{\rtf1\ansi\ansicpg1252
\deff0{\fonttbl{\f0\froman\fcharset0 Times New Roman;}{\f1\froman\fcharset0 Helvetica;}{\f2\froman\fcharset0 Arial;}{\f3\froman\fcharset0 unknown;}}
{\colortbl\red0\green0\blue0;\red255\green255\blue255;\red192\green192\blue192;}
{\stylesheet 
{\style\s1 \ql\fi0\li0\ri0\f2\fs32\b\cf0 heading 1;}
{\style\s2 \ql\fi0\li0\ri0\f2\fs28\b\i\cf0 heading 2;}
{\style\s3 \ql\fi0\li0\ri0\f2\fs26\b\cf0 heading 3;}
{\style\s0 \ql\fi0\li0\ri0\f2\fs24\cf0 Normal;}
}
{\*\listtable
}
{\*\listoverridetable
}
{\info}
\paperw11907\paperh16840\margl1440\margr1120\margt1720\margb1440
{\footer \pard\plain\s0\ql\fi0\li0\ri0\plain\f0 2026-04-11 13:34\par
}{\header \trowd
\trftsWidth3\trwWidth9347\trqc\trgaph10\trpaddl0\trpaddr0\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7630
\cellx7630\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1716
\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f0 Centralna Baza Orzecze\u324? S\u261?d\u243?w Administracyjnych
\cell\pard\plain\intbl\s0\qr\fi0\li0\ri0\plain\f0 Str \f3{\field{\*\fldinst PAGE}{\fldrslt  }}\f0  / \f3{\field{\*\fldinst NUMPAGES \\* Arabic}{\fldrslt 1 }}
\cell \trowd
\trftsWidth3\trwWidth9347\trqc\trgaph10\trpaddl0\trpaddr0\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7630
\cellx7630\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1716
\cellx9346\row
\pard}\pgwsxn11907\pghsxn16840
\marglsxn1440\margrsxn1120\margtsxn1720\margbsxn1440\pard\plain\s0\fi0\li0\ri0\plain\f1\fs24\b II SA/Wa 251/24 - Wyrok\b0\par
\par\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Data orzeczenia\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 2024-11-27
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Data wp\u322?ywu\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 2024-02-22
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b S\u261?d\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Wojew\u243?dzki S\u261?d Administracyjny w Warszawie
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b S\u281?dziowie\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Danuta Kania /przewodnicz\u261?cy/
\par Dorota Kozub-Marciniak
\par S\u322?awomir Fularski /sprawozdawca/
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Symbol z opisem\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 647  Sprawy zwi\u261?zane z ochron\u261? danych osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Has\u322?a tematyczne\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Ochrona danych osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Skar\u380?ony organ\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Generalny Inspektor Ochrony Danych Osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Tre\u347?\u263? wyniku\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Oddalono skarg\u281?
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Powo\u322?ane przepisy\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Dz.U. 2024 nr 0 poz 935; art. 151; Ustawa z dnia 30 sierpnia 2002 r. Prawo o post\u281?powaniu przed s\u261?dami administracyjnymi (t. j.)
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Sentencja\b0
\par\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs22 Wojew\u243?dzki S\u261?d Administracyjny w Warszawie w sk\u322?adzie nast\u281?puj\u261?cym: Przewodnicz\u261?cy S\u281?dzia WSA Danuta Kania, S\u281?dzia WSA S\u322?awomir Fularski spr.), Asesor WSA Dorota Kozub-Marciniak, Protokolant starszy specjalista Elwira Sipak po rozpoznaniu na rozprawie w dniu 27 listopada 2024 r. sprawy ze skargi [...] Sp. z o.o. z siedzib\u261? w [...] na decyzj\u281? Prezesa Urz\u281?du Ochrony Danych Osobowych z dnia [...] listopada 2023 r. nr [...] w przedmiocie naruszenia przepis\u243?w o ochronie danych osobowych oddala skarg\u281?
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Uzasadnienie\b0
\par\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs22 Decyzj\u261? z [...] listopada 2023 r. nr [...] Prezes Urz\u281?du Ochrony Danych Osobowych (dalej: "Prezes UODO" lub "organ") dzia\u322?aj\u261?c na podstawie art. 104 \u167? 1 ustawy z dnia 14 czerwca 1960 r. Kodeks post\u281?powania administracyjnego (Dz. U. z 2023 r. poz. 775, ze zm., dalej jako "k.p.a.") w zwi\u261?zku z art. 7, art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781, dalej jako "u.o.d.o."), art. 57 ust. 1 lit. a) i h) oraz art. 58 ust. 2 lit. i), a tak\u380?e art. 83 ust. 1 - 2 i art. 83 ust. 4 lit. a) w zwi\u261?zku z art. 32 ust. 1 i 2 rozporz\u261?dzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony os\u243?b fizycznych w zwi\u261?zku z przetwarzaniem danych osobowych i w sprawie swobodnego przep\u322?ywu takich danych oraz uchylenia dyrektywy 95/46/WE (og\u243?lne rozporz\u261?dzenie
\par 
\par o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127
\par 
\par z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej "rozporz\u261?dzeniem 2016/679" lub "RODO", po przeprowadzeniu wszcz\u281?tego z urz\u281?du post\u281?powania administracyjnego w sprawie naruszenia przepis\u243?w o ochronie danych osobowych, stwierdzi\u322? naruszenie przez [...] Sp. z o.o. z siedzib\u261? w [...] (dalej tak\u380?e jako "skar\u380?\u261?ca", "strona" lub "Sp\u243?\u322?ka") przepis\u243?w art. 32 ust. 1 i 2 rozporz\u261?dzenia 2016/679, polegaj\u261?ce na niewdro\u380?eniu odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych zapewniaj\u261?cych stopie\u324? bezpiecze\u324?stwa odpowiadaj\u261?cy ryzyku przetwarzania danych, w tym zapewniaj\u261?cych zdolno\u347?\u263? do ci\u261?g\u322?ego zapewnienia dost\u281?pno\u347?ci i odporno\u347?ci system\u243?w i us\u322?ug przetwarzania oraz zdolno\u347?\u263? do szybkiego przywr\u243?cenia dost\u281?pno\u347?ci danych osobowych i dost\u281?pu do nich w razie incydentu fizycznego lub technicznego, przy uwzgl\u281?dnieniu ryzyka wi\u261?\u380?\u261?cego si\u281? z przetwarzaniem wynikaj\u261?cego z przypadkowego lub niezgodnego z prawem zniszczenia lub utraty danych osobowych przechowywanych lub w inny spos\u243?b przetwarzanych w systemie informatycznym CRM i przechowywanych na serwerach, kt\u243?ry uleg\u322? zniszczeniu i na\u322?o\u380?y\u322? na Sp\u243?\u322?k\u281? administracyjn\u261? kar\u281? pieni\u281?\u380?n\u261? w kwocie 117 900 z\u322?.
\par 
\par W uzasadnieniu organ wskaza\u322?, \u380?e skar\u380?\u261?ca, prowadz\u261?ca dzia\u322?alno\u347?\u263? gospodarcz\u261? polegaj\u261?c\u261? na po\u347?redniczeniu w \u347?wiadczeniu us\u322?ug medycznych, [...] marca 2021 r. dokona\u322?a zg\u322?oszenia Prezesowi UODO dotycz\u261?cego naruszenia ochrony danych osobowych polegaj\u261?cego na zniszczeniu serwerowni w wyniku po\u380?aru, czym zosta\u322? naruszony atrybut dost\u281?pno\u347?ci danych osobowych, kt\u243?rych administratorem by\u322?a Sp\u243?\u322?ka. W zwi\u261?zku z przes\u322?aniem zg\u322?oszenia naruszenia ochrony danych osobowych pismem z [...] lutego 2022 r. Prezes UODO zwr\u243?ci\u322? si\u281? do Sp\u243?\u322?ki o udzielenie wyja\u347?nie\u324?
\par 
\par i przes\u322?anie dowod\u243?w na ich potwierdzenie m.in. w zakresie:
\par 
\par - czy Sp\u243?\u322?ka dysponowa\u322?a kopi\u261? zapasow\u261? danych zlokalizowanych w serwerowni, kt\u243?ra uleg\u322?a zniszczeniu na skutek po\u380?aru, a je\u380?eli tak, to czy odzyskano utracone dane i w jakim zakresie;
\par 
\par - czy przed wyst\u261?pieniem naruszenia Sp\u243?\u322?ka posiada\u322?a opracowan\u261? i wdro\u380?on\u261? procedur\u281? tworzenia oraz testowania kopii zapasowych system\u243?w obj\u281?tych naruszeniem; je\u347?li tak, to prosz\u281? przed\u322?o\u380?y\u263? kopi\u281? tej procedury ze wskazaniem cz\u281?stotliwo\u347?ci tworzenia kopii zapasowych oraz daty wykonania ostatniej kopii zapasowej poprzedzaj\u261?cej zg\u322?aszane naruszenie;
\par 
\par - czy Sp\u243?\u322?ka dokona\u322?a analizy ryzyka i wp\u322?ywu braku dost\u281?pno\u347?ci do danych przetwarzanych przy u\u380?yciu system\u243?w informatycznych obj\u281?tych naruszeniem na prawa lub wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261?.
\par 
\par W odpowiedzi Sp\u243?\u322?ka pismem z [...] marca 2022 r. udzieli\u322?a wyja\u347?nie\u324? informuj\u261?c, \u380?e nie dysponowa\u322?a kopi\u261? zapasow\u261? danych zlokalizowanych w serwerowni, kt\u243?ra uleg\u322?a zniszczeniu na skutek po\u380?aru; przed wyst\u261?pieniem naruszenia ochrony danych osobowych nie posiada\u322?a opracowanej i wdro\u380?onej procedury tworzenia oraz testowania kopii zapasowych system\u243?w obj\u281?tych naruszeniem; dokona\u322?a za\u347? analizy ryzyka, na dow\u243?d czego, jako za\u322?\u261?cznik do ww. pisma, przedstawi\u322?a "Analiz\u281? ryzyka dla zasob\u243?w przetwarzaj\u261?cych dane osobowe" z [...] grudnia 2020 r.
\par 
\par Organ stwierdzi\u322?, \u380?e przedstawiona przez Sp\u243?\u322?k\u281? "analiza ryzyka" nie stanowi\u322?a jednak analizy ryzyka i wp\u322?ywu braku dost\u281?pno\u347?ci do danych przetwarzanych przy u\u380?yciu system\u243?w informatycznych obj\u281?tych naruszeniem na prawa lub wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261?, o przedstawienie kt\u243?rej Prezes UODO zwr\u243?ci\u322? si\u281? do Sp\u243?\u322?ki.
\par 
\par W zwi\u261?zku ze z\u322?o\u380?onymi przez Sp\u243?\u322?k\u281? wyja\u347?nieniami w dniu [...] marca 2022 r. organ wszcz\u261?\u322? post\u281?powanie administracyjne w zakresie mo\u380?liwo\u347?ci naruszenia przez skar\u380?\u261?c\u261?, jako administratora danych, obowi\u261?zk\u243?w wynikaj\u261?cych z art. 32 ust. 1 i 2 rozporz\u261?dzenia 2016/679, w zwi\u261?zku z naruszeniem ochrony danych osobowych zg\u322?oszonym Prezesowi UODO.
\par 
\par W odpowiedzi na wszcz\u281?cie post\u281?powania administracyjnego, pismem z [...] marca 2022 r. Sp\u243?\u322?ka wnios\u322?a o przeprowadzenie dowodu z dokument\u243?w, tj. "Polityki ochrony danych osobowych w [...] Sp. z o.o. z siedzib\u261? w [...]" - na fakt opracowania, wdro\u380?enia i przestrzegania stosownych procedur ochrony danych osobowych oraz "Umowy powierzenia przetwarzania danych osobowych w sp\u243?\u322?ce [...]" - na fakt powierzenia przetwarzania danych osobowych [...] Sp. z o.o. Ponadto, pismem z [...] marca 2022 r. Sp\u243?\u322?ka wnios\u322?a o umorzenie post\u281?powania jako bezprzedmiotowego w ca\u322?o\u347?ci, wyja\u347?niaj\u261?c, \u380?e zdarzenie mia\u322?o wy\u322?\u261?cznie charakter incydentu ze wzgl\u281?du na brak ryzyka naruszenia praw lub wolno\u347?ci os\u243?b fizycznych oraz informuj\u261?c, \u380?e na podstawie uzyskanych informacji przez [...], dane osobowe zapisane na serwerach, kt\u243?re uleg\u322?y spaleniu na skutek po\u380?aru, zosta\u322?y utracone bezpowrotnie, tote\u380? wykluczona jest mo\u380?liwo\u347?\u263? ich bezprawnego wykorzystania.
\par 
\par W toku post\u281?powania przeprowadzonego w niniejszej sprawie Prezes UODO pismami z: [...] czerwca 2022 r., [...] listopada 2022 r., [...] grudnia 2022 r. oraz [...] wrze\u347?nia 2023 r. wezwa\u322? Sp\u243?\u322?k\u281? do z\u322?o\u380?enia wyja\u347?nie\u324? i przedstawienia dowod\u243?w na ich potwierdzenie. Nast\u281?pnie pismem z [...] listopada 2023 r., poinformowa\u322? Sp\u243?\u322?k\u281?
\par 
\par o zgromadzeniu materia\u322?u dowodowego wystarczaj\u261?cego do wydania decyzji administracyjnej w przedmiotowej sprawie oraz o prawie do wypowiedzenia si\u281? co do zebranych w toku post\u281?powania dowod\u243?w i materia\u322?\u243?w oraz zg\u322?oszonych \u380?\u261?da\u324?. Ponadto poinformowa\u322?, \u380?e strona jest uprawniona do przegl\u261?dania akt sprawy oraz sporz\u261?dzania z nich notatek, kopii lub odpis\u243?w. Strona skorzysta\u322?a z powy\u380?szych uprawnie\u324? dokonuj\u261?c przegl\u261?du akt w dniu [...] listopada 2023 r. oraz pismem z [...] listopada 2023 r. przedstawi\u322?a swoje stanowisko, w kt\u243?rym powt\u243?rzy\u322?a argumentacj\u281? przedstawion\u261? w toku prowadzonego post\u281?powania wyja\u347?niaj\u261?cego.
\par 
\par Na podstawie wyja\u347?nie\u324? i dowod\u243?w na ich potwierdzenie z\u322?o\u380?onych przez Sp\u243?\u322?k\u281?, jak r\u243?wnie\u380? na podstawie zg\u322?oszenia naruszenia ochrony danych osobowych dokonanego przez skar\u380?\u261?c\u261?, organ ustali\u322?, \u380?e [...] marca 2021 r. w siedzibie [...][...]w [...] dosz\u322?o do po\u380?aru serwer\u243?w, w skutek czego Sp\u243?\u322?ka utraci\u322?a dost\u281?p do systemu informatycznego o nazwie CRM, s\u322?u\u380?\u261?cego do zarz\u261?dzania kontaktami z klientami i wykorzystywanego do przetwarzania danych osobowych (brak mo\u380?liwo\u347?ci korzystania z systemu oraz brak dost\u281?pu do danych osobowych) oraz utraci\u322?a dokumenty z danymi, w tym faktury oraz skierowania na medycyn\u281? pracy pracownik\u243?w podmiot\u243?w, kt\u243?re wsp\u243?\u322?pracowa\u322?y ze Sp\u243?\u322?k\u261?, zapisane w tym systemie. Serwery uleg\u322?y ca\u322?kowitemu zniszczeniu, bez mo\u380?liwo\u347?ci przywr\u243?cenia utraconych danych. Przybli\u380?ona liczba os\u243?b, kt\u243?rych mog\u322?o dotyczy\u263? naruszenie, zosta\u322?a oszacowana przez Sp\u243?\u322?k\u281? na oko\u322?o 14 000 os\u243?b; kategoria os\u243?b wskazana przez Sp\u243?\u322?k\u281? to u\u380?ytkownicy systemu CRM oraz pacjenci, jak r\u243?wnie\u380? kategoria wskazana jako "nowi u\u380?ytkownicy oraz dotychczasowi, z przedzia\u322?u od [...].03.2020 do [...].03.2021 - osoby rejestruj\u261?ce si\u281? w systemie CRM", a zakres danych osobowych, kt\u243?ry uleg\u322? naruszeniu, to: nazwiska, imiona, adresy zamieszkania lub pobytu, numery ewidencyjne PESEL, adresy e-mail oraz numery telefon\u243?w. Sp\u243?\u322?ka charakter naruszenia ochrony danych osobowych odnios\u322?a do naruszenia dost\u281?pno\u347?ci danych, gdzie zosta\u322?a przedstawiona informacja o nast\u281?puj\u261?cej tre\u347?ci "brak mo\u380?liwo\u347?ci wykorzystania danych na \u380?\u261?danie, w za\u322?o\u380?onym czasie przez osob\u281? do tego uprawnion\u261?". Natomiast jako mo\u380?liwe konsekwencje naruszenia ochrony danych osobowych dla os\u243?b, kt\u243?rych dane dotycz\u261?, wskaza\u322?a utrat\u281? kontroli nad w\u322?asnymi danymi osobowymi. Ponadto, [...] marca 2021 r. zawiadomi\u322?a indywidulanie (w formie elektronicznej) oraz w formie komunikatu dost\u281?pnego na stronie internetowej o naruszeniu ochrony danych osobowych osoby, kt\u243?rych naruszenie dotyczy, w liczbie oko\u322?o 14 000 os\u243?b.
\par 
\par Organ ustali\u322?, \u380?e Sp\u243?\u322?ka w dniu [...] maja 2018 r. zawar\u322?a z [...] Sp. z o.o. umow\u281? powierzenia przetwarzania danych osobowych. Przedmiotem umowy by\u322?o przechowanie danych osobowych na serwerach, kt\u243?re uleg\u322?y spaleniu. Na podstawie umowy, skar\u380?\u261?ca by\u322?a odpowiedzialna m.in. za tworzenie kopii zapasowych niezb\u281?dnych do zabezpieczenia danych osobowych, w szczeg\u243?lno\u347?ci przed zako\u324?czeniem lub wyga\u347?ni\u281?ciem us\u322?ug i przed przyst\u261?pieniem do operacji usuni\u281?cia, aktualizacji lub przeinstalowania us\u322?ugi. [...] listopada 2010 r. Sp\u243?\u322?ka zawar\u322?a z [...] S.A. z siedzib\u261? w [...] (dalej tak\u380?e jako: "[...]") "Umow\u281? na \u347?wiadczenie us\u322?ug medycznych". Na podstawie powy\u380?szej umowy, skar\u380?\u261?ca zleca\u322?a [...] realizacj\u281? \u347?wiadczenia us\u322?ug medycznych na rzecz swoich klient\u243?w (os\u243?b, kt\u243?rych dane dotycz\u261?), kt\u243?rym zaoferowa\u322?a abonamentow\u261? opiek\u281? medyczn\u261?. [...] w celu realizacji us\u322?ugi medycznej otrzymywa\u322? od Sp\u243?\u322?ki do 25 dnia ka\u380?dego miesi\u261?ca aktualizacj\u281? - wykaz klient\u243?w (os\u243?b, kt\u243?rych dane dotycz\u261?) uprawnionych do korzystania z us\u322?ug medycznych, w ramach wybranych pakiet\u243?w. W dniu [...] marca 2021 r., a wi\u281?c w dniu poprzedzaj\u261?cym wyst\u261?pienie naruszenia ochrony danych osobowych, Sp\u243?\u322?ka dokona\u322?a zg\u322?oszenia aktualizacji listy klient\u243?w (os\u243?b, kt\u243?rych dane dotycz\u261?) do [...]. Pomimo okoliczno\u347?ci utracenia danych znajduj\u261?cych si\u281? na serwerze, Sp\u243?\u322?ka dysponuje danymi na koncie bankowym oraz na skrzynkach poczty e-mail. W przypadku jakichkolwiek w\u261?tpliwo\u347?ci mo\u380?liwe by\u322?o sprawdzenie i zweryfikowanie kto op\u322?aci\u322? dan\u261? us\u322?ug\u281?. Dodatkowo skar\u380?\u261?ca posiada\u322?a bazy klient\u243?w na skrzynkach poczty e-mail, z uwagi na fakt, \u380?e co miesi\u261?c do [...] przesy\u322?ana by\u322?a aktualna lista klient\u243?w. Sp\u243?\u322?ka na serwerach, kt\u243?re uleg\u322?y spaleniu, gromadzi\u322?a i przetwarza\u322?a dane osobowe os\u243?b, kt\u243?rych dane dotycz\u261?, w celu zawarcia i realizacji umowy pomi\u281?dzy skar\u380?\u261?c\u261? a osob\u261?, kt\u243?rej dane dotycz\u261? oraz operatorem medycznym [...], polegaj\u261?cej na \u347?wiadczeniu us\u322?ug medycznych tym osobom. Sp\u243?\u322?ka przynajmniej za pomoc\u261? systemu CRM przekazywa\u322?a od pracodawcy do [...] skierowania na medycyn\u281? pracy pracownik\u243?w b\u281?d\u261?cych osobami, kt\u243?rych danych osobowych naruszenie dotyczy oraz przekazywa\u322?a [...] aktualizacj\u281? listy klient\u243?w. Podstawa prawna przetwarzania danych w tym celu zosta\u322?a wskazana przez Sp\u243?\u322?k\u281?, jako art. 6 ust. 1 lit b) rozporz\u261?dzenia 2016/679, a okres retencji danych wskazany "do zako\u324?czenia umowy oraz jej rozliczenia z klientem". Ponadto, Sp\u243?\u322?ka przetwarza\u322?a dane osobowe os\u243?b, kt\u243?rych naruszenie dotyczy poprzez ich przechowanie na serwerze, kt\u243?ry uleg\u322? spaleniu, w celu archiwizacji dokument\u243?w realizuj\u261?c sw\u243?j obowi\u261?zek prawny. Podstawa prawna takiego przetwarzania zosta\u322?a wskazana przez Sp\u243?\u322?k\u281? jako art. 6 ust. 1 lit. c) rozporz\u261?dzenia 2016/679 w zwi\u261?zku z obowi\u261?zkiem przechowania danych z art. 86 \u167? 1 ustawy z dnia 29 sierpnia 1997 r. Ordynacja podatkowa oraz art. 74 ustawy z 29 wrze\u347?nia 1994 r. o rachunkowo\u347?ci. Natomiast okres retencji zosta\u322? wskazany przez administratora na "5 lat licz\u261?c od pierwszego stycznia roku nast\u281?pnego po tym, w kt\u243?rym zako\u324?czy\u322?a si\u281? umowa". Liczba os\u243?b obj\u281?tych naruszeniem to oko\u322?o 14 000 os\u243?b okre\u347?lonych zbiorczo jako u\u380?ytkownicy systemu CRM, w tym oko\u322?o 500 os\u243?b, to osoby, kt\u243?rych dokumenty z danymi - w tym faktury oraz "skierowania na medycyn\u281? pracy pracownik\u243?w firm, kt\u243?re wsp\u243?\u322?pracuj\u261? z [...]" uleg\u322?y zniszczeniu.
\par 
\par Prezes UODO nie uzna\u322? wiarygodno\u347?ci wyja\u347?nie\u324? Sp\u243?\u322?ki z pisma z [...] stycznia 2023 r. i nie nada\u322? im mocy dowodowej, \u380?e "liczba os\u243?b obj\u281?tych naruszeniem to nie 1400 a oko\u322?o 500, co stwierdzili\u347?my na podstawie danych z kont bankowych
\par 
\par i wiadomo\u347?ci e-mail", uznaj\u261?c je nie tylko jako niewynikaj\u261?ce ze zgromadzonego materia\u322?u dowodowego, ale r\u243?wnie\u380? jako z nim sprzeczne. W ocenie organu powy\u380?sze wyja\u347?nienia nie koresponduj\u261? z pozosta\u322?ymi wyja\u347?nieniami Sp\u243?\u322?ki dotycz\u261?cymi liczby os\u243?b obj\u281?tych naruszeniem ochrony danych osobowych. Podkre\u347?li\u322? przy tym, \u380?e Sp\u243?\u322?ka uchyla\u322?a si\u281? od udzielenia konkretnych odpowiedzi zmierzaj\u261?cych do ustalenia liczby
\par 
\par i kategorii os\u243?b obj\u281?tych naruszeniem. Zauwa\u380?y\u322?, \u380?e Sp\u243?\u322?ka w formularzu zg\u322?oszenia naruszenia ochrony danych osobowych poinformowa\u322?a Prezesa UODO, \u380?e naruszenie ochrony danych osobowych dotyczy oko\u322?o 14 000 os\u243?b. Organ nie mia\u322? wi\u281?c podstaw do odm\u243?wienia wiarygodno\u347?ci informacjom zawartym w ww. formularzu, poniewa\u380?
\par 
\par w przeciwie\u324?stwie do p\u243?\u378?niejszych wyja\u347?nie\u324? Sp\u243?\u322?ki by\u322?y logiczne, nawzajem si\u281? uzupe\u322?nia\u322?y i uwzgl\u281?dnia\u322?y zasady do\u347?wiadczenia \u380?yciowego. R\u243?wnocze\u347?nie Sp\u243?\u322?ka
\par 
\par w formularzu zg\u322?oszenia naruszenia ochrony danych osobowych poinformowa\u322?a, \u380?e
\par 
\par o naruszeniu ochrony danych osobowych zawiadomi\u322?a 14 000 os\u243?b, na dow\u243?d czego przedstawi\u322?a tre\u347?\u263? tego zawiadomienia. Z tre\u347?ci zawiadomienia koresponduj\u261?cej
\par 
\par z tre\u347?ci\u261? formularza zg\u322?oszenia naruszenia ochrony danych osobowych wynika, \u380?e Sp\u243?\u322?ka zawiadomi\u322?a wszystkich u\u380?ytkownik\u243?w. Jak za\u347? wynika z pisma z [...] listopada 2022 r. liczba 500 os\u243?b obj\u281?tych naruszeniem dotyczy\u322?a wy\u322?\u261?cznie jednej kategorii os\u243?b, tj. os\u243?b oznaczonych w zawiadomieniu o naruszeniu ochrony danych osobowych jako osoby, kt\u243?rych dokumenty z danymi, w tym faktury oraz skierowania na medycyn\u281? pracy pracownik\u243?w firm, kt\u243?re wsp\u243?\u322?pracuj\u261? ze skar\u380?\u261?c\u261?, uleg\u322?y zniszczeniu. Tym samym Sp\u243?\u322?ka b\u322?\u281?dnie odnios\u322?a t\u261? liczb\u281? os\u243?b do wszystkich kategorii os\u243?b obj\u281?tych naruszeniem. Nie ma zatem w\u261?tpliwo\u347?ci, \u380?e w zwi\u261?zku ze zniszczeniem serwer\u243?w
\par 
\par i bezpowrotn\u261? utrat\u261? bazy danych, w tym danych osobowych, i systemu CRM, Sp\u243?\u322?ka utraci\u322?a dane osobowe wszystkich u\u380?ytkownik\u243?w, a nie tylko poszczeg\u243?lnych kategorii os\u243?b, tj. dane oko\u322?o 14 000 os\u243?b, co jest zgodne z liczb\u261? os\u243?b wskazan\u261? w zg\u322?oszeniu naruszenia ochrony danych osobowych.
\par 
\par Organ wskaza\u322?, \u380?e Sp\u243?\u322?ka nie dysponowa\u322?a kopi\u261? zapasow\u261? danych zlokalizowanych w serwerowni, kt\u243?ra uleg\u322?a zniszczeniu na skutek po\u380?aru oraz przed wyst\u261?pieniem naruszenia nie posiada\u322?a opracowanej i wdro\u380?onej procedury tworzenia oraz testowania kopii zapasowych system\u243?w obj\u281?tych naruszeniem. Skar\u380?\u261?ca nie przeprowadzi\u322?a i nie przedstawi\u322?a na wezwanie Prezesa UODO analizy ryzyka wp\u322?ywu braku dost\u281?pno\u347?ci do danych przetwarzanych przy u\u380?yciu system\u243?w informatycznych obj\u281?tych naruszeniem na prawa lub wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261?. Po naruszeniu ochrony danych osobowych nadal przetwarza\u322?a dane osobowe w tych samych celach i tych samych kategorii os\u243?b przy u\u380?yciu system\u243?w informatycznych.
\par 
\par W celu zmniejszenia prawdopodobie\u324?stwa wyst\u261?pienia podobnego naruszenia ochrony danych osobowych (dotycz\u261?cego atrybutu dost\u281?pno\u347?ci) w przysz\u322?o\u347?ci, Sp\u243?\u322?ka rozpocz\u281?\u322?a korzystanie z us\u322?ug innego dostawcy serwera (serwer g\u322?\u243?wny) oraz przeprowadza na innym serwerze (znajduj\u261?cym si\u281? w innej lokalizacji) cykliczny backup plik\u243?w. Ponadto skar\u380?\u261?ca zatrudni\u322?a specjalist\u281? w dziedzinie ochrony danych osobowych, kt\u243?rego zadaniem b\u281?dzie zapewni\u263? sta\u322?y rozw\u243?j \u347?rodk\u243?w bezpiecze\u324?stwa w obszarze przetwarzania danych osobowych.
\par 
\par Prezes UODO wskaza\u322?, \u380?e Sp\u243?\u322?ka dokona\u322?a zg\u322?oszenia naruszenia ochrony danych osobowych jako administrator danych, kt\u243?re uleg\u322?y naruszeniu oraz
\par 
\par w wewn\u281?trznych procedurach zdefiniowa\u322?a si\u281? jako administrator. Ponadto gromadz\u261?c dane osobowe w klauzuli informacyjnej wskazywa\u322?a, \u380?e jest administratorem, jak r\u243?wnie\u380? zawar\u322?a umowy powierzenia przetwarzania danych, gdzie wyst\u281?powa\u322?a w roli administratora. W okoliczno\u347?ciach przedmiotowej sprawy oczywistym by\u322?o, \u380?e skar\u380?\u261?ca jest administratorem danych, kt\u243?re uleg\u322?y naruszeniu bowiem to Sp\u243?\u322?ka gromadz\u261?c dane osobowe wyznacza\u322?a cele i decydowa\u322?a si\u281? na przetwarzanie danych osobowych we w\u322?asnych celach ustalonych w ramach stanu faktycznego, jak r\u243?wnie\u380? decydowa\u322?a
\par 
\par o sposobach przetwarzania tych danych.
\par 
\par Organ wyja\u347?ni\u322?, \u380?e przedmiotem post\u281?powania administracyjnego by\u322?a mo\u380?liwo\u347?\u263? naruszenia przepis\u243?w o ochronie danych osobowych w postaci naruszenia art. 32 ust. 1 i 2 rozporz\u261?dzenia 2016/679, a nie odpowiedzialno\u347?\u263? Sp\u243?\u322?ki za wyst\u261?pienie naruszenia ochrony danych osobowych. Wyst\u261?pienie naruszenia ochrony danych osobowych, kt\u243?re zosta\u322?o zg\u322?oszone Prezesowi UODO stanowi\u322?o przyczynek do podj\u281?cia post\u281?powania wyja\u347?niaj\u261?cego wobec Sp\u243?\u322?ki w zwi\u261?zku z w\u261?tpliwo\u347?ciami co do zapewnienia odpowiedniego poziomu bezpiecze\u324?stwa przetwarzanym danym osobowym. Niniejsze post\u281?powanie administracyjne nie odnosi si\u281? do odpowiedzialno\u347?ci Sp\u243?\u322?ki za naruszenie ochrony danych osobowych, a do oceny, czy Sp\u243?\u322?ka zapewni\u322?a odpowiednie bezpiecze\u324?stwo przetwarzanym danym w zwi\u261?zku z naruszeniem atrybutu dost\u281?pno\u347?ci danych, a nie atrybutu ich poufno\u347?ci.
\par 
\par Prezes UODO wskaza\u322?, \u380?e z operacjami przetwarzania danych, kt\u243?rych dotyczy naruszenie, wi\u261?za\u322?a si\u281? mo\u380?liwo\u347?\u263? wyst\u261?pienia ryzyka naruszenia praw lub wolno\u347?ci os\u243?b fizycznych. W zwi\u261?zku z powy\u380?szym, w celu prawid\u322?owego wywi\u261?zania si\u281?
\par 
\par z obowi\u261?zk\u243?w na\u322?o\u380?onych ww. przepisami rozporz\u261?dzenia 2016/679, Sp\u243?\u322?ka by\u322?a zobowi\u261?zana do podj\u281?cia dzia\u322?a\u324? zapewniaj\u261?cych w\u322?a\u347?ciwy poziom ochrony danych poprzez wdro\u380?enie odpowiednich \u347?rodk\u243?w technicznych oraz organizacyjnych, w tym zmierzaj\u261?cych do zapewnienia zdolno\u347?ci do szybkiego przywr\u243?cenia dost\u281?pno\u347?ci danych osobowych i dost\u281?pu do nich w razie incydentu fizycznego lub technicznego. Charakter i rodzaj tych dzia\u322?a\u324? powinien wynika\u263? z przeprowadzonej analizy ryzyka,
\par 
\par w kt\u243?rej powinno si\u281? zidentyfikowa\u263? podatno\u347?ci odnosz\u261?ce si\u281? do wykorzystywanych zasob\u243?w oraz wynikaj\u261?ce z nich zagro\u380?enia, a nast\u281?pnie okre\u347?li\u263? adekwatne \u347?rodki bezpiecze\u324?stwa. Sp\u243?\u322?ka tak\u261? analiz\u281? ryzyka co prawda przeprowadzi\u322?a, ale zidentyfikowa\u322?a w niej w spos\u243?b bardzo og\u243?lny zagro\u380?enia zwi\u261?zane z utrat\u261? dost\u281?pno\u347?ci danych, a tak\u380?e nie ustali\u322?a jakiejkolwiek podatno\u347?ci, poprzez wykorzystanie kt\u243?rych mog\u322?aby nast\u261?pi\u263? materializacja tych zagro\u380?e\u324? i w konsekwencji nie okre\u347?li\u322?a \u347?rodk\u243?w bezpiecze\u324?stwa maj\u261?cych takie ryzyka zminimalizowa\u263?. Jedn\u261?
\par 
\par z podstaw prawnej ochrony danych osobowych wprowadzon\u261? rozporz\u261?dzeniem 2016/679 jest za\u347? obowi\u261?zek zapewnienia bezpiecze\u324?stwa przetwarzanych danych, okre\u347?lony mi\u281?dzy innymi w art. 32 ust. 1 rozporz\u261?dzenia 2016/679.
\par 
\par W stanie faktycznym przedmiotowej sprawy, ryzyko dotyczy\u322?o zagro\u380?enia polegaj\u261?cego na utracie danych osobowych przechowywanych na serwerze
\par 
\par w nast\u281?pstwie po\u380?aru. Jak ustalono, w wyniku zniszczenia na skutek po\u380?aru serwer\u243?w, na kt\u243?rych Sp\u243?\u322?ka przechowywa\u322?a dane osobowe, dane te zosta\u322?y bezpowrotnie utracone. W odniesieniu do powy\u380?szego zagro\u380?enia, w celu przeciwdzia\u322?ania potencjalnym skutkom naruszenia ochrony danych osobowych i zapobie\u380?enia naruszenia atrybutu dost\u281?pno\u347?ci danych osobowych przechowywanych na serwerze, Sp\u243?\u322?ka, stosownie do ww. przepisu rozporz\u261?dzenia 2016/679, zobowi\u261?zana by\u322?a zastosowa\u263? odpowiednie zabezpieczenia. Okre\u347?lenie tych zabezpiecze\u324? powinno nast\u261?pi\u263? w wyniku przeprowadzonej analizy ryzyka, po prawid\u322?owej identyfikacji zagro\u380?e\u324? dla danych osobowych przetwarzanych w systemie CRM, czego Sp\u243?\u322?ka jednak nie uczyni\u322?a. Powy\u380?sze stanowi o naruszeniu przez ni\u261? art. 32 ust. 1lit. b) i c) oraz art. 32 ust. 2 rozporz\u261?dzenia 2016/6/79. Okre\u347?lenie pewnych \u347?rodk\u243?w bezpiecze\u324?stwa nast\u261?pi\u322?o natomiast w Polityce bezpiecze\u324?stwa, w kt\u243?rej Sp\u243?\u322?ka przewidzia\u322?a tworzenie kopii zapasowych, oraz w umowie powierzenia przetwarzania danych osobowych podpisanej z [...] Sp. z o.o., gdzie przyj\u281?\u322?a na siebie odpowiedzialno\u347?\u263? za tworzenie kopii zapasowych niezb\u281?dnych do zabezpieczenia danych osobowych. Pomimo postanowie\u324? zawartych w tych dokumentach, takich \u347?rodk\u243?w bezpiecze\u324?stwa Sp\u243?\u322?ka jednak nie wdro\u380?y\u322?a.
\par 
\par W ocenie organu analiza ryzyka maj\u261?ca na celu dob\u243?r odpowiednich do ryzyka \u347?rodk\u243?w technicznych i organizacyjnych nie zosta\u322?a przeprowadzona przez skar\u380?\u261?c\u261?
\par 
\par w spos\u243?b obiektywny. Ryzyko nale\u380?y za\u347? oszacowa\u263? na podstawie obiektywnej oceny, w ramach kt\u243?rej stwierdza si\u281?, czy z operacjami przetwarzania wi\u261?\u380?e si\u281? ryzyko lub wysokie ryzyko. Sp\u243?\u322?ka oceniaj\u261?c, czy stopie\u324? bezpiecze\u324?stwa jest odpowiedni, nie uwzgl\u281?dni\u322?a prawid\u322?owo ryzyka wi\u261?\u380?\u261?cego si\u281? z przetwarzaniem, w szczeg\u243?lno\u347?ci wynikaj\u261?cego z przypadkowego lub niezgodnego z prawem zniszczenia czy utraty danych osobowych. Zastrze\u380?enia Prezesa UODO co do rzetelno\u347?ci i obiektywizmu przeprowadzenia analizy ryzyka zwi\u261?zane s\u261? z brakiem przedstawienia przez Sp\u243?\u322?k\u281? kompletnej metodyki sporz\u261?dzenia analizy ryzyka, pomimo wezwania wystosowanego organ w tym zakresie. Przes\u322?ana przez Sp\u243?\u322?k\u281? analiza ryzyka wraz z metodyk\u261? jej przeprowadzenia jest bowiem niekompletna, w szczeg\u243?lno\u347?ci z uwagi na brak macierzy ryzyka, a brak udzielenia odpowiedzi przez Sp\u243?\u322?k\u281? na pytania Prezesa UODO m.in.
\par 
\par w zakresie warto\u347?ci podstawionych do wzoru dla obliczenia ryzyka akceptowalnego
\par 
\par w istocie uniemo\u380?liwia jej zwrotne odtworzenie w celu jej weryfikacji. Powy\u380?sze stanowi o braku podstaw do przyj\u281?cia przez Sp\u243?\u322?k\u281? ko\u324?cowej oceny, uprawniaj\u261?cej do uznania, \u380?e ryzyko ma poziom akceptowalny, a w zwi\u261?zku z tym uznania, \u380?e Sp\u243?\u322?ka zwolniona by\u322?a z zastosowania jakiegokolwiek \u347?rodka bezpiecze\u324?stwa odnosz\u261?cego si\u281? do atrybutu dost\u281?pno\u347?ci danych osobowych. Ju\u380? za\u347? sama okoliczno\u347?\u263? stwierdzenia, \u380?e
\par 
\par z operacjami przetwarzania wi\u261?\u380?e si\u281? ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych stanowi o konieczno\u347?ci odpowiedniego zastosowania \u347?rodk\u243?w bezpiecze\u324?stwa, o kt\u243?rych mowa w art. 32 ust. 1 lit. a)-d) rozporz\u261?dzenia 2016/679. Natomiast ustalona na podstawie analizy ryzyka ko\u324?cowa warto\u347?\u263? ryzyka wyznacza poziom standardu odpowiednich \u347?rodk\u243?w bezpiecze\u324?stwa. Tym samym Sp\u243?\u322?ka ustalaj\u261?c, \u380?e z operacjami wi\u261?\u380?e si\u281? ryzyko, nawet b\u322?\u281?dnie przyjmuj\u261?c, \u380?e jest ono akceptowalne, nie by\u322?a uprawniona do zrezygnowania z jakiegokolwiek \u347?rodka bezpiecze\u324?stwa (co w istocie zrobi\u322?a), maj\u261?cego na celu zagwarantowa\u263? zdolno\u347?\u263? do ci\u261?g\u322?ego zapewnienia poufno\u347?ci, integralno\u347?ci, dost\u281?pno\u347?ci i odporno\u347?ci system\u243?w
\par 
\par i us\u322?ug przetwarzania oraz zdolno\u347?\u263? do szybkiego przywr\u243?cenia dost\u281?pno\u347?ci danych osobowych i dost\u281?pu do nich w razie incydentu fizycznego lub technicznego. Ponadto, zastrze\u380?enia Prezesa UODO co do przeprowadzonej analizy ryzyka dotycz\u261?: wagi ryzyka naruszenia praw lub wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261?; kontekstu przetwarzania - w ramach kt\u243?rego Sp\u243?\u322?ka nie ustali\u322?a podatno\u347?ci dla konkretnych zagro\u380?e\u324? oraz dokona\u322?a bezpodstawnej oceny kryteri\u243?w odnosz\u261?cych si\u281? do zastosowanych \u347?rodk\u243?w bezpiecze\u324?stwa, co jako okoliczno\u347?ci b\u322?\u281?dnie ustalone lub nie ustalone w og\u243?le, wsp\u243?lnie mia\u322?o wp\u322?yw na nieprawid\u322?ow\u261? ocen\u281? prawdopodobie\u324?stwa. Powy\u380?sze w \u347?wietle zasady rozliczalno\u347?ci wyra\u380?onej w art. 5 ust. 2 rozporz\u261?dzenia 2016/6/79 uprawnia do przyj\u281?cia, \u380?e wskazane za\u322?o\u380?enia by\u322?y bezpodstawne. Wobec braku wywi\u261?zania si\u281? z obowi\u261?zku wykazania (na wezwanie Prezesa UODO), na podstawie jakich informacji, czy okoliczno\u347?ci Sp\u243?\u322?ka przyj\u281?\u322?a w analizie ryzyka przedstawione za\u322?o\u380?enia, uzna\u263? nale\u380?y, \u380?e zosta\u322?y one przyj\u281?te w spos\u243?b zupe\u322?nie dowolny, jako przepisane z metodyki analizy ryzyka (bowiem tam taki opis si\u281? znajduje), bez przeprowadzenia ich weryfikacji w odniesieniu do operacji przetwarzania danych osobowych, w ramach kt\u243?rych dosz\u322?o do naruszenia ochrony danych osobowych, co
\par 
\par w konsekwencji stanowi o braku rzetelno\u347?ci i o dowolno\u347?ci dokonanej oceny.
\par 
\par Organ wskaza\u322?, \u380?e Sp\u243?\u322?ka oceny prawdopodobie\u324?stwa powinna dokona\u263?
\par 
\par w oparciu o wewn\u281?trzne i zewn\u281?trzne okoliczno\u347?ci dotycz\u261?ce w szczeg\u243?lno\u347?ci kontekstu przetwarzania danych w swojej organizacji, a zatem prawdopodobie\u324?stwo nale\u380?y odnie\u347?\u263? nie tylko do do\u347?wiadczenia (wyst\u281?powania b\u261?d\u378? nie okre\u347?lonych zdarze\u324? w przesz\u322?o\u347?ci), ale r\u243?wnie\u380? istniej\u261?cych zabezpiecze\u324? i ich skuteczno\u347?ci, kt\u243?re w przedmiotowej sprawie zosta\u322?y dowolnie ocenione, a przede wszystkim do podatno\u347?ci, kt\u243?re w przedmiotowej sprawie nie zosta\u322?y przez Sp\u243?\u322?k\u281? w og\u243?le ustalone. R\u243?wnie\u380? przyj\u281?ty okres "ostatnich trzech lat" jest zupe\u322?nie dowolny i niczym nie uzasadniony, zw\u322?aszcza, \u380?e waga zasobu obj\u281?tego naruszeniem ochrony danych osobowych zosta\u322?a oceniona przez Sp\u243?\u322?k\u281? na najwy\u380?szym stopniu w przyj\u281?tej skali.
\par 
\par Prezes UODO uzna\u322?, \u380?e Sp\u243?\u322?ka by\u322?a \u347?wiadoma zagro\u380?e\u324? mog\u261?cych skutkowa\u263? utrat\u261? dost\u281?pno\u347?ci danych oraz wagi zagro\u380?enia dla danych osobowych przetwarzanych w systemie CRM oraz konieczno\u347?ci zastosowania \u347?rodk\u243?w bezpiecze\u324?stwa zdolnych do ci\u261?g\u322?ego zapewnienia poufno\u347?ci danych, integralno\u347?ci, dost\u281?pno\u347?ci i odporno\u347?ci system\u243?w i us\u322?ug przetwarzania oraz zdolnych do szybkiego przywr\u243?cenia dost\u281?pno\u347?ci danych osobowych i dost\u281?pu do nich w razie incydentu fizycznego lub technicznego, kt\u243?re zosta\u322?y przez skar\u380?\u261?c\u261? zdefiniowane w Polityce bezpiecze\u324?stwa i umowie powierzenia przetwarzania danych osobowych zawartej
\par 
\par z [...] Sp. z o.o. jako tworzenie kopii zapasowych. Sp\u243?\u322?ka nie wdro\u380?y\u322?a \u347?rodka bezpiecze\u324?stwa przed wyst\u261?pieniem naruszenia ochrony danych osobowych, dopiero za\u347? po jego wyst\u261?pieniu zacz\u281?\u322?a wykonywa\u263? kopie zapasowe, jako \u347?rodek bezpiecze\u324?stwa maj\u261?cy zmniejszy\u263? prawdopodobie\u324?stwo wyst\u261?pienia naruszenia ochrony danych osobowych w przysz\u322?o\u347?ci. Efektem braku okre\u347?lenia w analizie ryzyka adekwatnych \u347?rodk\u243?w bezpiecze\u324?stwa zapewniaj\u261?cych realizacj\u281? wymog\u243?w z art. 32 ust. 1 lit. b) i c) rozporz\u261?dzenia 2016/6/79 (i w rezultacie ich niewdro\u380?enie) by\u322?o zmaterializowanie si\u281? zagro\u380?enia w postaci zniszczenia serwer\u243?w, na kt\u243?rych by\u322?y przechowywane dane, bez mo\u380?liwo\u347?ci przywr\u243?cenia utraconych danych. Tym samym nie mo\u380?na uzna\u263?, aby Sp\u243?\u322?ka uwzgl\u281?dniaj\u261?c stan wiedzy technicznej, koszt wdro\u380?enia oraz charakter, zakres, kontekst, a przed wszystkim cele przetwarzania oraz ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych o r\u243?\u380?nym prawdopodobie\u324?stwie wyst\u261?pienia i wadze zagro\u380?enia, wdro\u380?y\u322?a \u347?rodki techniczne i organizacyjne, aby zapewni\u263? stopie\u324? bezpiecze\u324?stwa odpowiadaj\u261?cy temu ryzyku, w tym mi\u281?dzy innymi zdolno\u347?\u263? do ci\u261?g\u322?ego zapewnienia dost\u281?pno\u347?ci i odporno\u347?ci system\u243?w i us\u322?ug przetwarzania oraz zdolno\u347?\u263? do szybkiego przywr\u243?cenia dost\u281?pno\u347?ci danych osobowych i dost\u281?pu do nich w razie incydentu fizycznego i technicznego, oraz nie mo\u380?na uzna\u263? aby, Sp\u243?\u322?ka oceniaj\u261?c, czy stopie\u324? bezpiecze\u324?stwa jest odpowiedni prawid\u322?owo uwzgl\u281?dni\u322?a w szczeg\u243?lno\u347?ci ryzyko wi\u261?\u380?\u261?ce si\u281? z przetwarzaniem, wynikaj\u261?ce z przypadkowego lub niezgodnego z prawem zniszczenia, czy utraty danych osobowych przesy\u322?anych, przechowywanych lub w inny spos\u243?b przetwarzanych. Powy\u380?sze stanowi o naruszeniu art. 32 ust. 1 lit. b) i d) oraz art. 32 ust. 2 rozporz\u261?dzenia 2016/679.
\par 
\par Zdaniem organu, okoliczno\u347?\u263?, \u380?e w miesi\u261?cu, w kt\u243?rym dosz\u322?o do zniszczenia serwera, dane osobowe zosta\u322?y przekazane operatorowi medycznemu, nie ma znaczenia dla oceny, czy Sp\u243?\u322?ka wdro\u380?y\u322?a adekwatne \u347?rodki techniczne i organizacyjne maj\u261?ce na celu zapewnienie bezpiecze\u324?stwa przetwarzanym danym osobowych, bowiem okoliczno\u347?\u263? ta nie wynika\u322?a z zastosowania jakiegokolwiek zabezpieczenia. Dane osobowe zosta\u322?y przekazane [...] marca 2021 r., a do spalenia serwerowni dosz\u322?o [...] marca 2021 r., tym samym gdyby po\u380?ar nast\u261?pi\u322? kilka dni wcze\u347?niej Sp\u243?\u322?ka nie by\u322?aby wstanie przekaza\u263? zgromadzonych danych. Natomiast przedmiotem post\u281?powania administracyjnego jest mo\u380?liwo\u347?\u263? naruszenia przez Sp\u243?\u322?k\u281? art. 32 ust. 1 i 2 rozporz\u261?dzenia 2016/6/779 a odpowiedzialno\u347?\u263? administratora oceniana jest
\par 
\par w kontek\u347?cie braku zapewnienia odpowiedniego poziomu bezpiecze\u324?stwa przetwarzanym danym osobowym, a nie wyst\u261?pienia naruszenia ochrony danych osobowych. Przedmiotowe post\u281?powanie wykaza\u322?o, \u380?e Sp\u243?\u322?ka nie zapewni\u322?a danym osobowym os\u243?b, kt\u243?rych dane by\u322?y przetwarzane w systemie CRM, odpowiedniego bezpiecze\u324?stwa, nara\u380?aj\u261?c te osoby m.in. na brak mo\u380?liwo\u347?ci lub trudno\u347?ci w realizacji us\u322?ugi medycznej oraz realizacji praw, przys\u322?uguj\u261?cym im m.in. na podstawie rozporz\u261?dzenia 2016/679. Natomiast potwierdzeniem naruszenia art. 32 ust 1 i 2 rozporz\u261?dzenia 2016/679 jest w\u322?a\u347?nie wyst\u261?pienie naruszenia ochrony danych osobowych, gdzie w wyniku materializacji zagro\u380?enia, Sp\u243?\u322?ka utraci\u322?a bezpowrotnie baz\u281? danych obejmuj\u261?c\u261? dane osobowe oko\u322?o 14 000 os\u243?b, uniemo\u380?liwiaj\u261?c tym osobom sprawowanie kontroli nad tymi danymi osobowymi i realn\u261? utrat\u281? mo\u380?liwo\u347?ci realizacji swoich praw lub wolno\u347?ci.
\par 
\par Prezes UODO wyja\u347?ni\u322?, \u380?e na podstawie art. 58 ust. 2 lit. i) rozporz\u261?dzenia 2016/679, ka\u380?demu organowi nadzorczemu przys\u322?uguje uprawnienie do zastosowania, opr\u243?cz lub zamiast innych \u347?rodk\u243?w naprawczych przewidzianych w art. 58 ust. 2 lit. a) - h) oraz lit. j) tego rozporz\u261?dzenia, administracyjnej kary pieni\u281?\u380?nej na mocy art. 83 rozporz\u261?dzenia 2016/679, zale\u380?nie od okoliczno\u347?ci konkretnej sprawy. Maj\u261?c na uwadze ustalenia stanu faktycznego, organ korzystaj\u261?c z przys\u322?uguj\u261?cego mu uprawnienia okre\u347?lonego we wskazanym wy\u380?ej przepisie stwierdzi\u322?, \u380?e w rozpatrywanej sprawie zaistnia\u322?y przes\u322?anki uzasadniaj\u261?ce na\u322?o\u380?enie na Sp\u243?\u322?k\u281? administracyjnej kary pieni\u281?\u380?nej. Na podstawie art. 83 ust. 4 lit. a) rozporz\u261?dzenia 2016/679 naruszenia przepis\u243?w kszta\u322?tuj\u261?cych obowi\u261?zki administratora i podmiotu przetwarzaj\u261?cego,
\par 
\par o kt\u243?rych mowa w art. 8, art. 11, art. 25-39 oraz art. 42 i art. 43, podlegaj\u261? zgodnie
\par 
\par z ust. 2 administracyjnej karze pieni\u281?\u380?nej w wysoko\u347?ci do 10 000 000 EUR,
\par 
\par a w przypadku przedsi\u281?biorstwa - w wysoko\u347?ci do 2% jego ca\u322?kowitego rocznego \u347?wiatowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wy\u380?sza.
\par 
\par Decyduj\u261?c o na\u322?o\u380?eniu administracyjnej kary pieni\u281?\u380?nej organ - stosownie do tre\u347?ci art. 83 ust. 2 lit. a) - k) rozporz\u261?dzenia 2016/679 - wzi\u261?\u322? pod uwag\u281? nast\u281?puj\u261?ce okoliczno\u347?ci sprawy, stanowi\u261?ce o konieczno\u347?ci zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wp\u322?ywaj\u261?ce obci\u261?\u380?aj\u261?co na wymiar na\u322?o\u380?onej administracyjnej kary pieni\u281?\u380?nej:
\par 
\par 1. Charakter, waga i czas trwania naruszenia przy uwzgl\u281?dnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych os\u243?b, kt\u243?rych dane dotycz\u261?, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporz\u261?dzenia 2016/679).
\par 
\par W ocenie organu charakter naruszenia przepis\u243?w o ochronie danych osobowych jest powa\u380?ny, zaszeregowany do kategorii przepis\u243?w, kt\u243?rych naruszenie zagro\u380?one jest administracyjn\u261? kar\u261? pieni\u281?\u380?n\u261? w wysoko\u347?ci do 10 000 000 EUR. Sp\u243?\u322?ka naruszy\u322?a te przepisy rozporz\u261?dzenia 2016/679, kt\u243?re wprowadzaj\u261? podstawowe obowi\u261?zki dotycz\u261?ce zastosowania odpowiednich \u347?rodk\u243?w bezpiecze\u324?stwa w celu zapewnienia ochrony przetwarzanych danych osobowych m.in. w zakresie zagwarantowania zdolno\u347?ci do ci\u261?g\u322?ego zapewnienia dost\u281?pno\u347?ci danych i szybkiego przywr\u243?cenia dost\u281?pno\u347?ci danych osobowych i dost\u281?pu do nich w razie incydentu fizycznego, a wi\u281?c np. w wyniku po\u380?aru serwer\u243?w wykorzystywanych do ich przetwarzania. W efekcie nie by\u322?a w stanie odtworzy\u263? tych danych - jak wskaza\u322?a sama Sp\u243?\u322?ka "dane osobowe zapisane na serwerach, kt\u243?re uleg\u322?y spaleniu na skutek po\u380?aru, zosta\u322?y utracone bezpowrotnie". Jednoznacznie wskazuje to na powa\u380?ny charakter naruszenia. Liczba poszkodowanych os\u243?b nie jest ma\u322?a, obejmowa\u322?a oko\u322?o 14 000 os\u243?b, przy czym liczba os\u243?b, kt\u243?rych dokumenty z danymi - w tym faktury oraz skierowania na medycyn\u281? pracy pracownik\u243?w firm, wsp\u243?\u322?pracuj\u261?cych ze stron\u261?, uleg\u322?y zniszczeniu - zosta\u322?a oszacowana przez Sp\u243?\u322?k\u281? na 500 os\u243?b. Sp\u243?\u322?ka przetwarza\u322?a dane tych os\u243?b m.in.
\par 
\par w celu ich archiwizacji, co by\u322?o jej obowi\u261?zkiem prawnym. Na skutek bezpowrotnego zniszczenia danych, Sp\u243?\u322?ka jak i osoby, kt\u243?rych dane dotycz\u261? utraci\u322?y do nich dost\u281?p, co potencjalnie uniemo\u380?liwia realizacj\u281? praw lub wolno\u347?ci tych os\u243?b w postaci np. dost\u281?pu do danych osobowych, ich poprawienia, sprostowania, czy sporz\u261?dzania z nich kopii, zgodnie z art. 15 i art. 16 rozporz\u261?dzenia 2016/679. Brak zapewnienia mo\u380?liwo\u347?ci realizacji przez osoby, kt\u243?rych dane dotycz\u261?, powy\u380?szych uprawnie\u324?, przy jednoczesnym obowi\u261?zku prawnym Sp\u243?\u322?ki przechowana danych oraz du\u380?ej liczbie tych os\u243?b, wskazuj\u261? na znaczn\u261? wag\u281? naruszenia. Osoby, kt\u243?rych danych osobowych naruszenie dotyczy, utraci\u322?y mo\u380?liwo\u347?\u263? dost\u281?pu do swoich danych osobowych i tym samym dozna\u322?y szkody w postaci naruszenia ich prawa do ochrony danych osobowych (art. 41 ust. 1 Konstytucji RP). Powy\u380?sze mo\u380?e potencjalnie r\u243?wnie\u380? narazi\u263? te osoby na szkod\u281? maj\u261?tkow\u261?. R\u243?wnie\u380? czas trwania naruszenia, tj. od [...] maja 2018 r., (data rozpocz\u281?cia stosowania rozporz\u261?dzenia 2016/679 - uwzgl\u281?dniaj\u261?cy okres powierzenia przetwarzania danych i przechowywania ich na serwerach, kt\u243?re uleg\u322?y spaleniu) do [...] marca 2021 r. (data naruszenia ochrony danych osobowych polegaj\u261?cego na zniszczeniu serwerowni w wyniku po\u380?aru) przepis\u243?w o ochronie danych osobowych,
\par 
\par w kt\u243?rym Sp\u243?\u322?ka nie zapewni\u322?a, aby przetwarzanie odbywa\u322?o si\u281? w spos\u243?b zapewniaj\u261?cy odpowiednie bezpiecze\u324?stwo danych osobowych, w tym ochron\u281? przed przypadkow\u261? utrat\u261?, zniszczeniem, za pomoc\u261? odpowiednich \u347?rodk\u243?w technicznych lub organizacyjnych, by\u322? znaczny. Przy czym czas naruszenia w odniesieniu do os\u243?b, obj\u281?tych naruszeniem ochrony danych osobowych, oznaczonych przez Sp\u243?\u322?k\u281? jako "nowi i dotychczasowi u\u380?ytkownicy, osoby rejestruj\u261?ce si\u281? w systemie CRM" - r\u243?wnie\u380? by\u322? znaczny bowiem obejmowa\u322? okres od [...] marca 2020 r. do [...] marca 2021 r. Ponadto Sp\u243?\u322?ka przetwarza\u322?a dane osobowe, os\u243?b kt\u243?rych dane dotycz\u261? w celu realizacji us\u322?ug medycznych, nie zapewniaj\u261?c tym danym odpowiedniego poziomu bezpiecze\u324?stwa, a tym samym nara\u380?aj\u261?c osoby te na mo\u380?liwo\u347?\u263? braku spe\u322?nienia us\u322?ugi medycznej lub jej utrudnienia, co mog\u322?o stanowi\u263? o mo\u380?liwo\u347?ci wyst\u261?pienia wysokiego ryzyka naruszenia praw lub wolno\u347?ci os\u243?b fizycznych. Tym samym osoby, kt\u243?rych dane by\u322?y przetwarzane w systemie CRM w okresie od [...] maja 2018 r. do [...] marca 2021 r. by\u322?y nara\u380?one na mo\u380?liwo\u347?\u263? wyst\u261?pienia ryzyka naruszenia praw lub wolno\u347?\u263? tych os\u243?b, w postaci braku mo\u380?liwo\u347?ci lub braku mo\u380?liwo\u347?ci niezw\u322?ocznej realizacji us\u322?ugi medycznej w sytuacji utraty danych lub systemu i trudno\u347?ci w rozliczeniu us\u322?ugi.
\par 
\par 2. Umy\u347?lny charakter naruszenia (art. 83 ust. 2 lit. b rozporz\u261?dzenia 2016/679).
\par 
\par Organ wskaza\u322?, \u380?e Sp\u243?\u322?ka by\u322?a \u347?wiadoma, w jaki spos\u243?b powinna przetwarza\u263? dane osobowe zgromadzone na serwerach, kt\u243?re uleg\u322?y spaleniu, aby zapewni\u263? im odpowiednie bezpiecze\u324?stwo, w tym ochron\u281? przed przypadkow\u261? utrat\u261?, zniszczeniem lub uszkodzeniem, za pomoc\u261? odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych,
\par 
\par a wi\u281?c w jaki spos\u243?b przestrzega\u263? zasad\u281? "integralno\u347?ci i poufno\u347?ci" wyra\u380?on\u261? w art. 5 ust. 1 li. f) rozporz\u261?dzenia 2016/679 (okoliczno\u347?\u263? ta znajduje swoje potwierdzenie
\par 
\par w postanowieniach Polityki bezpiecze\u324?stwa oraz w umowie powierzenia). Jednocze\u347?nie powy\u380?sza zasada znajduje swoj\u261? konkretyzacj\u281? w art. 32 ust. 1 i 2 rozporz\u261?dzenia 2016/679 zgodnie z kt\u243?rym, Sp\u243?\u322?ka przy uwzgl\u281?dnieniu kryteri\u243?w zawartych
\par 
\par w przepisie, zobowi\u261?zana by\u322?a do wdro\u380?enia \u347?rodk\u243?w technicznych i organizacyjnych odpowiednich do ryzyka, w tym zapewniaj\u261?cych zdolno\u347?\u263? do ci\u261?g\u322?ego zapewnienia dost\u281?pno\u347?ci i odporno\u347?ci system\u243?w i us\u322?ug przetwarzania oraz zdolno\u347?ci do szybkiego przywr\u243?cenia dost\u281?pno\u347?ci danych osobowych i dost\u281?pu do nich w razie incydentu fizycznego lub technicznego. Sp\u243?\u322?ka przeprowadzi\u322?a analiz\u281? ryzyka w spos\u243?b zupe\u322?nie dowolny, nieprawid\u322?owo uznaj\u261?c, \u380?e ryzyko jest na poziomie akceptowalnym. Jednocze\u347?nie nie zastosowa\u322?a okre\u347?lonych przez siebie w Polityce bezpiecze\u324?stwa
\par 
\par i wskazanych w umowie powierzenia \u347?rodk\u243?w bezpiecze\u324?stwa w postaci wykonywania kopii bezpiecze\u324?stwa, a realne dzia\u322?ania podj\u281?\u322?a dopiero po wyst\u261?pieniu naruszenia ochrony danych osobowych. W dzia\u322?aniach Sp\u243?\u322?ki uwidoczniona zosta\u322?a \u347?wiadomo\u347?\u263?, co do braku zapewnienia odpowiedniego stopnia bezpiecze\u324?stwa danych osobowych przetwarzanych na serwerach. Wobec powy\u380?szego Sp\u243?\u322?ka by\u322?a \u347?wiadoma, \u380?e w tym okresie od powierzenia przetwarzania danych osobowych do zmaterializowania si\u281? zagro\u380?enia, nie zapewnia odpowiedniego stopnia bezpiecze\u324?stwa danych osobowych przetwarzanych na serwerach, co b\u281?dzie stanowi\u322?o naruszenie przepis\u243?w o ochronie danych osobowych. Tym samym, umy\u347?lnie naruszy\u322?a przepis art. 32 ust 1 i 2 rozporz\u261?dzenia 2016/679. Bior\u261?c pod uwag\u281? ustalenia w sprawie b\u281?d\u261?cej przedmiotem rozstrzygni\u281?cia niniejszej decyzji nale\u380?y stwierdzi\u263?, \u380?e Sp\u243?\u322?ka - mimo \u347?wiadomo\u347?ci - dopu\u347?ci\u322?a si\u281? zaniedbania skutkuj\u261?cego wyst\u261?pieniem naruszenia ochrony danych osobowych dotycz\u261?cego dost\u281?pno\u347?ci danych. Tak wi\u281?c stanowi to istotn\u261? okoliczno\u347?\u263? wp\u322?ywaj\u261?c\u261? obci\u261?\u380?aj\u261?co na wysoko\u347?\u263? administracyjnej kary pieni\u281?\u380?nej
\par 
\par 3. Stopie\u324? wsp\u243?\u322?pracy z organem nadzorczym w celu usuni\u281?cia naruszenia oraz z\u322?agodzenia jego ewentualnych negatywnych skutk\u243?w (art. 83 ust. 2 lit. f rozporz\u261?dzenia 2016/679).
\par 
\par Prezes UODO wskaza\u322?, \u380?e wsp\u243?\u322?praca z organem nadzorczym nie by\u322?a zadowalaj\u261?ca, a skala nieprawid\u322?owo\u347?ci istotnie rzutuj\u261?ca na decyzj\u281?, co do na\u322?o\u380?enia administracyjnej kary pieni\u281?\u380?nej i jej wysoko\u347?ci. Powy\u380?sze w szczeg\u243?lno\u347?ci odniesienie ma do takich okoliczno\u347?ci jak brak udzielenia lub wymijaj\u261?ce udzielenia odpowiedzi na zadane pytania, czy brak przedstawienia dowod\u243?w, o kt\u243?re Prezes UODO si\u281? zwraca\u322?. Skala braku tej wsp\u243?\u322?pracy oraz jej spos\u243?b uprawnia nawet do przyj\u281?cia, \u380?e by\u322?y to celowe dzia\u322?ania Sp\u243?\u322?ki maj\u261?ce na celu utrudnienie prowadzenie post\u281?powania administracyjnego w zakresie ustalenia okoliczno\u347?ci istotnych dla rozstrzygni\u281?cia sprawy, a tym samym usuni\u281?cia naruszenia i jego ewentualnych skutk\u243?w w postaci. Sp\u243?\u322?ka uporczywie udziela\u322?a lakonicznych i wymijaj\u261?cych odpowiedzi lub nie udziela\u322?a odpowiedzi wcale, w konsekwencji Prezes UODO zmuszony by\u322? ponownie zwraca\u263? si\u281? o udzielenie odpowiedzi na te same pytania. Wyja\u347?nienia Sp\u243?\u322?ki nie tylko nie pomaga\u322?y w ustaleniu mo\u380?liwych konsekwencji naruszenia ochrony danych osobowych dla os\u243?b, kt\u243?rych dane dotycz\u261?, ale wr\u281?cz je utrudnia\u322?y, nie bez znaczenia jest r\u243?wnie\u380? okoliczno\u347?\u263?, \u380?e Sp\u243?\u322?ka w przesy\u322?anych wyja\u347?nieniach zupe\u322?nie pomija\u322?a cel przetwarzania danych osobowych w postaci obowi\u261?zku ich archiwizacji, kt\u243?ry w spos\u243?b bezpo\u347?redni wskazuje na mo\u380?liwe konsekwencje w postaci braku mo\u380?liwo\u347?ci dost\u281?pu do swoich danych osobowych. W oparciu o powy\u380?sze okoliczno\u347?ci odnosz\u261?ce si\u281? do stopnia wsp\u243?\u322?pracy, Prezes UODO nie m\u243?g\u322? oprze\u263? stanu faktycznego o wyja\u347?nienia Sp\u243?\u322?ki, uznaj\u261?c je za niesp\u243?jne, chaotyczne, niekoresponduj\u261?ce ze sob\u261?, sprzeczne
\par 
\par z materia\u322?em dowodowym lub niewynikaj\u261?ce z materia\u322?u dowodowego.
\par 
\par W dalszej kolejno\u347?ci organ wskaza\u322?, \u380?e decyduj\u261?c o na\u322?o\u380?eniu administracyjnej kary pieni\u281?\u380?nej wzi\u261?\u322? pod uwag\u281? dzia\u322?ania podj\u281?te w celu zminimalizowania szkody poniesionej przez osoby, kt\u243?rych dane dotycz\u261? (art. 83 ust. 2 lit. c rozporz\u261?dzenia 2016/679, stanowi\u261?ce o konieczno\u347?ci zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wp\u322?ywaj\u261?ce \u322?agodz\u261?co na wymiar na\u322?o\u380?onej administracyjnej kary pieni\u281?\u380?nej. Prezes UODO przy tym zauwa\u380?y\u322?, \u380?e Sp\u243?\u322?ka [...] marca 2021 r., po ujawnieniu naruszenia ochrony danych osobowych, poinformowa\u322?a o naruszeniu osoby, kt\u243?rych dane dotycz\u261?, wysy\u322?aj\u261?c wiadomo\u347?\u263? e-mail do oko\u322?o 14 000 os\u243?b obj\u281?tych naruszeniem. Ponadto, zamie\u347?ci\u322?a komunikat informuj\u261?cy o naruszeniu na swojej stronie internetowej. Wskaza\u263? nale\u380?y, \u380?e w zwi\u261?zku z wyst\u261?pieniem naruszenia ochrony danych osobowych nie stwierdzono okoliczno\u347?ci zobowi\u261?zuj\u261?ce Sp\u243?\u322?k\u281? do zawiadomienia o naruszeniu tych os\u243?b, stosownie do tre\u347?ci art 34 ust. 1 rozporz\u261?dzenia 2016/6/79. Tym samym nale\u380?y uzna\u263?, \u380?e Sp\u243?\u322?ka dobrowolnie poinformowa\u322?a
\par 
\par o naruszeniu osoby, kt\u243?rych dane dotycz\u261?, jednocze\u347?nie zapewniaj\u261?c im mo\u380?liwo\u347?\u263? przekazania informacji zwrotnej. Dlatego te\u380?, takie dzia\u322?anie z pewno\u347?ci zas\u322?uguje na aprobat\u281? i zosta\u322?o uwzgl\u281?dnienie, jako okoliczno\u347?\u263? \u322?agodz\u261?ca.
\par 
\par Inne okoliczno\u347?ci, o kt\u243?rych mowa w art. 83 ust. 2 rozporz\u261?dzenia 2016/679, po dokonaniu oceny ich wp\u322?ywu na stwierdzone w niniejszej sprawie naruszenie przepis\u243?w rozporz\u261?dzenia 2016/679, zosta\u322?y przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie maj\u261?ce ani obci\u261?\u380?aj\u261?cego ani \u322?agodz\u261?cego wp\u322?ywu na wymiar orzeczonej administracyjnej kary pieni\u281?\u380?nej.
\par 
\par 1. Stopie\u324? odpowiedzialno\u347?ci administratora z uwzgl\u281?dnieniem \u347?rodk\u243?w technicznych
\par 
\par i organizacyjnych wdro\u380?onych przez niego na mocy art. 25 i art. 32 (art. 83 ust. 2 lit. d rozporz\u261?dzenia 2016/679).
\par 
\par Prezes UODO stwierdzi\u322? w niniejszej sprawie naruszenie przez administratora przepisu art. 32 ust. 1 i 2 rozporz\u261?dzenia 2016/679. W jego ocenie na administratorze ci\u261?\u380?y w wysokim stopniu odpowiedzialno\u347?\u263? za niewdro\u380?enie odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych, kt\u243?re zapobieg\u322?yby naruszeniu ochrony danych osobowych. Oczywistym jest, \u380?e w rozwa\u380?anym kontek\u347?cie charakteru, celu i zakresu przetwarzania danych osobowych administrator nie "zrobi\u322? wszystkiego, czego mo\u380?na by by\u322?o od niego oczekiwa\u263?"; nie wywi\u261?za\u322? si\u281? tym samym z na\u322?o\u380?onych na niego przepisem art. 32 rozporz\u261?dzenia 2016/679 obowi\u261?zk\u243?w. W niniejszej sprawie okoliczno\u347?\u263? ta stanowi jednak o istocie samego naruszenia; nie jest jedynie czynnikiem wp\u322?ywaj\u261?cym - \u322?agodz\u261?co lub obci\u261?\u380?aj\u261?co - na jego ocen\u281?. Z tego te\u380? wzgl\u281?du brak odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych, o kt\u243?rych mowa w art. 32 rozporz\u261?dzenia 2016/679, nie mo\u380?e zosta\u263? przez Prezesa UODO uznany w niniejszej sprawie za okoliczno\u347?\u263? mog\u261?c\u261? dodatkowo wp\u322?yn\u261?\u263? na surowsz\u261? ocen\u281? naruszenia
\par 
\par i wymiar na\u322?o\u380?onej na Sp\u243?\u322?k\u281? administracyjnej kary pieni\u281?\u380?nej
\par 
\par 2. Wszelkie stosowne wcze\u347?niejsze naruszenia ze strony administratora lub podmiotu przetwarzaj\u261?cego (art. 83 ust 2 lit. e rozporz\u261?dzenia 2016/679).
\par 
\par Prezes UODO nie stwierdzi\u322? jakichkolwiek, dokonanych przez administratora, wcze\u347?niejszych narusze\u324? przepis\u243?w o ochronie danych osobowych, w zwi\u261?zku z czym brak jest podstaw do traktowania tej okoliczno\u347?ci jako obci\u261?\u380?aj\u261?cej. Obowi\u261?zkiem ka\u380?dego administratora jest przestrzeganie przepis\u243?w prawa (w tym o ochronie danych osobowych), wi\u281?c brak wcze\u347?niejszych narusze\u324? nie mo\u380?e by\u263? okoliczno\u347?ci\u261? \u322?agodz\u261?c\u261? przy wymierzaniu sankcji.
\par 
\par 3. Kategorie danych osobowych, kt\u243?rych dotyczy\u322?o naruszenie (art. 83 ust. 2 lit. g rozporz\u261?dzenia 2016/679).
\par 
\par Dane osobowe znajduj\u261?ce si\u281? na spalonych serwerach nie nale\u380?a\u322?y do szczeg\u243?lnych kategorii danych osobowych, o kt\u243?rych mowa w art. 9 lub 10 rozporz\u261?dzenia 2016/679, a ich zakres by\u322? nast\u281?puj\u261?cy: nazwiska i imiona, adresy zamieszkania lub pobytu, numery ewidencyjny PESEL, adresy e-mail, numery telefonu oraz dane znajduj\u261?ce si\u281? w dokumentach, takich jak faktury oraz skierowania na medycyn\u281? pracy. Jednocze\u347?nie wskaza\u263? nale\u380?y, \u380?e naruszenie ochrony danych osobowych nie polega\u322?o na naruszeniu atrybutu poufno\u347?ci i integralno\u347?ci danych osobowych, kt\u243?rych kategorie maj\u261? w szczeg\u243?lno\u347?ci wp\u322?yw na okre\u347?lenie poziomu ryzyka naruszenia praw lub wolno\u347?ci os\u243?b fizycznych
\par 
\par 4. Spos\u243?b w jaki organ nadzorczy dowiedzia\u322? si\u281? o naruszeniu (art. 83 ust. 2 lit. h rozporz\u261?dzenia 2016/679).
\par 
\par Prezes UODO stwierdzi\u322? naruszenie w wyniku zg\u322?oszenia naruszenia ochrony danych osobowych dokonanego przez skar\u380?\u261?c\u261?. Sp\u243?\u322?ka dokonuj\u261?c tego zg\u322?oszenia realizowa\u322?a jedynie ci\u261?\u380?\u261?cy na niej obowi\u261?zek prawny, brak jest podstaw do uznania, \u380?e okoliczno\u347?\u263? ta stanowi okoliczno\u347?\u263? \u322?agodz\u261?c\u261?.
\par 
\par 5. Przestrzeganie wcze\u347?niej zastosowanych w tej samej sprawie \u347?rodk\u243?w,
\par 
\par o kt\u243?rych mowa w art. 58 ust. 2 rozporz\u261?dzenia 2016/679 (art. 83 ust. 2 lit. i rozporz\u261?dzenia 2016/679).
\par 
\par Przed wydaniem niniejszej decyzji Prezes UODO nie stosowa\u322? wobec Sp\u243?\u322?ki
\par 
\par w rozpatrywanej sprawie \u380?adnych \u347?rodk\u243?w wymienionych w art. 58 ust. 2 rozporz\u261?dzenia 2016/679, w zwi\u261?zku z czym Sp\u243?\u322?ka nie mia\u322?a obowi\u261?zku podejmowania \u380?adnych dzia\u322?a\u324? zwi\u261?zanych z ich stosowaniem, a kt\u243?re to dzia\u322?ania, poddane ocenie Prezesa UODO, mog\u322?yby mie\u263? obci\u261?\u380?aj\u261?cy lub \u322?agodz\u261?cy wp\u322?yw na ocen\u281? stwierdzonego naruszenia.
\par 
\par 6. Stosowanie zatwierdzonych kodeks\u243?w post\u281?powania na mocy art. 40 rozporz\u261?dzenia 2016/679 lub zatwierdzonych mechanizm\u243?w certyfikacji na mocy art. 42 rozporz\u261?dzenia 2016/679 (art. 83 ust. 2 lit. j rozporz\u261?dzenia 2016/679).
\par 
\par Sp\u243?\u322?ka nie stosuje zatwierdzonych kodeks\u243?w post\u281?powania ani zatwierdzonych mechanizm\u243?w certyfikacji, o kt\u243?rych mowa w przepisach rozporz\u261?dzenia 2016/679. Ich przyj\u281?cie, wdro\u380?enie i stosowanie nie jest jednak - jak stanowi\u261? przepisy rozporz\u261?dzenia 2016/679 - obowi\u261?zkowe dla administrator\u243?w i podmiot\u243?w przetwarzaj\u261?cych w zwi\u261?zku, z czym okoliczno\u347?\u263? ich niestosowania nie mo\u380?e by\u263?
\par 
\par w niniejszej sprawie poczytana na niekorzy\u347?\u263? Sp\u243?\u322?ki. Na korzy\u347?\u263? Sp\u243?\u322?ki natomiast mog\u322?aby by\u263? uwzgl\u281?dniona okoliczno\u347?\u263? przyj\u281?cia i stosowania tego rodzaju instrument\u243?w, jako \u347?rodk\u243?w gwarantuj\u261?cych wy\u380?szy ni\u380? standardowy poziom ochrony przetwarzanych danych osobowych.
\par 
\par 7. Wszelkie inne obci\u261?\u380?aj\u261?ce lub \u322?agodz\u261?ce czynniki maj\u261?ce zastosowanie do okoliczno\u347?ci sprawy, osi\u261?gni\u281?te bezpo\u347?rednio lub po\u347?rednio w zwi\u261?zku z naruszeniem korzy\u347?ci finansowe lub unikni\u281?te straty (art. 83 ust. 2 lit. k rozporz\u261?dzenia 2016/679).
\par 
\par Prezes UODO wskaza\u322?, \u380?e wszechstronnie rozpatruj\u261?c spraw\u281? nie odnotowa\u322? innych ni\u380? opisane powy\u380?ej okoliczno\u347?ci mog\u261?cych mie\u263? wp\u322?yw na ocen\u281? naruszenia
\par 
\par i na wysoko\u347?\u263? orzeczonej administracyjnej kary pieni\u281?\u380?nej.
\par 
\par Uwzgl\u281?dniaj\u261?c wszystkie om\u243?wione wy\u380?ej okoliczno\u347?ci, organ uzna\u322?, \u380?e na\u322?o\u380?enie administracyjnej kary pieni\u281?\u380?nej na Sp\u243?\u322?k\u281? jest konieczne i uzasadnione wag\u261?, charakterem oraz zakresem zarzucanych jej narusze\u324?. Stwierdzi\u322?, \u380?e zastosowanie wobec Sp\u243?\u322?ki jakiegokolwiek innego \u347?rodka naprawczego przewidzianego w art. 58 ust. 2 rozporz\u261?dzenia 2016/679, w szczeg\u243?lno\u347?ci za\u347? poprzestanie na upomnieniu (art. 58 ust. 2 lit. b), nie by\u322?oby proporcjonalne do stwierdzonych nieprawid\u322?owo\u347?ci w procesie przetwarzania danych osobowych oraz nie gwarantowa\u322?oby tego, \u380?e Sp\u243?\u322?ka w przysz\u322?o\u347?ci nie dopu\u347?ci si\u281? kolejnych zaniedba\u324?.
\par 
\par Organ wyja\u347?ni\u322?, \u380?e stosownie do tre\u347?ci art. 103 u.o.d.o., r\u243?wnowarto\u347?\u263? wyra\u380?onych w euro kwot, o kt\u243?rych mowa w art. 83 rozporz\u261?dzenia 2016/679, oblicza si\u281? w z\u322?otych wed\u322?ug \u347?redniego kursu euro og\u322?aszanego przez Narodowy Bank Polski
\par 
\par w tabeli kurs\u243?w na dzie\u324? 28 stycznia ka\u380?dego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie og\u322?asza \u347?redniego kursu euro w dniu 28 stycznia - wed\u322?ug \u347?redniego kursu euro og\u322?oszonego w najbli\u380?szej po tej dacie tabeli kurs\u243?w Narodowego Banku Polskiego.
\par 
\par W ocenie Prezesa UODO na\u322?o\u380?ona na Sp\u243?\u322?k\u281? administracyjna kara pieni\u281?\u380?na
\par 
\par w wysoko\u347?ci 117 900 z\u322?, co stanowi r\u243?wnowarto\u347?\u263? 25 000 euro (\u347?redni kurs euro z 30 stycznia 2023 r. r. - 4,716 z\u322?), spe\u322?nia w ustalonych okoliczno\u347?ciach niniejszej sprawy funkcje, o kt\u243?rych mowa w art. 83 ust. 1 rozporz\u261?dzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszaj\u261?ca. Na\u322?o\u380?ona na Sp\u243?\u322?k\u281? kara jest proporcjonalna zar\u243?wno do powagi naruszenia jak i do wielko\u347?ci Sp\u243?\u322?ki, kt\u243?r\u261? to wielko\u347?\u263? - mierzon\u261? jej obrotem - nale\u380?y rozpatrywa\u263? w nierozerwalnym zwi\u261?zku ze wzgl\u281?dami na skuteczno\u347?\u263? kary i na jej odstraszaj\u261?cy charakter.
\par 
\par Organ zauwa\u380?y\u322?, \u380?e w toku post\u281?powania Sp\u243?\u322?ka przedstawi\u322?a sprawozdanie finansowe za 2022 r., zgodnie z kt\u243?rym jej przychody netto ze sprzeda\u380?y wynios\u322?y 8 458 585,48 z\u322?, co stanowi r\u243?wnowarto\u347?\u263? 1 793 593,18 euro wg \u347?redniego kursu euro z 30 stycznia 2023 r. Natomiast zysk netto stanowi\u322?a kwota 1 053 248, 35 z\u322?, przy przeci\u281?tnym w roku obrotowym zatrudnieniu 4 os\u243?b. Zwa\u380?ywszy na wy\u380?ej przedstawione wyniki finansowe Sp\u243?\u322?ki stwierdzi\u322?, \u380?e orzeczona administracyjna kara pieni\u281?\u380?na nie b\u281?dzie dla niej nadmiernie dotkliwa. Wskaza\u322?, \u380?e ustalona przez Prezesa UODO kwota kary - 117 900 z\u322? - stanowi jedynie 1,39 % jej obrotu osi\u261?gni\u281?tego w 2022 r. Jednocze\u347?nie w ocenie Prezesa UODO kara w tej wysoko\u347?ci b\u281?dzie skuteczna, tj. osi\u261?gnie cel jakim jest ukaranie Sp\u243?\u322?ki za powa\u380?ne naruszenie o powa\u380?nych skutkach
\par 
\par i odstraszaj\u261?ca na przysz\u322?o\u347?\u263?.
\par 
\par Odnosz\u261?c si\u281? do wysoko\u347?ci wymierzonej Sp\u243?\u322?ce administracyjnej kary pieni\u281?\u380?nej Prezes UODO uzna\u322?, \u380?e jest ona proporcjonalna do zaistnia\u322?ego naruszenia. Podkre\u347?li\u322?, \u380?e kwota na\u322?o\u380?onej kary 117 900 PLN to jedynie 0,25% maksymalnej kary, kt\u243?r\u261? organ m\u243?g\u322? na\u322?o\u380?y\u263? na Sp\u243?\u322?k\u281? za stwierdzone w niniejszej sprawie naruszenie - stosuj\u261?c zgodnie z art. 83 ust. 4 rozporz\u261?dzenia 2016/679 statyczne maksimum kary (tj. 10 000 000 euro). Wobec powy\u380?szego na\u322?o\u380?ona na Sp\u243?\u322?k\u281? administracyjna kara pieni\u281?\u380?na spe\u322?nia w szczeg\u243?lno\u347?ci kryterium proporcjonalno\u347?ci kary w rozumieniu wypracowanym w orzecznictwie TSUE.
\par 
\par W ocenie Prezesa UODO, zastosowana administracyjna kara pieni\u281?\u380?na spe\u322?nia w ustalonych okoliczno\u347?ciach niniejszej sprawy funkcje, o kt\u243?rych mowa w art. 83 ust. 1 rozporz\u261?dzenia 2016/679, tzn. b\u281?dzie w tym indywidulanym przypadku skuteczna, proporcjonalna i odstraszaj\u261?ca. Na\u322?o\u380?ona kara b\u281?dzie skuteczna, albowiem doprowadzi do stanu, w kt\u243?rym Sp\u243?\u322?ka stosowa\u322?a b\u281?dzie takie \u347?rodki techniczne i organizacyjne, kt\u243?re zapewni\u261? przetwarzanym danym stopie\u324? bezpiecze\u324?stwa odpowiadaj\u261?cy ryzyku naruszenia praw i wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261? oraz wadze zagro\u380?e\u324? towarzysz\u261?cym procesom przetwarzania tych danych osobowych. Skuteczno\u347?\u263? kary r\u243?wnowa\u380?na jest zatem gwarancj\u261? tego, \u380?e Sp\u243?\u322?ka od momentu zako\u324?czenia niniejszego post\u281?powania b\u281?dzie z najwy\u380?sz\u261? staranno\u347?ci\u261? podchodzi\u322?a do wymog\u243?w stawianych przez przepisy o ochronie danych osobowych. Zastosowana administracyjna kara pieni\u281?\u380?na jest r\u243?wnie\u380?, proporcjonalna do stwierdzonego naruszenia, w tym zw\u322?aszcza jego wagi, skutku, kr\u281?gu dotkni\u281?tych nim os\u243?b fizycznych oraz wysokiego ryzyka negatywnych konsekwencji, jakie wi\u261?za\u322?y si\u281? z operacjami przetwarzania danych. Na\u322?o\u380?ona na Sp\u243?\u322?k\u281? administracyjna kara pieni\u281?\u380?na nie b\u281?dzie stanowi\u322?a nadmiernego dla niej obci\u261?\u380?enia. Wysoko\u347?\u263? kary zosta\u322?a bowiem okre\u347?lona na takim poziomie, aby z jednej strony stanowi\u322?a adekwatn\u261? reakcj\u281? organu nadzorczego na stopie\u324? naruszenia obowi\u261?zk\u243?w administratora, z drugiej jednak strony nie powodowa\u322?a sytuacji, w kt\u243?rej konieczno\u347?\u263? jej uiszczenia poci\u261?gnie za sob\u261? negatywne nast\u281?pstwa, w postaci istotnego pogorszenia sytuacji finansowej Sp\u243?\u322?ki. Sp\u243?\u322?ka powinna i jest w stanie ponie\u347?\u263? konsekwencje swoich zaniedba\u324? w sferze ochrony danych, st\u261?d na\u322?o\u380?enie kary w wysoko\u347?ci 117 900 z\u322? jest w pe\u322?ni uzasadnione. Administracyjna kara pieni\u281?\u380?na spe\u322?ni w tych konkretnych okoliczno\u347?ciach funkcj\u281? represyjn\u261?, jako \u380?e stanowi\u263? b\u281?dzie odpowied\u378? na naruszenie przez Sp\u243?\u322?k\u281? przepis\u243?w rozporz\u261?dzenia 2016/679, ale i prewencyjn\u261?, bowiem przyczyni si\u281? do zapobiegania
\par 
\par w przysz\u322?o\u347?ci naruszania obowi\u261?zk\u243?w skar\u380?\u261?cej wynikaj\u261?cych z przepis\u243?w o ochronie danych osobowych. Zastosowana kara pieni\u281?\u380?na spe\u322?nia w ustalonych okoliczno\u347?ciach niniejszej sprawy przes\u322?anki, o kt\u243?rych mowa w art. 83 ust. 1 rozporz\u261?dzenia 2016/679 ze wzgl\u281?du na wag\u281? stwierdzonych narusze\u324? w kontek\u347?cie podstawowych wymog\u243?w
\par 
\par i zasad rozporz\u261?dzenia 2016/679. Celem na\u322?o\u380?onej kary jest doprowadzenie do przestrzegania przez Sp\u243?\u322?k\u281? w przysz\u322?o\u347?ci przepis\u243?w rozporz\u261?dzenia 2016/679.
\par 
\par Pismem z [...] stycznia 2024 r. skar\u380?\u261?ca reprezentowana przez pe\u322?nomocnika \u8211? radc\u281? prawnego wnios\u322?a skarg\u281? na ww. decyzj\u281? Prezesa UODO z [...] listopada 2023 r. Zaskar\u380?onej decyzji zarzuci\u322?a:
\par 
\par 1. naruszenie przepis\u243?w post\u281?powania maj\u261?ce istotny wp\u322?yw na wynik post\u281?powania
\par 
\par w postaci:
\par 
\par a) art. 107 \u167? 1 pkt 5 k.p.a., poprzez wadliwo\u347?\u263? sformu\u322?owania rozstrzygni\u281?cia zaskar\u380?onej decyzji, polegaj\u261?c\u261? na braku sprecyzowania przez organ, kt\u243?re dok\u322?adnie dzia\u322?ania lub zaniechania skar\u380?\u261?cej, ustalone w toku post\u281?powania administracyjnego, organ uzna\u322? za naruszenie przepis\u243?w prawa wymienionych w sentencji decyzji, za kt\u243?re to stwierdzenie naruszenia organ na\u322?o\u380?y\u322? kar\u281? pieni\u281?\u380?n\u261?, co w konsekwencji uniemo\u380?liwia zapoznanie si\u281? z rezultatem stosowania przez organ normy prawa materialnego do konkretnego przypadku w kontek\u347?cie okre\u347?lonych okoliczno\u347?ci faktycznych i materia\u322?u dowodowego, a tym samym wyklucza kontrol\u281? instancyjn\u261? decyzji w zakresie konkretnego i indywidualnie oznaczonego czynu oraz okre\u347?lenie zakresu przedmiotowego sprawy obj\u281?tej powag\u261? sprawy rozstrzygni\u281?tej;
\par 
\par b) art. 61 \u167? 4 k.p.a. w zw. z art. 47 Karty Praw Podstawowych oraz art. 6 ust. 3 lit. a Konwencji o Ochronie Praw Cz\u322?owieka i Podstawowych Wolno\u347?ci poprzez brak informacji w tre\u347?ci zawiadomienia organu z [...] marca 2022 r. o wszcz\u281?ciu post\u281?powania o przedmiocie zarzuconych czyn\u243?w (konkretnych dzia\u322?a\u324? lub zaniecha\u324? Sp\u243?\u322?ki b\u281?d\u261?cych naruszeniem przepis\u243?w RODO), podczas gdy post\u281?powanie zako\u324?czone decyzj\u261? nale\u380?y traktowa\u263? jako post\u281?powanie w przedmiocie naruszenia przepis\u243?w ochrony danych osobowych w rozumieniu art. 60 u.o.d.o., co w konsekwencji doprowadzi\u322?o do ograniczenia prawa do obrony skar\u380?\u261?cej, uniemo\u380?liwiaj\u261?c Sp\u243?\u322?ce ustosunkowanie si\u281? do konkretnych zarzut\u243?w i przedstawienia wyczerpuj\u261?cego materia\u322?u dowodowego w celu odparcia skonkretyzowanych zarzut\u243?w;
\par 
\par c) art. 7 k.p.a., art. 77 \u167? 1 k.p.a., art. 80 k.p.a. w kontek\u347?cie spe\u322?nienia przez skar\u380?\u261?c\u261? wymog\u243?w okre\u347?lonych w art. 32 ust. 1 RODO, poprzez brak wszechstronnej oraz merytorycznej oceny zgromadzonego materia\u322?u dowodowego, tj. przedstawionych przez Sp\u243?\u322?k\u281? stosowanych \u347?rodk\u243?w bezpiecze\u324?stwa, kt\u243?rego wszechstronna ocena powinna doprowadzi\u263? organ do ustalenia, \u380?e skar\u380?\u261?ca wdro\u380?y\u322?a odpowiednie \u347?rodki techniczne s\u322?u\u380?\u261?ce ochronie przetwarzanych danych osobowych, co doprowadzi\u322?o do niepe\u322?nego ustalenia stanu faktycznego sprawy, przede wszystkim w zakresie okoliczno\u347?ci maj\u261?cych wp\u322?yw na spe\u322?nienie przez skar\u380?\u261?c\u261? przes\u322?anki z art. 24 ust. 1 RODO oraz
\par 
\par z art. 32 ust. 1 RODO, co zgodnie z art. 83 ust. 2 RODO wp\u322?ywa na na\u322?o\u380?enie oraz wysoko\u347?\u263? kary administracyjnej;
\par 
\par d) art. 7 k.p.a., art. 77 \u167? 1 k.p.a. w zw. z art. 77 \u167? 4 k.p.a., art. 80 k.p.a., art. 81 k.p.a., art. 84 \u167? 1 k.p.a. w zw. z art. 8 \u167? 1 k.p.a. i art. 10 \u167? 1 k.p.a., poprzez poczynienie przez organ ustale\u324? faktycznych oraz ocen w oparciu o normy PN-EN ISO/IEC 27002:2017-06 (s. 14 decyzji), polegaj\u261?ce na przyj\u281?ciu, \u380?e z wytycznych tych wynika rekomendacja "regularnego wykonywania i testowania zapasowych kopii informacji, oprogramowania
\par 
\par i obraz\u243?w system\u243?w zgodnie z ustalon\u261? polityk\u261? kopii zapasowych", sugeruj\u261?c przy tym, \u380?e ww. dzia\u322?ania powinny by\u263? bezwzgl\u281?dnie stosowane przez Sp\u243?\u322?k\u281?, podczas gdy
\par 
\par z przedmiotowej normy wynikaj\u261? jedynie og\u243?lne rekomendacje w zakresie cel\u243?w stosowania zabezpiecze\u324? oraz zabezpieczenia informacji, kt\u243?re dobierane s\u261? na podstawie szacowania ryzyka, z kolei wyb\u243?r odpowiednich \u347?rodk\u243?w w konkretnym przypadku jest uzale\u380?niony od oceny ryzyka, kt\u243?rej organ nie przeprowadzi\u322? jednocze\u347?nie bezpodstawnie kwestionuj\u261?c prawid\u322?owo\u347?\u263? oceny ryzyka dokonanej przez skar\u380?\u261?c\u261? w drodze lakonicznych twierdze\u324? w przedmiocie jej rzekomej niekompletno\u347?ci;
\par 
\par e) art. 7 k.p.a., art. 77 \u167? 1 k.p.a., art. 80 k.p.a., poprzez dowoln\u261? ocen\u281? materia\u322?u dowodowego, niezgodn\u261? z logik\u261? i zasadami do\u347?wiadczenia \u380?yciowego, polegaj\u261?c\u261? na stwierdzeniu, \u380?e Sp\u243?\u322?ka nie przedsi\u281?wzi\u281?\u322?a odpowiednich \u347?rodk\u243?w technicznych
\par 
\par i organizacyjnych zapewniaj\u261?cych stopie\u324? bezpiecze\u324?stwa odpowiadaj\u261?cy ryzyku przetwarzania danych, w tym zapewniaj\u261?cych zdolno\u347?\u263? do ci\u261?g\u322?ego zapewnienia dost\u281?pno\u347?ci i odporno\u347?ci system\u243?w i us\u322?ug przetwarzania oraz zdolno\u347?\u263? do szybkiego przywr\u243?cenia dost\u281?pno\u347?ci danych osobowych i dost\u281?pu do nich w razie incydentu fizycznego lub technicznego oraz nie uwzgl\u281?dni\u322?a prawid\u322?owo ryzyka zwi\u261?zanego
\par 
\par z przetwarzaniem, wynikaj\u261?cego z przypadkowego lub niezgodnego z prawem zniszczenia czy utraty danych osobowych przesy\u322?anych, przechowywanych lub w inny spos\u243?b przetwarzanych, podczas gdy prawid\u322?owa i rzetelna ocena materia\u322?u dowodowego zebranego w sprawie powinna doprowadzi\u263? do ustalenia, \u380?e Sp\u243?\u322?ka nie dopu\u347?ci\u322?a si\u281? naruszenia w tym zakresie;
\par 
\par f) art. 7 k.p.a., art. 77 \u167? 1 k.p.a., art. 80 k.p.a., poprzez dowoln\u261? ocen\u281? materia\u322?u dowodowego niezgodn\u261? z logik\u261? i zasadami do\u347?wiadczenia \u380?yciowego, polegaj\u261?c\u261? na stwierdzeniu przez organ w tre\u347?ci decyzji, \u380?e Sp\u243?\u322?ka nie podejmowa\u322?a dzia\u322?a\u324? maj\u261?cych na celu ocen\u281? doboru \u347?rodk\u243?w technicznych i organizacyjnych przez pryzmat adekwatno\u347?ci do ryzyk, podczas gdy ze zgromadzonego w toku post\u281?powania materia\u322?u dowodowego jednoznacznie i bezspornie wynika, \u380?e skar\u380?\u261?ca prawid\u322?owo dokona\u322?a analizy ryzyka, przedsi\u281?wzi\u281?\u322?a adekwatne do niego \u347?rodki bezpiecze\u324?stwa,
\par 
\par w tym w szczeg\u243?lno\u347?ci w zakresie ryzyka naruszenia praw i wolno\u347?ci os\u243?b fizycznych, kt\u243?rych dane dotyczy\u322?y, w celu usuni\u281?cia naruszenia oraz z\u322?agodzenia jego ewentualnych negatywnych skutk\u243?w;
\par 
\par g) art. 7 k.p.a., art. 77 \u167? 1 k.p.a., art. 80 k.p.a. w kontek\u347?cie braku przeprowadzenia
\par 
\par i przedstawienia przez skar\u380?\u261?c\u261? na wezwanie Prezesa UODO analizy ryzyka wp\u322?ywu braku dost\u281?pno\u347?ci do danych przetwarzanych przy u\u380?yciu system\u243?w informatycznych obj\u281?tych naruszeniem na prawa lub wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261? oraz ustalenia przez organ jakoby "Przes\u322?ana przez Sp\u243?\u322?k\u281? analiza ryzyka wraz z metodyk\u261? jej przeprowadzenia jest bowiem niekompletna, w szczeg\u243?lno\u347?ci z uwagi na brak macierzy ryzyka, a brak udzielenia odpowiedzi przez stron\u281? na pytania Prezesa UODO m.in.
\par 
\par w zakresie warto\u347?ci podstawionych do wzoru dla obliczenia ryzyka akceptowalnego
\par 
\par w istocie uniemo\u380?liwia jej zwrotne odtworzenie w celu jej weryfikacji" (s. 11), poprzez brak wszechstronnej oraz merytorycznej oceny zgromadzonego materia\u322?u dowodowego i dokonanie wybi\u243?rczej, skrajnie arbitralnej i niezgodnej z zasadami logicznego rozumowania oceny dowod\u243?w, tj. przedstawionych przez Sp\u243?\u322?k\u281? stosowanych \u347?rodk\u243?w bezpiecze\u324?stwa (w tym analizy ryzyka oraz szczeg\u243?\u322?owej metodyki przeprowadzenia ryzyka), kt\u243?rego wszechstronna ocena powinna doprowadzi\u263? organ do ustalenia, \u380?e skar\u380?\u261?ca prawid\u322?owo dokona\u322?a analizy ryzyka, metodyka jej przeprowadzenia spe\u322?nia wszelkie standardy metod zarz\u261?dzania ryzykiem i w pe\u322?ni umo\u380?liwia zwrotne odtworzenie analizy w celu weryfikacji, a skar\u380?\u261?ca przedsi\u281?wzi\u281?\u322?a adekwatne do niego \u347?rodki bezpiecze\u324?stwa, w tym w szczeg\u243?lno\u347?ci w zakresie ryzyka naruszenia praw
\par 
\par i wolno\u347?ci os\u243?b fizycznych, kt\u243?rych dane dotycz\u261?, co w konsekwencji doprowadzi\u322?o do niepe\u322?nego ustalenia stanu faktycznego sprawy;
\par 
\par h) art. 7, art. 77 oraz art. 80 k.p.a. polegaj\u261?ce na niewyczerpuj\u261?cym rozpatrzeniu materia\u322?u dowodowego oraz na jego dowolnej ocenie, wyra\u380?aj\u261?cej si\u281? zw\u322?aszcza
\par 
\par w odm\u243?wieniu mocy dowodowej i wiarygodno\u347?ci poprzez ich arbitraln\u261? ocen\u281? podczas przeprowadzonego post\u281?powania administracyjnego w szczeg\u243?lno\u347?ci pisma z [...] stycznia 2023 r. dot. dodatkowych wyja\u347?nie\u324? skar\u380?\u261?cej w kwestii roli podmiotu [...] S.A. oraz czynno\u347?ci przetwarzania danych osobowych wyszczeg\u243?lnionych
\par 
\par w prowadzonym rejestrze czynno\u347?ci przetwarzania danych;
\par 
\par i) art. 7 k.p.a., art. 77 \u167? 1 k.p.a., art. 80 k.p.a. poprzez brak wszechstronnej oceny materia\u322?u dowodowego oraz wywodzenia logicznych i sp\u243?jnych wniosk\u243?w ze zgromadzonego przez organ materia\u322?u dowodowego, jak r\u243?wnie\u380? wybi\u243?rcz\u261? i arbitraln\u261? ocen\u281? wyj\u281?tych z kontekstu fragment\u243?w pism skar\u380?\u261?cej, polegaj\u261?cy na przyj\u281?ciu przez organ, \u380?e:
\par 
\par - "Liczba poszkodowanych os\u243?b nie jest ma\u322?a, obejmowa\u322?a oko\u322?o 14 000 os\u243?b (...)" - s. 19,
\par 
\par - "(...) ze zg\u322?oszenia naruszenia ochrony danych osobowych jednoznacznie wynika, \u380?e naruszenie to dotyczy\u322?o 14 000 os\u243?b (...)" -s. 23
\par 
\par - "Sp\u243?\u322?ka uchyla\u322?a si\u281? od udzielenia konkretnych odpowiedzi zmierzaj\u261?cych do ustalenia liczby i kategorii os\u243?b obj\u281?tych naruszeniem." -s. 5 i 6
\par 
\par - "W odpowiedzi Sp\u243?\u322?ka pismem z dnia [...] stycznia 2023 r. poinformowa\u322?a, \u380?e \u171?niemo\u380?liwe jest wskazanie dok\u322?adnej liczby os\u243?b fizycznych, kt\u243?rych naruszenie dotyczy\u322?o\u187?. Jednocze\u347?nie w tym pi\u347?mie ponownie wskaza\u322?a, \u380?e \u171?liczba os\u243?b obj\u281?tych naruszaniem to nie 1400, a oko\u322?o 500, co stwierdzili\u347?my na podstawie danych z kont bankowych i wiadomo\u347?ci e-mail.\u187? - s. 6
\par 
\par podczas, gdy zgromadzony materia\u322? dowodowy prowadzi do wniosku odmiennego, tj. naruszenie dotyczy\u322?o ok. 500 os\u243?b (co skar\u380?\u261?ca w pe\u322?ni uzasadni\u322?a, wykaza\u322?a i umotywowa\u322?a), przy czym sformu\u322?owanie "ok. 500" os\u243?b w spos\u243?b oczywisty nie stanowi "dok\u322?adnej liczby os\u243?b fizycznych", co w konsekwencji prze\u322?o\u380?y\u322?o si\u281? na b\u322?\u281?dne ustalenie stanu faktycznego sprawy w zakresie okoliczno\u347?ci wp\u322?ywaj\u261?cych na ustalenie oraz wysoko\u347?\u263? kary administracyjnej;
\par 
\par j) art. 7 k.p.a., art. 77 \u167? 1 k.p.a. oraz art. 80 k.p.a. i art. 81a \u167? 1 k.p.a. poprzez przyj\u281?cie, \u380?e:
\par 
\par - "Sp\u243?\u322?ka w spos\u243?b nieuzasadniony wskaza\u322?a, \u380?e naruszenie dotyczy\u322?o 500 os\u243?b, przy czym nie wyja\u347?ni\u322?a dlaczego w\u322?a\u347?nie przyj\u281?\u322?a tak\u261? w\u322?a\u347?nie liczb\u281? (...) -s. 23,
\par 
\par - "Sp\u243?\u322?ka pismem z [...] listopada 2022 r. wyja\u347?ni\u322?a, \u380?e nie mia\u322?y miejsca przypadki,
\par 
\par w kt\u243?rych nie mog\u322?a zrealizowa\u263? lub poczyni\u263? zado\u347?\u263? jakimkolwiek prawom lub wolno\u347?ciom os\u243?b, kt\u243?rych dane dotycz\u261?; do Sp\u243?\u322?ki nigdy nie wp\u322?yn\u281?\u322?o zg\u322?oszenie
\par 
\par z \u380?\u261?daniem dost\u281?pu do danych osobowych; w zwi\u261?zku ze zniszczeniem dokumentacji zawieraj\u261?cej dane osobowe, Administrator nie napotka\u322? jakichkolwiek trudno\u347?ci
\par 
\par w realizacji wniosku o dost\u281?p do danych osobowych. Z kolei w pi\u347?mie z [...] stycznia 2023 r. Sp\u243?\u322?ka wyja\u347?ni\u322?a, \u380?e nie odnotowa\u322?a \u380?adnych wniosk\u243?w, zapyta\u324?, skarg, \u380?\u261?da\u324? ani innych komunikat\u243?w. Wskaza\u263? jednak nale\u380?y, \u380?e Sp\u243?\u322?ka nie przedstawi\u322?a jakichkolwiek dowod\u243?w potwierdzaj\u261?cych przedstawione wyja\u347?nienia, pomimo wezwania do tego przez Prezesa UODO." - s. 22,
\par 
\par - "Jednocze\u347?nie Sp\u243?\u322?ka nie odpowiada\u322?a na pytania Prezesa UODO lub udziela\u322?a odpowiedzi nieprawdziwych w odniesieniu do liczby os\u243?b obj\u281?tych naruszeniem (...)-s. 23,
\par 
\par podczas gdy prawid\u322?owa ocena materia\u322?u dowodowego powinna doprowadzi\u263? do wniosku, \u380?e skar\u380?\u261?ca odpowiada\u322?a niezw\u322?ocznie na ka\u380?de pytanie organu, wyja\u347?nienia skar\u380?\u261?cej s\u261? wyczerpuj\u261?ce, wiarygodne, sp\u243?jne i w pe\u322?ni koresponduj\u261?ce z materia\u322?em dowodowym, a okoliczno\u347?ci ewentualnie nieudowodnione w toku post\u281?powania administracyjnego i niedaj\u261?ce si\u281? usun\u261?\u263? w\u261?tpliwo\u347?ci co do stanu faktycznego powinny by\u263? rozstrzygni\u281?te na korzy\u347?\u263? strony, natomiast bezpodstawne za\u322?o\u380?enie organu co do element\u243?w stanu faktycznego, zupe\u322?nie dowolna ocena materia\u322?u dowodowego oraz wywodzenie ze zgromadzonego przez organ materia\u322?u dowodowego nielogicznych
\par 
\par i niesp\u243?jnych wniosk\u243?w pe\u322?nych argument\u243?w ad absurdum w konsekwencji doprowadzi\u322?o do nieprawid\u322?owego przyj\u281?cia, \u380?e Sp\u243?\u322?ka nie przedsi\u281?wzi\u281?\u322?a odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych zapewniaj\u261?cych stopie\u324? bezpiecze\u324?stwa odpowiadaj\u261?cy ryzyku przetwarzania danych, w tym zapewniaj\u261?cych zdolno\u347?\u263? do ci\u261?g\u322?ego zapewnienia dost\u281?pno\u347?ci i odporno\u347?ci system\u243?w i us\u322?ug przetwarzania oraz zdolno\u347?\u263? do szybkiego przywr\u243?cenia dost\u281?pno\u347?ci danych osobowych i dost\u281?pu do nich w razie incydentu fizycznego lub technicznego oraz nie uwzgl\u281?dni\u322?a prawid\u322?owo ryzyka zwi\u261?zanego z przetwarzaniem, wynikaj\u261?cego
\par 
\par z przypadkowego lub niezgodnego z prawem zniszczenia czy utraty danych osobowych przesy\u322?anych, przechowywanych lub w inny spos\u243?b przetwarzanych;
\par 
\par k) art. 107 \u167? 1 pkt 6 k.p.a. oraz art. 107 \u167? 3 k.p.a., poprzez sporz\u261?dzenie uzasadnienia w spos\u243?b niezrozumia\u322?y, niezgodny z obowi\u261?zkami na\u322?o\u380?onymi na organ w zakresie sporz\u261?dzenia uzasadnienia, polegaj\u261?cy na:
\par 
\par - braku wyczerpuj\u261?cego wskazania fakt\u243?w, kt\u243?re organ uzna\u322? za udowodnione, dowod\u243?w, na kt\u243?rych si\u281? opar\u322?, oraz przyczyn, z powodu kt\u243?rych innym dowodom odm\u243?wi\u322? wiarygodno\u347?ci i mocy dowodowej, a odm\u243?wieniu wiarygodno\u347?ci wyja\u347?nie\u324? skar\u380?\u261?cej na zasadzie negacji dla samej negacji, przyjmowaniu za\u322?o\u380?e\u324? niepopartych ani dowodami ani uzasadnieniem logicznym lub dokumentami nie b\u281?d\u261?cymi \u378?r\u243?d\u322?ami prawa, poprzez m.in.:
\par 
\par a) niepopart\u261? dowodami i jak\u261?kolwiek merytoryczn\u261? argumentacj\u261? ocen\u281?, \u380?e \u347?rodki przedsi\u281?wzi\u281?te przez skar\u380?\u261?c\u261? by\u322?y nieadekwatne do ryzyk i niezgodne z przepisami;
\par 
\par b) niepopart\u261? dowodami i jak\u261?kolwiek merytoryczn\u261? argumentacj\u261? ocen\u281?, \u380?e "Sp\u243?\u322?ka nie wywi\u261?za\u322?a si\u281? z obowi\u261?zku wykazania (na wezwanie Prezesa UODO) na podstawie jakich informacji czy okoliczno\u347?ci Sp\u243?\u322?ka przyj\u281?\u322?a w analizie ryzyka przedstawione za\u322?o\u380?enia, wobec czego uzna\u263? nale\u380?a\u322?o, \u380?e zosta\u322?y przyj\u281?te w spos\u243?b zupe\u322?nie dowolny, jako przepisane z metodyki analizy ryzyka (bowiem tam taki opis si\u281? znajduje), bez przeprowadzenia ich weryfikacji w odniesieniu do operacji przetwarzania danych osobowych, co w konsekwencji stanowi o braku rzetelno\u347?ci i dowolno\u347?ci dokonanej oceny" (s.13), kt\u243?re to stwierdzenie stoi w sprzeczno\u347?ci ze zgromadzonym materia\u322?em dowodowym i uzna\u263? je dodatkowo nale\u380?y za kuriozalne wobec faktu, \u380?e metodyka przeprowadzania oszacowania ryzyka s\u322?u\u380?y - jak sama nazwa wskazuje - procesowi przeprowadzenia analizy ryzyka, okre\u347?laj\u261?c warto\u347?ci punktowe dla oceny poszczeg\u243?lnych jej etap\u243?w, jak r\u243?wnie\u380? wzory stanowi\u261?ce podstaw\u281? obliczenia poziomu ryzyka oraz warto\u347?ci akceptowalno\u347?ci ryzyka,
\par 
\par c) niepopart\u261? dowodami ocen\u281?, \u380?e Sp\u243?\u322?ka nie podejmowa\u322?a dzia\u322?a\u324? maj\u261?cych na celu ocen\u281? doboru \u347?rodk\u243?w technicznych i organizacyjnych przez pryzmat adekwatno\u347?ci do ryzyk,
\par 
\par e) niepopart\u261? dowodami i argumentacj\u261? ocen\u281?, \u380?e wdro\u380?enie i wprowadzenie dodatkowych \u347?rodk\u243?w bezpiecze\u324?stwa w postaci tworzenia kopii zapasowych stanowi\u322?oby zapewnienie stopnia bezpiecze\u324?stwa adekwatnego do ryzyka,
\par 
\par - braku wskazania przez organ wyliczenia takiej a nie innej wysoko\u347?ci kary administracyjnej, a wskazanie przez organ jedynie tez nieznajduj\u261?cych oparcia
\par 
\par w zgromadzonym materiale dowodowym,
\par 
\par - sprzeczno\u347?ci wewn\u281?trznych uzasadnienia, w tym m.in. w punkcie 7 ustale\u324? faktycznych organ ustali\u322?, \u380?e "Sp\u243?\u322?ka uchyla\u322?a si\u281? od udzielenia konkretnych odpowiedzi zmierzaj\u261?cych do ustalenia liczby i kategorii os\u243?b obj\u281?tych naruszeniem.", podczas gdy ju\u380? w dalszej cz\u281?\u347?ci decyzji organ stwierdza: "W odpowiedzi Sp\u243?\u322?ka pismem z dnia [...] stycznia 2023 r. poinformowa\u322?a, \u380?e \u171?niemo\u380?liwe jest wskazanie dok\u322?adnej liczby os\u243?b fizycznych, kt\u243?rych naruszenie dotyczy\u322?o\u187?. Jednocze\u347?nie w tym pi\u347?mie ponownie wskaza\u322?a, \u380?e \u171?liczba os\u243?b obj\u281?tych naruszaniem to nie 1400, a oko\u322?o 500, co stwierdzili\u347?my na podstawie danych z kont bankowych i wiadomo\u347?ci e-mail.\u187? - s. 6, przy czym podkre\u347?li\u263? nale\u380?y, i\u380? sformu\u322?owanie "ok. 500" os\u243?b w spos\u243?b oczywisty nie stanowi "dok\u322?adnej liczby os\u243?b fizycznych" - wbrew alogicznym i oderwanym od zasad racjonalnego my\u347?lenia wnioskom organu,
\par 
\par co w konsekwencji uniemo\u380?liwia realn\u261? kontrol\u281? merytoryczn\u261? decyzji;
\par 
\par l) art. 107 \u167? 1 pkt 6 k.p.a. w zw. z art. 72 u.o.d.o. i art. 83 ust. 1 i 2 RODO, poprzez brak uzasadnienia przez organ wysoko\u347?ci na\u322?o\u380?onej kary administracyjnej w zakresie m.in. wyliczenia i skwantyfikowania, jakie prze\u322?o\u380?enie na wysoko\u347?\u263? na\u322?o\u380?onej kary mia\u322?y okoliczno\u347?ci, kt\u243?re w ocenie organu mia\u322?y charakter \u322?agodz\u261?cy lub zaostrzaj\u261?cy odpowiedzialno\u347?\u263? skar\u380?\u261?cej, co w konsekwencji uniemo\u380?liwia realn\u261? kontrol\u281? merytoryczn\u261? decyzji.
\par 
\par 2. naruszenie przepis\u243?w prawa materialnego maj\u261?ce wp\u322?yw na wynik sprawy w postaci:
\par 
\par a) art. 32 ust. 1 i 2 RODO poprzez ich b\u322?\u281?dn\u261? wyk\u322?adni\u281? i uznanie, \u380?e skar\u380?\u261?ca nie zastosowa\u322?a odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych odpowiadaj\u261?cych ryzyku naruszenia praw i wolno\u347?ci os\u243?b fizycznych o r\u243?\u380?nym prawdopodobie\u324?stwie wyst\u261?pienia i wadze zagro\u380?enia uwzgl\u281?dniaj\u261?c stan wiedzy technicznej, koszt wdra\u380?ania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych i nie oszacowa\u322?a w\u322?a\u347?ciwego stopnia ryzyka wi\u281?\u380?\u261?cego si\u281? z przetwarzaniem w szczeg\u243?lno\u347?ci wynikaj\u261?cego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dost\u281?pu do danych osobowych przesy\u322?anych, przechowywanych lub w inny spos\u243?b przetwarzanych, podczas gdy \u347?rodki techniczne i organizacyjne stosowane przez skar\u380?\u261?c\u261? by\u322?y odpowiednie w rozumieniu art. 32 ust. 1 i 2 RODO, skar\u380?\u261?ca dokona\u322?a prawid\u322?owej, kompletnej i zgodnej ze wszelkimi wymaganymi standardami analizy szacowania ryzyka i jednoznacznie wykaza\u322?a w toku przeprowadzonego post\u281?powania wype\u322?nianie obowi\u261?zk\u243?w unormowanych w ww. regulacjach prawnych,
\par 
\par b) art. 28 ust. 3 lit. c i 32 ust. 1 RODO poprzez odpowiednio ich niezastosowanie
\par 
\par i b\u322?\u281?dn\u261? wyk\u322?adni\u281?, co doprowadzi\u322?o do przyj\u281?cia, \u380?e skar\u380?\u261?ca jest wy\u322?\u261?cznie zobowi\u261?zana do wdro\u380?enia odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych celem zapewnienia odpowiedniego stopnia bezpiecze\u324?stwa odpowiadaj\u261?cego ryzyku przetwarzania, mimo \u380?e zobowi\u261?zania te powinny zosta\u263? skierowane do innego podmiotu - [...] Sp. z o.o., tj. podmiotu przetwarzaj\u261?cego w rozumieniu art. 4 pkt 8 RODO, powoduj\u261?c tym samym niewa\u380?no\u347?\u263? decyzji na mocy art. 156 \u167? 1 pkt 4 k.p.a.
\par 
\par c) art. 72 u.o.d.o. w zw. z art. 83 ust. 2 lit. h RODO, poprzez ich niezastosowanie,
\par 
\par w sytuacji gdy organ ustali\u322? takie okoliczno\u347?ci jak: powzi\u281?cie przez organ informacji
\par 
\par o naruszeniu od skar\u380?\u261?cej (auto-denuncjacja), tj. okoliczno\u347?ci, kt\u243?re w \u347?wietle art. 83 ust. 2 RODO daj\u261? podstaw\u281? do z\u322?agodzenia na\u322?o\u380?onej kary administracyjnej;
\par 
\par d) art. 83 ust. 2 RODO:
\par 
\par - lit. a poprzez brak uwzgl\u281?dnienia przez organ faktycznej ilo\u347?ci os\u243?b (500), kt\u243?rych dane uleg\u322?y naruszeniu,
\par 
\par - lit. a poprzez brak uwzgl\u281?dnienia przez organ w ustalonym stanie faktycznym kr\u243?tkotrwa\u322?ego okresu trwania naruszenia, jako okoliczno\u347?ci \u322?agodz\u261?cej, w sytuacji gdy szybka reakcja skar\u380?\u261?cej na podejrzenie naruszenia winna zosta\u263? pozytywnie oceniona przez organ w toku ustalania wysoko\u347?ci nak\u322?adanej kary administracyjnej, - lit. a poprzez jego niew\u322?a\u347?ciwe zastosowanie i przyj\u281?cie, \u380?e charakter, waga i czas trwania naruszenia uzasadniaj\u261? zastosowanie \u347?rodka, o kt\u243?rym mowa w art. 58 ust. 2 lit. i RODO, podczas gdy charakter naruszenia, jego waga oraz czas trwania nie uzasadniaj\u261? na\u322?o\u380?enia kary pieni\u281?\u380?nej, poniewa\u380? wed\u322?ug dowod\u243?w zebranych
\par 
\par w sprawie naruszenie dotyczy\u322?o 500 os\u243?b i by\u322?o kr\u243?tkotrwa\u322?e,
\par 
\par - lit. d poprzez jego b\u322?\u281?dne zastosowanie i przyj\u281?cie, \u380?e stopie\u324? odpowiedzialno\u347?ci Sp\u243?\u322?ki uzasadnia na\u322?o\u380?enie kary, podczas gdy okoliczno\u347?ci b\u281?d\u261?ce przedmiotem niniejszej sprawy, w szczeg\u243?lno\u347?ci:
\par 
\par a) poziom wdro\u380?enia RODO w Sp\u243?\u322?ce, w tym stosowanie procedury,
\par 
\par b) stosowane organizacyjne i techniczne \u347?rodki bezpiecze\u324?stwa, w tym bezpiecze\u324?stwa IT,
\par 
\par c) powo\u322?anie Inspektora Ochrony Danych,
\par 
\par d) pe\u322?n\u261? wsp\u243?\u322?prac\u281? skar\u380?\u261?cej z organem nadzorczym,
\par 
\par e) charakter zaistnia\u322?ego zdarzenia
\par 
\par f) Sp\u243?\u322?ka nigdy wcze\u347?niej nie dopu\u347?ci\u322?a si\u281? najmniejszego nawet naruszenia przepis\u243?w o ochronie danych osobowych wskazuj\u261?, \u380?e by\u322?o ono okoliczno\u347?ci\u261? nadzwyczajn\u261?,
\par 
\par - lit. e poprzez jego niezastosowanie i brak uwzgl\u281?dnienia przez organ faktu, i\u380? Sp\u243?\u322?ka nigdy wcze\u347?niej nie dopu\u347?ci\u322?a si\u281? najmniejszego nawet naruszenia przepis\u243?w
\par 
\par o ochronie danych osobowych,
\par 
\par - lit. f poprzez jego b\u322?\u281?dne zastosowanie i brak wskazania, o ile (kwotowo lub
\par 
\par w procentach) kara zosta\u322?a obni\u380?ona w zwi\u261?zku z dobr\u261? i pe\u322?n\u261? wsp\u243?\u322?prac\u261? Sp\u243?\u322?ki
\par 
\par z Prezesem UODO,
\par 
\par - lit. k poprzez przez jego niew\u322?a\u347?ciwe zastosowanie i brak uwzgl\u281?dnienia, \u380?e Sp\u243?\u322?ka poinformowa\u322?a podmioty danych o sytuacji pomimo nieziszczenia si\u281? obowi\u261?zku informowania podmiot\u243?w danych, o kt\u243?rym mowa w art. 34 ust. 1 RODO, kt\u243?re to naruszenie bezpo\u347?rednio wp\u322?ywa na nieproporcjonalno\u347?\u263? na\u322?o\u380?onej kary administracyjnej.
\par 
\par W zwi\u261?zku z powy\u380?szym skar\u380?\u261?ca wnios\u322?a o stwierdzenie niewa\u380?no\u347?ci zaskar\u380?onej decyzji w ca\u322?o\u347?ci, wobec zaistnienia przyczyny okre\u347?lonej w art. 156 \u167? 1 pkt 4 k.p.a., ewentualnie o uchylenie zaskar\u380?onej decyzji w ca\u322?o\u347?ci oraz zas\u261?dzenie zwrotu koszt\u243?w post\u281?powania, w tym koszt\u243?w zast\u281?pstwa procesowego wed\u322?ug norm prawem przepisanych.
\par 
\par W uzasadnieniu skargi skar\u380?\u261?ca rozwin\u281?\u322?a ww. zarzuty.
\par 
\par W odpowiedzi na skarg\u281? organ wni\u243?s\u322? o oddalenie skargi. Podtrzymuj\u261?c swoje dotychczasowe stanowisko w sprawie w obszerny spos\u243?b odni\u243?s\u322? si\u281? do zarzut\u243?w skargi uznaj\u261?c je za niezasadne.
\par 
\par Wojew\u243?dzki S\u261?d Administracyjny w Warszawie zwa\u380?y\u322?, co nast\u281?puje:
\par 
\par Zgodnie z art. 1 \u167? 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju s\u261?d\u243?w administracyjnych (Dz. U. z 2024 r., poz. 1267 ze zm.), s\u261?dy administracyjne sprawuj\u261? wymiar sprawiedliwo\u347?ci przez kontrol\u281? dzia\u322?alno\u347?ci administracji publicznej, sprawowan\u261? pod wzgl\u281?dem zgodno\u347?ci z prawem, je\u380?eli ustawy nie stanowi\u261? inaczej. Na podstawie art. 134 \u167? 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o post\u281?powaniu przed s\u261?dami administracyjnymi (Dz. U. z 2024 r., poz. 935 zwanej dalej "p.p.s.a.") S\u261?d przy rozstrzyganiu sprawy nie jest zwi\u261?zany zarzutami i wnioskami skargi oraz powo\u322?an\u261? podstaw\u261? prawn\u261?. Oceniaj\u261?c zaskar\u380?on\u261? decyzj\u281? wed\u322?ug powy\u380?szych kryteri\u243?w, uzna\u263? nale\u380?y, \u380?e nie narusza ona prawa.
\par 
\par Istota sprawy w niniejszym post\u281?powaniu sprowadza\u322?a si\u281? do oceny tego, czy Prezes UODO ustali\u322? w prawid\u322?owy spos\u243?b pe\u322?ny stan faktyczny towarzysz\u261?cy podj\u281?tej decyzji i czy przy jej wydaniu porusza\u322? si\u281? w granicach prawa.
\par 
\par W ocenie S\u261?du w sk\u322?adzie orzekaj\u261?cym w niniejszej sprawie na wy\u380?ej postawione pytanie nale\u380?a\u322?o udzieli\u263? pozytywnej odpowiedzi.
\par 
\par Przedmiotem kontroli S\u261?du jest decyzja Prezesa UODO z [...] listopada 2023 r. stwierdzaj\u261?ca naruszenie przez skar\u380?\u261?c\u261? przepis\u243?w art. 32 ust. 1 i 2 rozporz\u261?dzenia 2016/679, polegaj\u261?ce na niewdro\u380?eniu odpowiednich \u347?rodk\u243?w technicznych
\par 
\par i organizacyjnych zapewniaj\u261?cych stopie\u324? bezpiecze\u324?stwa odpowiadaj\u261?cy ryzyku przetwarzania danych, w tym zapewniaj\u261?cych zdolno\u347?\u263? do ci\u261?g\u322?ego zapewnienia dost\u281?pno\u347?ci i odporno\u347?ci system\u243?w i us\u322?ug przetwarzania oraz zdolno\u347?\u263? do szybkiego przywr\u243?cenia dost\u281?pno\u347?ci danych osobowych i dost\u281?pu do nich w razie incydentu fizycznego lub technicznego, przy uwzgl\u281?dnieniu ryzyka wi\u261?\u380?\u261?cego si\u281?
\par 
\par z przetwarzaniem wynikaj\u261?cego z przypadkowego lub niezgodnego z prawem zniszczenia lub utraty danych osobowych przechowywanych lub w inny spos\u243?b przetwarzanych w systemie informatycznym CRM i przechowywanych na serwerach, kt\u243?ry uleg\u322? zniszczeniu i nak\u322?adaj\u261?ca na Sp\u243?\u322?k\u281? administracyjn\u261? kar\u281? pieni\u281?\u380?n\u261?
\par 
\par w kwocie 117 900 z\u322?.
\par 
\par W pierwszej kolejno\u347?ci stwierdzi\u263? nale\u380?y, \u380?e wbrew temu co podnosi skar\u380?\u261?ca brak jest podstaw do stwierdzenia niewa\u380?no\u347?ci zaskar\u380?onej decyzji. Wyja\u347?ni\u263? przy tym nale\u380?y, \u380?e to skar\u380?\u261?ca jako administrator, a nie tylko podmiot przetwarzaj\u261?cy, by\u322?a zobowi\u261?zana do wdro\u380?enia odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych, aby zapewni\u263? stopie\u324? bezpiecze\u324?stwa odpowiadaj\u261?cy ryzyku przetwarzania danych. Nie zaistnia\u322?a wi\u281?c przyczyna okre\u347?lona w art. 156 \u167? 1 pkt 4 k.p.a. Brak by\u322?o te\u380? podstaw do umorzenia post\u281?powania administracyjnego jako bezprzedmiotowego. Post\u281?powanie dotyczy\u322?o bowiem mo\u380?liwo\u347?ci naruszenia przez skar\u380?\u261?c\u261? jako administratora danych obowi\u261?zk\u243?w wynikaj\u261?cych z przepis\u243?w o ochronie danych osobowych.
\par 
\par Zaskar\u380?ona decyzja wskazuje za co organ nadzoru na\u322?o\u380?y\u322? na skar\u380?\u261?c\u261? kar\u281? administracyjn\u261? pieni\u281?\u380?n\u261? i wbrew zarzutom skargi, w wyczerpuj\u261?cy spos\u243?b podaje motywy wymierzenia tej kary w wysoko\u347?ci okre\u347?lonej w sentencji rozstrzygni\u281?cia.
\par 
\par W sentencji zaskar\u380?onej decyzji wskazano tak\u380?e przepisy rozporz\u261?dzenia 2016/679, kt\u243?rych naruszenie stwierdzono w toku post\u281?powania. Natomiast w jej obszernym uzasadnieniu zawarto wyczerpuj\u261?cy opis tych narusze\u324? i ich kwalifikacj\u281? prawn\u261?.
\par 
\par Konkretyzuj\u261?c stan prawny przywo\u322?ania wymaga art. 5 rozporz\u261?dzenia 2016/679, kt\u243?ry wskazuje zasady dotycz\u261?ce przetwarzania danych osobowych jakie musz\u261? by\u263? respektowane przez wszystkich administrator\u243?w, tj. podmioty wskazane prawem Unii lub prawem pa\u324?stwa cz\u322?onkowskiego oraz podmioty, kt\u243?re samodzielnie lub wsp\u243?lnie
\par 
\par z innymi ustalaj\u261? cele i sposoby przetwarzania danych osobowych.
\par 
\par Zgodnie z art. 5 ust. 1 lit. f) rozporz\u261?dzenia 2016/679, dane osobowe musz\u261? by\u263? przetwarzane w spos\u243?b zapewniaj\u261?cy odpowiednie bezpiecze\u324?stwo danych osobowych, w tym ochron\u281? przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkow\u261? utrat\u261?, zniszczeniem lub uszkodzeniem,
\par 
\par za pomoc\u261? odpowiednich \u347?rodk\u243?w technicznych lub organizacyjnych ("integralno\u347?\u263?
\par 
\par i poufno\u347?\u263?").
\par 
\par Zgodnie z tre\u347?ci\u261? art. 24 ust. 1 rozporz\u261?dzenia 2016/679, uwzgl\u281?dniaj\u261?c charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych o r\u243?\u380?nym prawdopodobie\u324?stwie i wadze, administrator wdra\u380?a odpowiednie \u347?rodki techniczne i organizacyjne, aby przetwarzanie odbywa\u322?o si\u281? zgodnie z niniejszym rozporz\u261?dzeniem i aby m\u243?c to wykaza\u263?. \u346?rodki te s\u261? w razie potrzeby poddawane przegl\u261?dom i uaktualniane. Przepis ten okre\u347?la podstawowe
\par 
\par i g\u322?\u243?wne obowi\u261?zki administratora, kt\u243?rego obci\u261?\u380?a wdro\u380?enie odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych, zapewniaj\u261?cych zgodno\u347?\u263? przetwarzania z wymogami rozporz\u261?dzenia 2016/679. Chodzi tu w szczeg\u243?lno\u347?ci o realizacj\u281? zasad wskazanych
\par 
\par w art. 5 ust. 1 tego rozporz\u261?dzenia.
\par 
\par Zgodnie natomiast z art. 25 ust. 1 rozporz\u261?dzenia 2016/679, uwzgl\u281?dniaj\u261?c stan wiedzy technicznej, koszt wdra\u380?ania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych o r\u243?\u380?nym prawdopodobie\u324?stwie wyst\u261?pienia i wadze zagro\u380?enia wynikaj\u261?ce z przetwarzania, administrator zar\u243?wno przy okre\u347?laniu sposob\u243?w przetwarzania, jak i w czasie samego przetwarzania - wdra\u380?a odpowiednie \u347?rodki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezb\u281?dnych zabezpiecze\u324?, tak by spe\u322?ni\u263? wymogi rozporz\u261?dzenia oraz chroni\u263? prawa os\u243?b, kt\u243?rych dane dotycz\u261? (uwzgl\u281?dnianie ochrony danych w fazie projektowania).
\par 
\par Stosownie do art. 32 ust. 1 rozporz\u261?dzenia 2016/679, uwzgl\u281?dniaj\u261?c stan wiedzy technicznej, koszt wdra\u380?ania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych o r\u243?\u380?nym prawdopodobie\u324?stwie wyst\u261?pienia i wadze, administrator i podmiot przetwarzaj\u261?cy wdra\u380?aj\u261? odpowiednie \u347?rodki techniczne i organizacyjne, aby zapewni\u263? stopie\u324? bezpiecze\u324?stwa odpowiadaj\u261?cy temu ryzyku, w tym mi\u281?dzy innymi w stosownym przypadku zdolno\u347?\u263? do ci\u261?g\u322?ego zapewnienia poufno\u347?ci, integralno\u347?ci, dost\u281?pno\u347?ci i odporno\u347?ci system\u243?w
\par 
\par i us\u322?ug przetwarzania (lit. b) oraz regularne testowanie, mierzenie i ocenianie skuteczno\u347?ci \u347?rodk\u243?w technicznych i organizacyjnych maj\u261?cych zapewni\u263? bezpiecze\u324?stwo przetwarzania (lit. d).
\par 
\par W my\u347?l art. 32 ust. 2 rozporz\u261?dzenia 2016/679, administrator oceniaj\u261?c, czy stopie\u324? bezpiecze\u324?stwa jest odpowiedni, uwzgl\u281?dnia w szczeg\u243?lno\u347?ci ryzyko wi\u261?\u380?\u261?ce si\u281? z przetwarzaniem, w szczeg\u243?lno\u347?ci wynikaj\u261?ce z przypadkowego lub niezgodnego
\par 
\par z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dost\u281?pu do danych osobowych przesy\u322?anych, przechowywanych lub w inny spos\u243?b przetwarzanych.
\par 
\par Omawiaj\u261?c powy\u380?sz\u261? problematyk\u281? zasadnym b\u281?dzie te\u380? przywo\u322?anie ugruntowanych pogl\u261?d\u243?w judykatury, z kt\u243?rymi S\u261?d w pe\u322?ni si\u281? zgadza \u8211? i tak \u8211? Wojew\u243?dzki S\u261?d Administracyjny w Warszawie w wyroku z 3 wrze\u347?nia 2020 r.
\par 
\par sygn. akt II SA/Wa 2559/19, przes\u261?dzi\u322?, \u380?e "Rozporz\u261?dzenie 2016/679 wprowadzi\u322?o podej\u347?cie, w kt\u243?rym zarz\u261?dzanie ryzykiem jest fundamentem dzia\u322?a\u324? zwi\u261?zanych
\par 
\par z ochron\u261? danych osobowych i ma charakter ci\u261?g\u322?ego procesu. Podmioty przetwarzaj\u261?ce dane osobowe zobligowane s\u261? nie tylko do zapewnienia zgodno\u347?ci
\par 
\par z wytycznymi ww. rozporz\u261?dzenia poprzez jednorazowe wdro\u380?enie organizacyjnych
\par 
\par i technicznych \u347?rodk\u243?w bezpiecze\u324?stwa, ale r\u243?wnie\u380? do zapewnienia ci\u261?g\u322?o\u347?ci monitorowania poziomu zagro\u380?e\u324? oraz zapewnienia rozliczalno\u347?ci w zakresie poziomu oraz adekwatno\u347?ci wprowadzonych zabezpiecze\u324?. Oznacza to, \u380?e konieczno\u347?ci\u261? staje si\u281? mo\u380?liwo\u347?\u263? udowodnienia przed organem nadzorczym, \u380?e wprowadzone rozwi\u261?zania, maj\u261?ce na celu zapewnienie bezpiecze\u324?stwa danych osobowych, s\u261? adekwatne do poziomu ryzyka, jak r\u243?wnie\u380? uwzgl\u281?dniaj\u261? charakter danej organizacji oraz wykorzystywanych mechanizm\u243?w przetwarzania danych osobowych. Administrator samodzielnie ma przeprowadzi\u263? szczeg\u243?\u322?ow\u261? analiz\u281? prowadzonych proces\u243?w przetwarzania danych i dokona\u263? oceny ryzyka, a nast\u281?pnie zastosowa\u263? takie \u347?rodki
\par 
\par i procedury, kt\u243?re b\u281?d\u261? adekwatne do oszacowanego ryzyka".
\par 
\par Jak za\u347? wskaza\u322? Wojew\u243?dzki S\u261?d Administracyjny w Warszawie w wyroku
\par 
\par z 26 sierpnia 2020 r. sygn. akt II SA/Wa 2826/19 - "Przepis ten [art. 32 rozporz\u261?dzenia 2016/679] nie wymaga od administratora danych wdro\u380?enia jakichkolwiek \u347?rodk\u243?w technicznych i organizacyjnych, kt\u243?re maj\u261? stanowi\u263? \u347?rodki ochrony danych osobowych, ale wymaga wdro\u380?enia \u347?rodk\u243?w adekwatnych. Tak\u261? adekwatno\u347?\u263? ocenia\u263? nale\u380?y pod k\u261?tem sposobu i celu, w jakim dane osobowe s\u261? przetwarzane, ale te\u380? nale\u380?y bra\u263? pod uwag\u281? ryzyko zwi\u261?zane z przetwarzaniem tych danych osobowych, kt\u243?re to ryzyko charakteryzowa\u263? si\u281? mo\u380?e r\u243?\u380?n\u261? wysoko\u347?ci\u261?. (...) Przyj\u281?te \u347?rodki maj\u261? mie\u263? charakter skuteczny, w konkretnych przypadkach niekt\u243?re \u347?rodki b\u281?d\u261? musia\u322?y by\u263? \u347?rodkami
\par 
\par o charakterze niweluj\u261?cym niskie ryzyko, inne - musz\u261? niwelowa\u263? ryzyko wysokie, wa\u380?ne jednak jest, aby wszystkie \u347?rodki (a tak\u380?e ka\u380?dy z osobna) by\u322?y adekwatne
\par 
\par i proporcjonalne do stopnia ryzyka. (...) czynno\u347?ci o charakterze techniczno - organizacyjnym le\u380?\u261? w gestii administratora danych osobowych, ale nie mog\u261? by\u263? dobierane w spos\u243?b ca\u322?kowicie swobodny i dobrowolny, bez uwzgl\u281?dnienia stopnia ryzyka oraz charakteru chronionych danych osobowych".
\par 
\par Poza sporem w niniejszej sprawie jest, \u380?e [...] marca 2021 r. Sp\u243?\u322?ka zg\u322?osi\u322?a Prezesowi UODO naruszenie ochrony danych osobowych polegaj\u261?ce na zniszczeniu serwerowni w wyniku po\u380?aru, czym zosta\u322? naruszony atrybut dost\u281?pno\u347?ci danych osobowych, kt\u243?rych administratorem by\u322?a skar\u380?\u261?ca.
\par 
\par W ocenie S\u261?du, w niniejszej sprawie, wbrew temu co podnosi skar\u380?\u261?ca, rozstrzygni\u281?cie organu nadzorczego zosta\u322?o wydane z pe\u322?nym poszanowaniem zasad okre\u347?lonych w Kodeksie post\u281?powania administracyjnego, w szczeg\u243?lno\u347?ci w zgodzie
\par 
\par z art. 7, art. 8, art. 10 \u167? 1, art. 61 \u167? 4, 77 \u167? 1, art. 77 \u167? 4, art. 80, art. 81, art. 81 a \u167?1, art. 84 \u167? 1, art. 107 \u167?1 pkt 5, art. 107 \u167?1 pkt 6, art. 107 \u167? 3 k.p.a. Prezes UODO przed wydaniem zaskar\u380?onej decyzji podj\u261?\u322? wszelkie czynno\u347?ci niezb\u281?dne do dok\u322?adnego wyja\u347?nienia stanu faktycznego i do za\u322?atwienia sprawy uwzgl\u281?dniaj\u261?c przy tym interes spo\u322?eczny i s\u322?uszny interes obywateli. Skar\u380?\u261?ca zosta\u322?a poinformowana
\par 
\par o uprawnieniach strony post\u281?powania administracyjnego wynikaj\u261?cych z art. 10 \u167? 1
\par 
\par i art. 73 \u167? 1 k.p.a. Skar\u380?\u261?ca mia\u322?a mo\u380?liwo\u347?\u263? w toku post\u281?powania wyja\u347?niaj\u261?cego,
\par 
\par a nast\u281?pnie w toku post\u281?powania administracyjnego, sk\u322?adania dowod\u243?w. Co wi\u281?cej, skar\u380?\u261?ca by\u322?a wzywana przez organ do z\u322?o\u380?enia wyja\u347?nie\u324? oraz dowod\u243?w na ich potwierdzenie. Prezes UODO przy ustaleniu okoliczno\u347?ci stanu faktycznego rozpatrywanej sprawy opar\u322? si\u281? na dowodach (dokumentach) i wyja\u347?nieniach z\u322?o\u380?onych przez skar\u380?\u261?c\u261?, kt\u243?re w spos\u243?b szczeg\u243?\u322?owy podda\u322? analizie pod k\u261?tem zasad wynikaj\u261?cych z przepis\u243?w rozporz\u261?dzenia 2016/679, w tym dotycz\u261?cych obowi\u261?zku administratora z art. 32 ust. 1 i 2 rozporz\u261?dzenia 2016/679. Prezes UODO dok\u322?adnie wyja\u347?ni\u322? okoliczno\u347?ci sprawy i konkretnie ustosunkowa\u322? si\u281? do \u380?\u261?da\u324? i twierdze\u324? strony. Zaskar\u380?ona decyzja, poprzez zawarte w niej uzasadnienie prawne i faktyczne, spe\u322?nia wszystkie wymogi okre\u347?lone w art 107 \u167? 1 i 3 k.p.a., pozostaj\u261?c jednocze\u347?nie w zgodzie z orzecznictwem administracyjnym w tej materii. Organ, prowadz\u261?c post\u281?powanie, kierowa\u322? si\u281? przes\u322?ankami proporcjonalno\u347?ci, bezstronno\u347?ci i r\u243?wnego traktowania. Przyczyny na\u322?o\u380?enia na skar\u380?\u261?c\u261? administracyjnej kary pieni\u281?\u380?nej zosta\u322?y obszernie
\par 
\par i szczeg\u243?\u322?owo w decyzji om\u243?wione, a jej wysoko\u347?\u263? odniesiona m.in. do danych ze sprawozdania finansowego Sp\u243?\u322?ki. Organ w zaskar\u380?onej decyzji wskaza\u322?, na jakich dowodach si\u281? opar\u322? i dlaczego, a kt\u243?rym z nich odm\u243?wi\u322? wiarygodno\u347?ci i z jakich powod\u243?w.
\par 
\par Z ca\u322?o\u347?ciowej analizy tego materia\u322?u wynika, \u380?e w zaistnia\u322?ej sytuacji dosz\u322?o do naruszenia przez skar\u380?\u261?c\u261? przepisu art. 32 ust. 1 i 2 rozporz\u261?dzenia 2016/679. Organ uprawniony by\u322? wi\u281?c do wymierzenia skar\u380?\u261?cej administracyjnej kary pieni\u281?\u380?nej na podstawie art. 83 ust. 4 lit. a) w zw. z art. 58 ust. 2 lit. i) rozporz\u261?dzenia 2016/679
\par 
\par w zwi\u261?zku z art. 101 i art. 103 u.o.d.o. i przy uwzgl\u281?dnieniu czynnik\u243?w indywidualizuj\u261?cych wymiar kary, o kt\u243?rych mowa w art. 83 ust. 1-2 rozporz\u261?dzenia 2016/679.
\par 
\par Dlatego te\u380? zgodzi\u263? si\u281? nale\u380?y ze stanowiskiem organu zawartym w odpowiedzi na skarg\u281?, \u380?e w przytoczonym powy\u380?ej zakresie skarga na decyzj\u281? Prezesa UODO sprowadza si\u281? w istocie do pr\u243?by odmiennej oceny dowod\u243?w. Zaskar\u380?ona decyzja zawiera niebudz\u261?ce w\u261?tpliwo\u347?ci rozstrzygni\u281?cie, w kt\u243?rym organ wskaza\u322? norm\u281? prawa materialnego, kt\u243?ra zosta\u322?a przez skar\u380?\u261?c\u261? naruszona w odniesieniu do okoliczno\u347?ci faktycznych ze wskazaniem konkretnej podstawy prawnej oraz wyja\u347?nieniem, na czym polega\u322?o naruszenie przepis\u243?w, za naruszenie kt\u243?rych skar\u380?\u261?ca zosta\u322?a ukarana. Organ prawid\u322?owo przedstawi\u322? stan faktyczny oraz dokona\u322? jego trafnej kwalifikacji prawnej. Zatem nie jest uprawnione twierdzenie skar\u380?\u261?cej, \u380?e tre\u347?\u263? rozstrzygni\u281?cia wyklucza kontrol\u281? instancyjn\u261? decyzji w zakresie konkretnego i indywidualnie oznaczonego czynu oraz okre\u347?lenie zakresu przedmiotowej sprawy obj\u281?tej powag\u261? sprawy rozstrzygni\u281?tej. Organ poda\u322? w spos\u243?b czytelny przyczyny rozstrzygni\u281?cia sprawy wskazuj\u261?c na okoliczno\u347?ci, kt\u243?re mia\u322?y zasadniczy i decyduj\u261?cy wp\u322?yw na tre\u347?\u263? decyzji. Rozstrzygni\u281?cie by\u322?o za\u347? wynikiem dok\u322?adnego wyja\u347?nienia stanu faktycznego sprawy, wszechstronnego zebrania oraz rozpatrzenia w spos\u243?b wyczerpuj\u261?cy materia\u322?u dowodowego.
\par 
\par Organ prawid\u322?owo pismem z [...] marca 2022 r. zawiadomi\u322? skar\u380?\u261?c\u261? o wszcz\u281?ciu post\u281?powania administracyjnego. Poinformowa\u322? Sp\u243?\u322?k\u281?, \u380?e przedmiotem post\u281?powania jest mo\u380?liwo\u347?\u263? naruszenia przez ni\u261?, jako administratora danych, w zwi\u261?zku ze zg\u322?oszonym Prezesowi DODO naruszeniem ochrony danych, obowi\u261?zk\u243?w wynikaj\u261?cych z przepis\u243?w art. 32 ust. 1 i 2 rozporz\u261?dzenia 2016/679. Jednocze\u347?nie Prezes UODO przytoczy\u322? tre\u347?\u263? ww. przepis\u243?w oraz dokonuj\u261?c zawiadomienia o wszcz\u281?ciu post\u281?powania administracyjnego poinformowa\u322? skar\u380?\u261?c\u261? o prawach przys\u322?uguj\u261?cych na mocy art. 10 \u167? 1 oraz 73 \u167? 1 k.p.a., z kt\u243?rych to praw w toku trwaj\u261?cego post\u281?powania administracyjnego skar\u380?\u261?ca skorzysta\u322?a. Prezes UODO w toku trwaj\u261?cego post\u281?powania administracyjnego zwraca\u322? si\u281? do skar\u380?\u261?cej o udzielenie wyja\u347?nie\u324? oraz, co nale\u380?y podkre\u347?li\u263?, o przedstawienie dowod\u243?w na ich potwierdzenie. Przeprowadzi\u322? dowody, o kt\u243?re wnioskowa\u322?a skar\u380?\u261?ca. Ponadto, poinformowa\u322? skar\u380?\u261?c\u261?
\par 
\par o zgromadzeniu materia\u322?u dowodowego wystarczaj\u261?cego do wydania decyzji administracyjnej w przedmiotowej sprawie oraz o prawie do wypowiedzenia si\u281? co do zebranych w toku post\u281?powania dowod\u243?w i materia\u322?\u243?w oraz zg\u322?oszonych \u380?\u261?da\u324?.
\par 
\par Istotne jest, \u380?e rozporz\u261?dzenie 2016/679 wprowadzi\u322?o podej\u347?cie oparte na ryzyku, w szczeg\u243?lno\u347?ci do zapewnienia bezpiecze\u324?stwa przetwarzania danych. Konsekwencj\u261? powy\u380?szego jest konieczno\u347?\u263? ustalenia przebiegu procesu szacowania ryzyka, a nast\u281?pnie, czy na tej podstawie, w oparciu o elementy wyszczeg\u243?lnione
\par 
\par w art. 32 ust. 1 i 2 rozporz\u261?dzenia 2016/679, zosta\u322?y wdro\u380?one \u347?rodki bezpiecze\u324?stwa odpowiednie do tej oceny. Podstaw\u261? do oceny jest zatem przeprowadzona analiza ryzyka - i w tym zakresie organ wszechstronnie zebra\u322? materia\u322? dowodowy, zwracaj\u261?c si\u281? do skar\u380?\u261?cej o udzielenie wyja\u347?nie\u324? i przedstawienie dowod\u243?w na ich potwierdzenie. W oparciu o wyczerpuj\u261?ce pytania Prezesa UODO skar\u380?\u261?cej zosta\u322?a zapewniona pe\u322?na mo\u380?liwo\u347?\u263? ustosunkowania si\u281? do istotnych okoliczno\u347?ci maj\u261?cych wp\u322?yw na tre\u347?\u263? rozstrzygni\u281?cia oraz mo\u380?liwo\u347?\u263? przedstawienia na te okoliczno\u347?ci dowod\u243?w.
\par 
\par Skar\u380?\u261?ca z\u322?o\u380?y\u322?a wniosek o przeprowadzenie dowodu z "Polityki ochrony danych osobowych w [...] z siedzib\u261? w [...]" - na fakt opracowania, wdro\u380?enia
\par 
\par i przestrzegania stosownych procedur ochrony danych osobowych i dow\u243?d ten zosta\u322? przez organ przeprowadzony. Jak wyja\u347?ni\u322? Prezes UODO w zaskar\u380?onej decyzji, Polityka bezpiecze\u324?stwa nie odnosi si\u281? w spos\u243?b szczeg\u243?\u322?owy do sposob\u243?w zapewnienia dost\u281?pno\u347?ci danych osobowych, odsy\u322?aj\u261?c do konieczno\u347?ci przeprowadzenia analizy ryzyka i na jej podstawie ustalenia odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych o tre\u347?ci koresponduj\u261?cej z art. 32 ust. 1 rozporz\u261?dzenia 2016/679, bezpo\u347?rednio wskazuj\u261?c na elementy, kt\u243?rych uwzgl\u281?dnienie by\u322?o konieczne dla ustalenia tego ryzyka, m.in. cel przetwarzania danych osobowych. I jak zosta\u322?o to szczeg\u243?\u322?owy wyja\u347?nione w niniejszej decyzji administracyjnej, elementy te nie zosta\u322?y uwzgl\u281?dnione i w konsekwencji Sp\u243?\u322?ka nie wdro\u380?y\u322?a \u347?rodk\u243?w technicznych
\par 
\par i organizacyjnych maj\u261?cych na celu zapewnienie bezpiecze\u324?stwa przetwarzanym danym odpowiednio do ryzyka.
\par 
\par Podkre\u347?li\u263? nale\u380?y, \u380?e ww. polityka przewidywa\u322?a zadania w postaci tworzenia kopii bezpiecze\u324?stwa, podobnie jak "Umowa powierzenia przetwarzania danych
\par 
\par w sp\u243?\u322?ce [...]", kt\u243?rej postanowienia rozgranicza\u322?y sfer\u281? odpowiedzialno\u347?ci za zapewnienie bezpiecze\u324?stwa w kontek\u347?cie wskazanych w umowie istotnych okoliczno\u347?ciach mog\u261?cych prowadzi\u263? do utraty danych, w kt\u243?rej to skar\u380?\u261?ca przyj\u281?\u322?a na siebie obowi\u261?zek sporz\u261?dzania kopii bezpiecze\u324?stwa. Pomimo, \u380?e oba te dokumenty przewidywa\u322?y techniczny \u347?rodek bezpiecze\u324?stwa (w postaci wykonywania kopii bezpiecze\u324?stwa danych), to jednak do czasu wyst\u261?pienia naruszenia ochrony danych osobowych kopie zapasowe nie by\u322?y przez skar\u380?\u261?c\u261? tworzone. W celu prawid\u322?owego wywi\u261?zania si\u281? z obowi\u261?zk\u243?w na\u322?o\u380?onych ww. przepisami rozporz\u261?dzenia 2016/679, Sp\u243?\u322?ka by\u322?a zobowi\u261?zana do podj\u281?cia dzia\u322?a\u324? zapewniaj\u261?cych w\u322?a\u347?ciwy poziom ochrony danych poprzez wdro\u380?enie odpowiednich \u347?rodk\u243?w technicznych oraz organizacyjnych, w tym zmierzaj\u261?cych do zapewnienia zdolno\u347?ci do szybkiego przywr\u243?cenia dost\u281?pno\u347?ci danych osobowych i dost\u281?pu do nich w razie incydentu fizycznego lub technicznego. Charakter i rodzaj tych dzia\u322?a\u324? powinien wynika\u263?
\par 
\par z przeprowadzonej analizy ryzyka, w kt\u243?rej powinno si\u281? zidentyfikowa\u263? podatno\u347?ci odnosz\u261?ce si\u281? do wykorzystywanych zasob\u243?w oraz wynikaj\u261?ce z nich zagro\u380?enia,
\par 
\par a nast\u281?pnie okre\u347?li\u263? adekwatne \u347?rodki bezpiecze\u324?stwa.
\par 
\par Skar\u380?\u261?ca na podstawie analizy ryzyka uzna\u322?a, \u380?e stopie\u324? ryzyka jest akceptowalny i w konsekwencji zrezygnowa\u322?a z jakiegokolwiek \u347?rodka bezpiecze\u324?stwa maj\u261?cego na celu m.in. zapewnienie zdolno\u347?ci do szybkiego przywr\u243?cenia dost\u281?pno\u347?ci danych osobowych i dost\u281?pu do nich w razie incydentu fizycznego lub technicznego. Tym samym w analizie ryzyka nie zosta\u322? wskazany jakikolwiek \u347?rodek bezpiecze\u324?stwa, wobec czego organ nie mia\u322? mo\u380?liwo\u347?ci dokona\u263? oceny w tym zakresie. Czyni to wi\u281?c zarzut skar\u380?\u261?cej, \u380?e Prezes UODO nie dokona\u322? wszechstronnej oraz merytorycznej oceny przedstawionych przez Sp\u243?\u322?k\u281? stosownych \u347?rodk\u243?w bezpiecze\u324?stwa oczywi\u347?cie bezzasadnym.
\par 
\par S\u261?d podziela stanowisko organu, \u380?e skar\u380?\u261?ca nie udokumentowa\u322?a analizy ryzyka oraz nie by\u322?a w stanie uzasadni\u263?, na podstawie jakich okoliczno\u347?ci faktycznych przyj\u281?\u322?a ocen\u281? dla przedmiotowych kryteri\u243?w, a jedyne jej uzasadnienie polega\u322?o na odes\u322?aniu do strony internetowej podmiotu przetwarzaj\u261?cego, odwo\u322?uj\u261?cej si\u281? do stanu faktycznego oddalonego o 4,5 roku od momentu, gdy stosowanie rozporz\u261?dzenia 2016/679 by\u322?o konieczne ([...] maja 2018 r.) oraz ponad 1,5 roku od momentu wyst\u261?pienia naruszenia ochrony danych osobowych ([...] marca 2021 r.). Skar\u380?\u261?ca na pytanie Prezesa UODO o szczeg\u243?\u322?owe wskazanie, na podstawie jakich konkretnych informacji dokona\u322?a oceny ww. kryteri\u243?w, nie by\u322?a w stanie uzasadni\u263? swoich za\u322?o\u380?e\u324?. Maj\u261?c na uwadze powy\u380?sze oraz obowi\u261?zek skar\u380?\u261?cej wynikaj\u261?cy z zasady rozliczalno\u347?ci wyra\u380?onej w art. 5 ust 2 rozporz\u261?dzenia 2016/679, organ by\u322? wi\u281?c w pe\u322?ni uprawniony do wskazania, \u380?e ocena tych \u347?rodk\u243?w by\u322?a dowolna, a polega\u322?a na przyj\u281?ciu warto\u347?ci pozwalaj\u261?cych na zwolnienia si\u281? z odpowiedzialno\u347?ci i w istocie sprowadza\u322?a si\u281? do bezrefleksyjnego przepisania uzasadnienia z metodyki analizy ryzyka.
\par 
\par Skar\u380?\u261?ca ca\u322?kowicie pomija, \u380?e w swoich w\u322?asnych procedurach przewidzia\u322?a sporz\u261?dzanie kopii zapasowych i do nich si\u281? nie zastosowa\u322?a. R\u243?wnie\u380? w umowie powierzenia przetwarzania danych osobowych zawartej z [...] Sp. z o.o. skar\u380?\u261?ca przyj\u281?\u322?a na siebie obowi\u261?zek sporz\u261?dzania kopii zapasowych. W umowie tej zosta\u322?a bowiem poinformowana przez podmiot przetwarzaj\u261?cy o istotnych zagro\u380?eniach mog\u261?cych mie\u263? wp\u322?yw na utrat\u281? danych przechowywanych na serwerach (kt\u243?re uleg\u322?y spaleniu) i w\u322?a\u347?nie o tym \u347?rodku bezpiecze\u324?stwa jako przeciwdzia\u322?aj\u261?cym wskazanym ryzykom, a mimo tego kopii bezpiecze\u324?stwa nie sporz\u261?dza\u322?a. Co wi\u281?cej, skar\u380?\u261?ca na zastosowanie \u347?rodka bezpiecze\u324?stwa w postaci tworzenia kopii zapasowych zdecydowa\u322?a si\u281? dopiero po wyst\u261?pieniu naruszenia ochrony danych osobowych. Wobec powy\u380?szego, Prezes UODO by\u322? uprawniony do odniesienia si\u281? w\u322?a\u347?nie do tego \u347?rodka bezpiecze\u324?stwa w zaskar\u380?onej decyzji.
\par 
\par Formu\u322?uj\u261?c zarzuty zawarte w skardze skar\u380?\u261?ca ca\u322?kowicie pomija fundamentalny aspekt systemu ochrony danych osobowych, tj. kwesti\u281? zasady rozliczalno\u347?ci. Zadaniem organu nadzorczego nie jest bowiem wskazywanie administratorom, jakie konkretne \u347?rodki techniczne i organizacyjne powinni wdro\u380?y\u263?, aby zapewni\u263? stopie\u324? bezpiecze\u324?stwa odpowiadaj\u261?cy ryzyku naruszenia praw lub wolno\u347?ci os\u243?b fizycznych o r\u243?\u380?nym prawdopodobie\u324?stwie wyst\u261?pienia i wadze. Zadaniem Prezesa UODO jest natomiast weryfikacja adekwatno\u347?ci tych \u347?rodk\u243?w, kt\u243?r\u261? organ przeprowadza w oparciu o przed\u322?o\u380?one przez administratora dokumenty, takie jak mi\u281?dzy innymi analiza ryzyka, polityka bezpiecze\u324?stwa, czy umowa powierzenia przetwarzania danych.
\par 
\par W okoliczno\u347?ciach przedmiotowej sprawy Sp\u243?\u322?ka jako administrator, pomimo \u347?wiadomo\u347?ci zagro\u380?e\u324? mog\u261?cych skutkowa\u263? utrat\u261? dost\u281?pno\u347?ci danych oraz wagi zagro\u380?enia dla danych osobowych przetwarzanych w systemie CRM oraz konieczno\u347?ci zastosowania \u347?rodk\u243?w bezpiecze\u324?stwa zdolnych do ci\u261?g\u322?ego zapewnienia poufno\u347?ci danych, integralno\u347?ci, dost\u281?pno\u347?ci i odporno\u347?ci system\u243?w i us\u322?ug przetwarzania oraz zdolnych do szybkiego przywr\u243?cenia dost\u281?pno\u347?ci danych osobowych i dost\u281?pu do nich w razie incydentu fizycznego lub technicznego, kt\u243?re zosta\u322?y przez ni\u261? zdefiniowane
\par 
\par w Polityce bezpiecze\u324?stwa i umowie powierzenia przetwarzania danych osobowych zawartej z [...] Sp. zo.o. jako tworzenie kopii zapasowych, nie wdro\u380?y\u322?a tych \u347?rodk\u243?w, a co wi\u281?cej (poza wag\u261? zagro\u380?enia dla danych osobowych przetwarzanych w systemie CRM) nie uwzgl\u281?dni\u322?a powy\u380?szego w przeprowadzonej analizie ryzyka.
\par 
\par W ocenie S\u261?du, wbrew temu co podnosi skar\u380?\u261?ca, stwierdzenie Prezesa UODO, \u380?e Sp\u243?\u322?ka nie wdro\u380?y\u322?a odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych zapewniaj\u261?cych stopie\u324? bezpiecze\u324?stwa odpowiadaj\u261?cy ryzyku przetwarzania danych, w tym zapewniaj\u261?cych zdolno\u347?\u263? do ci\u261?g\u322?ego zapewnienia dost\u281?pno\u347?ci i odporno\u347?ci system\u243?w i us\u322?ug przetwarzania oraz zdolno\u347?\u263? do szybkiego przywr\u243?cenia dost\u281?pno\u347?ci danych osobowych i dost\u281?pu do nich w razie incydentu fizycznego lub technicznego, przy uwzgl\u281?dnieniu ryzyka wi\u261?\u380?\u261?cego si\u281? z przetwarzaniem wynikaj\u261?cego
\par 
\par z przypadkowego lub niezgodnego z prawem zniszczenia lub utraty danych osobowych przechowywanych lub w inny spos\u243?b przetwarzanych w systemie informatycznym CRM i przechowywanych na serwerach, jest logiczne i uwzgl\u281?dnia zasady do\u347?wiadczenia \u380?yciowego. Skar\u380?\u261?ca bezpowrotnie bowiem utraci\u322?a dane osobowe oko\u322?o 14 000 os\u243?b, wobec czego logiczne, jak i uwzgl\u281?dniaj\u261?ce zasady do\u347?wiadczenia \u380?yciowego jest stwierdzenie, \u380?e nie by\u322?a w stanie sprosta\u263? dyspozycji przepis\u243?w art. 32 ust 1 lit. b) i c) rozporz\u261?dzenia 2016/679 poprzez brak zdolno\u347?ci do ci\u261?g\u322?ego zapewnienia dost\u281?pno\u347?ci i odporno\u347?ci system\u243?w i us\u322?ug przetwarzania oraz zdolno\u347?ci do szybkiego przywr\u243?cenia dost\u281?pno\u347?ci danych osobowych i dost\u281?pu do nich w razie incydentu fizycznego lub technicznego.
\par 
\par Prezes UODO w tre\u347?ci decyzji na podstawie prawid\u322?owo ustalonego stanu faktycznego i rzetelnie ocenionych dowod\u243?w szczeg\u243?\u322?owo wyja\u347?ni\u322?, dlaczego skar\u380?\u261?ca powinna i dlaczego nie wdro\u380?y\u322?a odpowiednich \u347?rodk\u243?w technicznych
\par 
\par i organizacyjnych zapewniaj\u261?cych stopie\u324? bezpiecze\u324?stwa odpowiadaj\u261?cy ryzyku przetwarzania danych oraz nie uwzgl\u281?dni\u322?a prawid\u322?owo ryzyka zwi\u261?zanego
\par 
\par z przetwarzaniem, wynikaj\u261?cego z przypadkowego lub niezgodnego z prawem zniszczenia czy utraty danych osobowych przesy\u322?anych, przechowywanych lub w inny spos\u243?b przetwarzanych, co w konsekwencji doprowadzi\u322?o do bezpowrotnej utraty danych osobowych oraz braku mo\u380?liwo\u347?ci wywi\u261?zania si\u281? z dyspozycji art. 32 ust. 1 lit. b) i c) rozporz\u261?dzenia 2016/679 poprzez brak zastosowania wskazanych tam \u347?rodk\u243?w bezpiecze\u324?stwa.
\par 
\par Trafnie wskaza\u322? organ, \u380?e skar\u380?\u261?ca pomimo dwukrotnych wezwa\u324? Prezesa UODO, w kt\u243?rych zwraca\u322? si\u281? on o wyja\u347?nienie, o jak\u261? analiz\u281? chodzi, takiej analizy nie przeprowadzi\u322?a i nie przedstawi\u322?a. Obowi\u261?zek przeprowadzenia analizy ryzyka pod k\u261?tem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych w sytuacji wyst\u261?pienia naruszenia ochrony danych osobowych wynika z tre\u347?ci art. 33 ust. 1 oraz 34 ust. 1 rozporz\u261?dzenia 2016/679. W sytuacji, gdy w zwi\u261?zku z wyst\u261?pieniem naruszenia ochrony danych osobowych nie jest ma\u322?o prawdopodobne, \u380?e naruszenie mo\u380?e skutkowa\u263? ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, administrator zobowi\u261?zany jest dokona\u263? zg\u322?oszenia naruszenia ochrony danych osobowych Prezesowi UODO. Natomiast
\par 
\par w sytuacji, gdy naruszenie ochrony danych osobowych mo\u380?e powodowa\u263? wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, administrator zobowi\u261?zany jest r\u243?wnie\u380? do zawiadomienia o naruszeniu ochrony danych osobowych osoby kt\u243?rych danych osobowych naruszenie dotyczy. Skar\u380?\u261?ca dokona\u322?a zg\u322?oszenia naruszenia ochrony danych osobowych Prezesowi UODO, okre\u347?laj\u261?c charakter naruszenia jako "naruszenie dost\u281?pno\u347?ci danych" oraz wskazuj\u261?c na "brak mo\u380?liwo\u347?ci wykorzystania danych na \u380?\u261?danie, w z\u322?o\u380?onym czasie, przez osob\u281? uprawnion\u261?", a mo\u380?liwe konsekwencje jako "utrata kontroli nad w\u322?asnymi danymi osobowymi". Zatem skar\u380?\u261?ca musia\u322?a przeprowadzi\u263? chocia\u380? proces my\u347?lowy umo\u380?liwiaj\u261?cy analiz\u281? naruszenia ochrony danych osobowych pod k\u261?tem mo\u380?liwo\u347?ci naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, czego ko\u324?cowym efektem by\u322?a w\u322?a\u347?nie okoliczno\u347?\u263? prawid\u322?owego dzia\u322?ania w postaci zg\u322?oszenia naruszenia ochrony danych osobowych organowi nadzorczemu. Jednocze\u347?nie, w tre\u347?ci zg\u322?oszenia skar\u380?\u261?ca poinformowa\u322?a, \u380?e nie wyst\u261?pi\u322?o wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, od kt\u243?rej uzale\u380?niona jest konieczno\u347?\u263? zawiadomienia o naruszeniu os\u243?b fizycznych, b\u322?\u281?dnie odnosz\u261?c skutek naruszenia do atrybutu poufno\u347?ci danych, a nie do atrybutu dost\u281?pno\u347?ci.
\par 
\par Skar\u380?\u261?ca powinna zastosowa\u263? odpowiednie \u347?rodki techniczne i organizacyjne maj\u261?ce na celu odpowiednie zabezpieczenie dost\u281?pno\u347?ci danych osobowych, w tym, jak stanowi art. 32 ust. 1 lit. b) i c) - zdolno\u347?\u263? do ci\u261?g\u322?ego zapewnienia poufno\u347?ci danych, integralno\u347?ci, dost\u281?pno\u347?ci i odporno\u347?ci system\u243?w i us\u322?ug przetwarzania oraz zdolno\u347?\u263? do szybkiego przywr\u243?cenia dost\u281?pno\u347?ci danych osobowych i dost\u281?pu do nich w razie incydentu fizycznego lub technicznego. Skar\u380?\u261?ca nie ustali\u322?a prawid\u322?owo ryzyka i w konsekwencji nie zastosowa\u322?a jakiegokolwiek \u347?rodka bezpiecze\u324?stwa, co zosta\u322?o przez organ bardzo szczeg\u243?\u322?owo wyja\u347?nione w tre\u347?ci zaskar\u380?onej decyzji.
\par 
\par Prezes UODO wyja\u347?ni\u322? te\u380? w decyzji, \u380?e przedmiotem post\u281?powania administracyjnego by\u322?a mo\u380?liwo\u347?\u263? naruszenia przepis\u243?w o ochronie danych osobowych w postaci naruszenia art. 32 ust. 1 i 2 rozporz\u261?dzenia 2016/679, a nie odpowiedzialno\u347?\u263? Sp\u243?\u322?ki za wyst\u261?pienie naruszenia ochrony danych osobowych. Wyst\u261?pienie naruszenia ochrony danych osobowych w wyniku po\u380?aru, kt\u243?re zosta\u322?o zg\u322?oszone Prezesowi UODO, stanowi\u322?o przyczynek do podj\u281?cia post\u281?powania wyja\u347?niaj\u261?cego wobec skar\u380?\u261?cej w zwi\u261?zku z w\u261?tpliwo\u347?ciami co do zapewnienia odpowiedniego poziomu bezpiecze\u324?stwa przetwarzanym danym osobowym. Organ jest za\u347? uprawniony do oceny analizy ryzyka, w tym weryfikacji jej przeprowadzenia w odniesieniu do obiektywnych okoliczno\u347?ci, konfrontuj\u261?c je z kryteriami zawartymi w art. 32 ust. 1 i 2 rozporz\u261?dzenia 2016/679. Dokonuj\u261?c oceny przedstawionej przez skar\u380?\u261?c\u261? analizy ryzyka organ zaprezentowa\u322? racjonalne wnioski.
\par 
\par W odniesieniu do zarzutu wskazuj\u261?cego na nieustalenie przez organ liczby os\u243?b, kt\u243?rych dotyczy\u322?o naruszenie, zauwa\u380?y\u263? nale\u380?y, \u380?e to sama skar\u380?\u261?ca w formularzu zg\u322?oszenia naruszenia ochrony danych osobowych o\u347?wiadczy\u322?a, \u380?e przybli\u380?ona liczba os\u243?b, kt\u243?rych dotyczy naruszenie to 14 000. Jednocze\u347?nie w ww. formularzu skar\u380?\u261?ca wskaza\u322?a, \u380?e o przedmiotowym naruszeniu zawiadomi\u322?a 14 000 os\u243?b i przedstawia\u322?a dow\u243?d to potwierdzaj\u261?cy. Stawianie zarzutu naruszenia w tym zakresie przez Prezesa UODO, jak trafnie zauwa\u380?y\u322? organ, wynika jedynie z ch\u281?ci unikni\u281?cia przez skar\u380?\u261?c\u261? odpowiedzialno\u347?ci za stwierdzone naruszenie przepis\u243?w o ochronie danych osobowych. Dowody potwierdzaj\u261?ce okoliczno\u347?\u263? liczby os\u243?b zawiadomionych
\par 
\par o naruszeniu, jak r\u243?wnie\u380? informacja przekazana przez administratora w zg\u322?oszeniu naruszenia ochrony danych osobowych, powinny by\u263? kluczowymi dowodami na ustalenie liczby os\u243?b obj\u281?tych naruszeniem. Przyj\u281?cie takiego zarzutu skar\u380?\u261?cej
\par 
\par w istocie umo\u380?liwi\u322?oby ka\u380?demu administratorowi wprowadza\u263? w b\u322?\u261?d organ wobec faktu zniszczenia danych i braku mo\u380?liwo\u347?ci ich analizy.
\par 
\par W ocenie S\u261?du, Prezes UODO w uzasadnieniu zaskar\u380?onej decyzji precyzyjnie okre\u347?li\u322? okoliczno\u347?ci decyduj\u261?ce o konieczno\u347?ci na\u322?o\u380?enia administracyjnej kary pieni\u281?\u380?nej oraz czynniki maj\u261?ce wp\u322?yw na jej wysoko\u347?\u263?, stosownie do tre\u347?ci art. 83 ust. 2 lit. a) - k) rozporz\u261?dzenia 2016/679. Decyduj\u261?c, czy na\u322?o\u380?y\u263? administracyjn\u261? kar\u281? pieni\u281?\u380?n\u261?, a tak\u380?e ustalaj\u261?c jej wysoko\u347?\u263?, za podstaw\u281? organ uzna\u322? naruszenie przez Sp\u243?\u322?k\u281? jako administratora jednego z podstawowych jego obowi\u261?zk\u243?w, tj. okre\u347?lonego w art. 32 ust. 1 i 2 rozporz\u261?dzenia 2016/679. Stwierdzi\u322? przy tym, \u380?e stosownie do tre\u347?ci art. 83 ust. 2 rozporz\u261?dzenia 2016/679, kar\u261? zar\u243?wno adekwatn\u261? w ustalonych okoliczno\u347?ciach faktycznych sprawy, jak i spe\u322?niaj\u261?c\u261? swoj\u261? funkcj\u281? na gruncie art. 83 ust. 1 rozporz\u261?dzenia 2016/679, b\u281?dzie kwota 117 900 z\u322?. Warto\u347?\u263? ta z jednej bowiem strony odzwierciedla w spos\u243?b w\u322?a\u347?ciwy charakter, wag\u281? i czas trwania przedmiotowego naruszenia przy uwzgl\u281?dnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych os\u243?b, kt\u243?rych dane dotycz\u261?, oraz rozmiaru poniesionej przez nie szkody, umy\u347?lny charakter naruszenia, stosowne wcze\u347?niejsze naruszenia przepis\u243?w rozporz\u261?dzenia 2016/679 ze strony administratora, a tak\u380?e stopie\u324? wsp\u243?\u322?pracy z organem w celu usuni\u281?cia naruszenia oraz z\u322?agodzenia jego ewentualnych negatywnych skutk\u243?w. Innymi s\u322?owy, wysoko\u347?\u263? administracyjnej kary pieni\u281?\u380?nej w ustalonym stanie faktycznym stanowi proporcjonalny do charakteru
\par 
\par i zakresu przedmiotowego naruszenia przejaw koniecznego dzia\u322?ania ze strony organu nadzorczego, zmierzaj\u261?cego do przywr\u243?cenia stanu zgodnego z prawem, bez nak\u322?adania na adresata decyzji ci\u281?\u380?ar\u243?w, kt\u243?rym nie m\u243?g\u322?by on podo\u322?a\u263?. Ponadto, organ ustalaj\u261?c wysoko\u347?\u263? administracyjnej kary pieni\u281?\u380?nej odni\u243?s\u322? j\u261? do informacji zawartych w sprawozdaniu finansowym skar\u380?\u261?cej. Nadto, oceniaj\u261?c wysoko\u347?\u263? na\u322?o\u380?onej zaskar\u380?on\u261? decyzj\u261? administracyjnej kary pieni\u281?\u380?nej nale\u380?y mie\u263? na uwadze przewidziane we w\u322?a\u347?ciwych przepisach w takich przypadkach limity kar oraz fakt, \u380?e
\par 
\par w przedmiotowej sprawie kara ta by\u322?a daleko od nich ni\u380?sza.
\par 
\par Wyja\u347?ni\u263? w tym miejscu nale\u380?y, \u380?e wymienione w art. 83 ust. 2 rozporz\u261?dzenia 2016/679 przes\u322?anki, jakie nale\u380?y wzi\u261?\u263? pod uwag\u281? przy nak\u322?adaniu przez organ administracyjnej kary pieni\u281?\u380?nej, s\u261? przes\u322?ankami w wi\u281?kszo\u347?ci ocennymi. Prawodawca unijny nie zdefiniowa\u322?, kt\u243?ra z przes\u322?anek miarkowania kary jest przes\u322?ank\u261? \u322?agodz\u261?c\u261?, a kt\u243?ra zaostrzaj\u261?c\u261? jej wymiar, uznaj\u261?c, \u380?e ocena dokonywana przez organ nadzorczy w tym zakresie b\u281?dzie uzale\u380?niona od okoliczno\u347?ci konkretnej sprawy. Organ wskaza\u322?, dlaczego zasadnym w przedmiotowej sprawie by\u322?o zastosowanie w\u322?a\u347?nie takiego \u347?rodka naprawczego wzgl\u281?dem Sp\u243?\u322?ki.
\par 
\par Odnosz\u261?c si\u281? do zarzutu skar\u380?\u261?cej w zakresie braku uzasadnienia przez organ wysoko\u347?ci na\u322?o\u380?onej kary administracyjnej w zakresie m.in. wyliczenia
\par 
\par i skwantyfikowania, jakie prze\u322?o\u380?enie na wysoko\u347?\u263? na\u322?o\u380?onej kary mia\u322?y okoliczno\u347?ci, kt\u243?re w ocenie organu mia\u322?y charakter \u322?agodz\u261?cy lub zaostrzaj\u261?cy odpowiedzialno\u347?\u263? skar\u380?\u261?cej, co w konsekwencji uniemo\u380?liwia realn\u261? kontrol\u281? merytoryczn\u261? decyzji wyja\u347?ni\u263? nale\u380?y, \u380?e organ nie ma obowi\u261?zku w tre\u347?ci uzasadnienia rozstrzygni\u281?cia przedstawia\u263? wylicze\u324? matematycznych.
\par 
\par Nie mo\u380?na te\u380? uzna\u263?, aby to z przyczyn le\u380?\u261?cych po stronie podmiotu przetwarzaj\u261?cego skar\u380?\u261?ca nie zastosowa\u322?a jakiegokolwiek \u347?rodka bezpiecze\u324?stwa zapewniaj\u261?cego zdolno\u347?\u263? do ci\u261?g\u322?ego zapewnienia dost\u281?pno\u347?ci i odporno\u347?ci system\u243?w i us\u322?ug przetwarzania oraz zdolno\u347?\u263? do szybkiego przywr\u243?cenia dost\u281?pno\u347?ci danych osobowych i dost\u281?pu do nich w razie incydentu fizycznego lub technicznego, zgodnie
\par 
\par z tre\u347?ci\u261? art. 32 ust. 1 lit. c) i d) rozporz\u261?dzenia 2016/679. Wdro\u380?enie takiego \u347?rodka,
\par 
\par w postaci wykonywania kopii zapasowych, w \u347?wietle ww. umowy, nale\u380?a\u322?o bowiem do obowi\u261?zk\u243?w skar\u380?\u261?cej.
\par 
\par Zgodzi\u263? si\u281? nale\u380?y z Prezesem UODO, \u380?e czas trwania naruszenia przepis\u243?w
\par 
\par o ochronie danych osobowych przez skar\u380?\u261?c\u261?, w kt\u243?rej nie zapewni\u322?a, aby przetwarzanie danych osobowych odbywa\u322?o si\u281? z poszanowaniem wymog\u243?w wynikaj\u261?cych z przepis\u243?w art. 32 ust. 1 i 2 rozporz\u261?dzenia 2016/679, nie by\u322? kr\u243?tkotrwa\u322?y. Czas trwania naruszenia, tj. od 25 maja 2018 r. (data rozpocz\u281?cia stosowania rozporz\u261?dzenia 2016/679 - uwzgl\u281?dniaj\u261?cy okres powierzenia przetwarzania danych i przechowywania ich na serwerach, kt\u243?re uleg\u322?y spaleniu) do 10 marca 2021 r. (data naruszenia ochrony danych osobowych polegaj\u261?cego na zniszczeniu serwerowni w wyniku po\u380?aru) przepis\u243?w o ochronie danych osobowych,
\par 
\par w kt\u243?rym Sp\u243?\u322?ka nie zapewni\u322?a, aby przetwarzanie odbywa\u322?o si\u281? w spos\u243?b zapewniaj\u261?cy odpowiednie bezpiecze\u324?stwo danych osobowych, w tym ochron\u281? przed przypadkow\u261? utrat\u261?, zniszczeniem, za pomoc\u261? odpowiednich \u347?rodk\u243?w technicznych lub organizacyjnych, by\u322? znaczny.
\par 
\par W ocenie S\u261?du zastosowana przez Prezesa UODO administracyjna kara pieni\u281?\u380?na spe\u322?nia, w ustalonych okoliczno\u347?ciach niniejszej sprawy, funkcje, o kt\u243?rych mowa w art. 83 ust. 1 rozporz\u261?dzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszaj\u261?ca.
\par 
\par Organ uzasadni\u322? na\u322?o\u380?enie administracyjnej kary finansowej, wskazuj\u261?c przes\u322?anki, na jakich si\u281? opar\u322?, bior\u261?c pod uwag\u281? charakter, wag\u281? i czas trwania naruszenia i okoliczno\u347?ci zar\u243?wno obci\u261?\u380?aj\u261?ce, jak i \u322?agodz\u261?ce wymiar tej kary.
\par 
\par W przedmiotowej sprawie organ s\u322?usznie uzna\u322?, \u380?e charakter, waga, czas naruszenia, kategorie danych osobowych, kt\u243?rych dotyczy\u322?o naruszenie, umy\u347?lny lub nieumy\u347?lny charakter naruszenia, kwalifikuje si\u281? do na\u322?o\u380?enia przedmiotowej kary finansowej.
\par 
\par W uzasadnieniu zaskar\u380?onej decyzji Prezes UODO wskaza\u322?, na podstawie
\par 
\par art. 83 ust. 2 lit. a \u8211? k rozporz\u261?dzenia 2016/679, jakie okoliczno\u347?ci uzna\u322? za te, kt\u243?re wp\u322?ywaj\u261? na zaostrzenie kary i te, kt\u243?re przemawiaj\u261? za z\u322?agodzeniem wymiaru kary oraz wypowiedzia\u322? si\u281? co do umy\u347?lnego charakteru naruszenia. Nie mo\u380?na wi\u281?c organowi orzekaj\u261?cemu w sprawie skutecznie postawi\u263? zarzutu dowolno\u347?ci podj\u281?tego rozstrzygni\u281?cia.
\par 
\par Bior\u261?c powy\u380?sze pod uwag\u281? nale\u380?y stwierdzi\u263?, \u380?e zaskar\u380?ona decyzja administracyjna Prezesa UODO z [...] listopada 2023 r. zosta\u322?a wydana w oparciu
\par 
\par o wystarczaj\u261?cy materia\u322? dowodowy, pozyskany w wyniku post\u281?powania administracyjnego przeprowadzonego zgodnie z zasadami okre\u347?lonymi w Kodeksie post\u281?powania administracyjnego.
\par 
\par Skoro zatem wszystkie podniesione przez skar\u380?\u261?c\u261? zarzuty okaza\u322?y si\u281? chybione oraz brak jest podstaw do uznania, \u380?e organ dopu\u347?ci\u322? si\u281? innych narusze\u324? prawa, kt\u243?re mog\u322?yby stanowi\u263? o uchyleniu albo stwierdzeniu niewa\u380?no\u347?ci zaskar\u380?onej decyzji, Wojew\u243?dzki S\u261?d Administracyjny w Warszawie, na podstawie art. 151 p.p.s.a., orzek\u322? jak w sentencji.
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\pard}