{\rtf1\ansi\ansicpg1252
\deff0{\fonttbl{\f0\froman\fcharset0 Times New Roman;}{\f1\froman\fcharset0 Helvetica;}{\f2\froman\fcharset0 Arial;}{\f3\froman\fcharset0 unknown;}}
{\colortbl\red0\green0\blue0;\red255\green255\blue255;\red192\green192\blue192;}
{\stylesheet 
{\style\s1 \ql\fi0\li0\ri0\f2\fs32\b\cf0 heading 1;}
{\style\s2 \ql\fi0\li0\ri0\f2\fs28\b\i\cf0 heading 2;}
{\style\s3 \ql\fi0\li0\ri0\f2\fs26\b\cf0 heading 3;}
{\style\s0 \ql\fi0\li0\ri0\f2\fs24\cf0 Normal;}
}
{\*\listtable
}
{\*\listoverridetable
}
{\info}
\paperw11907\paperh16840\margl1440\margr1120\margt1720\margb1440
{\footer \pard\plain\s0\ql\fi0\li0\ri0\plain\f0 2026-04-13 01:43\par
}{\header \trowd
\trftsWidth3\trwWidth9347\trqc\trgaph10\trpaddl0\trpaddr0\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7630
\cellx7630\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1716
\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f0 Centralna Baza Orzecze\u324? S\u261?d\u243?w Administracyjnych
\cell\pard\plain\intbl\s0\qr\fi0\li0\ri0\plain\f0 Str \f3{\field{\*\fldinst PAGE}{\fldrslt  }}\f0  / \f3{\field{\*\fldinst NUMPAGES \\* Arabic}{\fldrslt 1 }}
\cell \trowd
\trftsWidth3\trwWidth9347\trqc\trgaph10\trpaddl0\trpaddr0\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7630
\cellx7630\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1716
\cellx9346\row
\pard}\pgwsxn11907\pghsxn16840
\marglsxn1440\margrsxn1120\margtsxn1720\margbsxn1440\pard\plain\s0\fi0\li0\ri0\plain\f1\fs24\b II SA/Wa 4143/21 - Wyrok\b0\par
\par\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Data orzeczenia\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 2022-07-01
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Data wp\u322?ywu\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 2021-12-23
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b S\u261?d\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Wojew\u243?dzki S\u261?d Administracyjny w Warszawie
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b S\u281?dziowie\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Joanna Kube /przewodnicz\u261?cy sprawozdawca/
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Symbol z opisem\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 647  Sprawy zwi\u261?zane z ochron\u261? danych osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Has\u322?a tematyczne\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Ochrona danych osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Sygn. powi\u261?zane\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 III OSK 2416/22
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Skar\u380?ony organ\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Generalny Inspektor Ochrony Danych Osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Tre\u347?\u263? wyniku\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Oddalono skarg\u281?
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Powo\u322?ane przepisy\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Dz.U. 2022 nr 0 poz 329;  art. 151; Ustawa z dnia 30 sierpnia 2002 r. Prawo o post\u281?powaniu przed s\u261?dami administracyjnymi  - t.j.
\par Dz.U.UE.L 2016 nr 119 poz 1;  art. 33 ust. 1, art. 34 ust. 1, art. 83 ust. 1 i 2; Rozporz\u261?dzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony os\u243?b fizycznych w zwi\u261?zku z  przetwarzaniem danych osobowych i w sprawie swobodnego przep\u322?ywu takich danych oraz uchylenia dyrektywy 95/46/WE
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Sentencja\b0
\par\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs22 Wojew\u243?dzki S\u261?d Administracyjny w Warszawie w sk\u322?adzie nast\u281?puj\u261?cym: Przewodnicz\u261?cy S\u281?dzia WSA Joanna Kruszewska-Gro\u324?ska, S\u281?dzia WSA Joanna Kube (spr.), S\u281?dzia WSA Waldemar \u346?ledzik, Protokolant referent sta\u380?ysta Beata Kowalska, po rozpoznaniu na rozprawie w dniu 21 czerwca 2022 r. sprawy ze skargi Banku [...] z siedzib\u261? w [...] na decyzj\u281? Prezesa Urz\u281?du Ochrony Danych Osobowych z dnia [...] pa\u378?dziernika 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skarg\u281?
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Uzasadnienie\b0
\par\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs22 Prezes Urz\u281?du Ochrony Danych Osobowych (dalej: "organ", "Prezes UODO") decyzj\u261? z dnia [...] pa\u378?dziernika 2021 r., na podstawie art. 104 \u167? 1 ustawy z dnia 14 czerwca 1960 r. Kodeks post\u281?powania administracyjnego (Dz. U. z 2021 poz. 735
\par 
\par z p\u243?\u378?n. zm.), dalej: "k.p.a.", art. 7 ust. 1 oraz art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), a tak\u380?e art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. e) oraz i), art. 83 ust. 1 i ust. 2, art. 83 ust. 4 lit. a) w zwi\u261?zku z art. 33 ust. 1 oraz art. 34 ust. 1, 2 i 4 rozporz\u261?dzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony os\u243?b fizycznych w zwi\u261?zku z przetwarzaniem danych osobowych i w sprawie swobodnego przep\u322?ywu takich danych oraz uchylenia dyrektywy 95/46/WE (og\u243?lne rozporz\u261?dzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej: "RODO", po przeprowadzeniu post\u281?powania administracyjnego wszcz\u281?tego
\par 
\par z urz\u281?du w sprawie braku zg\u322?oszenia naruszenia ochrony danych osobowych Prezesowi UODO oraz braku zawiadomienia o naruszeniu ochrony danych osobowych os\u243?b, kt\u243?rych dotyczy\u322?o naruszenie, przez Bank [...] S.A.
\par 
\par z siedzib\u261? w [...], dalej: "Bank", Prezes UODO
\par 
\par 1) stwierdzaj\u261?c naruszenie przez Bank przepis\u243?w:
\par 
\par a) art. 33 ust. 1 RODO, polegaj\u261?ce na niezg\u322?oszeniu Prezesowi UODO naruszenia ochrony danych osobowych bez zb\u281?dnej zw\u322?oki, nie p\u243?\u378?niej ni\u380? w terminie 72 godzin po stwierdzeniu naruszenia oraz
\par 
\par b) art. 34 ust. 1 RODO, polegaj\u261?ce na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zb\u281?dnej zw\u322?oki os\u243?b, kt\u243?rych dane dotycz\u261?,
\par 
\par na\u322?o\u380?y\u322? na Bank administracyjn\u261? kar\u281? pieni\u281?\u380?n\u261? w wysoko\u347?ci 363.832 PLN (s\u322?ownie: trzysta sze\u347?\u263?dziesi\u261?t trzy tysi\u261?ce osiemset trzydzie\u347?ci dwa z\u322?ote),
\par 
\par 2) nakaza\u322? Bankowi zawiadomienie - w terminie 3 dni od dnia dor\u281?czenia niniejszej decyzji \u8211? M. G. oraz W. G., dalej: "skar\u380?\u261?cy", o naruszeniu ochrony ich danych osobowych w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 RODO, tj.:
\par 
\par a) opisu charakteru naruszenia ochrony danych osobowych;
\par 
\par b) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od kt\u243?rego mo\u380?na uzyska\u263? wi\u281?cej informacji;
\par 
\par c) opisu mo\u380?liwych konsekwencji naruszenia ochrony danych osobowych;
\par 
\par d) opisu \u347?rodk\u243?w zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym \u347?rodk\u243?w w celu zminimalizowania jego ewentualnych negatywnych skutk\u243?w.
\par 
\par Jak wynika z ustale\u324? organu, w dniu [...] kwietnia 2019 r. Oddzia\u322? Banku nada\u322? do Centrali Banku przesy\u322?k\u281?, w kt\u243?rej znajdowa\u322?y si\u281? nast\u281?puj\u261?ce dokumenty: pe\u322?nomocnictwo udzielone skar\u380?\u261?cemu przez skar\u380?\u261?c\u261?, umowa konta oszcz\u281?dno\u347?ciowego profit, umowa rachunk\u243?w bankowych oraz karty debetowej, umowa ramowa o \u347?wiadczenie us\u322?ug finansowych, umowa rachunku bankowego, potwierdzenie zmian do umowy rachunku bankowego, umowa karty [...], ankieta inwestycyjna, wynik ankiety inwestycyjnej. Na ww. dokumentach znajdowa\u322?y si\u281? w szczeg\u243?lno\u347?ci nast\u281?puj\u261?ce dane: imi\u281?, nazwisko, PESEL, adres zameldowania, numery rachunk\u243?w bankowych, numer CIF (numer identyfikacyjny nadawany klientom Banku) skar\u380?\u261?cej oraz imi\u281?, nazwisko i PESEL skar\u380?\u261?cego.
\par 
\par Przesy\u322?ka zawieraj\u261?ca ww. dokumenty powinna dotrze\u263? do Centrali Banku w dniu
\par 
\par [...] kwietnia 2019 r. W dniu [...] kwietnia 2019 r. Bank podj\u261?\u322? dzia\u322?ania w celu wyja\u347?nienia z firm\u261? kuriersk\u261? [...] Sp. z o.o. z siedzib\u261? w [...], dalej: "[...]", op\u243?\u378?nienia w dor\u281?czeniu ww. przesy\u322?ki. Nast\u281?pnie, w dniu [...] kwietnia 2019 r. Bank z\u322?o\u380?y\u322? oficjaln\u261? reklamacj\u281? w zwi\u261?zku z brakiem dor\u281?czenia ww. przesy\u322?ki.
\par 
\par W dniu [...] kwietnia 2019 r. firma kurierska poinformowa\u322?a Bank o zmianie statusu ww. przesy\u322?ki na status zagubionej informuj\u261?c, \u380?e pomimo tego nadal podejmuje pr\u243?by wyja\u347?nienia sprawy. W dniu [...] maja 2019 r. firma kurierska poinformowa\u322?a Bank, \u380?e nie zdo\u322?a\u322?a zlokalizowa\u263? przesy\u322?ki i zako\u324?czy\u322?a pr\u243?by jej poszukiwania.
\par 
\par Bank, zgodnie z metodyk\u261? opart\u261? na europejskiej metodologii ENISA, oceni\u322? to zdarzenie, jako mog\u261?ce powodowa\u263? \u347?rednie ryzyko naruszenia praw i wolno\u347?ci skar\u380?\u261?cych.
\par 
\par Bank nie zg\u322?osi\u322? ww. naruszenia do Prezesa UODO oraz nie zawiadomi\u322? os\u243?b
\par 
\par o naruszeniu ochrony ich danych osobowych w trybie art. 34 ust. 1 RODO, wskazuj\u261?c im w przes\u322?anej informacji o zagubionych dokumentach og\u243?lne informacje dotycz\u261?ce charakteru naruszenia oraz \u347?rodki w celu zminimalizowania jego ewentualnych negatywnych skutk\u243?w, w tym umo\u380?liwiaj\u261?c skar\u380?\u261?cym skorzystanie
\par 
\par z bezp\u322?atnej us\u322?ugi [...].
\par 
\par Organ w zwi\u261?zku z brakiem zg\u322?oszenia naruszenia ochrony danych osobowych Prezesowi UODO oraz brakiem zawiadomienia o naruszeniu ochrony danych osobowych os\u243?b, kt\u243?rych dotyczy\u322?o naruszenie przeprowadzi\u322? z urz\u281?du post\u281?powanie administracyjne, w wyniku czego wyda\u322? wskazan\u261? na wst\u281?pie decyzj\u281? z dnia [...] pa\u378?dziernika 2021 r., w kt\u243?rej zwa\u380?y\u322? co nast\u281?puje:
\par 
\par Zgodnie z art. 4 pkt 12 RODO naruszenie ochrony danych osobowych oznacza naruszenie bezpiecze\u324?stwa prowadz\u261?ce do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dost\u281?pu do danych osobowych przesy\u322?anych, przechowywanych lub w inny spos\u243?b przetwarzanych.
\par 
\par Art. 33 ust. 1 i 3 RODO za\u347? stanowi, \u380?e w przypadku naruszenia ochrony danych osobowych, administrator danych bez zb\u281?dnej zw\u322?oki - w miar\u281? mo\u380?liwo\u347?ci, nie p\u243?\u378?niej ni\u380? w terminie 72 godzin po stwierdzeniu naruszenia - zg\u322?asza je organowi nadzorczemu w\u322?a\u347?ciwemu zgodnie z art. 55, chyba \u380?e jest ma\u322?o prawdopodobne, by naruszenie to skutkowa\u322?o ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych. Do zg\u322?oszenia przekazanego organowi nadzorczemu po up\u322?ywie 72 godzin do\u322?\u261?cza si\u281? wyja\u347?nienie przyczyn op\u243?\u378?nienia (ust. 1). Zg\u322?oszenie,
\par 
\par o kt\u243?rym mowa w ust. 1 musi, co najmniej: a) opisywa\u263? charakter naruszenia ochrony danych osobowych, w tym w miar\u281? mo\u380?liwo\u347?ci wskazywa\u263? kategorie
\par 
\par i przybli\u380?on\u261? liczb\u281? os\u243?b, kt\u243?rych dane dotycz\u261?, oraz kategorie i przybli\u380?on\u261? liczb\u281? wpis\u243?w danych osobowych, kt\u243?rych dotyczy naruszenie; b) zawiera\u263? imi\u281? i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od kt\u243?rego mo\u380?na uzyska\u263? wi\u281?cej informacji; c) opisywa\u263? mo\u380?liwe konsekwencje naruszenia ochrony danych osobowych; d) opisywa\u263? \u347?rodki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach \u347?rodki w celu zminimalizowania jego ewentualnych negatywnych skutk\u243?w (ust. 3).
\par 
\par Z kolei art. 34 ust. 1 RODO wskazuje, \u380?e w sytuacji mo\u380?liwo\u347?ci wyst\u261?pienia wysokiego ryzyka dla praw i wolno\u347?ci os\u243?b fizycznych wynikaj\u261?cych z naruszenia ochrony danych osobowych, administrator jest zobowi\u261?zany bez zb\u281?dnej zw\u322?oki zawiadomi\u263? osob\u281?, kt\u243?rej dane dotycz\u261?, o naruszeniu. Zgodnie z art. 34 ust. 2 RODO, prawid\u322?owe zawiadomienie powinno:
\par 
\par 1) jasnym i prostym j\u281?zykiem opisywa\u263? charakter naruszenia ochrony danych osobowych;
\par 
\par 2) zawiera\u263? przynajmniej informacje i \u347?rodki, o kt\u243?rych mowa w art. 33 ust. 3 lit. b), c)
\par 
\par i d) RODO, tj.:
\par 
\par a) imi\u281? i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od kt\u243?rego mo\u380?na uzyska\u263? wi\u281?cej informacji;
\par 
\par b) opis mo\u380?liwych konsekwencji naruszenia ochrony danych osobowych;
\par 
\par c) opis \u347?rodk\u243?w zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach \u347?rodk\u243?w w celu zminimalizowania jego ewentualnych negatywnych skutk\u243?w.
\par 
\par Organ stwierdzi\u322?, \u380?e zg\u322?aszanie narusze\u324? ochrony danych osobowych przez administrator\u243?w stanowi skuteczne narz\u281?dzie przyczyniaj\u261?ce si\u281? do realnej poprawy bezpiecze\u324?stwa przetwarzania danych osobowych. Zg\u322?aszaj\u261?c naruszenie organowi nadzorczemu, administratorzy informuj\u261? Prezesa UODO, czy w ich ocenie wyst\u261?pi\u322?o wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261? oraz - je\u347?li takie ryzyko wyst\u261?pi\u322?o - to czy przekazali stosowne informacje osobom fizycznym, na kt\u243?re naruszenie wywiera wp\u322?yw. W uzasadnionych przypadkach mog\u261? r\u243?wnie\u380? przekaza\u263? informacj\u281?, \u380?e powiadomienie w ich ocenie nie jest konieczne ze wzgl\u281?du na spe\u322?nienie warunk\u243?w okre\u347?lonych w art. 34 ust. 3 lit. a) i b) RODO.
\par 
\par Prezes UODO dokonuje weryfikacji oceny dokonanej przez administratora i mo\u380?e - je\u380?eli administrator nie zawiadomi\u322? os\u243?b, kt\u243?rych dane dotycz\u261? - za\u380?\u261?da\u263? od niego takiego zawiadomienia.
\par 
\par Zg\u322?oszenia naruszenia ochrony danych osobowych pozwalaj\u261? organowi nadzorczemu na w\u322?a\u347?ciw\u261? reakcj\u281? mog\u261?c\u261? ograniczy\u263? skutki takich narusze\u324?, bowiem administrator ma obowi\u261?zek podj\u281?cia skutecznych dzia\u322?a\u324? zapewniaj\u261?cych ochron\u281? osobom fizycznym i ich danym osobowym, kt\u243?re z jednej strony pozwol\u261? na kontrol\u281? skuteczno\u347?ci dotychczasowych rozwi\u261?za\u324?, a z drugiej ocen\u281? modyfikacji
\par 
\par i usprawnie\u324? s\u322?u\u380?\u261?cych zapobie\u380?eniu nieprawid\u322?owo\u347?ciom analogicznym do obj\u281?tych naruszeniem. Natomiast zawiadomienie os\u243?b fizycznych o naruszeniu zapewnia mo\u380?liwo\u347?\u263? przekazania tym osobom informacji na temat ryzyka zwi\u261?zanego
\par 
\par z naruszeniem oraz wskazania dzia\u322?a\u324?, jakie osoby te mog\u261? podj\u261?\u263?, aby uchroni\u263? si\u281? przed potencjalnymi negatywnymi skutkami naruszenia.
\par 
\par Natomiast sama ocena naruszenia przeprowadzona przez administratora pod k\u261?tem ryzyka naruszenia praw lub wolno\u347?ci os\u243?b fizycznych niezb\u281?dna do oceny, czy dosz\u322?o do naruszenia ochrony danych skutkuj\u261?cego konieczno\u347?ci\u261? zawiadomienia Prezesa UODO (art. 33 ust. 1 i 3 RODO) oraz os\u243?b, kt\u243?rych dotyczy naruszenie (art. 34 ust. 1 i 2 RODO), powinna by\u263? dokonana przez pryzmat osoby dotkni\u281?tej naruszeniem.
\par 
\par Prezes UODO stwierdzi\u322?, \u380?e naruszenie poufno\u347?ci danych, jakie wyst\u261?pi\u322?o
\par 
\par w przedmiotowej sprawie, w zwi\u261?zku z naruszeniem ochrony danych osobowych polegaj\u261?cym na zagubieniu dokumentacji zawieraj\u261?cej dane osobowe, klient\u243?w Banku w zakresie m.in.; imi\u281?, nazwisko, nr PESEL, adres zameldowania, numery rachunk\u243?w bankowych, numer CIF (numer identyfikacyjny nadawany klientom Banku) skar\u380?\u261?cej oraz imi\u281?, nazwisko, nr PESEL skar\u380?\u261?cego, powoduje wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych. To z kolei skutkuje powstaniem po stronie Banku obowi\u261?zku zg\u322?oszenia naruszenia ochrony danych osobowych organowi nadzorczemu zgodnie z art. 33 ust. 1 RODO, w kt\u243?rym musz\u261? si\u281? znale\u378?\u263? informacje okre\u347?lone w art. 33 ust. 3 RODO oraz zawiadomienia tych os\u243?b o naruszeniu, zgodnie z art. 34 ust. 1 RODO, w kt\u243?rym musz\u261? si\u281? znale\u378?\u263? informacje okre\u347?lone w art. 34 ust. 2 RODO.
\par 
\par Zaznaczy\u322?, \u380?e nie jest istotne przy tym to, czy nieuprawniony odbiorca faktycznie wszed\u322? w posiadanie i zapozna\u322? si\u281? z danymi osobowymi innych os\u243?b, lecz to, \u380?e wyst\u261?pi\u322?o takie ryzyko, a w konsekwencji r\u243?wnie\u380? potencjalnie wyst\u261?pi\u322?o ryzyko naruszenia praw lub wolno\u347?ci podmiot\u243?w danych, kt\u243?re z uwagi na zakres danych uzna\u322? jako wysokie. Zwr\u243?ci\u322? przy tym uwag\u281?, \u380?e cho\u263? Bank oceni\u322?, \u380?e zaistnia\u322?e naruszenie nie wi\u261?\u380?e si\u281? z ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b nim dotkni\u281?tych, poniewa\u380? dane nie pos\u322?u\u380?y\u322?y np. do wy\u322?udzenia kredytu ani pr\u243?by takiego wy\u322?udzenia, utrata przesy\u322?ki nie spowodowa\u322?a te\u380? innych niedogodno\u347?ci, to jednak przewidzia\u322?, \u380?e naruszenie to mo\u380?e wi\u261?za\u263? si\u281? z takim ryzykiem, skoro zaproponowa\u322?, w ramach \u347?rodk\u243?w w celu zaradzenia naruszeniu, dodatkow\u261? us\u322?ug\u281? [...].
\par 
\par Zdaniem organu, dla powstania obowi\u261?zku zawiadomienia o naruszeniu ochrony danych osobowych os\u243?b, kt\u243?rych dane dotycz\u261?, nie jest konieczne zmaterializowanie si\u281? negatywnych konsekwencji naruszenia, wystarczaj\u261?ca jest
\par 
\par w tym zakresie sama mo\u380?liwo\u347?\u263? (ryzyko) wyst\u261?pienia takich konsekwencji, kt\u243?re
\par 
\par w niniejszej sprawie, w ocenie organu nadzorczego, jest wysokie.
\par 
\par Art. 34 ust. 1 RODO stanowi, \u380?e je\u380?eli naruszenie ochrony danych osobowych mo\u380?e powodowa\u263? wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, administrator bez zb\u281?dnej zw\u322?oki zawiadamia osob\u281?, kt\u243?rej dane dotycz\u261? o takim naruszeniu.
\par 
\par Natomiast art. 33 ust. 1 RODO stanowi, \u380?e w przypadku naruszenia ochrony danych osobowych administrator bez zb\u281?dnej zw\u322?oki, zg\u322?asza je organowi nadzorczemu, chyba \u380?e jest ma\u322?o prawdopodobne, by naruszenie to skutkowa\u322?o ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych.
\par 
\par Prezes UODO, odwo\u322?uj\u261?c si\u281? do tre\u347?ci powy\u380?szych przepis\u243?w stwierdzi\u322?, \u380?e dokonuj\u261?c oceny ryzyka naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, od kt\u243?rej uzale\u380?nione jest dokonanie zg\u322?oszenia naruszenia ochrony danych osobowych oraz zawiadomienie o naruszeniu osoby, kt\u243?rej dane dotycz\u261?, nale\u380?y \u322?\u261?cznie uwzgl\u281?dni\u263? czynnik prawdopodobie\u324?stwa i wag\u281? potencjalnych negatywnych skutk\u243?w. Wysoki poziom kt\u243?regokolwiek z tych czynnik\u243?w ma wp\u322?yw na wysoko\u347?\u263? og\u243?lnej oceny, od kt\u243?rej uzale\u380?nione jest wype\u322?nienie obowi\u261?zk\u243?w okre\u347?lonych w art. 33 ust. 1 i art. 34 ust. 1 RODO.
\par 
\par Prezes UODO uzna\u322?, \u380?e ze wzgl\u281?du na zakres ujawnionych danych osobowych wyst\u261?pi\u322?a mo\u380?liwo\u347?\u263? zmaterializowania si\u281? donios\u322?ych negatywnych konsekwencji dla os\u243?b, kt\u243?rych dane dotycz\u261?, wag\u281? potencjalnego wp\u322?ywu na prawa lub wolno\u347?ci os\u243?b fizycznych nale\u380?y uzna\u263? za wysok\u261?. Jednocze\u347?nie stwierdzi\u322?, \u380?e prawdopodobie\u324?stwo wyst\u261?pienia wysokiego ryzyka w nast\u281?pstwie niniejszego naruszenia nie jest ma\u322?e i nie zosta\u322?o wyeliminowane. Wyst\u261?pienie, w zwi\u261?zku
\par 
\par z przedmiotowym naruszeniem, wysokiego ryzyka naruszenia praw lub wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261?, determinuje obowi\u261?zek dokonania zg\u322?oszenia naruszenia ochrony danych osobowych organowi nadzorczemu oraz zawiadomienia o naruszeniu tych os\u243?b.
\par 
\par Zaznaczy\u322?, \u380?e brak zg\u322?oszenia przedmiotowego naruszenia ochrony danych osobowych Prezesowi UODO przez Bank jest niezrozumia\u322?y w zwi\u261?zku z tym, \u380?e sam administrator w przeprowadzonej ocenie ryzyka naruszenia praw lub wolno\u347?ci skar\u380?\u261?cych przyj\u261?\u322? \u347?redni poziom tego ryzyka. Okre\u347?lone na tym poziomie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, nie wy\u322?\u261?cza za\u347? obowi\u261?zku, o kt\u243?rym mowa w art. 33 ust. 1 RODO. Bank zatem stosownie do wyniku w\u322?asnej analizy ryzyka przeprowadzonej w zwi\u261?zku z naruszeniem powinien co najmniej dokona\u263? zg\u322?oszenia naruszenia organowi nadzorczemu, czego nie uczyni\u322?.
\par 
\par Organ wyja\u347?ni\u322?, \u380?e ani na gruncie RODO, ani \u380?adnego innego aktu prawnego, nie funkcjonuje enumeratywne wyliczenie zdarze\u324? kwalifikowanych jako naruszenie ochrony danych osobowych. Art. 4 pkt 12 RODO stanowi, i\u380? naruszenie ochrony danych osobowych rozumiane jest jako: naruszenie bezpiecze\u324?stwa, prowadz\u261?ce do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dost\u281?pu do danych osobowych przesy\u322?anych, przechowywanych lub w inny spos\u243?b przetwarzanych. Zawarte w ww. przepisie wyliczenie operacji przetwarzania posiada charakter wy\u322?\u261?cznie przyk\u322?adowy, w istocie bowiem ka\u380?da operacja przetwarzania mo\u380?e wi\u261?za\u263? si\u281?
\par 
\par z naruszeniem bezpiecze\u324?stwa danych. W przypadku wykrycia przez administratora naruszenia ochrony danych osobowych, w pierwszej kolejno\u347?ci konieczne jest dokonanie analizy pod k\u261?tem wyst\u261?pienia ryzyka naruszenia praw lub wolno\u347?ci os\u243?b fizycznych. Administrator zwolniony jest z obowi\u261?zku powiadamiania organu nadzorczego o naruszeniu, je\u347?li w wyniku przeprowadzonego badania oka\u380?e si\u281?, \u380?e nie ma prawdopodobie\u324?stwa wyst\u261?pienia ryzyka naruszenia praw lub wolno\u347?ci os\u243?b fizycznych. Nale\u380?y jednak mie\u263? na wzgl\u281?dzie fakt, i\u380? organ nadzorczy b\u281?dzie m\u243?g\u322? zwr\u243?ci\u263? si\u281? do administratora o uzasadnienie decyzji o niezg\u322?aszaniu naruszenia,
\par 
\par w zwi\u261?zku z tym wnioski z przeprowadzonej analizy nale\u380?y odnotowa\u263?
\par 
\par w wewn\u281?trznej ewidencji narusze\u324?.
\par 
\par Organ zwr\u243?ci\u322? uwag\u281?, \u380?e w okresie, w kt\u243?rym dosz\u322?o do naruszenia podobne przypadki by\u322?y zg\u322?aszane organowi nadzorczemu, a naruszenia z sektora bankowego/ubezpieczeniowego, jak wynika ze Sprawozdania z dzia\u322?alno\u347?ci Prezesa UODO w roku 2019, by\u322?y jednymi z najcz\u281?stszych, jakie wp\u322?ywa\u322?y do organu nadzorczego. W zdecydowanej wi\u281?kszo\u347?ci dokonywane Prezesowi UODO zg\u322?oszenia naruszenia ochrony danych osobowych dotycz\u261? zagubienia dokumentacji zawieraj\u261?cych dane osobowe, g\u322?\u243?wnie w formie papierowej przez operator\u243?w pocztowych lub podmioty \u347?wiadcz\u261?ce us\u322?ugi kurierskie, jak ma to miejsce
\par 
\par w przedmiotowej sprawie. W\u243?wczas, co r\u243?wnie\u380? wynika ze Sprawozdania, w ramach dzia\u322?a\u324? naprawczych administratorzy dokonywali przegl\u261?du um\u243?w zawartych z tymi podmiotami oraz ustalano przyczyny zaistnia\u322?ych zdarze\u324?.
\par 
\par Organ zwr\u243?ci\u322? uwag\u281? na konsekwencje, z jakimi mo\u380?e wi\u261?za\u263? si\u281? ujawnienie nr PESEL, w tym w szczeg\u243?lno\u347?ci kradzie\u380?y to\u380?samo\u347?ci. Zjawisko kradzie\u380?y to\u380?samo\u347?ci wci\u261?\u380? si\u281? nasila, o czym \u347?wiadcz\u261? wp\u322?ywaj\u261?ce nieustannie do Urz\u281?du sygna\u322?y od os\u243?b poszkodowanych, jak r\u243?wnie\u380? administrator\u243?w zg\u322?aszaj\u261?cych naruszenia w tym zakresie.
\par 
\par W ocenie Prezesa UODO, administrator, bior\u261?c pod uwag\u281? charakter naruszenia oraz kategorie danych, kt\u243?re uleg\u322?y naruszeniu, powinien wskaza\u263? osobom, kt\u243?rych dane dotycz\u261?, najbardziej prawdopodobne, negatywne konsekwencje naruszenia ich danych osobowych.
\par 
\par W przypadku naruszenia takich danych, jak imi\u281?, nazwisko oraz nr PESEL, mo\u380?liwa jest kradzie\u380? lub sfa\u322?szowanie to\u380?samo\u347?ci poprzez uzyskanie przez osoby trzecie, na szkod\u281? os\u243?b, kt\u243?rych dane naruszono, po\u380?yczek w instytucjach pozabankowych b\u261?d\u378? wy\u322?udzenia ubezpieczenia lub \u347?rodk\u243?w z ubezpieczenia, co mo\u380?e spowodowa\u263? negatywne konsekwencje zwi\u261?zane z pr\u243?b\u261? przypisania osobom, kt\u243?rych dane dotycz\u261?, odpowiedzialno\u347?ci za dokonanie takiego oszustwa. Opis mo\u380?liwych konsekwencji powinien za\u347? odzwierciedla\u263? ryzyko naruszenia praw lub wolno\u347?ci tej osoby, tak aby umo\u380?liwi\u263? jej podj\u281?cie niezb\u281?dnych dzia\u322?a\u324? zapobiegawczych.
\par 
\par Organ zaznaczy\u322?, \u380?e Bank w przypadku do\u322?\u261?czanych do zg\u322?aszanych narusze\u324? ochrony danych osobowych (w zakresie ujawnienia nr PESEL) powiadomie\u324? kierowanych do os\u243?b, kt\u243?rych dane dotycz\u261?, ka\u380?dorazowo wskazuje na konsekwencj\u281? w postaci "kradzie\u380?y lub sfa\u322?szowania to\u380?samo\u347?ci", niezrozumia\u322?e jest zatem, w ocenie Prezesa UODO, kompletne zmarginalizowanie tego ryzyka
\par 
\par w wyja\u347?nieniach, jakie z\u322?o\u380?y\u322? Bank w toku post\u281?powania.
\par 
\par Zwr\u243?ci\u322? uwag\u281?, \u380?e zg\u322?aszaj\u261?c naruszenie organowi nadzorczemu, administratorzy informuj\u261? Prezesa UODO, czy w ich ocenie wyst\u261?pi\u322?o wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261? oraz - je\u347?li takie ryzyko wyst\u261?pi\u322?o - czy przekazali stosowne informacje osobom fizycznym, na kt\u243?re naruszenie wywiera wp\u322?yw. W uzasadnionych przypadkach mog\u261? r\u243?wnie\u380? przekaza\u263? informacj\u281?, \u380?e powiadomienie, w ich ocenie, nie jest konieczne ze wzgl\u281?du na spe\u322?nienie warunk\u243?w okre\u347?lonych w art. 34 ust. 3 lit. a) i b) RODO.
\par 
\par Prezes UODO dokonuje weryfikacji oceny dokonanej przez administratora i mo\u380?e - je\u380?eli administrator nie zawiadomi\u322? osoby - za\u380?\u261?da\u263? od niego takiego zawiadomienia.
\par 
\par W sytuacji braku zg\u322?oszenia naruszenia ochrony danych osobowych Prezes UODO pozbawiony jest mo\u380?liwo\u347?ci przeprowadzenia rzetelnej weryfikacji. W sytuacji, gdy na skutek naruszenia ochrony danych osobowych wyst\u281?puje wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, administrator zobowi\u261?zany jest wdro\u380?y\u263? wszelkie odpowiednie \u347?rodki techniczne i organizacyjne, by od razu stwierdzi\u263? naruszenie ochrony danych osobowych i szybko poinformowa\u263? organ nadzorczy, a w przypadkach wysokiego ryzyka naruszenia praw lub wolno\u347?ci, r\u243?wnie\u380? osoby, kt\u243?rych dane dotycz\u261?. Administrator powinien zrealizowa\u263? przedmiotowy obowi\u261?zek mo\u380?liwie najszybciej.
\par 
\par W\u322?a\u347?ciwe wywi\u261?zanie si\u281? z obowi\u261?zku okre\u347?lonego w art. 34 RODO ma zapewni\u263? osobom, kt\u243?rych dane dotycz\u261?, szybk\u261? i przejrzyst\u261? informacj\u281? o naruszeniu ochrony ich danych osobowych wraz z opisem mo\u380?liwych konsekwencji naruszenia ochrony danych osobowych oraz \u347?rodk\u243?w, kt\u243?re mog\u261? one podj\u261?\u263? w celu zminimalizowania jego ewentualnych negatywnych skutk\u243?w. Post\u281?puj\u261?c zgodnie z prawem i wykazuj\u261?c dba\u322?o\u347?\u263? o interesy os\u243?b, kt\u243?rych dane dotycz\u261?, Bank powinien by\u322? bez zb\u281?dnej zw\u322?oki zapewni\u263? osobom, kt\u243?rych dane dotycz\u261?, mo\u380?liwo\u347?\u263? jak najlepszej ochrony danych osobowych. Dla osi\u261?gni\u281?cia tego celu niezb\u281?dne jest przynajmniej wskazanie tych informacji, kt\u243?re wymienione s\u261? w art. 34 ust. 2 RODO, z kt\u243?rego to obowi\u261?zku Bank nie wywi\u261?za\u322? si\u281?. Bank, podejmuj\u261?c zatem decyzj\u281?
\par 
\par o niezawiadomieniu o naruszeniu organu nadzorczego, jak i os\u243?b, kt\u243?rych dane dotycz\u261?, w praktyce pozbawi\u322? te osoby, przekazanej bez zb\u281?dnej zw\u322?oki, rzetelnej informacji o naruszeniu i mo\u380?liwo\u347?ci przeciwdzia\u322?ania potencjalnym szkodom.
\par 
\par Przes\u322?ana do skar\u380?\u261?cych przez Bank informacja o zagubionych dokumentach nie zawiera element\u243?w, o kt\u243?rych mowa w art. 34 ust. 2 RODO, co oznacza
\par 
\par w konsekwencji, \u380?e nie mo\u380?e zosta\u263? uznana za zawiadomienie o naruszeniu ochrony danych osobowych. Prawid\u322?owe zawiadomienie powinno bowiem jasnym
\par 
\par i prostym j\u281?zykiem opisywa\u263? charakter naruszenia ochrony danych osobowych oraz zawiera\u263? przynajmniej informacje i \u347?rodki, o kt\u243?rych mowa w art. 33 ust. 3 lit. b), c)
\par 
\par i d) RODO. Tymczasem informacja przes\u322?ana do skar\u380?\u261?cych zawiera\u322?a jedynie bardzo og\u243?lny opis charakteru naruszenia (bez wskazania kategorii danych obj\u281?tych naruszeniem) oraz \u347?rodki w celu zminimalizowania jego ewentualnych negatywnych skutk\u243?w, w tym umo\u380?liwienie skorzystania skar\u380?\u261?cym z bezp\u322?atnej us\u322?ugi [...]. W ww. pi\u347?mie nie umieszczono natomiast opisu mo\u380?liwych konsekwencji, z jakimi wi\u261?za\u263? si\u281? mo\u380?e przedmiotowe naruszenie ochrony danych osobowych oraz informacji o imieniu i nazwisku oraz danych kontaktowych inspektora ochrony danych lub oznaczeniu innego punktu kontaktowego, od kt\u243?rego mo\u380?na uzyska\u263? wi\u281?cej informacji.
\par 
\par Brak w niej r\u243?wnie\u380? odniesienia si\u281? do \u347?rodk\u243?w bezpiecze\u324?stwa zastosowanych przez administratora w celu zminimalizowania ryzyka ponownego wyst\u261?pienia naruszenia.
\par 
\par Prezes UODO w zwi\u261?zku z powy\u380?szym stwierdzi\u322?, \u380?e Bank nie dokona\u322? zg\u322?oszenia naruszenia ochrony danych osobowych organowi nadzorczemu
\par 
\par w wykonaniu obowi\u261?zku z art. 33 ust. 1 RODO oraz nie zawiadomi\u322? bez zb\u281?dnej zw\u322?oki os\u243?b, kt\u243?rych dane dotycz\u261?, o naruszeniu ochrony ich danych, zgodnie z art. 34 ust. 1 RODO, co oznacza naruszenie przez Bank tych przepis\u243?w.
\par 
\par Zgodnie z art. 34 ust. 4 RODO, je\u380?eli administrator nie zawiadomi\u322? jeszcze os\u243?b, kt\u243?rych dane dotycz\u261?, o naruszeniu ochrony danych osobowych, organ nadzorczy - bior\u261?c pod uwag\u281? prawdopodobie\u324?stwo, \u380?e to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko - mo\u380?e od niego tego za\u380?\u261?da\u263? lub mo\u380?e stwierdzi\u263?, \u380?e spe\u322?niony zosta\u322? jeden z warunk\u243?w, o kt\u243?rych mowa w ust. 3.
\par 
\par Z kolei z tre\u347?ci art. 58 ust. 2 lit. e) RODO wynika, \u380?e ka\u380?demu organowi nadzorczemu przys\u322?uguje uprawnienie naprawcze w postaci nakazania administratorowi zawiadomienia os\u243?b, kt\u243?rych dane dotycz\u261?, o naruszeniu ochrony danych.
\par 
\par Ponadto, zgodnie z art. 58 ust. 2 lit. i) RODO, ka\u380?demu organowi nadzorczemu przys\u322?uguje uprawnienie do zastosowania, opr\u243?cz lub zamiast innych \u347?rodk\u243?w naprawczych przewidzianych wart. 58 ust. 2 RODO, administracyjnej kary pieni\u281?\u380?nej na mocy art. 83 RODO, zale\u380?nie od okoliczno\u347?ci konkretnej sprawy.
\par 
\par Prezes UODO stwierdzi\u322?, \u380?e w rozpatrywanej sprawie zaistnia\u322?y przes\u322?anki uzasadniaj\u261?ce na\u322?o\u380?enie na Bank administracyjnej kary pieni\u281?\u380?nej w oparciu o art. 83 ust. 4 lit. a) RODO.
\par 
\par Prezes UODO poda\u322?, \u380?e decyduj\u261?c o na\u322?o\u380?eniu na Bank administracyjnej kary pieni\u281?\u380?nej - stosownie do tre\u347?ci art. 83 ust. 2 lit. a) - k) RODO - wzi\u261?\u322? pod uwag\u281? nast\u281?puj\u261?ce okoliczno\u347?ci, stanowi\u261?ce o konieczno\u347?ci zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wp\u322?ywaj\u261?ce obci\u261?\u380?aj\u261?co na wymiar na\u322?o\u380?onej administracyjnej kary pieni\u281?\u380?nej:
\par 
\par 1. Charakter i waga naruszenia (art. 83 ust. 2 lit. a RODO).
\par 
\par Stwierdzone w niniejszej sprawie naruszenie, polegaj\u261?ce na zagubieniu dokumentacji zawieraj\u261?cej dane osobowe klient\u243?w Banku w postaci: numeru PESEL wraz z imieniem i nazwiskiem, adresem zameldowania, numerem rachunk\u243?w bankowych, numerem CIF (numer identyfikacyjny nadawany klientom Banku), ma znaczn\u261? wag\u281? i powa\u380?ny charakter, poniewa\u380? mo\u380?e doprowadzi\u263? do szk\u243?d maj\u261?tkowych lub niemaj\u261?tkowych dla os\u243?b, kt\u243?rych dane zosta\u322?y naruszone,
\par 
\par a prawdopodobie\u324?stwo ich wyst\u261?pienia jest wysokie.
\par 
\par 2. Czas trwania naruszenia (art. 83 ust. 2 lit. a RODO).
\par 
\par Za okoliczno\u347?\u263? obci\u261?\u380?aj\u261?c\u261? organ uzna\u322? d\u322?ugi czas trwania naruszenia. Od powzi\u281?cia przez Bank informacji o naruszeniu ochrony danych osobowych do dnia wydania niniejszej decyzji up\u322?yn\u281?\u322?y ponad 2 lata, w trakcie kt\u243?rych ryzyko naruszenia praw lub wolno\u347?ci os\u243?b dotkni\u281?tych naruszeniem mog\u322?o si\u281? zrealizowa\u263?, a czemu osoby te nie mog\u322?y przeciwdzia\u322?a\u263? ze wzgl\u281?du na niewywi\u261?zanie si\u281? przez Bank
\par 
\par z obowi\u261?zku zg\u322?oszenia naruszenia ochrony danych osobowych Prezesowi UODO oraz z obowi\u261?zku powiadomienia os\u243?b, kt\u243?rych dane dotycz\u261?, w spos\u243?b prawid\u322?owy o naruszeniu. Co prawda, administrator zaproponowa\u322? poszkodowanym skorzystanie, w ramach \u347?rodk\u243?w w celu zaradzenia naruszeniu ochrony danych osobowych, z us\u322?ugi [...], jednak\u380?e w przes\u322?anym pi\u347?mie nie wskaza\u322? tak istotnych informacji, jak mo\u380?liwe konsekwencje naruszenia ochrony danych osobowych, czy te\u380? imi\u281? i nazwisko oraz dane kontaktowe inspektora ochrony danych, od kt\u243?rego osoby te mog\u322?yby uzyska\u263? wi\u281?cej informacji. W informacji
\par 
\par o zagubionych dokumentach brak r\u243?wnie\u380? wskazania kategorii danych osobowych obj\u281?tych naruszeniem, kt\u243?re powinien zawiera\u263? opis charakteru naruszenia. Administrator w przes\u322?anym pi\u347?mie nie poda\u322? tak\u380?e \u347?rodk\u243?w bezpiecze\u324?stwa zastosowanych przez niego w celu zminimalizowania ryzyka ponownego wyst\u261?pienia naruszenia.
\par 
\par 3. Umy\u347?lny charakter naruszenia (art. 83 ust. 2 lit. b RODO).
\par 
\par Zdaniem organu, Bank podj\u261?\u322? \u347?wiadom\u261? decyzj\u281?, by nie zawiadamia\u263?
\par 
\par o naruszeniu Prezesa UODO, jak i os\u243?b, kt\u243?rych dane dotycz\u261?. Bank bowiem, przetwarzaj\u261?c dane osobowe na masow\u261? skal\u281?, ma wysoki poziom wiedzy
\par 
\par w zakresie ochrony danych osobowych, obejmuj\u261?cy wiedz\u281? o konsekwencjach stwierdzenia naruszenia ochrony danych osobowych skutkuj\u261?cego ("\u347?rednim"
\par 
\par w ocenie samego Banku) ryzykiem naruszenia praw i wolno\u347?ci os\u243?b fizycznych. Maj\u261?c tak\u261? wiedz\u281?, po dokonaniu analizy ryzyka, Bank wyrazi\u322? wol\u281? (podj\u261?\u322? \u347?wiadom\u261? i woln\u261? decyzj\u281?) rezygnacji z dokonania zg\u322?oszenia naruszenia Prezesowi UODO i powiadomienia os\u243?b, kt\u243?rych dane dotycz\u261?. Wola ta ujawniona zosta\u322?a
\par 
\par i konsekwentnie by\u322?a podtrzymywana przez Bank w post\u281?powaniu prowadzonym przed Prezesem UODO, w trakcie kt\u243?rego organ w pierwszej kolejno\u347?ci informowa\u322? Bank o obowi\u261?zkach ci\u261?\u380?\u261?cych na administratorze w zwi\u261?zku z naruszeniem ochrony danych oraz o mo\u380?liwo\u347?ci wyst\u261?pienia w sprawie wysokiego ryzyka naruszenia praw i wolno\u347?ci os\u243?b, kt\u243?rych dotyczy\u322?o naruszenie. W ko\u324?cu samo wszcz\u281?cie przez Prezesa UODO niniejszego post\u281?powania w przedmiocie obowi\u261?zku zg\u322?oszenia naruszenia ochrony danych osobowych organowi nadzorczemu i zawiadomienia o naruszeniu os\u243?b, kt\u243?rych dane dotycz\u261?, powinno nasun\u261?\u263? Bankowi, co najmniej w\u261?tpliwo\u347?ci co do w\u322?asnej oceny skutk\u243?w naruszenia.
\par 
\par 4. Stopie\u324? wsp\u243?\u322?pracy z organem nadzorczym w celu usuni\u281?cia naruszenia oraz z\u322?agodzenia jego ewentualnych negatywnych skutk\u243?w (art. 83 ust. 2 lit. f RODO).
\par 
\par Prezes UODO uzna\u322? za niezadowalaj\u261?c\u261? wsp\u243?\u322?prac\u281? z nim w niniejszej sprawie ze strony Banku. Ocena ta dotyczy reakcji Banku na pisma Prezesa UODO informuj\u261?ce o obowi\u261?zkach ci\u261?\u380?\u261?cych na administratorze w zwi\u261?zku z naruszeniem ochrony danych, czy wreszcie wobec wszcz\u281?cia post\u281?powania administracyjnego
\par 
\par w przedmiocie obowi\u261?zku zg\u322?oszenia naruszenia ochrony danych osobowych
\par 
\par i zawiadomienia o naruszeniu os\u243?b, kt\u243?rych dane dotycz\u261?.
\par 
\par W ocenie Prezesa Prezes Urz\u281?du Ochrony Danych Osobowych, prawid\u322?owe dzia\u322?ania (zg\u322?oszenie naruszenia Prezesowi UODO i zawiadomienie o nim os\u243?b, kt\u243?rych dotyczy\u322?o naruszenie) nie zosta\u322?y podj\u281?te przez Bank nawet po wszcz\u281?ciu przez Prezesa UODO post\u281?powania administracyjnego w sprawie.
\par 
\par 5. Kategorie danych osobowych, kt\u243?rych dotyczy\u322?o naruszenie (art. 83 ust. 2 lit. g RODO).
\par 
\par Dane osobowe udost\u281?pnione osobie nieuprawnionej nie nale\u380?\u261? do szczeg\u243?lnych kategorii danych osobowych, o kt\u243?rych mowa w art. 9 RODO, jednak\u380?e ich szeroki zakres (imi\u281? i nazwisko, adres zameldowania, numer PESEL, numery rachunk\u243?w bankowych oraz numer identyfikacyjny nadawany klientom Banku - numer CIF), wi\u261?\u380?e si\u281? z wysokim ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych.
\par 
\par 6. Spos\u243?b, w jaki organ nadzorczy dowiedzia\u322? si\u281? o naruszeniu (art. 83 ust. 2 lit. h RODO).
\par 
\par O naruszeniu ochrony danych osobowych stanowi\u261?cych przedmiot niniejszej sprawy, to jest o zagubieniu przez firm\u281? kuriersk\u261? [...] dokumentacji, zawieraj\u261?cej dane osobowe przetwarzane przez Bank dzia\u322?aj\u261?cy jako administrator tych\u380?e danych, Prezes UODO nie zosta\u322? poinformowany zgodnie z przewidzian\u261? dla takich w\u322?a\u347?nie sytuacji procedur\u261? okre\u347?lon\u261? w art. 33 RODO. Organ za okoliczno\u347?\u263? obci\u261?\u380?aj\u261?c\u261? administratora uzna\u322? brak informacji o naruszeniu ochrony danych pochodz\u261?cych ze strony administratora zobowi\u261?zanego do przekazania takiej informacji Prezesowi UODO.
\par 
\par Prezes UODO wskaza\u322?, \u380?e ustalaj\u261?c wysoko\u347?\u263? administracyjnej kary pieni\u281?\u380?nej, uwzgl\u281?dni\u322? r\u243?wnie\u380? okoliczno\u347?ci \u322?agodz\u261?ce, maj\u261?ce wp\u322?yw na ostateczny wymiar kary, tj.:
\par 
\par 1. Liczba poszkodowanych os\u243?b, kt\u243?rych dane dotycz\u261? (art. 83 ust. 2 lit. a RODO).
\par 
\par W niniejszej sprawie ustalono, \u380?e naruszenie dotyczy\u322?o danych osobowych tylko dw\u243?ch os\u243?b.
\par 
\par Taka liczba os\u243?b dotkni\u281?tych naruszeniem, szczeg\u243?lnie wobec faktu, \u380?e Bank -
\par 
\par w zwi\u261?zku ze skal\u261? i zakresem swojej dzia\u322?alno\u347?ci - przetwarza dane osobowe bardzo du\u380?ej liczby klient\u243?w, nale\u380?y uzna\u263? za niewielk\u261?, co niew\u261?tpliwie stanowi okoliczno\u347?\u263? \u322?agodz\u261?c\u261? w niniejszej sprawie.
\par 
\par 2. Dzia\u322?ania podj\u281?te przez administratora lub podmiot przetwarzaj\u261?cy w celu zminimalizowania szkody poniesionej przez osoby, kt\u243?rych dane dotycz\u261? (art. 83 ust. 2 lit. c RODO).
\par 
\par Administrator przekaza\u322? osobom, kt\u243?rych dane dotycz\u261?, pewne informacje dotycz\u261?ce
\par 
\par naruszenia, w tym jego charakter (jednak\u380?e bez tak istotnych informacji, jak zakres danych osobowych obj\u281?tych naruszeniem) i wskaza\u322? \u347?rodki w celu zminimalizowania jego ewentualnych negatywnych skutk\u243?w, umo\u380?liwiaj\u261?c skorzystanie osobom, kt\u243?rych dane dotycz\u261?, z bezp\u322?atnej us\u322?ugi [...]. Takie dzia\u322?anie administratora zas\u322?uguje na dostrze\u380?enie i akceptacj\u281?, jednak\u380?e nie jest w \u380?adnym wypadku r\u243?wnoznaczne ze spe\u322?nieniem obowi\u261?zku, o kt\u243?rym mowa w art. 34 ust. 1 RODO.
\par 
\par \u379?adnego wp\u322?ywu na fakt zastosowania przez Prezesa UODO w niniejszej sprawie sankcji w postaci administracyjnej kary pieni\u281?\u380?nej, jak r\u243?wnie\u380? na jej wysoko\u347?\u263?, nie mia\u322?y inne, wskazane w art. 83 ust. 2 RODO, okoliczno\u347?ci.
\par 
\par 3. Stopie\u324? odpowiedzialno\u347?ci administratora z uwzgl\u281?dnieniem \u347?rodk\u243?w technicznych i organizacyjnych wdro\u380?onych przez niego na mocy art. 25 i art. 32 (art. 83 ust. 2 lit. d RODO).
\par 
\par Wed\u322?ug Prezesa Prezes Urz\u281?du Ochrony Danych Osobowych, naruszenie oceniane w niniejszym post\u281?powaniu (niezg\u322?oszenie Prezesowi UODO naruszenia ochrony danych osobowych oraz niezawiadomienie o naruszeniu ochrony danych osobowych os\u243?b, kt\u243?rych dane dotycz\u261?) nie ma zwi\u261?zku ze stosowanymi przez administratora \u347?rodkami technicznymi i organizacyjnymi.
\par 
\par 4. Wcze\u347?niejsze naruszenia przepis\u243?w RODO ze strony administratora (art. 83 ust. 2 lit. e RODO).
\par 
\par Organ nie stwierdzi\u322? wcze\u347?niejszych narusze\u324? przepis\u243?w RODO przez Bank w tym zakresie.
\par 
\par 5. Przestrzeganie wcze\u347?niej zastosowanych w tej samej sprawie \u347?rodk\u243?w, o kt\u243?rych mowa w art. 58 ust. 2 RODO (art. 83 ust. 2 lit. i RODO).
\par 
\par Prezes UODO nie stosowa\u322? wcze\u347?niej \u347?rodk\u243?w, o kt\u243?rych mowa we wskazanym przepisie.
\par 
\par 6. Stosowanie zatwierdzonych kodeks\u243?w post\u281?powania na mocy art. 40 RODO lub zatwierdzonych mechanizm\u243?w certyfikacji na mocy art. 42 RODO (art. 83 ust 2 lit. j RODO).
\par 
\par Administrator nie stosuje zatwierdzonych kodeks\u243?w post\u281?powania ani zatwierdzonych mechanizm\u243?w certyfikacji.
\par 
\par 7. Osi\u261?gni\u281?te bezpo\u347?rednio lub po\u347?rednio w zwi\u261?zku z naruszeniem korzy\u347?ci finansowe lub unikni\u281?te straty (art. 83 ust. 2 lit. k).
\par 
\par Organ nie stwierdzi\u322?, aby administrator osi\u261?gn\u261?\u322? w zwi\u261?zku z naruszeniem jakiekolwiek korzy\u347?ci lub unikn\u261?\u322? strat finansowych.
\par 
\par W ocenie Prezesa Prezes Urz\u281?du Ochrony Danych Osobowych, zastosowana administracyjna kara pieni\u281?\u380?na spe\u322?nia w ustalonych okoliczno\u347?ciach niniejszej sprawy funkcje, o kt\u243?rych mowa w art. 83 ust. 1 RODO, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszaj\u261?ca.
\par 
\par Podkre\u347?li\u322?, \u380?e kara b\u281?dzie skuteczna, je\u380?eli jej na\u322?o\u380?enie doprowadzi do tego, \u380?e Bank, profesjonalnie i na skal\u281? masow\u261? przetwarzaj\u261?cy dane osobowe,
\par 
\par w przysz\u322?o\u347?ci b\u281?dzie wywi\u261?zywa\u322? si\u281? ze swoich obowi\u261?zk\u243?w z zakresu ochrony danych osobowych, w szczeg\u243?lno\u347?ci w zakresie zg\u322?aszania naruszenia ochrony danych osobowych Prezesowi UODO oraz zawiadamiania o naruszeniu ochrony danych osobowych os\u243?b, kt\u243?rych dotyczy\u322?o naruszenie.
\par 
\par Zdaniem Prezesa UODO, administracyjna kara pieni\u281?\u380?na spe\u322?ni te\u380? funkcj\u281? represyjn\u261?, jako \u380?e stanowi\u263? b\u281?dzie odpowied\u378? na naruszenie przez Bank przepis\u243?w RODO. B\u281?dzie r\u243?wnie\u380? spe\u322?nia\u263? funkcj\u281? prewencyjn\u261?, wska\u380?e bowiem zar\u243?wno Bankowi, jak i innym administratorom danych, na naganno\u347?\u263? lekcewa\u380?enia obowi\u261?zk\u243?w administrator\u243?w zwi\u261?zanych z zaistnieniem naruszenia ochrony danych osobowych, a maj\u261?cych na celu przecie\u380? zapobie\u380?enie jego negatywnym i cz\u281?sto dotkliwym dla os\u243?b, kt\u243?rych naruszenie dotyczy, skutkom, a tak\u380?e usuni\u281?cie tych skutk\u243?w lub przynajmniej ograniczenie.
\par 
\par Prezes UODO, maj\u261?c powy\u380?sze na uwadze, na podstawie art. 83 ust. 4 lit. a) w zwi\u261?zku z art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, za naruszenie opisane w sentencji niniejszej decyzji, na\u322?o\u380?y\u322? na Bank administracyjn\u261? kar\u281? pieni\u281?\u380?n\u261? w kwocie 363.832 PLN (s\u322?ownie: trzysta sze\u347?\u263?dziesi\u261?t trzy tysi\u261?ce osiemset trzydzie\u347?ci dwa z\u322?ote, co stanowi r\u243?wnowarto\u347?\u263? 80.000 EUR).
\par 
\par W ocenie Prezesa UODO, zastosowana kara pieni\u281?\u380?na spe\u322?nia w ustalonych okoliczno\u347?ciach niniejszej sprawy przes\u322?anki, o kt\u243?rych mowa w art. 83 ust. 1 RODO ze wzgl\u281?du na powag\u281? stwierdzonego naruszenia w kontek\u347?cie podstawowego celu RODO - ochrony podstawowych praw i wolno\u347?ci os\u243?b fizycznych, w szczeg\u243?lno\u347?ci prawa do ochrony danych osobowych.
\par 
\par Odnosz\u261?c si\u281? do wysoko\u347?ci wymierzonej Bankowi administracyjnej kary pieni\u281?\u380?nej, uzna\u322?, i\u380? jest ona proporcjonalna do sytuacji finansowej Banku i nie b\u281?dzie stanowi\u322?a dla niego nadmiernego obci\u261?\u380?enia. Wysoko\u347?\u263? kary zosta\u322?a bowiem okre\u347?lona na takim poziomie, aby z jednej strony stanowi\u322?a adekwatn\u261? reakcj\u281? organu nadzorczego na stopie\u324? naruszenia obowi\u261?zk\u243?w administratora, z drugiej jednak strony nie powodowa\u322?a sytuacji, w kt\u243?rej konieczno\u347?\u263? uiszczenia kary finansowej poci\u261?gnie za sob\u261? negatywne nast\u281?pstwa, w postaci znacz\u261?cej redukcji zatrudnienia b\u261?d\u378? istotnego spadku obrot\u243?w Banku.
\par 
\par Zdaniem Prezesa UODO, Bank powinien i jest w stanie ponie\u347?\u263? konsekwencje swoich zaniedba\u324? w sferze ochrony danych, o czym \u347?wiadczy chocia\u380?by sprawozdanie finansowe Banku, przes\u322?ane do Prezesa UODO w dniu [...] maja 2021 r.
\par 
\par Bank pismem z dnia 17 listopada 2021 r. skierowa\u322? do Wojew\u243?dzkiego S\u261?du Administracyjnego w Warszawie skarg\u281? na decyzj\u281? Prezesa UODO z dnia [...] pa\u378?dziernika 2021 r., wnosz\u261?c o jej uchylenie w ca\u322?o\u347?ci i zas\u261?dzenie zwrotu koszt\u243?w post\u281?powania, w tym koszt\u243?w zast\u281?pstwa procesowego, wed\u322?ug norm przepisanych.
\par 
\par Wnosz\u261?cy skarg\u281? zaskar\u380?onej decyzji zarzuci\u322? naruszenie przepis\u243?w prawa materialnego, kt\u243?re mia\u322?o wp\u322?yw na wynik sprawy, tj.:
\par 
\par 1) art. 33 ust. 1 RODO i art. 34 ust. 1 RODO w zw. z art. 4 pkt 7 RODO polegaj\u261?ce na ich b\u322?\u281?dnej wyk\u322?adni, a w konsekwencji na niew\u322?a\u347?ciwym zastosowaniu i b\u322?\u281?dnym przyj\u281?ciu, \u380?e Bank by\u322? zobowi\u261?zany do zg\u322?oszenia naruszenia ochrony danych osobowych do organu i zawiadomienia podmiot\u243?w danych o naruszeniu;
\par 
\par 2) art. 33 ust. 1 RODO w zw. z art. 4 pkt 12 RODO polegaj\u261?ce na ich b\u322?\u281?dnej wyk\u322?adni, a w konsekwencji niew\u322?a\u347?ciwym zastosowaniu i przyj\u281?ciu, \u380?e Bank mia\u322? obowi\u261?zek zg\u322?osi\u263? do Prezesa UODO zgubienie przesy\u322?ki, zawieraj\u261?cej dane osobowe W. G. i M. G., przez wsp\u243?\u322?pracuj\u261?c\u261? z nim firm\u281? kuriersk\u261? w sytuacji, gdy zdarzenie to nie stanowi\u322?o naruszenia ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO, co doprowadzi\u322?o do niezasadnego stwierdzenia, \u380?e Bank naruszy\u322? obowi\u261?zek zg\u322?oszenia naruszenia ochrony danych osobowych do organu i zawiadomienia podmiot\u243?w danych o naruszeniu i na\u322?o\u380?enia na Bank administracyjnej kary pieni\u281?\u380?nej;
\par 
\par 3) art. 58 ust. 2 lit. e) oraz i) RODO oraz art. 33 ust. 1 RODO, polegaj\u261?ce na ich niew\u322?a\u347?ciwym zastosowaniu i przyj\u281?ciu, \u380?e Bank mia\u322? obowi\u261?zek zg\u322?osi\u263? do Prezesa UODO zgubienie przesy\u322?ki, zawieraj\u261?cej dane osobowe W. G. i M. G., przez wsp\u243?\u322?pracuj\u261?c\u261? z nim firm\u281? kuriersk\u261? z uwagi na wysokie ryzyko naruszenia praw i wolno\u347?ci os\u243?b fizycznych, w sytuacji, gdy zdarzenie to, nawet
\par 
\par w przypadku jego kwalifikacji jako naruszenie ochrony danych osobowych, nie wi\u261?za\u322?o si\u281? z wi\u281?kszym ni\u380? ma\u322?e prawdopodobie\u324?stwem wyst\u261?pienia ryzyka naruszenia praw lub wolno\u347?ci podmiot\u243?w danych na poziomie uzasadniaj\u261?cym takie zg\u322?oszenie do organu, co Bank oceni\u322? w wyniku przeprowadzenia prawid\u322?owej analizy ryzyka, wykonanej zgodnie z metodyk\u261? Agencji Unii Europejskiej ds. Cyberbezpiecze\u324?stwa ("ENISA"), rekomendowan\u261? przez Europejsk\u261? Rad\u281? Ochrony Danych (EROD), kt\u243?ra wykaza\u322?a, \u380?e powag\u281? naruszenia nale\u380?y oceni\u263? na poziomie \u347?rednim, a w konsekwencji nie jest konieczne zg\u322?oszenie naruszenia do Prezesa UODO, a tym bardziej zawiadomienie podmiot\u243?w danych, co doprowadzi\u322?o do niezasadnego stwierdzenia przez organ, \u380?e Bank naruszy\u322? obowi\u261?zek zg\u322?oszenia naruszenia ochrony danych osobowych do organu i zawiadomienia podmiot\u243?w danych o naruszeniu, a nast\u281?pnie do na\u322?o\u380?enia na Bank administracyjnej kary pieni\u281?\u380?nej;
\par 
\par 4) art. 58 ust. 2 lit. e) oraz i) RODO oraz art. 34 ust. 1 RODO, polegaj\u261?ce na ich niew\u322?a\u347?ciwym zastosowaniu i przyj\u281?ciu, \u380?e Bank mia\u322? obowi\u261?zek dokona\u263? zawiadomienia wobec W. G. i M. G. o zgubieniu przesy\u322?ki, zawieraj\u261?cej ich dane osobowe, przez wsp\u243?\u322?pracuj\u261?c\u261? z nim firm\u281? kuriersk\u261?, kt\u243?rego nie zrealizowa\u322? w sytuacji, gdy incydent bezpiecze\u324?stwa nie wi\u261?za\u322? si\u281? z wysokim ryzykiem naruszenia praw i wolno\u347?ci os\u243?b fizycznych, a wi\u281?c takie zawiadomienie nie by\u322?o konieczne, a pomimo to Bank powiadomi\u322? osoby, kt\u243?rych dane dotycz\u261?
\par 
\par o incydencie bezpiecze\u324?stwa, a tak\u380?e przekaza\u322? im informacje, o kt\u243?rych mowa
\par 
\par w art. 34 ust. 2 RODO, co doprowadzi\u322?o do niezasadnego stwierdzenia przez organ, \u380?e Bank naruszy\u322? te przepisy, a nast\u281?pnie do na\u322?o\u380?enia na Bank administracyjnej kary pieni\u281?\u380?nej;
\par 
\par 5) art. 58 ust. 21 lit. e) oraz i RODO oraz art. 33 ust. 1 RODO i art. 34 ust. 1 RODO, polegaj\u261?ce na ich niew\u322?a\u347?ciwym zastosowaniu i przyj\u281?ciu, \u380?e w przypadku, gdy naruszeniem ochrony danych osobowych obj\u281?ty jest numer PESEL, zachodzi wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, w sytuacji gdy ka\u380?dorazowe wyst\u261?pienie naruszenia ochrony danych osobowych wymaga odr\u281?bnej analizy ryzyka w kontek\u347?cie zmiennych element\u243?w stanu faktycznego,
\par 
\par a w konsekwencji obj\u281?cie numeru PESEL naruszeniem nie stanowi automatycznie
\par 
\par o wysokim poziomie ryzyka, co doprowadzi\u322?o do niezasadnego stwierdzenia przez organ, \u380?e Bank naruszy\u322? te przepisy, a nast\u281?pnie do na\u322?o\u380?enia na Bank administracyjnej kary pieni\u281?\u380?nej;
\par 
\par 6) art. 83 ust. 1 w zwi\u261?zku z art. 83 ust. 2 lit. a) RODO, polegaj\u261?ce na ich niew\u322?a\u347?ciwym zastosowaniu i przyj\u281?ciu, \u380?e:
\par 
\par a) naruszenie ma powa\u380?ny charakter i znaczn\u261? wag\u281?, ze wzgl\u281?du na fakt, \u380?e osoby, kt\u243?rych dotyczy\u322?o rzekome naruszenie, mog\u322?y ponie\u347?\u263? szkod\u281? maj\u261?tkow\u261? lub niemaj\u261?tkow\u261?, o kt\u243?rej mowa w art. 83 ust. 2 lit. a) RODO, a prawdopodobie\u324?stwo ich poniesienia jest wysokie, podczas gdy organ nie stwierdzi\u322? powstania szkody maj\u261?tkowej \u322?ub niemaj\u261?tkowej po stronie podmiot\u243?w danych, a prawdopodobie\u324?stwo jej wyst\u261?pienia po up\u322?ywie ponad 2,5 roku od daty rzekomego naruszenia ochrony danych osobowych jest marginalne,
\par 
\par b) naruszenie ma charakter d\u322?ugotrwa\u322?y z uwagi na fakt, \u380?e w okresie ponad 2 lat od daty rzekomego naruszenia do daty wydania decyzji ryzyko naruszenia praw lub wolno\u347?ci mog\u322?o si\u281? zrealizowa\u263?, a osoby, kt\u243?rych dane dotycz\u261? nie mog\u322?y temu przeciwdzia\u322?a\u263? z uwagi na niewywi\u261?zanie si\u281? Banku z w\u322?a\u347?ciwego zg\u322?oszenia
\par 
\par i zawiadomienia o naruszeniu, podczas gdy naruszenie nie mia\u322?o d\u322?ugotrwa\u322?ego charakteru, gdy\u380? Bank niezw\u322?ocznie przyst\u261?pi\u322? do analizy incydentu bezpiecze\u324?stwa, a nast\u281?pnie niezw\u322?ocznie poinformowa\u322? podmioty danych o zdarzeniu, pomimo i\u380?
\par 
\par w jego ocenie zdarzenie to nie stanowi\u322?o naruszenia ochrony danych osobowych,
\par 
\par a tak\u380?e nie wi\u261?za\u322?o si\u281? i nadal nie wi\u261?\u380?e si\u281? z wysokim ryzykiem dla praw i wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261?, co doprowadzi\u322?o do na\u322?o\u380?enia na Bank administracyjnej kary pieni\u281?\u380?nej w nieadekwatnej wysoko\u347?ci, naruszaj\u261?cej zasad\u281? proporcjonalno\u347?ci;
\par 
\par 7) art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. b) RODO, polegaj\u261?ce na ich niew\u322?a\u347?ciwym zastosowaniu i uznaniu za okoliczno\u347?\u263? obci\u261?\u380?aj\u261?c\u261?, i\u380? rzekome naruszenie przepis\u243?w RODO przez Bank mia\u322?o charakter umy\u347?lny, w sytuacji, w kt\u243?rej Bank dokona\u322? prawid\u322?owej analizy incydentu bezpiecze\u324?stwa zgodnie z metodyk\u261? ENISA rekomendowan\u261? przez EROD, a nast\u281?pnie zgodnie z podej\u347?ciem opartym na ryzyku podj\u261?\u322? pe\u322?noprawn\u261? decyzj\u281? o niezg\u322?aszaniu naruszenia ochrony danych osobowych do organu, jednocze\u347?nie podejmuj\u261?c wszelkie dzia\u322?ania, maj\u261?ce na celu zapobie\u380?enie ewentualnym negatywnym skutkom incydentu bezpiecze\u324?stwa, w tym kontakt z osobami, kt\u243?rych dane dotycz\u261?, co doprowadzi\u322?o do na\u322?o\u380?enia na Bank administracyjnej kary pieni\u281?\u380?nej w nieadekwatnej wysoko\u347?ci, naruszaj\u261?cej zasad\u281? proporcjonalno\u347?ci;
\par 
\par 8) art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. f) RODO, polegaj\u261?ce na ich niew\u322?a\u347?ciwym zastosowaniu i uznaniu za okoliczno\u347?\u263? obci\u261?\u380?aj\u261?c\u261? co do braku wsp\u243?\u322?pracy Banku
\par 
\par z organem w celu usuni\u281?cia naruszenia lub z\u322?agodzenia jego ewentualnych negatywnych skutk\u243?w, w sytuacji, w kt\u243?rej Bank ka\u380?dorazowo udziela\u322? wyczerpuj\u261?cych wyja\u347?nie\u324? na pytania organu i przedstawia\u322? niezb\u281?dne dowody,
\par 
\par w terminach wskazanych przez organ, pomimo i\u380? dzia\u322?a\u322? w przekonaniu, \u380?e incydent bezpiecze\u324?stwa nie stanowi naruszenia, a w przypadku jego kwalifikacji jako naruszenia, nie wi\u261?\u380?e si\u281? on z ryzykiem dla podmiot\u243?w danych na poziomie wymagaj\u261?cym zg\u322?oszenia do organu lub podmiot\u243?w danych, wobec czego organ nie powinien by\u322? traktowa\u263? tej przes\u322?anki jako okoliczno\u347?ci obci\u261?\u380?aj\u261?cej, co doprowadzi\u322?o do na\u322?o\u380?enia na Bank administracyjnej kary pieni\u281?\u380?nej w nieadekwatnej wysoko\u347?ci, naruszaj\u261?cej zasad\u281? proporcjonalno\u347?ci;
\par 
\par 9) art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. g) RODO, polegaj\u261?ce na ich niew\u322?a\u347?ciwym zastosowaniu i uznaniu za okoliczno\u347?\u263? obci\u261?\u380?aj\u261?c\u261? kategorii danych osobowych obj\u281?tych rzekomym naruszeniem, w sytuacji gdy naruszenie nie dotyczy\u322?o szczeg\u243?lnych kategorii danych ani danych, o kt\u243?rych mowa w art. 10 RODO,
\par 
\par a zakres danych obj\u281?tych naruszeniem by\u322? w\u261?ski i w przypadku jednego
\par 
\par z dw\u243?ch podmiot\u243?w danych, kt\u243?rych dotyczy\u322?o naruszenie, obejmowa\u322? jedynie trzy rekordy danych, wobec czego organ nie powinien by\u322? traktowa\u263? tej przes\u322?anki jako okoliczno\u347?ci obci\u261?\u380?aj\u261?cej, co doprowadzi\u322?o do na\u322?o\u380?enia na Bank administracyjnej kary pieni\u281?\u380?nej w nieadekwatnej wysoko\u347?ci, naruszaj\u261?cej zasad\u281? proporcjonalno\u347?ci;
\par 
\par 10) art. 83 ust. 1 w zw. z art. 83 ust. 2 lit d), e) i k) RODO, polegaj\u261?ce na ich niew\u322?a\u347?ciwym zastosowaniu i przyj\u281?ciu, \u380?e stopie\u324? odpowiedzialno\u347?ci Banku
\par 
\par z uwzgl\u281?dnieniem wdro\u380?onych \u347?rodk\u243?w technicznych i organizacyjnych, jak r\u243?wnie\u380? brak wcze\u347?niejszego naruszenia ze strony Banku oraz nieosi\u261?gni\u281?cie przez Bank bezpo\u347?rednio lub po\u347?rednio w zwi\u261?zku z naruszeniem korzy\u347?ci finansowych lub unikni\u281?cie przez Bank straty, nie mia\u322?y \u380?adnego wp\u322?ywu na wymiar administracyjnej kary pieni\u281?\u380?nej na\u322?o\u380?onej przez organ na Bank, podczas gdy stanowi\u261? one okoliczno\u347?ci \u322?agodz\u261?ce maj\u261?ce zastosowanie w ka\u380?dym indywidualnym przypadku naruszenia, w tym odnosz\u261?ce si\u281? do Banku, co doprowadzi\u322?o do na\u322?o\u380?enia na Bank administracyjnej kary pieni\u281?\u380?nej w nieadekwatnej wysoko\u347?ci, naruszaj\u261?cej zasad\u281? proporcjonalno\u347?ci;
\par 
\par 11) art. 83 ust. 1 RODO, polegaj\u261?ce na jego niew\u322?a\u347?ciwym zastosowaniu
\par 
\par i wymierzeniu Bankowi administracyjnej kary pieni\u281?\u380?nej za naruszenie przepis\u243?w RODO, obj\u281?tych przepisem art. 83 ust. 4 lit. a) RODO, w celu zniech\u281?cenia innych administrator\u243?w do naruszania w przysz\u322?o\u347?ci prawa ochrony danych osobowych, co skutkowa\u322?o wymierzeniem kary z naruszeniem zasady jej zindywidualizowania
\par 
\par i w wysoko\u347?ci nieproporcjonalnej do rzekomego naruszenia przepis\u243?w RODO, kt\u243?rego w ocenie organu dopu\u347?ci\u322? si\u281? Bank.
\par 
\par Wnosz\u261?cy skarg\u281?, w uzasadnieniu skargi podni\u243?s\u322?, i\u380? Bank nie by\u322? zobowi\u261?zany do zg\u322?oszenia naruszenia ochrony danych osobowych do organu
\par 
\par i zawiadomienia podmiot\u243?w danych o naruszeniu. Organ w og\u243?le nie zaj\u261?\u322? si\u281? ustaleniem jaki - w \u347?wietle przepis\u243?w RODO - status posiada firma kurierska.
\par 
\par Zdaniem skar\u380?\u261?cego, w momencie przej\u281?cia dokument\u243?w, zawieraj\u261?cych dane M. i W. G., administratorem danych zawartych w tych dokumentach sta\u322?a si\u281? [...]. Skoro zatem do ewentualnego naruszenia dosz\u322?o w trakcie przesy\u322?ki (a ustalenia dokonane przez organ temu nie przecz\u261?), to w tym zakresie to [...] powinna wykona\u263? obowi\u261?zki, o kt\u243?rych mowa w art. 33 ust. 1 i 34 ust. 1 RODO. Argumentuj\u261?c wskaza\u322? na wyrok Wojew\u243?dzkiego S\u261?du Administracyjnego
\par 
\par w Warszawie z 15 listopada 2021 r. sygn. II SA/Wa 2465/21.
\par 
\par Wnosz\u261?cy skarg\u281? stwierdzi\u322?, \u380?e nawet gdyby przyj\u261?\u263?, \u380?e Bank by\u322? administratorem danych w chwili ich zagubienia, to niezasadne jest twierdzenie, \u380?e mia\u322? obowi\u261?zek zg\u322?osi\u263? do Prezesa UODO zgubienie przesy\u322?ki zawieraj\u261?cej dane osobowe W. G. i M. G. przez wsp\u243?\u322?pracuj\u261?c\u261? z nim firm\u281? kuriersk\u261? w sytuacji, gdy zdarzenie to nie stanowi\u322?o naruszenia ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO w sytuacji, gdy zdarzenie to nawet
\par 
\par w przypadku jego kwalifikacji jako naruszenie ochrony danych osobowych, nie wi\u261?za\u322?o si\u281? z wi\u281?kszym ni\u380? ma\u322?e prawdopodobie\u324?stwem wyst\u261?pienia ryzyka naruszenia praw lub wolno\u347?ci podmiot\u243?w danych, co skar\u380?\u261?cy oceni\u322? w wyniku przeprowadzenia prawid\u322?owej analizy ryzyka.
\par 
\par Bank zakwestionowa\u322? twierdzenie organu o d\u322?ugotrwa\u322?ym i umy\u347?lnym charakterze naruszenia oraz przyj\u281?cie za okoliczno\u347?\u263? obci\u261?\u380?aj\u261?c\u261? brak wsp\u243?\u322?pracy
\par 
\par z organem nadzoru.
\par 
\par Zdaniem Banku, administracyjna kara pieni\u281?\u380?na zosta\u322?a na\u322?o\u380?ona
\par 
\par w nieadekwatnej wysoko\u347?ci z naruszeniem zasady proporcjonalno\u347?ci; wobec nieuwzgl\u281?dnienia istotnych okoliczno\u347?ci \u322?agodz\u261?cych.
\par 
\par W odpowiedzi na skarg\u281? Prezes UODO wni\u243?s\u322? o jej oddalenie, podtrzymuj\u261?c stanowisko zaj\u281?te w zaskar\u380?onej decyzji. Odnosz\u261?c si\u281? do zarzut\u243?w skargi podni\u243?s\u322? m.in., i\u380? to Bank jest administratorem danych M. i W. G.
\par 
\par w zakresie, w jakim dokumenty zawieraj\u261?ce ich dane uleg\u322?y zagubieniu w trakcie przesy\u322?ki i to Bank zobowi\u261?zany by\u322? do zg\u322?oszenia naruszenia ochrony danych osobowych. Tylko bowiem nadawca (w przedmiotowej sprawie Bank) posiada wiedz\u281? o tym, jakie dane przekazywane s\u261? w przesy\u322?ce, a tym samym mo\u380?e oceni\u263?, jakim ryzykiem dla praw lub wolno\u347?ci osoby fizycznej skutkuje utrata przesy\u322?ki i ma tym samym mo\u380?liwo\u347?\u263? wykonania obowi\u261?zku z art. 33 i art. 34 RODO. Operator pocztowy w przedmiotowej sprawie takiej wiedzy nie posiada i posiada\u263? nie mo\u380?e. Zgodnie z art. 41 ust. 1 ustawy Prawo Pocztowe (Dz. U. z 2020 r. poz. 1041 z p\u243?\u378?n. zm.), operatorzy pocztowi zobowi\u261?zani s\u261? do ochrony tajemnicy pocztowej obejmuj\u261?cej informacje przekazywane w przesy\u322?kach pocztowych. Maj\u261? oni obowi\u261?zek zachowania nale\u380?ytej staranno\u347?ci w zakresie uzasadnionym wzgl\u281?dami technicznymi lub ekonomicznymi przy zabezpieczaniu urz\u261?dze\u324? i obiekt\u243?w wykorzystywanych przy \u347?wiadczeniu us\u322?ug pocztowych oraz zbior\u243?w danych przed ujawnieniem tajemnicy pocztowej (art. 41 ust. 6 ustawy Prawo pocztowe).
\par 
\par W momencie przyj\u281?cia przesy\u322?ki, operator pocztowy ma obowi\u261?zek wykona\u263? us\u322?ug\u281?
\par 
\par z nale\u380?yt\u261? staranno\u347?ci\u261? i w tym zakresie podlega odpowiedzialno\u347?ci wynikaj\u261?cej
\par 
\par z rozdzia\u322?u 8 ustawy Prawo pocztowe. Podmioty korzystaj\u261?ce z us\u322?ug operator\u243?w pocztowych maj\u261? zatem w tym zakresie do dyspozycji okre\u347?lone przepisami prawa \u347?rodki egzekwowania nale\u380?ytego wykonania umowy o \u347?wiadczenie us\u322?ug pocztowych.
\par 
\par Organ, odwo\u322?uj\u261?c si\u281? do sprawozdania z dzia\u322?alno\u347?ci Prezesa UODO za 2019 r. (https://uodo.gov.pl/437, str. 129-131), wskaza\u322?, \u380?e w przypadku zagubienia przesy\u322?ki pocztowej obowi\u261?zki okre\u347?lone w art. 33 i art. 34 RODO spoczywaj\u261? na nadawcy przesy\u322?ki, poniewa\u380? to on "posiada wiedz\u281? o tym, jakie dane przekazywane s\u261? w przesy\u322?ce, a tym samym mo\u380?e oceni\u263?, jakim ryzykiem dla praw
\par 
\par i wolno\u347?ci osoby fizycznej skutkuje utrata przesy\u322?ki" Dla uznania powy\u380?szego nie ma \u380?adnego znaczenia, jaki w \u347?wietle przepis\u243?w RODO, status posiada firma kurierska (czego niezbadanie zarzuci\u322? organowi Bank).
\par 
\par Organ zwr\u243?ci\u322? uwag\u281?, \u380?e stanowisko Banku odno\u347?nie tej kwestii jest niezrozumia\u322?e
\par 
\par w kontek\u347?cie zg\u322?aszanych dotychczas przez Bank zg\u322?osze\u324? narusze\u324? o analogicznej tre\u347?ci oraz faktu podniesienia braku statusu administratora dopiero na obecnym etapie post\u281?powania, w sytuacji gdy wcze\u347?niej nie kwestionowa\u322? swojego statusu
\par 
\par w niniejszej sprawie.
\par 
\par Organ podtrzyma\u322? stanowisko, \u380?e w przedmiotowej sprawie zaistnia\u322?y przes\u322?anki, okre\u347?lone w art. 4 pkt 12 RODO, warunkuj\u261?ce uznanie incydentu bezpiecze\u324?stwa za naruszenie ochrony danych osobowych. Skoro Bank utraci\u322? kontrol\u281? nad przetwarzanymi danymi osobowymi w zwi\u261?zku z nieodnalezieniem przesy\u322?ki z dokumentami bankowymi zawieraj\u261?cymi dane osobowe jego klient\u243?w, to powsta\u322?o ryzyko nieuprawnionego ujawnienia danych osobowych, czym zosta\u322? naruszony atrybut poufno\u347?ci danych osobowych. Bank nie posiada bowiem wiedzy, co si\u281? sta\u322?o z ww. przesy\u322?k\u261?, co jest jednoznaczne z brakiem wiedzy, czy z danymi zawartymi w tre\u347?ci dokument\u243?w, znajduj\u261?cych si\u281? w zaginionej przesy\u322?ce, nie zapozna\u322?y si\u281? osoby nieuprawnione, i co w konsekwencji oznacza, \u380?e wyst\u261?pi\u322?o naruszenie ochrony danych osobowych.
\par 
\par W zwi\u261?zku z przedmiotowym naruszeniem ochrony danych osobowych, polegaj\u261?cym na zagubieniu dokumentacji zawieraj\u261?cej dane osobowe klient\u243?w Banku, nie jest istotne to, czy nieuprawniony odbiorca faktycznie wszed\u322?
\par 
\par w posiadanie i zapozna\u322? si\u281? z danymi osobowymi innych os\u243?b, lecz to, \u380?e wyst\u261?pi\u322?o takie ryzyko, a w konsekwencji r\u243?wnie\u380? potencjalnie wyst\u261?pi\u322?o ryzyko naruszenia praw lub wolno\u347?ci podmiot\u243?w danych, kt\u243?re z uwagi na zakres danych nale\u380?y uzna\u263? za wysokie.
\par 
\par Fakt zagubienia przesy\u322?ki, zawieraj\u261?cej dokumenty z danymi osobowymi klient\u243?w Banku, bezpo\u347?rednio narazi\u322? ich na mo\u380?liwo\u347?\u263? ujawnienia ww. danych osobom nieuprawnionym, a Bank jako administrator nie jest w stanie samodzielnie jednoznacznie stwierdzi\u263?, \u380?e nie dosz\u322?o do ujawnienia danych osobowych, dlatego te\u380? przedmiotowy incydent traktowany jest jako naruszenie poufno\u347?ci danych
\par 
\par i w zawiadomieniu o naruszeniu skierowanym do os\u243?b, kt\u243?rych danych osobowych naruszenie dotyczy, powinien znale\u378?\u263? si\u281? opis konsekwencji naruszenia i zalecenia dla tych os\u243?b, jak przy ujawnieniu danych osobowych osobie nieuprawnionej.
\par 
\par Organ podkre\u347?li\u322?, \u380?e Bank w przeprowadzonej ocenie ryzyka naruszenia praw lub wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261?, przyj\u261?\u322? \u347?redni poziom tego ryzyka,
\par 
\par a okre\u347?lone na tym poziomie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych nie wy\u322?\u261?cza obowi\u261?zku, o kt\u243?rym mowa w art. 33 ust. 1 RODO i zobowi\u261?zuje do zg\u322?oszenia naruszenia organowi nadzorczemu. Zatem to w\u322?a\u347?nie Bank wskaza\u322? na wyst\u261?pienie wi\u281?kszego ni\u380? ma\u322?e, tj. \u347?redniego, prawdopodobie\u324?stwa wyst\u261?pienia ryzyka naruszenia praw lub wolno\u347?ci podmiot\u243?w danych.
\par 
\par Organ stwierdzi\u322?, \u380?e o na\u322?o\u380?eniu administracyjnej kary pieni\u281?\u380?nej orzeka\u322? przez pryzmat przes\u322?anek wymienionych w art. 83 ust. 1 i ust. 2, a tak\u380?e w art. 33 ust. 1
\par 
\par i art. 34 ust. 1 RODO, wskazuj\u261?c dlaczego zasadnym w przedmiotowej sprawie by\u322?o zastosowanie w\u322?a\u347?nie takiego \u347?rodka naprawczego wzgl\u281?dem Banku.
\par 
\par Skar\u380?\u261?cy Bank w replice z dnia 3 marca 2022 r. wywodzi\u322?, \u380?e argumentacja organu zawarta w odpowiedzi na skarg\u281? nie zas\u322?uguje na uwzgl\u281?dnienie. Nie zgodzi\u322? si\u281? z twierdzeniem, \u380?e ju\u380? samo ryzyko naruszenia poufno\u347?ci, integralno\u347?ci lub dost\u281?pno\u347?ci rodzi ryzyko w sferze praw i wolno\u347?ci os\u243?b fizycznych. Interpretacja organu w tym wzgl\u281?dzie wykracza zar\u243?wno poza literalne brzmienie, jak i ratio legis art. 4 pkt 12 RODO, kt\u243?ry to wymaga, aby taki skutek wyst\u261?pi\u322?.
\par 
\par Bank podni\u243?s\u322?, \u380?e aby dany incydent bezpiecze\u324?stwa zosta\u322? zakwalifikowany jako naruszenie ochrony danych osobowych musz\u261? zosta\u263? \u322?\u261?cznie spe\u322?nione wymienione w RODO warunki, tj. musi doj\u347?\u263? do: 1) naruszenia bezpiecze\u324?stwa i 2) wyst\u261?pienia okre\u347?lonego w art. 4 pkt 12 RODO skutku, np. nieuprawnionego ujawnienia danych. Aby z kolei naruszenie ochrony danych osobowych wymaga\u322?o notyfikacji do Prezesa UODO (art. 33 RODO), a ewentualnie tak\u380?e do podmiot\u243?w danych (art. 34 RODO) - zaistnia\u322?e naruszenie musi wi\u261?za\u263? si\u281? z wi\u281?kszym ni\u380? ma\u322?e prawdopodobie\u324?stwem, \u380?e b\u281?dzie ono skutkowa\u322?o ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych (w przypadku notyfikacji do organu) albo z wysokim ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych (w przypadku notyfikacji do podmiot\u243?w danych). Te przes\u322?anki - w odr\u243?\u380?nieniu od warunk\u243?w zawartych
\par 
\par w definicji naruszenia ochrony danych osobowych - maj\u261? charakter hipotetyczny, tj. w ich przypadku nie ma konieczno\u347?ci, by dane naruszenie praw lub wolno\u347?ci osoby fizycznej zi\u347?ci\u322?o si\u281? w rzeczywisto\u347?ci, lecz istotne jest, aby zachodzi\u322?o okre\u347?lone prawdopodobie\u324?stwo ryzyka lub ryzyko wyst\u261?pienia naruszenia w tej sferze. Ocena prawdopodobie\u324?stwa lub ryzyka jest zatem wt\u243?rna wobec konieczno\u347?ci stwierdzenia, \u380?e dosz\u322?o do naruszenia bezpiecze\u324?stwa oraz konkretnego skutku. Kategorie te nale\u380?y zatem od siebie wyra\u378?nie oddzieli\u263?, poniewa\u380? maj\u261? one ca\u322?kowicie odr\u281?bny charakter. Zdaniem Banku, naruszenie bezpiecze\u324?stwa i jego skutek s\u261? to zdarzenia faktyczne, osadzone w rzeczywisto\u347?ci, natomiast ocena prawdopodobie\u324?stwa wyst\u261?pienia ryzyka, jak i poziomu samego ryzyka naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, to dzia\u322?ania, kt\u243?re musz\u261? zosta\u263? podj\u281?te przez administratora ju\u380? po stwierdzeniu wyst\u261?pienia naruszenia ochrony danych osobowych. Stanowisko organu, zr\u243?wnuj\u261?ce sytuacj\u281?, gdy istnieje tylko potencjalne ryzyko utraty poufno\u347?ci danych (jej faktyczne wyst\u261?pienie nie jest potwierdzone),
\par 
\par z sytuacj\u261?, gdy w istocie taki skutek mia\u322? miejsce, jest nieuprawnione i stanowi rozszerzaj\u261?c\u261? wyk\u322?adni\u281? art. 4 pkt 12 w zw. z art. 33 ust. 1 i art. 34 ust. 1 RODO.
\par 
\par Bank zwr\u243?ci\u322? ponadto uwag\u281?, \u380?e proces przesy\u322?ania dokument\u243?w za pomoc\u261? firmy kurierskiej jest szczeg\u243?lnie skomplikowany z punktu widzenia ochrony danych osobowych. Z jednej strony, jak wskazuje organ, co do zasady wy\u322?\u261?cznie nadawca ma wiedz\u281? na temat zawarto\u347?ci przesy\u322?ki i przetwarzanych w niej danych. Z drugiej za\u347?, przekazuje on przesy\u322?k\u281? do dor\u281?czenia profesjonalnemu podwykonawcy, na kt\u243?rym spoczywaj\u261? obowi\u261?zki r\u243?wnie\u380? zwi\u261?zane z ochron\u261? zawarto\u347?ci przesy\u322?ki oraz danych osobowych, wynikaj\u261?ce wprost z przepis\u243?w prawa, co cz\u281?sto stanowi wyznacznik statusu danego podmiotu jako administratora. Uporczywe pomijanie tej okoliczno\u347?ci przez organ, zar\u243?wno w niniejszym post\u281?powaniu, jak i we wszelkich innych jego stanowiskach, przesuwa ca\u322?kowit\u261? odpowiedzialno\u347?\u263? za losy przesy\u322?ki na nadawc\u281?. W \u347?wietle braku jakiejkolwiek kontroli nadawcy nad przesy\u322?k\u261?
\par 
\par w momencie wydania jej profesjonalnej firmie kurierskiej, zobowi\u261?zanej do dochowania okre\u347?lonego poziomu staranno\u347?ci - odpowiedniego dla profesjonalnego podwykonawcy - powy\u380?sze stanowisko, zdaniem Banku, nie jest s\u322?uszne.
\par 
\par W ocenie Banku, organ powinien ponownie przeanalizowa\u263? powy\u380?szy proces i role poszczeg\u243?lnych podmiot\u243?w w nim uczestnicz\u261?cych - nie tylko dla potrzeb niniejszej sprawy, ale te\u380? in abstractio, albowiem problem dotyczy ka\u380?dego podmiotu nadaj\u261?cego przesy\u322?ki, zawieraj\u261?ce dane osobowe, w tym samego Prezesa UODO. Kwestia ta nie zosta\u322?a dostatecznie wyja\u347?niona i uargumentowana przez organ, a jej pomini\u281?cie w sprawie, w kt\u243?rej na Bank zosta\u322?a na\u322?o\u380?ona administracyjna kara pieni\u281?\u380?na w wysoko\u347?ci ponad 350 tys. z\u322?, narusza zasad\u281? pog\u322?\u281?biania zaufania obywateli do pa\u324?stwa (art. 8 k.p.a.).
\par 
\par Powo\u322?ywanie si\u281? przez organ na fakt, \u380?e w innych sprawach Bank nie kwestionowa\u322? statusu operatora pocztowego jest bez znaczenia dla niniejszego post\u281?powania. Sprawy te dotyczy\u322?y bowiem innych stan\u243?w faktycznych. Co wi\u281?cej,
\par 
\par w przypadku, gdy organ - nawet bez przedstawienia rzetelnego i uargumentowanego stanowiska - przyjmowa\u322? za pewnik status nadawcy przesy\u322?ki, zawieraj\u261?cej dane osobowe, jako administratora, nie odwo\u322?uj\u261?c si\u281? w og\u243?le do roli operatora pocztowego, bardziej bezpieczne by\u322?o dla Banku zg\u322?aszanie narusze\u324? polegaj\u261?cych na zgubieniu przesy\u322?ki.
\par 
\par Bank podni\u243?s\u322?, \u380?e ewentualno\u347?\u263? wyst\u261?pienia szkody jest jednym z czynnik\u243?w, kt\u243?ry bada si\u281? w ramach oceny wagi naruszenia. Okoliczno\u347?\u263?, i\u380? w niniejszej sprawie, jak r\u243?wnie\u380? w innych przytoczonych w skardze post\u281?powaniach, w kt\u243?rych Prezes UODO ukara\u322? administrator\u243?w administracyjn\u261? kar\u261? pieni\u281?\u380?n\u261?, w zwi\u261?zku
\par 
\par z naruszeniami ochrony danych osobowych, ustalono, \u380?e podmioty danych nie ponios\u322?y \u380?adnej szkody, pozwala twierdzi\u263?, \u380?e Prezes UODO b\u322?\u281?dnie ocenia ten czynnik w ramach analizy wagi naruszenia, nadaj\u261?c mu zbyt du\u380?e znaczenie.
\par 
\par Fakt, i\u380? w niniejszej sprawie po ponad 2,5 roku od incydentu bezpiecze\u324?stwa pa\u324?stwo G. nie ponie\u347?li szkody, uwiarygadnia s\u322?uszno\u347?\u263? decyzji Banku
\par 
\par w zakresie wykonanej analizy wagi incydentu, jak r\u243?wnie\u380? oceny braku konieczno\u347?ci zg\u322?oszenia naruszenia do Prezesa UODO. Jednocze\u347?nie organ w \u380?aden spos\u243?b nie wykaza\u322? jakoby obecne ryzyko powstania szkody (czy nawet ryzyko w dacie wydania decyzji) by\u322?o r\u243?wne temu z daty zaistnienia incydentu bezpiecze\u324?stwa. Takie za\u322?o\u380?enie pozostaje za\u347? wbrew zasadom logicznego rozumowania i do\u347?wiadczeniu \u380?yciowemu z uwagi na up\u322?yw czasu bez oznak jakichkolwiek negatywnych konsekwencji. Jednocze\u347?nie, brak szkody jest czynnikiem branym pod uwag\u281? podczas ustalania wysoko\u347?ci administracyjnej kary pieni\u281?\u380?nej za naruszenie przepis\u243?w RODO. Wa\u380?ne jest zatem, aby organ prawid\u322?owo interpretowa\u322? poj\u281?cie szkody. Sam dyskomfort, czy obawy zwi\u261?zane z zgubieniem przesy\u322?ki, nie stanowi\u261? szkody niemaj\u261?tkowej. W zwi\u261?zku z powy\u380?szym, brak szkody powinien by\u322? zosta\u263?
\par 
\par w niniejszej sprawie wzi\u281?ty pod uwag\u281?, jako przes\u322?anka \u322?agodz\u261?ca wymiar ewentualnej administracyjnej kary pieni\u281?\u380?nej.
\par 
\par Zdaniem Banku, na\u322?o\u380?ona kara pieni\u281?\u380?na jest ra\u380?\u261?co wysoka r\u243?wnie\u380? z tego wzgl\u281?du, i\u380? uwzgl\u281?dnia element prewencji wobec innych administrator\u243?w. Uwzgl\u281?dnienie tak ukszta\u322?towanej przes\u322?anki podczas ustalania wymiaru kary stanowi za\u347? naruszenie przepis\u243?w RODO, kt\u243?re to wskazuj\u261?, \u380?e odstraszaj\u261?cy skutek kary (podobnie jak jej inne przes\u322?anki) powinny by\u263? odnoszone tylko wobec podmiotu, kt\u243?rego dotyczy sprawa. W konsekwencji organ, odnosz\u261?c si\u281? do potencjalnego wp\u322?ywu wysoko\u347?ci kary na innych administrator\u243?w, b\u322?\u281?dnie zastosowa\u322? t\u281? przes\u322?ank\u281?, co doprowadzi\u322?o do na\u322?o\u380?enia kary w wyg\u243?rowanej wysoko\u347?ci.
\par 
\par Prezes UODO w duplice z dnia 3 czerwca 2022 r. podtrzyma\u322? stanowisko wyra\u380?one w zaskar\u380?onej decyzji oraz w odpowiedzi na skarg\u281?. Nie zgodzi\u322? si\u281?
\par 
\par z twierdzeniem, \u380?e zagini\u281?cie przesy\u322?ki, zawieraj\u261?cej dokumentacj\u281? klient\u243?w Banku, skutkuj\u261?ce utrat\u261? kontroli nad danymi osobowymi, kt\u243?re by\u322?y w niej zawarte,
\par 
\par a jednocze\u347?nie wi\u261?\u380?\u261?ce si\u281? z konkretnym ryzykiem dla praw lub wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261?, nie jest zdarzeniem faktycznym, poci\u261?gaj\u261?cym za sob\u261? okre\u347?lone skutki.
\par 
\par W takich przypadkach jak ten, kt\u243?rego dotyczy przedmiotowe post\u281?powanie, wbrew twierdzeniom Banku, nie spos\u243?b nie opiera\u263? si\u281? w pewnym zakresie na ryzyku nieuprawnionego wej\u347?cia w posiadanie danych osobowych przez osoby trzecie. Przeciwne stanowisko prowadzi\u322?oby do sytuacji, w kt\u243?rych administratorzy - pomimo utraty kontroli nad danymi osobowymi zawartymi w zagubionych przesy\u322?kach, a tym samym nie maj\u261?c jakiejkolwiek wiedzy na temat aktualnego miejsca znajdowania si\u281? tych danych i tego kto w danym momencie mo\u380?e si\u281? z nimi zapozna\u263? \u8211? nie traktowaliby tego typu sytuacji jako naruszenia ochrony danych osobowych i nie wywi\u261?zywaliby si\u281? z ci\u261?\u380?\u261?cych na nich obowi\u261?zkach w zakresie zg\u322?oszenia naruszenia ochrony danych osobowych i zawiadomienia o naruszeniu os\u243?b, kt\u243?rych dane dotycz\u261?. Pozbawia\u322?oby to te osoby ochrony ich praw, uniemo\u380?liwiaj\u261?c zarazem podj\u281?cie dzia\u322?a\u324? zaradczych i w\u322?a\u347?ciwych krok\u243?w w tym celu, co w konsekwencji mog\u322?oby prowadzi\u263? do szk\u243?d maj\u261?tkowych lub niemaj\u261?tkowych dla os\u243?b, kt\u243?rych dane zosta\u322?y naruszone.
\par 
\par Zawiadamiaj\u261?c bez zb\u281?dnej zw\u322?oki podmiot danych, administrator umo\u380?liwia osobie, kt\u243?rej dane zosta\u322?y obj\u281?te naruszeniem, podj\u281?cie niezb\u281?dnych dzia\u322?a\u324? zapobiegawczych w celu ochrony praw lub wolno\u347?ci przed negatywnymi skutkami naruszenia. Art. 34 ust. 1 i 2 RODO ma na celu nie tylko zapewnienie mo\u380?liwie najskuteczniejszej ochrony podstawowych praw lub wolno\u347?ci podmiot\u243?w danych, ale tak\u380?e realizacj\u281? zasady przejrzysto\u347?ci, kt\u243?ra wynika z art. 5 ust. 1 lit. a) RODO. W\u322?a\u347?ciwe wywi\u261?zanie si\u281? z obowi\u261?zku okre\u347?lonego w art. 34 RODO ma zapewni\u263? osobom, kt\u243?rych dane dotycz\u261?, szybk\u261? i przejrzyst\u261? informacj\u281? o naruszeniu ochrony ich danych osobowych wraz z opisem mo\u380?liwych konsekwencji naruszenia ochrony danych osobowych oraz \u347?rodk\u243?w, kt\u243?re mog\u261? one podj\u261?\u263? w celu zminimalizowania jego ewentualnych negatywnych skutk\u243?w. Post\u281?puj\u261?c zgodnie z prawem i wykazuj\u261?c dba\u322?o\u347?\u263? o interesy os\u243?b, kt\u243?rych dane dotycz\u261?, Bank powinien by\u322? bez zb\u281?dnej zw\u322?oki zapewni\u263? osobom, kt\u243?rych dane dotycz\u261?, mo\u380?liwo\u347?\u263? jak najlepszej ochrony danych osobowych. Dla osi\u261?gni\u281?cia tego celu niezb\u281?dne jest przynajmniej wskazanie tych informacji, kt\u243?re wymienione s\u261? w art. 34 ust. 2 RODO, z kt\u243?rego to obowi\u261?zku Bank nie wywi\u261?za\u322? si\u281?. Bank podejmuj\u261?c zatem decyzj\u281?
\par 
\par o niezawiadomieniu o naruszeniu organu nadzorczego, jak i os\u243?b, kt\u243?rych dane dotycz\u261?, w praktyce pozbawi\u322? te osoby, przekazanej bez zb\u281?dnej zw\u322?oki, rzetelnej informacji o naruszeniu i mo\u380?liwo\u347?ci przeciwdzia\u322?ania potencjalnym szkodom.
\par 
\par Wojew\u243?dzki S\u261?d Administracyjny w Warszawie zwa\u380?y\u322?, co nast\u281?puje:
\par 
\par Skarga nie zas\u322?uguje na uwzgl\u281?dnienie, poniewa\u380? S\u261?d - przeprowadzaj\u261?c kontrol\u281? zgodno\u347?ci z prawem zaskar\u380?onej decyzji Prezesa UODO z dnia [...] pa\u378?dziernika 2021 r., nak\u322?adaj\u261?cej na Bank [...] S.A. z siedzib\u261? w [...], dalej: "Bank", administracyjn\u261? kar\u261? pieni\u281?\u380?n\u261? w wysoko\u347?ci 363.832 PLN oraz nakazuj\u261?cej zawiadomienie M. G. i W. G. o naruszeniu ich danych osobowych w celu przekazania im informacji wymaganych stosownie do art. 34 ust. 2 RODO - nie stwierdzi\u322?, aby Prezes UODO przy jej wydaniu naruszy\u322? przepisy prawa materialnego w stopniu maj\u261?cym wp\u322?yw na wynik sprawy, czy te\u380? przepisy post\u281?powania administracyjnego w stopniu mog\u261?cym mie\u263? istotny wp\u322?yw na wynik sprawy.
\par 
\par Na wst\u281?pie podkre\u347?lenia wymaga, \u380?e kompetencje Prezesa UODO zosta\u322?y unormowane przede wszystkim w RODO i w ustawie z dnia 10 maja 2018 r.
\par 
\par o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781).
\par 
\par Zadania Prezesa UODO, jako organu w\u322?a\u347?ciwego w sprawie ochrony danych osobowych i organu nadzorczego w rozumieniu art. 51 RODO, wymienia art. 57 ust. 1 RODO, przy czym wyliczenie to nie jest wyczerpuj\u261?ce. Katalog \u347?rodk\u243?w
\par 
\par i uprawnie\u324? przys\u322?uguj\u261?cych organowi w czasie prowadzonych post\u281?powa\u324? oraz uprawnie\u324? naprawczych okre\u347?la art. 58 RODO, a w zakresie nak\u322?adania kar pieni\u281?\u380?nych - art. 83 RODO.
\par 
\par Stosuj\u261?c przepisy RODO nale\u380?y mie\u263? na uwadze, \u380?e celem tego rozporz\u261?dzenia (wyra\u380?onym w art. 1 ust. 2) jest ochrona podstawowych praw
\par 
\par i wolno\u347?ci os\u243?b fizycznych, w szczeg\u243?lno\u347?ci ich prawa do ochrony danych osobowych, oraz \u380?e ochrona os\u243?b fizycznych w zwi\u261?zku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu
\par 
\par 1 preambu\u322?y). W przypadku jakichkolwiek w\u261?tpliwo\u347?ci, np. co do wykonania obowi\u261?zk\u243?w przez administrator\u243?w - nie tylko w sytuacji, gdy dosz\u322?o do naruszenia ochrony danych osobowych, ale te\u380? przy opracowywaniu technicznych
\par 
\par i organizacyjnych \u347?rodk\u243?w bezpiecze\u324?stwa maj\u261?cych im zapobiega\u263? - nale\u380?y
\par 
\par w pierwszej kolejno\u347?ci bra\u263? pod uwag\u281? te warto\u347?ci.
\par 
\par W zaskar\u380?onej decyzji Prezes UODO zdecydowa\u322? o na\u322?o\u380?eniu oraz wysoko\u347?ci administracyjnej kary pieni\u281?\u380?nej w zwi\u261?zku z naruszeniem przez Bank podstawowych jego obowi\u261?zk\u243?w, okre\u347?lonych w art. 33 ust. 1 i art. 34 ust. 1 RODO.
\par 
\par Zdaniem S\u261?du, Prezes UODO dokona\u322? prawid\u322?owej wyk\u322?adni art. 33 ust. 1 zdanie pierwsze RODO, zgodnie z kt\u243?rym, w przypadku naruszenia ochrony danych osobowych, administrator bez zb\u281?dnej zw\u322?oki - w miar\u281? mo\u380?liwo\u347?ci, nie p\u243?\u378?niej ni\u380?
\par 
\par w terminie 72 godzin po stwierdzeniu naruszenia - zg\u322?asza je organowi nadzorczemu w\u322?a\u347?ciwemu, zgodnie z art. 55 tego\u380? rozporz\u261?dzenia, chyba \u380?e jest ma\u322?o prawdopodobne, by naruszenie to skutkowa\u322?o ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych.
\par 
\par Wbrew twierdzeniom wnosz\u261?cego skarg\u281?, to Bank jest administratorem danych osobowych, wobec kt\u243?rych nast\u261?pi\u322?o naruszenie ochrony danych osobowych polegaj\u261?ce na zagubieniu dokumentacji, zawieraj\u261?cej dane osobowe klient\u243?w Banku.
\par 
\par W zagubionej przesy\u322?ce znajdowa\u322?y si\u281? nast\u281?puj\u261?ce dokumenty: pe\u322?nomocnictwo udzielone skar\u380?\u261?cemu przez skar\u380?\u261?c\u261?, umowa konta oszcz\u281?dno\u347?ciowego profit, umowa rachunk\u243?w bankowych oraz karty debetowej, umowa ramowa o \u347?wiadczenie us\u322?ug finansowych, umowa rachunku bankowego, potwierdzenie zmian do umowy rachunku bankowego, umowa karty [...], ankieta inwestycyjna, wynik ankiety inwestycyjnej.
\par 
\par W zwi\u261?zku z tym, \u380?e s\u261? to dokumenty bankowe, nie ma w\u261?tpliwo\u347?ci, \u380?e administratorem danych widniej\u261?cych na nich jest Bank, kt\u243?ry te\u380? nada\u322? przesy\u322?k\u281?,
\par 
\par i to Bank zobowi\u261?zany by\u322? do zrealizowania obowi\u261?zk\u243?w ci\u261?\u380?\u261?cych na administratorze, stosownie do art. 33 ust. 1 i art. 34 ust. 1 RODO. To Bank bowiem, a nie operator pocztowy, okre\u347?li\u322? cele przetwarzania danych obj\u281?tych ww. naruszeniem, a tak\u380?e sposoby ich przetwarzania.
\par 
\par W przypadku nieprawid\u322?owo\u347?ci w dostarczaniu przesy\u322?ki obowi\u261?zek ochrony interes\u243?w podmiotu danych z punktu widzenia ryzyka naruszenia praw lub wolno\u347?ci osoby, kt\u243?rej dane dotycz\u261?, ci\u261?\u380?y na nadawcy przesy\u322?ki, kt\u243?ry znaj\u261?c zawarto\u347?\u263? utraconej korespondencji, jest w stanie oceni\u263? zagro\u380?enia wynikaj\u261?ce dla osoby, kt\u243?rej dane dotycz\u261?. Natomiast operator pocztowy oraz firma kurierska obowi\u261?zki administratora, w rozumieniu przepis\u243?w RODO, mo\u380?e wykonywa\u263?, ale wy\u322?\u261?cznie
\par 
\par w odniesieniu do danych osobowych nadawc\u243?w i adresat\u243?w przesy\u322?ek.
\par 
\par To zatem Bank mo\u380?e oceni\u263?, jakim ryzykiem dla praw lub wolno\u347?ci osoby fizycznej skutkuje utrata przesy\u322?ki i w zwi\u261?zku z tym ma mo\u380?liwo\u347?\u263? wykonania obowi\u261?zku w zakresie zg\u322?oszenia naruszenia ochrony danych osobowych organowi nadzorczemu oraz zawiadomienia o naruszeniu osoby, kt\u243?rej dane dotycz\u261?. Firma kurierska takiej wiedzy nie posiada. Tak wi\u281?c, w przedmiotowej sprawie na Banku spoczywa\u322? obowi\u261?zek zg\u322?oszenia naruszenia ochrony danych osobowych w trybie art. 33 ust. 1 RODO i zawiadomienia o naruszeniu os\u243?b, kt\u243?rych dane dotycz\u261?, zgodnie z art. 34 ust. 1 RODO.
\par 
\par W niniejszej sprawie zaistnia\u322?y przes\u322?anki, okre\u347?lone w art. 4 pkt 12 RODO, warunkuj\u261?ce uznanie incydentu bezpiecze\u324?stwa za naruszenie ochrony danych osobowych. Zgodnie bowiem z definicj\u261? naruszenia ochrony danych osobowych, zawart\u261? w tym przepisie, naruszenie ochrony danych osobowych oznacza naruszenie bezpiecze\u324?stwa prowadz\u261?ce do przypadkowego lub niezgodnego
\par 
\par z prawem zniszczenia, utracenia, nieuprawnionego ujawnienia lub nieuprawnionego dost\u281?pu do danych osobowych przes\u322?anych, przechowanych lub w inny spos\u243?b przetwarzanych. Przy czym nale\u380?y zaznaczy\u263?, \u380?e przy interpretacji poj\u281?cia naruszenia ochrony danych osobowych, okre\u347?lonego wy\u380?ej powo\u322?anym przepisem, nie mo\u380?na pomija\u263? innych przepis\u243?w RODO nak\u322?adaj\u261?cych obowi\u261?zki na administratora danych w przypadku wyst\u261?pienia takiego naruszenia, tj. art. 33 ust. 1
\par 
\par i art. 34 ust. 1 RODO, kt\u243?re wprost m\u243?wi\u261? o ryzyku naruszenia praw lub wolno\u347?ci os\u243?b fizycznych w zwi\u261?zku z naruszeniem ochrony danych osobowych.
\par 
\par W wyniku przedmiotowego zdarzenia, tj. zagubienia przesy\u322?ki zawieraj\u261?cej dokumenty z danymi osobowymi klient\u243?w Banku, dosz\u322?o do naruszenia bezpiecze\u324?stwa, w wyniku kt\u243?rego powsta\u322?o ryzyko nieuprawnionego wej\u347?cia
\par 
\par w posiadanie danych osobowych, a wi\u281?c ryzyko przypadkowego ich ujawnienia.
\par 
\par Tym samym zosta\u322?y spe\u322?nione przes\u322?anki dla zaistnienia naruszenia ochrony danych osobowych.
\par 
\par Podkre\u347?li\u263? nale\u380?y, \u380?e mo\u380?liwe konsekwencje zaistnia\u322?ego zdarzenia nie musz\u261? si\u281? zmaterializowa\u263? - w tre\u347?ci art. 33 ust. 1 RODO wskazano, \u380?e samo wyst\u261?pienie naruszenia ochrony danych osobowych, z kt\u243?rym wi\u261?\u380?e si\u281? ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, implikuje obowi\u261?zek zg\u322?oszenia naruszenia w\u322?a\u347?ciwemu organowi nadzorczemu.
\par 
\par W przedmiotowej sprawie Bank, zgodnie z metodyk\u261? opart\u261? na europejskiej metodologii ENISA, oceni\u322? zdarzenie zagubienia przesy\u322?ki jako mog\u261?ce powodowa\u263? \u347?rednie ryzyko naruszenia praw i wolno\u347?ci skar\u380?\u261?cych, a okre\u347?lone na tym poziomie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, nie wy\u322?\u261?cza obowi\u261?zku,
\par 
\par o kt\u243?rym mowa w art. 33 ust. 1 RODO. Bank zatem, stosownie do wyniku w\u322?asnej analizy ryzyka przeprowadzonej w zwi\u261?zku z naruszeniem, powinien dokona\u263? co najmniej zg\u322?oszenia naruszenia organowi nadzorczemu, czego nie uczyni\u322?.
\par 
\par Racj\u281? ma organ, \u380?e brak zg\u322?oszenia naruszenia ochrony danych osobowych pozbawia organ nadzorczy odpowiedniej reakcji na naruszenie, kt\u243?ra przejawia si\u281? nie tylko w ocenie ryzyka naruszenia dla praw lub wolno\u347?ci osoby fizycznej, ale r\u243?wnie\u380? w szczeg\u243?lno\u347?ci na weryfikacji, czy administrator zastosowa\u322? w\u322?a\u347?ciwe \u347?rodki w celu zaradzeniu naruszeniu i zminimalizowania negatywnych skutk\u243?w dla os\u243?b, kt\u243?rych dane dotycz\u261?, jak r\u243?wnie\u380?, czy zastosowa\u322? odpowiednie \u347?rodki bezpiecze\u324?stwa w celu zminimalizowania ryzyka ponownego wyst\u261?pienia naruszenia.
\par 
\par Zagini\u281?cie przesy\u322?ki, zawieraj\u261?cej dokumentacj\u281? klient\u243?w Banku, wbrew twierdzeniom Banku, jest zdarzeniem faktycznym poci\u261?gaj\u261?cym za sob\u261? okre\u347?lone skutki. Tym skutkiem jest utrata kontroli nad danymi osobowymi, kt\u243?re si\u281? w niej znajdowa\u322?y, z czym zwi\u261?zane jest konkretne ryzyko dla praw lub wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261?. W zwi\u261?zku z zagubieniem danych wyst\u261?pi\u322?a mo\u380?liwo\u347?\u263? ujawnienia ich osobom nieuprawnionym, a to z kolei oznacza naruszenie bezpiecze\u324?stwa skutkuj\u261?ce ryzykiem utraty poufno\u347?ci danych osobowych, za\u347? zakres tych danych wskazuje na wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261?.
\par 
\par Nale\u380?y zgodzi\u263? si\u281? z Prezesem UODO, \u380?e utrata poufno\u347?ci numeru PESEL
\par 
\par w po\u322?\u261?czeniu z danymi osobowymi, takimi jak: imi\u281? i nazwisko, adres zameldowania, numery rachunk\u243?w bankowych oraz numer identyfikacyjny nadawany klientom Banku - numer CIF, wi\u261?\u380?e si\u281? z wysokim ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych. W przypadku naruszenia takich danych, jak imi\u281?, nazwisko oraz numer PESEL, mo\u380?liwa jest bowiem kradzie\u380? lub sfa\u322?szowanie to\u380?samo\u347?ci skutkuj\u261?ca negatywnymi konsekwencjami dla os\u243?b, kt\u243?rych dane dotycz\u261?.
\par 
\par Dlatego te\u380? Bank w przedmiotowej sprawie powinien by\u322? bez zb\u281?dnej zw\u322?oki, stosownie do art. 34 ust. 1 RODO, zawiadomi\u263? osoby, kt\u243?rych dane dotycz\u261?,
\par 
\par o naruszeniu ochrony danych osobowych, tak aby umo\u380?liwi\u263? im podj\u281?cie niezb\u281?dnych dzia\u322?a\u324? zapobiegawczych. W zawiadomieniu niezb\u281?dne jest wskazanie co najmniej tych informacji, kt\u243?re wymienione s\u261? w art. 34 ust. 2 RODO, z kt\u243?rego to obowi\u261?zku Bank nie wywi\u261?za\u322? si\u281?. Bank podejmuj\u261?c zatem decyzj\u281?
\par 
\par o niezawiadomieniu o naruszeniu ochrony danych osobowych organu nadzorczego, jak i os\u243?b, kt\u243?rych dane dotycz\u261?, w praktyce pozbawi\u322? te osoby, przekazanej bez zb\u281?dnej zw\u322?oki, rzetelnej informacji o naruszeniu i mo\u380?liwo\u347?ci przeciwdzia\u322?ania potencjalnym szkodom.
\par 
\par Przes\u322?ana przez Bank do os\u243?b, kt\u243?rych dane dotycz\u261?, informacja
\par 
\par o zagubionych dokumentach nie zawiera element\u243?w, o kt\u243?rych mowa w art. 34 ust. 2 RODO, co oznacza w konsekwencji, \u380?e nie mo\u380?e zosta\u263? uznana za zawiadomienie
\par 
\par o naruszeniu ochrony danych osobowych. Prawid\u322?owe zawiadomienie, stosownie do ww. przepisu, powinno bowiem jasnym i prostym j\u281?zykiem opisywa\u263? charakter naruszenia ochrony danych osobowych oraz zawiera\u263? przynajmniej informacje
\par 
\par i \u347?rodki, o kt\u243?rych mowa w art. 33 ust. 3 lit. b), c) i d) RODO. Natomiast informacja przes\u322?ana do klient\u243?w Banku zawiera\u322?a jedynie bardzo og\u243?lny opis charakteru naruszenia (bez wskazania kategorii danych obj\u281?tych naruszeniem jako istotnego elementu opisu charakteru naruszenia) oraz lakoniczny opis \u347?rodk\u243?w w celu zminimalizowania jego ewentualnych negatywnych skutk\u243?w, kt\u243?ry nie pozwala\u322? osobom, kt\u243?rych dane obj\u281?te zosta\u322?y naruszeniem, na rzeteln\u261? ocen\u281? zaistnia\u322?ej sytuacji w kontek\u347?cie zagro\u380?e\u324? dla ich danych osobowych. W ww. pi\u347?mie nie umieszczono opisu mo\u380?liwych konsekwencji, z jakimi wi\u261?za\u263? si\u281? mo\u380?e przedmiotowe naruszenie ochrony danych osobowych oraz informacji o imieniu
\par 
\par i nazwisku oraz danych kontaktowych inspektora ochrony danych lub oznaczeniu innego punktu kontaktowego, od kt\u243?rego mo\u380?na uzyska\u263? wi\u281?cej informacji. Brak
\par 
\par w niej r\u243?wnie\u380? odniesienia si\u281? do \u347?rodk\u243?w bezpiecze\u324?stwa zastosowanych przez administratora w celu zminimalizowania ryzyka ponownego wyst\u261?pienia naruszenia.
\par 
\par Racj\u281? ma organ, wskazuj\u261?c, \u380?e opis mo\u380?liwych konsekwencji powinien odzwierciedla\u263? ryzyko naruszenia praw lub wolno\u347?ci tych os\u243?b, tak aby umo\u380?liwi\u263? im podj\u281?cie niezb\u281?dnych dzia\u322?a\u324? zapobiegawczych. Mo\u380?liwe konsekwencje powinny mie\u263? charakter opisowy skierowany bezpo\u347?rednio do os\u243?b. Wskazywane przez administratora mo\u380?liwe konsekwencje powinny wsp\u243?\u322?gra\u263? z proponowanymi \u347?rodkami minimalizuj\u261?cymi ewentualne negatywne konsekwencje naruszenia dla os\u243?b, kt\u243?rych dane dotycz\u261?. Ponadto, administrator zobowi\u261?zany jest wskaza\u263?, jakie dzia\u322?ania podj\u261?\u322? b\u261?d\u378? proponuje podj\u261?\u263? w zwi\u261?zku z naruszeniem ochrony danych osobowych. Obowi\u261?zkiem administratora jest bowiem zaproponowanie osobom, kt\u243?rych dane dotycz\u261?, \u347?rodk\u243?w w celu zminimalizowania zaistnienia negatywnych skutk\u243?w takiego zdarzenia. Zalecenia te powinny mie\u263? form\u281? konkretnych
\par 
\par i adekwatnych do danej sytuacji wskaz\u243?wek, kt\u243?re pozwol\u261? osobom podj\u261?\u263? dzia\u322?ania w celu ochrony ich interes\u243?w. Za\u347? og\u243?lnikowa i niepe\u322?na informacja w tym zakresie pozbawia osoby, kt\u243?rych dane osobowe obj\u281?te zosta\u322?y naruszeniem, podstawowych informacji umo\u380?liwiaj\u261?cych im realn\u261? ocen\u281? zagro\u380?e\u324? i podj\u281?cie racjonalnej decyzji czy i z jakich zaproponowanych przez administratora \u347?rodk\u243?w zaradczych skorzysta\u263? w celu zminimalizowania negatywnych konsekwencji naruszenia.
\par 
\par Tak wi\u281?c Prezes UODO prawid\u322?owo ustali\u322?, \u380?e Bank nie dokona\u322? zg\u322?oszenia naruszenia ochrony danych osobowych organowi nadzoru w wykonaniu obowi\u261?zku
\par 
\par z art. 33 ust. 1 RODO oraz nie zawiadomi\u322? bez zb\u281?dnej zw\u322?oki os\u243?b, kt\u243?rych dane dotycz\u261?, o naruszeniu ochrony ich danych, zgodnie z art. 34 ust. 1 RODO, co oznacza naruszenie przez Bank tych przepis\u243?w.
\par 
\par Je\u380?eli administrator nie wywi\u261?\u380?e si\u281? z obowi\u261?zku zg\u322?oszenia naruszenia ochrony danych organowi nadzorczemu albo osobom, kt\u243?rych dane dotycz\u261?, albo zar\u243?wno organowi nadzorczemu, jak i osobom, kt\u243?rych dane dotycz\u261?, pomimo spe\u322?nienia wymog\u243?w ustanowionych w art. 33 lub 34, organ nadzorczy mo\u380?e skorzysta\u263? z mo\u380?liwo\u347?ci, kt\u243?ra obejmowa\u322?aby wzi\u281?cie pod uwag\u281? wszystkich \u347?rodk\u243?w naprawczych znajduj\u261?cych si\u281? w jego dyspozycji, co wi\u261?\u380?e si\u281?
\par 
\par z mo\u380?liwo\u347?ci\u261? zastosowania administracyjnej kary pieni\u281?\u380?nej w po\u322?\u261?czeniu ze \u347?rodkiem naprawczym przewidzianym w art. 58 ust. 2 RODO, albo bez takiego \u347?rodka. Je\u380?eli zdecydowano si\u281? zastosowa\u263? administracyjn\u261? kar\u281? pieni\u281?\u380?n\u261?, warto\u347?\u263? tej kary mo\u380?e opiewa\u263? na kwot\u281? do 10 000 000 EUR lub do 2% ca\u322?kowitego rocznego \u347?wiatowego obrotu z poprzedniego roku obrotowego przedsi\u281?biorstwa, zgodnie z art. 83 ust. 4 lit. a) RODO.
\par 
\par Skoro z okoliczno\u347?ci faktycznych sprawy wynika, \u380?e Bank naruszy\u322? podstawowe obowi\u261?zki, przewidziane w art. 33 ust. 1 oraz w art. 34 ust. 1 RODO, to mo\u380?liwe by\u322?o zastosowanie art. 83 ust. 2 RODO.
\par 
\par W ocenie S\u261?du, zastosowana przez Prezesa UODO administracyjna kara pieni\u281?\u380?na spe\u322?nia, w ustalonych okoliczno\u347?ciach niniejszej sprawy, funkcje, o kt\u243?rych mowa w art. 83 ust. 1 RODO, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszaj\u261?ca.
\par 
\par Organ wyczerpuj\u261?co uzasadni\u322? na\u322?o\u380?enie administracyjnej kary finansowej, wskazuj\u261?c, okre\u347?lone w art. 83 ust. 1 i ust. 2, a tak\u380?e w art. 33 ust. 1 i art. 34 ust. 1 RODO, przes\u322?anki, na jakich si\u281? opar\u322? z uwzgl\u281?dnieniem charakteru, wagi i czasu trwania naruszenia oraz okoliczno\u347?ci zar\u243?wno obci\u261?\u380?aj\u261?ce, jak i \u322?agodz\u261?ce wymiar tej kary.
\par 
\par W uzasadnieniu zaskar\u380?onej decyzji Prezes PUODO wskaza\u322?, na podstawie art. 83 ust. 2 lit. a \u8211? k RODO, jakie okoliczno\u347?ci uzna\u322? za te, kt\u243?re wp\u322?ywaj\u261? na zaostrzenie kary i te, kt\u243?re przemawiaj\u261? za z\u322?agodzeniem wymiaru kary. Nie mo\u380?na wi\u281?c organowi orzekaj\u261?cemu w sprawie skutecznie postawi\u263? zarzutu dowolno\u347?ci podj\u281?tego rozstrzygni\u281?cia. Przes\u322?anki, jakie nale\u380?y wzi\u261?\u263? pod uwag\u281? przy nak\u322?adaniu przez organ administracyjnej kary pieni\u281?\u380?nej, s\u261? przes\u322?ankami zasadniczo ocennymi. Tak wi\u281?c, kt\u243?ra z przes\u322?anek miarkowania kary jest przes\u322?ank\u261? \u322?agodz\u261?c\u261?, a kt\u243?ra zaostrzaj\u261?c\u261? jej wymiar, jest uzale\u380?niona ka\u380?dorazowo od oceny okoliczno\u347?ci konkretnej sprawy przez organ nadzorczy.
\par 
\par Skoro zatem wszystkie podniesione przez skar\u380?\u261?cy Bank zarzuty okaza\u322?y si\u281? chybione oraz brak jest podstaw do uznania, \u380?e organ dopu\u347?ci\u322? si\u281? innych narusze\u324? prawa, kt\u243?re mog\u322?yby stanowi\u263? o uchyleniu albo stwierdzeniu niewa\u380?no\u347?ci zaskar\u380?onej decyzji, Wojew\u243?dzki S\u261?d Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o post\u281?powaniu przed s\u261?dami administracyjnymi (t.j. Dz. U. z 2022 r., poz. 329 z p\u243?\u378?n. zm.) orzek\u322? jak w wyroku.
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\pard}