Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Karolina Kisielewicz (spr.), Sędzia WSA Agnieszka Góra-Błaszczykowska, Sędzia WSA Piotr Borowiecki, Protokolant starszy specjalista Bogumiła Kobierska, po rozpoznaniu na rozprawie w dniu 5 kwietnia 2022 r. sprawy ze skargi [...] Towarzystwa Ubezpieczeniowego [...] S.A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję, 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz skarżącego [...] Towarzystwa Ubezpieczeniowego [...] S.A. z siedzibą w [...] kwotę 7 468 zł (słownie: siedem tysięcy czterysta sześćdziesiąt osiem złotych), tytułem zwrotu kosztów postępowania.

W dniu 19 września 2002 r. do Urzędu Ochrony Danych Osobowych wpłynęła informacja o naruszeniu ochrony danych osobowych. Naruszenie polegało na wysłaniu pocztą elektroniczną przez agenta ubezpieczeniowego ([...] Sp. z o.o. z siedzibą w [...]), będącego podmiotem przetwarzającym dla [...] Towarzystwa Ubezpieczeń [...] S.A. z siedzibą w [...], zwanej dalej również Spółką, polisy ubezpieczeniowej (tzw. kalkulacji) zawierającej dane osobowe (imię, nazwisko, numer PESEL i miejscowość wraz z kodem pocztowym) klienta zainteresowanego ubezpieczeniem oferowanym przez Spółkę, na adres e-mail innej osoby, w wyniku czego doszło do naruszenia poufności danych jednej osoby fizycznej. O naruszeniu ochrony danych osobowych organ nadzorczy został poinformowany przez [...] Sp. z o.o. z siedzibą w [...].

W piśmie z 2 grudnia 2020 r. Prezes Urzędu Ochrony Danych Osobowych, na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679, zwrócił się do [...] Towarzystwa Ubezpieczeń [...] S.A. o wyjaśnienie, czy w związku z wysyłką korespondencji elektronicznej do nieuprawnionego odbiorcy została dokonana analiza pod kątem ryzyka naruszenia praw lub wolności osób fizycznych - niezbędna do oceny, czy doszło do naruszenia ochrony danych, skutkującego koniecznością zawiadomienia Prezesa UODO (art. 33 ust. 1 i 3 rozporządzenia 2016/679) oraz osób, których dotyczy naruszenie (art. 34 ust. 1 i 2 rozporządzenia).

W odpowiedzi na powyższe, w piśmie z 10 grudnia 2020 r. [...] S.A. wyjaśniła, że 18 września 2020 r. pośrednik ubezpieczeniowy [...] Sp. z o.o., który przetwarza dane osobowe w jej imieniu i na jej rzecz (na podstawie umowy powierzenia przetwarzania danych osobowych), poinformował Spółkę o stwierdzonym w tym dniu naruszeniu, a następnie przesłał oświadczenie osoby, która przypadkowo otrzymała dane osobowe klienta zainteresowanego ofertą ubezpieczenia, w którym osoba ta oświadczyła, że wykasowała wiadomość, która została jej wysłana przez [...] sp. z o.o. w dniu 14 września 2020 r. i nie jest w jej posiadaniu. Odbiorca oświadczył również, że nie jest mu znana mu treść załączonych do wiadomości dokumentów, gdyż nie zapoznał się z nimi przed usunięciem wiadomości.

Spółka dodała, że w celu wypełnienia obowiązków administratora danych wynikających z przepisów prawa, w dniu 21 września 2020 r., dokonała oceny ryzyka naruszenia praw i wolności osoby fizycznej, której dane dotyczą, spowodowanego naruszeniem, przy pomocy formularza oceny naruszenia ochrony danych osobowych (załączonego do pisma). Na tej podstawie oceniła ryzyko skutków naruszenia jako niskie (w skali: brak lub niskie, średnie, wysokie, bardzo wysokie), a stopień prawdopodobieństwa wystąpienia skutków naruszenia "pomijany" (w skali: pomijane, ograniczone, poważne, maksymalne). Na ocenę skutków naruszenia, zdaniem Spółki, miało również wpływ to, że osoba nieuprawniona złożyła pisemne oświadczenie o niezapoznaniu się z treścią załącznika do e-maila, w którym były dane i o trwałym jego usunięciu. Na tej podstawie Spółka uznała, że nie doszło do naruszenia skutkującego koniecznością zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych oraz osoby, której danych osobowych naruszenie dotyczy.

W tych okolicznościach faktycznych i prawnych, Prezes Urzędu Ochrony Danych Osobowych w piśmie z 11 stycznia 2021 r. zawiadomił [...] Towarzystwo Ubezpieczeń [...] S.A. z siedzibą w [...] o wszczęciu postępowania administracyjnego wobec Spółki w sprawie braku zgłoszenia naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych, zgodnie z art. 33 ust. 1 rozporządzenia oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osoby, której dotyczyło naruszenie, zgodnie z art. 34 ust. 1 i ust. 2 rozporządzenia.

[...] Towarzystwo Ubezpieczeń [...] S.A. w piśmie z 8 lutego 2021 r. złożyło obszerne wyjaśnienia w sprawie. Spółka podała m. in., że nie miała obowiązku zgłoszenia naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych ani obowiązku zawiadomienia o naruszeniu osoby dotkniętej naruszeniem, a tym samym nie dopuściła się naruszenia przepisów art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679. Jej zdaniem, prawidłowo w dniu 21 września 2020 r., po uzyskaniu od [...] Sp. z o.o. informacji o potencjalnym naruszeniu ochrony danych, przeprowadziła ocenę ryzyka spowodowanego naruszeniem ochrony danych osobowych (zarówno pod kątem wagi potencjalnego wpływu naruszenia na osobę, której dane dotyczą, jak i prawdopodobieństwa wystąpienia takiego negatywnego wpływu), a w konsekwencji prawidłowo oceniła ryzyko spowodowane naruszeniem ochrony danych osobowych. Spółka dodała, że przeprowadziła ponowną analizę ryzyka spowodowanego naruszeniem, z wykorzystaniem formularza udostępnionego na stronie https://odo24.pl/kalkulator-wagj-naruszen-ochrony-danych-osobowych, znajdującego się w internecie. Zdaniem Spółki, aby była obowiązana zgłosić naruszenie ochrony danych organowi nadzorczemu oraz zawiadomić o naruszeniu osobę, której dane dotyczą, należałoby wykazać, że dokonała nieprawidłowej oceny ryzyka spowodowanego tym naruszeniem. Należałoby wykazać zatem błąd w samej metodyce albo błąd w jej zastosowaniu w odniesieniu do tego naruszenia ochrony danych, czego organ nadzorczy nie uczynił.

Spółka podniosła, że zgodnie z Wytycznymi Grupy Roboczej Art. 29 dotyczącymi zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679, przy ocenie ryzyka spowodowanego konkretnym naruszeniem ochrony danych osobowych należy ocenić: wagę potencjalnego negatywnego wpływu na osoby, których dane dotyczą oraz prawdopodobieństwo wystąpienia takiego wpływu. Grupa Robocza wskazała także, aby przy ocenie ryzyka spowodowanego przez naruszenie brać pod uwagę m. in. rodzaj naruszenia, charakter, wrażliwość i ilość danych osobowych, wagę konsekwencji dla osób fizycznych, liczbę osób dotkniętych naruszeniem. W przypadku ujawnienia danych osobowych osobom nieuprawnionym należy wziąć pod uwagę to czy administrator ma wiedzę na temat intencji osób, którym przypadkowo ujawniono dane osobowe (np. czy osoby te mają złe intencje lub czy ich intencje są nieznane). [...] S.A. podkreśliła, że naruszenie dotyczyło danych tylko jednej osoby, zakres ujawnionych danych był bardzo wąski; ujawnione dane nie są objęte tajemnicą ubezpieczeniową; nie zachodzą żadne specyficzne czynniki naruszenia zwiększające lub zmniejszające powagę naruszenia; możliwe skutki naruszenia to ewentualnie: stres, dyskomfort, czas spędzony na wyjaśnieniu sprawy. W ocenie Spółki naruszenie ochrony danych nie spowodowałoby skutków takich jak: kradzież tożsamości, dyskryminacja, straty finansowe. Na taką ocenę skutków naruszenia miał wpływ fakt, że osoba nieuprawniona (przypadkowy odbiorca danych) dwukrotnie (18 września 2020 r. i 20 stycznia 2021 r.) pisemnie oświadczyła, że wykasował i nie jest w posiadaniu wiadomości, omyłkowo do niej wysłanej oraz że nie zapoznała się z jej treścią. Zdaniem Spółki, nie ma powodów, aby zakładać, że przypadkowy odbiorca wiadomości złożył fałszywe oświadczenie lub ze ma złe intencje, w tym zamiar popełnienia przestępstwa podszywania się pod inną osobę lub kradzieży tożsamości. Zakładanie złych czy nawet przestępczych intencji jest tym bardziej nieuzasadnione, że przypadkowy odbiorca złożył oświadczenie dwukrotnie.

Spółka dodała, że dokonując oceny ryzyka naruszenia praw i wolności innych osób uwzględniła również kryterium czasu, w jakim mogłyby się utrzymywać skutki naruszenia wobec danej osoby - od 14 września 2020 r., kiedy wystąpiło naruszenie (została przesłana nieuprawnionej osobie wiadomość zawierająca dane osobowe), do 19 września 2020 r., kiedy nieuprawniony odbiorca usunął wiadomość, upłynęło pięć dni. [...] podniosła, że w internecie, w Monitorze Sądowym i Gospodarczym oraz w Krajowym Rejestrze Sądowym nie ma osoby o wskazanym numerze PESEL. Kod pocztowy i miejscowość (w której liczba ludności wynosi ponad 200 000) nie stanowi pełnego adresu i powoduje organiczoną możliwość zidentyfikowania osoby.

Spółka odwołała się do przykładu (nr 15) naruszenia przedstawionego w Wytycznych Europejskiej Rady Ochrony Danych 01/2021 w sprawie przykładów zgłoszeń naruszeń ochrony danych, który dotyczy przypadkowego wysłania danych osobowych do 15 nieuprawnionych odbiorców. Po wysłaniu danych nadawca (administrator) natychmiast skontaktował się z nieuprawnionymi odbiorcami i zwrócił się o usunięcie danych. Z Wytycznych wynika, że taki krok może być uznany za środek zmniejszający ryzyko.

Biorąc pod uwagę powyższe okoliczności, Spółka uznała, że wystąpienie negatywnych skutków naruszenia ochrony danych jest mało prawdopodobne i dlatego nie podjęła działań, o których mowa w art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia. To zaś prowadzi do wniosku, że postępowanie administracyjne w sprawie naruszenia przez Spółkę art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia powinno zostać umorzone, jako bezprzedmiotowe (art. 105 § 1 k.p.a.).

[...] S.A. wniosła o dopuszczenie i przeprowadzenie dowodu z dokumentów załączonych do pisma z 8 września 2021 r. (m. in. oświadczenia odbiorcy korespondencji z 20 stycznia 2021 r., zrzut z ekranu przedstawiający wynik oceny ryzyka naruszenia przeprowadzonej za pomocą formularza dostępnego na stronie odo24.pl, oświadczenia pracownika [...] , który wysłał niezaszyfrowany załącznik zawierający dane osobowe, że było to wynikiem błędu, umowy powierzenia przetwarzania danych osobowych) oraz o dopuszczenie i przeprowadzenie dowodu z zeznań osoby, która przypadkowo otrzymała korespondencję (której dane znajdują się w posiadaniu [...]), na okoliczność tego, że dokonał trwałego usunięcia tej wiadomości i nie jest w jej posiadaniu, nie jest mu znana jej treść, nie ma możliwości zidentyfikowana osoby, której dane znajdowały się w załączonych dokumentach oraz że nie posiada kopii tej wiadomości.

W tych okolicznościach faktycznych i prawnych, Prezes Urzędu Ochrony Danych Osobowych decyzją z [...] czerwca 2021 r. (nr ), wydaną na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 poz. 735), art. 7 ust. 1 oraz art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), art. 57 ust. 1 lit. a), art. 58 ust. 2 lit. e) oraz i), art. 83 ust. 1 i ust. 2, art. 83 ust. 4 lit. a) w z. z art. 33 ust. 1 oraz art. 34 ust. 1, 2 i 4 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35):

1) stwierdził naruszenie przez [...] Towarzystwo Ubezpieczeń [...] S.A. z siedzibą w [...] przepisów art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia oraz art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osoby, której dane dotyczą i nałożył na [...] Towarzystwo Ubezpieczeń [...] S.A. z siedzibą w [...] administracyjną karę pieniężną w wysokości 159.176 PLN;

2) nakazał [...] Towarzystwu Ubezpieczeń [...] S.A. zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych w celu przekazania jej informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, w terminie 3 dni od dnia jej doręczenia.

W uzasadnieniu decyzji organ administracji przytoczył treść przepisów prawnych będących podstawą rozstrzygnięcia. Prezes UODO podał, że zgłaszanie naruszeń ochrony danych osobowych organowi nadzorczemu (art. 33 ust. 1 i 3 rozporządzenia) oraz zawiadomienie osób fizycznych o naruszeniu (art. 34 ust. 1 rozporządzenia), ma na celu realną poprawę bezpieczeństwa przetwarzania danych osobowych oraz uchronienie przed skutkami naruszenia, zaś ocena naruszenia przeprowadzona przez administratora pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia organu nadzoru (art. 33 ust. 1 i 3 rozporządzenia 2016/679) oraz osób, których dotyczy naruszenie (art. 34 ust, 1 i 2 rozporządzenia 2016/679), powinna być dokonana przez pryzmat osoby dotkniętej naruszeniem.

Przede wszystkim organ podniósł, że na skutek nieuprawnionego ujawnienia danych w wyniku przesłania korespondencji zawierającej dane osobowe niewłaściwemu odbiorcy, doszło do ujawnienia nie tylko numeru ewidencyjnego PESEL wraz z imieniem i nazwiskiem, miejscowością i kodem pocztowym osoby, której dane dotyczą. W przesłanej omyłkowo ofercie ubezpieczenia ("Kalkulacja [...] majątek") znajdowały się również dane dotyczące sytuacji finansowej/majątkowej podmiotu danych w postaci: okresu ubezpieczenia, przedmiotu ubezpieczenia (dom), produktu ubezpieczeniowego (Dom i Mieszkania od zdarzeń losowych z rozszerzeniem o powódź. Odpowiedzialność Cywilna w Życiu Prywatnym), sumie ubezpieczenia (sumie gwarancyjnej) w kwocie stosownej do wybranego wariantu oraz wysokości składki odpowiedniej do wybranego wariantu ubezpieczenia, które nie zostały uwzględnione w przeprowadzonej przez Spółkę kalkulacji ryzyka. Dodatkowo, wobec ujawnienia numeru ewidencyjnego PESEL, do danych objętych naruszeniem należy zaliczyć datę urodzenia. Nie bez znaczenia pozostaje również możliwość łatwego ustalenia ulicy zamieszkania osoby, której dane dotyczą, w oparciu o ujawniony kod pocztowy oraz nazwę miejscowości.

Zdaniem Prezesa Urzędu Ochrony Danych Osobowych naruszenie ochrony danych w takim zakresie powoduje wysokie ryzyko naruszenia praw lub wolności osoby, której dotyczy naruszenie. Jak wskazuje Grupa Robocza Art. 29 w wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679, "Ryzyko to istnieje w przypadku, gdy naruszenie może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone. Przykłady takich szkód obejmują dyskryminację, kradzież lub sfałszowanie tożsamości, straty finansowe i naruszenie dobrego imienia". W ocenie organu, nie ulega wątpliwości, że przywołane w wytycznych przykłady szkód, z uwagi na zakres danych objęty naruszeniem ochrony danych osobowych, w tym nr PESEL wraz z imieniem i nazwiskiem oraz informacjami o stanie finansowym (majątkowym), mogą wystąpić w omawianym przypadku.

Ujawnienie danych osobowych, w szczególności takich jak numer ewidencyjny PESEL, który jednoznacznie identyfikuje osobę fizyczną, wraz z imieniem i nazwiskiem oraz informacjami o stanie finansowym (majątkowym) pozwala na łatwą, jednoznaczną identyfikację osoby, której dane dotyczą. Adres zamieszkania, określany przez osobę, której dane dotyczą jako miejsce, w którym znajduje się jej centrum życia, nie powinien i nie stanowi elementu, na podstawie którego można dokonać prawidłowej weryfikacji osoby, której dane dotyczą, np. podczas zawierania umowy.

Ujawnione dane mogą zostać wykorzystane lub powodować np. ograniczenie możliwości korzystania z praw obywatelskich i usług kierowanych do ogółu obywateli (np. głosowania w ramach budżetu obywatelskiego, internetowej rejestracji wizyt w urzędach itp.); osoby trzecie mogą podjąć próbę uzyskania pożyczek w instytucjach pozabankowych z użyciem danych osoby dotkniętej naruszeniem (np. przez internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości); osoby trzecie mogą podjąć próbę uzyskania dostępu do systemów obsługujących udzielanie świadczeń medycznych i uzyskać wgląd do danych o stanie zdrowia osoby dotkniętej naruszeniem (niekiedy dostęp do systemów rejestracji pacjenta można uzyskać potwierdzając swoją tożsamość za pomocą numeru PESEL); osoby trzecie mogą podjąć próbę zawarcia na szkodę osoby dotkniętej naruszeniem umów cywilnoprawnych. Katalog konsekwencji naruszenia ochrony danych osobowych jest znacznie szerszy.

W dalszej części uzasadnienia decyzji, Prezes Urzędu Ochrony Danych Osobowych stwierdził, że analiza ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO rozporządzenia 2016/679) oraz osób, których dotyczy naruszenie, przeprowadzona przez Spółkę w dniu 21 września 2020 r., nie została dokonana w sposób prawidłowy. Spółka dokonując oceny potencjalnych skutków naruszenia pominęła, że w treści przesłanej wiadomości znajdowały się dane finansowe osoby fizycznej, przyłożyła niedostateczną "wagę" do udostępnienia numeru PESEL. Zdaniem organu, naruszenie poufności danych osobowych w postaci numeru PESEL wraz z imieniem i nazwiskiem w przeprowadzonej analizie powinno zostać uwzględnione jako "maksymalne prawdopodobieństwo identyfikacji", bowiem numer identyfikacyjny PESEL w sposób jednoznaczny identyfikuję osobę fizyczną. Uwzględniając kategorie danych dotkniętych naruszeniem, które powodują wysoką wagę negatywnych skutków dla osoby fizycznej przy ocenie ryzyka naruszenia praw lub wolności osoby fizycznej niewielka liczba osób dotkniętych naruszeniem nie powinna być brana pod uwagę, jako czynnik zmniejszający ryzyko.

Organ podał, że dołączony przez [...] do pisma z 8 lutego 2021 r. wypełniony formularz oceny ryzyka naruszenia, to w rzeczywistości wydruk z kalkulatora wagi naruszeń ochrony danych osobowych udostępnionego na stronie internetowej jednego z podmiotów świadczących usługi wsparcia w zakresie ochrony danych osobowych i na jego podstawie nie jest możliwe dokonanie oceny przeprowadzonej analizy, jak również rzetelne porównanie przeprowadzonych analiz. Niemniej jednak nawet z powierzchownej oceny załączonego przez Spółkę do pisma zrzutu ekranu przedstawiającego wynik oceny ryzyka naruszenia przeprowadzonej za pomocą wskazanego formularza wynika, że przeprowadzona analiza powieliła błędy analizy dokonanej 21 września 2020 r. Wątpliwości dotyczą w szczególności: braku uwzględnienia, że naruszenie dotyczyło również danych o stanie finansowym (majątkowym), wskazania, że zakres danych, które uległy naruszeniu, nie był szeroki, czy określenia prawdopodobieństwa identyfikacji osoby, której dane dotyczą, jako ograniczone.

Prezes Urzędu Ochrony Danych Osobowych w uzasadnieniu decyzji odwołując się do przedstawionych przez Spółkę oświadczeń niewłaściwego odbiory korespondencji o niezapoznaniu się z jej treścią i jej wykasowaniu, podał, że nie ma pewności, że przed wykasowaniem wiadomości osoba ta nie przesłała dalej otrzymanej wiadomości, nie wykonała np. kopii lub też nie utrwaliła zawartych w treści dokumentu danych osobowych w inny sposób. Usunięcie korespondencji nie daje zatem żadnych gwarancji, że intencje takiej osoby obecnie lub w przyszłości nie zmienią się, a ewentualne konsekwencje posłużenia się takimi kategoriami danych mogą być znaczące dla osoby, której dane objęte zostały naruszeniem. Organ dodał, że również Spółka nie ma możliwości faktycznej weryfikacji oświadczenia o braku zaznajomienia się z treścią wiadomości, czy też o wykasowaniu otrzymanej korespondencji.

Przyjęcie stanowiska, zgodnie z którym uzyskanie stosownego oświadczenia od niewłaściwego odbiorcy powodowałoby uznanie, że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, zniweczyłoby obowiązek zawiadomienia osoby, której dane dotyczą oraz organu nadzorczego o naruszeniu. Administratorzy zamiast zawiadomić Prezesa UODO oraz osobę, której dane dotyczą, angażowaliby siły i środki na uzyskanie stosownego oświadczenia - tak jak miało to miejsce w przedmiotowej sprawie - uznając, że zwalnia ich to z obowiązku zgłoszenia naruszenia ochrony danych organowi nadzorczemu, a także z zawiadomienia osoby, której dane dotyczą, o naruszeniu. Organ dodał, że w zdecydowanej większości dokonywane Prezesowi UODO zgłoszenia naruszenia ochrony danych osobowych dotyczą ujawnienia danych osobie nieuprawnionej, w tym polegają na przesłaniu korespondencji do niewłaściwego odbiorcy. Brak dokonywania zgłoszenia z uwagi na uzyskanie oświadczenia osoby nieuprawnionej istotnie obniżyłoby stopień bezpieczeństwa przetwarzanych danych. Pozbawiłoby to bowiem organ nadzorczy informacji o naruszeniach ochrony danych osobowych, pozwalających na właściwą reakcję mogącą ograniczyć skutki takich naruszeń, a osoby, których dane dotyczą, możliwości przeciwdziałania negatywnym skutkom naruszenia, co w konsekwencji przełożyłoby się na istotne zmniejszenie poziomu ochrony praw lub wolności tych osób.

Z wytycznych Grupy Roboczej Art. 29 wynika, że dla oceny poziomu potencjalnego ryzyka naruszenia może mieć znaczenie to, czy administrator wie, że dane osobowe znajdują się w rękach osób, których zamiary są nieznane lub które mogą mieć złe intencje i czy wezwał odbiorcę do zwrotu albo bezpiecznego zniszczenia otrzymanych danych. Dotyczy to jednak tzw. "odbiorcy zaufanego", a więc takiego, z którym administrator pozostaje w stałych stosunkach i może znać stosowane przez nie procedury, a w konsekwencji może ufać odbiorcy na tyle, aby móc racjonalnie oczekiwać, że strona ta nie odczyta omyłkowo wysłanych danych lub nie uzyska do nich wglądu oraz że wypełni polecenie ich odesłania. W niniejszej sprawie nie ma jednak podstaw, by nieuprawnionego odbiorcę uznać i traktować jako "odbiorcę zaufanego".

Organ dodał, że oświadczenie niewłaściwego odbiorcy zostało złożone na gotowym formularzu, co może wskazywać, że treść oświadczenia została opracowana przez podmiot przetwarzający. Również data, którą zostało opatrzone oświadczenie, posiada widoczne ślady poprawiania, co powinno budzić wątpliwości administratora. Ponadto trudno oczekiwać, aby osoba mająca złe intencje odmówiła złożenia stosownego oświadczenia. Takie działanie mogłoby bowiem zniweczyć jej złe zamiary. Ponadto, jak wynika ze zgłoszenia naruszenia ochrony danych osobowych dokonanego przez [...], "osoba trzecia potwierdziła usunięcie błędnie otrzymanych dokumentów niezwłocznie po zorientowaniu się, iż były przeznaczone dla kogoś innego". Powyższe poddaje w wątpliwość oświadczenie niewłaściwego odbiorcy o tym, że nie jest mu znana treść załączonych dokumentów, skoro jednak zorientował się, że korespondencja nie jest przeznaczona dla niego. Również, ze zgromadzonego materiału dowodowego nie wynika, aby to sam niewłaściwy odbiorca zwrócił się do podmiotu przetwarzającego lub administratora z informacją, że otrzymał wiadomość dla niego nieprzeznaczoną. Ponadto Spółka nie może mieć pewności (i w tym też zakresie nie jest możliwa weryfikacja), czy do skrzynki e-mail nie mają dostępu inne osoby, lub czy skrzynka nie została zainfekowana złośliwym oprogramowaniem, co mogło potencjalnie skutkować dostępem do tych danych innych osób niż adresat błędnie skierowanej korespondencji. Organ dodał, że Spółka dwukrotnie uzyskała oświadczenie nieuprawnionego adresata, co może świadczyć, że posiadała istotne w tym zakresie wątpliwości. Tymczasem Grupa Robocza Art. 29 w wytycznych wyraźnie wskazuje, że przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna.

Prezes Urzędu Ochrony Danych Osobowych odnosząc się do wniosku Spółki o dopuszczenie i przeprowadzenie dowodu z zeznań świadka L. P., na okoliczność tego, że dokonał trwałego usunięcia wiadomości e-mail, która została do niego wysłana w dniu 14 września 2020 r. i nie jest w jej posiadaniu oraz że nie jest mu znana treść załączonych do wiadomości dokumentów, i nie ma możliwości zidentyfikowania osoby, której dane znajdowały się w załączonych dokumentach (pismo z 8 lutego 2021 r.), podał, że przeprowadzenie tego dowodu jest zbędne. Przeprowadzenie dowodu z jego zeznań w charakterze świadka nie wyklucza możliwości, że złożone wyjaśnienia mogą okazać się fałszywe, a tym samym nie wyklucza możliwości wystąpienia wysokiego ryzyka naruszenia praw lub wolności osoby fizycznej. Organ dodał, że oświadczenie złożone przez nieuprawnionego adresata nie przesądza o tym, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych oraz nie wyklucza przyjęcia, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą. Dane osobowe zostały udostępnione nieuprawnionemu odbiorcy, co oznacza, że nastąpiło naruszenie bezpieczeństwa prowadzące do nieuprawnionego ujawnienia danych osobowych, nieuprawnionego odbiorcy nie można uznać za "odbiorcę zaufanego", a zakres tych danych przesądza o tym, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Jak wynika z wyjaśnień [...] zawartych w piśmie z 8 lutego 2021 r., dane osobowe objęte naruszeniem nie są publicznie dostępne w Internecie, a w Monitorze Sądowym i Gospodarczym, czy Krajowym Rejestrze Sądowym brak jest osoby o wskazanym numerze PESEL. Grupa Robocza Art. 29 w wytycznych dla sytuacji, w których zgłaszanie naruszeń nie jest konieczne wskazuje na przykład sytuację "w której, dane osobowe już są publicznie dostępne i ujawnienie takich danych nie wiąże się z prawdopodobnym ryzykiem dla danej osoby fizycznej". Mając na uwadze powyższe, w niniejszej sprawie taka okoliczność nie wystąpiła, co w konsekwencji nie obniżyło prawdopodobieństwa wystąpienia ryzyka dla osoby, której dane dotyczą.

Prezes Urzędu Ochrony Danych Osobowych odnosząc się do zapatrywania Spółki odnośnie możliwości "zastosowania" w rozpatrywanej sprawie przykładu nr 15 naruszenia przedstawionego w wytycznych Europejskiej Rady Ochrony Danych 01/2021 w sprawie przykładów zgłoszeń naruszeń ochrony danych, organ podał, że w omawianym przypadku naruszenie dotyczyło takich danych jak nazwisko, adresy e-mail i preferencje żywnościowe osób, których dane dotyczą i nie miało znaczącego wpływu na osoby, których dane dotyczą. W tej sytuacji fakt, że administrator danych natychmiast skontaktował się z obiorcami po powzięciu wiadomości o błędzie, może zostać uznany za czynnik łagodzący. Natomiast w przypadku naruszenia objętego niniejszym postępowaniem, ujawniony zakres danych powoduje wysokie ryzyko naruszenia praw lub wolności osoby fizycznej, co wiąże się z koniecznością dokonania zgłoszenia naruszenia organowi nadzorczemu i zawiadomienia o naruszeniu osoby, której dane dotyczą.

W ocenie organu nadzoru "bliższy" omawianemu naruszeniu jest przykład nr 16 przedstawiony w wytycznych Europejskiej Rady Ochrony Danych 01/2021, który dotyczy grupy ubezpieczeniowej która w ramach oferowania ubezpieczenia samochodowego wysłała do niewłaściwego odbiorcy korespondencję zawierającą dane osobowe w postaci imienia, nazwiska, adresu, daty urodzenia, numeru tablicy rejestracyjnej oraz klasyfikację stawki ubezpieczenia w bieżącym i przyszłym roku. W wytycznych wskazuje się, że niewłaściwy odbiorca powinien zostać poinformowany, że nie może wykorzystywać odczytanych informacji, a mimo to naruszenie należy również zgłosić organowi nadzorczemu.

Organ podkreślił, że przykłady z Wytycznych "nie obejmują kontekstu uwarunkowania krajowego", w którym ujawnienie numeru PESEL wraz z imieniem i nazwiskiem jednoznacznie identyfikuje osobę fizyczną, a w powiązaniu z danymi o stanie finansowym (majątkowym) może powodować doniosłe konsekwencje dla osoby, której dane osobowe zostały ujawnione oraz że oceny ryzyka naruszenia praw lub wolności osoby fizycznej należy dokonać przez pryzmat osoby zagrożonej, a nie interesów administratora.

Z tych wszystkich względów Prezes Urzędu Ochrony Danych Osobowych stwierdził, że Spółka nie dokonała prawidłowej analizy pod kątem ryzyka naruszenia praw lub wolności osób fizycznych i w konsekwencji nieprawidłowo przyjęła, że nie doszło do naruszenia ochrony danych osobowych skutkującego koniecznością zawiadomienia organu oraz osób, których dotyczy naruszenie, zgodnie z art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679. Spółka, w przypadku jakichkolwiek wątpliwości w tym zakresie (a takie posiadała, skoro ponowne zwróciła się do niewłaściwego adresata o złożenie dodatkowego oświadczenia oraz po raz drugi przeprowadziła ocenę ryzyka), mogła zgodnie z art. 33 ust. 4 rozporządzenia dokonać zgłoszenia wstępnego, a następnie udzielać informacji sukcesywnie bez zbędnej zwłoki. Spółka takich czynności jednak nie dokonała - nie zgłosiła naruszenia ochrony danych osobowych organowi nadzorczemu, nie mówiąc już o zawiadomieniu o naruszeniu osoby, której dane dotyczą.

Mając to wszystko na uwadze, organ na podstawie art. 34 ust. 4 i art. 58 ust. 2 lit. e) rozporządzenia 2016/679, nakazał administratorowi zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych.

Ponadto zgodnie z art. 58 ust. 2 lit. i) i art. 83 ust. 4 lit. a) rozporządzenia 2016/679, zastosował wobec Spółki administracyjną karę pieniężną w wysokości 159.176 PLN za naruszenie obowiązków administratora, o których mowa w art. 33 i 34 rozporządzenia. Prezes Urzędu Ochrony Danych Osobowych podał, że ustalając wysokość kary wziął pod uwagę kryteria wskazane w art. 83 ust. 2 lit. a) - k) rozporządzenia, tj. znaczną wagę i poważny charakter wagę naruszenia (art. 83 ust. 2 lit a), długi czas trwania naruszenia (art. 83 ust. 2 lit a). Od powzięcia przez Spółkę informacji o naruszeniu ochrony danych osobowych do dnia wydania niniejszej decyzji upłynęło kilka miesięcy, w trakcie których ryzyko naruszenia praw lub wolności osoby dotkniętych naruszeniem mogło się zrealizować, a czemu osoba ta nie mogła przeciwdziałać ze względu na niewywiązanie się przez Spółkę z obowiązku zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO oraz z obowiązku powiadomienia jej o naruszeniu. Za okoliczność obciążającą organ uznał ponadto umyślny charakter naruszenia (art. 83 ust. 2 lit b). Organ podał, że [...] podjęła świadomą decyzję, by nie zawiadamiać o naruszeniu Prezesa UODO, jak i osoby, której dane dotyczą, pomimo że posiadał informację o zdarzeniu od podmiotu przetwarzającego, a organ nadzorczy informował ją o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych. Prezes UODO dodał, że Spółka nie współpracowała z organem w niniejszej sprawie (art. 83 ust. 2 lit f), o czym świadczy brak jej reakcji na pismo informujące o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych, jak również informacji, o tym w jaki sposób Spółka może dokonać zgłoszenia naruszenia, czy wreszcie wobec wszczęcia postępowania administracyjnego w przedmiocie obowiązku zgłoszenia naruszenia ochrony danych osobowych i zawiadomienia o naruszeniu osoby, której dane dotyczą. Prawidłowe, w ocenie Prezesa UODO, działania (zgłoszenie naruszenia Prezesowi UODO i zawiadomienie o nim osoby, której dotyczyło naruszenie) nie zostały podjęte przez Spółkę nawet po wszczęciu przez Prezesa UODO postępowania administracyjnego w sprawie. Wśród "okoliczności obciążających" organ wymienił ponadto szeroki zakres danych osobowych których dotyczyło naruszenie oraz brak informacji o naruszeniu ochrony danych pochodzącej od administratora zobowiązanego do przekazania takiej informacji.

Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił również okoliczności łagodzące, mające wpływ na ostateczny wymiar kary, tj.: liczbę poszkodowanych osób, których dane dotyczą (art. 83 ust. 2 lit. a rozporządzenia) oraz fakt, że Spółka zwróciła się do niewłaściwego odbiorcy z prośbą o trwałe usunięcie otrzymanej korespondencji. Organ podał, że takie działanie Spółki zasługuje na dostrzeżenie i akceptację, jednakże nie jest w żadnym wypadku równoznaczne z gwarancją faktycznego usunięcia przez osobę nieuprawnioną danych osobowych i nie wyklucza ewentualnych negatywnych dla podmiotów danych konsekwencji ich wykorzystania.

W ocenie Prezesa UODO zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca (represyjna). Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność uiszczenia kary finansowej pociągnie za sobą negatywne następstwa, w postaci znaczącej redukcji zatrudnienia bądź istotnego spadku obrotów Spółki. Zdaniem Prezesa Urzędu Ochrony Danych Osobowych, Spółka powinna i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, o czym świadczy chociażby sprawozdanie finansowe Spółki za okres od 1 stycznia do 31 grudnia 2020 r.

[...] Towarzystwo Ubezpieczeń [...] S.A. w piśmie z 13 lipca 2021 r. zaskarżyło do Sądu opisaną decyzję Prezesa Urzędu Ochrony Danych Osobowych z [...] czerwca 2021 r.

Spółka zarzuciła zaskarżonej decyzji naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy, tj.

1) art. 7, art. 77 § 1 w zw. z art. 78 § 1 i art. 80 k.p.a., poprzez nieuwzględnienie jej wniosku o przesłuchanie w charakterze świadka jednego, przypadkowego adresata omyłkowo wysłanej korespondencji, na okoliczności dotyczące trwałego usunięcia przez niego tych danych bez zapoznania się z nimi i uznanie, że przedmiotem dowodu są okoliczności niemające znaczenia dla sprawy.

W uzasadnieniu tego zarzutu Spółka podniosła, że nie miała możliwości ustalenia faktów wskazanych w oświadczeniu w inny sposób niż przez uzyskanie oświadczenia przypadkowego adresata wiadomości. Oświadczenie takie, w myśl art. 75 § 1 k.p.a., jako dokument może stanowić materiał dowodowy w toku postępowania administracyjnego i korzysta z domniemania prawdziwości, jeżeli nie jest sprzeczne z innymi dowodami, tak jak w rozpatrywanej sprawie. Przepis art. 77 § 1 k.p.a. nakłada na organ obowiązek zebrania całego materiału dowodowego w sposób wyczerpujący, czyli uwzględnienia wszystkiego co jest dla organu dostępne, jak stanowi art. 75 § 1 k.p.a. Odmowa przeprowadzenia dowodu przez organ jest wyjątkiem od zasady i dotyczy wyłącznie sytuacji, gdy przedmiotem dowodu jest okoliczność niemająca znaczenia dla sprawy (art. 78 § 1 k.p.a. a contrario) lub gdy dana okoliczność została już udowodniona (art. 78 § 2 k.p.a.).

Wskazane przez organ powody nieuwzględnienia wniosku dowodowego z przesłuchania świadka, przedstawione w uzasadnieniu decyzji, są sprzeczne z pozostałą argumentacją organu. Z jednej strony miał bowiem wątpliwości co do wiarygodności złożonych przez nieuprawnionego adresata oświadczeń, z drugiej zaniechał jednak przeprowadzenia jedynego dowodu, który mógłby te wątpliwości rozwiać ponad wszelką wątpliwość. Spółka podkreśliła, że w sprawie nie zaistniała przesłanka negatywna przeprowadzenia dowodu określona w art. 78 § 1 k.p.a., czyli przeprowadzenie dowodu na okoliczność niemającą znaczenia dla sprawy. Dowód z przesłuchania świadka był najdoskonalszym i jedynym środkiem dowodowym mogącym wyeliminować wszelkie wątpliwości i domysły organu. Spółka wyjaśniła, że powyższy wniosek złożyła z ostrożności procesowej, na wypadek gdyby organ uznał oświadczenia L. P. za niewystarczające.

2) art. 7, art. 8 § 1, art. 77 § 1 i art. 81a k.p.a., poprzez przekroczenie granic swobodnej oceny dowodów, polegające na:

a) naruszeniu zasady bezstronności i przyjęcie a priori, że zarówno pisemne oświadczenia przypadkowego adresata, jak również jego ewentualne zeznania w charakterze świadka mogą być fałszywe; w uzasadnieniu tego zarzutu [...] podniosła, że świadek składa zeznania pod rygorem odpowiedzialności karnej, a okoliczność że dane wyjaśnienia (zeznania) mogą hipotetycznie okazać się fałszywe, nie przekreśla ich mocy dowodowej, do momentu udowodnienia ich fałszywości organ administracji jest bowiem zobowiązany do samodzielnego dokonania oceny ich wiarygodności, w oparciu o wszechstronną, zgodną z zasadami logiki i doświadczenia życiowego ocenę kompletnego materiału dowodowego. Tymczasem w niniejszej sprawie organ z góry wyeliminował dowód z przesłuchania świadka na podstawie hipotetycznego i niczym nieuzasadnionego własnego założenia o możliwości popełnienia czynu zabronionego przez świadka;

b) naruszeniu zasady obiektywizmu i rozstrzygnięcie wątpliwości co do stanu faktycznego na niekorzyść Spółki, tj. w sposób prowadzący do przypisania Spółce intencji naruszenia przepisów o ochronie danych osobowych oraz celowego (umyślnego) zaniżenia oceny ryzyka, pomimo sprzeczności takiej oceny ze zgromadzonym w sprawie materiałem dowodowym oraz zasadami logiki i doświadczenia życiowego.

Spółka podniosła, że w uzasadnieniu zaskarżonej decyzji organ przyznał, że formularz z metodyką oceny jest narzędziem służącym do ustalenia "stopnia" ryzyka naruszenia i jednocześnie postawił spółce zarzut skorzystania z tego formularza, przypisując jej - bez jakiegokolwiek oparcia w materiale dowodowym – celowe jego skonstruowanie w taki sposób, aby prowadziło do niższej oceny ryzyka, niż miałoby to miejsce bez użycia formularza. Podkreśliła, że całkowicie nieuzasadnione jest doszukiwanie się przez organ "dowodu" na celowość jej działania, w fakcie dokonania przez Spółkę ponownej "kontrolnej" analizy ryzyka, w toku i na potrzeby postępowania administracyjnego, posługując się inną metodyką oraz formularzem przygotowanym do przeprowadzenia tego badania przez osobę trzecią – profesjonalny podmiot gospodarczy. Organ nie podjął nawet próby ustalenia przyczyn przeprowadzenia ponownej analizy, z góry zakładając, że Spółka miała wątpliwości co do prawidłowości swojego wcześniejszego działania. W konsekwencji niezasadnie przyjął, że Spółka działała w celu zaniżenia poziomu ryzyka. Skarżąca przeprowadziła dwie niezależne od siebie analizy ryzyka, na podstawie których obiektywnie stwierdziła, a następnie zweryfikowała i potwierdziła, że nie doszło do naruszenia ochrony danych osobowych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osoby, której dane dotyczą;

c) dokonaniu oceny naruszenia i stopnia ryzyka dla praw lub wolności podmiotu danych w oparciu o zdarzenia czysto teoretyczne i hipotetyczne (dostęp innych osób do skrzynki e-mail; zainfekowanie skrzynki e-mail złośliwym oprogramowaniem), bez dokonania jakiejkolwiek weryfikacji, czy ryzyko takich zdarzeń mogło się w ogóle zmaterializować w okolicznościach niniejszej sprawy. Spółka podniosła, że materiał dowodowy nie pozwala na przyjęcie, że istniało ryzyko dostępu do skrzynki pocztowej przez inną osobę, niż przypadkowy adresat wiadomości.

[...] w skardze do Wojewódzkiego Sądu Administracyjnego postawiła również zarzuty naruszenia prawa materialnego.

Skarżąca zarzuciła zaskarżonej decyzji, mające wpływ na wynik sprawy, naruszenie art. 4 pkt 12 rozporządzenia, poprzez błędną jego wykładnię, polegającą na przyjęciu, że dla zaistnienia naruszenia ochrony danych osobowych nie jest konieczne wystąpienie skutku, w postaci faktycznego (a nie hipotetycznego) ujawnienia lub dostępu do danych osobowych przez osobę nieuprawnioną. Powołany przepis odróżnia ujawnienie danych od dostępu do danych. "Ujawnienie" oznacza uczynienie czegoś jawnym, wiadomym, znanym. Zatem aby można było mówić o naruszeniu ochrony danych poprzez ich nieuprawnione ujawnienie – konieczne jest, aby dane osobowe stały się znane, wiadome osobie, która nie jest do tego uprawniona. Z kolei "dostęp" oznacza możliwość korzystania z czegoś, dostania się do jakiegoś miejsca (lub przedmiotu). Zarówno nieuprawnione ujawnienie, jak i nieuprawniony dostęp do danych zakładają zatem konieczność faktycznego naruszenia poufności danych.

Z uzasadnienia zaskarżonej decyzji wynika, że Prezes UODO otrzymał zgłoszenie naruszenia ochrony danych dokonane przez firmę [...]. Zgodnie z tym zgłoszeniem naruszenie polegało na wysłaniu wiadomości do niewłaściwego adresata. W zgłoszeniu [...] podała, że " osoba trzecia potwierdziła usunięcie błędnie otrzymanych dokumentów niezwłocznie po zorientowaniu się, że były przeznaczone dla kogoś innego. Mimo to organ stwierdził (str. 14 decyzji), że naruszenie ochrony danych osobowych polegało na "nieuprawnionym dostępie do danych i nieuprawnionym ujawnieniu danych w wyniku przesłania korespondencji zawierającej dane osobowe niewłaściwemu odbiorcy. Jednocześnie (na str. 26) podał, że " nie jest istotne to, czy nieuprawniony odbiorca zapoznał się z danymi osobowymi innych osób".

Organ błędnie przyjął, że zaistniały incydent wypełnił przesłanki naruszenia ochrony danych osobowych wskazane w art. 4 pkt 12 RODO. Przesądza o tym brak skutku w postaci faktycznego zapoznania się jakiejkolwiek osoby nieuprawnionej z danymi osobowymi.

W doktrynie (P. Litwiński, Art. 4 [w:] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektyw) 95/46/WE (ogólne rozporządzenie o ochronie danych). Komentarz, Legalis 2021; Bielak-Jomaa, Dominik Lubasz (red.), Ogólne rozporządzenie o ochronie danych. Komentarz, Warszawa 2018, s. 264, P. Fajgielski, Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2018, s. 34, M. Sakowska-Baryła (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, Warszawa 2018, Legalis) przyjmuje się jednolicie, że faktyczne zapoznanie się z danymi osobowymi przez podmiot nieuprawniony - jest warunkiem sine qua non naruszenia ochrony danych osobowych. Skutkiem tego naruszenia musi być przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do przetwarzanych danych osobowych. Pomyłkowe przekazanie pakietu danych osobowych w ręce podmiotu nieuprawnionego, ale gdy adresat go nie odbierze lub wysłanie takiego pakietu na nieistniejący adres, nie będzie powodowało uruchomienia art. 33 i 34 RODO.

Zdaniem Spółki, również językowa wykładnia użytego w treści art. 4 pkt 12 RODO zwrotu "prowadzące do" wskazuje, że zdarzenie naruszające bezpieczeństwo (incydent) tylko wówczas może zostać zakwalifikowane jako naruszenie ochrony danych osobowych, jeśli jego konsekwencje będą bezpośrednio i faktycznie (a nie czysto teoretycznie) oddziaływały na sferę poufności, dostępności lub integralności danych osobowych. Słowo "prowadzić", użyte w kontekście jakiejś czynności lub jakiegoś zachowania, zgodnie z definicja zawartą w słowniku języka polskiego PWN oznacza "być przyczyną czegoś". Nie może być to stwierdzenie czysto hipotetyczne, ale musi posiadać dostatecznie wysoki stopień prawdopodobieństwa ziszczenia się (który w niniejszej sprawie, chociażby z uwagi na złożenie przez przypadkowego adresata oświadczeń o usunięciu danych bez zapoznawania się z nimi – nie ziścił się).

Przyjęcie odmiennego poglądu i uznanie, że skutek lub wysokie prawdopodobieństwo jego wystąpienia nie jest warunkiem wystąpienia naruszenia ochrony danych, prowadziłoby do wykładni art. 4 pkt 12 RODO w sposób sprzeczny z literalnym brzmieniem tego przepisu. Oznaczałoby to, że za naruszenie ochrony danych osobowych należałoby uznać, np. przypadkowe pozostawienie przez pracownika torby z dokumentami zawierającymi dane osobowe klientów na ławce w parku, nawet w przypadku, gdy monitoring miejski potwierdza, że do momentu ponownego zabezpieczenia torby przez właściciela dokumentów (administratora danych) nikt do tej torby nie podszedł i nie miał możliwości zapoznać się z treścią dokumentów. Podobnie za naruszenie należałoby uznać niezgodne z procedurami firmowymi wywieszenie listy płac na tablicy ogłoszeń, nawet jeśli żadna osoba nie zdążyła się z tą listą zapoznać przed jej zdjęciem z tablicy, ponieważ firma była w tym czasie zamknięta i nikt nie miał do niej wstępu, co administrator jest w stanie wykazać. Przykłady te wskazują, że naruszeniem ochrony danych osobowych nie mogą być przypadki jedynie potencjalnego, hipotetycznego narażenia danych osobowych na naruszenie i konieczne jest, aby skutek w postaci nieuprawnionego dostępu do danych rzeczywiście nastąpił (albo żeby nie było możliwe wykluczenie takiego skutku). Jeżeli zatem administrator danych jest w stanie wykazać, że skutek nie nastąpił to nie można przyjąć, że w ogóle doszło do naruszenia ochrony danych osobowych. Skutecznym środkiem dowodowym mogą być wszelkie dopuszczalne prawem środki dowodowe, w tym także pisemne oświadczenia osób zaangażowanych w sprawę czy zeznania świadków.

Całkowicie bezzasadne i sprzeczne z brzmieniem art. 4 pkt 12 RODO jest zatem zapatrywanie organu, że nie jest istotne to, czy nieuprawniony odbiorca zapoznał się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko, a w konsekwencji również potencjalnie wystąpiło ryzyko naruszenia praw lub wolności podmiotu danych. Ocena ryzyka naruszenia praw lub wolności dla podmiotów danych dotyczy wyłącznie przypadku, gdy rzeczywiście doszło do naruszenia ochrony danych osobowych (co wynika wprost z brzmienia art. 33 ust 1 RODO oraz art. 34 ust. 1 RODO). Jeżeli nie wystąpił skutek w postaci dostępu osoby nieuprawnionej do danych osobowych (co Spółka jest w stanie wykazać), incydent nie stanowi naruszenia ochrony danych, zatem nie ma potrzeby dokonywać oceny ryzyka związanego z naruszeniem praw i wolności podmiotu danych. Dopiero wystąpienie skutku naruszenia (albo brak posiadania środków dowodowych uprawdopodabniających brak skutku) aktualizuje po stronie administratora obowiązek dokonania takiej oceny.

Nie jest także prawidłowe twierdzenie organu, że "dane osobowe zostały udostępnione nieuprawnionemu odbiorcy, co oznacza, że nastąpiło naruszenie bezpieczeństwa prowadzące do nieuprawnionego ujawnienia danych osobowych" (str. 26 decyzji), ponieważ do ujawnienia danych czy dostępu odbiorcy do danych w rozumieniu definicji naruszenia w RODO nie doszło.

[...] – z ostrożności procesowej - zarzuciła również, że zaskarżona decyzja wydana została z naruszeniem art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia. Spółka podniosła, że nawet gdyby przyjąć, że w niniejszej sprawie doszło do naruszenia ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO, to Prezes UODO błędnie uznał, że zdarzenie z dnia 14 września 2020 r. skutkowało wyższym niż małe prawdopodobieństwem wystąpienia ryzyka dla praw i wolności podmiotu danych. W ocenie skarżącego organ błędnie ustalił poziom ryzyka dla naruszenia praw lub wolności podmiotu danych w związku z zaistniałym incydentem.

Zdaniem Spółki, kluczowe dla wagi realnych skutków naruszenia ma to, że jedyny adresat wiadomości dokonał jej usunięcia. Nie ma zatem podstaw do przyjęcia założenia, że dane z usuniętego załącznika zostaną wykorzystane do celów naruszających prywatność osoby fizycznej.

W ocenie Spółki potencjalne skutki incydentu w niniejszej sprawie wskazane w decyzji, z perspektywy zakresu danych osobowych objętych zdarzeniem wydają się nieuzasadnione. Skarżąca nie zgodziła się z organem, ze z uwagi na zakres danych osobowych zawartych w załączniku do błędnie przesłanej wiadomości, w oparciu o te dane możliwe byłoby skorzystanie przez osobę nieuprawnioną z możliwości oddania głosu za podmiot danych w ramach głosowania nad budżetem partycypacyjnym. Wykorzystanie danych w zakresie imienia i nazwiska oraz numeru PESEL nie jest wystarczające do zagłosowania. Niezbędną daną jest pełen adres zamieszkania - a spójność wszystkich danych analizowana jest przez organ prowadzący głosowanie z urzędu. Spółka podniosła ponadto, że zawarcie umowy o pożyczkę w instytucjach pozabankowych, np. przez internet lub telefonicznie, albo zawarcie innych umów cywilnoprawnych na rzecz podmiotu danych, na podstawie tak wąskiego zakresu danych nie jest w praktyce możliwe. Gdyby ujawnienie imienia, nazwiska oraz numeru PESEL faktycznie wiązało się z rzeczywistym wysokim ryzykiem zaciągnięcia tego rodzaju zobowiązań przez osobę dysponującą takimi informacjami, to należałoby uznać, że z takim samym ryzykiem dla praw i wolności osób fizycznych wiąże się ujawnianie takich informacji w powszechnie dostępnych rejestrach publicznych (np. rejestrze przedsiębiorców Krajowego Rejestru Sądowego, z którego każdy może pozyskać imiona, nazwiska i nr PESEL tysięcy osób). Oznaczałoby to, że samo prowadzenie takiego rejestru skutkuje wysokim ryzykiem naruszenia prawa i wolności osób fizycznych. W ocenie skarżącej, stwierdzenie przez organ wysokiego ryzyka dla naruszenia praw i wolności podmiotu danych jest błędne i opiera się na nieprzystających do realiów rynkowych założeniach co do realnej możliwości zaciągania zobowiązań w oparciu wyłącznie o numer PESEL danej osoby oraz jej imię i nazwisko. Zdaniem skarżącej, trudno zrozumieć, dlaczego w ocenie organu dane te miałyby komuś posłużyć do uzyskania dostępu do wyników badań medycznych lub innych danych o zdrowiu. Taki wniosek jest całkowicie pozbawiony faktycznych podstaw i nie opiera się na jakichkolwiek racjonalnych przesłankach. W praktyce bowiem osoba, która chciałaby uzyskać dostęp do tych informacji, musiałaby kontaktować się z przypadkowo wybranymi placówkami medycznymi w celu sprawdzenia, czy dany podmiot świadczył usługi medyczne na rzecz konkretnej osoby. Takie założenie jest całkowicie niezgodne z logicznym rozumowaniem i doświadczeniem życiowym. Ocena incydentu musi uwzględniać wszystkie okoliczności sprawy, w tym zakres danych oraz realne - a nie wyłącznie, hipotetyczne - skutki dla utraty poufności, przy czym realnym skutkiem będzie taki, jaki zaistniał w podobnych przypadkach bądź istnieją obiektywne możliwości jego wystąpienia w podobnym kontekście.

Zdaniem skarżącej, nie można również zgodzić się z twierdzeniem organu, że na dokonywaną ocenę ryzyka wpływa możliwość dostępu do skrzynki e-mail L. P. przez osoby trzecie, a także to, że nie można mieć pewności, "czy do skrzynki e-mail nie mają dostępu inne osoby, lub czy skrzynka nie została zainfekowana złośliwym oprogramowaniem, co mogło potencjalnie skutkować dostępem do danych innych osób niż adresat błędnie skierowanej wiadomości" (str. 25 decyzji). Organ w żaden sposób nie wykazał, aby taka okoliczność miała miejsce, stąd należy zdaniem skarżącej uznać, że wniosek ten opera się wyłącznie na hipotezach.

Odnosząc się do łatwości identyfikacji (ustalenia tożsamości) osoby dotkniętej naruszeniem przez osobę, która weszła w sposób nieuprawniony w posiadanie jej danych osobowych, jako przesłanki oceny wystąpienia ryzyka dla praw i wolności podmiotu danych, Spółka podniosła, że tę "łatwość’ należy oceniać mając na uwadze możliwości "realnie dostępne" dla podmiotu dokonującego takiej identyfikacji (nieuprawnionego adresata danych). Zidentyfikowanie osoby w oparciu o sam numer PESEL będzie znacznie łatwiejsze dla Policji, urzędnika stanu cywilnego, operatora telekomunikacyjnego czy energetycznego niż dla zwykłego, przypadkowego obywatela. W konsekwencji nie jest prawdą, że przypadkowa osoba fizyczna znająca PESEL danej osoby, w sposób łatwy i na jego podstawie uzyska inne informacje o tej osobie. W ocenie Spółki łatwość zidentyfikowania podmiotu danych przez przypadkowego adresata korespondencji na podstawie informacji zawartych w treści załącznika stanowiącego ofertę ubezpieczenia była bardzo ograniczona, a wręcz niemal zerowa.

Nie można również zgodzić się z twierdzeniem Prezesa UODDO, że zakres informacji, które zawarte były w kalkulacji ubezpieczenia, zawierał informacje o stanie finansowym (majątkowym) podmiotu danych. Informacja o zamiarze wykupienia przez konkretną osobę polisy ubezpieczenia domu na kwotę 300.000 PLN sama w sobie nie wskazuje, czy chodzi o wycenę nieruchomości należącej do tej osoby, osoby trzeciej, czy też może planowanej przez taką osobę inwestycji (zakupu nieruchomości). Oferta ubezpieczenia nie stanowi również informacji o stanie zobowiązań jej adresata, gdyż wskazana wysokość składki mogłaby ulec zmianie. Ponadto jest to wyłącznie propozycja zawarcia umowy składana przez agenta – brak jakichkolwiek podstaw do wnioskowania na jej podstawcie o rzeczywistych (końcowych) warunkach przyszłej umowy, zwłaszcza że przesłana omyłkowo korespondencja zawierała również oferty dwóch innych zakładów ubezpieczeń (jak należy przypuszczać - różniące się od oferty skarżącego). Kwota ubezpieczenia jest wartością czysto deklaratoryjną i nie pozwala na ustalenie stanu majątkowego adresata oferty polisy.

W ostatnim zarzucie skargi, dotyczącym naruszenia art. 83 ust. 1 i art. 83 ust. 2 lit. a), b), e), f), g) oraz h) rozporządzenia w zw. z art. 8 § 1 k.p.a., [...] S.A., podniosła, że Prezes UODO nałożył karą administracyjną nieadekwatną (rażąco niewspółmierną) do stwierdzonego naruszenia, a tym samym naruszył zasadę zaufania do władzy publicznej. Spółka nie zgodziła się z organem, że nałożona kara pieniężna jest proporcjonalna do naruszenia, skoro korespondencja zawierająca dane osobowe została przesłana do jednego adresata, który usunął ją bez zapoznawania się z danymi. Jej zdaniem, organ nieprawidłowo utożsamił czas trwania postępowania administracyjnego z czasem trwania naruszenia, wadliwie przyjął, że sam fakt wszczęcia postępowania przez organ obligował skarżącą do dokonania zgłoszenia i zawiadomienia podmiotu danych o naruszeniu (pomimo że z analizy ryzyka sporządzonej przez Spółkę wynikało niskie ryzyko dla praw i wolności podmiotu danych). [...] zakwestionowała również zapatrywanie organu, że prezentowane przez nią w toku postępowania oceny naruszenia świadczą o niezadawalającej współpracy z organem w wyjaśnieniu sprawy. Skarżąca nie utrudniała postępowania, przedkładała w ustalonych terminach rozbudowane wyjaśnienia, z własnej inicjatywy odebrała od przypadkowego odbiorcy korespondencji ponowne oświadczenie dotyczące usunięcia błędnie przesłanej korespondencji oraz sporządziła dodatkową analizę ryzyka. Spółka dodała, że Prezes UODO, z naruszeniem art 83 ust. 2 RODO, nie uwzględnił że nie dopuściła się dotychczas naruszeń rozporządzenia.

Z tych wszystkich względów Towarzystwo Ubezpieczeń [...] S.A. z siedzibą w [...] wniosło o uchylenie decyzji w całości i umorzenie postępowania administracyjnego, na podstawie art. 145 § 3 p.p.s.a., ewentualnie o uchylenie zaskarżonej decyzji w całości, w oparciu o art. 145 § 1 pkt. 1 lit. a i c powołanej ustawy oraz o zasądzenie od organu na jej rzecz zwrotu kosztów sądowych, w tym kosztów zastępstwa procesowego według norm przepisanych.

Prezes Urzędu Ochrony Danych Osobowych w piśmie procesowym z 18 sierpnia 2021 r., stanowiącym odpowiedź na skargę wniósł o jej oddalenie.

Organ podał, że ustalając stan faktyczny rozpatrywanej sprawy opierał się na obszernym materiale dowodowym, stanowiącym wyjaśnienia złożone przez stronę postępowania i nie można mu zasadnie zarzucić, że naruszył art. 7, art. 77 § 1 w zw. z art. 78 i art. 80 k.p.a. Prezes UODO podał, że w uzasadnieniu decyzji wskazał powody odmowy uwzględnienia wniosku skarżącej Spółki o przesłuchanie w charakterze świadka jedynego, przypadkowego adresata omyłkowo wysłanej korespondencji na okoliczności w tym wniosku wskazane i dostatecznie wyjaśnił, dlaczego uznał za zbędne przeprowadzenie tego dowodu. Organ podniósł, że oświadczenie niewłaściwego odbiorcy o niezapoznaniu się z danymi osobowymi i o usunięciu danych osobowych, a także jego ewentualne zeznanie na wskazane w oświadczeniu okoliczności, nie wykluczają możliwości wystąpienia ryzyka naruszenia praw lub wolności osoby fizycznej, w stopniu uzasadniającym dokonanie zgłoszenia oraz zawiadomienie osoby fizycznej o naruszeniu (art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia). Takie wysokie ryzyko w sprawie wystąpiło, z u uwagi na zakres danych osobowych objętych naruszeniem oraz związane z tym możliwe doniosłe negatywne konsekwencje dla osoby, której dane dotyczą. Organ dodał, że sama Spółka nie wykluczyła możliwości materializacji negatywnych konsekwencji dla osoby, której dane dotyczą w wyniku wystąpienia naruszenia, wskazując w piśmie z 8 lutego 2021 r. że "wystąpienie ciężkich skutków naruszenia jest teoretycznie możliwe, ale w praktyce jest bardzo mało prawdopodobne".

Zdaniem organu, postępowanie Spółki, polegające na rezygnacji z wykonania obowiązku z art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia, w sytuacji gdy, zakres danych osobowych ma wysoką wagę i może stanowić o doniosłych negatywnych konsekwencjach dla osoby, której dane dotyczą, jest nie do zaakceptowania. Prezes UODO odwołując się do wytycznych EROD podał, że naruszenie powinno zostać zgłoszone, gdy administrator uważa, że może ono spowodować zagrożenie dla praw i wolności podmiotu danych. Administratorzy powinni dokonać takiej oceny w momencie, gdy dowiedzą się o naruszeniu i nie powinien czekać na wyniki szczegółowego badania, czy naruszenie ochrony danych może spowodować ryzyko i w związku z tym takie naruszenie powinno zostać zgłoszone.

Skarżąca Spółka nie ma możliwości samodzielnie ustalić, czy przesłane dane nie zostały lub nie zostaną w jakikolwiek sposób wykorzystane przez niewłaściwego odbiorcę. W takiej sytuacji, zgodnie z wytycznymi Grupy Roboczej Art. 29, miała obowiązek dokonania "początkowego" zgłoszenia naruszenia ochrony danych osobowych w terminie 72 godzin od stwierdzenia naruszenia, a następnie jeżeli stwierdzi, że do naruszenia ochrony danych osobowych nie doszło (lub poziom ryzyka naruszenia jest niski), administrator powinien poinformować organ nadzorczy w drodze zgłoszenia uzupełniającego.

W konkluzji Prezes UODO stwierdził, że postępowanie skarżącej Spółki, polegające na rezygnacji z wykonania obowiązku z art. 33 ust. 1 i 34 ust. 1 rozporządzenia 2016/679 w sytuacji, w której samodzielnie nie może jednoznacznie stwierdzić, że wystąpiła okoliczność w jej ocenie zmniejszająca ryzyko naruszenia praw lub wolności osoby fizycznej i oczekiwanie, że wątpliwie niski poziom ryzyka może zostać ewentualnie potwierdzony dopiero w ramach postępowania administracyjnego, jest sprzeczne z zasadą "zgodności z prawem, rzetelności i przejrzystości" wyrażoną w art. 5 ust. 1 lit. a) rozporządzenia 2016/679. Administrator swoim postępowaniem skupił się na własnym interesie, zupełnie pomijając słuszny interes osoby, której dane dotyczą, nie zawiadamiając jej o naruszeniu, choć był świadomy, że naruszenie może powodować dla tej osoby doniosłe i negatywne konsekwencje i w efekcie świadomie narażając taką osobę na szkodę. Wykorzystanie instytucji przeprowadzenia dowodu z przesłuchania świadka w ramach postępowania administracyjnego na potwierdzenie okoliczności braku wysokiego ryzyka (która to okoliczność przez przeprowadzenie takiego dowodu nie może być potwierdzona), którego samodzielnie skarżąca nie może potwierdzić, co zobowiązuje ją do zgłoszenia naruszenia ochrony danych osobowych, jest próbą obejścia obowiązku dokonania zgłoszenia w terminie 72 godzin od stwierdzenie naruszenia i nie może zostać uznane za rzetelne przetwarzanie danych osobowych. Próba przerzucenia obowiązku ustalenia poziomu ryzyka na organ nadzorczy w ramach postępowania administracyjnego wypacza obowiązek dokonania zgłoszenia naruszenia ochrony danych osobowych oraz zawiadomienia o naruszeniu osobę, której dane dotyczą.

Prezes UODO uznał również za nieuzasadniony zawarty w skardze zarzut naruszenia art. 7, art. 8 § 1, art. 77 § 1, art. 80 i art. 81a § 1 k.p.a. Zdaniem organu, wbrew zapatrywaniu skarżącej Spółki, nie przekroczył w tej sprawie granicy swobodnej oceny dowodów, nie naruszył zasady bezstronności. Organ podał, że nie kwestionował wiarygodności oświadczenia bowiem, nie jest to konieczne, dla ustalenia wysokiego ryzyka, a wiec możliwości materializacji negatywnych skutków dla osoby, której dane dotyczą. Oświadczenie niewłaściwego odbiorcy nie obniża stopnia ryzyka do poziomu zwalniającego z obowiązku zgłoszenia i zawiadomienia o naruszeniu osoby, której dane dotyczą bowiem nie wyklucza samej możliwości materializacji negatywnych skutków dla takiej osoby. Niemniej jednak organ ustalił, że w związku ze złożeniem oświadczenia nieuprawnionego odbiorcy, pojawiły się wątpliwości, które powinny zostać uwzględnione, jako dodatkowa okoliczność zobowiązująca Spółkę do dokonania zgłoszenia naruszenia ochrony danych osobowych. Organ dodał (str. 15 odpowiedzi na skargę), że nawet gdyby w związku z wystąpieniem naruszenia, zdarzenia wskazane przez skarżącego nie mogły mieć miejsca, to ocena ryzyka naruszenia praw lub wolności osoby fizycznej, od której uzależniony jest obowiązek dokonania zgłoszenia naruszenia ochrony danych osobowych oraz zawiadomienia osoby, której dane dotyczą i tak byłaby wysoka. W konkluzji Prezes UODO stwierdził, że w sprawie pojawiły się wątpliwości, które zostały pominięte przez skarżącą Spółkę, w kontekście konieczności wypełnienia obowiązków z art. 33 i 34 rozporządzenia 2016/679, co organ prawidłowo ustalił.

Odnosząc się do zarzutu naruszenia przepisu art. 4 pkt 12 rozporządzenia 2016/679, poprzez jego błędną wykładnię polegającą na przyjęciu, że dla zaistnienia naruszenia ochrony danych osobowych nie jest konieczne wystąpienie skutku w postaci faktycznego (a nie hipotetycznego) ujawnienia lub dostępu do danych osobowych przez osobę nieuprawnioną, organ podał (str. 16 odpowiedzi na skargę), że zarzut ten jest bezzasadny. W związku z przesłaniem wiadomości e-mail zawierającej dane osobowe na nieprawidłowy adres e-mail, nieuprawniony odbiorca uzyskał dostęp do danych osobowych, a zatem doszło do faktycznego, a nie hipotetycznego nieuprawnionego dostępu do danych osobowych, co stanowi naruszenie ochrony danych osobowych dotyczące poufności danych osobowych. W wyniku naruszenia ochrony danych osobowych administrator utracił kontrolę nad przetwarzanymi danymi osobowymi, natomiast nieuprawniony odbiorca uzyskał do nich dostęp, stał się dysponentem tych danych i mógł podejmować lub nadal może decyzje, co do środków i sposobów ich przetwarzania, czy jak wskazała Spółka definiując pojęcie "dostęp"- "otrzymał możliwość korzystania z czegoś "(z danych). W ramach tego dostępu nieuprawniony odbiorca mógł lub nadal może dowolnie dysponować tymi danymi, np. przechowywać je, uzyskać do nich wgląd, przesłać je dalej, wykonać kopię, upublicznić, czy usunąć. Natomiast skarżąca Spółka nie kwestionowała, że dane nie zostały wysłane do nieuprawnionego odbiorcy, np. pod błędny adres e-mail, który nie istnieje, co faktycznie uzasadniałoby podnoszenie zarzutu o braku skutku w postaci nieuprawnionego dostępu do danych. Co istotne, w sprawie nie wystąpiły okoliczności wskazujące, że administrator zapewnił brak możliwości dostępu do przesłanych danych, np. poprzez zaszyfrowanie przesłanych danych.

Organ podniósł, że skarżąca Spółka błędnie założyła, że oświadczenie o niezapoznaniu i usunięciu danych potwierdza, że nie doszło do nieuprawnionego dostępu do danych, podczas gdy takie oświadczenie odnosi się do skutku w postaci ujawnienia danych. Takie oświadczenie, jak już powiedziano, nie stanowi potwierdzenia, że nieuprawniony odbiorca faktycznie nie zapoznał się z danymi i je usunął, bowiem administrator nie ma możliwości w sposób jednoznaczny tego sprawdzić. Powyższe oświadczenie może mieć wpływ na obniżenie prawdopodobieństwa ryzyka, ale nie w stopniu zwalniającym administratora z obowiązku dokonania zgłoszenia i naruszenia ochrony danych osobowych (przykład 14 Wytycznych Europejskiej Rady Ochrony Danych 01/2021).

Organ podał, że w definicji naruszenia ochrony danych osobowych (art. 4 pkt 12 rozporządzenia 2016/679) wskazano alternatywnie na przypadki, w których dochodzi do naruszenia bezpieczeństwa danych (nieuprawnione ujawnienie lub nieuprawniony dostęp do danych). Z tego wynika, że do naruszenia bezpieczeństwa danych dochodzi nie tylko gdy incydent będzie prowadził do jednoczesnego nieuprawnionego ujawnienia i nieuprawnionego dostępu do danych, ale również, gdy będzie prowadził tylko do nieuprawnionego ujawnienia lub tylko do nieuprawnionego dostępu do danych.

Mając powyższe na uwadze, organ podał, że wbrew zapatrywaniu strony skarżącej, w rozpatrywanej sprawie zaistniały przesłanki określone w art. 4 pkt 12 rozporządzenia 2016/679 warunkujące uznanie incydentu bezpieczeństwa za naruszenie ochrony danych osobowych. W wyniku zdarzenia doszło bowiem do naruszenia bezpieczeństwa (ochrony) prowadzącego do przypadkowego nieuprawnionego dostępu do danych przesłanych za pomocą poczty elektronicznej. Prezes UODO dodał, że w przypadku nieuprawnionego dostępu do danych nie jest istotne to, czy nieuprawniony odbiorca zapoznał się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko, a w konsekwencji również potencjalnie wystąpiło ryzyko naruszenia praw lub wolności podmiotu danych. Taka sytuacja wystąpiła w przedmiotowej sprawie bowiem w wyniku nieuprawnionego dostępu do danych osobowych, administrator nie jest w stanie samodzielnie jednoznacznie stwierdzić, ze nie doszło do ujawnienia danych osobowych lub że dane, np. nie zostały przesłane dalej (w niniejszej sprawie nieuprawnionego odbiorcę nie można uznać, za "odbiorcę zaufanego" o którym mowa w wytycznych Grupy Roboczej do Art. 29).

Naruszenie bezpieczeństwa danych osobowych nastąpiło na skutek naruszenia zasad zabezpieczania danych osobowych. Pracownik podmiotu przetwarzającego odpowiedzialny za wystąpienie naruszenia ochrony danych osobowych nie zastosował się do zasad zabezpieczenia przetwarzanych danych i wysłał korespondencję, która nie została zabezpieczona (w postaci ochrony kryptograficznej) przed nieuprawnionym dostępem do danych osobowych.

Organ zauważył, że w toku postępowania administracyjnego [...] S.A. nie kwestionowała, że do naruszenia ochrony danych osobowych doszło, a wręcz przeciwnie wszelkie jej wyjaśnienia oparte były na założeniu, że naruszenie ochrony danych osobowych wystąpiło.

Prezes UODO, odnosząc się do zarzutów naruszenia przepisów art. 33 ust. 1 i art. 34 ust.1 rozporządzenia, poprzez ich błędną wykładnię i w konsekwencji nieuzasadnione przyjęcie, że ryzyko naruszenia praw lub wolności osoby fizycznej było wysokie, podał, że obowiązki, o których mowa w tych przepisach zostały oparte na ryzyku (a więc możliwości wystąpienia negatywnych skutków naruszenia dla osoby, której dane dotyczą) i nie jest konieczne zmaterializowanie się negatywnych konsekwencji naruszenia.

Ustosunkowując się do zarzutów naruszenia art. 83 ust. 1 i art. 83 ust. 2 lit. a), b), e), f), g) oraz h) rozporządzenia 2016/679 w zw. z art. 8 § 1 k.p.a., Prezes UODO podał, że w uzasadnieniu zaskarżonej decyzji precyzyjnie określił okoliczności decydujące o konieczności nałożenia administracyjnej kary pieniężnej oraz czynniki mające wpływ na jej wysokość. Decydując, czy nałożyć administracyjną karę pieniężną, a także ustalając jej wysokość, za podstawę Prezes UODO uznał naruszenie przez skarżącą Spółkę jej podstawowych obowiązków, określonych w art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679. Ustalona wysokość kary spełnia wszystkie przesłanki wymienione w art. 83 ust. 1 i ust. 2 rozporządzenia 2016/679.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Skarga jest uzasadniona.

Skarga [...] Towarzystwa Ubezpieczeń [...] S.A. z siedzibą w [...] na decyzję z [...] czerwca 2021 r., którą Prezes Urzędu Ochrony Danych Osobowych stwierdził naruszenie przez skarżącą art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679 oraz ukarał ją administracyjną karę pieniężną i nakazał zawiadomienie osoby, której dane osobowe zostały naruszone, o zaistniałym naruszeniu, zasługuje na uwzględnienie choć nie wszystkie zawarte w niej zarzuty są uzasadnione.

Skarżąca w skardze do Sądu zarzuciła organowi administracji, m. in. naruszenie art. 4 pkt 12 rozporządzenia, poprzez błędną jego wykładnię i w konsekwencji nieuzasadnione przyjęcie, że dla zaistnienia naruszenia ochrony danych osobowych nie jest konieczne wystąpienie skutku w postaci faktycznego (a nie hipotetycznego) ujawnienia lub dostępu do danych osobowych przez osobę nieuprawnioną. Naruszeniem ochrony danych osobowych nie mogą być przypadki jedynie potencjalnego, hipotetycznego narażenia danych osobowych na naruszenie (ujawnienie, dostęp) i konieczne jest, aby skutek w postaci nieuprawnionego ujawnienia (dostępu) do danych rzeczywiście nastąpił (albo żeby nie było możliwe wykluczenie takiego skutku).

Zdaniem Spółki, organ błędnie przyjął, że zaistniały incydent stanowi naruszenie ochrony danych osobowych. Spółka jako administrator danych wykazała bowiem, że nie doszło do faktycznego zapoznania się przypadkowej osoby (adresata maila) z danymi osobowymi, a zatem do nieuprawnionego ujawnienia danych lub do nieuprawnionego dostępu do przetwarzanych danych, rozumianego jako możliwość korzystania z czegoś.

Sąd orzekający w niniejszej sprawie nie podziela tego zapatrywania skarżącej i uznaje stanowisko Prezesa Urzędu Ochrony Danych Osobowych w tej kwestii za prawidłowe. Według art. 4 pkt 12 rozporządzenia "naruszenie ochrony danych osobowych" oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

W rozpatrywanej sprawie w związku z przesłaniem przez pracownika [...] wiadomości e-mail zawierającej dane osobowe na nieprawidłowy adres e-mail, nieuprawniony odbiorca uzyskał dostęp do danych osobowych. Słowo "dostęp", na co zresztą zwraca uwagę strona skarżąca w skardze, oznacza m. in. "możność przyjścia do kogoś, zetknięcia się z kimś, korzystania z czegoś" (por. Internetowy słownik języka polskiego PWN). Jeszcze inaczej – udostępnić to umożliwić komuś odbiór, przyswojenie czegoś. To pojęcie nie obejmuje zatem skutku tego działania w postaci faktycznego odebrania czy przyswojenia sobie udostępnionej informacji.

Doszło wiec do nieuprawnionego faktycznego, a nie hipotetycznego, udostępnienia danych przetwarzanych przez skarżącą Spółkę, stanowiącego naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 i art. 32 ust. 1 Rozporządzenia. W wyniku naruszenia ochrony danych osobowych administrator utracił kontrolę nad przetwarzanymi danymi osobowymi, natomiast nieuprawniony odbiorca uzyskał do nich dostęp, stał się dysponentem tych danych, co prowadzi do wniosku, że nie może być mowy o incydencie bezpieczeństwa, lecz o naruszeniu ochrony danych osobowych (dotyczącemu poufności danych osobowych). Niejako na marginesie Sąd podnosi, że nie wszystkie incydenty bezpieczeństwa muszą wiązać się z naruszeniem ochrony danych osobowych. Z naruszeniem ochrony danych osobowych będziemy mieli do czynienia wówczas, gdy administrator nie jest w stanie zapewnić zgodności z zasadami przetwarzania danych osobowych, o których mowa w art. 5 rozporządzenia.

Dla stwierdzenia naruszenia ochrony danych osobowych nie ma zatem znaczenia to, czy nieuprawniony adresat tych danych faktycznie się z nimi zapoznał. W związku z tym jego oświadczenie, że nie zapoznał się z zawartością emaila i że usunął tę wiadomość mailową jest w tej kwestii bez znaczenia.

W konkluzji Wojewódzki Sąd Administracyjny w Warszawie stwierdza, że Prezes Urzędu Ochrony Danych Osobowych dokonał prawidłowej wykładni art. 4 pkt 12 rozporządzenia 2016/679 uznając, że doszło do naruszenia ochrony danych osobowych, o którym mowa w art. 33 ust. 1 Rozporządzenia.

Według art. 33 ust. 1 Rozporządzenia 2016/679 w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu - właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Z tego przepisu wynika, że administrator nie ma obowiązku zgłoszenia organowi nadzorczemu faktu naruszenia danych osobowych, jeżeli zachodzi małe prawdopodobieństwo, że naruszenie spowodowało ryzyko naruszenia praw lub wolności osób fizycznych.

W rozpatrywanej sprawie skarżąca spółka – administrator danych, dokonała oceny skutków naruszenia i uznała, że nie jest to naruszenie, które w świetle art. 33 ust. 1 Rozporządzenia wymaga zgłoszenia organowi nadzorczemu.

Ocena prawdopodobieństwa powstania ryzyka naruszenia praw lub wolności osób fizycznych wskutek naruszenia ochrony danych osobowych oraz ocena stopnia tego ryzyka wymaga odniesienia się do charakteru, zakresu, kontekstu i celów przetwarzania danych (pkt 76 Preambuły Rozporządzenia). Ryzyko to istnieje w przypadku, gdy naruszenie może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone. Przykłady takich szkód obejmują; dyskryminację, kradzież lub sfałszowanie tożsamości, straty finansowe i naruszenie dobrego imienia (pkt 75 Preambuły Rozporządzenia).

W rozpatrywanej sprawie naruszenie ochrony danych osobowych polegało na przesłaniu nieuprawnionemu odbiorcy (byłemu klientowi) wiadomości email z niezaszyfrowanym załącznikiem zawierającym dane osobowe innej osoby fizycznej, niż adresat emaila (imię, nazwisko, PESEL, miejscowość i kod pocztowy oraz ofertę ubezpieczenia (w tym składkę i sumę ubezpieczenia i sumę gwarancyjną).

Naruszenie dotyczyło tylko jednej osoby. Jej dane osobowe zostały udostępnione również tylko jednej osobie. Mimo, iż dane udostępniono byłemu klientowi, nie można tej osoby uznać za pozostającą z administratorem w stałych stosunkach, zaufaną w tym sensie, że pozwalającą przyjąć, że rzeczywiście nie uczyni użytku z danych omyłkowo jej przesłanych. Istotnym czynnikiem przy ocenie prawdopodobieństwa ryzyka naruszenia praw lub wolności osoby, której dane zostały ujawnione jest również łatwość, z jaką strona, która ma dostęp do ujawnionych danych osobowych, będzie w stanie zidentyfikować konkretne osoby fizyczne lub dopasować dane do innych informacji służących identyfikacji osób fizycznych (Wytyczne Grupy Roboczej Art. 29 dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679, s. 29)

W rozpatrywanym przypadku dane były zawarte w niezaszyfrowanym załączniku. Natomiast charakter i rodzaj udostępnionych danych w dużym stopniu umożliwiał ustalenie tożsamości konkretnej osoby bezpośrednio w oparciu o dane osobowe, których dotyczy naruszenie, bez szczególnej potrzeby gromadzenia dodatkowych informacji pozwalających określić tę tożsamość. W tych okolicznościach osoba, której dane zostały udostępnione utraciła możliwość sprawowania kontroli nad swoimi danymi osobowymi i tym samym doznała naruszenia jej prawa do ochrony danych osobowych (art. 51 ust. 1 Konstytucji RP).

Te okoliczności pozwalają zdaniem Sądu przyjąć, że nie została spełniona określona w art. 33 ust. 1 Rozporządzenia przesłanka zwalniająca administratora danych z obowiązku zgłoszenia organowi nadzoru faktu naruszenia danych osobowych. Należy zatem podzielić stanowisko Prezesa UODO co do tego, że prawdopodobieństwo, by stwierdzone naruszenie ochrony danych osobowych rodziło ryzyko naruszenia praw lub wolności osoby, której dane zostały ujawnione, nie jest małe. Skarżąca miała zatem obowiązek zgłoszenia tego naruszenia organowi nadzoru.

Można dodać, że Grupa Robocza Art. 29 uznała, że w przypadku, gdy pewna osoba poinformowała bank o naruszeniu ochrony danych, polegającym na przesłaniu jej miesięcznego wyciągu bankowego, przeznaczonego dla innej osoby, należy zgłosić to naruszenie organowi nadzoru.

Zaskarżoną decyzją organ nadzoru wymierzył administratorowi - skarżącej spółce karę pieniężną również za naruszenie art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osoby, której dane dotyczą. Uznał bowiem, że w rozpatrywanym przypadku stwierdzone naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą.

W tym przypadku ocena stopnia ryzyka (wysokiego) naruszenia praw lub wolności osoby, której dane zostały udostępnione niezgodnie z prawem, wymaga odwołania się do okoliczności i przesłanek, które stanowiły podstawę oceny stopnia prawdopodobieństwa ryzyka naruszenia praw lub wolności tym samym naruszeniem ochrony danych, na podstawie art. 34 ust. 1 Rozporządzenia.

Należy zatem brać pod uwagę charakter i zakres udostępnionych danych oraz wagę negatywnych konsekwencji naruszenia dla osób, których dane zostały udostępnione.

Organ stwierdził, że ryzyko to jest wysokie, ponieważ naruszenie ochrony danych osoby, której dane dotyczą mogło narazić ją na różnorakie i poważne konsekwencje w sferze jej praw majątkowych i niemajątkowych.

Zdaniem Sądu organ zarzucając skarżącej naruszenie art. 34 ust. 1 Rozporządzenia i wymierzając jej w związku z tym karę pieniężną nie wyjaśnił dostatecznie i przekonywająco przesłanek uznania, że naruszenie ochrony danych osobowych przez skarżącą mogło powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Według organu, ujawnienie danych osobowych, w szczególności takich jak numer ewidencyjny PESEL wraz z imieniem i nazwiskiem oraz informacjami o stanie finansowym (majątkowym) może zostać wykorzystane lub powodować, np. ograniczenie możliwości korzystania z praw obywatelskich i usług kierowanych do ogółu obywateli (np. głosowania w ramach budżetu obywatelskiego, internetowej rejestracji wizyt w urzędach itp.); osoby trzecie mogą podjąć próbę uzyskania pożyczek w instytucjach pozabankowych z użyciem danych osoby dotkniętej naruszeniem (np. przez Internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości); osoby trzecie mogą podjąć próbę uzyskania dostępu do systemów obsługujących udzielanie świadczeń medycznych i uzyskać wgląd do danych o stanie zdrowia osoby dotkniętej naruszeniem (niekiedy dostęp do systemów rejestracji pacjenta można uzyskać potwierdzając swoją tożsamość za pomocą numeru PESEL); osoby trzecie mogą podjąć próbę zawarcia na szkodę osoby dotkniętej naruszeniem umów cywilnoprawnych. Zdaniem organu, ujawnienie danych osobowych, w szczególności takich jak numer ewidencyjny PESEL wraz z imieniem i nazwiskiem oraz informacjami o stanie finansowym (majątkowym) może zostać wykorzystane lub powodować, np. ograniczenie możliwości korzystania z praw obywatelskich i usług kierowanych do ogółu obywateli (np. głosowania w ramach budżetu obywatelskiego, internetowej rejestracji wizyt w urzędach itp.); osoby trzecie mogą podjąć próbę uzyskania pożyczek w instytucjach pozabankowych z użyciem danych osoby dotkniętej naruszeniem (np. przez Internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości); osoby trzecie mogą podjąć próbę uzyskania dostępu do systemów obsługujących udzielanie świadczeń medycznych i uzyskać wgląd do danych o stanie zdrowia osoby dotkniętej naruszeniem (niekiedy dostęp do systemów rejestracji pacjenta można uzyskać potwierdzając swoją tożsamość za pomocą numeru PESEL); osoby trzecie mogą podjąć próbę zawarcia na szkodę osoby dotkniętej naruszeniem umów cywilnoprawnych.

Skarżąca zarzuciła, że podane przez organ możliwości naruszenia praw czy wyrządzenia szkody osobie, której dane osobowe znalazły się w nieuprawnionym posiadaniu osoby trzeciej, mające świadczyć o wysokim ryzyku takich naruszeń, w rzeczywistości nie istnieją. Podane przez organ przykłady zagrożeń dla praw i interesów osoby, której dane dotyczą, nie są wiarygodne.

Zdaniem Wojewódzkiego Sądu Administracyjnego w Warszawie organ nie wykazał przekonywająco, że w praktyce jest możliwe, np. legalne zaciąganie zobowiązań wyłącznie na podstawie danych obejmujących imię i nazwisko oraz numer PESEL oraz miejscowość i kod pocztowy, ani że na podstawie takich danych można również zawrzeć umowy pożyczki, nawet w instytucjach pozabankowych czy parabankowych, za pośrednictwem Internetu lub telefonicznie. Wątpliwe, bo niepotwierdzone konkretnymi dowodami wydają się również stwierdzenia organu, że dysponowanie samymi danymi osobowymi, obejmującymi imię i nazwisko oraz numer PESEL pozwala, np. na uzyskanie dostępu do systemów obsługujących udzielanie świadczeń medycznych i na wgląd do danych o stanie zdrowia osoby dotkniętej naruszeniem. Skarżąca podniosła bowiem, że gdyby rzeczywiście udostępnienie danych osobowych, o których mowa w tej sprawie rodziło obiektywnie wysokie ryzyko naruszenia praw lub wolności osób, których te dane dotyczą, udostępnienie takich danych w otwartych rejestrach publicznych, np. rejestr przedsiębiorców w Krajowym Rejestrze Sądowym, czy też w podpisie elektronicznym, mogłoby narażać posiadaczy danych na poważne konsekwencje, również wówczas, gdy dane zostały udostępnione za ich zgodą.

Nie jest również dostatecznie uzasadnione, a przez to nie jest przekonujące stwierdzenie organu, że na skutek nieuprawnionego ujawnienia danych w wyniku przesłania korespondencji zawierającej dane osobowe niewłaściwemu odbiorcy, doszło do ujawnienia nie tylko numeru ewidencyjnego PESEL wraz z imieniem i nazwiskiem, miejscowością i kodem pocztowym osoby, której dane dotyczą, ale również informacji o stanie finansowym (majątkowym) podmiotu danych. Jak podniosła strona skarżąca w skardze do Sądu, informacja o zamiarze wykupienia przez konkretną osobę polisy ubezpieczenia domu na kwotę 300.000 PLN sama w sobie nie wskazuje, czy chodzi o wycenę nieruchomości należącej do tej osoby, osoby trzeciej, czy też może planowanej przez taką osobę inwestycji (zakupu nieruchomości). Oferta ubezpieczenia nie stanowi również informacji o stanie zobowiązań jej adresata, gdyż wskazana wysokość składki mogłaby ulec zmianie. Ponadto, jest to wyłącznie propozycja zawarcia umowy składana przez agenta – brak jakichkolwiek podstaw do wnioskowania na jej podstawie o rzeczywistych (końcowych) warunkach przyszłej umowy, zwłaszcza że przesłana omyłkowo korespondencja zawierała również oferty dwóch innych zakładów ubezpieczeń (jak należy przypuszczać - różniące się od oferty skarżącego). Kwota ubezpieczenia jest wartością czysto deklaratoryjną i nie pozwala na ustalenie stanu majątkowego adresata oferty polisy.

Należy podkreślić, że uzasadnienie rozstrzygnięcia mającego charakter decyzji administracyjnej stanowi istotną gwarancję realizacji podstawowych zasad postępowania administracyjnego: zasady zaufania (art. 8 § 1 i 2 k.p.a.) i zasady przekonywania (art. 11 k.p.a.) oraz konstytucyjnej zasady prawa do sądu (art. 45 ust. 1 i 78 Konstytucji RP). Obowiązek sporządzenia uzasadnienia decyzji odpowiadającego wymogom określonym w art. 107 § 3 k.p.a. stanowi realizację tych zasad. Prawidłowo sporządzone uzasadnienie daje również możliwość pełnej i merytorycznej weryfikacji decyzji w postępowaniu sądowym, w toku którego nie jest możliwe uzupełnienie przeprowadzonego postępowania administracyjnego o stosowną argumentację prawną i wyręczanie w ten sposób organów administracji w dokonaniu oceny w kwestii spełnienia przesłanek ustawowych, uzasadniających wydanie konkretnej decyzji.

Zdaniem Sądu, z przedstawionych wyżej powodów uzasadnienie zaskarżonej decyzji (mimo jego objętości) nie odpowiada wymaganiom art. 107 § 3 p.p.s.a. i to uchybienie mogło mieć istotny wpływ na wynik sprawy.

Konkludując, postawione w skardze zarzuty naruszenia przepisów dotyczących ustalenia i oceny okoliczności faktycznych sprawy ( art. 7, art. 77 § 1 w zw. z art. 78 § 1 i art. 80 k.p.a., art. 7, art. 8 § 1, art. 77 § 1 i art. 81a k.p.a.) oraz naruszenia przepisów prawa materialnego (art. 4 pkt 12 i art. 33 ust. 1 Rozporządzenia), nie zasługują na uwzględnienie. Sąd uznał natomiast, że organ nie wyjaśnił dostatecznie w uzasadnieniu decyzji dlaczego przyjął, że Spółka naruszyła art. 34 ust.1 Rozporządzenia. Z uwagi na sposób sformułowania sentencji, Sąd zobowiązany był do uchylenia zaskarżonej decyzji w całości.

O kosztach postępowania, obejmujących wpis od skargi oraz wynagrodzenie pełnomocnika w stawce minimalnej wraz z opłatą skarbową od pełnomocnictwa, Sąd postanowił w oparciu o art. 200 i art. 205 § 2 p.p.s.a. jak w punkcie 2 sentencji wyroku.