Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Danuta Kania, Sędzia WSA Sławomir Fularski spr.), Asesor WSA Dorota Kozub-Marciniak, Protokolant starszy specjalista Elwira Sipak po rozpoznaniu na rozprawie w dniu 27 listopada 2024 r. sprawy ze skargi [...] Sp. z o.o. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] listopada 2023 r. nr [...] w przedmiocie naruszenia przepisów o ochronie danych osobowych oddala skargę

Decyzją z [...] listopada 2023 r. nr [...] Prezes Urzędu Ochrony Danych Osobowych (dalej: "Prezes UODO" lub "organ") działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023 r. poz. 775, ze zm., dalej jako "k.p.a.") w związku z art. 7, art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781, dalej jako "u.o.d.o."), art. 57 ust. 1 lit. a) i h) oraz art. 58 ust. 2 lit. i), a także art. 83 ust. 1 - 2 i art. 83 ust. 4 lit. a) w związku z art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie

o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127

z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej "rozporządzeniem 2016/679" lub "RODO", po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych, stwierdził naruszenie przez [...] Sp. z o.o. z siedzibą w [...] (dalej także jako "skarżąca", "strona" lub "Spółka") przepisów art. 32 ust. 1 i 2 rozporządzenia 2016/679, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych, w tym zapewniających zdolność do ciągłego zapewnienia dostępności i odporności systemów i usług przetwarzania oraz zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, przy uwzględnieniu ryzyka wiążącego się z przetwarzaniem wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia lub utraty danych osobowych przechowywanych lub w inny sposób przetwarzanych w systemie informatycznym CRM i przechowywanych na serwerach, który uległ zniszczeniu i nałożył na Spółkę administracyjną karę pieniężną w kwocie 117 900 zł.

W uzasadnieniu organ wskazał, że skarżąca, prowadząca działalność gospodarczą polegającą na pośredniczeniu w świadczeniu usług medycznych, [...] marca 2021 r. dokonała zgłoszenia Prezesowi UODO dotyczącego naruszenia ochrony danych osobowych polegającego na zniszczeniu serwerowni w wyniku pożaru, czym został naruszony atrybut dostępności danych osobowych, których administratorem była Spółka. W związku z przesłaniem zgłoszenia naruszenia ochrony danych osobowych pismem z [...] lutego 2022 r. Prezes UODO zwrócił się do Spółki o udzielenie wyjaśnień

i przesłanie dowodów na ich potwierdzenie m.in. w zakresie:

- czy Spółka dysponowała kopią zapasową danych zlokalizowanych w serwerowni, która uległa zniszczeniu na skutek pożaru, a jeżeli tak, to czy odzyskano utracone dane i w jakim zakresie;

- czy przed wystąpieniem naruszenia Spółka posiadała opracowaną i wdrożoną procedurę tworzenia oraz testowania kopii zapasowych systemów objętych naruszeniem; jeśli tak, to proszę przedłożyć kopię tej procedury ze wskazaniem częstotliwości tworzenia kopii zapasowych oraz daty wykonania ostatniej kopii zapasowej poprzedzającej zgłaszane naruszenie;

- czy Spółka dokonała analizy ryzyka i wpływu braku dostępności do danych przetwarzanych przy użyciu systemów informatycznych objętych naruszeniem na prawa lub wolności osób, których dane dotyczą.

W odpowiedzi Spółka pismem z [...] marca 2022 r. udzieliła wyjaśnień informując, że nie dysponowała kopią zapasową danych zlokalizowanych w serwerowni, która uległa zniszczeniu na skutek pożaru; przed wystąpieniem naruszenia ochrony danych osobowych nie posiadała opracowanej i wdrożonej procedury tworzenia oraz testowania kopii zapasowych systemów objętych naruszeniem; dokonała zaś analizy ryzyka, na dowód czego, jako załącznik do ww. pisma, przedstawiła "Analizę ryzyka dla zasobów przetwarzających dane osobowe" z [...] grudnia 2020 r.

Organ stwierdził, że przedstawiona przez Spółkę "analiza ryzyka" nie stanowiła jednak analizy ryzyka i wpływu braku dostępności do danych przetwarzanych przy użyciu systemów informatycznych objętych naruszeniem na prawa lub wolności osób, których dane dotyczą, o przedstawienie której Prezes UODO zwrócił się do Spółki.

W związku ze złożonymi przez Spółkę wyjaśnieniami w dniu [...] marca 2022 r. organ wszczął postępowanie administracyjne w zakresie możliwości naruszenia przez skarżącą, jako administratora danych, obowiązków wynikających z art. 32 ust. 1 i 2 rozporządzenia 2016/679, w związku z naruszeniem ochrony danych osobowych zgłoszonym Prezesowi UODO.

W odpowiedzi na wszczęcie postępowania administracyjnego, pismem z [...] marca 2022 r. Spółka wniosła o przeprowadzenie dowodu z dokumentów, tj. "Polityki ochrony danych osobowych w [...] Sp. z o.o. z siedzibą w [...]" - na fakt opracowania, wdrożenia i przestrzegania stosownych procedur ochrony danych osobowych oraz "Umowy powierzenia przetwarzania danych osobowych w spółce [...]" - na fakt powierzenia przetwarzania danych osobowych [...] Sp. z o.o. Ponadto, pismem z [...] marca 2022 r. Spółka wniosła o umorzenie postępowania jako bezprzedmiotowego w całości, wyjaśniając, że zdarzenie miało wyłącznie charakter incydentu ze względu na brak ryzyka naruszenia praw lub wolności osób fizycznych oraz informując, że na podstawie uzyskanych informacji przez [...], dane osobowe zapisane na serwerach, które uległy spaleniu na skutek pożaru, zostały utracone bezpowrotnie, toteż wykluczona jest możliwość ich bezprawnego wykorzystania.

W toku postępowania przeprowadzonego w niniejszej sprawie Prezes UODO pismami z: [...] czerwca 2022 r., [...] listopada 2022 r., [...] grudnia 2022 r. oraz [...] września 2023 r. wezwał Spółkę do złożenia wyjaśnień i przedstawienia dowodów na ich potwierdzenie. Następnie pismem z [...] listopada 2023 r., poinformował Spółkę

o zgromadzeniu materiału dowodowego wystarczającego do wydania decyzji administracyjnej w przedmiotowej sprawie oraz o prawie do wypowiedzenia się co do zebranych w toku postępowania dowodów i materiałów oraz zgłoszonych żądań. Ponadto poinformował, że strona jest uprawniona do przeglądania akt sprawy oraz sporządzania z nich notatek, kopii lub odpisów. Strona skorzystała z powyższych uprawnień dokonując przeglądu akt w dniu [...] listopada 2023 r. oraz pismem z [...] listopada 2023 r. przedstawiła swoje stanowisko, w którym powtórzyła argumentację przedstawioną w toku prowadzonego postępowania wyjaśniającego.

Na podstawie wyjaśnień i dowodów na ich potwierdzenie złożonych przez Spółkę, jak również na podstawie zgłoszenia naruszenia ochrony danych osobowych dokonanego przez skarżącą, organ ustalił, że [...] marca 2021 r. w siedzibie [...][...]w [...] doszło do pożaru serwerów, w skutek czego Spółka utraciła dostęp do systemu informatycznego o nazwie CRM, służącego do zarządzania kontaktami z klientami i wykorzystywanego do przetwarzania danych osobowych (brak możliwości korzystania z systemu oraz brak dostępu do danych osobowych) oraz utraciła dokumenty z danymi, w tym faktury oraz skierowania na medycynę pracy pracowników podmiotów, które współpracowały ze Spółką, zapisane w tym systemie. Serwery uległy całkowitemu zniszczeniu, bez możliwości przywrócenia utraconych danych. Przybliżona liczba osób, których mogło dotyczyć naruszenie, została oszacowana przez Spółkę na około 14 000 osób; kategoria osób wskazana przez Spółkę to użytkownicy systemu CRM oraz pacjenci, jak również kategoria wskazana jako "nowi użytkownicy oraz dotychczasowi, z przedziału od [...].03.2020 do [...].03.2021 - osoby rejestrujące się w systemie CRM", a zakres danych osobowych, który uległ naruszeniu, to: nazwiska, imiona, adresy zamieszkania lub pobytu, numery ewidencyjne PESEL, adresy e-mail oraz numery telefonów. Spółka charakter naruszenia ochrony danych osobowych odniosła do naruszenia dostępności danych, gdzie została przedstawiona informacja o następującej treści "brak możliwości wykorzystania danych na żądanie, w założonym czasie przez osobę do tego uprawnioną". Natomiast jako możliwe konsekwencje naruszenia ochrony danych osobowych dla osób, których dane dotyczą, wskazała utratę kontroli nad własnymi danymi osobowymi. Ponadto, [...] marca 2021 r. zawiadomiła indywidulanie (w formie elektronicznej) oraz w formie komunikatu dostępnego na stronie internetowej o naruszeniu ochrony danych osobowych osoby, których naruszenie dotyczy, w liczbie około 14 000 osób.

Organ ustalił, że Spółka w dniu [...] maja 2018 r. zawarła z [...] Sp. z o.o. umowę powierzenia przetwarzania danych osobowych. Przedmiotem umowy było przechowanie danych osobowych na serwerach, które uległy spaleniu. Na podstawie umowy, skarżąca była odpowiedzialna m.in. za tworzenie kopii zapasowych niezbędnych do zabezpieczenia danych osobowych, w szczególności przed zakończeniem lub wygaśnięciem usług i przed przystąpieniem do operacji usunięcia, aktualizacji lub przeinstalowania usługi. [...] listopada 2010 r. Spółka zawarła z [...] S.A. z siedzibą w [...] (dalej także jako: "[...]") "Umowę na świadczenie usług medycznych". Na podstawie powyższej umowy, skarżąca zlecała [...] realizację świadczenia usług medycznych na rzecz swoich klientów (osób, których dane dotyczą), którym zaoferowała abonamentową opiekę medyczną. [...] w celu realizacji usługi medycznej otrzymywał od Spółki do 25 dnia każdego miesiąca aktualizację - wykaz klientów (osób, których dane dotyczą) uprawnionych do korzystania z usług medycznych, w ramach wybranych pakietów. W dniu [...] marca 2021 r., a więc w dniu poprzedzającym wystąpienie naruszenia ochrony danych osobowych, Spółka dokonała zgłoszenia aktualizacji listy klientów (osób, których dane dotyczą) do [...]. Pomimo okoliczności utracenia danych znajdujących się na serwerze, Spółka dysponuje danymi na koncie bankowym oraz na skrzynkach poczty e-mail. W przypadku jakichkolwiek wątpliwości możliwe było sprawdzenie i zweryfikowanie kto opłacił daną usługę. Dodatkowo skarżąca posiadała bazy klientów na skrzynkach poczty e-mail, z uwagi na fakt, że co miesiąc do [...] przesyłana była aktualna lista klientów. Spółka na serwerach, które uległy spaleniu, gromadziła i przetwarzała dane osobowe osób, których dane dotyczą, w celu zawarcia i realizacji umowy pomiędzy skarżącą a osobą, której dane dotyczą oraz operatorem medycznym [...], polegającej na świadczeniu usług medycznych tym osobom. Spółka przynajmniej za pomocą systemu CRM przekazywała od pracodawcy do [...] skierowania na medycynę pracy pracowników będących osobami, których danych osobowych naruszenie dotyczy oraz przekazywała [...] aktualizację listy klientów. Podstawa prawna przetwarzania danych w tym celu została wskazana przez Spółkę, jako art. 6 ust. 1 lit b) rozporządzenia 2016/679, a okres retencji danych wskazany "do zakończenia umowy oraz jej rozliczenia z klientem". Ponadto, Spółka przetwarzała dane osobowe osób, których naruszenie dotyczy poprzez ich przechowanie na serwerze, który uległ spaleniu, w celu archiwizacji dokumentów realizując swój obowiązek prawny. Podstawa prawna takiego przetwarzania została wskazana przez Spółkę jako art. 6 ust. 1 lit. c) rozporządzenia 2016/679 w związku z obowiązkiem przechowania danych z art. 86 § 1 ustawy z dnia 29 sierpnia 1997 r. Ordynacja podatkowa oraz art. 74 ustawy z 29 września 1994 r. o rachunkowości. Natomiast okres retencji został wskazany przez administratora na "5 lat licząc od pierwszego stycznia roku następnego po tym, w którym zakończyła się umowa". Liczba osób objętych naruszeniem to około 14 000 osób określonych zbiorczo jako użytkownicy systemu CRM, w tym około 500 osób, to osoby, których dokumenty z danymi - w tym faktury oraz "skierowania na medycynę pracy pracowników firm, które współpracują z [...]" uległy zniszczeniu.

Prezes UODO nie uznał wiarygodności wyjaśnień Spółki z pisma z [...] stycznia 2023 r. i nie nadał im mocy dowodowej, że "liczba osób objętych naruszeniem to nie 1400 a około 500, co stwierdziliśmy na podstawie danych z kont bankowych

i wiadomości e-mail", uznając je nie tylko jako niewynikające ze zgromadzonego materiału dowodowego, ale również jako z nim sprzeczne. W ocenie organu powyższe wyjaśnienia nie korespondują z pozostałymi wyjaśnieniami Spółki dotyczącymi liczby osób objętych naruszeniem ochrony danych osobowych. Podkreślił przy tym, że Spółka uchylała się od udzielenia konkretnych odpowiedzi zmierzających do ustalenia liczby

i kategorii osób objętych naruszeniem. Zauważył, że Spółka w formularzu zgłoszenia naruszenia ochrony danych osobowych poinformowała Prezesa UODO, że naruszenie ochrony danych osobowych dotyczy około 14 000 osób. Organ nie miał więc podstaw do odmówienia wiarygodności informacjom zawartym w ww. formularzu, ponieważ

w przeciwieństwie do późniejszych wyjaśnień Spółki były logiczne, nawzajem się uzupełniały i uwzględniały zasady doświadczenia życiowego. Równocześnie Spółka

w formularzu zgłoszenia naruszenia ochrony danych osobowych poinformowała, że

o naruszeniu ochrony danych osobowych zawiadomiła 14 000 osób, na dowód czego przedstawiła treść tego zawiadomienia. Z treści zawiadomienia korespondującej

z treścią formularza zgłoszenia naruszenia ochrony danych osobowych wynika, że Spółka zawiadomiła wszystkich użytkowników. Jak zaś wynika z pisma z [...] listopada 2022 r. liczba 500 osób objętych naruszeniem dotyczyła wyłącznie jednej kategorii osób, tj. osób oznaczonych w zawiadomieniu o naruszeniu ochrony danych osobowych jako osoby, których dokumenty z danymi, w tym faktury oraz skierowania na medycynę pracy pracowników firm, które współpracują ze skarżącą, uległy zniszczeniu. Tym samym Spółka błędnie odniosła tą liczbę osób do wszystkich kategorii osób objętych naruszeniem. Nie ma zatem wątpliwości, że w związku ze zniszczeniem serwerów

i bezpowrotną utratą bazy danych, w tym danych osobowych, i systemu CRM, Spółka utraciła dane osobowe wszystkich użytkowników, a nie tylko poszczególnych kategorii osób, tj. dane około 14 000 osób, co jest zgodne z liczbą osób wskazaną w zgłoszeniu naruszenia ochrony danych osobowych.

Organ wskazał, że Spółka nie dysponowała kopią zapasową danych zlokalizowanych w serwerowni, która uległa zniszczeniu na skutek pożaru oraz przed wystąpieniem naruszenia nie posiadała opracowanej i wdrożonej procedury tworzenia oraz testowania kopii zapasowych systemów objętych naruszeniem. Skarżąca nie przeprowadziła i nie przedstawiła na wezwanie Prezesa UODO analizy ryzyka wpływu braku dostępności do danych przetwarzanych przy użyciu systemów informatycznych objętych naruszeniem na prawa lub wolności osób, których dane dotyczą. Po naruszeniu ochrony danych osobowych nadal przetwarzała dane osobowe w tych samych celach i tych samych kategorii osób przy użyciu systemów informatycznych.

W celu zmniejszenia prawdopodobieństwa wystąpienia podobnego naruszenia ochrony danych osobowych (dotyczącego atrybutu dostępności) w przyszłości, Spółka rozpoczęła korzystanie z usług innego dostawcy serwera (serwer główny) oraz przeprowadza na innym serwerze (znajdującym się w innej lokalizacji) cykliczny backup plików. Ponadto skarżąca zatrudniła specjalistę w dziedzinie ochrony danych osobowych, którego zadaniem będzie zapewnić stały rozwój środków bezpieczeństwa w obszarze przetwarzania danych osobowych.

Prezes UODO wskazał, że Spółka dokonała zgłoszenia naruszenia ochrony danych osobowych jako administrator danych, które uległy naruszeniu oraz

w wewnętrznych procedurach zdefiniowała się jako administrator. Ponadto gromadząc dane osobowe w klauzuli informacyjnej wskazywała, że jest administratorem, jak również zawarła umowy powierzenia przetwarzania danych, gdzie występowała w roli administratora. W okolicznościach przedmiotowej sprawy oczywistym było, że skarżąca jest administratorem danych, które uległy naruszeniu bowiem to Spółka gromadząc dane osobowe wyznaczała cele i decydowała się na przetwarzanie danych osobowych we własnych celach ustalonych w ramach stanu faktycznego, jak również decydowała

o sposobach przetwarzania tych danych.

Organ wyjaśnił, że przedmiotem postępowania administracyjnego była możliwość naruszenia przepisów o ochronie danych osobowych w postaci naruszenia art. 32 ust. 1 i 2 rozporządzenia 2016/679, a nie odpowiedzialność Spółki za wystąpienie naruszenia ochrony danych osobowych. Wystąpienie naruszenia ochrony danych osobowych, które zostało zgłoszone Prezesowi UODO stanowiło przyczynek do podjęcia postępowania wyjaśniającego wobec Spółki w związku z wątpliwościami co do zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzanym danym osobowym. Niniejsze postępowanie administracyjne nie odnosi się do odpowiedzialności Spółki za naruszenie ochrony danych osobowych, a do oceny, czy Spółka zapewniła odpowiednie bezpieczeństwo przetwarzanym danym w związku z naruszeniem atrybutu dostępności danych, a nie atrybutu ich poufności.

Prezes UODO wskazał, że z operacjami przetwarzania danych, których dotyczy naruszenie, wiązała się możliwość wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. W związku z powyższym, w celu prawidłowego wywiązania się

z obowiązków nałożonych ww. przepisami rozporządzenia 2016/679, Spółka była zobowiązana do podjęcia działań zapewniających właściwy poziom ochrony danych poprzez wdrożenie odpowiednich środków technicznych oraz organizacyjnych, w tym zmierzających do zapewnienia zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Charakter i rodzaj tych działań powinien wynikać z przeprowadzonej analizy ryzyka,

w której powinno się zidentyfikować podatności odnoszące się do wykorzystywanych zasobów oraz wynikające z nich zagrożenia, a następnie określić adekwatne środki bezpieczeństwa. Spółka taką analizę ryzyka co prawda przeprowadziła, ale zidentyfikowała w niej w sposób bardzo ogólny zagrożenia związane z utratą dostępności danych, a także nie ustaliła jakiejkolwiek podatności, poprzez wykorzystanie których mogłaby nastąpić materializacja tych zagrożeń i w konsekwencji nie określiła środków bezpieczeństwa mających takie ryzyka zminimalizować. Jedną

z podstaw prawnej ochrony danych osobowych wprowadzoną rozporządzeniem 2016/679 jest zaś obowiązek zapewnienia bezpieczeństwa przetwarzanych danych, określony między innymi w art. 32 ust. 1 rozporządzenia 2016/679.

W stanie faktycznym przedmiotowej sprawy, ryzyko dotyczyło zagrożenia polegającego na utracie danych osobowych przechowywanych na serwerze

w następstwie pożaru. Jak ustalono, w wyniku zniszczenia na skutek pożaru serwerów, na których Spółka przechowywała dane osobowe, dane te zostały bezpowrotnie utracone. W odniesieniu do powyższego zagrożenia, w celu przeciwdziałania potencjalnym skutkom naruszenia ochrony danych osobowych i zapobieżenia naruszenia atrybutu dostępności danych osobowych przechowywanych na serwerze, Spółka, stosownie do ww. przepisu rozporządzenia 2016/679, zobowiązana była zastosować odpowiednie zabezpieczenia. Określenie tych zabezpieczeń powinno nastąpić w wyniku przeprowadzonej analizy ryzyka, po prawidłowej identyfikacji zagrożeń dla danych osobowych przetwarzanych w systemie CRM, czego Spółka jednak nie uczyniła. Powyższe stanowi o naruszeniu przez nią art. 32 ust. 1lit. b) i c) oraz art. 32 ust. 2 rozporządzenia 2016/6/79. Określenie pewnych środków bezpieczeństwa nastąpiło natomiast w Polityce bezpieczeństwa, w której Spółka przewidziała tworzenie kopii zapasowych, oraz w umowie powierzenia przetwarzania danych osobowych podpisanej z [...] Sp. z o.o., gdzie przyjęła na siebie odpowiedzialność za tworzenie kopii zapasowych niezbędnych do zabezpieczenia danych osobowych. Pomimo postanowień zawartych w tych dokumentach, takich środków bezpieczeństwa Spółka jednak nie wdrożyła.

W ocenie organu analiza ryzyka mająca na celu dobór odpowiednich do ryzyka środków technicznych i organizacyjnych nie została przeprowadzona przez skarżącą

w sposób obiektywny. Ryzyko należy zaś oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania wiąże się ryzyko lub wysokie ryzyko. Spółka oceniając, czy stopień bezpieczeństwa jest odpowiedni, nie uwzględniła prawidłowo ryzyka wiążącego się z przetwarzaniem, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia czy utraty danych osobowych. Zastrzeżenia Prezesa UODO co do rzetelności i obiektywizmu przeprowadzenia analizy ryzyka związane są z brakiem przedstawienia przez Spółkę kompletnej metodyki sporządzenia analizy ryzyka, pomimo wezwania wystosowanego organ w tym zakresie. Przesłana przez Spółkę analiza ryzyka wraz z metodyką jej przeprowadzenia jest bowiem niekompletna, w szczególności z uwagi na brak macierzy ryzyka, a brak udzielenia odpowiedzi przez Spółkę na pytania Prezesa UODO m.in.

w zakresie wartości podstawionych do wzoru dla obliczenia ryzyka akceptowalnego

w istocie uniemożliwia jej zwrotne odtworzenie w celu jej weryfikacji. Powyższe stanowi o braku podstaw do przyjęcia przez Spółkę końcowej oceny, uprawniającej do uznania, że ryzyko ma poziom akceptowalny, a w związku z tym uznania, że Spółka zwolniona była z zastosowania jakiegokolwiek środka bezpieczeństwa odnoszącego się do atrybutu dostępności danych osobowych. Już zaś sama okoliczność stwierdzenia, że

z operacjami przetwarzania wiąże się ryzyko naruszenia praw lub wolności osób fizycznych stanowi o konieczności odpowiedniego zastosowania środków bezpieczeństwa, o których mowa w art. 32 ust. 1 lit. a)-d) rozporządzenia 2016/679. Natomiast ustalona na podstawie analizy ryzyka końcowa wartość ryzyka wyznacza poziom standardu odpowiednich środków bezpieczeństwa. Tym samym Spółka ustalając, że z operacjami wiąże się ryzyko, nawet błędnie przyjmując, że jest ono akceptowalne, nie była uprawniona do zrezygnowania z jakiegokolwiek środka bezpieczeństwa (co w istocie zrobiła), mającego na celu zagwarantować zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów

i usług przetwarzania oraz zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Ponadto, zastrzeżenia Prezesa UODO co do przeprowadzonej analizy ryzyka dotyczą: wagi ryzyka naruszenia praw lub wolności osób, których dane dotyczą; kontekstu przetwarzania - w ramach którego Spółka nie ustaliła podatności dla konkretnych zagrożeń oraz dokonała bezpodstawnej oceny kryteriów odnoszących się do zastosowanych środków bezpieczeństwa, co jako okoliczności błędnie ustalone lub nie ustalone w ogóle, wspólnie miało wpływ na nieprawidłową ocenę prawdopodobieństwa. Powyższe w świetle zasady rozliczalności wyrażonej w art. 5 ust. 2 rozporządzenia 2016/6/79 uprawnia do przyjęcia, że wskazane założenia były bezpodstawne. Wobec braku wywiązania się z obowiązku wykazania (na wezwanie Prezesa UODO), na podstawie jakich informacji, czy okoliczności Spółka przyjęła w analizie ryzyka przedstawione założenia, uznać należy, że zostały one przyjęte w sposób zupełnie dowolny, jako przepisane z metodyki analizy ryzyka (bowiem tam taki opis się znajduje), bez przeprowadzenia ich weryfikacji w odniesieniu do operacji przetwarzania danych osobowych, w ramach których doszło do naruszenia ochrony danych osobowych, co

w konsekwencji stanowi o braku rzetelności i o dowolności dokonanej oceny.

Organ wskazał, że Spółka oceny prawdopodobieństwa powinna dokonać

w oparciu o wewnętrzne i zewnętrzne okoliczności dotyczące w szczególności kontekstu przetwarzania danych w swojej organizacji, a zatem prawdopodobieństwo należy odnieść nie tylko do doświadczenia (występowania bądź nie określonych zdarzeń w przeszłości), ale również istniejących zabezpieczeń i ich skuteczności, które w przedmiotowej sprawie zostały dowolnie ocenione, a przede wszystkim do podatności, które w przedmiotowej sprawie nie zostały przez Spółkę w ogóle ustalone. Również przyjęty okres "ostatnich trzech lat" jest zupełnie dowolny i niczym nie uzasadniony, zwłaszcza, że waga zasobu objętego naruszeniem ochrony danych osobowych została oceniona przez Spółkę na najwyższym stopniu w przyjętej skali.

Prezes UODO uznał, że Spółka była świadoma zagrożeń mogących skutkować utratą dostępności danych oraz wagi zagrożenia dla danych osobowych przetwarzanych w systemie CRM oraz konieczności zastosowania środków bezpieczeństwa zdolnych do ciągłego zapewnienia poufności danych, integralności, dostępności i odporności systemów i usług przetwarzania oraz zdolnych do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, które zostały przez skarżącą zdefiniowane w Polityce bezpieczeństwa i umowie powierzenia przetwarzania danych osobowych zawartej

z [...] Sp. z o.o. jako tworzenie kopii zapasowych. Spółka nie wdrożyła środka bezpieczeństwa przed wystąpieniem naruszenia ochrony danych osobowych, dopiero zaś po jego wystąpieniu zaczęła wykonywać kopie zapasowe, jako środek bezpieczeństwa mający zmniejszyć prawdopodobieństwo wystąpienia naruszenia ochrony danych osobowych w przyszłości. Efektem braku określenia w analizie ryzyka adekwatnych środków bezpieczeństwa zapewniających realizację wymogów z art. 32 ust. 1 lit. b) i c) rozporządzenia 2016/6/79 (i w rezultacie ich niewdrożenie) było zmaterializowanie się zagrożenia w postaci zniszczenia serwerów, na których były przechowywane dane, bez możliwości przywrócenia utraconych danych. Tym samym nie można uznać, aby Spółka uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst, a przed wszystkim cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, wdrożyła środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi zdolność do ciągłego zapewnienia dostępności i odporności systemów i usług przetwarzania oraz zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego i technicznego, oraz nie można uznać aby, Spółka oceniając, czy stopień bezpieczeństwa jest odpowiedni prawidłowo uwzględniła w szczególności ryzyko wiążące się z przetwarzaniem, wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, czy utraty danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Powyższe stanowi o naruszeniu art. 32 ust. 1 lit. b) i d) oraz art. 32 ust. 2 rozporządzenia 2016/679.

Zdaniem organu, okoliczność, że w miesiącu, w którym doszło do zniszczenia serwera, dane osobowe zostały przekazane operatorowi medycznemu, nie ma znaczenia dla oceny, czy Spółka wdrożyła adekwatne środki techniczne i organizacyjne mające na celu zapewnienie bezpieczeństwa przetwarzanym danym osobowych, bowiem okoliczność ta nie wynikała z zastosowania jakiegokolwiek zabezpieczenia. Dane osobowe zostały przekazane [...] marca 2021 r., a do spalenia serwerowni doszło [...] marca 2021 r., tym samym gdyby pożar nastąpił kilka dni wcześniej Spółka nie byłaby wstanie przekazać zgromadzonych danych. Natomiast przedmiotem postępowania administracyjnego jest możliwość naruszenia przez Spółkę art. 32 ust. 1 i 2 rozporządzenia 2016/6/779 a odpowiedzialność administratora oceniana jest

w kontekście braku zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzanym danym osobowym, a nie wystąpienia naruszenia ochrony danych osobowych. Przedmiotowe postępowanie wykazało, że Spółka nie zapewniła danym osobowym osób, których dane były przetwarzane w systemie CRM, odpowiedniego bezpieczeństwa, narażając te osoby m.in. na brak możliwości lub trudności w realizacji usługi medycznej oraz realizacji praw, przysługującym im m.in. na podstawie rozporządzenia 2016/679. Natomiast potwierdzeniem naruszenia art. 32 ust 1 i 2 rozporządzenia 2016/679 jest właśnie wystąpienie naruszenia ochrony danych osobowych, gdzie w wyniku materializacji zagrożenia, Spółka utraciła bezpowrotnie bazę danych obejmującą dane osobowe około 14 000 osób, uniemożliwiając tym osobom sprawowanie kontroli nad tymi danymi osobowymi i realną utratę możliwości realizacji swoich praw lub wolności.

Prezes UODO wyjaśnił, że na podstawie art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a) - h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy. Mając na uwadze ustalenia stanu faktycznego, organ korzystając z przysługującego mu uprawnienia określonego we wskazanym wyżej przepisie stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę administracyjnej kary pieniężnej. Na podstawie art. 83 ust. 4 lit. a) rozporządzenia 2016/679 naruszenia przepisów kształtujących obowiązki administratora i podmiotu przetwarzającego,

o których mowa w art. 8, art. 11, art. 25-39 oraz art. 42 i art. 43, podlegają zgodnie

z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR,

a w przypadku przedsiębiorstwa - w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Decydując o nałożeniu administracyjnej kary pieniężnej organ - stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:

1. Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).

W ocenie organu charakter naruszenia przepisów o ochronie danych osobowych jest poważny, zaszeregowany do kategorii przepisów, których naruszenie zagrożone jest administracyjną karą pieniężną w wysokości do 10 000 000 EUR. Spółka naruszyła te przepisy rozporządzenia 2016/679, które wprowadzają podstawowe obowiązki dotyczące zastosowania odpowiednich środków bezpieczeństwa w celu zapewnienia ochrony przetwarzanych danych osobowych m.in. w zakresie zagwarantowania zdolności do ciągłego zapewnienia dostępności danych i szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego, a więc np. w wyniku pożaru serwerów wykorzystywanych do ich przetwarzania. W efekcie nie była w stanie odtworzyć tych danych - jak wskazała sama Spółka "dane osobowe zapisane na serwerach, które uległy spaleniu na skutek pożaru, zostały utracone bezpowrotnie". Jednoznacznie wskazuje to na poważny charakter naruszenia. Liczba poszkodowanych osób nie jest mała, obejmowała około 14 000 osób, przy czym liczba osób, których dokumenty z danymi - w tym faktury oraz skierowania na medycynę pracy pracowników firm, współpracujących ze stroną, uległy zniszczeniu - została oszacowana przez Spółkę na 500 osób. Spółka przetwarzała dane tych osób m.in.

w celu ich archiwizacji, co było jej obowiązkiem prawnym. Na skutek bezpowrotnego zniszczenia danych, Spółka jak i osoby, których dane dotyczą utraciły do nich dostęp, co potencjalnie uniemożliwia realizację praw lub wolności tych osób w postaci np. dostępu do danych osobowych, ich poprawienia, sprostowania, czy sporządzania z nich kopii, zgodnie z art. 15 i art. 16 rozporządzenia 2016/679. Brak zapewnienia możliwości realizacji przez osoby, których dane dotyczą, powyższych uprawnień, przy jednoczesnym obowiązku prawnym Spółki przechowana danych oraz dużej liczbie tych osób, wskazują na znaczną wagę naruszenia. Osoby, których danych osobowych naruszenie dotyczy, utraciły możliwość dostępu do swoich danych osobowych i tym samym doznały szkody w postaci naruszenia ich prawa do ochrony danych osobowych (art. 41 ust. 1 Konstytucji RP). Powyższe może potencjalnie również narazić te osoby na szkodę majątkową. Również czas trwania naruszenia, tj. od [...] maja 2018 r., (data rozpoczęcia stosowania rozporządzenia 2016/679 - uwzględniający okres powierzenia przetwarzania danych i przechowywania ich na serwerach, które uległy spaleniu) do [...] marca 2021 r. (data naruszenia ochrony danych osobowych polegającego na zniszczeniu serwerowni w wyniku pożaru) przepisów o ochronie danych osobowych,

w którym Spółka nie zapewniła, aby przetwarzanie odbywało się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed przypadkową utratą, zniszczeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych, był znaczny. Przy czym czas naruszenia w odniesieniu do osób, objętych naruszeniem ochrony danych osobowych, oznaczonych przez Spółkę jako "nowi i dotychczasowi użytkownicy, osoby rejestrujące się w systemie CRM" - również był znaczny bowiem obejmował okres od [...] marca 2020 r. do [...] marca 2021 r. Ponadto Spółka przetwarzała dane osobowe, osób których dane dotyczą w celu realizacji usług medycznych, nie zapewniając tym danym odpowiedniego poziomu bezpieczeństwa, a tym samym narażając osoby te na możliwość braku spełnienia usługi medycznej lub jej utrudnienia, co mogło stanowić o możliwości wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Tym samym osoby, których dane były przetwarzane w systemie CRM w okresie od [...] maja 2018 r. do [...] marca 2021 r. były narażone na możliwość wystąpienia ryzyka naruszenia praw lub wolność tych osób, w postaci braku możliwości lub braku możliwości niezwłocznej realizacji usługi medycznej w sytuacji utraty danych lub systemu i trudności w rozliczeniu usługi.

2. Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).

Organ wskazał, że Spółka była świadoma, w jaki sposób powinna przetwarzać dane osobowe zgromadzone na serwerach, które uległy spaleniu, aby zapewnić im odpowiednie bezpieczeństwo, w tym ochronę przed przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych i organizacyjnych,

a więc w jaki sposób przestrzegać zasadę "integralności i poufności" wyrażoną w art. 5 ust. 1 li. f) rozporządzenia 2016/679 (okoliczność ta znajduje swoje potwierdzenie

w postanowieniach Polityki bezpieczeństwa oraz w umowie powierzenia). Jednocześnie powyższa zasada znajduje swoją konkretyzację w art. 32 ust. 1 i 2 rozporządzenia 2016/679 zgodnie z którym, Spółka przy uwzględnieniu kryteriów zawartych

w przepisie, zobowiązana była do wdrożenia środków technicznych i organizacyjnych odpowiednich do ryzyka, w tym zapewniających zdolność do ciągłego zapewnienia dostępności i odporności systemów i usług przetwarzania oraz zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Spółka przeprowadziła analizę ryzyka w sposób zupełnie dowolny, nieprawidłowo uznając, że ryzyko jest na poziomie akceptowalnym. Jednocześnie nie zastosowała określonych przez siebie w Polityce bezpieczeństwa

i wskazanych w umowie powierzenia środków bezpieczeństwa w postaci wykonywania kopii bezpieczeństwa, a realne działania podjęła dopiero po wystąpieniu naruszenia ochrony danych osobowych. W działaniach Spółki uwidoczniona została świadomość, co do braku zapewnienia odpowiedniego stopnia bezpieczeństwa danych osobowych przetwarzanych na serwerach. Wobec powyższego Spółka była świadoma, że w tym okresie od powierzenia przetwarzania danych osobowych do zmaterializowania się zagrożenia, nie zapewnia odpowiedniego stopnia bezpieczeństwa danych osobowych przetwarzanych na serwerach, co będzie stanowiło naruszenie przepisów o ochronie danych osobowych. Tym samym, umyślnie naruszyła przepis art. 32 ust 1 i 2 rozporządzenia 2016/679. Biorąc pod uwagę ustalenia w sprawie będącej przedmiotem rozstrzygnięcia niniejszej decyzji należy stwierdzić, że Spółka - mimo świadomości - dopuściła się zaniedbania skutkującego wystąpieniem naruszenia ochrony danych osobowych dotyczącego dostępności danych. Tak więc stanowi to istotną okoliczność wpływającą obciążająco na wysokość administracyjnej kary pieniężnej

3. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679).

Prezes UODO wskazał, że współpraca z organem nadzorczym nie była zadowalająca, a skala nieprawidłowości istotnie rzutująca na decyzję, co do nałożenia administracyjnej kary pieniężnej i jej wysokości. Powyższe w szczególności odniesienie ma do takich okoliczności jak brak udzielenia lub wymijające udzielenia odpowiedzi na zadane pytania, czy brak przedstawienia dowodów, o które Prezes UODO się zwracał. Skala braku tej współpracy oraz jej sposób uprawnia nawet do przyjęcia, że były to celowe działania Spółki mające na celu utrudnienie prowadzenie postępowania administracyjnego w zakresie ustalenia okoliczności istotnych dla rozstrzygnięcia sprawy, a tym samym usunięcia naruszenia i jego ewentualnych skutków w postaci. Spółka uporczywie udzielała lakonicznych i wymijających odpowiedzi lub nie udzielała odpowiedzi wcale, w konsekwencji Prezes UODO zmuszony był ponownie zwracać się o udzielenie odpowiedzi na te same pytania. Wyjaśnienia Spółki nie tylko nie pomagały w ustaleniu możliwych konsekwencji naruszenia ochrony danych osobowych dla osób, których dane dotyczą, ale wręcz je utrudniały, nie bez znaczenia jest również okoliczność, że Spółka w przesyłanych wyjaśnieniach zupełnie pomijała cel przetwarzania danych osobowych w postaci obowiązku ich archiwizacji, który w sposób bezpośredni wskazuje na możliwe konsekwencje w postaci braku możliwości dostępu do swoich danych osobowych. W oparciu o powyższe okoliczności odnoszące się do stopnia współpracy, Prezes UODO nie mógł oprzeć stanu faktycznego o wyjaśnienia Spółki, uznając je za niespójne, chaotyczne, niekorespondujące ze sobą, sprzeczne

z materiałem dowodowym lub niewynikające z materiału dowodowego.

W dalszej kolejności organ wskazał, że decydując o nałożeniu administracyjnej kary pieniężnej wziął pod uwagę działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające łagodząco na wymiar nałożonej administracyjnej kary pieniężnej. Prezes UODO przy tym zauważył, że Spółka [...] marca 2021 r., po ujawnieniu naruszenia ochrony danych osobowych, poinformowała o naruszeniu osoby, których dane dotyczą, wysyłając wiadomość e-mail do około 14 000 osób objętych naruszeniem. Ponadto, zamieściła komunikat informujący o naruszeniu na swojej stronie internetowej. Wskazać należy, że w związku z wystąpieniem naruszenia ochrony danych osobowych nie stwierdzono okoliczności zobowiązujące Spółkę do zawiadomienia o naruszeniu tych osób, stosownie do treści art 34 ust. 1 rozporządzenia 2016/6/79. Tym samym należy uznać, że Spółka dobrowolnie poinformowała

o naruszeniu osoby, których dane dotyczą, jednocześnie zapewniając im możliwość przekazania informacji zwrotnej. Dlatego też, takie działanie z pewności zasługuje na aprobatę i zostało uwzględnienie, jako okoliczność łagodząca.

Inne okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie przepisów rozporządzenia 2016/679, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.

1. Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych

i organizacyjnych wdrożonych przez niego na mocy art. 25 i art. 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).

Prezes UODO stwierdził w niniejszej sprawie naruszenie przez administratora przepisu art. 32 ust. 1 i 2 rozporządzenia 2016/679. W jego ocenie na administratorze ciąży w wysokim stopniu odpowiedzialność za niewdrożenie odpowiednich środków technicznych i organizacyjnych, które zapobiegłyby naruszeniu ochrony danych osobowych. Oczywistym jest, że w rozważanym kontekście charakteru, celu i zakresu przetwarzania danych osobowych administrator nie "zrobił wszystkiego, czego można by było od niego oczekiwać"; nie wywiązał się tym samym z nałożonych na niego przepisem art. 32 rozporządzenia 2016/679 obowiązków. W niniejszej sprawie okoliczność ta stanowi jednak o istocie samego naruszenia; nie jest jedynie czynnikiem wpływającym - łagodząco lub obciążająco - na jego ocenę. Z tego też względu brak odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 32 rozporządzenia 2016/679, nie może zostać przez Prezesa UODO uznany w niniejszej sprawie za okoliczność mogącą dodatkowo wpłynąć na surowszą ocenę naruszenia

i wymiar nałożonej na Spółkę administracyjnej kary pieniężnej

2. Wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust 2 lit. e rozporządzenia 2016/679).

Prezes UODO nie stwierdził jakichkolwiek, dokonanych przez administratora, wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. Obowiązkiem każdego administratora jest przestrzeganie przepisów prawa (w tym o ochronie danych osobowych), więc brak wcześniejszych naruszeń nie może być okolicznością łagodzącą przy wymierzaniu sankcji.

3. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).

Dane osobowe znajdujące się na spalonych serwerach nie należały do szczególnych kategorii danych osobowych, o których mowa w art. 9 lub 10 rozporządzenia 2016/679, a ich zakres był następujący: nazwiska i imiona, adresy zamieszkania lub pobytu, numery ewidencyjny PESEL, adresy e-mail, numery telefonu oraz dane znajdujące się w dokumentach, takich jak faktury oraz skierowania na medycynę pracy. Jednocześnie wskazać należy, że naruszenie ochrony danych osobowych nie polegało na naruszeniu atrybutu poufności i integralności danych osobowych, których kategorie mają w szczególności wpływ na określenie poziomu ryzyka naruszenia praw lub wolności osób fizycznych

4. Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).

Prezes UODO stwierdził naruszenie w wyniku zgłoszenia naruszenia ochrony danych osobowych dokonanego przez skarżącą. Spółka dokonując tego zgłoszenia realizowała jedynie ciążący na niej obowiązek prawny, brak jest podstaw do uznania, że okoliczność ta stanowi okoliczność łagodzącą.

5. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków,

o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).

Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Spółki

w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Spółka nie miała obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.

6. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).

Spółka nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak - jak stanowią przepisy rozporządzenia 2016/679 - obowiązkowe dla administratorów i podmiotów przetwarzających w związku, z czym okoliczność ich niestosowania nie może być

w niniejszej sprawie poczytana na niekorzyść Spółki. Na korzyść Spółki natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów, jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.

7. Wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679).

Prezes UODO wskazał, że wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia

i na wysokość orzeczonej administracyjnej kary pieniężnej.

Uwzględniając wszystkie omówione wyżej okoliczności, organ uznał, że nałożenie administracyjnej kary pieniężnej na Spółkę jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych jej naruszeń. Stwierdził, że zastosowanie wobec Spółki jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że Spółka w przyszłości nie dopuści się kolejnych zaniedbań.

Organ wyjaśnił, że stosownie do treści art. 103 u.o.d.o., równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski

w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.

W ocenie Prezesa UODO nałożona na Spółkę administracyjna kara pieniężna

w wysokości 117 900 zł, co stanowi równowartość 25 000 euro (średni kurs euro z 30 stycznia 2023 r. r. - 4,716 zł), spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Nałożona na Spółkę kara jest proporcjonalna zarówno do powagi naruszenia jak i do wielkości Spółki, którą to wielkość - mierzoną jej obrotem - należy rozpatrywać w nierozerwalnym związku ze względami na skuteczność kary i na jej odstraszający charakter.

Organ zauważył, że w toku postępowania Spółka przedstawiła sprawozdanie finansowe za 2022 r., zgodnie z którym jej przychody netto ze sprzedaży wyniosły 8 458 585,48 zł, co stanowi równowartość 1 793 593,18 euro wg średniego kursu euro z 30 stycznia 2023 r. Natomiast zysk netto stanowiła kwota 1 053 248, 35 zł, przy przeciętnym w roku obrotowym zatrudnieniu 4 osób. Zważywszy na wyżej przedstawione wyniki finansowe Spółki stwierdził, że orzeczona administracyjna kara pieniężna nie będzie dla niej nadmiernie dotkliwa. Wskazał, że ustalona przez Prezesa UODO kwota kary - 117 900 zł - stanowi jedynie 1,39 % jej obrotu osiągniętego w 2022 r. Jednocześnie w ocenie Prezesa UODO kara w tej wysokości będzie skuteczna, tj. osiągnie cel jakim jest ukaranie Spółki za poważne naruszenie o poważnych skutkach

i odstraszająca na przyszłość.

Odnosząc się do wysokości wymierzonej Spółce administracyjnej kary pieniężnej Prezes UODO uznał, że jest ona proporcjonalna do zaistniałego naruszenia. Podkreślił, że kwota nałożonej kary 117 900 PLN to jedynie 0,25% maksymalnej kary, którą organ mógł nałożyć na Spółkę za stwierdzone w niniejszej sprawie naruszenie - stosując zgodnie z art. 83 ust. 4 rozporządzenia 2016/679 statyczne maksimum kary (tj. 10 000 000 euro). Wobec powyższego nałożona na Spółkę administracyjna kara pieniężna spełnia w szczególności kryterium proporcjonalności kary w rozumieniu wypracowanym w orzecznictwie TSUE.

W ocenie Prezesa UODO, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. będzie w tym indywidulanym przypadku skuteczna, proporcjonalna i odstraszająca. Nałożona kara będzie skuteczna, albowiem doprowadzi do stanu, w którym Spółka stosowała będzie takie środki techniczne i organizacyjne, które zapewnią przetwarzanym danym stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób, których dane dotyczą oraz wadze zagrożeń towarzyszącym procesom przetwarzania tych danych osobowych. Skuteczność kary równoważna jest zatem gwarancją tego, że Spółka od momentu zakończenia niniejszego postępowania będzie z najwyższą starannością podchodziła do wymogów stawianych przez przepisy o ochronie danych osobowych. Zastosowana administracyjna kara pieniężna jest również, proporcjonalna do stwierdzonego naruszenia, w tym zwłaszcza jego wagi, skutku, kręgu dotkniętych nim osób fizycznych oraz wysokiego ryzyka negatywnych konsekwencji, jakie wiązały się z operacjami przetwarzania danych. Nałożona na Spółkę administracyjna kara pieniężna nie będzie stanowiła nadmiernego dla niej obciążenia. Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność jej uiszczenia pociągnie za sobą negatywne następstwa, w postaci istotnego pogorszenia sytuacji finansowej Spółki. Spółka powinna i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, stąd nałożenie kary w wysokości 117 900 zł jest w pełni uzasadnione. Administracyjna kara pieniężna spełni w tych konkretnych okolicznościach funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Spółkę przepisów rozporządzenia 2016/679, ale i prewencyjną, bowiem przyczyni się do zapobiegania

w przyszłości naruszania obowiązków skarżącej wynikających z przepisów o ochronie danych osobowych. Zastosowana kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów

i zasad rozporządzenia 2016/679. Celem nałożonej kary jest doprowadzenie do przestrzegania przez Spółkę w przyszłości przepisów rozporządzenia 2016/679.

Pismem z [...] stycznia 2024 r. skarżąca reprezentowana przez pełnomocnika – radcę prawnego wniosła skargę na ww. decyzję Prezesa UODO z [...] listopada 2023 r. Zaskarżonej decyzji zarzuciła:

1. naruszenie przepisów postępowania mające istotny wpływ na wynik postępowania

w postaci:

a) art. 107 § 1 pkt 5 k.p.a., poprzez wadliwość sformułowania rozstrzygnięcia zaskarżonej decyzji, polegającą na braku sprecyzowania przez organ, które dokładnie działania lub zaniechania skarżącej, ustalone w toku postępowania administracyjnego, organ uznał za naruszenie przepisów prawa wymienionych w sentencji decyzji, za które to stwierdzenie naruszenia organ nałożył karę pieniężną, co w konsekwencji uniemożliwia zapoznanie się z rezultatem stosowania przez organ normy prawa materialnego do konkretnego przypadku w kontekście określonych okoliczności faktycznych i materiału dowodowego, a tym samym wyklucza kontrolę instancyjną decyzji w zakresie konkretnego i indywidualnie oznaczonego czynu oraz określenie zakresu przedmiotowego sprawy objętej powagą sprawy rozstrzygniętej;

b) art. 61 § 4 k.p.a. w zw. z art. 47 Karty Praw Podstawowych oraz art. 6 ust. 3 lit. a Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności poprzez brak informacji w treści zawiadomienia organu z [...] marca 2022 r. o wszczęciu postępowania o przedmiocie zarzuconych czynów (konkretnych działań lub zaniechań Spółki będących naruszeniem przepisów RODO), podczas gdy postępowanie zakończone decyzją należy traktować jako postępowanie w przedmiocie naruszenia przepisów ochrony danych osobowych w rozumieniu art. 60 u.o.d.o., co w konsekwencji doprowadziło do ograniczenia prawa do obrony skarżącej, uniemożliwiając Spółce ustosunkowanie się do konkretnych zarzutów i przedstawienia wyczerpującego materiału dowodowego w celu odparcia skonkretyzowanych zarzutów;

c) art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a. w kontekście spełnienia przez skarżącą wymogów określonych w art. 32 ust. 1 RODO, poprzez brak wszechstronnej oraz merytorycznej oceny zgromadzonego materiału dowodowego, tj. przedstawionych przez Spółkę stosowanych środków bezpieczeństwa, którego wszechstronna ocena powinna doprowadzić organ do ustalenia, że skarżąca wdrożyła odpowiednie środki techniczne służące ochronie przetwarzanych danych osobowych, co doprowadziło do niepełnego ustalenia stanu faktycznego sprawy, przede wszystkim w zakresie okoliczności mających wpływ na spełnienie przez skarżącą przesłanki z art. 24 ust. 1 RODO oraz

z art. 32 ust. 1 RODO, co zgodnie z art. 83 ust. 2 RODO wpływa na nałożenie oraz wysokość kary administracyjnej;

d) art. 7 k.p.a., art. 77 § 1 k.p.a. w zw. z art. 77 § 4 k.p.a., art. 80 k.p.a., art. 81 k.p.a., art. 84 § 1 k.p.a. w zw. z art. 8 § 1 k.p.a. i art. 10 § 1 k.p.a., poprzez poczynienie przez organ ustaleń faktycznych oraz ocen w oparciu o normy PN-EN ISO/IEC 27002:2017-06 (s. 14 decyzji), polegające na przyjęciu, że z wytycznych tych wynika rekomendacja "regularnego wykonywania i testowania zapasowych kopii informacji, oprogramowania

i obrazów systemów zgodnie z ustaloną polityką kopii zapasowych", sugerując przy tym, że ww. działania powinny być bezwzględnie stosowane przez Spółkę, podczas gdy

z przedmiotowej normy wynikają jedynie ogólne rekomendacje w zakresie celów stosowania zabezpieczeń oraz zabezpieczenia informacji, które dobierane są na podstawie szacowania ryzyka, z kolei wybór odpowiednich środków w konkretnym przypadku jest uzależniony od oceny ryzyka, której organ nie przeprowadził jednocześnie bezpodstawnie kwestionując prawidłowość oceny ryzyka dokonanej przez skarżącą w drodze lakonicznych twierdzeń w przedmiocie jej rzekomej niekompletności;

e) art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a., poprzez dowolną ocenę materiału dowodowego, niezgodną z logiką i zasadami doświadczenia życiowego, polegającą na stwierdzeniu, że Spółka nie przedsięwzięła odpowiednich środków technicznych

i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych, w tym zapewniających zdolność do ciągłego zapewnienia dostępności i odporności systemów i usług przetwarzania oraz zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz nie uwzględniła prawidłowo ryzyka związanego

z przetwarzaniem, wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia czy utraty danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, podczas gdy prawidłowa i rzetelna ocena materiału dowodowego zebranego w sprawie powinna doprowadzić do ustalenia, że Spółka nie dopuściła się naruszenia w tym zakresie;

f) art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a., poprzez dowolną ocenę materiału dowodowego niezgodną z logiką i zasadami doświadczenia życiowego, polegającą na stwierdzeniu przez organ w treści decyzji, że Spółka nie podejmowała działań mających na celu ocenę doboru środków technicznych i organizacyjnych przez pryzmat adekwatności do ryzyk, podczas gdy ze zgromadzonego w toku postępowania materiału dowodowego jednoznacznie i bezspornie wynika, że skarżąca prawidłowo dokonała analizy ryzyka, przedsięwzięła adekwatne do niego środki bezpieczeństwa,

w tym w szczególności w zakresie ryzyka naruszenia praw i wolności osób fizycznych, których dane dotyczyły, w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;

g) art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a. w kontekście braku przeprowadzenia

i przedstawienia przez skarżącą na wezwanie Prezesa UODO analizy ryzyka wpływu braku dostępności do danych przetwarzanych przy użyciu systemów informatycznych objętych naruszeniem na prawa lub wolności osób, których dane dotyczą oraz ustalenia przez organ jakoby "Przesłana przez Spółkę analiza ryzyka wraz z metodyką jej przeprowadzenia jest bowiem niekompletna, w szczególności z uwagi na brak macierzy ryzyka, a brak udzielenia odpowiedzi przez stronę na pytania Prezesa UODO m.in.

w zakresie wartości podstawionych do wzoru dla obliczenia ryzyka akceptowalnego

w istocie uniemożliwia jej zwrotne odtworzenie w celu jej weryfikacji" (s. 11), poprzez brak wszechstronnej oraz merytorycznej oceny zgromadzonego materiału dowodowego i dokonanie wybiórczej, skrajnie arbitralnej i niezgodnej z zasadami logicznego rozumowania oceny dowodów, tj. przedstawionych przez Spółkę stosowanych środków bezpieczeństwa (w tym analizy ryzyka oraz szczegółowej metodyki przeprowadzenia ryzyka), którego wszechstronna ocena powinna doprowadzić organ do ustalenia, że skarżąca prawidłowo dokonała analizy ryzyka, metodyka jej przeprowadzenia spełnia wszelkie standardy metod zarządzania ryzykiem i w pełni umożliwia zwrotne odtworzenie analizy w celu weryfikacji, a skarżąca przedsięwzięła adekwatne do niego środki bezpieczeństwa, w tym w szczególności w zakresie ryzyka naruszenia praw

i wolności osób fizycznych, których dane dotyczą, co w konsekwencji doprowadziło do niepełnego ustalenia stanu faktycznego sprawy;

h) art. 7, art. 77 oraz art. 80 k.p.a. polegające na niewyczerpującym rozpatrzeniu materiału dowodowego oraz na jego dowolnej ocenie, wyrażającej się zwłaszcza

w odmówieniu mocy dowodowej i wiarygodności poprzez ich arbitralną ocenę podczas przeprowadzonego postępowania administracyjnego w szczególności pisma z [...] stycznia 2023 r. dot. dodatkowych wyjaśnień skarżącej w kwestii roli podmiotu [...] S.A. oraz czynności przetwarzania danych osobowych wyszczególnionych

w prowadzonym rejestrze czynności przetwarzania danych;

i) art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a. poprzez brak wszechstronnej oceny materiału dowodowego oraz wywodzenia logicznych i spójnych wniosków ze zgromadzonego przez organ materiału dowodowego, jak również wybiórczą i arbitralną ocenę wyjętych z kontekstu fragmentów pism skarżącej, polegający na przyjęciu przez organ, że:

- "Liczba poszkodowanych osób nie jest mała, obejmowała około 14 000 osób (...)" - s. 19,

- "(...) ze zgłoszenia naruszenia ochrony danych osobowych jednoznacznie wynika, że naruszenie to dotyczyło 14 000 osób (...)" -s. 23

- "Spółka uchylała się od udzielenia konkretnych odpowiedzi zmierzających do ustalenia liczby i kategorii osób objętych naruszeniem." -s. 5 i 6

- "W odpowiedzi Spółka pismem z dnia [...] stycznia 2023 r. poinformowała, że «niemożliwe jest wskazanie dokładnej liczby osób fizycznych, których naruszenie dotyczyło». Jednocześnie w tym piśmie ponownie wskazała, że «liczba osób objętych naruszaniem to nie 1400, a około 500, co stwierdziliśmy na podstawie danych z kont bankowych i wiadomości e-mail.» - s. 6

podczas, gdy zgromadzony materiał dowodowy prowadzi do wniosku odmiennego, tj. naruszenie dotyczyło ok. 500 osób (co skarżąca w pełni uzasadniła, wykazała i umotywowała), przy czym sformułowanie "ok. 500" osób w sposób oczywisty nie stanowi "dokładnej liczby osób fizycznych", co w konsekwencji przełożyło się na błędne ustalenie stanu faktycznego sprawy w zakresie okoliczności wpływających na ustalenie oraz wysokość kary administracyjnej;

j) art. 7 k.p.a., art. 77 § 1 k.p.a. oraz art. 80 k.p.a. i art. 81a § 1 k.p.a. poprzez przyjęcie, że:

- "Spółka w sposób nieuzasadniony wskazała, że naruszenie dotyczyło 500 osób, przy czym nie wyjaśniła dlaczego właśnie przyjęła taką właśnie liczbę (...) -s. 23,

- "Spółka pismem z [...] listopada 2022 r. wyjaśniła, że nie miały miejsca przypadki,

w których nie mogła zrealizować lub poczynić zadość jakimkolwiek prawom lub wolnościom osób, których dane dotyczą; do Spółki nigdy nie wpłynęło zgłoszenie

z żądaniem dostępu do danych osobowych; w związku ze zniszczeniem dokumentacji zawierającej dane osobowe, Administrator nie napotkał jakichkolwiek trudności

w realizacji wniosku o dostęp do danych osobowych. Z kolei w piśmie z [...] stycznia 2023 r. Spółka wyjaśniła, że nie odnotowała żadnych wniosków, zapytań, skarg, żądań ani innych komunikatów. Wskazać jednak należy, że Spółka nie przedstawiła jakichkolwiek dowodów potwierdzających przedstawione wyjaśnienia, pomimo wezwania do tego przez Prezesa UODO." - s. 22,

- "Jednocześnie Spółka nie odpowiadała na pytania Prezesa UODO lub udzielała odpowiedzi nieprawdziwych w odniesieniu do liczby osób objętych naruszeniem (...)-s. 23,

podczas gdy prawidłowa ocena materiału dowodowego powinna doprowadzić do wniosku, że skarżąca odpowiadała niezwłocznie na każde pytanie organu, wyjaśnienia skarżącej są wyczerpujące, wiarygodne, spójne i w pełni korespondujące z materiałem dowodowym, a okoliczności ewentualnie nieudowodnione w toku postępowania administracyjnego i niedające się usunąć wątpliwości co do stanu faktycznego powinny być rozstrzygnięte na korzyść strony, natomiast bezpodstawne założenie organu co do elementów stanu faktycznego, zupełnie dowolna ocena materiału dowodowego oraz wywodzenie ze zgromadzonego przez organ materiału dowodowego nielogicznych

i niespójnych wniosków pełnych argumentów ad absurdum w konsekwencji doprowadziło do nieprawidłowego przyjęcia, że Spółka nie przedsięwzięła odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych, w tym zapewniających zdolność do ciągłego zapewnienia dostępności i odporności systemów i usług przetwarzania oraz zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz nie uwzględniła prawidłowo ryzyka związanego z przetwarzaniem, wynikającego

z przypadkowego lub niezgodnego z prawem zniszczenia czy utraty danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

k) art. 107 § 1 pkt 6 k.p.a. oraz art. 107 § 3 k.p.a., poprzez sporządzenie uzasadnienia w sposób niezrozumiały, niezgodny z obowiązkami nałożonymi na organ w zakresie sporządzenia uzasadnienia, polegający na:

- braku wyczerpującego wskazania faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, a odmówieniu wiarygodności wyjaśnień skarżącej na zasadzie negacji dla samej negacji, przyjmowaniu założeń niepopartych ani dowodami ani uzasadnieniem logicznym lub dokumentami nie będącymi źródłami prawa, poprzez m.in.:

a) niepopartą dowodami i jakąkolwiek merytoryczną argumentacją ocenę, że środki przedsięwzięte przez skarżącą były nieadekwatne do ryzyk i niezgodne z przepisami;

b) niepopartą dowodami i jakąkolwiek merytoryczną argumentacją ocenę, że "Spółka nie wywiązała się z obowiązku wykazania (na wezwanie Prezesa UODO) na podstawie jakich informacji czy okoliczności Spółka przyjęła w analizie ryzyka przedstawione założenia, wobec czego uznać należało, że zostały przyjęte w sposób zupełnie dowolny, jako przepisane z metodyki analizy ryzyka (bowiem tam taki opis się znajduje), bez przeprowadzenia ich weryfikacji w odniesieniu do operacji przetwarzania danych osobowych, co w konsekwencji stanowi o braku rzetelności i dowolności dokonanej oceny" (s.13), które to stwierdzenie stoi w sprzeczności ze zgromadzonym materiałem dowodowym i uznać je dodatkowo należy za kuriozalne wobec faktu, że metodyka przeprowadzania oszacowania ryzyka służy - jak sama nazwa wskazuje - procesowi przeprowadzenia analizy ryzyka, określając wartości punktowe dla oceny poszczególnych jej etapów, jak również wzory stanowiące podstawę obliczenia poziomu ryzyka oraz wartości akceptowalności ryzyka,

c) niepopartą dowodami ocenę, że Spółka nie podejmowała działań mających na celu ocenę doboru środków technicznych i organizacyjnych przez pryzmat adekwatności do ryzyk,

e) niepopartą dowodami i argumentacją ocenę, że wdrożenie i wprowadzenie dodatkowych środków bezpieczeństwa w postaci tworzenia kopii zapasowych stanowiłoby zapewnienie stopnia bezpieczeństwa adekwatnego do ryzyka,

- braku wskazania przez organ wyliczenia takiej a nie innej wysokości kary administracyjnej, a wskazanie przez organ jedynie tez nieznajdujących oparcia

w zgromadzonym materiale dowodowym,

- sprzeczności wewnętrznych uzasadnienia, w tym m.in. w punkcie 7 ustaleń faktycznych organ ustalił, że "Spółka uchylała się od udzielenia konkretnych odpowiedzi zmierzających do ustalenia liczby i kategorii osób objętych naruszeniem.", podczas gdy już w dalszej części decyzji organ stwierdza: "W odpowiedzi Spółka pismem z dnia [...] stycznia 2023 r. poinformowała, że «niemożliwe jest wskazanie dokładnej liczby osób fizycznych, których naruszenie dotyczyło». Jednocześnie w tym piśmie ponownie wskazała, że «liczba osób objętych naruszaniem to nie 1400, a około 500, co stwierdziliśmy na podstawie danych z kont bankowych i wiadomości e-mail.» - s. 6, przy czym podkreślić należy, iż sformułowanie "ok. 500" osób w sposób oczywisty nie stanowi "dokładnej liczby osób fizycznych" - wbrew alogicznym i oderwanym od zasad racjonalnego myślenia wnioskom organu,

co w konsekwencji uniemożliwia realną kontrolę merytoryczną decyzji;

l) art. 107 § 1 pkt 6 k.p.a. w zw. z art. 72 u.o.d.o. i art. 83 ust. 1 i 2 RODO, poprzez brak uzasadnienia przez organ wysokości nałożonej kary administracyjnej w zakresie m.in. wyliczenia i skwantyfikowania, jakie przełożenie na wysokość nałożonej kary miały okoliczności, które w ocenie organu miały charakter łagodzący lub zaostrzający odpowiedzialność skarżącej, co w konsekwencji uniemożliwia realną kontrolę merytoryczną decyzji.

2. naruszenie przepisów prawa materialnego mające wpływ na wynik sprawy w postaci:

a) art. 32 ust. 1 i 2 RODO poprzez ich błędną wykładnię i uznanie, że skarżąca nie zastosowała odpowiednich środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia uwzględniając stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych i nie oszacowała właściwego stopnia ryzyka więżącego się z przetwarzaniem w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, podczas gdy środki techniczne i organizacyjne stosowane przez skarżącą były odpowiednie w rozumieniu art. 32 ust. 1 i 2 RODO, skarżąca dokonała prawidłowej, kompletnej i zgodnej ze wszelkimi wymaganymi standardami analizy szacowania ryzyka i jednoznacznie wykazała w toku przeprowadzonego postępowania wypełnianie obowiązków unormowanych w ww. regulacjach prawnych,

b) art. 28 ust. 3 lit. c i 32 ust. 1 RODO poprzez odpowiednio ich niezastosowanie

i błędną wykładnię, co doprowadziło do przyjęcia, że skarżąca jest wyłącznie zobowiązana do wdrożenia odpowiednich środków technicznych i organizacyjnych celem zapewnienia odpowiedniego stopnia bezpieczeństwa odpowiadającego ryzyku przetwarzania, mimo że zobowiązania te powinny zostać skierowane do innego podmiotu - [...] Sp. z o.o., tj. podmiotu przetwarzającego w rozumieniu art. 4 pkt 8 RODO, powodując tym samym nieważność decyzji na mocy art. 156 § 1 pkt 4 k.p.a.

c) art. 72 u.o.d.o. w zw. z art. 83 ust. 2 lit. h RODO, poprzez ich niezastosowanie,

w sytuacji gdy organ ustalił takie okoliczności jak: powzięcie przez organ informacji

o naruszeniu od skarżącej (auto-denuncjacja), tj. okoliczności, które w świetle art. 83 ust. 2 RODO dają podstawę do złagodzenia nałożonej kary administracyjnej;

d) art. 83 ust. 2 RODO:

- lit. a poprzez brak uwzględnienia przez organ faktycznej ilości osób (500), których dane uległy naruszeniu,

- lit. a poprzez brak uwzględnienia przez organ w ustalonym stanie faktycznym krótkotrwałego okresu trwania naruszenia, jako okoliczności łagodzącej, w sytuacji gdy szybka reakcja skarżącej na podejrzenie naruszenia winna zostać pozytywnie oceniona przez organ w toku ustalania wysokości nakładanej kary administracyjnej, - lit. a poprzez jego niewłaściwe zastosowanie i przyjęcie, że charakter, waga i czas trwania naruszenia uzasadniają zastosowanie środka, o którym mowa w art. 58 ust. 2 lit. i RODO, podczas gdy charakter naruszenia, jego waga oraz czas trwania nie uzasadniają nałożenia kary pieniężnej, ponieważ według dowodów zebranych

w sprawie naruszenie dotyczyło 500 osób i było krótkotrwałe,

- lit. d poprzez jego błędne zastosowanie i przyjęcie, że stopień odpowiedzialności Spółki uzasadnia nałożenie kary, podczas gdy okoliczności będące przedmiotem niniejszej sprawy, w szczególności:

a) poziom wdrożenia RODO w Spółce, w tym stosowanie procedury,

b) stosowane organizacyjne i techniczne środki bezpieczeństwa, w tym bezpieczeństwa IT,

c) powołanie Inspektora Ochrony Danych,

d) pełną współpracę skarżącej z organem nadzorczym,

e) charakter zaistniałego zdarzenia

f) Spółka nigdy wcześniej nie dopuściła się najmniejszego nawet naruszenia przepisów o ochronie danych osobowych wskazują, że było ono okolicznością nadzwyczajną,

- lit. e poprzez jego niezastosowanie i brak uwzględnienia przez organ faktu, iż Spółka nigdy wcześniej nie dopuściła się najmniejszego nawet naruszenia przepisów

o ochronie danych osobowych,

- lit. f poprzez jego błędne zastosowanie i brak wskazania, o ile (kwotowo lub

w procentach) kara została obniżona w związku z dobrą i pełną współpracą Spółki

z Prezesem UODO,

- lit. k poprzez przez jego niewłaściwe zastosowanie i brak uwzględnienia, że Spółka poinformowała podmioty danych o sytuacji pomimo nieziszczenia się obowiązku informowania podmiotów danych, o którym mowa w art. 34 ust. 1 RODO, które to naruszenie bezpośrednio wpływa na nieproporcjonalność nałożonej kary administracyjnej.

W związku z powyższym skarżąca wniosła o stwierdzenie nieważności zaskarżonej decyzji w całości, wobec zaistnienia przyczyny określonej w art. 156 § 1 pkt 4 k.p.a., ewentualnie o uchylenie zaskarżonej decyzji w całości oraz zasądzenie zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego według norm prawem przepisanych.

W uzasadnieniu skargi skarżąca rozwinęła ww. zarzuty.

W odpowiedzi na skargę organ wniósł o oddalenie skargi. Podtrzymując swoje dotychczasowe stanowisko w sprawie w obszerny sposób odniósł się do zarzutów skargi uznając je za niezasadne.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. z 2024 r., poz. 1267 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, sprawowaną pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Na podstawie art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024 r., poz. 935 zwanej dalej "p.p.s.a.") Sąd przy rozstrzyganiu sprawy nie jest związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną. Oceniając zaskarżoną decyzję według powyższych kryteriów, uznać należy, że nie narusza ona prawa.

Istota sprawy w niniejszym postępowaniu sprowadzała się do oceny tego, czy Prezes UODO ustalił w prawidłowy sposób pełny stan faktyczny towarzyszący podjętej decyzji i czy przy jej wydaniu poruszał się w granicach prawa.

W ocenie Sądu w składzie orzekającym w niniejszej sprawie na wyżej postawione pytanie należało udzielić pozytywnej odpowiedzi.

Przedmiotem kontroli Sądu jest decyzja Prezesa UODO z [...] listopada 2023 r. stwierdzająca naruszenie przez skarżącą przepisów art. 32 ust. 1 i 2 rozporządzenia 2016/679, polegające na niewdrożeniu odpowiednich środków technicznych

i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych, w tym zapewniających zdolność do ciągłego zapewnienia dostępności i odporności systemów i usług przetwarzania oraz zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, przy uwzględnieniu ryzyka wiążącego się

z przetwarzaniem wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia lub utraty danych osobowych przechowywanych lub w inny sposób przetwarzanych w systemie informatycznym CRM i przechowywanych na serwerach, który uległ zniszczeniu i nakładająca na Spółkę administracyjną karę pieniężną

w kwocie 117 900 zł.

W pierwszej kolejności stwierdzić należy, że wbrew temu co podnosi skarżąca brak jest podstaw do stwierdzenia nieważności zaskarżonej decyzji. Wyjaśnić przy tym należy, że to skarżąca jako administrator, a nie tylko podmiot przetwarzający, była zobowiązana do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych. Nie zaistniała więc przyczyna określona w art. 156 § 1 pkt 4 k.p.a. Brak było też podstaw do umorzenia postępowania administracyjnego jako bezprzedmiotowego. Postępowanie dotyczyło bowiem możliwości naruszenia przez skarżącą jako administratora danych obowiązków wynikających z przepisów o ochronie danych osobowych.

Zaskarżona decyzja wskazuje za co organ nadzoru nałożył na skarżącą karę administracyjną pieniężną i wbrew zarzutom skargi, w wyczerpujący sposób podaje motywy wymierzenia tej kary w wysokości określonej w sentencji rozstrzygnięcia.

W sentencji zaskarżonej decyzji wskazano także przepisy rozporządzenia 2016/679, których naruszenie stwierdzono w toku postępowania. Natomiast w jej obszernym uzasadnieniu zawarto wyczerpujący opis tych naruszeń i ich kwalifikację prawną.

Konkretyzując stan prawny przywołania wymaga art. 5 rozporządzenia 2016/679, który wskazuje zasady dotyczące przetwarzania danych osobowych jakie muszą być respektowane przez wszystkich administratorów, tj. podmioty wskazane prawem Unii lub prawem państwa członkowskiego oraz podmioty, które samodzielnie lub wspólnie

z innymi ustalają cele i sposoby przetwarzania danych osobowych.

Zgodnie z art. 5 ust. 1 lit. f) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem,

za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność

i poufność").

Zgodnie z treścią art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Przepis ten określa podstawowe

i główne obowiązki administratora, którego obciąża wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających zgodność przetwarzania z wymogami rozporządzenia 2016/679. Chodzi tu w szczególności o realizację zasad wskazanych

w art. 5 ust. 1 tego rozporządzenia.

Zgodnie natomiast z art. 25 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania - wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi rozporządzenia oraz chronić prawa osób, których dane dotyczą (uwzględnianie ochrony danych w fazie projektowania).

Stosownie do art. 32 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów

i usług przetwarzania (lit. b) oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (lit. d).

W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego

z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Omawiając powyższą problematykę zasadnym będzie też przywołanie ugruntowanych poglądów judykatury, z którymi Sąd w pełni się zgadza – i tak – Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 3 września 2020 r.

sygn. akt II SA/Wa 2559/19, przesądził, że "Rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych

z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są nie tylko do zapewnienia zgodności

z wytycznymi ww. rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych

i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki

i procedury, które będą adekwatne do oszacowanego ryzyka".

Jak zaś wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku

z 26 sierpnia 2020 r. sygn. akt II SA/Wa 2826/19 - "Przepis ten [art. 32 rozporządzenia 2016/679] nie wymaga od administratora danych wdrożenia jakichkolwiek środków technicznych i organizacyjnych, które mają stanowić środki ochrony danych osobowych, ale wymaga wdrożenia środków adekwatnych. Taką adekwatność oceniać należy pod kątem sposobu i celu, w jakim dane osobowe są przetwarzane, ale też należy brać pod uwagę ryzyko związane z przetwarzaniem tych danych osobowych, które to ryzyko charakteryzować się może różną wysokością. (...) Przyjęte środki mają mieć charakter skuteczny, w konkretnych przypadkach niektóre środki będą musiały być środkami

o charakterze niwelującym niskie ryzyko, inne - muszą niwelować ryzyko wysokie, ważne jednak jest, aby wszystkie środki (a także każdy z osobna) były adekwatne

i proporcjonalne do stopnia ryzyka. (...) czynności o charakterze techniczno - organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych".

Poza sporem w niniejszej sprawie jest, że [...] marca 2021 r. Spółka zgłosiła Prezesowi UODO naruszenie ochrony danych osobowych polegające na zniszczeniu serwerowni w wyniku pożaru, czym został naruszony atrybut dostępności danych osobowych, których administratorem była skarżąca.

W ocenie Sądu, w niniejszej sprawie, wbrew temu co podnosi skarżąca, rozstrzygnięcie organu nadzorczego zostało wydane z pełnym poszanowaniem zasad określonych w Kodeksie postępowania administracyjnego, w szczególności w zgodzie

z art. 7, art. 8, art. 10 § 1, art. 61 § 4, 77 § 1, art. 77 § 4, art. 80, art. 81, art. 81 a §1, art. 84 § 1, art. 107 §1 pkt 5, art. 107 §1 pkt 6, art. 107 § 3 k.p.a. Prezes UODO przed wydaniem zaskarżonej decyzji podjął wszelkie czynności niezbędne do dokładnego wyjaśnienia stanu faktycznego i do załatwienia sprawy uwzględniając przy tym interes społeczny i słuszny interes obywateli. Skarżąca została poinformowana

o uprawnieniach strony postępowania administracyjnego wynikających z art. 10 § 1

i art. 73 § 1 k.p.a. Skarżąca miała możliwość w toku postępowania wyjaśniającego,

a następnie w toku postępowania administracyjnego, składania dowodów. Co więcej, skarżąca była wzywana przez organ do złożenia wyjaśnień oraz dowodów na ich potwierdzenie. Prezes UODO przy ustaleniu okoliczności stanu faktycznego rozpatrywanej sprawy oparł się na dowodach (dokumentach) i wyjaśnieniach złożonych przez skarżącą, które w sposób szczegółowy poddał analizie pod kątem zasad wynikających z przepisów rozporządzenia 2016/679, w tym dotyczących obowiązku administratora z art. 32 ust. 1 i 2 rozporządzenia 2016/679. Prezes UODO dokładnie wyjaśnił okoliczności sprawy i konkretnie ustosunkował się do żądań i twierdzeń strony. Zaskarżona decyzja, poprzez zawarte w niej uzasadnienie prawne i faktyczne, spełnia wszystkie wymogi określone w art 107 § 1 i 3 k.p.a., pozostając jednocześnie w zgodzie z orzecznictwem administracyjnym w tej materii. Organ, prowadząc postępowanie, kierował się przesłankami proporcjonalności, bezstronności i równego traktowania. Przyczyny nałożenia na skarżącą administracyjnej kary pieniężnej zostały obszernie

i szczegółowo w decyzji omówione, a jej wysokość odniesiona m.in. do danych ze sprawozdania finansowego Spółki. Organ w zaskarżonej decyzji wskazał, na jakich dowodach się oparł i dlaczego, a którym z nich odmówił wiarygodności i z jakich powodów.

Z całościowej analizy tego materiału wynika, że w zaistniałej sytuacji doszło do naruszenia przez skarżącą przepisu art. 32 ust. 1 i 2 rozporządzenia 2016/679. Organ uprawniony był więc do wymierzenia skarżącej administracyjnej kary pieniężnej na podstawie art. 83 ust. 4 lit. a) w zw. z art. 58 ust. 2 lit. i) rozporządzenia 2016/679

w związku z art. 101 i art. 103 u.o.d.o. i przy uwzględnieniu czynników indywidualizujących wymiar kary, o których mowa w art. 83 ust. 1-2 rozporządzenia 2016/679.

Dlatego też zgodzić się należy ze stanowiskiem organu zawartym w odpowiedzi na skargę, że w przytoczonym powyżej zakresie skarga na decyzję Prezesa UODO sprowadza się w istocie do próby odmiennej oceny dowodów. Zaskarżona decyzja zawiera niebudzące wątpliwości rozstrzygnięcie, w którym organ wskazał normę prawa materialnego, która została przez skarżącą naruszona w odniesieniu do okoliczności faktycznych ze wskazaniem konkretnej podstawy prawnej oraz wyjaśnieniem, na czym polegało naruszenie przepisów, za naruszenie których skarżąca została ukarana. Organ prawidłowo przedstawił stan faktyczny oraz dokonał jego trafnej kwalifikacji prawnej. Zatem nie jest uprawnione twierdzenie skarżącej, że treść rozstrzygnięcia wyklucza kontrolę instancyjną decyzji w zakresie konkretnego i indywidualnie oznaczonego czynu oraz określenie zakresu przedmiotowej sprawy objętej powagą sprawy rozstrzygniętej. Organ podał w sposób czytelny przyczyny rozstrzygnięcia sprawy wskazując na okoliczności, które miały zasadniczy i decydujący wpływ na treść decyzji. Rozstrzygnięcie było zaś wynikiem dokładnego wyjaśnienia stanu faktycznego sprawy, wszechstronnego zebrania oraz rozpatrzenia w sposób wyczerpujący materiału dowodowego.

Organ prawidłowo pismem z [...] marca 2022 r. zawiadomił skarżącą o wszczęciu postępowania administracyjnego. Poinformował Spółkę, że przedmiotem postępowania jest możliwość naruszenia przez nią, jako administratora danych, w związku ze zgłoszonym Prezesowi DODO naruszeniem ochrony danych, obowiązków wynikających z przepisów art. 32 ust. 1 i 2 rozporządzenia 2016/679. Jednocześnie Prezes UODO przytoczył treść ww. przepisów oraz dokonując zawiadomienia o wszczęciu postępowania administracyjnego poinformował skarżącą o prawach przysługujących na mocy art. 10 § 1 oraz 73 § 1 k.p.a., z których to praw w toku trwającego postępowania administracyjnego skarżąca skorzystała. Prezes UODO w toku trwającego postępowania administracyjnego zwracał się do skarżącej o udzielenie wyjaśnień oraz, co należy podkreślić, o przedstawienie dowodów na ich potwierdzenie. Przeprowadził dowody, o które wnioskowała skarżąca. Ponadto, poinformował skarżącą

o zgromadzeniu materiału dowodowego wystarczającego do wydania decyzji administracyjnej w przedmiotowej sprawie oraz o prawie do wypowiedzenia się co do zebranych w toku postępowania dowodów i materiałów oraz zgłoszonych żądań.

Istotne jest, że rozporządzenie 2016/679 wprowadziło podejście oparte na ryzyku, w szczególności do zapewnienia bezpieczeństwa przetwarzania danych. Konsekwencją powyższego jest konieczność ustalenia przebiegu procesu szacowania ryzyka, a następnie, czy na tej podstawie, w oparciu o elementy wyszczególnione

w art. 32 ust. 1 i 2 rozporządzenia 2016/679, zostały wdrożone środki bezpieczeństwa odpowiednie do tej oceny. Podstawą do oceny jest zatem przeprowadzona analiza ryzyka - i w tym zakresie organ wszechstronnie zebrał materiał dowodowy, zwracając się do skarżącej o udzielenie wyjaśnień i przedstawienie dowodów na ich potwierdzenie. W oparciu o wyczerpujące pytania Prezesa UODO skarżącej została zapewniona pełna możliwość ustosunkowania się do istotnych okoliczności mających wpływ na treść rozstrzygnięcia oraz możliwość przedstawienia na te okoliczności dowodów.

Skarżąca złożyła wniosek o przeprowadzenie dowodu z "Polityki ochrony danych osobowych w [...] z siedzibą w [...]" - na fakt opracowania, wdrożenia

i przestrzegania stosownych procedur ochrony danych osobowych i dowód ten został przez organ przeprowadzony. Jak wyjaśnił Prezes UODO w zaskarżonej decyzji, Polityka bezpieczeństwa nie odnosi się w sposób szczegółowy do sposobów zapewnienia dostępności danych osobowych, odsyłając do konieczności przeprowadzenia analizy ryzyka i na jej podstawie ustalenia odpowiednich środków technicznych i organizacyjnych o treści korespondującej z art. 32 ust. 1 rozporządzenia 2016/679, bezpośrednio wskazując na elementy, których uwzględnienie było konieczne dla ustalenia tego ryzyka, m.in. cel przetwarzania danych osobowych. I jak zostało to szczegółowy wyjaśnione w niniejszej decyzji administracyjnej, elementy te nie zostały uwzględnione i w konsekwencji Spółka nie wdrożyła środków technicznych

i organizacyjnych mających na celu zapewnienie bezpieczeństwa przetwarzanym danym odpowiednio do ryzyka.

Podkreślić należy, że ww. polityka przewidywała zadania w postaci tworzenia kopii bezpieczeństwa, podobnie jak "Umowa powierzenia przetwarzania danych

w spółce [...]", której postanowienia rozgraniczały sferę odpowiedzialności za zapewnienie bezpieczeństwa w kontekście wskazanych w umowie istotnych okolicznościach mogących prowadzić do utraty danych, w której to skarżąca przyjęła na siebie obowiązek sporządzania kopii bezpieczeństwa. Pomimo, że oba te dokumenty przewidywały techniczny środek bezpieczeństwa (w postaci wykonywania kopii bezpieczeństwa danych), to jednak do czasu wystąpienia naruszenia ochrony danych osobowych kopie zapasowe nie były przez skarżącą tworzone. W celu prawidłowego wywiązania się z obowiązków nałożonych ww. przepisami rozporządzenia 2016/679, Spółka była zobowiązana do podjęcia działań zapewniających właściwy poziom ochrony danych poprzez wdrożenie odpowiednich środków technicznych oraz organizacyjnych, w tym zmierzających do zapewnienia zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Charakter i rodzaj tych działań powinien wynikać

z przeprowadzonej analizy ryzyka, w której powinno się zidentyfikować podatności odnoszące się do wykorzystywanych zasobów oraz wynikające z nich zagrożenia,

a następnie określić adekwatne środki bezpieczeństwa.

Skarżąca na podstawie analizy ryzyka uznała, że stopień ryzyka jest akceptowalny i w konsekwencji zrezygnowała z jakiegokolwiek środka bezpieczeństwa mającego na celu m.in. zapewnienie zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Tym samym w analizie ryzyka nie został wskazany jakikolwiek środek bezpieczeństwa, wobec czego organ nie miał możliwości dokonać oceny w tym zakresie. Czyni to więc zarzut skarżącej, że Prezes UODO nie dokonał wszechstronnej oraz merytorycznej oceny przedstawionych przez Spółkę stosownych środków bezpieczeństwa oczywiście bezzasadnym.

Sąd podziela stanowisko organu, że skarżąca nie udokumentowała analizy ryzyka oraz nie była w stanie uzasadnić, na podstawie jakich okoliczności faktycznych przyjęła ocenę dla przedmiotowych kryteriów, a jedyne jej uzasadnienie polegało na odesłaniu do strony internetowej podmiotu przetwarzającego, odwołującej się do stanu faktycznego oddalonego o 4,5 roku od momentu, gdy stosowanie rozporządzenia 2016/679 było konieczne ([...] maja 2018 r.) oraz ponad 1,5 roku od momentu wystąpienia naruszenia ochrony danych osobowych ([...] marca 2021 r.). Skarżąca na pytanie Prezesa UODO o szczegółowe wskazanie, na podstawie jakich konkretnych informacji dokonała oceny ww. kryteriów, nie była w stanie uzasadnić swoich założeń. Mając na uwadze powyższe oraz obowiązek skarżącej wynikający z zasady rozliczalności wyrażonej w art. 5 ust 2 rozporządzenia 2016/679, organ był więc w pełni uprawniony do wskazania, że ocena tych środków była dowolna, a polegała na przyjęciu wartości pozwalających na zwolnienia się z odpowiedzialności i w istocie sprowadzała się do bezrefleksyjnego przepisania uzasadnienia z metodyki analizy ryzyka.

Skarżąca całkowicie pomija, że w swoich własnych procedurach przewidziała sporządzanie kopii zapasowych i do nich się nie zastosowała. Również w umowie powierzenia przetwarzania danych osobowych zawartej z [...] Sp. z o.o. skarżąca przyjęła na siebie obowiązek sporządzania kopii zapasowych. W umowie tej została bowiem poinformowana przez podmiot przetwarzający o istotnych zagrożeniach mogących mieć wpływ na utratę danych przechowywanych na serwerach (które uległy spaleniu) i właśnie o tym środku bezpieczeństwa jako przeciwdziałającym wskazanym ryzykom, a mimo tego kopii bezpieczeństwa nie sporządzała. Co więcej, skarżąca na zastosowanie środka bezpieczeństwa w postaci tworzenia kopii zapasowych zdecydowała się dopiero po wystąpieniu naruszenia ochrony danych osobowych. Wobec powyższego, Prezes UODO był uprawniony do odniesienia się właśnie do tego środka bezpieczeństwa w zaskarżonej decyzji.

Formułując zarzuty zawarte w skardze skarżąca całkowicie pomija fundamentalny aspekt systemu ochrony danych osobowych, tj. kwestię zasady rozliczalności. Zadaniem organu nadzorczego nie jest bowiem wskazywanie administratorom, jakie konkretne środki techniczne i organizacyjne powinni wdrożyć, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Zadaniem Prezesa UODO jest natomiast weryfikacja adekwatności tych środków, którą organ przeprowadza w oparciu o przedłożone przez administratora dokumenty, takie jak między innymi analiza ryzyka, polityka bezpieczeństwa, czy umowa powierzenia przetwarzania danych.

W okolicznościach przedmiotowej sprawy Spółka jako administrator, pomimo świadomości zagrożeń mogących skutkować utratą dostępności danych oraz wagi zagrożenia dla danych osobowych przetwarzanych w systemie CRM oraz konieczności zastosowania środków bezpieczeństwa zdolnych do ciągłego zapewnienia poufności danych, integralności, dostępności i odporności systemów i usług przetwarzania oraz zdolnych do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, które zostały przez nią zdefiniowane

w Polityce bezpieczeństwa i umowie powierzenia przetwarzania danych osobowych zawartej z [...] Sp. zo.o. jako tworzenie kopii zapasowych, nie wdrożyła tych środków, a co więcej (poza wagą zagrożenia dla danych osobowych przetwarzanych w systemie CRM) nie uwzględniła powyższego w przeprowadzonej analizie ryzyka.

W ocenie Sądu, wbrew temu co podnosi skarżąca, stwierdzenie Prezesa UODO, że Spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych, w tym zapewniających zdolność do ciągłego zapewnienia dostępności i odporności systemów i usług przetwarzania oraz zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, przy uwzględnieniu ryzyka wiążącego się z przetwarzaniem wynikającego

z przypadkowego lub niezgodnego z prawem zniszczenia lub utraty danych osobowych przechowywanych lub w inny sposób przetwarzanych w systemie informatycznym CRM i przechowywanych na serwerach, jest logiczne i uwzględnia zasady doświadczenia życiowego. Skarżąca bezpowrotnie bowiem utraciła dane osobowe około 14 000 osób, wobec czego logiczne, jak i uwzględniające zasady doświadczenia życiowego jest stwierdzenie, że nie była w stanie sprostać dyspozycji przepisów art. 32 ust 1 lit. b) i c) rozporządzenia 2016/679 poprzez brak zdolności do ciągłego zapewnienia dostępności i odporności systemów i usług przetwarzania oraz zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.

Prezes UODO w treści decyzji na podstawie prawidłowo ustalonego stanu faktycznego i rzetelnie ocenionych dowodów szczegółowo wyjaśnił, dlaczego skarżąca powinna i dlaczego nie wdrożyła odpowiednich środków technicznych

i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych oraz nie uwzględniła prawidłowo ryzyka związanego

z przetwarzaniem, wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia czy utraty danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, co w konsekwencji doprowadziło do bezpowrotnej utraty danych osobowych oraz braku możliwości wywiązania się z dyspozycji art. 32 ust. 1 lit. b) i c) rozporządzenia 2016/679 poprzez brak zastosowania wskazanych tam środków bezpieczeństwa.

Trafnie wskazał organ, że skarżąca pomimo dwukrotnych wezwań Prezesa UODO, w których zwracał się on o wyjaśnienie, o jaką analizę chodzi, takiej analizy nie przeprowadziła i nie przedstawiła. Obowiązek przeprowadzenia analizy ryzyka pod kątem naruszenia praw lub wolności osób fizycznych w sytuacji wystąpienia naruszenia ochrony danych osobowych wynika z treści art. 33 ust. 1 oraz 34 ust. 1 rozporządzenia 2016/679. W sytuacji, gdy w związku z wystąpieniem naruszenia ochrony danych osobowych nie jest mało prawdopodobne, że naruszenie może skutkować ryzykiem naruszenia praw lub wolności osób fizycznych, administrator zobowiązany jest dokonać zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO. Natomiast

w sytuacji, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator zobowiązany jest również do zawiadomienia o naruszeniu ochrony danych osobowych osoby których danych osobowych naruszenie dotyczy. Skarżąca dokonała zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO, określając charakter naruszenia jako "naruszenie dostępności danych" oraz wskazując na "brak możliwości wykorzystania danych na żądanie, w złożonym czasie, przez osobę uprawnioną", a możliwe konsekwencje jako "utrata kontroli nad własnymi danymi osobowymi". Zatem skarżąca musiała przeprowadzić chociaż proces myślowy umożliwiający analizę naruszenia ochrony danych osobowych pod kątem możliwości naruszenia praw lub wolności osób fizycznych, czego końcowym efektem była właśnie okoliczność prawidłowego działania w postaci zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu. Jednocześnie, w treści zgłoszenia skarżąca poinformowała, że nie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych, od której uzależniona jest konieczność zawiadomienia o naruszeniu osób fizycznych, błędnie odnosząc skutek naruszenia do atrybutu poufności danych, a nie do atrybutu dostępności.

Skarżąca powinna zastosować odpowiednie środki techniczne i organizacyjne mające na celu odpowiednie zabezpieczenie dostępności danych osobowych, w tym, jak stanowi art. 32 ust. 1 lit. b) i c) - zdolność do ciągłego zapewnienia poufności danych, integralności, dostępności i odporności systemów i usług przetwarzania oraz zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Skarżąca nie ustaliła prawidłowo ryzyka i w konsekwencji nie zastosowała jakiegokolwiek środka bezpieczeństwa, co zostało przez organ bardzo szczegółowo wyjaśnione w treści zaskarżonej decyzji.

Prezes UODO wyjaśnił też w decyzji, że przedmiotem postępowania administracyjnego była możliwość naruszenia przepisów o ochronie danych osobowych w postaci naruszenia art. 32 ust. 1 i 2 rozporządzenia 2016/679, a nie odpowiedzialność Spółki za wystąpienie naruszenia ochrony danych osobowych. Wystąpienie naruszenia ochrony danych osobowych w wyniku pożaru, które zostało zgłoszone Prezesowi UODO, stanowiło przyczynek do podjęcia postępowania wyjaśniającego wobec skarżącej w związku z wątpliwościami co do zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzanym danym osobowym. Organ jest zaś uprawniony do oceny analizy ryzyka, w tym weryfikacji jej przeprowadzenia w odniesieniu do obiektywnych okoliczności, konfrontując je z kryteriami zawartymi w art. 32 ust. 1 i 2 rozporządzenia 2016/679. Dokonując oceny przedstawionej przez skarżącą analizy ryzyka organ zaprezentował racjonalne wnioski.

W odniesieniu do zarzutu wskazującego na nieustalenie przez organ liczby osób, których dotyczyło naruszenie, zauważyć należy, że to sama skarżąca w formularzu zgłoszenia naruszenia ochrony danych osobowych oświadczyła, że przybliżona liczba osób, których dotyczy naruszenie to 14 000. Jednocześnie w ww. formularzu skarżąca wskazała, że o przedmiotowym naruszeniu zawiadomiła 14 000 osób i przedstawiała dowód to potwierdzający. Stawianie zarzutu naruszenia w tym zakresie przez Prezesa UODO, jak trafnie zauważył organ, wynika jedynie z chęci uniknięcia przez skarżącą odpowiedzialności za stwierdzone naruszenie przepisów o ochronie danych osobowych. Dowody potwierdzające okoliczność liczby osób zawiadomionych

o naruszeniu, jak również informacja przekazana przez administratora w zgłoszeniu naruszenia ochrony danych osobowych, powinny być kluczowymi dowodami na ustalenie liczby osób objętych naruszeniem. Przyjęcie takiego zarzutu skarżącej

w istocie umożliwiłoby każdemu administratorowi wprowadzać w błąd organ wobec faktu zniszczenia danych i braku możliwości ich analizy.

W ocenie Sądu, Prezes UODO w uzasadnieniu zaskarżonej decyzji precyzyjnie określił okoliczności decydujące o konieczności nałożenia administracyjnej kary pieniężnej oraz czynniki mające wpływ na jej wysokość, stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679. Decydując, czy nałożyć administracyjną karę pieniężną, a także ustalając jej wysokość, za podstawę organ uznał naruszenie przez Spółkę jako administratora jednego z podstawowych jego obowiązków, tj. określonego w art. 32 ust. 1 i 2 rozporządzenia 2016/679. Stwierdził przy tym, że stosownie do treści art. 83 ust. 2 rozporządzenia 2016/679, karą zarówno adekwatną w ustalonych okolicznościach faktycznych sprawy, jak i spełniającą swoją funkcję na gruncie art. 83 ust. 1 rozporządzenia 2016/679, będzie kwota 117 900 zł. Wartość ta z jednej bowiem strony odzwierciedla w sposób właściwy charakter, wagę i czas trwania przedmiotowego naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody, umyślny charakter naruszenia, stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 ze strony administratora, a także stopień współpracy z organem w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków. Innymi słowy, wysokość administracyjnej kary pieniężnej w ustalonym stanie faktycznym stanowi proporcjonalny do charakteru

i zakresu przedmiotowego naruszenia przejaw koniecznego działania ze strony organu nadzorczego, zmierzającego do przywrócenia stanu zgodnego z prawem, bez nakładania na adresata decyzji ciężarów, którym nie mógłby on podołać. Ponadto, organ ustalając wysokość administracyjnej kary pieniężnej odniósł ją do informacji zawartych w sprawozdaniu finansowym skarżącej. Nadto, oceniając wysokość nałożonej zaskarżoną decyzją administracyjnej kary pieniężnej należy mieć na uwadze przewidziane we właściwych przepisach w takich przypadkach limity kar oraz fakt, że

w przedmiotowej sprawie kara ta była daleko od nich niższa.

Wyjaśnić w tym miejscu należy, że wymienione w art. 83 ust. 2 rozporządzenia 2016/679 przesłanki, jakie należy wziąć pod uwagę przy nakładaniu przez organ administracyjnej kary pieniężnej, są przesłankami w większości ocennymi. Prawodawca unijny nie zdefiniował, która z przesłanek miarkowania kary jest przesłanką łagodzącą, a która zaostrzającą jej wymiar, uznając, że ocena dokonywana przez organ nadzorczy w tym zakresie będzie uzależniona od okoliczności konkretnej sprawy. Organ wskazał, dlaczego zasadnym w przedmiotowej sprawie było zastosowanie właśnie takiego środka naprawczego względem Spółki.

Odnosząc się do zarzutu skarżącej w zakresie braku uzasadnienia przez organ wysokości nałożonej kary administracyjnej w zakresie m.in. wyliczenia

i skwantyfikowania, jakie przełożenie na wysokość nałożonej kary miały okoliczności, które w ocenie organu miały charakter łagodzący lub zaostrzający odpowiedzialność skarżącej, co w konsekwencji uniemożliwia realną kontrolę merytoryczną decyzji wyjaśnić należy, że organ nie ma obowiązku w treści uzasadnienia rozstrzygnięcia przedstawiać wyliczeń matematycznych.

Nie można też uznać, aby to z przyczyn leżących po stronie podmiotu przetwarzającego skarżąca nie zastosowała jakiegokolwiek środka bezpieczeństwa zapewniającego zdolność do ciągłego zapewnienia dostępności i odporności systemów i usług przetwarzania oraz zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, zgodnie

z treścią art. 32 ust. 1 lit. c) i d) rozporządzenia 2016/679. Wdrożenie takiego środka,

w postaci wykonywania kopii zapasowych, w świetle ww. umowy, należało bowiem do obowiązków skarżącej.

Zgodzić się należy z Prezesem UODO, że czas trwania naruszenia przepisów

o ochronie danych osobowych przez skarżącą, w której nie zapewniła, aby przetwarzanie danych osobowych odbywało się z poszanowaniem wymogów wynikających z przepisów art. 32 ust. 1 i 2 rozporządzenia 2016/679, nie był krótkotrwały. Czas trwania naruszenia, tj. od 25 maja 2018 r. (data rozpoczęcia stosowania rozporządzenia 2016/679 - uwzględniający okres powierzenia przetwarzania danych i przechowywania ich na serwerach, które uległy spaleniu) do 10 marca 2021 r. (data naruszenia ochrony danych osobowych polegającego na zniszczeniu serwerowni w wyniku pożaru) przepisów o ochronie danych osobowych,

w którym Spółka nie zapewniła, aby przetwarzanie odbywało się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed przypadkową utratą, zniszczeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych, był znaczny.

W ocenie Sądu zastosowana przez Prezesa UODO administracyjna kara pieniężna spełnia, w ustalonych okolicznościach niniejszej sprawy, funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

Organ uzasadnił nałożenie administracyjnej kary finansowej, wskazując przesłanki, na jakich się oparł, biorąc pod uwagę charakter, wagę i czas trwania naruszenia i okoliczności zarówno obciążające, jak i łagodzące wymiar tej kary.

W przedmiotowej sprawie organ słusznie uznał, że charakter, waga, czas naruszenia, kategorie danych osobowych, których dotyczyło naruszenie, umyślny lub nieumyślny charakter naruszenia, kwalifikuje się do nałożenia przedmiotowej kary finansowej.

W uzasadnieniu zaskarżonej decyzji Prezes UODO wskazał, na podstawie

art. 83 ust. 2 lit. a – k rozporządzenia 2016/679, jakie okoliczności uznał za te, które wpływają na zaostrzenie kary i te, które przemawiają za złagodzeniem wymiaru kary oraz wypowiedział się co do umyślnego charakteru naruszenia. Nie można więc organowi orzekającemu w sprawie skutecznie postawić zarzutu dowolności podjętego rozstrzygnięcia.

Biorąc powyższe pod uwagę należy stwierdzić, że zaskarżona decyzja administracyjna Prezesa UODO z [...] listopada 2023 r. została wydana w oparciu

o wystarczający materiał dowodowy, pozyskany w wyniku postępowania administracyjnego przeprowadzonego zgodnie z zasadami określonymi w Kodeksie postępowania administracyjnego.

Skoro zatem wszystkie podniesione przez skarżącą zarzuty okazały się chybione oraz brak jest podstaw do uznania, że organ dopuścił się innych naruszeń prawa, które mogłyby stanowić o uchyleniu albo stwierdzeniu nieważności zaskarżonej decyzji, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 p.p.s.a., orzekł jak w sentencji.