{\rtf1\ansi\ansicpg1252
\deff0{\fonttbl{\f0\froman\fcharset0 Times New Roman;}{\f1\froman\fcharset0 Helvetica;}{\f2\froman\fcharset0 Arial;}{\f3\froman\fcharset0 unknown;}}
{\colortbl\red0\green0\blue0;\red255\green255\blue255;\red192\green192\blue192;}
{\stylesheet 
{\style\s1 \ql\fi0\li0\ri0\f2\fs32\b\cf0 heading 1;}
{\style\s2 \ql\fi0\li0\ri0\f2\fs28\b\i\cf0 heading 2;}
{\style\s3 \ql\fi0\li0\ri0\f2\fs26\b\cf0 heading 3;}
{\style\s0 \ql\fi0\li0\ri0\f2\fs24\cf0 Normal;}
}
{\*\listtable
}
{\*\listoverridetable
}
{\info}
\paperw11907\paperh16840\margl1440\margr1120\margt1720\margb1440
{\footer \pard\plain\s0\ql\fi0\li0\ri0\plain\f0 2026-04-13 01:36\par
}{\header \trowd
\trftsWidth3\trwWidth9347\trqc\trgaph10\trpaddl0\trpaddr0\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7630
\cellx7630\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1716
\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f0 Centralna Baza Orzecze\u324? S\u261?d\u243?w Administracyjnych
\cell\pard\plain\intbl\s0\qr\fi0\li0\ri0\plain\f0 Str \f3{\field{\*\fldinst PAGE}{\fldrslt  }}\f0  / \f3{\field{\*\fldinst NUMPAGES \\* Arabic}{\fldrslt 1 }}
\cell \trowd
\trftsWidth3\trwWidth9347\trqc\trgaph10\trpaddl0\trpaddr0\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7630
\cellx7630\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1716
\cellx9346\row
\pard}\pgwsxn11907\pghsxn16840
\marglsxn1440\margrsxn1120\margtsxn1720\margbsxn1440\pard\plain\s0\fi0\li0\ri0\plain\f1\fs24\b II SA/Wa 546/22 - Wyrok\b0\par
\par\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Data orzeczenia\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 2022-11-15
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Data wp\u322?ywu\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 2022-03-29
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b S\u261?d\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Wojew\u243?dzki S\u261?d Administracyjny w Warszawie
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b S\u281?dziowie\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Andrzej G\u243?raj /przewodnicz\u261?cy sprawozdawca/
\par \u321?ukasz Krzycki
\par Waldemar \u346?ledzik
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Symbol z opisem\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 647  Sprawy zwi\u261?zane z ochron\u261? danych osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Sygn. powi\u261?zane\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 III OSK 377/23
\par III OZ 473/22
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Skar\u380?ony organ\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Generalny Inspektor Ochrony Danych Osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Tre\u347?\u263? wyniku\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Oddalono skarg\u281?
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Sentencja\b0
\par\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs22 Wojew\u243?dzki S\u261?d Administracyjny w Warszawie w sk\u322?adzie nast\u281?puj\u261?cym: Przewodnicz\u261?cy S\u281?dzia WSA Andrzej G\u243?raj (spr.), S\u281?dzia WSA \u321?ukasz Krzycki, S\u281?dzia WSA Waldemar \u346?ledzik, , Protokolant starszy specjalista Ewa Kielak, po rozpoznaniu na rozprawie w dniu 15 listopada 2022 r. sprawy ze skargi [...] z siedzib\u261? w [...] na decyzj\u281? Prezesa Urz\u281?du Ochrony Danych Osobowych z dnia [...] stycznia 2022 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skarg\u281?
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Uzasadnienie\b0
\par\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs22 Post\u281?powanie administracyjne przed Prezesem Urz\u281?du Ochrony Danych Osobowych, (dalej: "Prezes UODO", "organ") zainicjowa\u322?o zg\u322?oszenie naruszenia ochrony danych dokonane przez [...] S.A. z siedzib\u261? w [...] przy al. [...] (dalej: "Bank", "Administrator"), informuj\u261?ce o naruszeniu ochrony danych osobowych 10 500 os\u243?b. Naruszenie polega\u322?o na posiadaniu przez by\u322?ego pracownika Banku, kt\u243?remu nie odebrano po zako\u324?czeniu stosunku pracy dost\u281?pu do Platformy Us\u322?ug Elektronicznych [...] ([...]), nieuprawnionego dost\u281?pu do tej\u380?e platformy, w wyniku czego m\u243?g\u322? on przegl\u261?da\u263? znajduj\u261?ce si\u281? na profilu p\u322?atnika [...] S.A. dane pracownik\u243?w Banku w zakresie ich imion i nazwisk, nr PESEL, adresu zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowi\u261?cych dane dotycz\u261?ce zdrowia.
\par 
\par Prezes UODO prowadz\u261?c post\u281?powanie ustali\u322?, \u380?e \u243?w by\u322?y pracownik Banku korzysta\u322? ze swoich uprawnie\u324? i logowa\u322? si\u281? pi\u281?ciokrotnie do platformy [...] (w nast\u281?puj\u261?cych terminach: 2020-06-30, godz. 21:09:54; 2020-06-30, godz. 21:00:42; 2020-06-30, godz. 21:02:37; 2020-10-26, godz. 22:01:27; 2021-02-03, godz. 20:50:14), zyskuj\u261?c tym samym nieuprawniony wgl\u261?d w dane osobowe pracownik\u243?w Banku. Organ nie ustala\u322? za\u347? obszar\u243?w, kt\u243?re by\u322?y przegl\u261?dane przez nieuprawnion\u261? osob\u281? ani tego, do jakich konkretnie danych i dotycz\u261?cych ilu pracownik\u243?w osoba ta uzyska\u322?a dost\u281?p w trakcie logowa\u324? na profil p\u322?atnika [...] S.A. na platformie [...].
\par 
\par Organ ustali\u322? te\u380?, \u380?e Administrator zrezygnowa\u322? z powiadamiania o naruszeniu os\u243?b, kt\u243?rych dane dotycz\u261? uznaj\u261?c, i\u380? cyt.: "w trakcie zatrudnienia pracownik mia\u322? dost\u281?p do znacznie szerszego katalogu danych pracowniczych co zwi\u261?zane by\u322?o z pe\u322?nieniem funkcji kierowniczej w Departamencie Kadr. Wyja\u347?niaj\u261?c prawid\u322?owo\u347?\u263? dokonanej oceny ryzyka Bank podni\u243?s\u322?, \u380?e przemawia za tym fakt, i\u380? by\u322?a pracownica Banku samodzielnie zg\u322?osi\u322?a Administratorowi nieuprawniony dost\u281?p do platformy [...] .
\par 
\par Decyzj\u261? z dnia [...] stycznia 2022 r. Prezes UODO stwierdzaj\u261?c naruszenie przez [...] S.A. z siedzib\u261? w [...] przepis\u243?w art. 34 ust. 1 rozporz\u261?dzenia Parlamentu Europejskiego i Rady UE 2016/679
\par 
\par z dnia 27 kwietnia 2016 r. w sprawie ochrony os\u243?b fizycznych w zwi\u261?zku
\par 
\par z przetwarzaniem danych osobowych i w sprawie swobodnego przep\u322?ywu takich danych oraz uchylenia dyrektywy 95/46/WE (og\u243?lne rozporz\u261?dzenie o ochronie danych)
\par 
\par (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej: "rozporz\u261?dzenie 2016/679", polegaj\u261?ce na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zb\u281?dnej zw\u322?oki os\u243?b, kt\u243?rych dane dotycz\u261?, na\u322?o\u380?y\u322? na [...] S.A. z siedzib\u261? w [...] administracyjn\u261? kar\u281? pieni\u281?\u380?n\u261? w wysoko\u347?ci 545.748 PLN (s\u322?ownie: pi\u281?\u263?set czterdzie\u347?ci pi\u281?\u263? tysi\u281?cy siedemset czterdzie\u347?ci osiem z\u322?otych) i nakaza\u322? [...] S.A. z siedzib\u261? w [...] zawiadomienie - w terminie 3 dni od dnia dor\u281?czenia niniejszej decyzji - os\u243?b, kt\u243?rych dane dotycz\u261?, o naruszeniu ochrony ich danych osobowych tj. wszystkich pracownik\u243?w Banku, kt\u243?rzy byli zatrudnieni w okresie, w kt\u243?rym by\u322?y pracownik Banku posiada\u322? nieuprawniony dost\u281?p do danych zgromadzonych na Platformie Us\u322?ug Elektronicznych [...] ([...]), w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 rozporz\u261?dzenia 2016/679, tj.; a) opisu charakteru naruszenia ochrony danych osobowych; b) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od kt\u243?rego mo\u380?na uzyska\u263? wi\u281?cej informacji; c) opisu mo\u380?liwych konsekwencji naruszenia ochrony danych osobowych; d) opisu \u347?rodk\u243?w zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym \u347?rodk\u243?w w celu zminimalizowania jego ewentualnych negatywnych skutk\u243?w.
\par 
\par W uzasadnieniu decyzji organ przywo\u322?a\u322? art. 4 pkt 12 rozporz\u261?dzenia 2016/679, w my\u347?l kt\u243?rego "naruszenie ochrony danych osobowych" oznacza naruszenie bezpiecze\u324?stwa prowadz\u261?ce do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dost\u281?pu do danych osobowych przesy\u322?anych, przechowywanych lub w inny spos\u243?b przetwarzanych.
\par 
\par Dalej przywo\u322?a\u322? art. 34 ust. 1 rozporz\u261?dzenia 2016/679 wskazuj\u261?cy, \u380?e w sytuacji mo\u380?liwo\u347?ci wyst\u261?pienia wysokiego ryzyka dla praw i wolno\u347?ci os\u243?b fizycznych wynikaj\u261?cych z naruszenia ochrony danych osobowych, administrator jest zobowi\u261?zany bez zb\u281?dnej zw\u322?oki zawiadomi\u263? osob\u281?, kt\u243?rej dane dotycz\u261?, o naruszeniu.
\par 
\par Podkre\u347?li\u322?, \u380?e obowi\u261?zek zawiadomienia osoby fizycznej o naruszeniu nie jest uzale\u380?niony od materializacji negatywnych konsekwencji dla takiej osoby, ale od samej mo\u380?liwo\u347?ci wyst\u261?pienia takiego ryzyka. Tym samym umo\u380?liwia osobie fizycznej dokonanie samodzielnej oceny naruszenia.
\par 
\par Podkre\u347?li\u322? r\u243?wnie\u380?, \u380?e naruszenie poufno\u347?ci danych, jakie wyst\u261?pi\u322?o w przedmiotowej sprawie, dotyczy\u322?o naruszenia ochrony danych osobowych polegaj\u261?ce na posiadaniu przez by\u322?ego pracownika Banku nieuprawnionego dost\u281?pu do Platformy Us\u322?ug Elektronicznych [...], co skutkowa\u322?o mo\u380?liwo\u347?ci\u261? przegl\u261?dania znajduj\u261?cych si\u281? na tej\u380?e platformie danych pracownik\u243?w Banku w zakresie ich imion i nazwisk, numer\u243?w PESEL, adres\u243?w zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowi\u261?cych dane dotycz\u261?ce zdrowia, powoduj\u261?c w konsekwencji wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych. Organ przywo\u322?a\u322? tu wskazania Grupy Roboczej Art. 29 (tj. Grupa Robocza ds. Ochrony Os\u243?b Fizycznych w zakresie Przetwarzania Danych Osobowych, powo\u322?ana na mocy art. 29 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 pa\u378?dziernika 1995 r., zast\u261?piona zgodnie z art. 68 rozporz\u261?dzenia 2016/679 Europejsk\u261? Rad\u261? Ochrony Danych Osobowych, kt\u243?ra podczas pierwszego posiedzenia plenarnego EROD zatwierdzi\u322?a m.in. ni\u380?ej przywo\u322?ane wytyczne) WP250, w kt\u243?rych podano - : "Ryzyko to istnieje w przypadku, gdy naruszenie mo\u380?e prowadzi\u263? do uszczerbku fizycznego lub szk\u243?d maj\u261?tkowych lub niemaj\u261?tkowych dla os\u243?b, kt\u243?rych dane zosta\u322?y naruszone. Przyk\u322?ady takich szk\u243?d obejmuj\u261? dyskryminacj\u281?, kradzie\u380? lub sfa\u322?szowanie to\u380?samo\u347?ci, straty finansowe i naruszenie dobrego imienia.
\par 
\par W ocenie organu nie ulega w\u261?tpliwo\u347?ci, \u380?e przywo\u322?ane w wytycznych przyk\u322?ady szk\u243?d, z uwagi na zakres danych obj\u281?ty niniejszym naruszeniem ochrony danych osobowych, w tym nr PESEL wraz z imieniem i nazwiskiem, adresem zamieszkania lub pobytu, czy informacjami o zwolnieniach lekarskich, tj. danymi dotycz\u261?cymi zdrowia, mog\u261? wyst\u261?pi\u263? w omawianym przypadku. W konsekwencji oznacza to, \u380?e wyst\u281?puje wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b obj\u281?tych przedmiotowym naruszeniem, co z kolei skutkuje powstaniem po stronie Banku obowi\u261?zku zawiadomienia os\u243?b, kt\u243?rych dane dotycz\u261?, o naruszeniu ochrony danych osobowych, zgodnie z art. 34 ust. 1 rozporz\u261?dzenia 2016/679, w kt\u243?rym musz\u261? si\u281? znale\u378?\u263? informacje okre\u347?lone w art. 34 ust. 2 rozporz\u261?dzenia 2016/679.
\par 
\par Ustosunkowuj\u261?c si\u281? do wyja\u347?nie\u324? Banku, i\u380? by\u322?ego pracownika potraktowa\u322? jako "odbiorc\u281? zaufanego" organ wyja\u347?ni\u322?, \u380?e odbiorca zaufany to odbiorca, kt\u243?remu administrator mo\u380?e ufa\u263? na tyle, aby m\u243?c racjonalnie oczekiwa\u263?, \u380?e strona ta nie odczyta omy\u322?kowo wys\u322?anych danych lub nie uzyska do nich wgl\u261?du oraz \u380?e wype\u322?ni polecenie ich odes\u322?ania. Nawet je\u380?eli do danych uzyskano wgl\u261?d, administrator nadal mo\u380?e mie\u263? zaufanie do odbiorcy, \u380?e nie podejmie on \u380?adnych dalszych dzia\u322?a\u324? w kwestii tych danych oraz \u380?e niezw\u322?ocznie zwr\u243?ci dane do administratora i b\u281?dzie wsp\u243?\u322?pracowa\u263? przy ich odzyskaniu. W takich przypadkach administrator mo\u380?e uwzgl\u281?dni\u263? t\u281? kwesti\u281? w ocenie ryzyka przeprowadzanej w nast\u281?pstwie naruszenia -fakt, \u380?e odbiorca jest zaufany mo\u380?e spowodowa\u263?, \u380?e skutki naruszenia nie b\u281?d\u261? powa\u380?ne, ale nie znaczy to, \u380?e naruszenie nie mia\u322?o miejsca".
\par 
\par Podkre\u347?lono, i\u380? status odbiorcy zaufanego posiadaj\u261? podmioty, kt\u243?re dzia\u322?aj\u261? w strukturach danej organizacji albo s\u261? np. dostawc\u261?, z kt\u243?rego us\u322?ug administrator stale korzysta. Pomi\u281?dzy podmiotami istnieje wi\u281?\u378? faktyczna, a nierzadko prawna, kt\u243?ra pozwala na ocen\u281? stopnia zaufania stron. W przypadku takiego odbiorcy administrator mo\u380?e przyj\u261?\u263? domniemanie, \u380?e zna on obowi\u261?zuj\u261?ce procedury w zakresie ochrony danych osobowych i \u380?e zachowa si\u281? w odpowiedni spos\u243?b. W przedmiotowej sprawie, zdaniem Prezesa UODO, nie wyst\u281?powa\u322? odbiorca zaufany, wobec czego Bank powinien by\u322? zachowa\u263? si\u281? w spos\u243?b bardziej ostro\u380?ny w przypadku ujawnienia danych osobie nieuprawnionej, a wi\u281?c zawiadomi\u263? o naruszeniu ochrony danych osobowych osoby, kt\u243?rych dane dotycz\u261?, zak\u322?adaj\u261?c, \u380?e naruszenie mo\u380?e wywo\u322?a\u263? szersze skutki.
\par 
\par W ocenie organu o braku wyst\u281?powania w niniejszej sprawie odbiorcy zaufanego \u347?wiadczy sam fakt pi\u281?ciokrotnego zalogowania si\u281? do systemu przez by\u322?ego pracownika w przypadku braku uprawnie\u324?.
\par 
\par Prezes UODO podkre\u347?li\u322? te\u380?, i\u380? ustanie zatrudnienia jest r\u243?wnoznaczne z zerwaniem dotychczasowej wi\u281?zi prawnej miedzy stronami stosunku pracy i zobowi\u261?zaniem strony do "rozliczenia si\u281?" z wzajemnych obowi\u261?zk\u243?w wynikaj\u261?cych z zako\u324?czonej umowy. W chwili ustania stosunku pracy przestaje obowi\u261?zywa\u263? zasada wyra\u380?ona w art. 100 \u167? 2 Kodeksu pracy (Dz. U. z 2020 r. poz. 1320 ze zm.), tj. zasada szczeg\u243?lnej lojalno\u347?ci pracownika wzgl\u281?dem pracodawcy wyra\u380?aj\u261?ca si\u281? chocia\u380?by w obowi\u261?zku dbania o dobro zak\u322?adu pracy, chronienia jego mienia oraz zachowania w tajemnicy informacji, kt\u243?rych ujawnienie mog\u322?oby narazi\u263? pracodawc\u281? na szkod\u281?. Rozumiany w ten spos\u243?b obowi\u261?zek dochowania lojalno\u347?ci wynika z samego faktu nawi\u261?zania stosunku pracy i wi\u261?\u380?e strony przez ca\u322?y okres jego trwania, a\u380? do momentu, w kt\u243?rym ustaje. Podniesiono, \u380?e o ile fakt bycia wieloletnim pracownikiem Banku (praca w Dziale Kadr, posiadanie upowa\u380?nienia do przetwarzania danych osobowych w imieniu Banku) mo\u380?e wskazywa\u263? na du\u380?e do\u347?wiadczenie i wiedz\u281? podmiotu nieuprawnionego, o tyle fakt, \u380?e logowania do platformy [...] mia\u322?y miejsce ju\u380? po ustaniu stosunku pracy, cz\u281?stotliwo\u347?\u263? tych logowa\u324? i odst\u281?py czasu pomi\u281?dzy poszczeg\u243?lnymi logowaniami, wskazuj\u261? wed\u322?ug organu na dzia\u322?anie celowe, a nie przypadkowe by\u322?ego pracownika Banku - w \u380?adnym razie zatem nie uzasadniaj\u261? posiadanego zaufania pracodawcy do by\u322?ego pracownika.
\par 
\par Odnosz\u261?c si\u281? do kolejnego argumentu Banku uzasadniaj\u261?cego niezawiadomienie o naruszeniu os\u243?b, kt\u243?rych dane dotycz\u261?, tj. brak precyzyjnie okre\u347?lonego obszaru danych i kr\u281?gu pracownik\u243?w, kt\u243?rych dane dotycz\u261?, co nie pozwala na identyfikacj\u281? zagro\u380?enia organ wyja\u347?ni\u322?, \u380?e by\u322?y pracownik mia\u322? dost\u281?p do takich samych kategorii danych przetwarzanych w ramach platformy [...], jak osoba zatrudniona, mianowicie do danych w zakresie: imi\u281?, nazwisko, adres zamieszkania lub pobytu, nr PESEL oraz informacje z za\u347?wiadcze\u324? [...], tj. dane dotycz\u261?ce zdrowia Prezes UODO stwierdzi\u322?, \u380?e dost\u281?p do danych o tak szerokim zakresie stwarza ryzyko dla praw lub wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261?. Zdaniem organu imi\u281? i nazwisko wraz z adresem zamieszkania lub pobytu oraz numerem ewidencyjnym PESEL mog\u261? zosta\u263? wykorzystane przez nieuprawnione osoby m.in do uzyskania dost\u281?pu do korzystania ze \u347?wiadcze\u324? opieki zdrowotnej i wgl\u261?du do danych o stanie zdrowia, czy uzyskania przez osoby trzecie po\u380?yczek w instytucjach pozabankowych.
\par 
\par Prezes UODO podkre\u347?li\u322? tak\u380?e, \u380?e w przedmiotowej sprawie nie jest istotne to, czy osoba nieuprawniona faktycznie zapozna\u322?a si\u281? z danymi osobowymi innych os\u243?b, lecz to, \u380?e wyst\u261?pi\u322?o takie ryzyko (mia\u322?a mo\u380?liwo\u347?\u263? zapoznania si\u281? z tymi danymi), co w konsekwencji oznacza - z uwagi na zakres danych - \u380?e wyst\u261?pi\u322?o wysokie ryzyko naruszenia praw lub wolno\u347?ci podmiot\u243?w danych. Organ wskaza\u322?, \u380?e z opini\u261? tak\u261? zgodzi\u322? si\u281? r\u243?wnie\u380? Wojew\u243?dzki S\u261?d Administracyjny w Warszawie w wyroku z dnia
\par 
\par 22 wrze\u347?nia 2021 r. sygn. akt II SA/Wa 791/21, rozstrzygaj\u261?c w przedmiocie administracyjnej kary pieni\u281?\u380?nej na\u322?o\u380?onej na [...] Uniwersytet Medyczny w [...], w kt\u243?rym S\u261?d stwierdzi\u322?, \u380?e "(...) w rozpatrywanej sprawie nie jest istotne to, czy nieuprawniony odbiorca faktycznie wszed\u322? w posiadanie i zapozna\u322? si\u281? z danymi osobowymi innych os\u243?b, lecz to, \u380?e wyst\u261?pi\u322?o takie ryzyko, a w konsekwencji r\u243?wnie\u380? potencjalnie wyst\u261?pi\u322?o ryzyko naruszenia praw lub wolno\u347?ci podmiot\u243?w danych. W dalszej cz\u281?\u347?ci S\u261?d podkre\u347?li\u322? r\u243?wnie\u380?, \u380?e "mo\u380?liwe konsekwencje zaistnia\u322?ego zdarzenia nie musz\u261? si\u281? zmaterializowa\u263?. W tre\u347?ci art. 33 ust. 1 rozporz\u261?dzenia 2016/679 wskazano, \u380?e samo wyst\u261?pienie naruszenia ochrony danych osobowych, z kt\u243?rym wi\u261?\u380?e si\u281? ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, implikuje obowi\u261?zek zg\u322?oszenia naruszenia w\u322?a\u347?ciwemu organowi nadzorczemu, chyba \u380?e jest ma\u322?o prawdopodobne, by naruszenie to skutkowa\u322?o ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych. Zatem podnoszona przez Administratora okoliczno\u347?\u263?, \u380?e "nie wp\u322?yn\u281?\u322?a do Uczelni \u380?adna informacja mog\u261?ca mie\u263? wp\u322?yw na zmian\u281? poziomu ryzyka albo wymagaj\u261?ca podj\u281?cia innych \u347?rodk\u243?w technicznych i organizacyjnych rozszerzaj\u261?cych katalog podj\u281?tych dzia\u322?a\u324?" pozostaje irrelewantna dla stwierdzenia istnienia po stronie Administratora obowi\u261?zku zg\u322?oszenia przedmiotowego naruszenia ochrony danych osobowych Prezesowi UODO, zgodnie z powy\u380?szym przepisem".
\par 
\par St\u261?d sam fakt braku precyzyjnie okre\u347?lonego kr\u281?gu pracownik\u243?w, kt\u243?rych naruszenie dotyczy, nie stanowi w ocenie organu przeszkody dla realizacji obowi\u261?zku wynikaj\u261?cego z art. 34 rozporz\u261?dzenia 2016/679, cho\u263?by dlatego, \u380?e form\u261? przekazania informacji o naruszeniu ochrony danych osobowych w przedmiotowej sprawie, bior\u261?c pod uwag\u281? brak precyzyjnie okre\u347?lonego kr\u281?gu podmiot\u243?w, kt\u243?rych naruszenie dotyczy\u322?o, mo\u380?e by\u263? wed\u322?ug organu komunikat publiczny, np. zamieszczony w Intranecie.
\par 
\par Organ uzna\u322? te\u380?, i\u380? opublikowana w Intranecie przez Bank informacja w gruncie rzeczy nie odnosi si\u281? do przedmiotowego naruszenia ochrony danych osobowych, bowiem stanowi jedynie og\u243?ln\u261? informacj\u281?, jakich z ca\u322?\u261? pewno\u347?ci\u261? wiele na platformie komunikacji wewn\u281?trznej Banku, na temat rodzaju naruszenia ochrony danych osobowych, jakim mo\u380?e by\u263? dost\u281?p osoby nieupowa\u380?nionej do danych osobowych pracownik\u243?w, jego mo\u380?liwych konsekwencji czy \u347?rodk\u243?w zaradczych, co za tym idzie - informacja ta nie jest w \u380?adnym wypadku r\u243?wnoznaczna ze spe\u322?nieniem obowi\u261?zku, o kt\u243?rym mowa w art. 34 ust. 1 rozporz\u261?dzenia 2016/679. Z tre\u347?ci komunikatu nie wynika bowiem, aby dotyczy\u322? on konkretnego naruszenia, a zatem osoby, kt\u243?rych dane dotycz\u261?, nie mia\u322?y \u380?adnych powod\u243?w, by potraktowa\u263? go jako odnosz\u261?cy si\u281? do nich i odpowiednio zareagowa\u263?. Co wi\u281?cej jak podkre\u347?li\u322? organ, komunikat skierowany zosta\u322? jedynie do obecnych pracownik\u243?w Banku, jako korzystaj\u261?cych z platformy komunikacji wewn\u281?trznej, natomiast zawiadomione o naruszeniu powinny zosta\u263? wszystkie osoby, kt\u243?re by\u322?y zatrudnione w Banku w okresie, w kt\u243?rym dost\u281?p do danych dla osoby nieuprawnionej pozostawa\u322? otwarty, a kt\u243?re aktualnie mog\u261? ju\u380? w nim nie pracowa\u263?.
\par 
\par Odnosz\u261?c si\u281? do wskazanych przez Bank w pi\u347?mie z dnia [...] lipca 2021 r. wniosk\u243?w dowodowych na podstawie art. 78 \u167? 1 k.p.a., tj.:
\par 
\par 1) przeprowadzenia dowodu z zezna\u324? \u347?wiadka J. S. na okoliczno\u347?\u263? korzystania z dost\u281?pu do platformy [...] oraz celem ustalenia, czy by\u322?y pracownik Banku zapoznawa\u322? si\u281? z danymi osobowymi na platformie [...] w okresie od dnia [...] czerwca 2020 r. do dnia [...] lutego 2021 r., a je\u380?eli tak, to w jakim zakresie; ewentualnie: zwr\u243?cenie si\u281? przez organ do J. S. celem uzyskania informacji na pi\u347?mie, czy jako by\u322?y pracownik Banku zapoznawa\u322? si\u281? z danymi osobowymi na platformie [...] w okresie od dnia [...] czerwca 2020 r. do dnia
\par 
\par [...] lutego 2021 r., a je\u380?eli tak, to w jakim zakresie;
\par 
\par 2) zobowi\u261?zania operatora platformy [...], tj. [...], do przedstawienia log\u243?w i wszelkich zapis\u243?w sytemu informatycznego - platformy [...] - celem ustalenia, z jakimi danymi osobowymi J. S. zapoznawa\u322?a si\u281? w ramach dost\u281?pu do [...] w datach od dnia ustania stosunku pracy, tj. od dnia
\par 
\par [...] czerwca 2020 r. do dnia odebrania pracownikowi uprawnie\u324? w [...], tj. do dnia
\par 
\par [...] lutego 2021 r.;
\par 
\par 3) przeprowadzenia dowodu z opinii bieg\u322?ego z dziedziny informatyki dla ustalenia, z jakimi danymi osobowymi J. S. zapoznawa\u322?a si\u281? w ramach dost\u281?pu do [...] w datach od dnia ustania stosunku pracy, tj. od dnia [...] czerwca 2020 r. do dnia odebrania pracownikowi uprawnie\u324? w [...], tj. do dnia [...] lutego 2021 r. - organ uzna\u322? je za nieistotne, gdy\u380? dotycz\u261? okoliczno\u347?ci nie maj\u261?cych znaczenia dla sprawy, bowiem dla zaistnienia obowi\u261?zku z art. 34 ust. 1 rozporz\u261?dzenia 2016/679 wa\u380?ne jest ju\u380? samo ryzyko nieuprawnionego dost\u281?pu, kt\u243?re w przedmiotowej sprawie wyst\u261?pi\u322?o, a co zosta\u322?o wielokrotnie wykazane w niniejszej decyzji.
\par 
\par Organ zwr\u243?ci\u322? te\u380? uwag\u281? na to, \u380?e zawiadamiaj\u261?c bez zb\u281?dnej zw\u322?oki podmiot danych, administrator umo\u380?liwia osobie podj\u281?cie niezb\u281?dnych dzia\u322?a\u324? zapobiegawczych w celu ochrony praw lub wolno\u347?ci przed negatywnymi skutkami naruszenia. Art. 34 ust. 1 i 2 rozporz\u261?dzenia 2016/679 ma na celu nie tylko zapewnienie mo\u380?liwie najskuteczniejszej ochrony podstawowych praw lub wolno\u347?ci podmiot\u243?w danych, ale tak\u380?e realizacj\u281? zasady przejrzysto\u347?ci, kt\u243?ra wynika z art. 5 ust. 1 lit. a) rozporz\u261?dzenia 2016/679 (por. Chomiczewski Witold [w:] RODO. Og\u243?lne rozporz\u261?dzenie o ochronie danych. Komentarz, red. E. Bielak - Jomaa, D. Lubasz, Warszawa 2018). W\u322?a\u347?ciwe wywi\u261?zanie si\u281? z obowi\u261?zku okre\u347?lonego w art. 34 rozporz\u261?dzenia 2016/679 ma zapewni\u263? osobom, kt\u243?rych dane dotycz\u261? -szybk\u261? i przejrzyst\u261? informacj\u281? o naruszeniu ochrony ich danych osobowych wraz z opisem mo\u380?liwych konsekwencji naruszenia ochrony danych osobowych oraz \u347?rodk\u243?w, kt\u243?re mog\u261? one podj\u261?\u263? w celu zminimalizowania jego ewentualnych negatywnych skutk\u243?w. Post\u281?puj\u261?c zgodnie z prawem i wykazuj\u261?c dba\u322?o\u347?\u263? o interesy os\u243?b, kt\u243?rych dane dotycz\u261?, administrator powinien by\u322? bez zb\u281?dnej zw\u322?oki zapewni\u263? osobom, kt\u243?rych dane dotycz\u261?, mo\u380?liwo\u347?\u263? jak najlepszej ochrony danych osobowych. Dla osi\u261?gni\u281?cia tego celu niezb\u281?dne jest przynajmniej wskazanie tych informacji, kt\u243?re wymienione s\u261? w art. 34 ust. 2 rozporz\u261?dzenia 2016/679, z kt\u243?rego to obowi\u261?zku Bank nie wywi\u261?za\u322? si\u281?. Podkre\u347?lono, \u380?e stosuj\u261?c przepisy rozporz\u261?dzenia 2016/679, nale\u380?y mie\u263? na uwadze, \u380?e celem tego rozporz\u261?dzenia (wyra\u380?onym w art. 1 ust. 2) jest ochrona podstawowych praw i wolno\u347?ci os\u243?b fizycznych, w szczeg\u243?lno\u347?ci ich prawa do ochrony danych osobowych oraz \u380?e ochrona os\u243?b fizycznych w zwi\u261?zku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambu\u322?y). W przypadku jakichkolwiek w\u261?tpliwo\u347?ci np. co do wykonania obowi\u261?zk\u243?w przez administrator\u243?w - nie tylko w sytuacji, gdy dosz\u322?o do naruszenia ochrony danych osobowych, ale te\u380? przy opracowywaniu technicznych i organizacyjnych \u347?rodk\u243?w bezpiecze\u324?stwa maj\u261?cych im zapobiega\u263? - nale\u380?y w pierwszej kolejno\u347?ci bra\u263? pod uwag\u281? te warto\u347?ci. Powy\u380?sze rozumowanie potwierdza wyrok WSA w Warszawie z dnia 22 wrze\u347?nia 2021 r. (sygn. akt II SA/Wa 791/21), w kt\u243?rym S\u261?d rozstrzygaj\u261?c w przedmiocie na\u322?o\u380?enia administracyjnej kary pieni\u281?\u380?nej w zwi\u261?zku z naruszeniem przepis\u243?w o ochronie danych osobowych odni\u243?s\u322? si\u281? do wymienionych wy\u380?ej kwestii, dodatkowo wskazuj\u261?c, \u380?e " W toku dokonywania oceny, czy wyst\u281?puj\u261? ryzyka naruszenia praw lub wolno\u347?ci cz\u322?owieka, administrator powinien bra\u263? pod uwag\u281? wszelkie mo\u380?liwe szkody, jak i krzywdy, kt\u243?re mog\u261? wynikn\u261?\u263? z danego zdarzenia dla os\u243?b fizycznych (tak: S. Jandt[w:] DS.-GVO..., red. J. Kuhling, B. Buchner, s. 617; K Reif[w:]DS.- GVO..., red. P. Gola, s. 496). Mog\u261? one w szczeg\u243?lno\u347?ci polega\u263? na utracie kontroli nad w\u322?asnymi danymi osobowymi, negatywnych konsekwencjach wizerunkowych, mo\u380?liwo\u347?ci zawierania przez inn\u261? osob\u281? um\u243?w z wykorzystaniem danych osobowych innej osoby fizycznej, stratach finansowych czy wreszcie negatywnym odbiorze spo\u322?ecznym, kt\u243?ry mo\u380?e by\u263? konsekwencj\u261? upublicznienia niekt\u243?rych danych osobowych. Do zaistnienia ryzyka nie jest przy tym konieczne, by ostatecznie dosz\u322?o do wyst\u261?pienia szkody lub krzywdy wynikaj\u261?cych z danego naruszenia ochrony danych osobowych (tak: jw., s. 616)".
\par 
\par Wymierzaj\u261?c administracyjn\u261? kar\u281? pieni\u281?\u380?n\u261? Bankowi organ wskaza\u322?, \u380?e bra\u322? pod uwag\u281?:
\par 
\par 1 - Charakter, wag\u281? i czas trwania naruszenia przy uwzgl\u281?dnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych os\u243?b, kt\u243?rych dane dotycz\u261?, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporz\u261?dzenia 2016/679). Wed\u322?ug organu stwierdzone w niniejszej sprawie naruszenie, polegaj\u261?ce na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zb\u281?dnej zw\u322?oki os\u243?b, kt\u243?rych dane dotycz\u261?, ma znaczn\u261? wag\u281? i powa\u380?ny charakter, poniewa\u380? brak wiedzy o naruszeniu os\u243?b, kt\u243?rych dane dotycz\u261?, a tym samym brak mo\u380?liwo\u347?ci podj\u281?cia przez te osoby dzia\u322?a\u324? zaradczych i w\u322?a\u347?ciwych krok\u243?w w celu ochrony swoich praw, mo\u380?e doprowadzi\u263? do szk\u243?d maj\u261?tkowych lub niemaj\u261?tkowych dla os\u243?b, kt\u243?rych dane zosta\u322?y naruszone, a prawdopodobie\u324?stwo ich wyst\u261?pienia jest wysokie. Nie bez znaczenia wed\u322?ug organu pozostaje r\u243?wnie\u380? d\u322?ugi czas trwania tego naruszenia. Od powzi\u281?cia przez Bank informacji o naruszeniu ochrony danych osobowych, generuj\u261?cego wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, a tym samym skutkuj\u261?cego konieczno\u347?ci\u261? zawiadomienia o naruszeniu os\u243?b, kt\u243?rych dane dotycz\u261? tj. [...] lutego 2021 r. do dnia wydania niniejszej decyzji up\u322?yn\u281?\u322?o 11 miesi\u281?cy, w trakcie kt\u243?rych ryzyko naruszenia praw lub wolno\u347?ci os\u243?b dotkni\u281?tych naruszeniem mog\u322?o si\u281? zrealizowa\u263?, a czemu osoby te nie mog\u322?y przeciwdzia\u322?a\u263? ze wzgl\u281?du na niewywi\u261?zanie si\u281? przez Bank z obowi\u261?zku powiadomienia os\u243?b, kt\u243?rych dane dotycz\u261?, o naruszeniu. Dodatkowo za okoliczno\u347?\u263? obci\u261?\u380?aj\u261?c\u261? uzna\u263? nale\u380?y fakt, i\u380? naruszenie, polegaj\u261?ce na niezawiadomieniu os\u243?b o naruszeniu ochrony ich danych osobowych, obejmowa\u322?o dane 10 500 os\u243?b.
\par 
\par 2 - Umy\u347?lny charakter naruszenia (art. 83 ust. 2 lit. b rozporz\u261?dzenia 2016/679) bowiem Bank podj\u261?\u322? \u347?wiadom\u261? decyzj\u281?, by nie zawiadamia\u263? os\u243?b, kt\u243?rych dane dotycz\u261?.
\par 
\par 3 \u8211? Wcze\u347?niejsze naruszenia przez Bank przepis\u243?w RODO za kt\u243?re decyzj\u261? z dnia
\par 
\par [...] kwietnia 2021 r. udzieli\u322? Bankowi upomnienia.
\par 
\par 4 - Stopie\u324? wsp\u243?\u322?pracy z organem nadzorczym w celu usuni\u281?cia naruszenia oraz z\u322?agodzenia jego ewentualnych negatywnych skutk\u243?w (art. 83 ust. 2 lit. f rozporz\u261?dzenia 2016/679). W niniejszej sprawie Prezes UODO uzna\u322? za niezadowalaj\u261?c\u261? wsp\u243?\u322?prac\u281? z nim ze strony Banku. Ocena ta dotyczy reakcji Banku na pisma Prezesa UODO informuj\u261?ce o obowi\u261?zkach ci\u261?\u380?\u261?cych na administratorze w zwi\u261?zku z naruszeniem ochrony danych, czy wreszcie wobec wszcz\u281?cia post\u281?powania administracyjnego w przedmiocie obowi\u261?zku zawiadomienia o naruszeniu os\u243?b, kt\u243?rych dane dotycz\u261?. Prawid\u322?owe w ocenie Prezesa UODO dzia\u322?ania, kt\u243?re mog\u322?yby spowodowa\u263? brak negatywnych konsekwencji dla praw danych os\u243?b lub bardziej ograniczony wp\u322?yw tych konsekwencji ni\u380? mog\u322?oby to mie\u263? miejsce, nie zosta\u322?y podj\u281?te przez Bank nawet po wszcz\u281?ciu przez Prezesa UODO post\u281?powania administracyjnego w sprawie.
\par 
\par 5 - Kategorie danych osobowych, kt\u243?rych dotyczy\u322?o naruszenie (art. 83 ust. 2 lit. g rozporz\u261?dzenia 2016/679). Dane osobowe, do kt\u243?rych mo\u380?liwy dost\u281?p uzyska\u322?a osoba nieuprawniona, a kt\u243?rych dotyczy\u322?o zg\u322?oszone przez Administratora naruszenie ochrony danych osobowych, (generuj\u261?ce wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, zwi\u261?zane z konieczno\u347?ci\u261? powiadomienia o naruszeniu os\u243?b, kt\u243?rych dane dotycz\u261?), stanowi\u261? szeroki zakres (imi\u281? i nazwisko, adres zamieszkania lub pobytu, numer PESEL), a ponadto nale\u380?\u261? do szczeg\u243?lnych kategorii danych osobowych, o kt\u243?rych mowa w art. 9 rozporz\u261?dzenia 2016/679, bowiem w\u347?r\u243?d nich znajduj\u261? si\u281? dane dotycz\u261?ce zdrowia (informacje o zwolnieniach lekarskich), co wi\u261?\u380?e si\u281? z wysokim ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych.
\par 
\par Konkluduj\u261?c powy\u380?sz\u261? cz\u281?\u347?\u263? uzasadnienia Prezes UODO wskaza\u322?, \u380?e zastosowana administracyjna kara pieni\u281?\u380?na spe\u322?nia w ustalonych okoliczno\u347?ciach niniejszej sprawy funkcje, o kt\u243?rych mowa w art. 83 ust. 1 rozporz\u261?dzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszaj\u261?ca. Kara b\u281?dzie skuteczna, je\u380?eli jej na\u322?o\u380?enie doprowadzi do tego, \u380?e Bank, profesjonalnie i na skal\u281? masow\u261? przetwarzaj\u261?cy dane osobowe, w przysz\u322?o\u347?ci b\u281?dzie wywi\u261?zywa\u322? si\u281? ze swoich obowi\u261?zk\u243?w z zakresu ochrony danych osobowych, w szczeg\u243?lno\u347?ci w zakresie zawiadamiania o naruszeniu ochrony danych osobowych os\u243?b, kt\u243?rych dotyczy\u322?o naruszenie. W ocenie Prezesa UODO administracyjna kara pieni\u281?\u380?na spe\u322?ni funkcj\u281? represyjn\u261?, jako \u380?e stanowi\u263? b\u281?dzie odpowied\u378? na naruszenie przez Bank przepis\u243?w rozporz\u261?dzenia 2016/679. B\u281?dzie r\u243?wnie\u380? spe\u322?nia\u263? funkcj\u281? prewencyjn\u261?.
\par 
\par Odnosz\u261?c si\u281? do wysoko\u347?ci wymierzonej Bankowi administracyjnej kary pieni\u281?\u380?nej, Prezes UODO uzna\u322?, i\u380? jest ona proporcjonalna do sytuacji finansowej Banku i nie b\u281?dzie stanowi\u322?a dla niego nadmiernego obci\u261?\u380?enia. Organ wyja\u347?ni\u322?, \u380?e z przes\u322?anego "Raportu Rocznego [...] S.A. za 2020 rok" wynika, \u380?e przychody z dzia\u322?alno\u347?ci Banku w 2020 r. wynios\u322?y ok. [...] mld z\u322?, w zwi\u261?zku z czym kwota na\u322?o\u380?onej w niniejszej sprawie administracyjnej kary pieni\u281?\u380?nej stanowi ok. 0,011 % ca\u322?kowitego rocznego \u347?wiatowego obrotu przedsi\u281?biorstwa z poprzedniego roku obrotowego. Jednocze\u347?nie Prezes UODO podkre\u347?li\u322?, \u380?e kwota na\u322?o\u380?onej kary (545 748,00 z\u322?) to jedynie 1,2 % maksymalnej wysoko\u347?ci kary, kt\u243?r\u261? Prezes UODO m\u243?g\u322? - stosuj\u261?c zgodnie z art. 83 ust. 4 rozporz\u261?dzenia 2016/679 pr\u243?g 2% liczony od ca\u322?kowitego rocznego obrotu - na\u322?o\u380?y\u263? na Bank za stwierdzone w niniejszej sprawie naruszenia. Wysoko\u347?\u263? kary zosta\u322?a bowiem okre\u347?lona na takim poziomie, aby z jednej strony stanowi\u322?a adekwatn\u261? reakcj\u281? organu nadzorczego na stopie\u324? naruszenia obowi\u261?zk\u243?w administratora, z drugiej jednak strony nie powodowa\u322?a sytuacji, w kt\u243?rej konieczno\u347?\u263? uiszczenia kary finansowej poci\u261?gnie za sob\u261? negatywne nast\u281?pstwa, w postaci znacz\u261?cej redukcji zatrudnienia b\u261?d\u378? istotnego spadku obrot\u243?w Banku. Zdaniem Prezesa UODO, Bank powinien i jest w stanie ponie\u347?\u263? konsekwencje swoich zaniedba\u324? w sferze ochrony danych, o czym \u347?wiadczy chocia\u380?by sprawozdanie finansowe Banku, przes\u322?ane do Prezesa UODO w dniu [...] lipca 2021 r.
\par 
\par Od powy\u380?szej decyzji skarg\u281? do tut. S\u261?du wywi\u243?d\u322? [...] S.A. z siedzib\u261? w [...] wnosz\u261?c o jej uchylenie.
\par 
\par Rozstrzygni\u281?ciu Bank zarzuci\u322? naruszenie:
\par 
\par a/ art. 34 ust. 1 rozporz\u261?dzenia 2016/679 poprzez niew\u322?a\u347?ciwe zastosowanie i uznanie, \u380?e Bank nie dokona\u322? zawiadomienia os\u243?b w trybie ww. normy bez zb\u281?dnej zw\u322?oki, w sytuacji kiedy brak jest jednoznacznie potwierdzonych okoliczno\u347?ci co do zakresu danych osobowych, do kt\u243?rych mia\u322? dost\u281?p by\u322?y pracownik Banku oraz brak jest podstaw do jednoznacznego wniosku, z uwagi na nieprzeprowadzenie post\u281?powania dowodowego \u380?e by\u322?y pracownik Banku zg\u322?aszaj\u261?c samodzielnie nieprawid\u322?owo\u347?\u263?, m\u243?g\u322?by wykorzysta\u263? w spos\u243?b bezprawny dost\u281?p do danych osobowych pracownik\u243?w skar\u380?\u261?cego. Bank poda\u322?, \u380?e dzia\u322?a\u322? w oparciu o wyj\u261?tek przedstawiony w wytycznych dotycz\u261?cych zg\u322?aszania narusze\u324? ochrony danych osobowych zgodnie z RODO, WP250 rev.O1 - wydanymi przez Grup\u281? Robocz\u261? art. 29 - administrator w okre\u347?lonych sytuacjach mo\u380?e uzna\u263? nieuprawnionego odbiorc\u281? danych za "zaufanego". Administrator mo\u380?e ufa\u263? odbiorcy na tyle, aby m\u243?c racjonalnie oczekiwa\u263?, \u380?e strona ta nie odczyta omy\u322?kowo wys\u322?anych danych lub nie uzyska do nich wgl\u261?du oraz \u380?e wype\u322?ni polecenie ich odes\u322?ania. Nawet je\u380?eli do danych uzyskano wgl\u261?d, administrator nadal mo\u380?e mie\u263? zaufanie do odbiorcy, \u380?e nie podejmie on \u380?adnych dalszych dzia\u322?a\u324? w kwestii tych danych oraz \u380?e niezw\u322?ocznie zwr\u243?ci dane do administratora i b\u281?dzie wsp\u243?\u322?pracowa\u263? przy ich odzyskaniu. W tym kontek\u347?cie Bank podni\u243?s\u322?, \u380?e osoba nieuprawniona do dost\u281?pu do danych w okresie od dnia [...] czerwca 2020 r. do dnia
\par 
\par [...] lutego 2021 r. by\u322?a wieloletnim pracownikiem dzia\u322?u kadr, kt\u243?rej obowi\u261?zki zawodowe zwi\u261?zane by\u322?y m.in, z prac\u261? na danych osobowych w systemie [...]. By\u322?y pracownik Banku by\u322? zobowi\u261?zany do zachowania tajemnicy i poufno\u347?ci danych osobowych bezterminowo;
\par 
\par b/ art. 34 ust.4 rozporz\u261?dzenia 2016/679 poprzez uznanie, \u380?e wystarczaj\u261?ce jest samo wyst\u261?pienie ryzyka naruszenia praw i wolno\u347?ci, podczas gdy niezb\u281?dne jest, aby takie prawdopodobie\u324?stwo wyst\u261?pienia dotyczy\u322?y wysokiego ryzyka;
\par 
\par c/ art. 83 ust. 1 w zw. z art. 83 ust. 2 rozporz\u261?dzenia 2016/679 polegaj\u261?ce na wymierzeniu Bankowi pieni\u281?\u380?nej kary administracyjnej za naruszenie przepis\u243?w ww. rozporz\u261?dzenia, uznaj\u261?c b\u322?\u281?dnie, \u380?e zaistnia\u322? obowi\u261?zek informacyjny, gdy\u380? naruszenie mia\u322?o znaczn\u261? wag\u281? i powa\u380?ny charakter, w sytuacji kiedy brak jest jednoznacznie potwierdzonych okoliczno\u347?ci co do zakresu danych osobowych, do kt\u243?rych mia\u322? dost\u281?p by\u322?y pracownik skar\u380?\u261?cego oraz brak jest podstaw do jednoznacznego wniosku, z uwagi na nieprzeprowadzenie post\u281?powania dowodowego, \u380?e by\u322?y pracownik zg\u322?aszaj\u261?c samodzielnie nieprawid\u322?owo\u347?\u263?, m\u243?g\u322?by wykorzysta\u263? w spos\u243?b bezprawny dost\u281?p do danych osobowych pracownik\u243?w Banku;
\par 
\par d/ naruszenie art. 83 ust. 1-3, art. 83 ust. 4 lit. a w zw. z art. 58 ust. 2 lit. i rozporz\u261?dzenia poprzez niew\u322?a\u347?ciwe zastosowanie i wymierzenie Bankowi pieni\u281?\u380?nej kary administracyjnej w kwocie 545.748 z\u322?, w sytuacji kiedy, zebrany w sprawie materia\u322? dowodowy jest niepe\u322?ny - w szczeg\u243?lno\u347?ci brak stanowiska operatora portalu [...] - [...] co do log\u243?w i wszelkich zapis\u243?w systemu informatycznego - platformy [...] - nie daje podstaw do jednoznacznego stwierdzenia, \u380?e Bank dopu\u347?ci\u322? si\u281? naruszenia art. 34 ust. 1 rozporz\u261?dzenia 2016/679, kt\u243?rych naruszenie skutkowa\u322?oby zasadno\u347?ci\u261? na\u322?o\u380?enia sankcji finansowej na Bank;
\par 
\par e/ art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. f) rozporz\u261?dzenia 2016/679 w zwi\u261?zku z art. 8 \u167? 1 ustawy z dnia 14 czerwca 1960 r. Kodeks post\u281?powania administracyjnego (t.j. Dz.U. 2021 poz. 735 ze zm. dalej "K.p.a.") polegaj\u261?ce na wymierzeniu Bankowi pieni\u281?\u380?nej kary administracyjnej za naruszenie przepis\u243?w ww. rozporz\u261?dzenia, uznaj\u261?c b\u322?\u281?dnie, \u380?e wsp\u243?\u322?praca skar\u380?\u261?cego by\u322?a "niezadowalaj\u261?ca", w sytuacji kiedy analiza materia\u322?u dowodowego w niniejszej sprawie prowadzi do zgo\u322?a odmiennego wniosku, przede wszystkim to Bank wykona\u322? w terminie ci\u261?\u380?\u261?cy na nim obowi\u261?zek okre\u347?lony w art. 33 ust. 1 rozporz\u261?dzenia 2016/679, tj. dokona\u322? zg\u322?oszenia organowi o stwierdzonym naruszeniu ochrony danych osobowych, nadto do\u322?o\u380?y\u322? nale\u380?ytej staranno\u347?ci i terminowo\u347?ci w kontakcie z organem i nie uchybi\u322? swoim obowi\u261?zkom w tym zakresie, przyczyni\u322? si\u281? do ustalenia ca\u322?okszta\u322?tu okoliczno\u347?ci sprawy oraz przedstawi\u322? wszelkie niezb\u281?dne dokumenty i informacje;
\par 
\par f/ art. 7 K.p.a. oraz art. 77 \u167? 1 K.p.a. poprzez niewyja\u347?nienie wszystkich okoliczno\u347?ci faktycznych i brak ustalenia w jakim zakresie by\u322?y pracownik Banku - zobligowany do bezterminowego obowi\u261?zku zachowania tajemnicy - mia\u322? dost\u281?p do danych pracownik\u243?w skar\u380?\u261?cego w ramach [...], i czy z niego korzysta\u322?;
\par 
\par g/ art. 75 \u167? 1 K.p.a. oraz art. 77 \u167? 1 K.p.a., a tak\u380?e art. 80 K.p.a. poprzez brak przeprowadzenia jakiegokolwiek post\u281?powania dowodowego w zakresie ustalenia w jakim zakresie by\u322?y pracownik Banku - zobligowany do bezterminowego obowi\u261?zku zachowania tajemnicy - mia\u322? dost\u281?p do danych pracownik\u243?w skar\u380?\u261?cego w ramach [...], i czy z niego korzysta\u322?;
\par 
\par h/ art. 78 \u167? 1 K.p.a. oraz art. 77 \u167? 1 K.p.a., a tak\u380?e art. 80 K.p.a. poprzez brak uwzgl\u281?dnienia wniosk\u243?w dowodowych skar\u380?\u261?cego zawartych w pi\u347?mie z dnia [...] lipca 2021 r. pomimo, \u380?e zmierza\u322?y one do ustalenia okoliczno\u347?ci maj\u261?cych znaczenie dla sprawy, tj. wykazania, \u380?e w sprawie nie dosz\u322?o do naruszenia ochrony danych osobowych skutkuj\u261?cym wysokim ryzykiem naruszenia praw i wolno\u347?ci podmiot\u243?w danych;
\par 
\par i/ art. 80 K.p.a. poprzez przekroczenie granic swobodnej oceny dowod\u243?w i dokonanie dowolnej, niezgodnej z ca\u322?okszta\u322?tem zebranego w sprawie materia\u322?u dowodowego oceny, a w konsekwencji uznanie, \u380?e w sprawie dosz\u322?o do naruszenia ochrony danych osobowych skutkuj\u261?cym wysokim ryzykiem naruszenia praw i wolno\u347?ci podmiot\u243?w danych.
\par 
\par W odpowiedzi na skarg\u281? organ wni\u243?s\u322? o jej oddalenie podtrzymuj\u261?c twierdzenia zawarte w uzasadnieniu skar\u380?onej decyzji.
\par 
\par Pismem procesowym z dnia [...] maja 2022 r. Bank uzupe\u322?ni\u322? zarzuty skargi skupiaj\u261?c si\u281? na materii tego, \u380?e organ nie ma uprawnie\u324? do podwa\u380?ania przeprowadzonej przez Bank oceny ryzyka oraz wyja\u347?niaj\u261?c powody, dla kt\u243?rych uzna\u322?, ze w sprawie nie zachodzi wysokie ryzyko dla praw i wolno\u347?ci.
\par 
\par Wojew\u243?dzki S\u261?d Administracyjny w Warszawie zwa\u380?y\u322?, co nast\u281?puje:
\par 
\par zgodnie z tre\u347?ci\u261? przepisu art. 1 \u167? 1 i 2 ustawy z dnia 25 lipca 2002 r. \u8211? Prawo
\par 
\par o ustroju s\u261?d\u243?w administracyjnych (Dz. U. z 2021 r., poz. 137 ze zm.) s\u261?d administracyjny sprawuje wymiar sprawiedliwo\u347?ci poprzez kontrol\u281? pod wzgl\u281?dem zgodno\u347?ci z prawem skar\u380?onej decyzji administracyjnej. Jest wi\u281?c to kontrola legalno\u347?ci rozstrzygni\u281?cia zapad\u322?ego w post\u281?powaniu administracyjnym, z punktu widzenia jego zgodno\u347?ci z prawem materialnym i procesowym. Oceniaj\u261?c przedmiotow\u261? decyzj\u281? wed\u322?ug powy\u380?szych kryteri\u243?w, uzna\u263? nale\u380?y, i\u380? nie narusza ona prawa.
\par 
\par Istota sprawy w niniejszym post\u281?powaniu sprowadza\u322?a si\u281? do oceny tego, czy organ przy wydawaniu skar\u380?onej decyzji porusza\u322? si\u281? w granicach prawa.
\par 
\par W ocenie tut. S\u261?du na w/postawione pytanie nale\u380?a\u322?o udzieli\u263? pozytywnej odpowiedzi.
\par 
\par W my\u347?l art. 34 ust. 1 rozporz\u261?dzenia 2016/679 w sytuacji mo\u380?liwo\u347?ci wyst\u261?pienia wysokiego ryzyka dla praw i wolno\u347?ci os\u243?b fizycznych wynikaj\u261?cych z naruszenia ochrony danych osobowych, administrator jest zobowi\u261?zany bez zb\u281?dnej zw\u322?oki zawiadomi\u263? osob\u281?, kt\u243?rej dane dotycz\u261?, o naruszeniu. Ust\u281?p 2 powy\u380?szego przepisu precyzuje za\u347? to, jak powinno wygl\u261?da\u263? prawid\u322?owe zawiadomienie.
\par 
\par Zawiadamiaj\u261?c bez zb\u281?dnej zw\u322?oki podmiot naruszonych danych, administrator umo\u380?liwia osobie podj\u281?cie niezb\u281?dnych dzia\u322?a\u324? zapobiegawczych w celu ochrony praw lub wolno\u347?ci przed negatywnymi skutkami naruszenia. Art. 34 ust. 1 i 2 rozporz\u261?dzenia 2016/679 ma na celu nie tylko zapewnienie mo\u380?liwie najskuteczniejszej ochrony podstawowych praw lub wolno\u347?ci podmiot\u243?w danych, ale tak\u380?e realizacj\u281? zasady przejrzysto\u347?ci, kt\u243?ra wynika z art. 5 ust. 1 lit. a) rozporz\u261?dzenia 2016/679 (por. Chomiczewski Witold [w:] RODO. Og\u243?lne rozporz\u261?dzenie o ochronie danych. Komentarz, red. E. Bielak - Jomaa, D. Lubasz, Warszawa 2018). W\u322?a\u347?ciwe wywi\u261?zanie si\u281? z obowi\u261?zku okre\u347?lonego w art. 34 rozporz\u261?dzenia 2016/679 ma zapewni\u263? osobom, kt\u243?rych dane dotycz\u261? - szybk\u261? i przejrzyst\u261? informacj\u281? o naruszeniu ochrony ich danych osobowych wraz z opisem mo\u380?liwych konsekwencji naruszenia ochrony danych osobowych oraz \u347?rodk\u243?w, kt\u243?re mog\u261? one podj\u261?\u263? w celu zminimalizowania jego ewentualnych negatywnych skutk\u243?w.
\par 
\par Post\u281?puj\u261?c zgodnie z prawem i wykazuj\u261?c dba\u322?o\u347?\u263? o interesy os\u243?b, kt\u243?rych dane dotycz\u261?, administrator musi bez zb\u281?dnej zw\u322?oki zapewni\u263? osobom, kt\u243?rych dane dotycz\u261?, mo\u380?liwo\u347?\u263? jak najlepszej ochrony danych osobowych. Dla osi\u261?gni\u281?cia tego celu niezb\u281?dne jest przynajmniej wskazanie tych informacji, kt\u243?re wymienione s\u261? w art. 34 ust. 2 rozporz\u261?dzenia 2016/679.
\par 
\par Stosuj\u261?c przepisy rozporz\u261?dzenia 2016/679, nale\u380?y mie\u263? na uwadze, \u380?e g\u322?\u243?wnym celem tego rozporz\u261?dzenia (wyra\u380?onym w art. 1 ust. 2) jest ochrona podstawowych praw i wolno\u347?ci os\u243?b fizycznych, w szczeg\u243?lno\u347?ci ich prawa do ochrony danych osobowych oraz \u380?e ochrona os\u243?b fizycznych w zwi\u261?zku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambu\u322?y). W przypadku jakichkolwiek w\u261?tpliwo\u347?ci np. co do wykonania obowi\u261?zk\u243?w przez administrator\u243?w - nie tylko w sytuacji, gdy dosz\u322?o do naruszenia ochrony danych osobowych, ale te\u380? przy opracowywaniu technicznych i organizacyjnych \u347?rodk\u243?w bezpiecze\u324?stwa maj\u261?cych im zapobiega\u263? - nale\u380?y w pierwszej kolejno\u347?ci bra\u263? pod uwag\u281? te warto\u347?ci. Poprawno\u347?\u263? powy\u380?szego rozumowania potwierdza wyrok WSA w Warszawie z dnia 22 wrze\u347?nia 2021 r. (sygn. akt II SA/Wa 791/21), w kt\u243?rym S\u261?d rozstrzygaj\u261?c w przedmiocie na\u322?o\u380?enia administracyjnej kary pieni\u281?\u380?nej w zwi\u261?zku z naruszeniem przepis\u243?w o ochronie danych osobowych odni\u243?s\u322? si\u281? do wymienionych wy\u380?ej kwestii, dodatkowo wskazuj\u261?c, \u380?e " W toku dokonywania oceny, czy wyst\u281?puj\u261? ryzyka naruszenia praw lub wolno\u347?ci cz\u322?owieka, administrator powinien bra\u263? pod uwag\u281? wszelkie mo\u380?liwe szkody, jak i krzywdy, kt\u243?re mog\u261? wynikn\u261?\u263? z danego zdarzenia dla os\u243?b fizycznych (tak: S. Jandt[w:] DS.-GVO..., red. J. Kuhling, B. Buchner, s. 617; K Reif[w:]DS.- GVO..., red. P. Gola, s. 496). Mog\u261? one w szczeg\u243?lno\u347?ci polega\u263? na utracie kontroli nad w\u322?asnymi danymi osobowymi, negatywnych konsekwencjach wizerunkowych, mo\u380?liwo\u347?ci zawierania przez inn\u261? osob\u281? um\u243?w z wykorzystaniem danych osobowych innej osoby fizycznej, stratach finansowych czy wreszcie negatywnym odbiorze spo\u322?ecznym, kt\u243?ry mo\u380?e by\u263? konsekwencj\u261? upublicznienia niekt\u243?rych danych osobowych. Do zaistnienia ryzyka nie jest przy tym konieczne, by ostatecznie dosz\u322?o do wyst\u261?pienia szkody lub krzywdy wynikaj\u261?cych z danego naruszenia ochrony danych osobowych (tak:jw., s. 616)".
\par 
\par W realiach niniejszej sprawy przywo\u322?a\u263? nale\u380?a\u322?o tak\u380?e art. 4 pkt 12 rozporz\u261?dzenia 2016/679, w my\u347?l kt\u243?rego "naruszenie ochrony danych osobowych" oznacza naruszenie bezpiecze\u324?stwa prowadz\u261?ce do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dost\u281?pu do danych osobowych przesy\u322?anych, przechowywanych lub w inny spos\u243?b przetwarzanych.
\par 
\par Odnosz\u261?c przywo\u322?ane regulacje do stanu faktycznego sprawy jako uprawniona jawi\u322?a si\u281? konkluzja, \u380?e organ poprawnie ustali\u322? fakt naruszenia ochrony danych osobowych, o kt\u243?rym administrator danych powinien powiadomi\u263? osoby, kt\u243?rych danych dotyczy\u322?o owo naruszenie. Okoliczno\u347?ci\u261? niesporn\u261? jest przecie\u380? to, \u380?e by\u322?y pracownik Banku, po zako\u324?czeniu stosunku zatrudnienia, posiada\u322? nadal mo\u380?liwo\u347?\u263? logowania si\u281? do platformy [...] a poprzez to posiada\u322? dost\u281?p do danych pracownik\u243?w Banku w zakresie ich imion i nazwisk, nr PESEL, adresu zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowi\u261?cych dane dotycz\u261?ce zdrowia.
\par 
\par Poza sporem by\u322?a te\u380? okoliczno\u347?\u263?, \u380?e \u243?w by\u322?y pracownik Banku skorzysta\u322? z tego nieuprawnionego przywileju i logowa\u322? si\u281? pi\u281?ciokrotnie do platformy [...] (w nast\u281?puj\u261?cych terminach: 2020-06-30, godz. 21:09:54; 2020-06-30, godz. 21:00:42; 2020-06-30, godz. 21:02:37; 2020-10-26, godz. 22:01:27; 2021-02-03, godz. 20:50:14), zyskuj\u261?c tym samym nieuprawniony wgl\u261?d w dane osobowe pracownik\u243?w Banku.
\par 
\par Z powy\u380?szego organ w spos\u243?b uprawniony wywi\u243?d\u322?, \u380?e sama mo\u380?liwo\u347?\u263? nieograniczonego dost\u281?pu przez by\u322?ego pracownika Banku, do wielce wra\u380?liwych danych znajduj\u261?cych si\u281? na platformie [...], kt\u243?re to dane dotyczy\u322?y a\u380? 10 500 os\u243?b, powoduje istnienie wysokiego ryzyka dla praw i wolno\u347?ci os\u243?b, kt\u243?rych danych m\u243?g\u322? dotyczy\u263? ten nieuprawniony dost\u281?p. O wysokim ryzyku \u347?wiadczy bowiem nie tylko zakres danych zgromadzonych na platformie [...], ale te\u380? bardzo d\u322?ugi czas w jakim Bank tolerowa\u322? omawiany nieuprawniony dost\u281?p do tych danych by\u322?emu pracownikowi, jak te\u380? oczywi\u347?cie liczba os\u243?b dotkni\u281?tych potencjalnym naruszeniem ich danych osobowych.
\par 
\par Skoro wi\u281?c zaistnia\u322?o wysokie ryzyko dla praw i wolno\u347?ci os\u243?b, organ mia\u322? bezwzgl\u281?dny obowi\u261?zek dokona\u263? zawiadomienia o jakim mowa w art. 34 RODO.
\par 
\par Na marginesie niejako nale\u380?a\u322?o doda\u263?, \u380?e Bank w spos\u243?b niew\u322?a\u347?ciwy odwo\u322?uje si\u281? do prawno-karnego poj\u281?cia zamiaru bezpo\u347?redniego czy ewentualnego. W realiach prawnych niniejszej sprawy nie jest bowiem konieczne ustalenie, \u380?e administrator danych umy\u347?lnie zaniecha\u322? omawianego zawiadamiania dla dokonania czynu zabronionego (czego z reszt\u261? organ nigdy nie suponowa\u322? Bankowi). Dla rozstrzygni\u281?cia skargi wystarczy ustalenie, \u380?e b\u281?d\u261?c nawet w b\u322?\u281?dzie co do braku wyst\u261?pienia wysokiego ryzyka, administrator danych nie dokona\u322? stosownego zawiadomienia.
\par 
\par W ocenie sk\u322?adu orzekaj\u261?cego nie spos\u243?b by\u322?o te\u380? uzna\u263?, \u380?e Bank wywi\u261?za\u322? si\u281? z omawianego obowi\u261?zku zawiadomienia, zamieszczaj\u261?c informacj\u281? w systemie Intranet. Z tre\u347?ci komunikatu Banku nie wynika bowiem to, aby dotyczy\u322? on konkretnego naruszenia. Zatem osoby, kt\u243?rych danych dotyczy\u322?o naruszenie, nie mia\u322?y \u380?adnych powod\u243?w, by potraktowa\u263? go jako odnosz\u261?cy si\u281? do nich i odpowiednio zareagowa\u263?. Nie mo\u380?e tak\u380?e umyka\u263? okoliczno\u347?\u263?, \u380?e komunikat \u243?w skierowany zosta\u322? jedynie do obecnych pracownik\u243?w Banku, jako korzystaj\u261?cych z platformy komunikacji wewn\u281?trznej. W\u322?a\u347?ciwe zawiadomione o naruszeniu powinno natomiast dotrze\u263? do wszystkich os\u243?b, kt\u243?re by\u322?y zatrudnione w Banku w okresie, w kt\u243?rym dost\u281?p do danych dla osoby nieuprawnionej pozostawa\u322? otwarty, a kt\u243?re aktualnie mog\u261? ju\u380? w nim nie pracowa\u263?.
\par 
\par Zdaniem S\u261?du nie by\u322?o r\u243?wnie\u380? uzasadnionym, uznanie przez Bank swojego by\u322?ego pracownika, za odbiorc\u281? tzw. zaufanego. W my\u347?l wytycznych [...] odbiorca zaufany to odbiorca, kt\u243?remu administrator mo\u380?e ufa\u263? na tyle, aby m\u243?c racjonalnie oczekiwa\u263?, \u380?e strona ta nie odczyta omy\u322?kowo wys\u322?anych danych lub nie uzyska do nich wgl\u261?du oraz \u380?e wype\u322?ni polecenie ich odes\u322?ania. Nawet je\u380?eli do danych uzyskano wgl\u261?d, administrator nadal mo\u380?e mie\u263? zaufanie do odbiorcy, \u380?e nie podejmie on \u380?adnych dalszych dzia\u322?a\u324? w kwestii tych danych oraz \u380?e niezw\u322?ocznie zwr\u243?ci dane do administratora i b\u281?dzie wsp\u243?\u322?pracowa\u263? przy ich odzyskaniu. W takich przypadkach administrator mo\u380?e uwzgl\u281?dni\u263? t\u281? kwesti\u281? w ocenie ryzyka przeprowadzanej w nast\u281?pstwie naruszenia - fakt, \u380?e odbiorca jest zaufany mo\u380?e spowodowa\u263?, \u380?e skutki naruszenia nie b\u281?d\u261? powa\u380?ne, ale nie znaczy to, \u380?e naruszenie nie mia\u322?o miejsca".
\par 
\par Wobec tre\u347?ci powy\u380?szych wytycznych za w\u322?a\u347?ciwe nale\u380?a\u322?o uzna\u263? wywody organu, \u380?e status odbiorcy zaufanego posiadaj\u261? podmioty, kt\u243?re dzia\u322?aj\u261? w strukturach danej organizacji albo s\u261? np. dostawc\u261?, z kt\u243?rego us\u322?ug administrator stale korzysta. Pomi\u281?dzy podmiotami istnieje wi\u281?\u378? faktyczna, a nierzadko prawna, kt\u243?ra pozwala na ocen\u281? stopnia zaufania stron. W przypadku takiego odbiorcy administrator mo\u380?e przyj\u261?\u263? domniemanie, \u380?e zna on obowi\u261?zuj\u261?ce procedury w zakresie ochrony danych osobowych i \u380?e zachowa si\u281? w odpowiedni spos\u243?b. W przedmiotowej sprawie, pomi\u281?dzy by\u322?ym pracownikiem a administratorem nie istnia\u322? za\u347? ju\u380? \u380?aden stosunek obligacyjny, ani \u380?adna inna wi\u281?\u378? o charakterze prawnym. Przypuszczenia Banku co do w\u322?a\u347?ciwego post\u281?powania przez by\u322?ego pracownika z danymi osobowymi, nie wynika\u322?o wi\u281?c z konkretnych, sprawdzalnych i weryfikowalnych okoliczno\u347?ci. Jako takie, nie mog\u322?y w spos\u243?b skuteczny uzasadnia\u263? domniemania o istnieniu tzw. odbiorcy zaufanego. Ustanie zatrudnienia jest przecie\u380? r\u243?wnoznaczne z zerwaniem dotychczasowej wi\u281?zi prawnej miedzy stronami stosunku pracy i zobowi\u261?zuje strony do "rozliczenia si\u281?" z wzajemnych obowi\u261?zk\u243?w wynikaj\u261?cych z zako\u324?czonej umowy. W chwili ustania stosunku pracy przestaje obowi\u261?zywa\u263? zasada wyra\u380?ona w art. 100 \u167? 2 Kodeksu pracy (Dz. U. z 2020 r. poz. 1320 ze zm.), tj. zasada szczeg\u243?lnej lojalno\u347?ci pracownika wzgl\u281?dem pracodawcy wyra\u380?aj\u261?ca si\u281? chocia\u380?by w obowi\u261?zku dbania o dobro zak\u322?adu pracy, chronienia jego mienia oraz zachowania w tajemnicy informacji, kt\u243?rych ujawnienie mog\u322?oby narazi\u263? pracodawc\u281? na szkod\u281?. Rozumiany w ten spos\u243?b obowi\u261?zek dochowania lojalno\u347?ci wynika z samego faktu nawi\u261?zania stosunku pracy i wi\u261?\u380?e strony jedynie przez ca\u322?y okres jego trwania, a\u380? do momentu, w kt\u243?rym ustaje.
\par 
\par Trafnie wi\u281?c zauwa\u380?y\u322? organ, \u380?e o ile fakt bycia wieloletnim pracownikiem Banku (praca w Dziale Kadr, posiadanie upowa\u380?nienia do przetwarzania danych osobowych w imieniu Banku) mo\u380?e wskazywa\u263? na du\u380?e do\u347?wiadczenie i wiedz\u281? podmiotu nieuprawnionego, o tyle fakt, \u380?e logowania do platformy [...] mia\u322?y miejsce ju\u380? po ustaniu stosunku pracy, cz\u281?stotliwo\u347?\u263? tych logowa\u324? i odst\u281?py czasu pomi\u281?dzy poszczeg\u243?lnymi logowaniami, wskazuj\u261? na dzia\u322?anie celowe, a nie przypadkowe by\u322?ego pracownika Banku - w \u380?adnym razie zatem nie uzasadniaj\u261? posiadanego zaufania pracodawcy do by\u322?ego pracownika.
\par 
\par Wbrew twierdzeniom Banku brak ustalenia zakresu danych osobowych z jakimi faktycznie zapozna\u322? si\u281? by\u322?y pracownik podczas nieuprawnionych logowa\u324?, nie uniemo\u380?liwia\u322? wydania skar\u380?onej decyzji. W tym miejscu jeszcze raz podkre\u347?li\u263? nale\u380?a\u322?o, \u380?e \u243?w by\u322?y pracownik mia\u322? dost\u281?p do takich samych danych, do jakich dost\u281?p posiada\u322? w okresie, gdy by\u322? jeszcze zatrudniony w Banku. Mia\u322? wi\u281?c de facto nieograniczony dost\u281?p do bardzo wra\u380?liwych danych osobowych wszystkich pracownik\u243?w Banku, jakie znajdowa\u322?y si\u281? na platformie [...]. Jak za\u347? to ju\u380? wyja\u347?niono na wst\u281?pie niniejszego uzasadnienia nie jest istotne to, czy osoba nieuprawniona faktycznie zapozna\u322?a si\u281? z danymi osobowymi innych os\u243?b, lecz to, \u380?e wyst\u261?pi\u322?o takie ryzyko (mia\u322?a mo\u380?liwo\u347?\u263? zapoznania si\u281? z tymi danymi), co w konsekwencji oznacza - z uwagi na zakres danych - \u380?e wyst\u261?pi\u322?o wysokie ryzyko naruszenia praw lub wolno\u347?ci podmiot\u243?w danych.
\par 
\par Pogl\u261?d zbie\u380?ny z w/zaprezentowanym przedstawi\u322? Wojew\u243?dzki S\u261?d Administracyjny w Warszawie w wyroku z dnia 22 wrze\u347?nia 2021 r. sygn. akt II SA/Wa 791/21, rozstrzygaj\u261?c w przedmiocie administracyjnej kary pieni\u281?\u380?nej na\u322?o\u380?onej na [...] Uniwersytet Medyczny w [...], w kt\u243?rym S\u261?d stwierdzi\u322?, \u380?e "(...) w rozpatrywanej sprawie nie jest istotne to, czy nieuprawniony odbiorca faktycznie wszed\u322? w posiadanie i zapozna\u322? si\u281? z danymi osobowymi innych os\u243?b, lecz to, \u380?e wyst\u261?pi\u322?o takie ryzyko, a w konsekwencji r\u243?wnie\u380? potencjalnie wyst\u261?pi\u322?o ryzyko naruszenia praw lub wolno\u347?ci podmiot\u243?w danych, bowiem "mo\u380?liwe konsekwencje zaistnia\u322?ego zdarzenia nie musz\u261? si\u281? zmaterializowa\u263?. W tre\u347?ci art. 33 ust. 1 rozporz\u261?dzenia 2016/679 wskazano, \u380?e samo wyst\u261?pienie naruszenia ochrony danych osobowych, z kt\u243?rym wi\u261?\u380?e si\u281? ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, implikuje obowi\u261?zek zg\u322?oszenia naruszenia w\u322?a\u347?ciwemu organowi nadzorczemu, chyba \u380?e jest ma\u322?o prawdopodobne, by naruszenie to skutkowa\u322?o ryzykiem naruszenia praw \u322?ub wolno\u347?ci os\u243?b fizycznych. Zatem podnoszona przez Administratora okoliczno\u347?\u263?, \u380?e cyt.: " nie wp\u322?yn\u281?\u322?a do Uczelni \u380?adna informacja mog\u261?ca mie\u263? wp\u322?yw na zmian\u281? poziomu ryzyka albo wymagaj\u261?ca podj\u281?cia innych \u347?rodk\u243?w technicznych i organizacyjnych rozszerzaj\u261?cych katalog podj\u281?tych dzia\u322?a\u324?" pozostaje irrelewantna dla stwierdzenia istnienia po stronie Administratora obowi\u261?zku zg\u322?oszenia przedmiotowego naruszenia ochrony danych osobowych Prezesowi UODO, zgodnie z powy\u380?szym przepisem ".
\par 
\par W \u347?wietle powy\u380?szych wywod\u243?w jako w\u322?a\u347?ciwe jawi\u322?o si\u281? post\u281?powanie organu polegaj\u261?ce na nieuwzgl\u281?dnieniu wskazanych przez Bank w pi\u347?mie z dnia [...] lipca
\par 
\par 2021 r. wniosk\u243?w dowodowych o :
\par 
\par 1) przeprowadzenie dowodu z zezna\u324? \u347?wiadka J. S. na okoliczno\u347?\u263? korzystania z dost\u281?pu do platformy [...] oraz celem ustalenia, czy by\u322?y pracownik Banku zapoznawa\u322? si\u281? z danymi osobowymi na platformie [...] w okresie od dnia [...] czerwca 2020 r. do dnia [...] lutego 2021 r., a je\u380?eli tak, to w jakim zakresie; ewentualnie: zwr\u243?cenie si\u281? przez organ do J. S. celem uzyskania informacji na pi\u347?mie, czy jako by\u322?y pracownik Banku zapoznawa\u322? si\u281? z danymi osobowymi na platformie [...] w okresie od dnia [...] czerwca 2020 r. do dnia
\par 
\par [...] lutego 2021 r., a je\u380?eli tak, to w jakim zakresie;
\par 
\par 2) zobowi\u261?zanie operatora platformy [...], tj. [...], do przedstawienia log\u243?w i wszelkich zapis\u243?w sytemu informatycznego - platformy [...] - celem ustalenia, z jakimi danymi osobowymi J. S. zapoznawa\u322?a si\u281? w ramach dost\u281?pu do [...] w datach od dnia ustania stosunku pracy, tj. od dnia
\par 
\par [...] czerwca 2020 r. do dnia odebrania pracownikowi uprawnie\u324? w [...], tj. do dnia [...] lutego 2021 r.;
\par 
\par 3) przeprowadzenie dowodu z opinii bieg\u322?ego z dziedziny informatyki dla ustalenia, z jakimi danymi osobowymi J. S. zapoznawa\u322?a si\u281? w ramach dost\u281?pu do [...] w datach od dnia ustania stosunku pracy, tj. od dnia [...] czerwca 2020 r. do dnia odebrania pracownikowi uprawnie\u324? w [...], tj. do dnia [...] lutego 2021 r.
\par 
\par Okoliczno\u347?ci na jakie mia\u322?yby zosta\u263? przeprowadzone wnioskowane dowody, pozostawa\u322?y bowiem bez wp\u322?ywu na rozstrzygni\u281?cie.
\par 
\par Przechodz\u261?c do oceny motyw\u243?w na\u322?o\u380?enia administracyjnej kary pieni\u281?\u380?nej wyja\u347?ni\u263? nale\u380?a\u322?o, \u380?e czynno\u347?\u263? organu w ww. zakresie nale\u380?y do kategorii tzw. uznania administracyjnego. St\u261?d jej ocena ograniczona jest do badania, czy uzasadnienie dla zastosowania omawianego \u347?rodka zosta\u322?o sporz\u261?dzone w spos\u243?b wyczerpuj\u261?cy i przekonuj\u261?cy.
\par 
\par Zdaniem sk\u322?adu orzekaj\u261?cego badane uzasadnienie skar\u380?onej decyzji spe\u322?nia powy\u380?sze kryteria. Organ nak\u322?adaj\u261?c kar\u281? wzi\u261?\u322? pod uwag\u281? kluczowe dla sprawy przes\u322?anki tj. :
\par 
\par 1 - Charakter, wag\u281? i czas trwania naruszenia przy uwzgl\u281?dnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych os\u243?b, kt\u243?rych dane dotycz\u261?, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporz\u261?dzenia 2016/679);
\par 
\par 2 - Umy\u347?lny charakter naruszenia (art. 83 ust. 2 lit. b rozporz\u261?dzenia 2016/679) bowiem Bank podj\u261?\u322? \u347?wiadom\u261? decyzj\u281?, by nie zawiadamia\u263? os\u243?b, kt\u243?rych dane dotycz\u261?;
\par 
\par 3 \u8211? Wcze\u347?niejsze naruszenia przez Bank przepis\u243?w RODO, za kt\u243?re decyzj\u261? z dnia
\par 
\par [...] kwietnia 2021 r. udzieli\u322? Bankowi upomnienia;
\par 
\par 4 \u8211? Niezadawalaj\u261?cy stopie\u324? wsp\u243?\u322?pracy z organem nadzorczym w celu usuni\u281?cia naruszenia oraz z\u322?agodzenia jego ewentualnych negatywnych skutk\u243?w (art. 83 ust. 2 lit. f rozporz\u261?dzenia 2016/679);
\par 
\par 5 - Kategorie danych osobowych, kt\u243?rych dotyczy\u322?o naruszenie (art. 83 ust. 2 lit. g rozporz\u261?dzenia 2016/679).
\par 
\par Wnioski jakie za\u347? wysnu\u322? z ich analizy S\u261?d potraktowa\u322? jako uprawnione zar\u243?wno z punktu widzenia zgodno\u347?ci z prawem, jak i z zasadami logicznego rozumowania.
\par 
\par Organ zasadnie uzna\u322?, \u380?e naruszenie, polegaj\u261?ce na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zb\u281?dnej zw\u322?oki os\u243?b, kt\u243?rych dane dotycz\u261?, ma znaczn\u261? wag\u281? i powa\u380?ny charakter, poniewa\u380? brak wiedzy o naruszeniu os\u243?b, kt\u243?rych dane dotycz\u261?, a tym samym brak mo\u380?liwo\u347?ci podj\u281?cia przez te osoby dzia\u322?a\u324? zaradczych i w\u322?a\u347?ciwych krok\u243?w w celu ochrony swoich praw, mo\u380?e doprowadzi\u263? do szk\u243?d maj\u261?tkowych lub niemaj\u261?tkowych dla os\u243?b, kt\u243?rych dane zosta\u322?y naruszone, a prawdopodobie\u324?stwo ich wyst\u261?pienia jest wysokie. S\u322?usznie organ przyj\u261?\u322?, \u380?e nie bez znaczenia pozostaje r\u243?wnie\u380? d\u322?ugi czas trwania tego naruszenia, oraz \u380?e dotyczy\u322?o 10 500 os\u243?b.
\par 
\par Trafne s\u261? te\u380? konkluzje o \u347?wiadomym zrezygnowaniu przez Bank z omawianego zawiadamiania. Tej okoliczno\u347?ci Bank de facto przecie\u380? nie kwestionuje gdy\u380? nie podnosi, by zaniechanie to by\u322?o skutkiem np. zapomnienia t\u322?umacz\u261?c, \u380?e by\u322?o skutkiem dokonanej przez Bank analizy ryzyka.
\par 
\par Wcze\u347?niejsze naruszenia zasad realizacji przez Bank nakaz\u243?w rozporz\u261?dzenia 2016/679 r\u243?wnie\u380? rzutuj\u261? po\u347?rednio na wymierzon\u261? kar\u281?, gdy\u380? \u347?wiadcz\u261? o tym, \u380?e wcze\u347?niej stosowane przez organ \u347?rodki dyscyplinuj\u261?ce administratora danych, nie przynios\u322?y po\u380?\u261?danych efekt\u243?w.
\par 
\par Zasadne by\u322?y te\u380? wnioski organu o braku zadawalaj\u261?cej wsp\u243?\u322?pracy z Bankiem skoro do poprawnego zawiadomienia os\u243?b, kt\u243?rych dotyczy\u322?o sporne naruszenie dosz\u322?o dopiero po wydaniu skar\u380?onej decyzji (pomimo uwag organu artyku\u322?owanych ju\u380? na pocz\u261?tku trwania post\u281?powania administracyjnego).
\par 
\par Oczywistym te\u380? by\u322?o, \u380?e organ okre\u347?laj\u261?c wymiar kary musia\u322? uwzgl\u281?dni\u263? fakt, \u380?e naruszenie dotyczy\u322?o danych o wielkiej wra\u380?liwo\u347?ci (m.in. PESEL, adres, dane o stanie zdrowia).
\par 
\par Konkluduj\u261?c niniejsz\u261? cz\u281?\u347?\u263? rozwa\u380?a\u324?, wymierzon\u261? kar\u281? pieni\u281?\u380?n\u261? nale\u380?a\u322?o uzna\u263? za wywa\u380?on\u261? i spe\u322?niaj\u261?c\u261? kryteria zar\u243?wno prewencyjne jak i opresyjne.
\par 
\par W tym stanie sprawy, nie podzielaj\u261?c argument\u243?w zawartych w z\u322?o\u380?onej skardze, oraz uznaj\u261?c i\u380? organ w spos\u243?b prawid\u322?owy zebra\u322? i oceni\u322? materia\u322? dowodowy, oraz i\u380? przy wykonywaniu tych czynno\u347?ci nie naruszy\u322? przepis\u243?w prawa, Wojew\u243?dzki S\u261?d Administracyjny w Warszawie orzek\u322? jak w sentencji wyroku na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. \u8211? Prawo o post\u281?powaniu przed s\u261?dami administracyjnymi (Dz. U. z 2022 r., poz. 329 ze zm.).
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\pard}