{\rtf1\ansi\ansicpg1252
\deff0{\fonttbl{\f0\froman\fcharset0 Times New Roman;}{\f1\froman\fcharset0 Helvetica;}{\f2\froman\fcharset0 Arial;}{\f3\froman\fcharset0 unknown;}}
{\colortbl\red0\green0\blue0;\red255\green255\blue255;\red192\green192\blue192;}
{\stylesheet 
{\style\s1 \ql\fi0\li0\ri0\f2\fs32\b\cf0 heading 1;}
{\style\s2 \ql\fi0\li0\ri0\f2\fs28\b\i\cf0 heading 2;}
{\style\s3 \ql\fi0\li0\ri0\f2\fs26\b\cf0 heading 3;}
{\style\s0 \ql\fi0\li0\ri0\f2\fs24\cf0 Normal;}
}
{\*\listtable
}
{\*\listoverridetable
}
{\info}
\paperw11907\paperh16840\margl1440\margr1120\margt1720\margb1440
{\footer \pard\plain\s0\ql\fi0\li0\ri0\plain\f0 2026-04-16 14:18\par
}{\header \trowd
\trftsWidth3\trwWidth9347\trqc\trgaph10\trpaddl0\trpaddr0\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7630
\cellx7630\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1716
\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f0 Centralna Baza Orzecze\u324? S\u261?d\u243?w Administracyjnych
\cell\pard\plain\intbl\s0\qr\fi0\li0\ri0\plain\f0 Str \f3{\field{\*\fldinst PAGE}{\fldrslt  }}\f0  / \f3{\field{\*\fldinst NUMPAGES \\* Arabic}{\fldrslt 1 }}
\cell \trowd
\trftsWidth3\trwWidth9347\trqc\trgaph10\trpaddl0\trpaddr0\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7630
\cellx7630\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1716
\cellx9346\row
\pard}\pgwsxn11907\pghsxn16840
\marglsxn1440\margrsxn1120\margtsxn1720\margbsxn1440\pard\plain\s0\fi0\li0\ri0\plain\f1\fs24\b II SA/Wa 1805/23 - Wyrok\b0\par
\par\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Data orzeczenia\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 2024-04-04
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Data wp\u322?ywu\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 2023-09-18
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b S\u261?d\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Wojew\u243?dzki S\u261?d Administracyjny w Warszawie
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b S\u281?dziowie\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Dorota Kozub-Marciniak /sprawozdawca/
\par Joanna Kruszewska-Gro\u324?ska /przewodnicz\u261?cy/
\par Karolina Kisielewicz
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Symbol z opisem\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 647  Sprawy zwi\u261?zane z ochron\u261? danych osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Skar\u380?ony organ\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Generalny Inspektor Ochrony Danych Osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Tre\u347?\u263? wyniku\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Oddalono skarg\u281?
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Sentencja\b0
\par\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs22 Wojew\u243?dzki S\u261?d Administracyjny w Warszawie w sk\u322?adzie nast\u281?puj\u261?cym: Przewodnicz\u261?cy S\u281?dzia WSA Joanna Kruszewska-Gro\u324?ska, S\u281?dzia WSA Karolina Kisielewicz, Asesor WSA Dorota Kozub-Marciniak (spr.), Protokolant specjalista Joanna G\u322?owala po rozpoznaniu na rozprawie w dniu 4 kwietnia 2024 r. sprawy ze skargi Komendanta [...] Wojew\u243?dzkiej Komendy Ochotniczych Hufc\u243?w Pracy w [...] na decyzj\u281? Prezesa Urz\u281?du Ochrony Danych Osobowych z dnia [...] lipca 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skarg\u281?
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Uzasadnienie\b0
\par\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs22 Komendant Wojew\u243?dzki [...] Wojew\u243?dzkiej Komendy Ochotniczych Hufc\u243?w Pracy (dalej tak\u380?e, jako: Komendant, skar\u380?\u261?cy lub administrator) wni\u243?s\u322? do Wojew\u243?dzkiego S\u261?du Administracyjnego w Warszawie skarg\u281? na decyzj\u281? Prezesa Urz\u281?du Ochrony Danych Osobowych (dalej, jako: Prezes UODO lub organ) z dnia [...] lipca 2023 r.
\par 
\par Zaskar\u380?ona decyzja wydana zosta\u322?a na podstawie art. 104 \u167? 1 K.p.a. w zwi\u261?zku z art. 7, art. 60 i art. 102 ust. 1 pkt 1 i ust. 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), a tak\u380?e art. 57 ust. 1 lit. a i hart. 58 ust. 2 lit. i, art. 83 ust. 1 - 3, art. 83 ust. 4 lit. a w zwi\u261?zku z art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 art. oraz 83 ust. 5 lit. a w zwi\u261?zku z art. 5 ust. 1 lit. f i art. 5 ust. 2 rozporz\u261?dzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony os\u243?b fizycznych w zwi\u261?zku z przetwarzaniem danych osobowych i w sprawie swobodnego przep\u322?ywu takich danych oraz uchylenia dyrektywy 95/46/WE (og\u243?lne rozporz\u261?dzenia o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35.), dalej, jako: RODO. Prezes UODO, po przeprowadzeniu wszcz\u281?tego z urz\u281?du post\u281?powania administracyjnego w sprawie naruszenia przepis\u243?w o ochronie danych osobowych przez skar\u380?\u261?cego, stwierdzaj\u261?c naruszenie przez Komendanta przepis\u243?w art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO polegaj\u261?ce na:
\par 
\par 1. niezastosowaniu przez Komendanta Wojew\u243?dzkiego [...] Wojew\u243?dzkiej Komendy Ochotniczych Hufc\u243?w Pracy w [...] odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych zapewniaj\u261?cych stopie\u324? bezpiecze\u324?stwa odpowiadaj\u261?cy ryzyku przetwarzania danych w przypadku wykonywania pracy przez pracownik\u243?w zatrudnionych w [...] Wojew\u243?dzkiej Komendzie Ochotniczych Hufc\u243?w Pracy w [...] z wykorzystaniem przeno\u347?nych komputer\u243?w s\u322?u\u380?bowych, w tym ochron\u281? przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkow\u261? utrat\u261?, zniszczeniem lub uszkodzeniem, co skutkowa\u322?o utrat\u261? (na skutek kradzie\u380?y) przez pracownika [...] Wojew\u243?dzkiej Komendy Ochotniczych Hufc\u243?w Pracy w [...] jego przeno\u347?nego komputera wykorzystywanego na potrzeby \u347?wiadczenia pracy, na kt\u243?rym znajdowa\u322?y si\u281? dokumenty zawieraj\u261?ce dane osobowe, kt\u243?re ten pracownik wykorzystywa\u322? w celach s\u322?u\u380?bowych,
\par 
\par 2. braku regularnego testowania, mierzenia i oceniania skuteczno\u347?ci \u347?rodk\u243?w technicznych i organizacyjnych maj\u261?cych zapewni\u263? bezpiecze\u324?stwo przetwarzanych danych osobowych, w szczeg\u243?lno\u347?ci w zwi\u261?zku z wykorzystaniem przeno\u347?nych komputer\u243?w s\u322?u\u380?bowych,
\par 
\par kt\u243?re to naruszenia skutkuj\u261? naruszeniem zasady "integralno\u347?ci i poufno\u347?ci" (art. 5 ust. 1 lit. f RODO) i rozliczalno\u347?ci (art. 5 ust. 2 RODO), na\u322?o\u380?y\u322? na skar\u380?\u261?cego administracyjn\u261? kar\u281? pieni\u281?\u380?n\u261? w kwocie 15 000 z\u322?otych.
\par 
\par W uzasadnieniu Prezes UODO wskaza\u322?, \u380?e Komendant w dniu 10 maja 2022 r. dokona\u322? zg\u322?oszenia Prezesowi Urz\u281?du Ochrony Danych Osobowych (dalej, jako: Prezes UODO) naruszenia ochrony danych osobowych, do kt\u243?rego dosz\u322?o [...] maja 2022 r. Naruszenie ochrony danych osobowych nast\u261?pi\u322?o na skutek w\u322?amania do samochodu s\u322?u\u380?bowego osoby zajmuj\u261?cej kierownicze stanowisko i kradzie\u380?y jej s\u322?u\u380?bowego komputera przeno\u347?nego wykorzystywanego do przetwarzania danych osobowych trzech os\u243?b. W konsekwencji ww. naruszenia ochrony danych osobowych dosz\u322?o do utraty poufno\u347?ci danych osobowych tych os\u243?b. Administrator wskaza\u322?, \u380?e kategorie danych osobowych, kt\u243?re zosta\u322?y naruszone, to: nazwiska i imiona, data urodzenia, adres zamieszkania lub pobytu oraz numer identyfikacyjny PESEL.
\par 
\par Pismem z 17 maja 2022 r. administrator wskaza\u322?, \u380?e "(...) skradziony komputer nie posiada\u322? uruchomionej us\u322?ugi szyfrowania, nie mniej posiada\u322? has\u322?o do konta u\u380?ytkownika. Wskazano ponadto, \u380?e na skradzionym komputerze zainstalowano system operacyjny Windows 10 Home, zaznaczaj\u261?c jednocze\u347?nie, \u380?e "obecnie mamy zakupione <klucze> do Windows 10 Professional, systemu pozwalaj\u261?cego na uruchomienie BitLockera (...)".
\par 
\par Administrator w pi\u347?mie z 29 czerwca 2022 r. wskaza\u322?, \u380?e ze skradzionego komputera korzystano poza obszarem przetwarzania danych. Ponadto Komendant wskaza\u322?, \u380?e "(...) sprz\u281?t zosta\u322? ukradziony z samochodu s\u322?u\u380?bowego, kt\u243?rego pr\u243?b\u281? kradzie\u380?y r\u243?wnie\u380? poczyniono (...)".
\par 
\par Pismem z 1 lipca 2022 r. Prezes UODO zwr\u243?ci\u322? si\u281? do administratora mi\u281?dzy innymi o wskazanie, czy zosta\u322?a opracowana i wdro\u380?ona procedura dotycz\u261?ca przetwarzania danych osobowych poza siedzib\u261? administratora, je\u347?li tak, to czy po naruszeniu ochrony danych osobowych zosta\u322?a ona poddana aktualizacji (zwr\u243?cono si\u281? o przekazanie procedury w wersji obowi\u261?zuj\u261?cej przed naruszeniem, jak i po wyst\u261?pieniu naruszenia).
\par 
\par W pi\u347?mie z 14 lipca 2022 r. administrator wskaza\u322?, \u380?e "(...) w tre\u347?ci obowi\u261?zuj\u261?cej polityki bezpiecze\u324?stwa ochrony danych os. funkcjonuj\u261? zapisy: 1) Wszelkie adnotacje zwi\u261?zane z przetwarzaniem danych poza obszarem [...]WK OHP, obowi\u261?zkowo musz\u261? by\u263? przekazywane do IOD nie rzadziej ni\u380? co kwarta\u322?. Informacja mo\u380?e przekazana zosta\u263? drog\u261? elektroniczn\u261?, przy zachowaniu formy dokumentu - wz\u243?r nr 15 do niniejszej polityki bezpiecze\u324?stwa; 2) W przypadku pracy zdalnej [lub telepracy] \u347?wiadczonej przez osob\u281? b\u281?d\u261?c\u261? pracownikiem [...]WK OHP, jako obszar przetwarzania danych w wykazie miejsc przetwarzania danych nale\u380?y u\u380?y\u263? poj\u281?cia zdalna praca lub telepraca na podstawnie umowy o prac\u281?. Powy\u380?sze funkcjonowa\u322?o na zasadach kontaktu telefonicznego, z brakiem zastosowania wzoru dok. nr 15 (za\u322?\u261?cznik nr 1 do niniejszego pisma), co po naruszeniu ulegnie zmianie. Przetwarzanie poza obszarem b\u281?dzie bardziej kontrolowane, a stosowanie rejestru w ramach za\u322?\u261?cznika nr. 15 poddane zostanie audytowi z ko\u324?cem br. (...)". W przedmiocie przeprowadzonych szkole\u324? pracownik\u243?w administrator wyja\u347?ni\u322?, \u380?e "(...) w [...]WK OHP funkcjonuje zasada, i\u380? ka\u380?dy nowy pracownik zostaje zapoznany z: (...) najistotniejszymi dla pracownika przepisami RODO oraz ustawy o ochronie danych osobowych (...) Polityk\u261? bezpiecze\u324?stwa i ochrony danych osobowych w [...]WK OHP (...) Instrukcj\u261? Zarz\u261?dzania Systemem Informatycznym S\u322?u\u380?\u261?cym do Przetwarzania Danych Osobowych w [...]WK OHP (...)". Administrator wyja\u347?ni\u322? r\u243?wnie\u380?, \u380?e jest w trakcie aktualizacji oprogramowania "(...) tak aby wsz\u281?dzie zaistnia\u322?a mo\u380?liwo\u347?\u263? uruchomienia BitLockera. Na chwil\u281? obecn\u261? ok. 61 sprz\u281?t\u243?w mobilnych ma uruchomione szyfrowanie. Administrator wskaza\u322? ponadto, \u380?e planuje do ko\u324?ca 2022 r. wykona\u263? audyt ca\u322?ego sprz\u281?tu mobilnego oraz przeprowadzi\u263? cykl telekonferencji z pracownikami kom\u243?rek oraz jednostek organizacyjnych w tematyce bezpiecze\u324?stwa ochrony danych osobowych.
\par 
\par W odpowiedzi na pytanie organu, czy administrator odtworzy\u322? dane osobowe os\u243?b, kt\u243?rych dane znajdowa\u322?y si\u281? na skradzionym komputerze przeno\u347?nym, administrator wskaza\u322?, \u380?e dane zosta\u322?y odtworzone dzi\u281?ki pami\u281?ci przeno\u347?nej - dysk zewn\u281?trzny. Administrator przed\u322?o\u380?y\u322? mi\u281?dzy innymi "Zarz\u261?dzenie nr 60 Komendanta [...] Wojew\u243?dzkiej Komendy OHP z dnia 22 grudnia 2021 r. w sprawie wprowadzenia zasad wykonywania kopi zapasowej w jednostkach organizacyjnych [...]WK OHP". Szczeg\u243?\u322?owe zasady dotycz\u261?ce wykonywania kopii zapasowej wskazane zosta\u322?y w za\u322?\u261?czniku nr 1 do ww. zarz\u261?dzenia. W \u167? 6 dokumentu wskazano, \u380?e zgodnie z przyj\u281?t\u261? polityk\u261? bezpiecze\u324?stwa ochrony danych osobowych dyski mog\u261? by\u263? u\u380?ywane wy\u322?\u261?cznie na terenie jednostki organizacyjnej (ust. 1). Pracownik ma prawo wynie\u347?\u263? no\u347?nik poza obszar jednostki organizacyjnej jedynie w przypadku konieczno\u347?ci dostarczenia sprz\u281?tu do Biura [...] Komendy OHP, po wcze\u347?niejszym zg\u322?oszeniu powy\u380?szego do zespo\u322?u IT lub IODO (ust. 2). Dysk wraz z protoko\u322?em przekazania nale\u380?y przechowywa\u263? w zamykanej szafie, w stosownym pomieszczeniu, do kt\u243?rego nie ma dost\u281?pu beneficjent instytucji (ust. 3). Za wyniesienie dysku poza obszar przetwarzania bez uzasadnionego celu oraz zg\u322?oszenia niniejszego faktu do dzia\u322?u zespo\u322?u IT lub IODO mog\u261? zosta\u263? wyci\u261?gni\u281?te konsekwencje s\u322?u\u380?bowe (ust. 4).
\par 
\par Nadto administrator wskaza\u322? "(...) [...]WK OHP przedk\u322?ada: 1) Analiz\u281? ryzyka przetwarzania danych osobowych poza obszarem przetwarzania dla [...]WK OHP - za\u322?\u261?cznik nr 3 do pisma, wykonan\u261? wed\u322?ug metodyki - za\u322?\u261?cznik nr 4. 2) Tabel\u281? pozwalaj\u261?c\u261? okre\u347?li\u263? wag\u281? naruszenia wed\u322?ug metodyki metody oceny wagi naruszenia wg. Agencja Unii Europejskiej ds. Bezpiecze\u324?stwa Sieci i Informacji (ENISA), [za\u322?\u261?cznik nr 5]. Za\u322?\u261?czaj\u261?c egzemplarz analizy ryzyka "KARTA OCENY RYZYKA - przetwarzanie danych os. poza obszarem przetwarzania dla [...]WK OHP", Administrator nie wskaza\u322? w jakiej dacie analiza ryzyka zosta\u322?a przeprowadzona.
\par 
\par Administrator wyja\u347?ni\u322? ponadto, \u380?e kradzie\u380? laptopa, dotkn\u281?\u322?a kierownictwa wy\u380?szego, kt\u243?re cz\u281?sto wykonuje czynno\u347?ci, z racji swoich obowi\u261?zk\u243?w s\u322?u\u380?bowych, w delegacji. W ramach zaistnia\u322?ego faktu w znowelizowanej tre\u347?ci polityki bezpiecze\u324?stwa danych osobowych w [...]WK OHP dodano stosowne zapisy.
\par 
\par Pismem z dnia 22 grudnia 2022 r. administrator poinformowa\u322? organ, \u380?e podj\u261?\u322? czynno\u347?ci maj\u261?ce na celu rozszerzenie ochrony przed takimi zdarzeniami w przysz\u322?o\u347?ci tj.: wdro\u380?y\u322? uruchomienie BitLockera na komputerach mobilnych typu laptop, posiadaj\u261?cych odpowiedni system operacyjny, przygotowuje wniosek do jednostki nadrz\u281?dnej tj. Komendy G\u322?\u243?wnej OHP o wsparcie techniczne, tj. mo\u380?liwo\u347?\u263? przekazania lepszej jako\u347?ci laptop\u243?w, kt\u243?re posiada\u322?yby mo\u380?liwo\u347?\u263? uruchomienia BitLockera oraz geolokalizacji, zaktualizowa\u322? polityk\u281? bezpiecze\u324?stwa, a dodatkowo poinformowa\u322? pracownik\u243?w [...]WK OHP o zakazie wynoszenia laptop\u243?w poza obszar przetwarzania bez wyra\u378?nej zgody Kierownika jednostki oraz administratora danych, tj. Komendanta [...]WK OHP. Do wyja\u347?nie\u324? za\u322?\u261?czono o\u347?wiadczenie pracownika administratora, zajmuj\u261?cego stanowisko Specjalisty ds. informatyki i telekomunikacji, z dnia 20 pa\u378?dziernika 2022 r., z kt\u243?rego wynika, \u380?e w okresie od 4 maja 2022 r. do 30 czerwca 2022 r. na urz\u261?dzeniach elektronicznych typu laptop, nale\u380?\u261?cych do [...] Wojew\u243?dzkiej Komendy Ochotniczych Hufc\u243?w Pracy zosta\u322?o uruchomione szyfrowanie typu BitLocker Ponadto, wraz z ww. pismem administrator za\u322?\u261?czy\u322? mi\u281?dzy innymi: "Analiz\u281? nr 1 - Ryzyko inherentne, przed naruszeniem", "Analiz\u281? nr 2 - Ryzyko rezydualne (po uwzgl\u281?dnieniu mechanizm\u243?w kontrolnych)" - Administrator nie wskaza\u322? w jakiej dacie ww. analizy ryzyka zosta\u322?y przeprowadzone.
\par 
\par W celu uzyskania jednoznacznych wyja\u347?nie\u324? dotycz\u261?cych daty przeprowadzonej analizy ryzyka, Prezes UODO ponownie zwr\u243?ci\u322? si\u281? w tej kwestii do administratora. W pi\u347?mie z dnia 21 marca 2023 r. Prezes UODO zwr\u243?ci\u322? si\u281? o: a) wskazanie daty przeprowadzenia analizy ryzyka przed wyst\u261?pieniem naruszenia ochrony danych osobowych (dokument ten stanowi za\u322?\u261?cznik nr 4 do pisma Administratora z 22 grudnia 2022 r.) oraz daty przeprowadzenia analizy ryzyka wykonanej "po uwzgl\u281?dnieniu mechanizm\u243?w kontrolnych" (dokument ten stanowi za\u322?\u261?cznik nr 5 do pisma Administratora z 22 grudnia 2022 r.), b) przes\u322?anie oraz wskazanie daty wykonania analizy ryzyka przeprowadzonej przed dokonaniem analizy ryzyka stanowi\u261?cej za\u322?\u261?cznik nr 4 do pisma Administratora z 22 grudnia 2022 r. (je\u380?eli taka analiza nie by\u322?a przeprowadzona, zwr\u243?cono si\u281? o wskazanie przyczyny jej niewykonania).
\par 
\par W odpowiedzi na ww. pytania organu, administrator nie udzieli\u322? jednoznacznej odpowiedzi wskazuj\u261?c, w pi\u347?mie z 27 marca 2023 r., \u380?e za\u322?\u261?cznik nr 4 oraz za\u322?\u261?cznik nr 3 zosta\u322? przygotowany dodatkowo w formie rozdzielonych analiz w odr\u281?bnych plikach. Obie analizy w oryginalnej wersji by\u322?y w jednym pliku, kt\u243?ry zosta\u322? przed\u322?o\u380?ony w pi\u347?mie z dnia 14 lipca 2022 r. Plik sam w sobie posiada dat\u281? utworzenia zawarto\u347?ci: [...].08.2012r. [[...] - Za\u322?\u261?cznik nr 1 do niniejszego pisma.]. Powy\u380?sze wynika z faktu, i\u380? procesy analiz by\u322?y prowadzone/tworzone na modyfikowanych plikach po poprzednim pracowniku, kt\u243?ry zajmowa\u322? stanowisko zwi\u261?zane z kontrol\u261? wewn\u281?trzn\u261?. Pierwsza analiza by\u322?a wykonywana w okolicach po\u322?owy 2020 roku, po czym plik by\u322? weryfikowany w czasie zaistnienia naruszenia. Dokonana zosta\u322?a zmiana m.in. w sformu\u322?owaniu dot. wynoszenie urz\u261?dze\u324? mobilnych typu laptop/tablet, zawieraj\u261?cych dane osobowe, bez zgody KKO/KJO. Wcze\u347?niej w brzmieniu: wynoszenie no\u347?nik\u243?w danych typu laptop. Analiza ryzyka dotyczy czynno\u347?ci i jest plikiem aktywnym. Ponadto, administrator wskaza\u322?, \u380?e w dniu 27 marca 2023 r. zosta\u322?a zako\u324?czona procedura wdra\u380?ania pakietu us\u322?ug od firmy [...], dzi\u281?ki czemu korzystaj\u261?c z us\u322?ugi [...] wszystkie komputery zosta\u322?y zarejestrowane w organizacji. Powy\u380?sze pozwala na sprawdzanie aktywno\u347?ci oraz numer\u243?w IP logowania konkretnych pracownik\u243?w, a tak\u380?e monitorowania po\u322?\u261?cze\u324? Internetowych w przypadku utraty laptopa
\par 
\par Organ dokona\u322? oceny materia\u322?u dowodowego pod k\u261?tem zbadania jego wiarygodno\u347?ci i mocy dowodowej. Prezes UODO uzna\u322? przewa\u380?aj\u261?c\u261? wi\u281?kszo\u347?\u263? przed\u322?o\u380?onych przez administratora dowod\u243?w za wiarygodne. Kluczowe wyja\u347?nienia s\u261? bowiem logiczne, sp\u243?jne i koreluj\u261? z ca\u322?o\u347?ci\u261? materia\u322?u dowodowego. Organ wskaza\u322?, \u380?e nie mo\u380?e jednak umkn\u261?\u263? uwadze fakt, i\u380? administrator przedk\u322?adaj\u261?c wyja\u347?nienia dostarcza\u322? dokumenty (dowody na ich potwierdzenie), z kt\u243?rych nie wynika\u322?o, w jakiej dacie zosta\u322?y one wytworzone. Skutkowa\u322?o to konieczno\u347?ci\u261? uzyskiwania przez organ dodatkowych wyja\u347?nie\u324? w celu dok\u322?adnego ustalenia i zbadania stanu faktycznego. Powy\u380?sze nie oznacza, \u380?e Prezes UODO uzna\u322? jakikolwiek z kluczowych dla rozstrzygni\u281?cia dowod\u243?w za niewiarygodny i nieposiadaj\u261?cy mocy dowodowej. Ma to jednak istotny wp\u322?yw na ocen\u281? stopnia wsp\u243?\u322?pracy administratora z Prezesem UODO w celu usuni\u281?cia naruszenia oraz z\u322?agodzenia jego ewentualnych negatywnych skutk\u243?w.
\par 
\par Prezes UODO przytoczy\u322? tre\u347?\u263? art. 57 ust. 1 lit. a i h, art. 5, art. 25 ust. 1, art. 32 ust. 1 i 2, art. 24 ust. 1 RODO i wskaza\u322?, \u380?e administrator dopuszczaj\u261?c mo\u380?liwo\u347?\u263? przetwarzania danych osobowych przy u\u380?yciu przeno\u347?nych komputer\u243?w s\u322?u\u380?bowych poza siedzib\u261? jego organizacji, w oparciu o w\u322?a\u347?ciwie przeprowadzon\u261? analiz\u281? ryzyka, winien zidentyfikowa\u263? zagro\u380?enia dla przetwarzanych w ten spos\u243?b danych osobowych, a nast\u281?pnie okre\u347?li\u263? oraz wdro\u380?y\u263? odpowiednie \u347?rodki techniczne i organizacyjne w celu zapewnienia bezpiecze\u324?stwa tych danych, a tak\u380?e regularnie sprawdza\u263? skuteczno\u347?\u263? tych \u347?rodk\u243?w. W tym przypadku przeprowadzenie takiej analizy by\u322?o szczeg\u243?lnie istotne z uwagi na specyfik\u281? pracy wykonywanej na stanowisku, w kt\u243?rym przewidziano \u347?wiadczenie pracy w delegacji. Powy\u380?ej wskazane okoliczno\u347?ci, z uwagi na konieczno\u347?\u263? przyj\u281?cia rozwi\u261?za\u324? w zakresie przetwarzania danych osobowych, powinny spowodowa\u263? podj\u281?cie szeregu dodatkowych dzia\u322?a\u324? zapewniaj\u261?cych bezpiecze\u324?stwo danych osobowych, a punktem wyj\u347?cia do ich okre\u347?lenia winno by\u263?, przeprowadzenie analizy ryzyka, kt\u243?ra zak\u322?ada mo\u380?liwo\u347?\u263? utraty dost\u281?pu (np. w nast\u281?pstwie kradzie\u380?y lub zagubienia) do sprz\u281?tu komputerowego wykorzystywanego do przetwarzania danych osobowych przez pracownik\u243?w poza organizacj\u261? administratora i w nast\u281?pstwie tego naruszenie poufno\u347?ci danych znajduj\u261?cych si\u281? na tym sprz\u281?cie (art. 25 ust. 1 RODO).
\par 
\par Dalej organ podni\u243?s\u322?, \u380?e RODO wprowadzi\u322?o podej\u347?cie, w kt\u243?rym zarz\u261?dzanie ryzykiem jest fundamentem dzia\u322?a\u324? zwi\u261?zanych z ochron\u261? danych osobowych i ma charakter ci\u261?g\u322?ego procesu. Podmioty przetwarzaj\u261?ce dane osobowe zobligowane s\u261? nie tylko do zapewnienia zgodno\u347?ci z wytycznymi ww. rozporz\u261?dzenia poprzez jednorazowe wdro\u380?enie organizacyjnych i technicznych \u347?rodk\u243?w bezpiecze\u324?stwa, ale r\u243?wnie\u380? do zapewnienia ci\u261?g\u322?o\u347?ci monitorowania poziomu zagro\u380?e\u324? oraz zapewnienia rozliczalno\u347?ci w zakresie poziomu oraz adekwatno\u347?ci wprowadzonych zabezpiecze\u324?. Oznacza to, \u380?e konieczno\u347?ci\u261? staje si\u281? mo\u380?liwo\u347?\u263? udowodnienia przed organem, \u380?e wprowadzone rozwi\u261?zania, maj\u261?ce na celu zapewnienie bezpiecze\u324?stwa danych osobowych, s\u261? adekwatne do poziomu ryzyka, jak r\u243?wnie\u380? uwzgl\u281?dniaj\u261? charakter danej organizacji oraz wykorzystywanych mechanizm\u243?w przetwarzania danych osobowych. Administrator samodzielnie ma przeprowadzi\u263? szczeg\u243?\u322?ow\u261? analiz\u281? prowadzonych proces\u243?w przetwarzania danych i dokona\u263? oceny ryzyka, a nast\u281?pnie zastosowa\u263? takie \u347?rodki i procedury, kt\u243?re b\u281?d\u261? adekwatne do oszacowanego ryzyka. Konsekwencj\u261? takiej orientacji jest rezygnacja z list wymaga\u324?, w zakresie bezpiecze\u324?stwa narzuconych przez prawodawc\u281?, na rzecz samodzielnego doboru zabezpiecze\u324? w oparciu o analiz\u281? zagro\u380?e\u324?. Administratorom nie wskazuje si\u281? konkretnych \u347?rodk\u243?w i procedur w zakresie bezpiecze\u324?stwa.
\par 
\par W przedmiotowej sprawie administrator by\u322? wielokrotnie wzywany przez organ nadzorczy do przed\u322?o\u380?enia analizy ryzyka dokonanej przed wyst\u261?pieniem naruszenia ochrony danych osobowych, jak i tej dokonanej po jego wyst\u261?pieniu. W odpowiedzi na pismo organu, w kt\u243?rym wni\u243?s\u322? o przekazanie analizy ryzyka funkcjonuj\u261?cej przed naruszeniem danych osobowych oraz wykonanej po naruszeniu, administrator dostarczy\u322? dokument, z kt\u243?rego nie wynika\u322?o, kiedy przed\u322?o\u380?ona analiza zosta\u322?a przez niego przeprowadzona. W dostarczonym wraz z pismem pliku zapisanym w formacie .xls o nazwie "Za\u322?\u261?cznik nr 3 do pisma - Analiza Ryzyka przetwarzanie poza obszarem [pisownia oryginalna]", w arkuszu o nazwie "Karta Oceny Ryzyka", uwzgl\u281?dniono rodzaj przetwarzania danych okre\u347?lony jako "Przetwarzanie danych osobowych poza obszarem przy wykorzystaniu no\u347?nika danych typu laptop/tablet/dysk zewn\u281?trzny (dane wykluczaj\u261?ce art. 9)" oraz "Przetwarzanie danych osobowych poza obszarem przy wykorzystaniu no\u347?nika danych typu laptop/tablet/dysk zewn\u281?trzny (dane uwzgl\u281?dniaj\u261?ce art. 9)\u8217?\u8217?. W ramach ww. rodzaj\u243?w przetwarzania - w cz\u281?\u347?ci "Karty oceny ryzyka" okre\u347?lonej jako "Ryzyko inherentne" - Administrator zidentyfikowa\u322? zagro\u380?enia, w tym te, kt\u243?re okre\u347?li\u322? jako "zagubienie/kradzie\u380? sprz\u281?tu przy braku uruchomionych <narz\u281?dzi> szyfruj\u261?cych" ustalaj\u261?c przy tym poziom ryzyka jako wysoki, jednocze\u347?nie wskazuj\u261?c, \u380?e: "Poziom ryzyka nieakceptowany - dzia\u322?anie mo\u380?e zosta\u263? przesuni\u281?te w czasie, wymaga sta\u322?ego monitorowania", a jako "Rekomendacje/Zalecenia/Mechanizmy kontrolne" wskaza\u322?: "zabezpieczenie wszystkich mobilnych urz\u261?dze\u324? systemami szyfruj\u261?cymi, np. BitLocker".
\par 
\par W cz\u281?\u347?ci "Karty oceny ryzyka" okre\u347?lonej jako "Ryzyko rezydualne (po uwzgl\u281?dnieniu mechanizm\u243?w kontrolnych)" Administrator zidentyfikowa\u322?, to\u380?same z powy\u380?ej opisanymi, rodzaje przetwarzania danych i zagro\u380?enia, z t\u261? r\u243?\u380?nic\u261?, \u380?e - w przypadku kluczowych z punktu widzenia przedmiotowej sprawy zagro\u380?e\u324?, tj. zagubienie/kradzie\u380? sprz\u281?tu przy braku uruchomionych <narz\u281?dzi> szyfruj\u261?cych - administrator dokona\u322? korekty poziomu ryzyka wskazuj\u261?c, \u380?e jest on niskie, a poziom tego ryzyka jest akceptowalny.
\par 
\par Wskazana analiza ryzyka zosta\u322?a ponownie przekazana organowi wraz z pismem z dnia 22 grudnia 2022 r. w formie za\u322?\u261?cznik\u243?w z t\u261? r\u243?\u380?nic\u261?, \u380?e zosta\u322?a ona przedstawiona w formie dw\u243?ch plik\u243?w zapisanych w formacie .xls. Zar\u243?wno w przypadku analizy ryzyka dostarczonej wraz z pismem z 14 lipca 2022 r., jak i w przypadku tej dostarczonej wraz z pismem z 22 grudnia 2022 r. administrator nie wskaza\u322? daty ich przeprowadzania. Ponadto u\u380?yte przez administratora okre\u347?lenia "ryzyko inherentne" i "ryzyko rezydualne" nie umo\u380?liwiaj\u261? dokonanie jednoznacznej oceny tego, czy administrator przeprowadzi\u322? analiz\u281? ryzyka przed wyst\u261?pieniem naruszenia. Organ zaznaczy\u322? przy tym, \u380?e forma przed\u322?o\u380?onej analizy jest nieczytelna, a niekt\u243?re zawarte w niej zapisy s\u261? niezrozumia\u322?e. Co prawda, administrator samodzielnie decyduje o formie i tre\u347?ci przeprowadzonej analizy, ale powinien by\u263? on w stanie, zgodnie z zasad\u261? rozliczalno\u347?ci (art. 5 ust. 2 RODO), wykaza\u263?, \u380?e taka analiza zosta\u322?a przeprowadzona w\u322?a\u347?ciwie, tzn. stanowi ona odpowiednie narz\u281?dzie dla skutecznego wdro\u380?enia, a nast\u281?pnie monitorowania \u347?rodk\u243?w gwarantuj\u261?cych bezpiecze\u324?stwo w procesie przetwarzania danych osobowych. Przedstawiona analiza ryzyka nie wskazuje na przyczyny mitygacji - kluczowego w niniejszej sprawie - ryzyka, tzn. z przed\u322?o\u380?onej analizy wynika, \u380?e administrator obni\u380?y\u322? ryzyko wyst\u261?pienia zagro\u380?enia, jakim jest "zagubienie/kradzie\u380? sprz\u281?tu przy braku uruchomionych <narz\u281?dzi> szyfruj\u261?cych" wskazuj\u261?c, \u380?e ryzyko jest akceptowalne (podczas gdy - zgodnie z poprzedni\u261? wersj\u261? analizy ryzyka - by\u322?o ono nieakceptowalne).
\par 
\par Dalej Prezes UODO wskaza\u322?, \u380?e brak wskazania dat przeprowadzenia ww. analiz sk\u322?oni\u322? organ nadzorczy do skierowania kolejnego pisma z \u380?\u261?daniem wskazania brakuj\u261?cych informacji, niezb\u281?dnych do dok\u322?adnego i pe\u322?nego ustalenia stanu faktycznego. Zdaniem organu skar\u380?\u261?cy po raz kolejny udzieli\u322? wymijaj\u261?cych odpowiedzi.
\par 
\par Organ nie uzna\u322? wiarygodno\u347?ci dowodu: "Za\u322?\u261?cznik nr 1 \u8211? [...] Szczeg\u243?\u322?\u243?w utworzenia pliku", kt\u243?ry zosta\u322? dor\u281?czony przez skar\u380?\u261?cego wraz pismem z 27 marca 2023 r. Informacja zawarta we w\u322?a\u347?ciwo\u347?ciach pliku zapisanym w formacie .xls, o tym, \u380?e plik ten zosta\u322? utworzony 8 sierpnia 2012 r. nie dowodzi tego, \u380?e sama analiza ryzyka zosta\u322?a w tym dniu utworzona. Zawarto\u347?\u263? pliku w formacie .xls o aktualnej nazwie "Za\u322?\u261?cznik nr 3 do pisma - Aanaliza Ryzyka przetwarzanie poza obszarem" mog\u322?a ulega\u263? wielokrotnej zmianie (tzn. rzeczony plik m\u243?g\u322? zawiera\u263? dowoln\u261? zawarto\u347?\u263? pod warunkiem, \u380?e zapisanie tych danych mog\u322?o zosta\u263? dokonane w formacie .xls), co wi\u281?cej sama nazwa tego pliku r\u243?wnie\u380? mog\u322?a by\u263? wielokrotnie zmieniana. Wobec powy\u380?szego, za\u322?\u261?czony zrzut z ekranu wskazuj\u261?cy na w\u322?a\u347?ciwo\u347?ci pliku o formacie .xls o aktualnej nazwie "Za\u322?\u261?cznik nr 3 do pisma - Analiza Ryzyka przetwarzanie poza obszarem" nie posiada \u380?adnej warto\u347?ci dowodowej. Co wi\u281?cej, bior\u261?c pod uwag\u281? ci\u261?g\u322?e unikanie przez administratora udzielenia jednoznacznej odpowiedzi, kiedy faktycznie analiza ryzyka zosta\u322?a przeprowadzona, dostarczanie tego typu "dowod\u243?w" wskazuje jedynie na brak dobrej wsp\u243?\u322?pracy administratora z organem.
\par 
\par Prezes UODO wskaza\u322?, \u380?e nie mia\u322? jednak podstaw do uznania za niewiarygodne wyja\u347?nie\u324? administratora, w kt\u243?rych wskazuje on, \u380?e przeprowadzi\u322? analiz\u281? ryzyka przed wyst\u261?pieniem naruszenia.
\par 
\par W ocenie Prezesa UODO, od momentu opracowania analizy ryzyka (tj. - jak wyja\u347?nia sam administrator- od "po\u322?owy 2020 r.") do dnia stwierdzenia naruszenia ochrony danych osobowych (naruszenie zosta\u322?o stwierdzone [...] maja 2022 r.) min\u281?\u322?o wystarczaj\u261?co du\u380?o czasu dla wdro\u380?enia mechanizm\u243?w mityguj\u261?cych - nieakceptowany przez samego administratora - poziom ryzyka dla operacji zwi\u261?zanych z przetwarzaniem danych osobowych poza siedzib\u261? organizacji Administratora przy wykorzystaniu no\u347?nika danych typu laptop /tablet/ dysk zewn\u281?trzny w zwi\u261?zku z mo\u380?liwo\u347?ci\u261? zagubienia lub kradzie\u380?y sprz\u281?tu przy "braku uruchomionych <narz\u281?dzi> szyfruj\u261?cych". Administrator, pomimo, \u380?e w analizie ryzyka prawid\u322?owo zidentyfikowa\u322? zagro\u380?enia dla danych osobowych przetwarzanych przy u\u380?yciu komputer\u243?w wynoszonych poza jego organizacj\u281?, a tak\u380?e prawid\u322?owo okre\u347?li\u322? poziom ryzyka dla ww. danych oraz zdefiniowa\u322? spos\u243?b post\u281?powania z ryzykiem poprzez wskazanie zabezpiecze\u324?, kt\u243?re nale\u380?y zastosowa\u263? dla obni\u380?enia tego ryzyka, nie podj\u261?\u322? \u380?adnych dzia\u322?a\u324?, aby rzeczywi\u347?cie to ryzyko wyeliminowa\u263? lub ograniczy\u263? do poziomu akceptowalnego. Efektem braku dzia\u322?ania administratora w tym zakresie by\u322?a materializacja zidentyfikowanego zagro\u380?enia w postaci kradzie\u380?y s\u322?u\u380?bowego komputera z danymi osobowymi, na kt\u243?rym nie zastosowano odpowiednich zabezpiecze\u324? w celu ochrony tych danych, co skutkowa\u322?o naruszeniem ich poufno\u347?ci.
\par 
\par Nast\u281?pnie organ poda\u322?, \u380?e administrator pomimo wezwania organu do wskazania, czy zosta\u322?a opracowana i wdro\u380?ona procedura dotycz\u261?ca przetwarzania danych osobowych poza siedzib\u261? administratora, a je\u380?eli tak, to czy po naruszeniu ochrony danych osobowych zosta\u322?a ona poddana aktualizacji (zwr\u243?cono si\u281? o przekazanie procedury w wersji obowi\u261?zuj\u261?cej przed naruszeniem, jak i po wyst\u261?pieniu naruszenia), ograniczy\u322? si\u281? do przes\u322?ania znowelizowanej "Polityki bezpiecze\u324?stwa danych osobowych w [...] Komendzie Ochotniczych Hufc\u243?w Pracy". Wobec tego, Prezes UODO - mimo podj\u281?cia pr\u243?by uzyskania wyja\u347?nie\u324? w celu ustalenia szczeg\u243?\u322?owych zasad, jakie administrator okre\u347?li\u322? w przypadku dopuszczenia przez niego przetwarzania danych osobowych poza siedzib\u261? jego organizacji - nie by\u322? w stanie oceni\u263?, czy administrator zastosowa\u322? si\u281? do w\u322?asnych procedur w tym zakresie. Brak mo\u380?liwo\u347?ci przeprowadzenia takiej oceny ma jednak znaczenie drugorz\u281?dne, w tym sensie, \u380?e administrator nie przedk\u322?adaj\u261?c dokumentu reguluj\u261?cego kwesti\u281? przetwarzania danych osobowych przy wykorzystaniu przeno\u347?nego sprz\u281?tu komputerowego poza siedzib\u261? jego organizacji, nie wykaza\u322? - zgodnie za zasad\u261? rozliczalno\u347?ci (art. 5 ust. 2 RODO) - by okre\u347?lone przez niego zasady (obowi\u261?zuj\u261?ce przed wyst\u261?pieniem naruszenia ochrony danych osobowych) zak\u322?ada\u322?y wdro\u380?enie odpowiednich \u347?rodk\u243?w technicznych w czasie przetwarzania danych osobowych, aby przetwarzanie to odbywa\u322?o si\u281? zgodnie z RODO. W konsekwencji Prezes UODO nie by\u322? w stanie oceni\u263?, czy i w jaki spos\u243?b administrator dokonywa\u322? regularnego testowania, mierzenia i oceniania skuteczno\u347?ci \u347?rodk\u243?w technicznych i organizacyjnych, maj\u261?cych zapewni\u263? bezpiecze\u324?stwo przetwarzania przed wyst\u261?pieniem naruszenia ochrony danych osobowych, a wi\u281?c czy wywi\u261?za\u322? si\u281? z obowi\u261?zku wynikaj\u261?cego z art. 32 ust. 1 lit. d RODO.
\par 
\par Podsumowuj\u261?c organ wskaza\u322?, \u380?e z okoliczno\u347?ci sprawy wynika, \u380?e administrator przed wyst\u261?pieniem naruszenia ochrony danych osobowych - mimo \u380?e przepisy RODO obowi\u261?zuj\u261? od 25 maja 2018 r. - nie wprowadzi\u322? adekwatnych rozwi\u261?za\u324? w celu zapobie\u380?enia mo\u380?liwo\u347?ci naruszenia zasady poufno\u347?ci danych osobowych (art. 5 ust. 1 lit. f RODO) na skutek materializacji zagro\u380?e\u324? zwi\u261?zanych z wykorzystywaniem przeno\u347?nych komputer\u243?w poza siedzib\u261? jego organizacji, w tym zagro\u380?e\u324? dotycz\u261?cych kradzie\u380?y takiego sprz\u281?tu. W konsekwencji, administrator nie wykaza\u322? r\u243?wnie\u380? przestrzegania w tym zakresie zasady rozliczalno\u347?ci (art. 5 ust. 2). Z przed\u322?o\u380?onych przez administratora wyja\u347?nie\u324? wynika, \u380?e wdro\u380?enie odpowiednich procedur i rozwi\u261?za\u324? nast\u261?pi\u322?o dopiero po wyst\u261?pieniu przedmiotowego naruszenia ochrony danych osobowych.
\par 
\par Dalej organ wskaza\u322?, \u380?e administracyjna kara pieni\u281?\u380?na wobec skar\u380?\u261?cego na\u322?o\u380?ona zosta\u322?a za naruszenie art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO na podstawie art. 83 ust. 4 lit. a RODO, natomiast za naruszenie art. 5 ust. 1 lit. f i art. 5 ust. 2 RODO - na podstawie art. 83 ust. 5 lit. a RODO. Jednocze\u347?nie kara na\u322?o\u380?ona \u322?\u261?cznie za naruszenie wszystkich powy\u380?szych przepis\u243?w - stosownie do przepisu art. 83 ust. 3 RODO - nie przekracza wysoko\u347?ci kary za najpowa\u380?niejsze stwierdzone w niniejszej sprawie naruszenie, tj. naruszenie art. 5 ust. 1 lit. f i art. 5 ust. 2 RODO, kt\u243?re stosownie do art. 83 ust. 5 lit. a RODO podlega administracyjnej karze pieni\u281?\u380?nej w wysoko\u347?ci do 20 000 000 EUR, a w przypadku przedsi\u281?biorstwa - w wysoko\u347?ci do 4 % jego ca\u322?kowitego rocznego \u347?wiatowego obrotu z poprzedniego roku obrotowego.
\par 
\par Decyduj\u261?c o na\u322?o\u380?eniu administracyjnej kary pieni\u281?\u380?nej Prezes UODO - stosownie do tre\u347?ci art. 83 ust. 2 lit. a - k RODO - wzi\u261?\u322? pod uwag\u281? nast\u281?puj\u261?ce okoliczno\u347?ci sprawy, stanowi\u261?ce o konieczno\u347?ci zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wp\u322?ywaj\u261?ce obci\u261?\u380?aj\u261?ce na wymiar na\u322?o\u380?onej administracyjnej kary pieni\u281?\u380?nej:
\par 
\par 1. Charakter, wag\u281? i czas trwania naruszenia przy uwzgl\u281?dnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych os\u243?b, kt\u243?rych dane dotycz\u261?, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a RODO)
\par 
\par 2. Nieumy\u347?lny charakter naruszenia (art. 83 ust. 2 lit. b RODO);
\par 
\par 3. Kategorie danych osobowych, kt\u243?rych dotyczy\u322?o naruszenie (art. 83 ust. 2 lit. g RODO);
\par 
\par 4. Stopie\u324? wsp\u243?\u322?pracy z organem nadzorczym w celu usuni\u281?cia naruszenia oraz z\u322?agodzenia jego ewentualnych negatywnych skutk\u243?w (art. 83 ust. 2 lit. f RODO);
\par 
\par Prezes UODO podni\u243?s\u322?, \u380?e ustalaj\u261?c wysoko\u347?\u263? administracyjnej kary pieni\u281?\u380?nej, nie stwierdzi\u322? okoliczno\u347?ci \u322?agodz\u261?cych, maj\u261?c\u261? wp\u322?yw na obni\u380?enie wysoko\u347?ci wymierzonej kary. Natomiast inne, ni\u380?ej wskazane okoliczno\u347?ci, o kt\u243?rych mowa w art. 83 ust. 2 RODO, po dokonaniu oceny ich wp\u322?ywu na stwierdzone w niniejszej sprawie naruszenie, zosta\u322?y przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie maj\u261?ce ani obci\u261?\u380?aj\u261?cego ani \u322?agodz\u261?cego wp\u322?ywu na wymiar orzeczonej administracyjnej kary pieni\u281?\u380?nej. Te okoliczno\u347?ci to:
\par 
\par 1. Dzia\u322?ania podj\u281?te w celu zminimalizowania szkody poniesionej przez osoby, kt\u243?rych dane dotycz\u261? (art. 83 ust. 2 lit. c RODO);
\par 
\par 2. Stopie\u324? odpowiedzialno\u347?ci administratora z uwzgl\u281?dnieniem \u347?rodk\u243?w technicznych i organizacyjnych wdro\u380?onych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d RODO);
\par 
\par 3. Wszelkie stosowne wcze\u347?niejsze naruszenia ze strony administratora lub podmiotu przetwarzaj\u261?cego (art. 83 ust 2 lit. e RODO);
\par 
\par 4. Spos\u243?b w jaki organ nadzorczy dowiedzia\u322? si\u281? o naruszeniu (art. 83 ust. 2 lit h RODO);
\par 
\par 5. Przestrzeganie wcze\u347?niej zastosowanych w tej samej sprawie \u347?rodk\u243?w, o kt\u243?rych mowa w art. 58 ust. 2 rozporz\u261?dzenia 2016/679 (art. 83 ust. 2 lit. i RODO);
\par 
\par 6. Stosowanie zatwierdzonych kodeks\u243?w post\u281?powania na mocy art. 40 rozporz\u261?dzenia 2016/679 lub zatwierdzonych mechanizm\u243?w certyfikacji na mocy art. 42 rozporz\u261?dzenia 2016/679 (art. 83 ust. 2 lit. j RODO);
\par 
\par 7. Osi\u261?gni\u281?te bezpo\u347?rednio lub po\u347?rednio w zwi\u261?zku z naruszeniem korzy\u347?ci finansowe lub unikni\u281?te straty (art. 83 ust. 2 lit. k RODO);
\par 
\par 8. Inne obci\u261?\u380?aj\u261?ce lub \u322?agodz\u261?ce czynniki (art. 83 ust. 2 lit. k RODO).
\par 
\par Prezes UODO podni\u243?s\u322? r\u243?wnie\u380?, \u380?e wszechstronnie rozpatruj\u261?c spraw\u281? nie odnotowa\u322? innych ni\u380? opisane powy\u380?ej okoliczno\u347?ci mog\u261?cych mie\u263? wp\u322?yw na ocen\u281? naruszenia i na wysoko\u347?\u263? orzeczonej administracyjnej kary pieni\u281?\u380?nej.
\par 
\par Odnosz\u261?c si\u281? ko\u324?cowo do wysoko\u347?ci na\u322?o\u380?onej kary organ poda\u322?, \u380?e poprzestanie na upomnieniu by\u322?oby nieproporcjonalne do stwierdzonych nieprawid\u322?owo\u347?ci oraz nie gwarantowa\u322?oby, \u380?e skar\u380?\u261?cy w przysz\u322?o\u347?ci nie dopu\u347?ci si\u281? kolejnych zaniedba\u324?. W ocenie organu zastosowana administracyjna kara pieni\u281?\u380?na spe\u322?nia w ustalonych okoliczno\u347?ciach niniejszej sprawy funkcje, o kt\u243?rych mowa w art. 83 ust. 1 RODO, tzn. b\u281?dzie w tym indywidulanym przypadku skuteczna, proporcjonalna i odstraszaj\u261?ca.
\par 
\par Z tym rozstrzygni\u281?ciem skar\u380?\u261?cy nie zgodzi\u322? si\u281? i wywi\u243?d\u322? skarg\u281? do Wojew\u243?dzkiego S\u261?du Administracyjnego w Warszawie, wnosz\u261? o uchylenie zaskar\u380?onej decyzji w ca\u322?o\u347?ci oraz o zas\u261?dzenie na jego rzecz koszt\u243?w post\u281?powania wed\u322?ug norm przepisanych.
\par 
\par Zaskar\u380?onej decyzji zarzucono:
\par 
\par 1. art. 7 K.p.a., art. 77 \u167? 1 K.p.a., art. 80 K.p.a. w zwi\u261?zku z art. 32 ust. 1 RODO, w sytuacji gdy organ zaniecha\u322? w toku post\u281?powania administracyjnego wszechstronnej oraz merytorycznej oceny zgromadzonego materia\u322?u dowodowego, tj. przedstawionych przez skar\u380?\u261?cego stosowanych \u347?rodk\u243?w bezpiecze\u324?stwa, kt\u243?rego wszechstronna ocena powinna doprowadzi\u263? organ, do ustalenia, \u380?e skar\u380?\u261?cy wdro\u380?y\u322? \u347?rodki techniczne s\u322?u\u380?\u261?ce ochronie przetwarzanych danych osobowych, co doprowadzi\u322?o do niepe\u322?nego ustalenia stanu faktycznego sprawy, przede wszystkim w zakresie okoliczno\u347?ci maj\u261?cych wp\u322?yw na spe\u322?nienie przez skar\u380?\u261?cego przes\u322?anki z art. 24 ust. 1 RODO oraz z art. 32 ust. 1 RODO, co zgodnie z art. 83 ust. 2 RODO wp\u322?ywa na na\u322?o\u380?enie oraz wysoko\u347?\u263? kary administracyjnej,
\par 
\par 2. art. 7 K.p.a., art. 8 K.p.a. poprzez na\u322?o\u380?enie kary pieni\u281?\u380?nej w wysoko\u347?ci 15.000 z\u322?otych w sytuacji naruszenia danych osobowych jedynie dw\u243?ch os\u243?b (poniewa\u380? jedna osoba to ma\u322?\u380?onka Komendanta [...]WK OHP); organ nie przeprowadzi\u322? dostatecznej analizy por\u243?wnawczej w zakresie wysoko\u347?ci kary administracyjnej, kt\u243?r\u261? nak\u322?ada\u322? w podobnych stanach prawnych i faktycznych, czyni\u261?c na\u322?o\u380?on\u261? w przedmiotowej sprawie kar\u281? wyg\u243?rowan\u261? i nieadekwatn\u261?; Organ decyzj\u261? nr [...] na\u322?o\u380?y\u322? kar\u281? pieni\u281?\u380?n\u261? w wysoko\u347?ci 50.000 z\u322?otych na Szko\u322?\u281? [...] w [...], przy czym naruszenie ochrony danych osobowych w tej sprawie dotyczy\u322?o kandydat\u243?w na studia z ostatnich 5 lat przez zdarzeniem, co zosta\u322?o oszacowane przez uczelni\u281? na 81 624 rekordy. W zg\u322?oszeniu skierowanym do Prezesa Urz\u281?du Ochrony Danych Osobowych wskazano g\u243?rn\u261? granic\u281? liczby os\u243?b, kt\u243?rych dane dotyczy\u322?y, na 100 000 os\u243?b. Podobny stan faktyczny i prawny zaistnia\u322? r\u243?wnie\u380? w sprawie, w kt\u243?rej organ wyda\u322? decyzj\u281? nr [...]. W tej sprawie r\u243?wnie\u380? dosz\u322?o do kradzie\u380?y laptopa z mieszkania pracownika. Decyzj\u261? organu podmiot (w\u243?jt gminy) zosta\u322? ukarany kar\u261? administracyjn\u261? w wysoko\u347?ci 8.000 z\u322?otych, jednak co istotne, liczba poszkodowanych os\u243?b zosta\u322?a okre\u347?lona na 51;
\par 
\par 3. art. 7 K.p.a., 77 \u167? 1 K.p.a., 80 K.p.a., poprzez niedokonanie wszechstronnej oceny materia\u322?u dowodowego; organ nie wywi\u243?d\u322? logicznych i sp\u243?jnych wniosk\u243?w ze zgromadzonego materia\u322?u dowodowego i przyj\u261?\u322?, \u380?e:
\par 
\par \u8226? "Naruszenie dotyczy\u322?o 3 os\u243?b" - podczas gdy naruszenie dotyczy\u322?o 2 os\u243?b, z uwagi na okoliczno\u347?\u263?, \u380?e dane osobowe jednej osoby to dane \u380?ony Komendanta, a takie dane nie podlegaj\u261? ochronie z uwagi na ich osobisty charakter;
\par 
\par \u8226? "stwarza bowiem wysokie ryzyko negatywnych skutk\u243?w prawnych dla 3 os\u243?b, do kt\u243?rych danych dost\u281?p mia\u322?a osoba, b\u261?d\u378? osoby nieuprawnione",
\par 
\par co w konsekwencji prze\u322?o\u380?y\u322?o si\u281? na b\u322?\u281?dne ustalenie stanu faktycznego sprawy w zakresie okoliczno\u347?ci wp\u322?ywaj\u261?cych na ustalenie oraz wysoko\u347?\u263? kary administracyjnej;
\par 
\par 4. art. 7 K.p.a., 77 \u167? 1 K.p.a., 80 K.p.a., poprzez dokonanie przez organ dowolnej oceny materia\u322?u dowodowego, niezgodnej z logik\u261? i zasadami do\u347?wiadczenia \u380?yciowego, polegaj\u261?c\u261? na stwierdzeniu, \u380?e Komendant w spos\u243?b niewystarczaj\u261?cy oceni\u322? zdolno\u347?\u263? do ci\u261?g\u322?ego zapewnienia poufno\u347?ci oraz nie uwzgl\u281?dni\u322? ryzyka zwi\u261?zanego z uzyskaniem nieuprawnionego dost\u281?pu do danych osobowych znajduj\u261?cych si\u281? na laptopie w sytuacji gdy has\u322?o na laptopie s\u322?u\u380?bowym by\u322?o unikalne a samoch\u243?d s\u322?u\u380?bowy, kt\u243?rym porusza\u322? si\u281? Komendant mia\u322? autoalarm, co w konsekwencji doprowadzi\u322?o do nieuprawnionego stwierdzenia naruszenia art. 32 ust. 1 lit. b i d RODO oraz art. 32 ust. 2 RODO, podczas gdy prawid\u322?owa ocena materia\u322?u dowodowego zebranego w sprawie, w tym m.in. \u380?e Komendant nie dopu\u347?ci\u322? si\u281? naruszenia w tym zakresie;
\par 
\par 5. art. 7 K.p.a., 77 \u167? 1 K.p.a., 80 K.p.a., poprzez dokonanie dowolnej oceny materia\u322?u dowodowego, niezgodnej z logik\u261? i zasadami do\u347?wiadczenia \u380?yciowego, polegaj\u261?cej na stwierdzeniu przez organ w tre\u347?ci decyzji, \u380?e Komendant nie podejmowa\u322? dzia\u322?a\u324? maj\u261?cych na celu ocen\u281? doboru \u347?rodk\u243?w technicznych i organizacyjnych przez pryzmat adekwatno\u347?ci do ryzyk, podczas, gdy w toku post\u281?powania organ nie przeprowadzi\u322? post\u281?powania dowodowego na t\u281? okoliczno\u347?\u263? i nie dokona\u322? \u380?adnych ustale\u324? faktycznych w zakresie ryzyka naruszenia praw i wolno\u347?ci os\u243?b fizycznych;
\par 
\par 6. art. 107 \u167? 1 pkt 6 K.p.a. oraz art. 107 \u167? 3 K.p.a., poprzez sporz\u261?dzenie uzasadnienie w spos\u243?b niezrozumia\u322?y, niezgodny z obowi\u261?zkami na\u322?o\u380?onymi na organ w tym zakresie, polegaj\u261?ce na:
\par 
\par a. braku wyczerpuj\u261?cego wskazania przez organ fakt\u243?w, kt\u243?re organ uzna\u322? za udowodnione, dowod\u243?w, na kt\u243?rych si\u281? opar\u322?, oraz przyczyn, z powodu kt\u243?rych innym dowodom odm\u243?wi\u322? wiarygodno\u347?ci i mocy dowodowej, a przyjmowaniu przez organ za\u322?o\u380?e\u324? niepopartych ani dowodami ani uzasadnieniem logicznym, lub dokumentami niestanowi\u261?cymi materia\u322?u dowodowego zgromadzonego w sprawie ani nieb\u281?d\u261?cych \u378?r\u243?d\u322?ami prawa, przez m.in.:
\par 
\par \u8226? niepopart\u261? dowodami i argumentacj\u261? ocen\u281?, \u380?e \u347?rodki zabezpieczaj\u261?ce stosowane przez Komendanta by\u322?y nieadekwatne do ryzyk i niezgodne z przepisami,
\par 
\par \u8226? niepopart\u261? dowodami i argumentacj\u261? ocen\u281?, \u380?e zastosowanie przez Komendanta \u347?rodka uwierzytelniaj\u261?cego wy\u322?\u261?cznie w postaci loginu i has\u322?a by\u322?o niewystarczaj\u261?ce,
\par 
\par \u8226? niepopart\u261? dowodami i argumentacj\u261? ocen\u281?, \u380?e w spos\u243?b niewystarczaj\u261?cy oceniono zdolno\u347?\u263? do ci\u261?g\u322?ego zapewniania poufno\u347?ci oraz nie uwzgl\u281?dniono ryzyka zwi\u261?zanego z uzyskaniem nieuprawnionego dost\u281?pu do laptopa s\u322?u\u380?bowego,
\par 
\par \u8226? niepopart\u261? dowodami ocen\u281?, \u380?e Komendant nie podejmowa\u322? dzia\u322?a\u324? maj\u261?cych na celu ocen\u281? doboru \u347?rodk\u243?w technicznych i organizacyjnych przez pryzmat adekwatno\u347?ci do ryzyk,
\par 
\par \u8226? niepopart\u261? dowodami i argumentacj\u261? ocen\u281?, \u380?e wcze\u347?niejsze wdro\u380?enie i wprowadzenie dodatkowych \u347?rodk\u243?w, m.in. szyfrowania danych znacz\u261?co zminimalizowa\u322?oby ryzyko naruszenia praw i wolno\u347?ci os\u243?b fizycznych,
\par 
\par b. braku wskazania przez organ sposobu wyliczenia takiej a nie innej wysoko\u347?ci kary administracyjnej oraz brak uzasadnienia wysoko\u347?ci na\u322?o\u380?onej kary administracyjnej, a wskazanie przez organ jedynie tez nieznajduj\u261?cych oparcia w zgromadzonym materiale dowodowym. m.in. zdaniem Prezesa Urz\u281?du Ochrony Danych Osobowych na\u322?o\u380?ona na Komendanta kara b\u281?dzie skuteczna, albowiem doprowadzi do stanu, w kt\u243?rym Sp\u243?\u322?ka stosowa\u322?a b\u281?dzie takie \u347?rodki techniczne i organizacyjne, kt\u243?re zapewni\u261? przetwarzanym danym stopie\u324? bezpiecze\u324?stwa odpowiadaj\u261?cy ryzyku naruszenia praw i wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261? oraz wadze zagro\u380?e\u324? towarzysz\u261?cym procesom przetwarzania tych danych osobowych" - podczas gdy Komendant kilka dni po wykryciu naruszenia podj\u261?\u322? prace nad wprowadzeniem \u347?rodk\u243?w technicznych i zabezpieczaj\u261?cych i wdro\u380?y\u322? je w szczeg\u243?lno\u347?ci 57 kluczy do WINDOWS PRO zosta\u322?o zainstalowane na laptopach, co da\u322?o mo\u380?liwo\u347?\u263? uruchomienia szyfrowania na kolejnych komputerach w [...]WK OHP; po naruszeniu:
\par 
\par \u8226? zosta\u322?y zakupione dodatkowe komputery, kt\u243?rych technologia zwi\u281?ksza wydajno\u347?\u263? pracy oraz bezpiecze\u324?stwo przetwarzania danych - niniejsze zosta\u322?o poprzedzone wnioskiem do Komendy nadzoruj\u261?cej [...]WK OHP, (Komenda G\u322?\u243?wna OHP) - pismo z dnia [...] grudnia 2022 roku, znak: [...], pismo z dnia [...] grudnia 2022 roku [...],
\par 
\par \u8226? na 61 komputerach mobilnych zosta\u322? uruchomiony BitLocker (szyfrowanie), gdzie za wykonanie niniejszego odpowiada\u322? wy\u322?\u261?cznie 1 pracownik IT, (etatowo [...] Wojew\u243?dzka Komenda OHP nie ma wi\u281?kszych mo\u380?liwo\u347?ci),
\par 
\par \u8226? w dniu 27 marca 2023 r. zosta\u322?a zako\u324?czona procedura wdra\u380?ania pakietu us\u322?ug od firmy [...]. W zwi\u261?zku z tym, korzystaj\u261?c z us\u322?ugi [...] wszystkie komputery zosta\u322?y zarejestrowane w organizacji. Pozwala to na sprawdzanie aktywno\u347?ci oraz numer\u243?w IP logowania konkretnych pracownik\u243?w, a tak\u380?e monitorowania po\u322?\u261?cze\u324? Internetowych w przypadku utraty laptopa,
\par 
\par \u8226? w dniu 25 listopada 2022 r. zosta\u322?a przeszkolona kadra kierownicza jednostek org., (tam gdzie wyst\u281?puje najwi\u281?ksze prawdopodobie\u324?stwo zaistnienia ryzyka utraty danych), w temacie: "Ochrona Danych Osobowych w [...] Wojew\u243?dzkiej Komendzie OHP",
\par 
\par \u8226? w dniu 18 maja 2023 r. kadra kierownicza jednostek org. zosta\u322?a przeszkolona w temacie: "Om\u243?wienie kluczowych zagadnie\u324? dot. Ochrony danych osobowych w [...]WK OHP,
\par 
\par \u8226? w dniach 23, 24, 25, 26 maja 2023 r. oraz 2 czerwca 2023 r. zosta\u322?a przeszkolona wi\u281?kszo\u347?\u263? kadry pracowniczej [...]WK OHP w zakresie bezpiecze\u324?stwa danych osobowych,
\par 
\par \u8226? od dnia 11 kwietnia 2023 r. do 29 kwietnia r. zosta\u322?o przeszkolonych 120 os\u243?b w obszarze cyberbezpiecze\u324?stwa,
\par 
\par \u8226? pismem z dnia 9 maja 2022 roku Pani I.L. - \u380?ona skar\u380?\u261?cego zosta\u322?a zawiadomiona o naruszeniu jej danych osobowych (pismo zosta\u322?o odebrane osobi\u347?cie),
\par 
\par \u8226? pismem z dnia 9 maja 2022 r. W.G. (z domu M.) zosta\u322?a zawiadomiona o naruszeniu jej danych osobowych,
\par 
\par \u8226? A.K., zosta\u322? poinformowany o naruszeniu jego danych osobowych osobi\u347?cie drog\u261? telefoniczn\u261? przez Skar\u380?\u261?cego (po niemo\u380?no\u347?ci dor\u281?czenia drog\u261? \u124?listown\u261? - pismo z dnia 13 maja 2022 roku wraz z dowodem nadania),
\par 
\par \u8226? Skar\u380?\u261?cy w dniu 29 lipca 2022 roku - Zarz\u261?dzeniem nr 8 Komendanta [...] Wojew\u243?dzkiej Komendy OHP z dnia 29 lipca 2022 r. wprowadzi\u322? znowelizowan\u261? tre\u347?\u263? Polityki Bezpiecze\u324?stwa Danych Osobowych w [...] Wojew\u243?dzkiej Komendzie Ochotniczych Hufc\u243?w Pracy ( [...]WK OHP) oraz Instrukcj\u281? Zarz\u261?dzania Systemami Informatycznymi S\u322?u\u380?\u261?cymi do Przetwarzania Danych Osobowych w [...]WK OHP,
\par 
\par 7. art. 58 ust. 2 lit. b RODO w zw. z art. 7 K.p.a. oraz art. 8 K.p.a. poprzez na\u322?o\u380?enie kary pieni\u281?\u380?nej w wysoko\u347?ci 15.000 z\u322?otych, podczas gdy kara upomnienia na\u322?o\u380?ona na Komendanta by\u322?aby proporcjonalna do stwierdzonych nieprawid\u322?owo\u347?ci w procesie przetwarzania danych osobowych oraz gwarantowa\u322?oby to \u380?e Komendant, w przysz\u322?o\u347?ci nie dopu\u347?ci\u322?by si\u281? do podobnych, co w sprawie niniejszej zaniedba\u324? (naruszenie danych osobowych dw\u243?ch os\u243?b);
\par 
\par 8. art. 32 ust. 1 i 2 RODO poprzez b\u322?\u281?dn\u261? wyk\u322?adni\u281? i niew\u322?a\u347?ciwe zastosowanie polegaj\u261?ce na przyj\u281?ciu, \u380?e z art. 32 ust. 1 i 2 RODO wynika obowi\u261?zek zastosowania skutecznych \u347?rodk\u243?w technicznych i organizacyjnych, podczas gdy obowi\u261?zek wynikaj\u261?cy z art. 32 ust. 1 i 2 RODO dotyczy zastosowania (wdro\u380?enia) \u347?rodk\u243?w odpowiednich, aby zapewni\u263? stopie\u324? bezpiecze\u324?stwa odpowiadaj\u261?cy temu ryzyku;
\par 
\par 9. art. 24 ust. 1 RODO oraz 32 ust. 1 i 2 RODO przez ich niew\u322?a\u347?ciwe zastosowanie tj. formu\u322?owanie ocen dotycz\u261?cych odpowiednio\u347?ci/nieodpowiednio\u347?ci technicznych i organizacyjnych \u347?rodk\u243?w bezpiecze\u324?stwa bez uprzedniej oceny ryzyka, w szczeg\u243?lno\u347?ci przez przyj\u281?cie, \u380?e stosowane przez skar\u380?\u261?c\u261? techniczne i organizacyjne \u347?rodki bezpiecze\u324?stwa (indywidualne konto u\u380?ytkownika z indywidulanym has\u322?em) by\u322?y nieodpowiednie (tj. zdaniem organu niewystarczaj\u261?ce), za\u347? wskazany przez organ \u347?rodek bezpiecze\u324?stwa w postaci szyfrowania danych by\u322?by odpowiedni z uwzgl\u281?dnieniem stanu wiedzy technicznej, kosztu wdro\u380?enia oraz charakteru, kontekstu i celu przetwarzania oraz ryzyka naruszenia praw i wolno\u347?ci os\u243?b fizycznych, podczas gdy organ nie zakwestionowa\u322? merytorycznie oceny ryzyka dokonanej przez Komendanta, formu\u322?owa\u322? oceny dotycz\u261?ce ryzyka w spos\u243?b arbitralny, w szczeg\u243?lno\u347?ci bez udzia\u322?u bieg\u322?ych, bez okre\u347?lenia metody oceny ryzyka oraz bez oparcia formu\u322?owanych ocen w materiale dowodowym, zaniecha\u322? przeprowadzenia post\u281?powania administracyjnego pod k\u261?tem oceny ryzyka dokonanej przez skar\u380?\u261?c\u261? i oceny jej prawid\u322?owo\u347?ci;
\par 
\par 10. art. 2 ust. 2 lit. c RODO poprzez zastosowanie przedmiotowego przepisu w sytuacji, gdy nie obowi\u261?zuje on w przypadku przetwarzania danych osobowych przez osob\u281? fizyczn\u261? o czysto osobistym lub domowym charakterze. Ma\u322?\u380?onka Komendanta [...]WK OHP nie pozostaje w zwi\u261?zkach zawodowych lub handlowych z [...]WK OHP, a jej dane znalaz\u322?y si\u281? na dysku twardym laptopa wy\u322?\u261?cznie z uwagi na fakt pozostawania w zwi\u261?zku ma\u322?\u380?e\u324?skim z posiadaczem laptopa w konsekwencji organ winien ustali\u263?, \u380?e naruszenie dotyczy\u322?o dw\u243?ch a nie trzech os\u243?b.
\par 
\par Skar\u380?\u261?cy wni\u243?s\u322? dodatkowo o dopuszczenie oraz przeprowadzenie dowodu z dokument\u243?w tj. wiadomo\u347?\u263? e-mail ze specyfikacj\u261? samochodu, o\u347?wiadczenia z dnia 27 lipca 2023 r., zawiadomie\u324? z dnia 9 maja 2022 r., o\u347?wiadczenia z dnia 28 lipca 2023 r., dowodu nadania pisma, Zarz\u261?dzenie nr 8 Komendanta [...] Wojew\u243?dzkiej Komendy OHP z dnia 29 lipca 2022 r. wprowadzaj\u261?ce znowelizowan\u261? tre\u347?\u263? Polityki Bezpiecze\u324?stwa Danych Osobowych w [...] Wojew\u243?dzkiej Komendzie Ochotniczych Hufc\u243?w Pracy ( [...]WK OHP), pismo z dnia [...] grudnia 2022 r., znak: [...], pismo z dnia [...] grudnia 2022 r. [...] oraz Instrukcj\u281? Zarz\u261?dzania Systemami Informatycznymi S\u322?u\u380?\u261?cymi do Przetwarzania Danych Osobowych w [...]WK OHP.
\par 
\par W uzasadnieniu skargi przedstawiono szczeg\u243?\u322?ow\u261? argumentacj\u281? na poparcie stawianych zarzut\u243?w oraz opisano okoliczno\u347?ci, na dow\u243?d kt\u243?rych z\u322?o\u380?ony zosta\u322? wniosek dowodowy.
\par 
\par W odpowiedzi na skarg\u281? organ wni\u243?s\u322? o jej oddalenie i podtrzyma\u322? swoje dotychczasowe stanowisko. Prezes UODO odni\u243?s\u322? si\u281? do zarzut\u243?w skargi i uzna\u322? je za pozbawione racji.
\par 
\par W pi\u347?mie procesowym z dnia 19 pa\u378?dziernika 2023 r. stanowi\u261?cym replik\u281? na odpowied\u378? na skarg\u281?, skar\u380?\u261?cy podtrzyma\u322? zarzuty i wnioski skargi. Ustosunkowa\u322? si\u281? do stanowiska organu.
\par 
\par Na rozprawie w dniu 4 kwietnia 2024 r. S\u261?d postanowi\u322? oddali\u322? wnioski dowodowe zawarte w skardze.
\par 
\par Wojew\u243?dzki S\u261?d Administracyjny w Warszawie zwa\u380?y\u322?, co nast\u281?puje:
\par 
\par Zgodnie z art. 1 \u167? 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju s\u261?d\u243?w administracyjnych (Dz. U. z 2021 r., poz. 137) w zw. z art. 3 \u167? 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o post\u281?powaniu przed s\u261?dami administracyjnymi (Dz. U. z 2023 r., poz. 1634 ze zm.- dalej: P.p.s.a.), s\u261?dy administracyjne sprawuj\u261? wymiar sprawiedliwo\u347?ci przez kontrol\u281? dzia\u322?alno\u347?ci administracji publicznej, przy czym kontrola ta sprawowana jest pod wzgl\u281?dem zgodno\u347?ci z prawem, je\u380?eli ustawy nie stanowi\u261? inaczej. W ramach owej kontroli s\u261?d administracyjny nie przejmuje sprawy administracyjnej do jej ko\u324?cowego za\u322?atwienia, lecz ocenia, nie b\u281?d\u261?c przy tym zwi\u261?zany granicami skargi, czy przy wydawaniu zaskar\u380?onego aktu nie naruszono regu\u322? post\u281?powania administracyjnego i czy prawid\u322?owo zastosowano prawo materialne.
\par 
\par Jednocze\u347?nie, stosownie do art. 134 \u167? 1 P.p.s.a. rozstrzygaj\u261?c dan\u261? spraw\u281? s\u261?d, co zasady, nie jest zwi\u261?zany zarzutami i wnioskami skargi, mo\u380?e zastosowa\u263? przewidziane ustaw\u261? \u347?rodki w celu usuni\u281?cia naruszenia prawa w stosunku do akt\u243?w
\par 
\par lub czynno\u347?ci wydanych lub podj\u281?tych we wszystkich post\u281?powaniach prowadzonych w granicach sprawy, kt\u243?rej dotyczy skarga, je\u380?eli jest to niezb\u281?dne dla ko\u324?cowego jej za\u322?atwienia (art. 135 P.p.s.a.).
\par 
\par Dokonuj\u261?c kontroli w ramach tak zakre\u347?lonej kognicji s\u261?d\u243?w administracyjnych, S\u261?d stwierdzi\u322?, \u380?e zaskar\u380?ona decyzja odpowiada prawu.
\par 
\par Zgodnie z zasad\u261? integralno\u347?ci i poufno\u347?ci przetwarzania danych osobowych (art. 5 ust. 1 lit. f RODO), dane osobowe musz\u261? by\u263? przetwarzane w spos\u243?b zapewniaj\u261?cy odpowiednie bezpiecze\u324?stwo danych osobowych, w tym ochron\u281? przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkow\u261? utrat\u261?, zniszczeniem lub uszkodzeniem, za pomoc\u261? odpowiednich \u347?rodk\u243?w technicznych lub organizacyjnych.
\par 
\par Art. 5 ust. 2 RODO stanowi, \u380?e administrator jest odpowiedzialny za przestrzeganie podstawowych zasad dotycz\u261?cych przestrzegania okre\u347?lonych w ust.1 tego artyku\u322?u i musi by\u263? w stanie wykaza\u263? ich przestrzeganie ("rozliczalno\u347?\u263?"). Trzeba podkre\u347?li\u263?, \u380?e z tego przepisu wynika domniemanie odpowiedzialno\u347?ci administratora za naruszenie tych zasad, jako \u380?e na nim spoczywa ci\u281?\u380?ar wykazania ich przestrzegania.
\par 
\par Administrator danych powinien zatem przeprowadzi\u263? analiz\u281? ryzyka i oceni\u263?, z jakimi zagro\u380?eniami ma do czynienia. Stosownie do art. 24 ust. 1 i art. 25 ust. 1 RODO, uwzgl\u281?dniaj\u261?c charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych o r\u243?\u380?nym prawdopodobie\u324?stwie i wadze, powinien wdro\u380?y\u263? odpowiednie \u347?rodki techniczne i organizacyjne, pozwalaj\u261?ce skutecznie zabezpieczy\u263? przetwarzane dane, aby przetwarzanie odbywa\u322?o si\u281? zgodnie z rozporz\u261?dzeniem i aby, a w razie sporu z osob\u261?, kt\u243?rej dane dotycz\u261?, albo z organem nadzorczym, m\u243?c przedstawi\u263? dowody na to, \u380?e przestrzega tych zasad i przepis\u243?w. Wed\u322?ug art. 32 ust. 1 RODO, uwzgl\u281?dniaj\u261?c stan wiedzy technicznej, koszt wdra\u380?ania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych o r\u243?\u380?nym prawdopodobie\u324?stwie wyst\u261?pienia i wadze, administrator wdra\u380?a odpowiednie \u347?rodki techniczne i organizacyjne, aby zapewni\u263? stopie\u324? bezpiecze\u324?stwa odpowiadaj\u261?cy temu ryzyku, w tym mi\u281?dzy innymi w stosownym przypadku zdolno\u347?\u263? do ci\u261?g\u322?ego zapewnienia poufno\u347?ci, integralno\u347?ci, dost\u281?pno\u347?ci i odporno\u347?ci system\u243?w i us\u322?ug przetwarzania (pkt b) oraz regularne testowanie, mierzenie i ocenianie skuteczno\u347?ci \u347?rodk\u243?w technicznych i organizacyjnych maj\u261?cych zapewni\u263? bezpiecze\u324?stwo przetwarzania (pkt d). Przepis ust. 2 art. 32 RODO stanowi, \u380?e oceniaj\u261?c czy stopie\u324? bezpiecze\u324?stwa jest odpowiedni, uwzgl\u281?dnia si\u281? w szczeg\u243?lno\u347?ci ryzyko wi\u261?\u380?\u261?ce si\u281? z przetwarzaniem, w szczeg\u243?lno\u347?ci wynikaj\u261?ce z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dost\u281?pu do danych osobowych przesy\u322?anych, przechowywanych lub w inny spos\u243?b przetwarzanych. Administrator danych osobowych jest odpowiedzialny tak\u380?e za to, aby inspektor ochrony danych monitorowa\u322? przestrzeganie przepis\u243?w dotycz\u261?cych przetwarzania danych osobowych oraz polityki administratora w dziedzinie ochrony danych osobowych, przeprowadza\u322? szkolenia personelu uczestnicz\u261?cego w operacjach przetwarzania oraz audyty, uwzgl\u281?dniaj\u261?c ryzyko zwi\u261?zane z operacjami przetwarzania (art. 39 ust. 1 lit. b i art. 39 ust. 2 RODO) oraz by\u322? w\u322?a\u347?ciwie i niezw\u322?ocznie w\u322?\u261?czany we wszystkie sprawy dotycz\u261?ce ochrony danych osobowych (art. 38 ust. 1 RODO).
\par 
\par W ocenie S\u261?du, zaskar\u380?ona decyzja odpowiada prawu. Prezes UODO w\u322?a\u347?ciwie stwierdzi\u322? naruszenie przez Komendanta przepis\u243?w art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO.
\par 
\par Ze zgromadzonej w sprawie dokumentacji, w szczeg\u243?lno\u347?ci z "Karty Oceny Ryzyka \u8211? przetwarzanie danych osobowych poza obszarem przetwarzania dla [...]WK OHP" wynika, \u380?e uwzgl\u281?dniono rodzaj operacji przetwarzania danych okre\u347?lony jako "Przetwarzanie danych osobowych poza obszarem przy wykorzystaniu no\u347?nika danych typu laptop/tablet/dysk zewn\u281?trzny (dane wykluczaj\u261?ce art. 9)". W ramach tego rodzaju przetwarzania - w cz\u281?\u347?ci "Karty oceny ryzyka" okre\u347?lonej jako "Ryzyko inherentne", zidentyfikowano zagro\u380?enia, w tym te, kt\u243?re okre\u347?lono jako "zagubienie/kradzie\u380? sprz\u281?tu przy braku uruchomionych <narz\u281?dzi> szyfruj\u261?cych" ustalono poziom ryzyka jako wysoki, jednocze\u347?nie wskazuj\u261?c, \u380?e: "Poziom ryzyka nieakceptowany - dzia\u322?anie mo\u380?e zosta\u263? przesuni\u281?te w czasie, wymaga sta\u322?ego monitorowania", a jako "Rekomendacje/Zalecenia/Mechanizmy kontrolne" wskaza\u322?: "zabezpieczenie wszystkich mobilnych urz\u261?dze\u324? systemami szyfruj\u261?cymi, np. BitLocker". Jak wyja\u347?nia\u322? sam skar\u380?\u261?cy wskazana analiza zosta\u322?a wykonana w okolicach po\u322?owy 2020 r.
\par 
\par Nie budzi w\u261?tpliwo\u347?ci, \u380?e s\u322?u\u380?bowe laptopy nale\u380?\u261?ce do skar\u380?\u261?cego, a konkretnie skradziony w dniu [...] maja 2022 r. laptop nie zosta\u322? zabezpieczony urz\u261?dzeniem szyfruj\u261?cym zgodnie z ww. rekomendacj\u261?. Laptop ten zabezpieczony zosta\u322? jedynie has\u322?em.
\par 
\par W tej sytuacji w pe\u322?ni uprawnione jest twierdzenie organu, \u380?e Komendant nie zastosowa\u322? odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych zapewniaj\u261?cych stopie\u324? bezpiecze\u324?stwa odpowiadaj\u261?cy ryzyku przetwarzania danych w przypadku wykonywania pracy przez pracownik\u243?w zatrudnionych w [...] Wojew\u243?dzkiej Komendzie Ochotniczych Hufc\u243?w Pracy w [...] z wykorzystaniem przeno\u347?nych komputer\u243?w s\u322?u\u380?bowych, w tym ochron\u281? przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkow\u261? utrat\u261?, zniszczeniem lub uszkodzeniem. Uzasadnione jest tak\u380?e stanowisko organu odno\u347?nie do braku regularnego testowania, mierzenia i oceniania skuteczno\u347?ci \u347?rodk\u243?w technicznych i organizacyjnych maj\u261?cych zapewni\u263? bezpiecze\u324?stwo przetwarzanych danych osobowych, w szczeg\u243?lno\u347?ci w zwi\u261?zku z wykorzystaniem przeno\u347?nych komputer\u243?w s\u322?u\u380?bowych. Skoro \u8211? jak twierdzi skar\u380?\u261?cy \u8211? analiza ryzyka wskazuj\u261?ca na wysoki poziom zagro\u380?enia w przypadku zagubienia/kradzie\u380?y sprz\u281?tu przy braku uruchomionych narz\u281?dzi szyfruj\u261?cych dokonana zosta\u322?a w po\u322?owie 2020 r., a kradzie\u380? laptopa mia\u322?a miejsce w maju 2022 r. \u8211? to z pewno\u347?ci\u261? nie mo\u380?na m\u243?wi\u263? o regularno\u347?ci ww. dzia\u322?a\u324? ze strony administratora. Od 2020 do 2022 r. administrator nie podj\u261?\u322? dzia\u322?a\u324?, kt\u243?re rekomendowane by\u322?y w ocenie ryzyka dla jego zmniejszenia. Co wi\u281?cej administrator mia\u322? \u347?wiadomo\u347?ci ryzyka, a mimo to okre\u347?lonych mechanizm\u243?w zabezpieczaj\u261?cych nie wdro\u380?y\u322?.
\par 
\par Oceny tej nie mo\u380?e zmieni\u263? stanowisko skar\u380?\u261?cego, \u380?e has\u322?o na laptopie s\u322?u\u380?bowym by\u322?o unikalne, a samoch\u243?d s\u322?u\u380?bowy, kt\u243?rym porusza\u322? si\u281? Komendant mia\u322? autoalarm. Na administratorze danych osobowych ci\u261?\u380?\u261? okre\u347?lone obowi\u261?zki. Skoro sam administrator dokona\u322? oceny ryzyka w okre\u347?lonej sytuacji, przedstawi\u322? rekomendacje dla zmniejszenia tego ryzyka, a nast\u281?pnie ich nie wdro\u380?y\u322? przez okre\u347?lony, do\u347?\u263? d\u322?ugi czas, to w\u322?a\u347?ciwe jest twierdzenie organu o naruszeniu wskazywanych przepis\u243?w RODO.
\par 
\par Skar\u380?\u261?cy w skardze podnosi, \u380?e sankcji administracyjnej za naruszenie obowi\u261?zk\u243?w wskazanych w art. 32 RODO \u8211? karze, nie podlega jednostka za nielegalne dzia\u322?anie osoby trzeciej (np. hakera), polegaj\u261?ce na nieuprawnionym dost\u281?pie do danych przeze\u324? przetwarzanych, a za dopuszczenie do tego dost\u281?pu w zwi\u261?zku z nieodpowiednim poziomem stosowanych zabezpiecze\u324?. Co istotne, zdaniem skar\u380?\u261?cego, w tej sprawie laptop zosta\u322? skradziony ze s\u322?u\u380?bowego auta i jest to okoliczno\u347?\u263? nie do unikni\u281?cia nawet przy dochowaniu najwy\u380?szych standard\u243?w zabezpiecze\u324?. Samoch\u243?d posiada\u322? autoalarm wi\u281?c jest to dodatkowe zabezpieczenie mienia. Laptop posiada\u322? has\u322?o do konta u\u380?ytkownika i sk\u322?ada\u322?o si\u281? ono z o\u347?miu znak\u243?w, jednej du\u380?ej litery, cyfry oraz znaku specjalnego. Skar\u380?\u261?cy by\u322? w posiadaniu laptopa z uwagi w\u322?a\u347?nie na zmniejszone ryzyko jego utraty dlatego do cel\u243?w s\u322?u\u380?bowych nie u\u380?ywa telefonu kom\u243?rkowego, kt\u243?ry potencjalnie mo\u380?e ulec szybszej kradzie\u380?y z uwagi na ma\u322?y rozmiar. Skar\u380?\u261?cy zdaje si\u281? nie dostrzega\u263?, \u380?e na\u322?o\u380?ona na niego kara dotyczy w\u322?a\u347?nie braku wdro\u380?enia odpowiednich \u347?rodk\u243?w zabezpieczaj\u261?cych, kt\u243?re udaremni\u322?yby b\u261?d\u378? co najmniej zminimalizowa\u322?y ryzyko uzyskania danych osobowych przez osoby trzecie (tu: z\u322?odzieja). Oczywistym jest, i\u380? w tej sprawie mamy do czynienia z sytuacj\u261? nadzwyczajn\u261?, nag\u322?\u261?, nieoczekiwan\u261?, tj. kradzie\u380?\u261?. Jednak w sytuacji, gdy laptop zabezpieczony zosta\u322?by zgodnie z rekomendacjami przedstawionymi w Karcie Oceny Ryzyka z po\u322?owy maja 2020 r., sytuacja przedstawia\u322?aby si\u281? zupe\u322?nie inaczej. Tymczasem skradziony zosta\u322? niezabezpieczony w rekomendowany spos\u243?b komputer przeno\u347?ny - laptop pracownika [...] Wojew\u243?dzkiej Komendy Ochotniczych Hufc\u243?w Pracy w [...] wykorzystywany na potrzeby \u347?wiadczenia pracy, na kt\u243?rym znajdowa\u322?y si\u281? dokumenty zawieraj\u261?ce dane osobowe, kt\u243?re ten pracownik wykorzystywa\u322? w celach s\u322?u\u380?bowych. Skar\u380?\u261?cy dokonuje oceny zaistnia\u322?ej sytuacji w oderwaniu od dokonanej przez niego jako administratora oceny ryzyka, co w okoliczno\u347?ciach tej sprawy doprowadzi\u322?o do wadliwej wyk\u322?adni art. 32 ust. 1 RODO ("odpowiednie" \u347?rodki techniczne i organizacyjne). Natomiast zupe\u322?nie niezrozumia\u322?e w realiach tej sprawy s\u261? argumenty skar\u380?\u261?cego odnosz\u261?ce si\u281? do zabezpiecze\u324? samochodu s\u322?u\u380?bowego. Te kwestie s\u261? poza przedmiotem tej sprawy i tego rodzaju argumentacja nie mo\u380?e odnie\u347?\u263? zamierzonego skutku.
\par 
\par Dalej nale\u380?y wskaza\u263?, \u380?e w cz\u281?\u347?ci "Karty oceny ryzyka" okre\u347?lonej jako "Ryzyko rezydualne (po uwzgl\u281?dnieniu mechanizm\u243?w kontrolnych)" administrator zidentyfikowa\u322?, to\u380?same z powy\u380?ej opisanymi, rodzaje przetwarzania danych i zagro\u380?enia, z t\u261? r\u243?\u380?nic\u261?, \u380?e - w przypadku kluczowych z punktu widzenia przedmiotowej sprawy zagro\u380?e\u324?, tj. zagubienie/kradzie\u380? sprz\u281?tu przy braku uruchomionych narz\u281?dzi szyfruj\u261?cych - administrator dokona\u322? korekty poziomu ryzyka wskazuj\u261?c, \u380?e jest on niskie, a poziom tego ryzyka jest akceptowalny. Nie wiadomo przy tym kiedy administrator dokona\u322? ww. analiz\u281?. Zgodzi\u263? trzeba si\u281? z Prezesem UODO, \u380?e przedstawiona analiza ryzyka nie wskazuje na przyczyny mitygacji - kluczowego w niniejszej sprawie - ryzyka, tzn. z przed\u322?o\u380?onej analizy wynika, \u380?e administrator obni\u380?y\u322? ryzyko wyst\u261?pienia zagro\u380?enia, jakim jest "zagubienie/kradzie\u380? sprz\u281?tu przy braku uruchomionych narz\u281?dzi szyfruj\u261?cych" wskazuj\u261?c, \u380?e ryzyko jest akceptowalne podczas gdy - zgodnie z poprzedni\u261? wersj\u261? analizy ryzyka - by\u322?o ono nieakceptowalne. Prezentowana przez skar\u380?\u261?cego w toku post\u281?powania dokumentacja jest niezrozumia\u322?a i nie doprowadzi\u322?a do uznania, \u380?e administrator wykaza\u322?, zgodnie z zasad\u261? rozliczalno\u347?ci (art. 5 ust. 2 RODO), \u380?e analiza zosta\u322?a przeprowadzona w\u322?a\u347?ciwie, tzn. stanowi ona odpowiednie narz\u281?dzie dla skutecznego wdro\u380?enia, a nast\u281?pnie monitorowania \u347?rodk\u243?w gwarantuj\u261?cych bezpiecze\u324?stwo w procesie przetwarzania danych osobowych. Skar\u380?\u261?cy przedstawi\u322? wiele r\u243?\u380?nych dokument\u243?w jednak\u380?e nie odpowiedzia\u322? na kluczowe dla sprawy kwestie, co organ w\u322?a\u347?ciwie wypunktowa\u322? w uzasadnieniu zaskar\u380?onej decyzji.
\par 
\par Skar\u380?\u261?cy zar\u243?wno w wyja\u347?nieniach przed organem, jak i w skardze zaprezentowa\u322? dokumentacj\u281? i dzia\u322?ania jakie podj\u261?\u322? ju\u380? po wyst\u261?pieniu naruszenia (m. in. zainstalowanie na komputerach przeno\u347?nych urz\u261?dze\u324? szyfruj\u261?cych Bitlocker) jednak\u380?e nie zmienia to oceny dokonania samych narusze\u324?. Generalnie stwierdzi\u263? nale\u380?y, i\u380? wdro\u380?enie \u347?rodk\u243?w technicznych s\u322?u\u380?\u261?cych ochronie przetwarzania danych osobowych zas\u322?uguje na aprobat\u281?. Nie mo\u380?na jednak pomin\u261?\u263?, \u380?e wezwania Prezesa UODO w pismach z dnia 1 lipca 2022 r., a w szczeg\u243?lno\u347?ci z dnia 21 marca 2023 r. by\u322?y precyzyjne, a skar\u380?\u261?cy nie odpowiedzia\u322? w spos\u243?b umo\u380?liwiaj\u261?cy jezdnoznaczne ustalenie kluczowych dla sprawy kwestii. Przy czym wszelkie w\u261?tpliwo\u347?ci nie mog\u322?y \u8211? jak chcia\u322? tego skar\u380?\u261?cy \u8211? zosta\u263? uwzgl\u281?dnione w tym przypadku na jego korzy\u347?\u263?. Na administratorze danych osobowych ci\u261?\u380?\u261? bowiem okre\u347?lone prawnie obowi\u261?zki, a brak ich spe\u322?nienia skutkuje okre\u347?lonymi sankcjami. W przypadku, gdy administrator nie jest w stanie wykaza\u263? ich spe\u322?nienia, Prezes UODO nie mo\u380?e wszelkich w\u261?tpliwo\u347?ci uwzgl\u281?dni\u263? na korzy\u347?\u263? administratora. Organ przeanalizowa\u322? nades\u322?an\u261? przy pi\u347?mie z dnia 14 lipca 2022 r. przez skar\u380?\u261?cego dokumentacj\u281? i doszed\u322? do wniosku, \u380?e materia\u322? dowodowy nale\u380?y uzupe\u322?ni\u263? (pismo z dnia 21 marca 2023 r.). W takim dzia\u322?aniu organu S\u261?d nie dopatrzy\u322? si\u281? uchybie\u324?. Organ d\u261?\u380?y\u322? do ustalenia \u8211? jak wyrazi\u322? si\u281? skar\u380?\u261?cy \u8211? "rzeczywistego stanu faktycznego" ale to aktywno\u347?\u263? skar\u380?\u261?cego by\u322?a w tym post\u281?powaniu decyduj\u261?ca. W tym kontek\u347?cie nale\u380?y wskaza\u263?, \u380?e sam skar\u380?\u261?cy w toku post\u281?powania raz wskazywa\u322?, i\u380? naruszenie danych osobowych dotyczy\u322?o dw\u243?ch os\u243?b, a i innym razem, \u380?e trzech os\u243?b. R\u243?wnie\u380? i w tym zakresie organ wzywa\u322? skar\u380?\u261?cego do jednoznacznego stanowiska (pismo z dnia 10 maja 2022 r.) i pismem z dnia 17 maja 2022 r. skar\u380?\u261?cy okre\u347?li\u322?, i\u380? zawiadomienie dotyczy trzech os\u243?b. Trudno zatem obecnie skutecznie zarzuci\u263? organowi, i\u380? t\u281? kwesti\u281? niew\u322?a\u347?ciwe ustali\u322? skoro opar\u322? si\u281? na twierdzeniach administratora. Zauwa\u380?y\u263? te\u380? zale\u380?y, i\u380? aby uchybienie organu mog\u322?o skutkowa\u263? wyeliminowaniem rozstrzygni\u281?cia z obrotu prawnego, to uchybienie to musi mie\u263? wp\u322?yw na wynik sprawy. Wskazana okoliczno\u347?\u263? takiej cechy, w ocenie S\u261?du, nie posiada, a i skar\u380?\u261?cy nie wykaza\u322?, \u380?e gdyby zawiadomienie dotyczy\u322?o dw\u243?ch os\u243?b to rozstrzygni\u281?cie organu by\u322?oby inne.
\par 
\par Odnosz\u261?c si\u281? do kwestii wysoko\u347?ci kary przypomnie\u263? trzeba, \u380?e zgodnie z art. 58 ust. 2 lit. i RODO, ka\u380?demu organowi nadzorczemu przys\u322?uguje uprawnienie do zastosowania, opr\u243?cz lub zamiast innych \u347?rodk\u243?w naprawczych przewidzianych w art. 58 ust. 2 RODO, administracyjnej kary pieni\u281?\u380?nej na mocy art. 83, zale\u380?nie od okoliczno\u347?ci konkretnej sprawy.
\par 
\par Jak wynika z uzasadnienia zaskar\u380?onej decyzji, Prezes UODO szczeg\u243?\u322?owo wyja\u347?ni\u322? powody na\u322?o\u380?enia na skar\u380?\u261?cego kary pieni\u281?\u380?nej w wysoko\u347?ci 15 000 z\u322?otych w oparciu o art. 83 ust. 4 lit. a RODO (za naruszenie art. 25 ust. 1 i art. 32 ust. 1 i 2 RODO) oraz art. 83 ust. 5 lit. a RODO (za naruszenie art. 5 ust. 1 lit. f i art. 5 ust. 2 RODO).
\par 
\par Stosownie do tre\u347?ci art. 83 ust. 2 RODO, administracyjne kary pieni\u281?\u380?ne nak\u322?ada si\u281?, zale\u380?nie od okoliczno\u347?ci ka\u380?dego indywidualnego przypadku, opr\u243?cz lub zamiast \u347?rodk\u243?w, o kt\u243?rych mowa w art. 58 ust. 2 lit. a \u8211? h oraz lit. j.
\par 
\par Decyduj\u261?c o na\u322?o\u380?eniu na skar\u380?\u261?cego administracyjnej kary pieni\u281?\u380?nej w ww. wysoko\u347?ci, Prezes UODO \u8211? stosownie do tre\u347?ci art. 83 ust. 2 lit. a \u8211? k RODO \u8211? wzi\u261?\u322? pod uwag\u281? nast\u281?puj\u261?ce okoliczno\u347?ci sprawy, stanowi\u261?ce o konieczno\u347?ci zastosowania w niniejszej sprawie tego rodzaju sankcji, a mianowicie:
\par 
\par 1. Charakter, wag\u281? i czas trwania naruszenia przy uwzgl\u281?dnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych os\u243?b, kt\u243?rych dane dotycz\u261?, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a RODO);
\par 
\par 2. Nieumy\u347?lny charakter naruszenia (art. 83 ust. 2 lit. b RODO);
\par 
\par 3. Kategorie danych osobowych, kt\u243?rych dotyczy\u322?o naruszenie (art. 83 ust. 2 lit. g RODO);
\par 
\par 4. Stopie\u324? wsp\u243?\u322?pracy z organem nadzorczym w celu usuni\u281?cia naruszenia oraz z\u322?agodzenia jego ewentualnych negatywnych skutk\u243?w (art. 83 ust. 2 lit. f RODO);
\par 
\par Prezes UODO podni\u243?s\u322?, \u380?e ustalaj\u261?c wysoko\u347?\u263? administracyjnej kary pieni\u281?\u380?nej, nie stwierdzi\u322? okoliczno\u347?ci \u322?agodz\u261?cych, maj\u261?c\u261? wp\u322?yw na obni\u380?enie wysoko\u347?ci wymierzonej kary. Natomiast inne, wskazane przez organ okoliczno\u347?ci, o kt\u243?rych mowa w art. 83 ust. 2 RODO, po dokonaniu oceny ich wp\u322?ywu na stwierdzone w niniejszej sprawie naruszenie, zosta\u322?y przez Prezesa UODO uznane za neutralne, to znaczy nie maj\u261?ce ani obci\u261?\u380?aj\u261?cego ani \u322?agodz\u261?cego wp\u322?ywu na wymiar orzeczonej administracyjnej kary pieni\u281?\u380?nej.
\par 
\par W ocenie S\u261?du, organ w spos\u243?b wyczerpuj\u261?cy wywa\u380?y\u322? dyrektywy zasadno\u347?ci na\u322?o\u380?enia oraz wysoko\u347?ci administracyjnej kary pieni\u281?\u380?nej w analizowanym przypadku. Szczeg\u243?\u322?owo uzasadni\u322? swoje stanowisko odnosz\u261?c si\u281? do poszczeg\u243?lnych ww. kwestii. Brak jest, zdaniem S\u261?du, podstaw do uznania, \u380?e kara ta jest ra\u380?\u261?co wyg\u243?rowana i nieadekwatna do stopnia przewinienia. Stanowisko Prezesa UODO w tym zakresie zosta\u322?o uzasadnione w spos\u243?b wyczerpuj\u261?cy, jest jasne i uzasadnione okoliczno\u347?ciami rozpoznawanej sprawy. Zastosowana przez organ administracyjna kara pieni\u281?\u380?na spe\u322?nia, w ustalonych okoliczno\u347?ciach rozpatrywanej sprawy, funkcje, o kt\u243?rych mowa w art. 83 ust. 1 RODO, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszaj\u261?ca. Skar\u380?\u261?cy jak twierdzi, podj\u261?\u322? prace nad wprowadzeniem \u347?rodk\u243?w technicznych i zabezpieczaj\u261?cych (kilka dni po wykryciu naruszenia) tym niemniej organ m\u243?wi\u261?c o "skuteczno\u347?ci" kary odni\u243?s\u322? j\u261? do gwarancji stosowania prawa przez administratora na przysz\u322?o\u347?\u263? tj. od momentu zako\u324?czenia post\u281?powania administracyjnego. S\u261?d nie dopatrzy\u322? si\u281? przy tym naruszenia zasady r\u243?wno\u347?ci okre\u347?lonej w art. 32 ust. 1 Konstytucji. Zawarta w art. 32 ust. 1 Konstytucji RP zasada r\u243?wno\u347?ci wobec prawa w znaczeniu formalnym oznacza konieczno\u347?\u263? takiego samego traktowania przez prawo wszystkich adresat\u243?w norm, bez wprowadzania jakiegokolwiek r\u243?\u380?nicowania. W orzecznictwie Trybuna\u322?u Konstytucyjnego przyjmuje si\u281?, \u380?e zasada r\u243?wno\u347?ci "polega na tym, \u380?e wszystkie podmioty prawa (adresaci norm prawnych) charakteryzuj\u261?ce si\u281? dan\u261? cech\u261? istotn\u261? (relewantn\u261?) w r\u243?wnym stopniu, maj\u261? by\u263? traktowane r\u243?wno, a wi\u281?c wed\u322?ug jednakowej miary, bez zr\u243?\u380?nicowa\u324? zar\u243?wno dyskryminuj\u261?cych jak i faworyzuj\u261?cych" (wyrok TK z 9 marca 1988 r., U 7/87, OTK 1988, nr 1, poz. 1). Prezes UODO rozwa\u380?y\u322? przy wymiarze kary wszystkie aspekty rozpoznawanej sprawy i w spos\u243?b zindywidualizowany przedstawi\u322? motywy podj\u281?tego rozstrzygni\u281?cia. Subiektywna, odmienna ocena skar\u380?\u261?cego na tle innych spraw z zakresu przetwarzania danych osobowych, nie oznacza naruszenia omawianej zasady r\u243?wno\u347?ci. Jedynie marginalnie nale\u380?y wyja\u347?ni\u263?, \u380?e miarkowanie kary jest wieloaspektowe i nie ogranicza si\u281? jedynie do ustalenia ilo\u347?ci os\u243?b, kt\u243?rych naruszenie przetwarzania danych osobowych dotyczy\u322?o.
\par 
\par Z tych wszystkich wzgl\u281?d\u243?w S\u261?d uzna\u322?, \u380?e zaskar\u380?ona decyzja odpowiada prawu. S\u261?d nie dopatrzy\u322? si\u281? \u380?adnego naruszenia przepis\u243?w prawa materialnego w stopniu maj\u261?cym wp\u322?yw na wynik sprawy, b\u261?d\u378? przepisu post\u281?powania w stopniu mog\u261?cym mie\u263? istotny wp\u322?yw na rozstrzygni\u281?cie, albo te\u380? przepisu prawa daj\u261?cego podstaw\u281? do wznowienia post\u281?powania lub stwierdzenia niewa\u380?no\u347?ci.
\par 
\par Skoro zatem wszystkie podniesione przez skar\u380?\u261?cego zarzuty okaza\u322?y si\u281? chybione oraz brak jest podstaw do uznania, \u380?e organ dopu\u347?ci\u322? si\u281? narusze\u324? prawa, kt\u243?re mog\u322?yby stanowi\u263? o uchyleniu albo stwierdzeniu niewa\u380?no\u347?ci zaskar\u380?onej decyzji, Wojew\u243?dzki S\u261?d Administracyjny w Warszawie, na podstawie art. 151 P.p.s.a. orzek\u322? jak w sentencji.
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\pard}