 2016/679) i o wskazanej w art. 28 ust. 3 rozporządzenia 2016/679 treści. Nieformalne powierzenie przetwarzania danych osobowych podmiotowi nie wykazującemu się spełnianiem standardów określonych w art. 28 ust. 1 rozporządzenia 2016/679 sprzyjało – w okresie od dnia 25 maja 2018 r. do grudnia 2021 r. – zwiększeniu inherentnego poziomu ryzyka związanego z procesami przetwarzanych w imieniu Administratora danych osobowych i wreszcie do eskalacji tego ryzyka oraz jego materializacji w dniu […] lutego 2020 r., kiedy doszło do włamania do mieszkania Zarządcy i zaboru niezabezpieczonej dokumentacji zawierającej dane osobowe członków Wspólnoty. Nie sposób również stwierdzić, że do powierzenia przetwarzania danych osobowych doszło w zgodzie z wprowadzonymi przez Administratora środkami organizacyjnymi, tj. procedurami lub regulaminami stanowiącymi o obowiązku weryfikacji podmiotu przetwarzającego i określającymi sposób zawierania umów dotyczących powierzania przetwarzania danych osobowych, które zapewniałyby przestrzeganie wymogów z art. 28 rozporządzenia 2016/679 albowiem ani Wspólnota ani Zarządca nie przedstawili charakterystyki tych środków, co tym samym jednoznacznie przesądza o naruszeniu przez Wspólnotę art. 28 ust. 3 rozporządzenia 2016/679.
5) Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679) – w niniejszej sprawie Prezes UODO uznał za niezadowalającą współpracę z nim ze strony Wspólnoty. Ocena ta jest wynikiem zarówno braku terminowości Administratora w odpowiadaniu na wysyłane do niego pisma w ramach prowadzonego przez organ postępowania wyjaśniającego, jak i fragmentaryczności udzielanych odpowiedzi. Na negatywnej ocenie współpracy Administratora z organem zaważył też niewątpliwie okres związany z brakiem jakiejkolwiek reakcji ze strony Administratora, tj. od dnia […] listopada 2020 r., czyli daty skutecznego doręczenia Wspólnocie pierwszego pisma w sprawie do dnia […] lipca 2021 r., kiedy to Wspólnota zdecydowała się odpowiedzieć na ponawiane do niej przez Prezesa UODO wezwania. Nieznane pozostają przy tym przesłanki, którymi kierowała się Wspólnota, formułując niejednokrotnie wypowiedzi, nie odnoszące się bezpośrednio do podnoszonych przez organ zagadnień w celu wyjaśnienia okoliczności przedmiotowej sprawy, co w konsekwencji przyczyniło się do wydłużenia prowadzonych przez organ nadzorczy czynności wyjaśniających. Nie sposób jednocześnie nie zauważyć, że Wspólnota zwiększyła szybkość swojej reakcji na adresowane do niej pisma dopiero od momentu wszczęcia przez Prezesa UODO w niniejszej sprawie postępowania administracyjnego, a zatem można założyć, że gdyby nie ta okoliczność, utrudnianie organowi wykonywanie jego uprawnień na gruncie art. 58 ust. 1 lit. a) i e) byłoby przez Wspólnotę kontynuowane. Reasumując, wskazać należy, iż uzyskanie od Wspólnoty informacji odpowiadających minimalnemu zakresowi zgłoszenia określonemu w art. 33 ust. 3 rozporządzenia 2016/679 wymagało kilkukrotnego skierowania do niej pism informujących o ciążących na administratorze obowiązkach oraz wzywających do udzielenia wyjaśnień, a na dalszym etapie postępowania – do uzupełnienia i sprecyzowania już przekazanych Prezesowi UODO informacji, co bez wątpienia przesądza o uchybieniu przez Wspólnotę terminowi określonemu w art. 33 ust. 1 rozporządzenia 2016/679. Natomiast w zakresie właściwego wypełnienia obowiązku zawiadomienia o naruszeniu osób, których dane dotyczą (a więc usunięcia stanu naruszenia przepisu art. 34 ust. 1 i 2 rozporządzenia 2016/679), wskazać należy, iż do chwili obecnej nie zostały przez Wspólnotę podjęte żadne działania, pomimo formalnego wszczęcia przez Prezesa UODO postępowania administracyjnego w niniejszej sprawie.
6) Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679) – dane osobowe przetwarzane na skradzionej dokumentacji, w tym kopii aktu notarialnego, nie należały do szczególnych kategorii danych osobowych, o których mowa w art. 9 rozporządzenia 2016/679, jednakże ich szeroki zakres obejmujący takie kategorie danych osób fizycznych jak: numer PESEL, seria i numer dowodu osobistego, imiona oraz nazwiska, adres zamieszkania lub pobytu, a także wzór podpisu wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych przedmiotowym naruszeniem. Należy podkreślić, iż nieuprawnione ujawnienie takiej kategorii danych o szczególnym charakterze jak nr PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający datę urodzenia, numer porządkowy, oznaczenie płci oraz liczbę kontrolną, pozostający ściśle powiązany ze sferą prywatności osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, w szczególności w połączeniu – tak jak miało to miejsce w przedmiotowej sprawie – z szerszym zestawem danych osobowych, może realnie i negatywnie wpływać na ochronę praw lub wolności osób fizycznych. Nie inaczej zresztą w kwestii szczególnego charakteru informacji identyfikacyjnej, jaką jest numer ewidencyjny PESEL i łączącym się z tym postulatem szczególnej jego ochrony wypowiedział się Wojewódzki Sąd Administracyjny w Warszawie, który w wyroku z dnia 1 lipca 2022 r. zważył, że „w przypadku naruszenia takich danych, jak imię, nazwisko oraz numer PESEL, możliwa jest bowiem kradzież lub sfałszowanie tożsamości skutkująca negatywnymi konsekwencjami dla osób, których dane dotyczą”.
Ustalając wysokość administracyjnej kary pieniężnej nałożonej na Wspólnotę, Prezes UODO uwzględnił jako okoliczność łagodzącą przesłankę brak stosownych wcześniejszych, tj. do chwili wydania niniejszej decyzji, naruszeń przepisów rozporządzenia 2016/679 ze strony Administratora (art. 83 ust. 2 lit. e) rozporządzenia 2016/679).
Na fakt zastosowania wobec Wspólnoty w niniejszej sprawie przez Prezesa UODO sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały wpływu inne, wskazane w art. 83 ust. 2 rozporządzenia 2016/679 okoliczności, tj.:
1) Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie (art. 83 ust. 2 lit. h) rozporządzenia 2016/679) – Prezes UODO dowiedział się o nieprawidłowościach w procesach przetwarzania danych osobowych administrowanych przez Wspólnotę w wyniku anonimowego zgłoszenia (…) Urzędu Skarbowego w B. „(…) nieuprawnionego dostępu i ujawnienia danych osobowych, numerów kont, zadłużeń klientów, nazwisk części klientów np. ze wspólnoty mieszkaniowej przy ul. (…) (…)”, przekazanego następnie według właściwości do wiadomości Prezesa UODO. Tym samym Wspólnota jako administrator danych swoich członków uchybiła obowiązkowi dokonania zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych, które miało miejsce w dniu […] lutego 2020 r. Zgodnie zaś z Wytycznymi WP 253 Grupy Roboczej ds. Ochrony Danych art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 „administrator/podmiot przetwarzający, który wykazał się niedbałością, gdyż nie dopełnił obowiązku powiadomienia lub co najmniej nie powiadomił o wszystkich szczegółach naruszenia wskutek niepoprawnej oceny rozmiaru naruszenia, może według organu nadzorczego zasłużyć na poważniejszą sankcję — innymi słowy jest mało prawdopodobne, by takie naruszenie zostało uznane za niewielkie.”
2) Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i) rozporządzenia 2016/679) – przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
3) Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j) rozporządzenia 2016/679) – Administrator nie stosuje instrumentów, o których mowa w art. 40 i art. 42 rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów i podmiotów przetwarzających, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na korzyść Administratora natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.
4) Wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k) rozporządzenia 2016/679) – Prezes UODO nie stwierdził, żeby Administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Administratora. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez Administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla Administratora. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.
Uwzględniając wszystkie omówione wyżej okoliczności, Prezes Urzędu Ochrony Danych Osobowych uznał, iż nałożenie administracyjnej kary pieniężnej na Administratora jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanego temu podmiotowi naruszenia przepisów rozporządzenia 2016/679. Jednocześnie, stwierdzić należy, iż zastosowanie wobec Wspólnoty jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b) rozporządzenia 2016/679), nie byłoby proporcjonalne do stwierdzonych w procesach przetwarzania danych osobowych realizowanych przez Administratora nieprawidłowości oraz nie gwarantowałoby tego, że Wspólnota nie dopuści się podobnych zaniedbań w przyszłości.
W ocenie Prezesa UODO nałożona na Wspólnotę administracyjna kara pieniężna w wysokości 1 556,28 PLN spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Zdaniem organu nałożona na Wspólnotę administracyjna kara pieniężna jest proporcjonalna nie tylko w stosunku do powagi ujawnionych w toku niniejszego postępowania uchybień, stanowiących naruszenie szeregu przepisów rozporządzenia 2016/679, tj. wyrażonej w art. 5 ust. 1 lit. a) rozporządzenia 2016/679 zasady zgodności z prawem, rzetelności i przejrzystości, a odzwierciedlonej obowiązkami ustanowionymi w art. 28 ust. 1, 3 i 9 oraz art. 33 ust. 1 i art. 34 ust. 1 i 2 rozporządzenia 2016/679, ale też w kontekście podstawowego celu rozporządzenia 2016/679 jakim jest ochrona podstawowych praw lub wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych. Jednocześnie, w ocenie Prezesa UODO administracyjna kara pieniężna w orzeczonej wysokości będzie skuteczna, albowiem osiągnie cel jakim jest ukaranie Wspólnoty za naruszenia przepisów rozporządzenia 2016/679 o poważnych skutkach, a zarazem pełnić będzie funkcję prewencyjną powodując, że Wspólnota celem uniknięcia kolejnych sankcji w przyszłości dopełni wszelkich starań w celu należytego spełnienia ciążących na nim obowiązków związanych z poinformowaniem bez zbędnej zwłoki tak Prezesa UODO, jak i osób, których dane dotyczą, o fakcie wystąpienia naruszenia ochrony danych osobowych, a także przetwarzaniem danych osobowych za pośrednictwem i przy pomocy podmiotu przetwarzającego w sposób uwzględniający wymogi art. 28 ust. 1, 3 i 9 rozporządzenia 2016/679. Rekapitulując, w ocenie Prezesa UODO orzeczona w niniejszej sprawie administracyjna kara pieniężna spełnia w świetle całokształtu indywidualnych okoliczności niniejszej sprawy swoje funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, ze względu na wagę stwierdzonego naruszenia w kontekście podstawowych wymogów i zasad rozporządzenia 2016/679.
Niezależnie od powyższego, dostrzegając, iż do dnia wydania niniejszej decyzji stan naruszenia prawa polegający na niezawiadomieniu osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych, nie został przez Wspólnotę zakończony, Prezes UODO nie mógł postąpić inaczej, jak wystosować względem niej – stosownie do treści art. 58 ust. 2 lit. e) rozporządzenia 2016/679 – nakaz zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych w celu przekazania tym osobom wszystkich wymaganych na gruncie art. 34 ust. 2 rozporządzenia 2016/679 informacji dotyczących: opisu charakteru naruszenia ochrony danych osobowych, imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji, opisu możliwych konsekwencji naruszenia ochrony danych osobowych oraz opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
Wobec powyższego Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji niniejszej decyzji.
[1] Wyrok Naczelnego Sadu Administracyjnego z dnia 30 stycznia 2002 r., sygn. II SA 1098/01
[2] Wyrok Wojewódzkiego Sądu Administracyjnego z dnia 22 września 2021 r., sygn. II SA/Wa 791/21.
[3] Wyrok Wojewódzkiego Sądu Administracyjnego z dnia 21 stycznia 2022 r., sygn. II SA/Wa 1353/21.
[4] Wyrok Wojewódzkiego Sądu Administracyjnego z dnia 1 lipca 2022 r., sygn. II SA/Wa 4143/21.
[5] „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych”, dostęp w: https://uodo.gov.pl/pl/134/1029.
[7] Wytyczne 07/2020 Europejskiej Rady Ochrony Danych dotyczące pojęć administratora i podmiotu przetwarzającego zawartych w RODO (Wersja 2.0, przyjęta 7 lipca 2021 r.), zwane dalej Wytycznymi 07/2020.