UZASADNIENIE
Prokurator Rejonowy w […] wniósł skargę na decyzję Prezesa Urzędu Danych Osobowych z dnia […] marca 2023r., wydaną w przedmiocie przetwarzania danych osobowych.
W dniu […] marca 2021 r. do Prezesa Urzędu Ochrony Danych Osobowych, (zwanego dalej również “Prezesem UODO”), wpłynęła informacja wskazująca na możliwość wystąpienia naruszenia ochrony danych osobowych w Prokuraturze Rejonowej w […] (zwanej dalej także “Administratorem”), polegającego na przekazaniu w dniu […] listopada 2020 r. lokalnemu dziennikarzowi przez Administratora, w ramach odpowiedzi na wniosek z […] listopada 2020 r. złożony w trybie ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2022 r. poz. 902), dokumentacji z zakończonego postępowania przygotowawczego o sygnaturze […] w postaci:
Zawiadomienia o podejrzeniu popełnienia przestępstwa z […] października 2018r. wraz z załącznikami (w tym kwestionariuszem rodzinnego wywiadu środowiskowego).
1. Notatki urzędowej prokuratora z […] października 2018 r.
2. Postanowienia z […] października 2018 r. o umorzeniu śledztwa.
3. Zażalenia z […] listopada 2018 r. na postanowienie prokuratora Prokuratury Rejonowej w […] o umorzeniu śledztwa.
4. Protokołu posiedzenia Sądu Rejonowego w […] z dnia […] lutego 2019r. w przedmiocie rozpoznania zażalenia na postanowienie o odmowie wszczęcia dochodzenia.
5. Postanowienia Sądu Rejonowego w […] z […] lutego 2019 r. o nieuwzględnieniu zażalenia.
Organ ustalił, iż jedną z osób dotkniętych naruszeniem jest M. T. – Wójt Gminy […], wybrany na tą funkcję w wyborach samorządowych w 2018 r. (w aktach postępowania przygotowawczego, udostępnionych lokalnemu dziennikarzowi, wskazywana jest poprzednia jego funkcja, tj. radnego Gminy […]). Wskutek zaistniałego naruszenia udostępnione zostały jego dane osobowe w postaci imienia i nazwiska, serii i numeru dowodu osobistego, numeru PESEL, adresu zamieszkania, numeru telefonu, informacji o wynagrodzeniu, płci, stanie cywilnym, stopniu pokrewieństwa oraz miejscu zatrudnienia. Oprócz danych ww. osoby udostępnione również zostały dane osobowe jego żony w zakresie jej imienia i nazwiska, daty urodzenia, płci, stanu cywilnego, stopnia pokrewieństwa, numeru PESEL, informacji o wynagrodzeniu oraz miejscu zatrudnienia. Ponadto, udostępniono informacje na temat małoletniego dziecka w zakresie imienia i nazwiska, daty urodzenia, płci, stanu cywilnego, stopnia pokrewieństwa, numeru PESEL, informacji o miejscu nauki oraz danych dotyczących zdrowia w postaci informacji, że dom pomocy społecznej, w którym przebywa, jest przeznaczony dla dzieci i młodzieży niesprawnej intelektualnie. Zakres danych udostępnionych w odpowiedzi na ww. wniosek dotyczył także zarzucanych radnemu czynów, tj. podejrzenia popełnienia przestępstwa polegającego na złożeniu w Gminnym Ośrodku Pomocy Społecznej w […] nieprawdziwego oświadczenia o jego zarobkach i zarobkach jego żony w związku z toczącym się postępowaniem w sprawie ustalenia opłaty za pobyt jego syna w domu pomocy społecznej. Dokumenty udostępnione w ramach odpowiedzi na wniosek o udzielenie informacji publicznej nie zostały zanonimizowane. Dziennikarz ten, niezwłocznie po otrzymaniu od Administratora kopii ww. dokumentów z akt postępowania przygotowawczego sygn. […], opublikował je-anonimizując wcześniej dane osobowe – w lokalnym serwisie internetowym pod adresem […].
W związku z powyższym, pismem z dnia […] lipca 2021 r., Prezes UODO zwrócił się do Administratora o udzielenie informacji, czy w związku z ww. zdarzeniem dokonana została analiza pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia organu nadzorczego oraz osób, których dane dotyczą.
W odpowiedzi, w piśmie z dnia […] sierpnia 2021 r. Administrator poinformował Prezesa UODO między innymi, że: “(…) [W] odpowiedzi na pismo MR przekazano mu skany niektórych dokumentów z akt, z tym, iż istotnie nie dokonano ich anonimizacji. informacje te przekazano tylko jednej osobie. Następnie MR złożył do Prokuratury zawiadomienie o przestępstwie dot. nieuprawnionego ujawnienia niektórych danych osobowych Wójta Gminy […] przez zaniechanie anonimizacji tych danych. Na podstawie decyzji Prokuratura Okręgowego w […] postępowanie w tej sprawie prowadziła Prokuratura Rejonowa w […], pod. Sygn. […]. Postępowanie to, prowadzone pod kątem popełnienia czynu z art. 231 § 1 k.k., zakończyło się decyzją z dnia […].I.2021r, o odmowie wszczęcia śledztwa. Z uzyskanych informacji wynika, iż decyzja jest prawomocna, gdyż MT nie złożył zażalenia” oraz “w tut. Prokuraturze rozważano, czy doszło do naruszenia ochrony danych osobowych, skutkującego koniecznością zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych oraz osób, których incydent dotyczył. Uznano, że konieczność taka nie zachodziła”.
Prezes UODO nie przychylił się do ww. stanowiska i w związku z tym, działając na podstawie art. 61 § 1 i 4 ustawy z dnia 14 czerwca 1960 r. Kodeks Postępowania Administracyjnego (Dz. U. z 2022 r. poz. 2000 ze zm.), zwanej dalej również “k.p.a.”, w związku z art. 58 ust. 2 lit. e) rozporządzenia 2016/679, pismem z dnia […] września 2022 r. wszczął z urzędu wobec Prokuratury Rejonowej w […] postępowanie administracyjne w sprawie braku zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie. Jednocześnie Prezes UODO zwrócił się do Administratora o wskazanie:
1. czy w związku z zaistniałą sytuacją dokonana została analiza zdarzenia pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych oraz osób, których dotyczy naruszenie, jeżeli tak to o przekazanie tej analizy, a jeśli nie, to uzasadnienie rezygnacji z jej przeprowadzenia;
2. zakresu danych udostępnionych w wyniku zdarzenia osobie nieuprawnionej oraz liczby osób, których dotyczą te dane;
3. czy osoby, których dotyczyło naruszenie zostały zawiadomione o naruszeniu ich danych osobowych, jeśli tak to przekazanie zanonimizowanego zawiadomienia wraz z podaniem daty jego wysłania oraz wykorzystanego środka komunikacji.
W odpowiedzi na pismo informujące o wszczęciu postępowania administracyjnego, Administrator pismem z dnia […] października 2022 r. poinformował Prezesa UODO, iż “(…) w sprawie tej tamtejszy Urząd zwracał się już do mnie pismem z […]. VII.2021r. sygn. […]. Udzieliłem wówczas odpowiedzi w piśmie z […].VIII.2021r. którego kopię przesyłam. Stanowisko w nim zawarte w całości podtrzymuję”. Administrator nie odpowiedział na zadane pytania dotyczące zakresu danych osobowych udostępnionych nieuprawnionej osobie oraz liczby osób, których te dane dotyczą.
Prezes UODO wskazał, iż przedmiotem niniejszego postępowania jest naruszenie przez Administratora przepisów art. 33 ust. 1 oraz art. 34 ust. 1 i 2 rozporządzenia 2016/679, w związku z przekazaniem, w ramach odpowiedzi na wniosek o udostępnienie informacji publicznej, dokumentacji z zakończonego postępowania przygotowawczego o sygnaturze […], zawierającej niepoddane anonimizacji dane osobowe osób fizycznych.
Powyższe działanie nie należy do zadań prokuratury, o których mowa w art. 3 ustawy z dnia 28 stycznia 2016 r. Prawo o prokuraturze (Dz. U. z 2022 poz. 1257 ze zm.), w związku z tym niniejsza sprawa została rozstrzygnięta w oparciu o przepisy rozporządzenia 2016/679, a nie ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125 ze zm.).
Zgodnie z art. 4 pkt 12 rozporządzenia 2016/679, “naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Art. 33 rozporządzenia 2016/679 stanowi, że w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia (ust. 1). Zgłoszenie, o którym mowa w ust. 1, musi co najmniej: a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków (ust. 3).
W ocenie Prezesa UODO, doszło do naruszenia ochrony danych osobowych trzech osób, w związku z przekazaniem przez Administratora, w ramach odpowiedzi na wniosek złożony w trybie ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz.U. z 2022 r. poz. 902), niezanonimizowanej dokumentacji z zakończonego postępowania przygotowawczego o sygnaturze […]. Jak bowiem wskazał sam Administrator, lokalnemu dziennikarzowi “przekazano (…) skany niektórych dokumentów z akt, z tym, iż istotnie nie dokonano ich anonimizacji”. Naruszenie objęło swoim zakresem dane osobowe trzech osób (w tym dziecka). Udostępnione dane obejmują w szczególności imię i nazwisko, numer PESEL, datę urodzenia oraz stopień pokrewieństwa, a w przypadku dziecka także dane podlegające szczególnej ochronie na gruncie art. 9 ust. 1 rozporządzenia 2016/679 (dane o stanie zdrowia w postaci informacji o pobycie w domu pomocy społecznej przeznaczonym dla dzieci i młodzieży niesprawnej intelektualnie) i bez wątpienia pozwalają na bardzo łatwą identyfikację tych osób.
Organ wskazał, iż wbrew twierdzeniom Administratora doszło w wyniku przedmiotowego zdarzenia do naruszenia poufności danych osób fizycznych ze względu na udostępnienie nieprawidłowo zanonimizowanych dokumentów. O ile Prezes UODO nie kwestionuje samego udostępnienie dokumentacji w trybie dostępu do informacji publicznej, to jednak przy jej udostępnieniu muszą być zachowane zasady również z zakresu ochrony danych osobowych. Podkreślić należy, że rezultatem udostępnienia niezanonimizowanej dokumentacji było ujawnienie danych osobowych zawartych w jej treści osobie nieuprawnionej do ich otrzymania, czego konsekwencją jest powstanie naruszenia ochrony danych osobowych. Jednakże z wyjaśnień Administratora wnioskować należy, iż w związku z odmową wszczęcia śledztwa w tym zakresie przez Prokuraturę Rejonową w […] uznał on, że nie doszło do naruszenia ochrony danych osobowych. Administrator nie przedstawił jednak, pomimo wezwania organu nadzorczego, żadnej analizy w tym zakresie, a tym samym nie udokumentował, że przeprowadził analizę ryzyka naruszenia praw lub wolności osób fizycznych objętych przedmiotowym naruszeniem ochrony danych osobowych, której wynik uprawniałby go do stwierdzenia, że “w tut. Prokuraturze rozważano, czy doszło do naruszenia ochrony danych osobowych, skutkującego koniecznością zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych oraz osób, których incydent dotyczył. Uznano, że konieczność taka nie zachodziła”. Podkreślenia jednocześnie wymaga, że odmowa wszczęcia postępowania nie może stanowić podstawy do przyjęcia, że w związku z ww. zdarzeniem nie doszło do naruszenia ochrony danych osobowych i zastąpić rzetelnie przeprowadzonej analizy ryzyka praw lub wolności osób fizycznych. Ocena dokonana przez Prokuraturę Rejonową w […] została bowiem oparta na przepisach prawa karnego, gdy tymczasem ocena, czy wystąpiło naruszenie ochrony danych osobowych i czy związane jest ono z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych musi być wykonana na gruncie przepisów rozporządzenia 2016/679.
Organ wskazał, iż w stanie faktycznym przedmiotowej sprawy należy stwierdzić, że Administrator nie przeprowadził oceny ryzyka naruszenia praw lub wolności osób fizycznych w związku z zaistniałym naruszeniem ochrony danych osobowych opartej o obiektywne kryteria, a także nie wykazał zgodnie z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jednocześnie, z uwagi na szeroki zakres ujawnionych danych (w tym imienia i nazwiska oraz numeru ewidencyjnego PESEL, a w przypadku dziecka także danych o stanie zdrowia). Prezes UODO stwierdził, że wskutek zaistniałego zdarzenia wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Dodatkowe zagrożenie dla praw lub wolności osób fizycznych wiążą się z ujawnieniem danych o stanie zdrowia dziecka w związku z informacją o jego pobycie w domu pomocy społecznej dla dzieci i młodzieży z […], np. dyskryminacja dziecka, prześladowanie i poniżanie przez rówieśników. Obowiązek zgłoszenia naruszenia ochrony danych osobowych określony w art. 33 ust. 1 rozporządzenia 2016/679 nie jest również uzależniony od tego, czy ryzyko naruszenia praw lub wolności osób fizycznych się zmaterializowało.
W ocenie Organu bez znaczenia jest również fakt, iż dane zostały udostępnione jednej zidentyfikowanej osobie. Dane bowiem zostały udostępnione nieuprawnionej osobie, co oznacza że nastąpiło naruszenie bezpieczeństwa prowadzące do nieuprawnionego ujawnienia danych osobowych, a zakres tych danych (obejmujący m.in. numer ewidencyjny PESEL) przesądza o tym, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Prezes UODO stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Administratora administracyjnej kary pieniężnej w oparciu o art. 83 ust. 4 lit. a) rozporządzenia 2016/679 stanowiący m.in., że naruszenie obowiązków administratora, o których mowa w art. 33 i 34 rozporządzenia 2016/679, podlega administracyjnej karze pieniężnej w wysokości do 10 000 000 EURO, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Natomiast z art. 102 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) wynika, że Prezes UODO może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 000 złotych, na: jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1-12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, instytut badawczy lub Narodowy Bank Polski. Z ust. 3 tego artykułu wynika ponadto, że administracyjne kary pieniężne, o których mowa między innymi w ust. 1, Prezes Urzędu nakłada na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679.
Organ wskazał, iż stosownie do treści art. 83 ust. 2 rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a) – h) oraz lit. j) rozporządzenia 2016/679. Decydując o nałożeniu na Administratora administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) – k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążające na wymiar nałożonej kary pieniężnej:
a) Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
W ocenie Prezesa UODO stwierdzone w niniejszej sprawie naruszenie ma znaczną wagę i poważny charakter, ponieważ zgłaszanie naruszeń ochrony danych osobowych przez administratorów danych stanowi skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Przede wszystkim na podstawie informacji przekazanych przez administratorów w zgłoszeniach naruszenia ochrony danych osobowych organ nadzorczy może dokonać oceny, czy administrator w sposób prawidłowy dokonał analizy wpływu naruszenia na prawa lub wolności osób, których dotyczą dane objęte naruszeniem, a w konsekwencji, czy występuje wysokie ryzyko naruszenia praw lub wolności osób fizycznych i zachodzi konieczność zawiadomienia tych osób o naruszeniu ich danych. Za okoliczność obciążającą Prezes UODO uznał długi czas trwania naruszenia. Od powzięcia przez Administratora informacji o naruszeniu ochrony danych osobowych do dnia wydania niniejszej decyzji upłynęło dwadzieścia siedem miesięcy, w trakcie których ryzyko naruszenia praw lub wolności osób dotkniętych naruszeniem mogło się zrealizować, a czemu osoby te nie mogłyby przeciwdziałać ze względu na niewywiązanie się przez Administratora z obowiązku powiadomienia ich o naruszeniu.
b) Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
Zgodnie z Wytycznymi Grupy Roboczej Art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 WP253 (przyjętymi w dniu 3 października 2017 r., zatwierdzonymi przez EROD w dniu 25 maja 2018 r.), umyślność “obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego”. Administrator podjął świadomą decyzję, by nie zawiadamiać o naruszeniu Prezesa UODO, jak i osób, których dane dotyczą. Szczególnej ochrony danych osobowych, w tym przede wszystkim numeru PESEL, wymaga się od instytucji zaufania publicznego, do których zalicza się niewątpliwie Administratora. Będąc tego świadomym, Administrator podjął jednak decyzję o rezygnacji z dokonania zgłoszenia naruszenia Prezesowi UODO i powiadomienia osób, których dane dotyczą, pomimo faktu, że Prezes UODO w pierwszej kolejności informował Administratora o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych. W końcu samo wszczęcie przez Prezesa UODO niniejszego postępowania w przedmiocie obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu i zawiadomienia o naruszeniu osób, których dane dotyczą, powinno nasunąć Administratorowi co najmniej wątpliwości co do słuszności przyjętego przez niego stanowiska.
c) Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679).
W niniejszej sprawie Prezes UODO uznał za niezadowalającą współpracę z nim ze strony Administratora oraz jego lekceważący stosunek do podejmowanych przez niego czynności. Ocena ta dotyczy reakcji Administratora na pisma Prezesa UODO informujące o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych, czy wreszcie wobec wszczęcia postępowania administracyjnego w przedmiocie obowiązku zgłoszenia naruszenia ochrony danych osobowych i zawiadomienia o naruszeniu osób, których dane dotyczą. Prawidłowe w ocenie Prezesa UODO działania (zgłoszenie naruszenia Prezesowi UODO i zawiadomienie o nim osób, których dotyczyło naruszenie) nie zostały podjęte przez Administratora nawet po wszczęciu przez Prezesa UODO postępowania administracyjnego w sprawie. Administrator ograniczył się wyłącznie do odesłania do poprzednich jego wyjaśnień.
d) Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit.g rozporządzenia 2016/679).
Dane osobowe udostępnione osobie nieuprawnionej oprócz danych w zakresie imienia i nazwiska, serii i numeru dowodu osobistego, adresu zamieszkania, numeru ewidencyjnego PESEL, daty urodzenia, numeru telefonu, informacji o wynagrodzeniu, płci, stanie cywilnym, stopniu pokrewieństwa, miejscu zatrudnienia, informacji o miejscu nauki oraz danych dotyczących zarzucanych czynów, obejmują także dane dotyczące szczególnych kategorii danych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679,tj. dane o stanie zdrowia w postaci informacji, że dom pomocy społecznej, w którym przebywa dziecko, jest przeznaczony dla dzieci i młodzieży […]. Taki zakres udostępnionych osobie nieuprawnionej danych wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Numer PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający datę urodzenia, numer porządkowy, oznaczenie płci oraz liczbę kontrolną, a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga. Nie ma innej, tak konkretnej danej, która by w sposób jednoznaczny identyfikowała osobę fizyczną. Nie bez powodu nr PESEL służy jako dana identyfikująca każdą osobę i jest powszechnie używany w kontaktach z różnymi instytucjami oraz w obiegu prawnym. Dane osobowe udostępnione osobie nieuprawnionej oprócz danych w zakresie imienia i nazwiska, serii i numeru dowodu osobistego, adresu zamieszkania, numeru ewidencyjnego PESEL, daty urodzenia, numeru telefonu, informacji o wynagrodzeniu, płci, stanie cywilnym, stopniu pokrewieństwa, miejscu zatrudnienia, informacji o miejscu nauki oraz danych dotyczących zarzucanych czynów, obejmują także dane dotyczące szczególnych kategorii danych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, tj. dane o stanie zdrowia w postaci informacji, że dom pomocy społecznej, w którym przebywa dziecko, jest przeznaczony dla dzieci i młodzieży […]. Taki zakres udostępnionych osobie nieuprawnionej danych wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Numer PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający datę urodzenia, numer porządkowy, oznaczenie płci oraz liczbę kontrolną, a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga. Nie ma innej, tak konkretnej danej, która by w sposób jednoznaczny identyfikowała osobę fizyczną.
Opierając się na powyższych ustaleniach i przedstawionej wykładni przepisów decyzją z dnia […] marca 2023r. Prezes Urzędu Ochrony Danych Osobowych na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2022 r. poz. 2000 ze zm.), art. 7 ust. 1 i 2, art. 60 oraz art. 102 ust. 1 pkt 1 i ust. 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), a także art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. e) oraz lit. i), art. 83 ust. 1 – 2 i art. 83 ust. 4 lit. a) w związku z art. 33 ust. 1 oraz art. 34 ust. 1,2 i 4 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016 r., str. 1, Dz. Urz. UE L 127 z 23.05.2018 r., str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021 r., str. 35), zwanego również “rozporządzeniem 2016/679”, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez Prokuraturę Rejonową w […], stwierdzając naruszenie przez Prokuraturę Rejonową w […] przepisów:
a) art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia,
b) art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych bez zbędnej zwłoki osób, których dane dotyczą,
1) nałożył na Prokuraturę Rejonową w […] z siedzibą w […] przy ul. […] administracyjną karę pieniężną w wysokości 20 000 złotych (słownie: dwadzieścia tysięcy złotych),
2) nakazał zawiadomienie osób, których dane zawarte są w udostępnionych w dniu […] listopada 2020 r. aktach postępowania przygotowawczego sygn. […], o naruszeniu ochrony ich danych osobowych w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, tj.:
a) opisu charakteru naruszenia ochrony danych osobowych;
b) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
c) opisu możliwych konsekwencji naruszenia ochrony danych osobowych;
d) opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków, w terminie 3 dni od dnia doręczenia niniejszej decyzji.
Prokurator Rejonowy w […] wniósł skargę na decyzję Prezesa Urzędu Danych Osobowych z dnia […] marca 2023r., wydaną w przedmiocie przetwarzania danych osobowych.
Skarżący na podstawie art. 57 § 1 pkt 3 p.p.s.a. zarzucał:
1) obrazę art. 33 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.IV.2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE ( ogólne rozporządzenie o ochronie danych ) – zwanego dalej “rozporządzeniem 2016/679”, poprzez jego zastosowanie w sytuacji gdy zaistniałe naruszenie danych osobowych niosło za sobą małe prawdopodobieństwo, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych,
2) obrazę art. 34 ust. 1 Rozporządzenia 2016/679 poprzez jego zastosowanie w sytuacji gdy zaistniałe naruszenie nie powodowało wysokiego ryzyka naruszenia praw lub wolności osób fizycznych,
3) obrazę art. 83 ust. 2 Rozporządzenia 2016/679 poprzez błędne jego zastosowanie, w szczególności przez niewystarczające uwzględnienie okoliczności łagodzących i nadanie nadmiernego znaczenia okolicznościom obciążającym, przy rozpatrywaniu przesłanek mających znaczenie przy ocenie czy należy wymierzyć administracyjną karę pieniężną oraz w jakiej wysokości.
Skarżący na podstawie art. 145 § 1 p.p.s.a. wnosił o uchylenie zaskarżonej decyzji w całości.
Skarżący podniósł, iż nie przekazywał wnioskodawcy całości akt postępowania przygotowawczego o sygn. […], a tylko wybrane dokumenty z tych akt. Udostępnienie całości akt następuje bowiem na innej podstawie niż przepisy ustawy o dostępie do informacji publicznej.
Organ administracyjny podniósł, że skarżący naruszył zasady określone w art. 33 ust. 1 i 34 ust. 1 Rozporządzenia nr 2016/679, poprzez niepowiadomienie wskazanych w tych przepisach podmiotów o naruszeniu ochrony danych osobowych. Zdaniem Skarżącego stanowisko organu administracyjnego nie jest jednak słuszne.
Art. 33 ust. 1 Rozporządzenia 2016/679 nie stosuje się jeśli istnieje małe prawdopodobieństwo, iż naruszenie ochrony danych osobowych spowoduje ryzyko naruszenia praw łub wolności osób fizycznych. Natomiast do zastosowania art. 34 ust. 1 Rozporządzenia 2016/679 konieczne jest aby naruszenie ochrony danych osobowych powodowało wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Zdaniem Skarżącego w sprawie, która była przedmiotem badania przez Prezesa UODO, ryzyko takie w istocie było małe, a już z całą pewnością nie było wysokie. Dokumenty udostępniono lokalnemu dziennikarzowi, któremu wielokrotnie udzielano wcześniej informacji publicznych. Informacje te dotyczyły w dużej mierze dokumentów z akt zakończonych postępowań karnych, które poddawano każdorazowo anonimizacji, za wyjątkiem przypadku z dnia […].11.2020r. Dziennikarz był doskonale zorientowany w obowiązujących przepisach o ochronie danych osobowych. Nawet Prezes UODO w swej decyzji stwierdza, że dziennikarz niezwłocznie po otrzymaniu kopii dokumentów, opublikował je w lokalnym serwisie, dokonując jednak wcześniej anonimizacji danych osobowych. Skoro zatem dane otrzymał tylko dziennikarz, świadomy obowiązujących przepisów w zakresie ochrony danych osobowych, który nadto opublikował dane w formie zanonimizowanej i powiadomił o naruszeniu ochrony danych osobowych Prezesa UODO, co dobitnie świadczy o tym, że nie miał zamiaru wykorzystać tych danych w celach przestępczych, to stwierdzić należy, iż istniało małe prawdopodobieństwo, że naruszenie ochrony danych skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
W ocenie Skarżącego Prezes UODO rozpatrując sprawę naruszył przepisy art. 83 ust. 2 Rozporządzenia 2016/679 poprzez błędne jego zastosowanie. W szczególności nie uwzględnił w wystarczającym stopniu okoliczności łagodzących, a nadał nadmierne znaczenie okolicznościom obciążającym, przy rozpatrywaniu przesłanek mających znaczenie przy ocenie czy należy wymierzyć administracyjną karę pieniężną, a jeśli tak to w jakiej wysokości.
Istotne w sprawie jest to, że dane udostępniono jednej osobie i praktycznie nie istniało niebezpieczeństwo, iż zostaną one udostępnione także innym osobom. Dane te dotyczyły tylko 3 osób, w tym wójta gminy, który jest osobą publiczną i którego większość danych jest dostępnych z innych źródeł. Poszkodowane osoby nie poniosły żadnej szkody, a od zaistnienia naruszenia ochrony danych upłynęło już prawie dwa i pół roku.
Zdaniem Skarżącego nie można się też zgodzić ze stanowiskiem organu, że naruszenie miało charakter umyślny. Podnosi się, że administrator świadomie zaniechał zgłoszenia naruszenia Prezesowi UODO. Istotne jest natomiast czy samo naruszenie miało charakter umyślny. W sprawie, która jest przedmiotem rozpoznania tak jednak nie było. Dokumenty przekazano odbiorcy bez ich anonimizacji, bowiem prokurator nie dopilnował aby pracownik biurowy, zajmujący się sprawą i wysyłający informację publiczną, anonimizacji takiej dokonał. Naruszenie nie było zatem efektem celowego działania, a raczej zaniedbania ze strony pracownika administracyjnego, a przede wszystkim prokuratora.
Skarżący podnosi, iż analiza decyzji i uzasadnienia nie pozwala na stwierdzenie dlaczego Prezes UODO zdecydował się na wymierzenie administracyjnej kary pieniężnej, a nie innych środków, jak np. upomnienia. Nie wynika także z decyzji dlaczego wysokość administracyjnej kary pieniężnej ustalono w wysokości 20 000 zł, a nie innej.
Prezes Urzędu Ochrony Danych Osobowych wnosił o oddalenie skargi w całości.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, sprawowaną pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Na podstawie art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. 2019.2325, zwanej dalej p.p.s.a.) Sąd przy rozstrzyganiu sprawy nie jest związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną.
Oceniając zaskarżoną decyzję według powyższych kryteriów, uznać należy, iż była ona zgodna z prawem.
Prezes Urzędu Ochrony Danych Osobowych na podstawie art. 104 § 1 k.p.a., art. 7 ust. 1 i 2, art. 60 oraz art. 102 ust. 1 pkt 1 i ust. 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), a także art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. e) oraz lit. i), art. 83 ust. 1 – 2 i art. 83 ust. 4 lit. a) w związku z art. 33 ust. 1 oraz art. 34 ust. 1,2 i 4 rozporządzenia 2016/679, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez Prokuraturę Rejonową w […], stwierdził naruszenie przez Prokuraturę Rejonową w […] przepisów:
a) art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia,
b) art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych bez zbędnej zwłoki osób, których dane dotyczą,
1) nałożył na Prokuraturę Rejonową w […] z siedzibą w […] administracyjną karę pieniężną w wysokości 20 000 złotych (słownie: dwadzieścia tysięcy złotych),
2) nakazał zawiadomienie osób, których dane zawarte są w udostępnionych w dniu […] listopada 2020 r. aktach postępowania przygotowawczego sygn. […], o naruszeniu ochrony ich danych osobowych w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, tj.:
a) opisu charakteru naruszenia ochrony danych osobowych;
b) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
c) opisu możliwych konsekwencji naruszenia ochrony danych osobowych;
d) opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków, w terminie 3 dni od dnia doręczenia niniejszej decyzji.
Prezes UODO zastosował w sprawie prawidłowe przepisy, ich treść i wykładnia zostały przedstawione w części wstępnej uzasadnienia. Na obecnym etapie będą więc jedynie przytaczane fragmenty związana z oceną działalności Organu jak też z zarzutami Skarżącego.
Kwestą sporną było, to czy Prezes UODO dokonał prawidłowej subsumpcji przepisów w zestawieniu ze stanem faktycznym sprawy.
Organ wskazał, iż wbrew twierdzeniom Administratora doszło w wyniku zdarzenia do naruszenia poufności danych osób fizycznych ze względu na udostępnienie nieprawidłowo zanonimizowanych dokumentów. O ile Prezes UODO nie kwestionuje samego udostępnienie dokumentacji w trybie dostępu do informacji publicznej, to jednak przy jej udostępnieniu muszą być zachowane zasady również z zakresu ochrony danych osobowych. Rezultatem udostępnienia niezanonimizowanej dokumentacji było ujawnienie danych osobowych zawartych w jej treści osobie nieuprawnionej do ich otrzymania, czego konsekwencją jest powstanie naruszenia ochrony danych osobowych. Jednakże z wyjaśnień Administratora wnioskować należy, iż w związku z odmową wszczęcia śledztwa w tym zakresie przez Prokuraturę Rejonową w […] uznał on, że nie doszło do naruszenia ochrony danych osobowych. Administrator nie przedstawił, pomimo wezwania organu nadzorczego, żadnej analizy w tym zakresie, a tym samym nie udokumentował, że przeprowadził analizę ryzyka naruszenia praw lub wolności osób fizycznych objętych przedmiotowym naruszeniem ochrony danych osobowych,
Art. 5 ust. 2 rozporządzenia stanowi, że administrator jest odpowiedzialny za przestrzeganie podstawowych zasad dotyczących przestrzegania określonych w ust.1 tego artykułu i musi być w stanie wykazać ich przestrzeganie (“rozliczalność”). Trzeba podkreślić, że z tego przepisu wynika domniemanie odpowiedzialności administratora za naruszenie tych zasad, jako że na nim spoczywa ciężar wykazania ich przestrzegania.
Administrator danych powinien zatem przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia. Stosownie do art. 24 ust. 1 i art. 25 ust. 1 rozporządzenia, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, powinien wdrożyć odpowiednie środki techniczne i organizacyjne, pozwalające skutecznie zabezpieczyć przetwarzane dane, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby, a w razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym, móc przedstawić dowody na to, że przestrzega tych zasad i przepisów. Przepis ust. 2 art. 32 powołanego rozporządzenia stanowi, że oceniając czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Administrator danych osobowych jest odpowiedzialny także za to, aby inspektor ochrony danych monitorował przestrzeganie przepisów dotyczących przetwarzania danych osobowych oraz polityki administratora w dziedzinie ochrony danych osobowych, przeprowadzał szkolenia personelu uczestniczącego w operacjach przetwarzania oraz audyty, uwzględniając ryzyko związane z operacjami przetwarzania (art. 39 ust. 1 lit. b i art. 39 ust. 2 rozporządzenia 2016/679) oraz był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych (art. 38 ust. 1 rozporządzenia).
W ocenie Sądu brak przeprowadzenia wskazanej analizy ryzyka determinuje odpowiedzialność Skarżącego za wskazane w decyzji z dnia […] marca 2023r. naruszenia.
Ponadto, w ocenie Sądu, Skarżący stara się umniejszyć rozmiar naruszenia danych osobowych. Zdaniem Skarżącego, skoro dane osobowe zostały przekazane dziennikarzowi, to zachodzi minimalne prawdopodobieństwo tego, iż dane te zostały udostępnione szerszej grupie osób.
Należy przypomnieć, iż organ ustalił, że jedną z osób dotkniętych naruszeniem jest M. T. – Wójt Gminy […], wybrany na tą funkcję w wyborach samorządowych w 2018 r. (w aktach postępowania przygotowawczego, udostępnionych lokalnemu dziennikarzowi, wskazywana jest poprzednia jego funkcja, tj. radnego Gminy […]).
Wskutek zaistniałego naruszenia udostępnione zostały jego dane osobowe w postaci imienia i nazwiska, serii i numeru dowodu osobistego, numeru PESEL, adresu zamieszkania, numeru telefonu, informacji o wynagrodzeniu, płci, stanie cywilnym, stopniu pokrewieństwa oraz miejscu zatrudnienia. Oprócz danych ww. osoby udostępnione również zostały dane osobowe jego żony w zakresie jej imienia i nazwiska, daty urodzenia, płci, stanu cywilnego, stopnia pokrewieństwa, numeru PESEL, informacji o wynagrodzeniu oraz miejscu zatrudnienia. Ponadto, udostępniono informacje na temat małoletniego dziecka w zakresie imienia i nazwiska, daty urodzenia, płci, stanu cywilnego, stopnia pokrewieństwa, numeru PESEL, informacji o miejscu nauki oraz danych dotyczących zdrowia w postaci informacji, że dom pomocy społecznej, w którym przebywa, jest przeznaczony dla dzieci i młodzieży […]. Zakres danych udostępnionych w odpowiedzi na ww. wniosek dotyczył także zarzucanych radnemu czynów, tj. podejrzenia popełnienia przestępstwa polegającego na złożeniu w Gminnym Ośrodku Pomocy Społecznej w […] nieprawdziwego oświadczenia o jego zarobkach i zarobkach jego żony w związku z toczącym się postępowaniem w sprawie ustalenia opłaty za pobyt jego syna w domu pomocy społecznej. Dokumenty udostępnione w ramach odpowiedzi na wniosek o udzielenie informacji publicznej nie zostały zanonimizowane. Dziennikarz ten, niezwłocznie po otrzymaniu od Administratora kopii ww. dokumentów z akt postępowania przygotowawczego sygn. […], opublikował je, anonimizując wcześniej dane osobowe – w lokalnym serwisie internetowym.
Zakres udostępnionych przez Skarżącego danych osobowych był zatem niezwykle szeroki, w tym dotyczył małoletniego i jego stanu zdrowia. Znaczenie drugorzędne dla oceny wagi naruszenia ma to, iż dziennikarz nie opublikował tych danych i dokonał ich anonimizacji w publikacji prasowej. W sprawie nastąpiło bowiem nieuprawnione udostępnienie chronionych danych osobowych osobie nieuprawnionej.
Na odrębna ocenę zasługuje przy tym brak zgłoszenia przez Skarżącego tego incydentu. O zaistnienie ww. naruszenia przepisów art. 33 ust.1 i art. 34 ust.1 rozporządzenia 2016/679 Prezes UODO został poinformowany przez osobę trzecią. Organ prawidłowo przyjął, iż o umyślnym charakterze naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679) świadczy to, iż Administrator mając świadomość wystąpienia naruszenia podjął decyzję o niezgłoszeniu incydentu Prezesowi UODO. Nie powiadomił również osób, których naruszenie dotyczyło.
Prezes UODO słusznie również uznał za okoliczność obciążającą czas trwania naruszenia. Od powzięcia przez Administratora informacji o naruszeniu ochrony danych osobowych do dnia wydania zaskarżonej decyzji upłynęło dwadzieścia siedem miesięcy, w trakcie których ryzyko naruszenia praw lub wolności osób dotkniętych naruszeniem mogło się zrealizować, a czemu osoby te nie mogły przeciwdziałać ze względu na niewywiązywanie się Administratora z obowiązku powiadomienia ich o naruszeniu.
Prezes UODO prawidłowo wyjaśnił, iż:
1. Działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).
Na postawie zgromadzonego w sprawie materiału dowodowego nie stwierdzono podjęcia przez Administratora takich działań.
2. Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
Naruszenie oceniane w niniejszym postępowaniu (niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych oraz niezawiadomienie o naruszeniu ochrony danych osobowych osób, których dane dotyczą) nie ma związku ze stosowanymi przez administratora środkami technicznymi i organizacyjnymi.
3. Stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 ze strony administratora (art. 83 ust 2 lit. e rozporządzenia 2016/679).
Prezes UODO nie stwierdził jakichkolwiek, dokonanych przez Administratora, wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. A ponieważ taki stan (przestrzeganie przepisów o ochronie danych osobowych) jest stanem naturalnym, wynikającym z ciążących na Administratorze obowiązków prawnych, nie może mieć on również wpływu łagodzącego na dokonaną przez Prezesa UODO ocenę naruszenia.
4. Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).
O zaistnieniu przedmiotowego naruszenia przepisów art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679, to jest o udostępnieniu osobie nieuprawnionej danych osobowych przetwarzanych przez Administratora, Prezes UODO został poinformowany przez osobę trzecią.
5. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2G16/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował w wobec Administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
6. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust 2 lit. j rozporządzenia 2016/679).
Administrator nie stosuje instrumentów, o których mowa w art. 40 i art. 42 rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak-jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów i podmiotów przetwarzających, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na korzyść Administratora natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.
7. Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO nie stwierdził, żeby Administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Administratora. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez Administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla Administratora. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należną uwagę na korzyści “osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.
8. Inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.
Wobec powyższych ustaleń Prezes UODO prawidłowo przyjął, iż administracyjna kara pieniężna spełnia funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Administratora przepisów rozporządzenia 2016/679. Będzie również spełniać funkcję prewencyjną: w ocenie Prezesa UODO wskaże bowiem zarówno Administratorowi, jak i innym administratorom danych, na naganność lekceważenia obowiązków administratorów związanych z zaistnieniem naruszenia ochrony danych osobowych, a mających na celu przecież zapobieżenie jego negatywnym i często dotkliwym dla osób, których naruszenie dotyczy, skutkom, a także usunięcie tych skutków lub przynajmniej ograniczenie.
Należy zatem przyjąć za słuszne stanowisko Prezesa UODO, iż administracyjna kara pieniężna w wysokości 20 000 złotych, spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, ze względu na powagę stwierdzonego naruszenia w kontekście podstawowego celu rozporządzenia 2016/679 – ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych. Jednocześnie wysokość administracyjnej kary pieniężnej nałożonej niniejszą decyzją na administratora będącego jednostką sektora finansów publicznych (organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały – wskazane w art. 9 pkt 1 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych), mieści się w określonym w art. 102 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) limicie 100 000 złotych.
Rozpoznając skargę wniesioną w niniejszej sprawie w ramach przysługującej kognicji, Sąd uznał zatem, że skarga nie jest zasadna, gdyż zaskarżona decyzja nie narusza norm prawa materialnego czy procesowego, postępowanie administracyjne zostało bowiem przeprowadzone zgodnie z zasadami ogólnymi k.p.a., a w szczególności art. 7, art. 8, art. 11 k.p.a., a także innymi normami, zwłaszcza art. 77 i art. 80 k.p.a., a zaskarżone rozstrzygnięcie zostało oparte na prawidłowej interpretacji norm prawa materialnego.
Mając powyższe na względzie Sąd na podstawie art. 151 p.p.s.a. oddalił skargę. |