{\rtf1\ansi\ansicpg1252
\deff0{\fonttbl{\f0\froman\fcharset0 Times New Roman;}{\f1\froman\fcharset0 Helvetica;}{\f2\froman\fcharset0 Arial;}{\f3\froman\fcharset0 unknown;}}
{\colortbl\red0\green0\blue0;\red255\green255\blue255;\red192\green192\blue192;}
{\stylesheet 
{\style\s1 \ql\fi0\li0\ri0\f2\fs32\b\cf0 heading 1;}
{\style\s2 \ql\fi0\li0\ri0\f2\fs28\b\i\cf0 heading 2;}
{\style\s3 \ql\fi0\li0\ri0\f2\fs26\b\cf0 heading 3;}
{\style\s0 \ql\fi0\li0\ri0\f2\fs24\cf0 Normal;}
}
{\*\listtable
}
{\*\listoverridetable
}
{\info}
\paperw11907\paperh16840\margl1440\margr1120\margt1720\margb1440
{\footer \pard\plain\s0\ql\fi0\li0\ri0\plain\f0 2026-04-15 01:49\par
}{\header \trowd
\trftsWidth3\trwWidth9347\trqc\trgaph10\trpaddl0\trpaddr0\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7630
\cellx7630\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1716
\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f0 Centralna Baza Orzecze\u324? S\u261?d\u243?w Administracyjnych
\cell\pard\plain\intbl\s0\qr\fi0\li0\ri0\plain\f0 Str \f3{\field{\*\fldinst PAGE}{\fldrslt  }}\f0  / \f3{\field{\*\fldinst NUMPAGES \\* Arabic}{\fldrslt 1 }}
\cell \trowd
\trftsWidth3\trwWidth9347\trqc\trgaph10\trpaddl0\trpaddr0\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7630
\cellx7630\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1716
\cellx9346\row
\pard}\pgwsxn11907\pghsxn16840
\marglsxn1440\margrsxn1120\margtsxn1720\margbsxn1440\pard\plain\s0\fi0\li0\ri0\plain\f1\fs24\b II SA/Wa 528/21 - Wyrok\b0\par
\par\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Data orzeczenia\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 2021-10-05
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Data wp\u322?ywu\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 2021-02-22
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b S\u261?d\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Wojew\u243?dzki S\u261?d Administracyjny w Warszawie
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b S\u281?dziowie\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Joanna Kruszewska-Gro\u324?ska
\par Karolina Kisielewicz /przewodnicz\u261?cy sprawozdawca/
\par Tomasz Szmydt
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Symbol z opisem\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 647  Sprawy zwi\u261?zane z ochron\u261? danych osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Has\u322?a tematyczne\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Ochrona danych osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Sygn. powi\u261?zane\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 III OSK 669/22
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Skar\u380?ony organ\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Generalny Inspektor Ochrony Danych Osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Tre\u347?\u263? wyniku\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Uchylono zaskar\u380?on\u261? decyzj\u281? w cz\u281?\u347?ci
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Powo\u322?ane przepisy\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Dz.U. 2018 nr 0 poz 1000; art. 7 ust. 1, art. 60, art. 101, art. 103; Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
\par Dz.U.UE.L 2016 nr 119 poz 1; art. 57 ust. 1 lit. a, art. 58 ust. 2 lit. i, art. 83, art. 28, art. 34; Rozporz\u261?dzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony os\u243?b fizycznych w zwi\u261?zku z  przetwarzaniem danych osobowych i w sprawie swobodnego przep\u322?ywu takich danych oraz uchylenia dyrektywy 95/46/WE
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Sentencja\b0
\par\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs22 Wojew\u243?dzki S\u261?d Administracyjny w Warszawie w sk\u322?adzie nast\u281?puj\u261?cym: Przewodnicz\u261?cy S\u281?dzia WSA Karolina Kisielewicz (spr.), S\u281?dzia WSA Joanna Kruszewska-Gro\u324?ska, S\u281?dzia WSA Tomasz Szmydt, Protokolant st. sekretarz s\u261?dowy Maryla Wi\u347?niewska po rozpoznaniu na rozprawie w dniu 5 pa\u378?dziernika 2021 r. sprawy ze skargi [...] Sp. z o.o. w likwidacji z siedzib\u261? w [...] na decyzj\u281? Prezesa Urz\u281?du Ochrony Danych Osobowych z dnia [...] grudnia 2020 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla pkt 1 zaskar\u380?onej decyzji, 2. zas\u261?dza od Prezesa Urz\u281?du Ochrony Danych Osobowych na rzecz skar\u380?\u261?cej [...] Sp. z o.o. w likwidacji z siedzib\u261? w [...] kwot\u281? 21 516 z\u322? (s\u322?ownie: dwadzie\u347?cia jeden tysi\u281?cy pi\u281?\u263?set szesna\u347?cie z\u322?otych), tytu\u322?em zwrotu koszt\u243?w post\u281?powania.
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Uzasadnienie\b0
\par\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs22 W dniu [...] marca 2020 r. [...] Sp. z o.o. w likwidacji z siedzib\u261? w [...] zg\u322?osi\u322?a Prezesowi Urz\u281?du Ochrony Danych Osobowych naruszenie poufno\u347?ci danych swoich klient\u243?w. Sp\u243?\u322?ka (kt\u243?rej przedmiotem dzia\u322?alno\u347?ci jest udzielanie po\u380?yczek finansowych z wykorzystaniem serwisu internetowego [...]) poda\u322?a, \u380?e w dniu [...] marca 2020 r. mia\u322?a miejsce awaria serwera i wraz z jego restartem zosta\u322?y zresetowane ustawienia oprogramowania odpowiadaj\u261?cego za bezpiecze\u324?stwo serwera (zapory firewall), w konsekwencji czego dane osobowe 218 657 os\u243?b znajduj\u261?ce si\u281? na serwerze by\u322?y publicznie dost\u281?pne. Baza danych znajduj\u261?ca si\u281? na tym serwerze zosta\u322?a pobrana (skopiowana) przez nieustalony podmiot trzeci, kt\u243?ry wyst\u261?pi\u322? do Sp\u243?\u322?ki z \u380?\u261?daniem zap\u322?aty wynagrodzenia w zamian za jej zwrot. Sp\u243?\u322?ka wyja\u347?ni\u322?a, \u380?e baza danych nie by\u322?a g\u322?\u243?wn\u261? baz\u261? klient\u243?w (potencjalnych klient\u243?w) Sp\u243?\u322?ki, obejmowa\u322?a dane statystyczne, z tego powodu nie zosta\u322?a obj\u281?ta skanowaniem pod k\u261?tem zabezpiecze\u324? po zresetowaniu serwera.
\par 
\par [...] Sp. z o.o. w likwidacji wyja\u347?ni\u322?a, \u380?e restartu serwera dokona\u322?a [...] z siedzib\u261? w [...] na [...], kt\u243?rej na podstawie umowy z dnia [...] marca 2018 r. powierzy\u322?a przetwarzanie danych w celu realizacji us\u322?ug maj\u261?cych charakter hostingu.
\par 
\par W pi\u347?mie z [...] marca 2020 r. Sp\u243?\u322?ka wyja\u347?ni\u322?a, \u380?e dane obejmowa\u322?y 140 699 klient\u243?w Sp\u243?\u322?ki, kt\u243?rzy po [...] stycznia 2018 r. w ca\u322?o\u347?ci lub w cz\u281?\u347?ci przeszli przez proces rejestracji w serwisie [...] i obejmowa\u322?y: imi\u281? i nazwisko, wykszta\u322?cenie, adres e-mail, dane dotycz\u261?ce zatrudnienia, adres e-mail osoby, kt\u243?rej klient chce poleci\u263? po\u380?yczk\u281?, dane dotycz\u261?ce zarobk\u243?w, dane dotycz\u261?ce stanu cywilnego, numer telefonu (stacjonarnego, kom\u243?rkowego, wcze\u347?niej u\u380?ywanego numeru telefonu), numer PESEL, narodowo\u347?\u263?, numer NIP, has\u322?o, miejsce urodzenia, adres korespondencyjny, adres zameldowania, numer telefonu do miejsca pracy oraz numer rachunku bankowego.
\par 
\par Sp\u243?\u322?ka podnios\u322?a, \u380?e w celu zminimalizowania negatywnych skutk\u243?w naruszenia w dniu [...] marca 2020 r. poinformowa\u322?a klient\u243?w i potencjalnych klient\u243?w (za pomoc\u261? poczty elektronicznej oraz wiadomo\u347?ci sms) o tym, \u380?e ich dane osobowe zapisane na koncie u\u380?ytkownika za\u322?o\u380?onym za po\u347?rednictwem strony internetowej [...]. zosta\u322?y ujawnione osobie trzeciej na skutek b\u322?\u281?du pracownika podmiotu, kt\u243?remu Sp\u243?\u322?ka powierzy\u322?a przetwarzanie danych oraz o zresetowaniu hase\u322? do logowania i doda\u322?a, \u380?e w celu zminimalizowania ryzyka ponownego wyst\u261?pienia naruszenia przywr\u243?cono prawid\u322?owe dzia\u322?anie zapory firewall.
\par 
\par W dniu [...] marca 2020 r. w odpowiedzi na wezwanie Prezesa Urz\u281?du Ochrony Danych Osobowych do z\u322?o\u380?enia dodatkowych wyja\u347?nie\u324? i przedstawienia dokument\u243?w z [...] marca 2020 r., [...] Sp. z o.o. w likwidacji przedstawi\u322?a obszerne wyja\u347?nienia dotycz\u261?ce zdarzenia i opisa\u322?a zastosowane \u347?rodki techniczne i organizacyjne zar\u243?wno przez Sp\u243?\u322?k\u281?, jak i podmiot przetwarzaj\u261?cy ([...] z siedzib\u261? w [...]). Poda\u322?a, \u380?e w dniu [...] lutego 2020 r. pracownik podmiotu przetwarzaj\u261?cego po restarcie jednego z serwer\u243?w u\u380?ywanych przez Sp\u243?\u322?k\u281? nie zweryfikowa\u322? prawid\u322?owo\u347?ci konfiguracji zabezpiecze\u324?, w dniu [...] marca 2020 r. Sp\u243?\u322?ka otrzyma\u322?a pierwsz\u261? informacj\u281? (od niezale\u380?nego konsultanta w zakresie cyberbezpiecze\u324?stwa) o istnieniu serwera z publicznie dost\u281?pnymi danymi klient\u243?w Sp\u243?\u322?ki korzystaj\u261?cych z witryny internetowej [...], w dniu [...] marca 2020 r. nieustalona osoba trzecia dokona\u322?a pobrania bazy danych Sp\u243?\u322?ki pozostawiaj\u261?c informacj\u281? z \u380?\u261?daniem uiszczenia okupu, w dniu [...] marca 2020 r. redaktor portalu [...] poinformowa\u322? j\u261?, \u380?e dosz\u322?o do naruszenia ochrony danych osobowych oraz o adresie IP serwera, kt\u243?rego naruszenie dotyczy.
\par 
\par [...] Sp. z o.o. w likwidacji wyja\u347?ni\u322?a, \u380?e pocz\u261?tkowo s\u261?dzono, \u380?e mo\u380?e to by\u263? pr\u243?ba wy\u322?udzenia poufnych informacji i podj\u281?to dzia\u322?ania w celu ustalenia jej wiarygodno\u347?ci oraz \u380?e w dniu [...] marca 2020 r. stwierdzono, \u380?e dosz\u322?o do naruszenia poufno\u347?ci danych osobowych. W rezultacie Sp\u243?\u322?ka zawiadomi\u322?a o naruszeniu Prezesa Urz\u281?du Ochrony Danych Osobowych i skierowa\u322?a do Prokuratury [...] w [...] zawiadomienie o podejrzeniu pope\u322?nienia przest\u281?pstwa przez nieznanego sprawc\u281? w zwi\u261?zku z tym zdarzeniem.
\par 
\par Odnosz\u261?c si\u281? do weryfikacji podmiotu przetwarzaj\u261?cego pod k\u261?tem spe\u322?nienia przez niego wymog\u243?w rozporz\u261?dzenia 2016/679, [...] Sp. z o.o. w likwidacji wyja\u347?ni\u322?a, \u380?e [...] jest wyspecjalizowanym podmiotem zajmuj\u261?cym si\u281? obs\u322?ug\u261? sektora finansowego i posiada wieloletnie do\u347?wiadczenie w tej dziedzinie. W 2018 r. sp\u243?\u322?ka [...] zosta\u322?a poddana audytowi pod k\u261?tem obs\u322?ugi Sp\u243?\u322?ki w zwi\u261?zku z przepisami rozporz\u261?dzenia 2016/679 i zrealizowa\u322?a zadania o kt\u243?rych mowa w wynikach audytu.
\par 
\par Sp\u243?\u322?ka dwukrotnie jeszcze sk\u322?ada\u322?a wyja\u347?nienia w tej sprawie, odpowiadaj\u261?c na pytania Prezesa UODO w pismach z [...] czerwca i [...] wrze\u347?nia 2020 r.
\par 
\par Prezes Urz\u281?du Ochrony Danych Osobowych decyzj\u261? z [...] grudnia 2020 r. (nr [...]), wydan\u261? na podstawie art. 104 \u167? 1 i art. 105 \u167? 1 ustawy z dnia 14 czerwca 1960 r. Kodeks post\u281?powania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm.), art. 7 ust. 1, art. 60, art. 101 i art. 103 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a, art. 58 ust. 2 lit. i, art. 83 ust. 1-3, art. 83 ust. 4 lit. a oraz art. 83 ust. 5 lit. a w zwi\u261?zku z art. 5 ust. 1 lit. f, art. 24 ust. 1, art. 25 ust. 1, art. art. 28 ust. 1, art. 28 ust. 3 lit. h, 32 ust. 1 lit. b i lit. d, art. 32 ust. 2, art. 33 ust. 1, art. 34 ust. 1 rozporz\u261?dzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony os\u243?b fizycznych w zwi\u261?zku z przetwarzaniem danych osobowych i w sprawie swobodnego przep\u322?ywu takich danych oraz uchylenia dyrektywy 95/46/WE (og\u243?lne rozporz\u261?dzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.),
\par 
\par 1) stwierdzi\u322? naruszenie przez [...] Sp. z o.o. w likwidacji z siedzib\u261? w [...], przepis\u243?w art. 5 ust. 1 lit. f, art. 25 ust. 1, art. 32 ust. 1 lit. b, art. 32 ust. 1 lit. d oraz art. 32 ust. 2 rozporz\u261?dzenia Parlamentu Europejskiego i Rady UE 2016/679, polegaj\u261?ce na niewdro\u380?eniu przez Sp\u243?\u322?k\u281?, zar\u243?wno w fazie projektowania procesu przetwarzania jak i w czasie samego przetwarzania, odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych odpowiadaj\u261?cych ryzyku naruszenia zdolno\u347?ci do ci\u261?g\u322?ego zapewnienia poufno\u347?ci, integralno\u347?ci, dost\u281?pno\u347?ci i odporno\u347?ci systemu przetwarzania danych osobowych, a tak\u380?e zapewniaj\u261?cych zdolno\u347?\u263? skutecznego i szybkiego stwierdzenia naruszenia ochrony danych osobowych oraz zapewniaj\u261?cych regularn\u261? ocen\u281? skuteczno\u347?ci tych \u347?rodk\u243?w, co skutkowa\u322?o uzyskaniem przez osoby trzecie nieuprawnionego dost\u281?pu do przetwarzanych danych osobowych oraz na\u322?o\u380?y\u322? na [...] Sp. z o.o. w likwidacji, administracyjn\u261? kar\u281? pieni\u281?\u380?n\u261? w wysoko\u347?ci 1.069.850,00 z\u322?.,
\par 
\par 2) w pozosta\u322?ym zakresie post\u281?powanie umorzy\u322?.
\par 
\par W uzasadnieniu decyzji organ poda\u322?, \u380?e zgodnie z art. 5 ust. 1 lit. f rozporz\u261?dzenia 2016/679 dane osobowe musz\u261? by\u263? przetwarzane w spos\u243?b zapewniaj\u261?cy odpowiednie bezpiecze\u324?stwo danych osobowych, w tym ochron\u281? przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkow\u261? utrat\u261?, zniszczeniem lub uszkodzeniem, za pomoc\u261? odpowiednich \u347?rodk\u243?w technicznych lub organizacyjnych ("poufno\u347?\u263? i integralno\u347?\u263?") oraz \u380?e przepisy rozporz\u261?dzenia 2016/679 zobowi\u261?zuj\u261? administrator\u243?w do przyj\u281?cia odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych, aby zapewni\u263? stopie\u324? bezpiecze\u324?stwa odpowiadaj\u261?cy ryzyku zwi\u261?zanemu z przetwarzaniem danych osobowych.
\par 
\par Z tre\u347?ci art. 32 ust. 1 rozporz\u261?dzenia 2016/679 wynika, \u380?e uwzgl\u281?dniaj\u261?c stan wiedzy technicznej, koszt wdra\u380?ania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych o r\u243?\u380?nym prawdopodobie\u324?stwie wyst\u261?pienia i wadze, administrator wdra\u380?a odpowiednie \u347?rodki techniczne i organizacyjne, aby zapewni\u263? stopie\u324? bezpiecze\u324?stwa odpowiadaj\u261?cy temu ryzyku, w tym mi\u281?dzy innymi zdolno\u347?\u263? do ci\u261?g\u322?ego zapewnienia poufno\u347?ci, integralno\u347?ci, dost\u281?pno\u347?ci i odporno\u347?ci system\u243?w i us\u322?ug przetwarzania (art. 32 ust. 1 lit b). regularne testowanie, mierzenie i ocenianie skuteczno\u347?ci \u347?rodk\u243?w technicznych i organizacyjnych maj\u261?cych zapewni\u263? bezpiecze\u324?stwo przetwarzania (art. 32 ust. 1 lit d). W my\u347?l art. 32 ust. 2 rozporz\u261?dzenia 2016/679, oceniaj\u261?c, czy stopie\u324? bezpiecze\u324?stwa jest odpowiedni, uwzgl\u281?dnia si\u281? w szczeg\u243?lno\u347?ci ryzyko wi\u261?\u380?\u261?ce si\u281? z przetwarzaniem, w szczeg\u243?lno\u347?ci wynikaj\u261?ce z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dost\u281?pu do danych osobowych przesy\u322?anych, przechowywanych lub w inny spos\u243?b przetwarzanych.
\par 
\par W przypadku naruszenia ochrony danych osobowych, administrator bez zb\u281?dnej zw\u322?oki - w miar\u281? mo\u380?liwo\u347?ci, nie p\u243?\u378?niej ni\u380? w terminie 72 godzin po stwierdzeniu naruszenia - zg\u322?asza je organowi nadzorczemu, chyba, \u380?e jest ma\u322?o prawdopodobne, by naruszenie to skutkowa\u322?o ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych (art. 33 ust. 1 rozporz\u261?dzenia 2016/679). Je\u380?eli naruszenie ochrony danych osobowych mo\u380?e powodowa\u263? wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, administrator bez zb\u281?dnej zw\u322?oki zawiadamia osob\u281?, kt\u243?rej dane dotycz\u261?, o takim naruszeniu (art. 34 ust. 1).
\par 
\par W uzasadnieniu decyzji Prezes Urz\u281?du Ochrony Danych Osobowych odwo\u322?a\u322? si\u281? ponadto do motywu 87 rozporz\u261?dzenia 2016/679 i wytycznych Grupy Roboczej Art. 29, dotycz\u261?cych zg\u322?aszania narusze\u324? i stwierdzi\u322?, \u380?e obowi\u261?zek powiadomienia organu nadzorczego o naruszeniu powstaje w momencie, w kt\u243?rym administrator uzyska\u322? wystarczaj\u261?c\u261? doz\u281? pewno\u347?ci co do tego, \u380?e dosz\u322?o do wyst\u261?pienia incydentu bezpiecze\u324?stwa, kt\u243?ry doprowadzi\u322? do ujawnienia danych osobowych.
\par 
\par Po otrzymaniu pierwszej informacji o potencjalnym naruszeniu ochrony danych osobowych, administrator mo\u380?e przeprowadzi\u263? kr\u243?tkotrwa\u322?e post\u281?powanie, aby ustali\u263?, czy faktycznie dosz\u322?o do danego naruszenia, przy czym nale\u380?y oczekiwa\u263?, \u380?e wst\u281?pne post\u281?powanie powinno rozpocz\u261?\u263? si\u281? mo\u380?liwie jak najszybciej i doprowadzi\u263? do jak najszybszego ustalenia z wystarczaj\u261?c\u261? doz\u261? pewno\u347?ci, czy w danym przypadku faktycznie dosz\u322?o do wyst\u261?pienia naruszenia. W przypadku jakichkolwiek w\u261?tpliwo\u347?ci, maj\u261?c w szczeg\u243?lno\u347?ci na wzgl\u281?dzie charakter i zakres przetwarzanych danych oraz ryzyko wi\u261?\u380?\u261?ce si\u281? z ich, np. przypadkowym udost\u281?pnieniem, administrator powinien zg\u322?osi\u263? naruszenie organowi nadzorczemu, nawet je\u347?li taka ostro\u380?no\u347?\u263? mog\u322?aby si\u281? okaza\u263? nadmierna.
\par 
\par Odnosz\u261?c te og\u243?lne uwagi do rozpatrywanej sprawy organ przypomnia\u322?, \u380?e w dniu [...] marca 2020 r. Sp\u243?\u322?ka otrzyma\u322?a pierwsz\u261? informacj\u281? (wiadomo\u347?\u263? e-mail) o istnieniu serwera z publicznie dost\u281?pnymi danymi klient\u243?w Sp\u243?\u322?ki korzystaj\u261?cych z witryny internetowej [...]. W wiadomo\u347?ci przedstawiony zosta\u322? fragment informacji zawieraj\u261?cy dane osobowe u\u380?ytkownika witryny [...], m.in. numer PESEL, adres e-mail i identyfikator u\u380?ytkownika (nie podano natomiast adresu IP serwera, kt\u243?rego nieprawid\u322?owa konfiguracja doprowadzi\u322?a do naruszenia ochrony danych osobowych).
\par 
\par Zdaniem organu, ta informacja, powinna stanowi\u263? dla administratora danych impuls do pr\u243?by uzyskania dodatkowych informacji od nadawcy z zachowaniem nale\u380?ytej ostro\u380?no\u347?ci oraz by\u263? przyczyn\u261? do podj\u281?cia bardziej zintensyfikowanych dzia\u322?a\u324? we wsp\u243?\u322?pracy z podmiotem przetwarzaj\u261?cym. Sp\u243?\u322?ka powinna uzmys\u322?owi\u263? sobie skal\u281? potencjalnego naruszenia (obejmuj\u261?cego wszystkich klient\u243?w) i negatywnych dla nich konsekwencji, do jakich mo\u380?e doj\u347?\u263? lub ju\u380? dosz\u322?o, zw\u322?aszcza \u380?e podane informacje (dane osobowe) rzeczywi\u347?cie dotyczy\u322?y jego klienta i ich ujawnienie bez w\u261?tpienia mo\u380?e skutkowa\u263? wysokim ryzykiem naruszenia praw lub wolno\u347?ci osoby, kt\u243?rej dotycz\u261?.
\par 
\par Prezes Urz\u281?du Ochrony Danych Osobowych stwierdzi\u322?, \u380?e o ile s\u322?usznie Sp\u243?\u322?ka niezw\u322?ocznie przekaza\u322?a wiadomo\u347?\u263? podmiotowi przetwarzaj\u261?cemu i opar\u322?a swoje przekonanie o konieczno\u347?ci zawiadomienia organu nadzorczego dopiero po potwierdzeniu jej wiarygodno\u347?ci, o tyle ze zgromadzonego materia\u322?u dowodowego nie wynika, by administrator podejmowa\u322? inne dzia\u322?ania zmierzaj\u261?ce do szybkiego i skutecznego stwierdzenia naruszenia. Dyrektor ds. finansowych Sp\u243?\u322?ki \u8211? administratora danych osobowych, w dniu [...] marca 2020 r. po otrzymaniu wiadomo\u347?ci z [...] marca 2020 r. przekierowa\u322? j\u261? do dyrektora [...] z kr\u243?tkim komentarzem poddaj\u261?cym w w\u261?tpliwo\u347?\u263? intencje nadawcy i wskazuj\u261?ce na tzw. "smart phishing" i w dniu [...] marca 2020 r. zwr\u243?ci\u322? si\u281? do niego z pytaniem, czy przekazana wiadomo\u347?\u263? zosta\u322?a zweryfikowana (tego samego dnia [...] dokona\u322?a restartu serwera, jednak jego konfiguracja nadal by\u322?a nieprawid\u322?owa). Je\u347?li informacji tej nie mo\u380?na szybko i skutecznie zweryfikowa\u263?, maj\u261?c na wzgl\u281?dzie ryzyko dla praw i wolno\u347?ci os\u243?b fizycznych, Sp\u243?\u322?ka powinna bez zb\u281?dnej zw\u322?oki zg\u322?osi\u263? naruszenie organowi nadzorczemu. Tymczasem, dopiero po przekazaniu [...] marca 2020 r. wiadomo\u347?ci z [...] marca 2020 r. dyrektorowi [...], w kt\u243?rym to wskazano na obowi\u261?zki prawne ci\u261?\u380?\u261?ce na Sp\u243?\u322?ce odno\u347?nie terminu zawiadomienia organu nadzorczego, zar\u243?wno Sp\u243?\u322?ka, jak i podmiot przetwarzaj\u261?cy podj\u281?\u322?y zintensyfikowane dzia\u322?ania weryfikacyjne i zaradcze i w dniu [...] marca 2020 r., zesp\u243?\u322? IT podmiotu przetwarzaj\u261?cego ustali\u322? przyczyny awarii serwera oraz zweryfikowa\u322? wiadomo\u347?\u263? e-mail z [...] marca 2020 r., a inspektor ochrony danych Sp\u243?\u322?ki rozpocz\u261?\u322? gromadzenie informacji o naruszeniu.
\par 
\par Zw\u322?oka, kt\u243?rej zdaniem Prezesa Urz\u281?du Ochrony Danych Osobowych dopu\u347?ci\u322?a si\u281? Sp\u243?\u322?ka jako administrator danych, mi\u281?dzy [...] marca 2020 r., a [...] marca 2020 r., kiedy otrzyma\u322?a kolejny sygna\u322? o naruszeniu (redaktor portalu [...] poinformowa\u322? j\u261?, \u380?e dosz\u322?o do naruszenia ochrony danych osobowych oraz o adresie IP serwera, kt\u243?rego naruszenie dotyczy), skutkowa\u322?a pobraniem (w dniu [...] marca 2020 r.) przez nieznan\u261? osob\u281? bazy danych Sp\u243?\u322?ki.
\par 
\par Organ poda\u322?, \u380?e fakt, \u380?e dotychczas tak powa\u380?ne zdarzenia nie mia\u322?y miejsca, nie mo\u380?e usypia\u263? czujno\u347?ci administratora i usprawiedliwia\u263? brak odpowiednich dzia\u322?a\u324? z jego strony mi\u281?dzy [...] marca 2020 r. a [...] marca 2020 r. Brak szybkiej reakcji ze strony podmiotu przetwarzaj\u261?cego nie zdejmuje z administratora odpowiedzialno\u347?ci za stwierdzenie naruszenia ochrony danych osobowych, gdy\u380? zdolno\u347?\u263? do wykrywania narusze\u324?, zaradzania im oraz ich terminowego zg\u322?aszania powinna by\u263? postrzegana jako kluczowy element \u347?rodk\u243?w technicznych i organizacyjnych, w tym ka\u380?dej polityki w zakresie bezpiecze\u324?stwa danych. Sp\u243?\u322?ka mimo niezw\u322?ocznego przekazania sygna\u322?u o nieprawid\u322?owo\u347?ciach podmiotowi przetwarzaj\u261?cemu, zdaniem Prezesa Urz\u281?du Ochrony Danych Osobowych, nie podj\u281?\u322?a swoich dzia\u322?a\u324? w spos\u243?b odpowiedni. Okoliczno\u347?ci sprawy jednoznacznie wskazuj\u261? na to, \u380?e administrator pobie\u380?nie przeanalizowa\u322? wiadomo\u347?\u263? z [...] marca 2020 r., nie potraktowa\u322? jej z nale\u380?yt\u261? powag\u261? i nie zobligowa\u322? podmiotu przetwarzaj\u261?cego do tego samego. Podj\u281?cie w\u322?a\u347?ciwej analizy i zintensyfikowanego kontaktu z podmiotem przetwarzaj\u261?cym ju\u380? w dniu [...] marca 2020 r., w kt\u243?rym to Sp\u243?\u322?ka dowiedzia\u322?a si\u281? o pierwszych nieprawid\u322?owo\u347?ciach, w ocenie organu, pozwoli\u322?yby stwierdzi\u263? naruszenie ochrony danych znacznie szybciej (tak jak to uczyniono po wiadomo\u347?ci otrzymanej od redaktora jednego z portali internetowych) i potencjalnie zminimalizowa\u263? ryzyko dla praw i wolno\u347?ci klient\u243?w Sp\u243?\u322?ki, w tym unikn\u261?\u263? zdarzenia, do kt\u243?rego dosz\u322?o [...] marca 2020 r.
\par 
\par Prezes Urz\u281?du Ochrony Danych Osobowych doda\u322?, \u380?e zar\u243?wno wyja\u347?nienia Sp\u243?\u322?ki, jak i przedstawione przez ni\u261? dokumenty, nie przedstawiaj\u261? procedury stwierdzenia naruszenia. O ile procedura taka nie jest wprost wymagana przez \u380?aden z przepis\u243?w rozporz\u261?dzenia 2016/679, o tyle, jak wskazuj\u261? wytyczne dotycz\u261?ce narusze\u324? i jak wynika to z przepis\u243?w rozporz\u261?dzenia 2016/679, administrator jest zobligowany do sprawnego i szybkiego stwierdzania naruszenia ochrony danych, a taka procedura mo\u380?e to w znacz\u261?cy spos\u243?b u\u322?atwi\u263?.
\par 
\par W konkluzji stwierdzi\u322?, \u380?e Sp\u243?\u322?ka, dokonuj\u261?c oceny pierwszego sygna\u322?u o nieprawid\u322?owo\u347?ciach, nie uwzgl\u281?dni\u322?a ryzyka wi\u261?\u380?\u261?cego si\u281? z przetwarzaniem danych osobowych wynikaj\u261?cych z przypadkowego udost\u281?pnienia danych osobowych, co stanowi naruszenie art. 32 ust. 2 rozporz\u261?dzenia 2016/679.
\par 
\par Zebrany w toku niniejszego post\u281?powania materia\u322? dowodowy stanowi r\u243?wnie\u380? podstaw\u281? do stwierdzenia, \u380?e Sp\u243?\u322?ka nie wywi\u261?za\u322?a si\u281? z obowi\u261?zku zapewnienia przetwarzania danych osobowych w spos\u243?b zapewniaj\u261?cy ich odpowiednie bezpiecze\u324?stwo od momentu, w kt\u243?rym uzyska\u322?a pierwszy sygna\u322? o nieprawid\u322?owo\u347?ciach, co stanowi naruszenie zasady poufno\u347?ci wyra\u380?onej w art. 5 ust. 1 lit. f rozporz\u261?dzenia 2016/679. Nie wdro\u380?y\u322?a r\u243?wnie\u380? odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych maj\u261?cych na celu skuteczn\u261? realizacj\u281? zasady ochrony danych, co stanowi naruszenie art. 25 ust. 1 rozporz\u261?dzenia 2016/679 oraz skuteczne i szybkie stwierdzenie naruszenia, co stanowi naruszenie art. 24 ust. 1 rozporz\u261?dzenia 2016/679.
\par 
\par Zdaniem Prezesa Urz\u281?du Ochrony Danych Osobowych Sp\u243?\u322?ka nie dokonywa\u322?a r\u243?wnie\u380? regularnej oceny skuteczno\u347?ci tych \u347?rodk\u243?w, co stanowi naruszenie art. 32 ust. 1 lit. d rozporz\u261?dzenia 2016/679. Tym samym mi\u281?dzy [...] a [...] marca 2020 r. swoim dzia\u322?aniem przyczyni\u322?a si\u281? do niezapewnienia zdolno\u347?ci do ci\u261?g\u322?ego zapewnienia poufno\u347?ci, integralno\u347?ci, dost\u281?pno\u347?ci i odporno\u347?ci system\u243?w i us\u322?ug przetwarzania, co stanowi naruszenie art. 32 ust. 1 lit. b rozporz\u261?dzenia 2016/679.
\par 
\par W uzasadnieniu decyzji organ przyzna\u322?, \u380?e relacja z podmiotem przetwarzaj\u261?cym nie oznacza obowi\u261?zku ci\u261?g\u322?ego monitorowania stosowanych rozwi\u261?za\u324?. Jednak\u380?e, zdaniem Prezesa Urz\u281?du Ochrony Danych Osobowych istotnym jest by administrator w ramach realizacji obowi\u261?zk\u243?w wynikaj\u261?cych z rozporz\u261?dzenia 2016/679 dokonywa\u322? cyklicznej weryfikacji, czy w u\u380?ywanych rozwi\u261?zaniach technicznych i organizacyjnych nie stwierdzono s\u322?abo\u347?ci mog\u261?cych wp\u322?yn\u261?\u263? na ryzyko naruszenia praw lub wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261?, a fakt przetwarzania danych przez podmiot przetwarzaj\u261?cy tej odpowiedzialno\u347?ci z administratora nie zdejmuje. Zdaniem organu stanowi to o naruszeniu przez Sp\u243?\u322?k\u281? art. 25 ust. 1 rozporz\u261?dzenia 2016/679. Nieuwzgl\u281?dnienie przez Sp\u243?\u322?k\u281? ryzyka zwi\u261?zanego z przetwarzaniem hase\u322? u\u380?ytkownik\u243?w w postaci jawnej stanowi r\u243?wnie\u380? o naruszeniu art. 24 ust. 1, art, 32 ust. 1 lit. d oraz art. 32 ust. 2 rozporz\u261?dzenia 2016/679.
\par 
\par Z tych wszystkich wzgl\u281?d\u243?w Prezes Urz\u281?du Ochrony Danych Osobowych stwierdzi\u322?, \u380?e [...] Sp. z o.o. w likwidacji z siedzib\u261? w [...], dopu\u347?ci\u322?a si\u281? naruszenia art. 5 ust. 1 lit. f, art. 25 ust. 1, art. 32 ust. 1 lit. b, art. 32 ust. 1 lit. d oraz art. 32 ust. 2 rozporz\u261?dzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony os\u243?b fizycznych w zwi\u261?zku z przetwarzaniem danych osobowych i w sprawie swobodnego przep\u322?ywu takich danych oraz uchylenia dyrektywy 95/46/WE.
\par 
\par Prezes Urz\u281?du Ochrony Danych Osobowych nie dopatrzy\u322? si\u281? naruszenia przez Sp\u243?\u322?k\u281? art. 33 ust. 1 i art. 34 ust. 1 rozporz\u261?dzenia 2016/679, kt\u243?re obliguj\u261? administratora do zawiadomienia organu nadzorczego (bez zb\u281?dnej zw\u322?oki) o naruszeniu ochrony danych osobowych, kt\u243?re skutkuje ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych (art. 33 ust. 1) oraz osoby, kt\u243?rej dane dotycz\u261?, o takim naruszeniu (art. 34 ust. 1). Organ poda\u322?, \u380?e na gruncie tych przepis\u243?w nale\u380?y przyj\u261?\u263?, \u380?e pocz\u261?tkiem terminu na zawiadomienie organu nadzorczego (art. 33 ust. 1) i os\u243?b, kt\u243?rych dane dotycz\u261? (art. 34 ust. 1) jest dzie\u324?, w kt\u243?rym stwierdzono naruszenie ochrony danych osobowych. Jak ju\u380? powiedziano, skar\u380?\u261?ca Sp\u243?\u322?ka z op\u243?\u378?nieniem stwierdzi\u322?a naruszenie w dniu [...] marca 2020 r., co nie zdejmuje z niej odpowiedzialno\u347?ci za ryzyko naruszenia praw lub wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261?, powsta\u322?e w wyniku op\u243?\u378?nienia stwierdzenia naruszenia. Jednak\u380?e od razu po sp\u243?\u378?nionym stwierdzeniu, Sp\u243?\u322?ka z pomoc\u261? podmiotu przetwarzaj\u261?cego, rozpocz\u281?\u322?a proces resetowania hase\u322? u\u380?ytkownik\u243?w i podj\u281?\u322?a wszelkie niezb\u281?dne dzia\u322?ania maj\u261?ce na celu sprawne i terminowe zawiadomienie os\u243?b, kt\u243?rych dane dotycz\u261?, w tym wykorzysta\u322?a dost\u281?pne kana\u322?y informacyjne i w spos\u243?b wyczerpuj\u261?cy wykaza\u322?a skuteczno\u347?\u263? dostarczenia zawiadomie\u324?. Z tych powod\u243?w Prezes Urz\u281?du Ochrony Danych Osobowych umorzy\u322? post\u281?powanie administracyjne w zakresie naruszenia art. 34 ust. 1 rozporz\u261?dzenia 2016/679, co tym samym nie stanowi podstawy wymiaru administracyjnej kary pieni\u281?\u380?nej.
\par 
\par W uzasadnieniu decyzji organ poda\u322?, \u380?e Sp\u243?\u322?ce nale\u380?y postawi\u263? zarzuty niedope\u322?nienia obowi\u261?zk\u243?w wynikaj\u261?cych z art. 5 ust. 1 lit. f, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b i d oraz art. 32 ust. 2 rozporz\u261?dzenia 2016/679. Nie spos\u243?b jednak zgodzi\u263? si\u281? ze stanowiskiem Sp\u243?\u322?ki, \u380?e jej ewentualna odpowiedzialno\u347?\u263?, jako administratora, powinna by\u263? rozpatrywana jedynie w kontek\u347?cie art. 28 ust. 1 rozporz\u261?dzenia 2016/679 (kt\u243?ry stanowi, \u380?e je\u380?eli przetwarzanie ma by\u263? dokonywane w imieniu administratora, korzysta on wy\u322?\u261?cznie z us\u322?ug takich podmiot\u243?w przetwarzaj\u261?cych, kt\u243?re zapewniaj\u261? wystarczaj\u261?ce gwarancje wdro\u380?enia odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych, by przetwarzanie spe\u322?nia\u322?o wymogi niniejszego rozporz\u261?dzenia i chroni\u322?o prawa os\u243?b, kt\u243?rych dane dotycz\u261?) i wynika\u263? z odpowiedzi na pytanie, czy gwarancje udzielone administratorowi przez podmiot przetwarzaj\u261?cy by\u322?y wystarczaj\u261?ce, aby uzasadni\u263? skorzystanie z jego us\u322?ug. Oceny tej rzecz jasna, jak wskazuje r\u243?wnie\u380? Sp\u243?\u322?ka, nie mo\u380?na dokona\u263? jedynie z perspektywy samego incydentu, ale z perspektywy mo\u380?liwo\u347?ci przewidzenia jego wyst\u261?pienia oraz mo\u380?liwo\u347?ci rozs\u261?dnego stwierdzenia jeszcze przed wyst\u261?pieniem incydentu, \u380?e gwarancje nie s\u261? wystarczaj\u261?ce i nale\u380?y skorzysta\u263? z us\u322?ug innych ekspert\u243?w IT. S\u322?usznie r\u243?wnie\u380? Sp\u243?\u322?ka wskazuje, \u380?e art. 28 ust. 1 rozporz\u261?dzenia 2016/679 wymaga korzystania z podmiot\u243?w przetwarzaj\u261?cych, zapewniaj\u261?cych odpowiednie gwarancje zgodno\u347?ci, nie za\u347? ci\u261?g\u322?ego monitorowania stosowanych przez ten podmiot rozwi\u261?za\u324?. Prezes Urz\u281?du Ochrony Danych Osobowych stwierdzi\u322?, \u380?e z punktu widzenia art. 28 ust. 1 i art. 28 ust. 3 lit. h rozporz\u261?dzenia 2016/679, w zgromadzonym materiale dowodowym, nie dopatrzy\u322? si\u281? okoliczno\u347?ci, kt\u243?re pozwoli\u322?yby stwierdzi\u263?, \u380?e [...] nie zapewnia\u322? wystarczaj\u261?cych gwarancji dla bezpiecze\u324?stwa danych osobowych oraz nie udost\u281?pnia\u322? administratorowi wszelkich informacji niezb\u281?dnych do wykazania spe\u322?nienia obowi\u261?zk\u243?w okre\u347?lonych w art. 28 rozporz\u261?dzenia 2016/679 b\u261?d\u378? uniemo\u380?liwia\u322? Sp\u243?\u322?ce przeprowadzanie audyt\u243?w, w tym inspekcji. W konsekwencji umorzy\u322? post\u281?powanie administracyjne w zakresie naruszenia art. 28 ust. 1 i art. 28 ust. 3 lit. h rozporz\u261?dzenia 2016/679.
\par 
\par Prezes Urz\u281?du Ochrony Danych Osobowych w uzasadnieniu decyzji odwo\u322?a\u322? si\u281? do art. 58 ust. 2 lit. i rozporz\u261?dzenia 2016/679, zgodnie z kt\u243?rym ka\u380?demu organowi nadzorczemu przys\u322?uguje uprawnienie do zastosowania, opr\u243?cz lub zamiast innych \u347?rodk\u243?w naprawczych przewidzianych w art. 58 ust. 2 lit. a-h oraz lit. j, administracyjnej kary pieni\u281?\u380?nej na mocy art. 83 rozporz\u261?dzenia 2016/679 i stwierdzi\u322?, \u380?e w rozpatrywanej sprawie zaistnia\u322?y przes\u322?anki uzasadniaj\u261?ce na\u322?o\u380?enie na Sp\u243?\u322?k\u281? administracyjnej kary pieni\u281?\u380?nej. Na\u322?o\u380?enie administracyjnej kary pieni\u281?\u380?nej na Sp\u243?\u322?k\u281? jest konieczne i uzasadnione wag\u261? oraz charakterem i zakresem dokonanych przez Sp\u243?\u322?k\u281? narusze\u324?.
\par 
\par Organ poda\u322?, \u380?e stosownie do art. 83 ust. 2 lit. a-k rozporz\u261?dzenia 2016/679, wzi\u261?\u322? pod uwag\u281? wymienione tam przes\u322?anki maj\u261?ce wp\u322?yw na wymiar na\u322?o\u380?onej kary finansowej, m. in. charakter i wag\u281? naruszenia przy uwzgl\u281?dnieniu liczby poszkodowanych os\u243?b (art. 83 ust.2 lit. a rozporz\u261?dzenia 2016/679). Podkre\u347?li\u322?, \u380?e Sp\u243?\u322?ka nie podejmowa\u322?a odpowiednich dzia\u322?a\u324? maj\u261?cych na celu sprawne i szybkie stwierdzenie naruszenia (potwierdzi\u322?a nieprawid\u322?owo\u347?ci dopiero po oko\u322?o 10 dniach od dnia uzyskania pierwszej wiadomo\u347?ci w tej sprawie).
\par 
\par Stosownie do tre\u347?ci art. 83 ust. 3 rozporz\u261?dzenia 2016/679, Prezes Urz\u281?du Ochrony Danych Osobowych okre\u347?li\u322? ca\u322?kowit\u261? wysoko\u347?\u263? administracyjnej kary pieni\u281?\u380?nej w kwocie nieprzekraczaj\u261?cej wysoko\u347?ci kary za najpowa\u380?niejsze naruszenie (za kt\u243?re uzna\u322? naruszenie przez Sp\u243?\u322?k\u281? zasady poufno\u347?ci okre\u347?lonej w art. 5 ust. 1 lit. rozporz\u261?dzenia 2016/679) i na podstawie art. 83 ust. 4 lit. a i art. 83 ust. 5 lit. a w zwi\u261?zku z art. 83 ust. 3 rozporz\u261?dzenia 2016/679 oraz w zwi\u261?zku z art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, za naruszenia opisane w sentencji niniejszej decyzji, na\u322?o\u380?y\u322? na Sp\u243?\u322?k\u281? - stosuj\u261?c \u347?redni kurs euro z 28 stycznia 2020 r. (1 EUR = 4,2794 PLN) - administracyjn\u261? kar\u281? pieni\u281?\u380?n\u261? w kwocie 1.069.850,00 PLN (co stanowi r\u243?wnowarto\u347?\u263? 250.000 EUR).
\par 
\par W ocenie Prezesa Urz\u281?du Ochrony Danych Osobowych, zastosowana administracyjna kara pieni\u281?\u380?na spe\u322?nia w ustalonych okoliczno\u347?ciach niniejszej sprawy funkcje, o kt\u243?rych mowa w art. 83 ust. 1 rozporz\u261?dzenia 2016/679, tzn. kara b\u281?dzie w tym indywidualnym przypadku skuteczna, odstraszaj\u261?ca i proporcjonalna do stwierdzonego naruszenia, w tym zw\u322?aszcza jego wagi, kr\u281?gu dotkni\u281?tych nim os\u243?b fizycznych oraz ryzyka, jakie w zwi\u261?zku z naruszeniem ponosz\u261?. W przysz\u322?o\u347?ci zapobiegnie naruszeniom przepis\u243?w o ochronie danych osobowych zar\u243?wno przez Sp\u243?\u322?k\u281?, jak i innych administrator\u243?w danych osobowych.
\par 
\par [...] Sp. z o.o. w likwidacji z siedzib\u261? w [...] z\u322?o\u380?y\u322?a do Wojew\u243?dzkiego S\u261?du Administracyjnego w Warszawie skarg\u281? na pkt 1 opisanej decyzji Prezesa Urz\u281?du Ochrony Danych Osobowych z [...] grudnia 2020 r.
\par 
\par Skar\u380?\u261?ca zarzuci\u322?a zaskar\u380?onej decyzji przede wszystkim naruszenie art. 32 rozporz\u261?dzenia 2019/679 przez jego b\u322?\u281?dn\u261? wyk\u322?adni\u281? i w konsekwencji nieuzasadnione przyj\u281?cie, \u380?e jego adresatem mo\u380?e by\u263? jedynie administrator danych osobowych, podczas gdy przepis ten jest adresowany zar\u243?wno do administratora jak i podmiotu przetwarzaj\u261?cego dane osobowe. To oznacza, \u380?e organ oceniaj\u261?c konkretne naruszenie danych osobowych powinien co najmniej zada\u263? pytanie, kt\u243?ry z podmiot\u243?w zaanga\u380?owanych w proces przetwarzania danych nie dope\u322?ni\u322? obowi\u261?zk\u243?w wynikaj\u261?cych z przepis\u243?w rozporz\u261?dzenia. W niniejszej sprawie, zdaniem skar\u380?\u261?cej, takie pytanie nie zosta\u322?o postawione. W uzasadnieniu tego zarzutu Sp\u243?\u322?ka doda\u322?a, \u380?e wyk\u322?adnia art. 32 rozporz\u261?dzenia dokonana przez organ w zaskar\u380?onej decyzji stoi w sprzeczno\u347?ci z art. 83 ust. 4 lit. a rozporz\u261?dzenia, w kt\u243?rym ustawodawca unijny przewidzia\u322? odpowiedzialno\u347?\u263? administracyjn\u261? za naruszenie art. 32 zar\u243?wno po stronie administratora, jak i podmiotu przetwarzaj\u261?cego. W konsekwencji Prezes Urz\u281?du Ochrony Danych Osobowych ca\u322?kowicie pomin\u261?\u322? udzia\u322? [...] w omy\u322?kowym udost\u281?pnieniu nieuprawnionym osobom danych klient\u243?w skar\u380?\u261?cej, a co za tym idzie przypisa\u322? jej a priori odpowiedzialno\u347?\u263? za to zdarzenie.
\par 
\par Skar\u380?\u261?ca w skardze sformu\u322?owa\u322?a ponadto zarzuty naruszenia przez organ przepis\u243?w prawa procesowego tj. art. 6, art. 7, art. 8 \u167? 1 , art. 77 \u167? 1, art. 80 k.p.a. w zw. z art. 7 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych przez pobie\u380?ne rozpatrzenie materia\u322?u dowodowego.
\par 
\par W uzasadnieniu tego zarzutu skar\u380?\u261?ca poda\u322?a, \u380?e Prezes Urz\u281?du Ochrony Danych Osobowych stawiaj\u261?c jej zarzut naruszenia art. 32 ust. 1 lit. b oraz art. 32 ust. 2 rozporz\u261?dzenia, nie wzi\u261?\u322? pod uwag\u281?, \u380?e w celu zapewnienia bezpiecze\u324?stwa przetwarzania danych zawar\u322?a umowy powierzenia przetwarzania danych osobowych z podmiotami z bran\u380?y IT (tj. [...] S.A., kt\u243?ra udost\u281?pni\u322?a skar\u380?\u261?cej serwer, oraz [...], kt\u243?ra odpowiada\u322?a za konfiguracj\u281? oraz monitorowanie \u347?rodk\u243?w serwera). Skar\u380?\u261?ca doda\u322?a, \u380?e specjalizuje si\u281? w \u347?wiadczeniu us\u322?ug finansowych, nie za\u347? informatycznych i zdaj\u261?c sobie spraw\u281?, \u380?e samodzielnie nie jest w stanie zabezpieczy\u263? od strony technicznej posiadanych danych osobowych swoich klient\u243?w, skorzysta\u322?a ze wsparcia wyspecjalizowanych podmiot\u243?w, kt\u243?re lepiej ni\u380? skar\u380?\u261?ca potrafi\u261? oceni\u263? jakie \u347?rodki techniczne oraz organizacyjne zapewniaj\u261? poufno\u347?\u263?, integralno\u347?\u263?, dost\u281?pno\u347?\u263? i odporno\u347?\u263? wykorzystywanych przez ni\u261? system\u243?w.
\par 
\par [...] Sp. z o.o. w likwidacji podnios\u322?a r\u243?wnie\u380?, \u380?e organ zarzucaj\u261?c jej naruszenie art. 32 ust. 1 lit. d rozporz\u261?dzenia, pomin\u261?\u322? fakt przeprowadzenia przez skar\u380?\u261?c\u261? w [...] audyt\u243?w bezpiecze\u324?stwa przetwarzania danych. Sp\u243?\u322?ka podkre\u347?li\u322?a, \u380?e \u380?aden z audyt\u243?w (z 2018 r. oraz [...]-[...] maja 2020 r.) nie wykaza\u322? nieprawid\u322?owo\u347?ci w przetwarzaniu danych osobowych klient\u243?w skar\u380?\u261?cej. Wynik audytu z 2018 r., a tak\u380?e dzia\u322?ania, kt\u243?re [...] podj\u281?\u322?a bezpo\u347?rednio po jego przeprowadzeniu (wprowadzenie oraz znowelizowanie obowi\u261?zuj\u261?cych \u243?wcze\u347?nie procedur oraz polityk bezpiecze\u324?stwa), dawa\u322?y skar\u380?\u261?cej gwarancje, \u380?e powierzone przez ni\u261? dane zosta\u322?y odpowiednio zabezpieczone. Do takiego samego wniosku prowadzi\u322? tak\u380?e wynik audytu przeprowadzony w dniach [...]-[...] maja 2020 r.
\par 
\par Pomimo dobrych wynik\u243?w [...] w przeprowadzonych audytach, dosz\u322?o jednak do omy\u322?kowego udost\u281?pnienia danych osobowych klient\u243?w skar\u380?\u261?cej osobom nieuprawnionym. Bezpo\u347?redni\u261? przyczyn\u261? zaistnia\u322?ego zdarzenia by\u322? jednorazowy b\u322?\u261?d pracownika [...], kt\u243?ry polega\u322? na pomyleniu nazwy stosowanego skryptu, co przy restarcie serwera skutkowa\u322?o brakiem w\u322?\u261?czenia zapory firewall, chroni\u261?cej dane przed nieuprawnionym dost\u281?pem. Sp\u243?\u322?ka podkre\u347?li\u322?a, \u380?e nawet przy wdro\u380?eniu najbardziej zaawansowanych \u347?rodk\u243?w bezpiecze\u324?stwa przetwarzania danych osobowych nie jest mo\u380?liwe wyeliminowanie b\u322?\u281?du ludzkiego oraz poda\u322?a, \u380?e na niemo\u380?no\u347?\u263? zapewnienia absolutnego bezpiecze\u324?stwa danych osobowych zwraca si\u281? tak\u380?e uwag\u281? w doktrynie gdzie wskazuje si\u281?, \u380?e "nie jest celem omawianej regulacji (art. 32 rozporz\u261?dzenia) wyeliminowanie ryzyka w pe\u322?ni, czego uczyni\u263? si\u281? nie da, a jedynie wdro\u380?enie rozwi\u261?za\u324? technicznych i organizacyjnych odpowiednich i proporcjonalnych, przy wzi\u281?ciu pod uwag\u281? ocenianych kryteri\u243?w".
\par 
\par Zdaniem Sp\u243?\u322?ki, Prezes Urz\u281?du Ochrony Danych Osobowych przekroczy\u322? granic\u281? swobodnej oceny dowod\u243?w odno\u347?nie "Procedury zg\u322?aszania naruszenia ochrony danych osobowych". Organ pobie\u380?nie zweryfikowa\u322? t\u281? procedur\u281? i wbrew zasadom logiki uzna\u322?, \u380?e nie stanowi ona odpowiedniego \u347?rodka organizacyjnego, zapewniaj\u261?cego bezpiecze\u324?stwo przetwarzanych danych osobowych, a w konsekwencji, \u380?e Sp\u243?\u322?ka od [...] maja 2018 r. nie wdro\u380?y\u322?a odpowiednich \u347?rodk\u243?w organizacyjnych i technicznych zapewniaj\u261?cych bezpiecze\u324?stwo przetwarzanych danych osobowych.
\par 
\par W uzasadnieniu tego zarzutu skar\u380?\u261?ca stwierdzi\u322?a, \u380?e przyj\u281?ty przez ni\u261? dokument pozwoli\u322? jej bez zb\u281?dnej zw\u322?oki "zarz\u261?dzi\u263? przedmiotowym naruszeniem" i stanowi odpowiedni \u347?rodek organizacyjny zapewniaj\u261?cy bezpiecze\u324?stwo przetwarzania danych osobowych. Post\u281?puj\u261?c zgodnie z t\u261? Procedur\u261? skar\u380?\u261?ca w odpowiednim czasie (tj. bez zb\u281?dnej zw\u322?oki) zg\u322?osi\u322?a do organu omy\u322?kowe udost\u281?pnienie danych klient\u243?w osobom nieuprawnionym oraz powiadomi\u322?a o tym zdarzeniu zainteresowane osoby. Powy\u380?sze znajduje potwierdzenie w umorzeniu post\u281?powania w zakresie art. 33 ust. 1 oraz art. 34 ust. 1 rozporz\u261?dzenia 2016/679.
\par 
\par Skar\u380?\u261?ca zarzuci\u322?a, \u380?e zapatrywanie organu, \u380?e wdro\u380?enie przez skar\u380?\u261?c\u261? dodatkowych \u347?rodk\u243?w bezpiecze\u324?stwa w postaci Procedury, kt\u243?rej celem jest stworzenie mechanizmu zapewniaj\u261?cego terminowe zg\u322?oszenie narusze\u324? ochrony danych, zgodnie z obowi\u261?zuj\u261?cymi przepisami w zakresie ochrony danych osobowych, stanowi naruszenie przepis\u243?w rozporz\u261?dzenia, jest wbrew logice. Organ stwierdzi\u322? bowiem, \u380?e okres naruszenia polegaj\u261?cego na braku wdro\u380?enia odpowiednich \u347?rodk\u243?w organizacyjnych i technicznych maj\u261?cych zapewni\u263? bezpiecze\u324?stwo przetwarzania danych, nale\u380?y liczy\u263? od momentu wprowadzenia przez skar\u380?\u261?c\u261? Procedury, tj. od [...] maja 2018 r.
\par 
\par W ocenie skar\u380?\u261?cej Sp\u243?\u322?ki, Prezes Urz\u281?du Ochrony Danych Osobowych w zaskar\u380?onej decyzji nieprawid\u322?owo, z naruszeniem zasady swobodnej oceny dowod\u243?w (art. 80 k.p.a.), uzna\u322? \u380?e przetwarzanie hase\u322? w postaci jawnej przyczyni\u322?o si\u281? do omy\u322?kowego udost\u281?pnienia danych klient\u243?w osobom nieuprawnionym. Skar\u380?\u261?ca podkre\u347?li\u322?a, \u380?e do omy\u322?kowego udost\u281?pnienia osobom nieuprawnionym danych jej klient\u243?w dosz\u322?o nie na skutek przetwarzania hase\u322? u\u380?ytkownik\u243?w w postaci jawnej, ale w zwi\u261?zku z uruchomieniem przez pracownika [...] serwera, na kt\u243?rym by\u322?y przechowywane te dane, z nieprawid\u322?ow\u261? konfiguracj\u261? (bez zapory firewall) i stwierdzi\u322?a, \u380?e do omy\u322?kowego udost\u281?pnienia danych dosz\u322?oby zar\u243?wno wtedy, gdyby has\u322?a klient\u243?w przetwarzane by\u322?y w postaci zaszyfrowanej jak i w postaci jawnej.
\par 
\par [...] Sp. z o.o. w likwidacji r\u243?wnie\u380? nie zgodzi\u322?a si\u281? z dokonan\u261? przez organ ocen\u261? jej reakcji na wiadomo\u347?\u263? o omy\u322?kowym udost\u281?pnieniu danych osobowych jej klient\u243?w osobom nieuprawnionym, na podstawie korespondencji mailowej prowadzonej od [...] marca do [...] marca 2020 r. pomi\u281?dzy pracownikami skar\u380?\u261?cej a pracownikami [...].
\par 
\par Sp\u243?\u322?ka stwierdzi\u322?a, \u380?e wbrew zapatrywaniu Prezesa Urz\u281?du Ochrony Danych Osobowych, uwzgl\u281?dnia\u322?a ryzyko wi\u261?\u380?\u261?ce si\u281? z przetwarzaniem danych osobowych, W celu zapewnia poufno\u347?ci, integralno\u347?ci, dost\u281?pno\u347?ci i odporno\u347?ci jej system\u243?w od razu (tj. [...] marca 2020 r.) przekaza\u322?a [...] wiadomo\u347?\u263?, w kt\u243?rej mowa by\u322?a o udost\u281?pnieniu danych osobom nieuprawnionym. Uwzgl\u281?dniaj\u261?c ryzyko jakie mo\u380?e nie\u347?\u263? za sob\u261? korespondencja z nieznan\u261? skar\u380?\u261?cej osob\u261? (B. D.), s\u322?usznie zwr\u243?ci\u322?a uwag\u281? [...], \u380?e wiadomo\u347?\u263? ta mo\u380?e stanowi\u263? form\u281? smart phisingu.
\par 
\par Skar\u380?\u261?ca doda\u322?a, \u380?e przekazuj\u261?c t\u281? wiadomo\u347?\u263? [...] zak\u322?ada\u322?a, \u380?e [...] jako podmiot specjalizuj\u261?cy si\u281? w zakresie bezpiecze\u324?stwa ochrony danych b\u281?dzie w stanie lepiej od niej oceni\u263? wiarygodno\u347?\u263? tej wiadomo\u347?ci, a tak\u380?e zaproponowa\u263? dalszy spos\u243?b dzia\u322?ania. Brak natychmiastowej reakcji ze strony [...], pozwala\u322? natomiast zak\u322?ada\u263? skar\u380?\u261?cej, \u380?e [...] uzna\u322?a t\u281? wiadomo\u347?\u263? za nieprawdziw\u261?. Nowych podejrze\u324? skar\u380?\u261?ca nabra\u322?a jednak po otrzymaniu informacji od A. H. Wtedy te\u380? zintensyfikowa\u322?a korespondencj\u281? z [...], co doprowadzi\u322?o do przywr\u243?cenia bezpiecze\u324?stwa danych klient\u243?w, kt\u243?rych dane zosta\u322?y omy\u322?kowo udost\u281?pnione nieuprawnionym osobom. W ocenie skar\u380?\u261?cej ewentualny zarzut nieprawid\u322?owej reakcji na pierwsz\u261? wiadomo\u347?\u263?, organ powinien adresowa\u263? do [...], nie za\u347? do skar\u380?\u261?cej Sp\u243?\u322?ki.
\par 
\par W konkluzji skar\u380?\u261?ca stwierdzi\u322?a, \u380?e Prezes Urz\u281?du Ochrony Danych Osobowych b\u322?\u281?dnie przyj\u261?\u322?, \u380?e wiadomo\u347?\u263? z [...] marca 2020 r. zosta\u322?a potraktowana przez ni\u261? bez nale\u380?ytej powagi. Skar\u380?\u261?ca prowadzi\u322?a dzia\u322?alno\u347?\u263? na du\u380?\u261? skal\u281? i w jej toku wielokrotnie otrzymywa\u322?a niechciane wiadomo\u347?ci, w tym stanowi\u261?ce smart phishing i pr\u243?by wy\u322?udze\u324?. W zwi\u261?zku z tym, skierowana do [...] pro\u347?ba o weryfikacj\u281?, czy rzeczywi\u347?cie dosz\u322?o do naruszenia, z perspektywy administratora by\u322?a w pe\u322?ni uzasadniona i proporcjonalna na tym etapie zarz\u261?dzania incydentem.
\par 
\par W skardze do Wojew\u243?dzkiego S\u261?du Administracyjnego w Warszawie [...] Sp. z o.o. w likwidacji zarzuci\u322?a ponadto, \u380?e organ opar\u322? zaskar\u380?on\u261? decyzj\u281? na wykluczaj\u261?cych si\u281? twierdzeniach. Stwierdzi\u322? mianowicie, \u380?e Sp\u243?\u322?ka dopu\u347?ci\u322?a si\u281? naruszenia art. 32 ust. 1 lit. b i d, ust. 2, art. 5 ust. 1 lit. f oraz art. 25 ust. 1 rozporz\u261?dzenia Parlamentu Europejskiego i Rady UE 2016/679 i jednocze\u347?nie umorzy\u322? post\u281?powanie wobec skar\u380?\u261?cej w zakresie naruszenia art. 24, 28 ust. 1 oraz art. 28 ust. h rozporz\u261?dzenia.
\par 
\par Przepis art. 32 rozporz\u261?dzenia stanowi konkretyzacj\u281? wymog\u243?w dotycz\u261?cych zabezpieczenia przetwarzania danych og\u243?lnie wskazanych w art. 24. St\u261?d te\u380? brak naruszenia art. 24 wyklucza mo\u380?liwo\u347?\u263? naruszenia art. 32 rozporz\u261?dzenia. Natomiast pozytywna ocena [...] w zakresie udzielonych przez ni\u261? gwarancji bezpiecze\u324?stwa danych osobowych, a tak\u380?e umo\u380?liwiania skar\u380?\u261?cej przeprowadzania audyt\u243?w, a co za tym idzie umorzenie przez organ post\u281?powania administracyjnego w zakresie naruszenia przez Skar\u380?\u261?c\u261? art. 28 ust. 1 i art. 28 ust. 3 lit. h rozporz\u261?dzenia nie pozwala przyj\u261?\u263?, \u380?e skar\u380?\u261?ca naruszy\u322?a art. 32 oraz 25 rozporz\u261?dzenia. Skar\u380?\u261?ca wdro\u380?y\u322?a zar\u243?wno w fazie projektowania procesu przetwarzania jak i w czasie samego przetwarzania odpowiednie \u347?rodki techniczne i organizacyjne odpowiadaj\u261?ce ryzyku naruszenia zdolno\u347?ci do ci\u261?g\u322?ego zapewniania poufno\u347?ci, integralno\u347?ci, dost\u281?pno\u347?ci i odporno\u347?ci systemu przetwarzania danych osobowych, anga\u380?uj\u261?c w ten proces od samego jego pocz\u261?tku podmioty (w tym [...]) daj\u261?ce gwarancje w zakresie bezpiecze\u324?stwa przetwarzania danych.
\par 
\par Zdaniem skar\u380?\u261?cej, w sprawie zdumiewa r\u243?wnie\u380? przyj\u281?cie przez organ stanowiska, \u380?e nie wdro\u380?y\u322?a rozwi\u261?za\u324? umo\u380?liwiaj\u261?cych jej skutecznie i szybko stwierdzi\u263? naruszenie ochrony danych osobowych, przy jednoczesnym umorzeniu post\u281?powania w zakresie naruszenia art. 33 ust. 1 oraz art. 34 ust. 1 rozporz\u261?dzenia 2016/679. Powo\u322?ane przepisy okre\u347?laj\u261? w\u322?a\u347?ciwy czas reakcji (tj. bez zb\u281?dnej zw\u322?oki) administratora na stwierdzone naruszenie. W zaskar\u380?onej decyzji organ stwierdzi\u322?, \u380?e skar\u380?\u261?ca sprosta\u322?a wymogom stawianym przez omawiane przepisy, tzn. bez zb\u281?dnej zw\u322?oki zg\u322?osi\u322?a naruszenie ochrony danych osobowych organowi nadzorczemu, a tak\u380?e bez zb\u281?dnej zw\u322?oki zawiadomi\u322?a osoby, kt\u243?rej dane dotycz\u261? o naruszeniu ochrony danych osobowych. To za\u347? powinno prowadzi\u263? do wniosku, \u380?e skar\u380?\u261?ca dysponowa\u322?a \u347?rodkami organizacyjno-technicznymi pozwalaj\u261?cymi jej na skuteczne i szybkie stwierdzenie naruszenia ochrony danych osobowych.
\par 
\par Maj\u261?c na uwadze powy\u380?sze uzna\u263? nale\u380?y, \u380?e rozstrzygni\u281?cie zaskar\u380?onej decyzji zosta\u322?o oparte na wzajemnie wykluczaj\u261?cych si\u281? twierdzeniach, co stoi wbrew zasadzie przekonywania uj\u281?tej w art. 11 k.p.a. i dobitnie pokazuje, \u380?e organ nie przeanalizowa\u322? wnikliwie przedmiotu niniejszej sprawy.
\par 
\par W przypadku, gdyby S\u261?d uzna\u322? powy\u380?sze zarzuty za nieuzasadnione, skar\u380?\u261?ca zarzuci\u322?a, \u380?e organ naruszy\u322? art. 83 ust. 1 rozporz\u261?dzenia 2016/679, kt\u243?ry stanowi, \u380?e administracyjne kary pieni\u281?\u380?ne maj\u261? by\u263? skuteczne, proporcjonalne i odstraszaj\u261?ce. [...] Sp. z o.o. w likwidacji poda\u322?a, \u380?e wymierzaj\u261?c administracyjn\u261? kar\u281? pieni\u281?\u380?n\u261? powinien mie\u263? na uwadze indywidualny charakter sprawy i wnikliwie zweryfikowa\u263?, czy w sprawie wyst\u281?puj\u261? okoliczno\u347?ci przemawiaj\u261?ce zar\u243?wno za z\u322?agodzeniem jak i zaostrzeniem wymiaru kary.
\par 
\par Zdaniem skar\u380?\u261?cej, organ nie wywi\u261?za\u322? si\u281? z tego obowi\u261?zku w spos\u243?b nale\u380?yty i w ten spos\u243?b naruszy\u322? art. 83 ust.1 i ust 2 rozporz\u261?dzenia w zw. z art. 8 k.p.a. w zw. z art. 7 ustawy o ochronie danych osobowych.
\par 
\par Wed\u322?ug Sp\u243?\u322?ki, w zaskar\u380?onej decyzji Prezes Urz\u281?du Ochrony Danych Osobowych dokona\u322? nieprawid\u322?owej wyk\u322?adni art. 83 ust. 2 lit. a rozporz\u261?dzenia 2016/679, kt\u243?ry stanowi, \u380?e decyduj\u261?c, czy na\u322?o\u380?y\u263? administracyjn\u261? kar\u281? pieni\u281?\u380?n\u261? oraz ustalaj\u261?c jej wysoko\u347?\u263?, zwraca si\u281? nale\u380?yt\u261? uwag\u281? na charakter, wag\u281? i czas trwania naruszenia przy uwzgl\u281?dnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych os\u243?b, kt\u243?rych dane dotycz\u261?, oraz rozmiaru poniesionej przez nie szkody.
\par 
\par Zdaniem strony skar\u380?\u261?cej, nie jest prawid\u322?owe zapatrywanie organu, \u380?e sama mo\u380?liwo\u347?\u263? poniesienia szkody przez osoby dotkni\u281?te naruszeniem ochrony danych osobowych, z\u322?a wola osoby trzeciej, kt\u243?ra w spos\u243?b nieuprawniony uzyska\u322?a dost\u281?p do danych osobowych, nieznajomo\u347?\u263? celu, dla kt\u243?rego osoba nieuprawniona podj\u281?\u322?a dzia\u322?ania skutkuj\u261?ce wyst\u261?pieniem naruszenia ochrony danych osobowych, stanowi\u261? okoliczno\u347?ci, kt\u243?re zaostrzaj\u261? wymiar kary, podczas gdy okoliczno\u347?ci\u261? zaostrzaj\u261?c\u261? wymiar kary mo\u380?e by\u263? poniesienie szkody przez osoby, kt\u243?rych dane zosta\u322?y udost\u281?pnione (co nie mia\u322?o miejsca w niniejszej sprawie), nie za\u347? sama mo\u380?liwo\u347?\u263? jej poniesienia.
\par 
\par W skardze do S\u261?du skar\u380?\u261?ca zarzuci\u322?a ponadto Prezesowi Urz\u281?du Ochrony Danych Osobowych nieprawid\u322?ow\u261? wyk\u322?adni\u281? art. 83 ust. 2 lit. b rozporz\u261?dzenia 2016/679 przez przyj\u281?cie, \u380?e nieumy\u347?lny charakter naruszenia stanowi okoliczno\u347?\u263? obci\u261?\u380?aj\u261?c\u261?. Sp\u243?\u322?ka podnios\u322?a, \u380?e prawid\u322?owa wyk\u322?adnia powo\u322?anego przepisu powinna prowadzi\u263? do wniosku, \u380?e jest to okoliczno\u347?\u263? \u322?agodz\u261?ca wymiar kary.
\par 
\par W niniejszej sprawie nie tylko nieumy\u347?lny charakter naruszenia powinien \u322?agodz\u261?co wp\u322?yn\u261?\u263? na wymiar na\u322?o\u380?onej na skar\u380?\u261?c\u261? kary. Organ decyduj\u261?c, czy na skar\u380?\u261?c\u261? powinna zosta\u263? na\u322?o\u380?ona kara oraz w jakim wymiarze, zgodnie z art. 83 ust. 2 lit. k rozporz\u261?dzenia powinien dodatkowo wzi\u261?\u263? pod uwag\u281? okoliczno\u347?ci wp\u322?ywaj\u261?ce na "z\u322?agodzenie" wymiaru kary administracyjnej, takie jak: pe\u322?n\u261? wsp\u243?\u322?prac\u281? z organem podczas post\u281?powania administracyjnego, podj\u281?cie licznych dzia\u322?a\u324? przez skar\u380?\u261?c\u261? maj\u261?cych na celu usuni\u281?cie naruszenia oraz z\u322?agodzenia jego ewentualnych skutk\u243?w, w tym zw\u322?aszcza przes\u322?anie do jej klient\u243?w wyczerpuj\u261?cych komunikat\u243?w o naruszeniu oraz zawiadomienie Prokuratury Okr\u281?gowej w [...] o podejrzeniu pope\u322?nienia przest\u281?pstwa. Tymczasem Prezes Urz\u281?du Ochrony Danych Osobowych nie uwzgl\u281?dni\u322? ich przy nak\u322?adaniu kary i w ten spos\u243?b dopu\u347?ci\u322? si\u281? naruszenia.
\par 
\par Skar\u380?\u261?ca nie zgodzi\u322?a si\u281? z organem r\u243?wnie\u380? co do tego, \u380?e stopie\u324? jej odpowiedzialno\u347?ci za naruszenie by\u322? wysoki (s. 20 zaskar\u380?onej decyzji) i stwierdzi\u322?a, \u380?e organ nie wyja\u347?ni\u322? jakimi przes\u322?ankami si\u281? kierowa\u322? (naruszy\u322? 6,art. 7,art. 8 \u167? 1, art. 77 \u167? 1, 80 i art. 107 \u167? 3 k.p.a.). Sp\u243?\u322?ka poda\u322?a, \u380?e nie jest prawid\u322?owe zapatrywanie organu, \u380?e powierzenie przez ni\u261? czynno\u347?ci przetwarzania danych osobowych wyspecjalizowanym firmom z bran\u380?y IT, nie mia\u322?o \u380?adnego wp\u322?ywu na odpowiedzialno\u347?\u263? skar\u380?\u261?cej za naruszenie i powt\u243?rzy\u322?a, \u380?e ewentualna odpowiedzialno\u347?\u263? skar\u380?\u261?cej powinna by\u263? rozpatrywana w kontek\u347?cie art. 28 ust. 1 rozporz\u261?dzenia i odpowiedzi na pytanie, czy gwarancje udzielone Sp\u243?\u322?ce jako administratorowi danych przez podmioty przetwarzaj\u261?ce by\u322?y wystarczaj\u261?ce, aby uzasadni\u263? skorzystanie przez ni\u261? z ich us\u322?ug. Skar\u380?\u261?ca poda\u322?a, \u380?e zapewni\u322?a odpowiedni stopie\u324? bezpiecze\u324?stwa danych klient\u243?w (uwzgl\u281?dniaj\u261?c przy tym ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych) w\u322?a\u347?nie poprzez powierzenie czynno\u347?ci przetwarzania danych osobowych maj\u261?cych czysto techniczny charakter (tj. przechowywanie danych na serwerach) firmom wyspecjalizowanym w tym zakresie. Maj\u261?c natomiast na uwadze, \u380?e wybrane przez skar\u380?\u261?c\u261? podmioty przetwarzaj\u261?ce dawa\u322?y odpowiednie gwarancje bezpiecznego przetwarzania danych osobowych, w niniejszej sprawie nie mo\u380?na m\u243?wi\u263? o jej odpowiedzialno\u347?ci za omy\u322?kowe udost\u281?pnienie danych klient\u243?w Sp\u243?\u322?ki osobom nieuprawnionym, w tym zw\u322?aszcza w stopniu wysokim. St\u261?d te\u380? organ nie powinien zaostrzy\u263? kary z uwagi na "wysoki stopie\u324? odpowiedzialno\u347?ci administratora".
\par 
\par W ostatnim zarzucie skargi Sp\u243?\u322?ka stwierdzi\u322?a, \u380?e organ nieobiektywnie prowadzi\u322? post\u281?powanie w niniejszej sprawie i w ten spos\u243?b naruszy\u322? art. 6, art. 7, art. 8 w zw. z art. 77 \u167? 1 k.p.a. w zw. z art. 80 k.p.a. w zw. z art. 7 ustawy o ochronie danych osobowych. Jej zdaniem, \u347?wiadczy o tym to, \u380?e "tendencyjnie interpretowa\u322? stan faktyczny (...) sprawy na niekorzy\u347?\u263? skar\u380?\u261?cej", nie uwzgl\u281?dni\u322? na korzy\u347?\u263? Sp\u243?\u322?ki \u380?adnej okoliczno\u347?ci \u322?agodz\u261?cej z art. 83 ust. 2 rozporz\u261?dzenia 2016/679, mimo \u380?e sam pozytywnie oceni\u322? spos\u243?b jej dzia\u322?ania w zwi\u261?zku z omy\u322?kowym udost\u281?pnieniem danych jej klient\u243?w osobom nieuprawnionym. To za\u347? oznacza, \u380?e organ a priori przyj\u261?\u322? pogl\u261?d o pe\u322?nej odpowiedzialno\u347?ci skar\u380?\u261?cej za naruszenie danych osobowych.
\par 
\par Skar\u380?\u261?ca podkre\u347?li\u322?a, \u380?e przepisy dotycz\u261?ce ochrony danych osobowych nie nakazuj\u261? skar\u380?\u261?cej zapobie\u380?enia wszelkim naruszeniom ochrony danych, ale zastosowanie odpowiednich \u347?rodk\u243?w organizacyjnych i technicznych. Z tre\u347?ci zaskar\u380?onej decyzji wynika, \u380?e kar\u281? na\u322?o\u380?ono ze wzgl\u281?du na skal\u281? incydentu, nie ze wzgl\u281?du za\u347? na jego okoliczno\u347?ci i rol\u281? poszczeg\u243?lnych podmiot\u243?w, jak r\u243?wnie\u380? \u380?e bezpo\u347?redni\u261? przyczyn\u261? naruszenia ochrony danych by\u322? b\u322?\u261?d ludzki - (liter\u243?wka) w pisowni skryptu - pope\u322?niony przez pracownika [...], nie za\u347? brak wdro\u380?enia adekwatnych \u347?rodk\u243?w organizacyjnych i technicznych przez kt\u243?rykolwiek z tych podmiot\u243?w. Zastosowane \u347?rodki bezpiecze\u324?stwa by\u322?y szeroko opisywane i przedstawiane w ramach tocz\u261?cego si\u281? post\u281?powania administracyjnego, przy czym niezwykle istotne jest, \u380?e w toku post\u281?powania organ zwraca\u322? si\u281? do skar\u380?\u261?cej przede wszystkim o wyja\u347?nienia dotycz\u261?ce \u347?rodk\u243?w bezpiecze\u324?stwa stosowanych przez [...], nie za\u347? przez sam\u261? skar\u380?\u261?c\u261?. Potwierdza to stanowisko skar\u380?\u261?cej, \u380?e organ w istocie obarczy\u322? j\u261? odpowiedzialno\u347?ci\u261? za dzia\u322?ania lub zaniechania [...], nie zwracaj\u261?c si\u281? o jakiekolwiek wyja\u347?nienia bezpo\u347?rednio do tego podmiotu. Zdaniem strony, to za\u347? potwierdza zarzut o nakierowaniu post\u281?powania pod z g\u243?ry za\u322?o\u380?on\u261? tez\u281? o jej odpowiedzialno\u347?ci za omy\u322?kowe udost\u281?pnienie danych klient\u243?w osobom nieuprawnionym. Rzetelne zbadanie sprawy wymaga\u322?o zwr\u243?cenia si\u281? o wyja\u347?nienia do [...]. Mimo \u380?e podmiot przetwarzaj\u261?cy jest sp\u243?\u322?k\u261? [...], ze wzgl\u281?du na tre\u347?\u263? art. 3 ust. 2 lit. a i b rozporz\u261?dzenia, podlega unijnym przepisom o ochronie danych.
\par 
\par Na zako\u324?czenie Sp\u243?\u322?ka stwierdzi\u322?a, \u380?e organ ukara\u322? j\u261? kar\u261? odstraszaj\u261?c\u261? i nieproporcjonaln\u261?. Skar\u380?\u261?ca stwierdzi\u322?a, \u380?e nak\u322?adane na podstawie przepis\u243?w RODO sankcje maj\u261? przede wszystkim wymusi\u263? przestrzeganie przepis\u243?w rozporz\u261?dzenia przez podmioty zaanga\u380?owane w przetwarzanie danych osobowych, nie za\u347? prowadzi\u263? do zaprzestania prowadzenia przez te podmioty dzia\u322?alno\u347?ci gospodarczej z uwagi na na\u322?o\u380?enie kar zbyt wysokich, niedostosowanych do ich sytuacji finansowej. Skar\u380?\u261?ca jest w likwidacji, st\u261?d te\u380? nie mo\u380?na zgodzi\u263? si\u281? z organem, \u380?e kara nie b\u281?dzie dla niej stanowi\u263? nadmiernego obci\u261?\u380?enia, zw\u322?aszcza \u380?e ju\u380? na etapie post\u281?powania administracyjnego wykazywa\u322?a coraz ni\u380?sze przychody (czego dowodem s\u261? z\u322?o\u380?one sprawozdania finansowe za 2018 r. i 2019 r.).
\par 
\par Skar\u380?\u261?ca na podstawie art. 145 \u167? 1 pkt 1 lit. a i c w zw. z art. 145 \u167? 3 ustawy z dnia 30 sierpnia 2002 r. \u8211? Prawo o post\u281?powaniu przed s\u261?dami administracyjnymi (Dz .U. z 2019 r., poz. 2325 ze zm.), wnios\u322?a o uchylenie w pkt 1 zaskar\u380?onej decyzji i umorzenie post\u281?powania w sprawie oraz zas\u261?dzenie na podstawie art. 200 tej ustawy koszt\u243?w post\u281?powania administracyjnego wed\u322?ug norm przepisanych.
\par 
\par Prezes Urz\u281?du Ochrony Danych Osobowych w odpowiedzi na skarg\u281? wni\u243?s\u322? o jej oddalenie.
\par 
\par Odnosz\u261?c si\u281? do zarzut\u243?w naruszenia prawa procesowego stwierdzi\u322?, m. in. \u380?e ustalaj\u261?c stan faktyczny rozpatrywanej sprawy opiera\u322? si\u281? na obszernych wyja\u347?nieniach z\u322?o\u380?onych przez skar\u380?\u261?c\u261? w trakcie post\u281?powania administracyjnego a skar\u380?\u261?ca stawiaj\u261?c powy\u380?sze zarzuty w istocie pr\u243?buje zdj\u261?\u263? z siebie odpowiedzialno\u347?\u263? za nieprawid\u322?owe przetwarzanie danych osobowych i przenie\u347?\u263? j\u261? na podmiot przetwarzaj\u261?cy.
\par 
\par Zdaniem organu, nie spos\u243?b si\u281? zgodzi\u263? z twierdzeniem Sp\u243?\u322?ki, \u380?e przyj\u281?ta przez ni\u261? "Procedura zg\u322?aszania naruszenia ochrony danych osobowych" pozwoli\u322?a jej bez zb\u281?dnej zw\u322?oki zarz\u261?dzi\u263? naruszeniem. Ze z\u322?o\u380?onych przez Sp\u243?\u322?k\u281? wyja\u347?nie\u324? wyra\u378?nie zarysowuje si\u281? obraz sp\u243?\u378?nionej reakcji administratora, kt\u243?ry pobie\u380?nie przeanalizowa\u322? otrzyman\u261? w dniu [...] marca 2020 r. wiadomo\u347?\u263? o istnieniu publicznie dost\u281?pnego serwera z danymi osobowymi klient\u243?w Sp\u243?\u322?ki, podczas gdy podj\u281?cie w\u322?a\u347?ciwej analizy i zintensyfikowanego kontaktu z podmiotem przetwarzaj\u261?cym ju\u380? w dniu [...] marca 2020 r., w kt\u243?rym to Sp\u243?\u322?ka dowiedzia\u322?a si\u281? o pierwszych nieprawid\u322?owo\u347?ciach, pozwoli\u322?oby stwierdzi\u263? naruszenie ochrony danych osobowych znacznie szybciej, potencjalnie zminimalizowa\u263? ryzyko negatywnych skutk\u243?w dla praw lub wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261? i w rezultacie unikn\u261?\u263? zdarzenia z dnia [...] marca 2020 r. W tym kontek\u347?cie fakt zawarcia um\u243?w powierzenia przetwarzania danych osobowych na podstawie art. 28 rozporz\u261?dzenia 2016/679, na kt\u243?ry powo\u322?uje si\u281? Sp\u243?\u322?ka dla wzmocnienia swojej argumentacji, nie ma znaczenia z punktu widzenia problematyki niniejszej sprawy i nale\u380?y, w ocenie Prezesa Urz\u281?du Ochrony Danych Osobowych, traktowa\u263? jako przejaw wype\u322?nienia przez administratora obowi\u261?zku okre\u347?lonego w tym przepisie prawa.
\par 
\par Podobnie za chybiony nale\u380?y te\u380? uzna\u263? argument, w kt\u243?rym Sp\u243?\u322?ka powo\u322?uje si\u281? na "przeprowadzanie audyt\u243?w u ww. podmiot\u243?w", skoro w\u322?a\u347?ciwa sk\u261?din\u261?d wsp\u243?\u322?praca Sp\u243?\u322?ki z podmiotem przetwarzaj\u261?cym do czasu oraz w trakcie trwania ocenianego naruszenia nie wp\u322?yn\u281?\u322?a na dokonanie przez ni\u261? w\u322?a\u347?ciwej oceny nap\u322?ywaj\u261?cych do niej sygna\u322?\u243?w o mo\u380?liwym naruszeniu ochrony danych osobowych oraz podj\u281?cie na tej kanwie w okresie od [...] do [...] marca 2020 r. adekwatnych \u347?rodk\u243?w zaradczych.
\par 
\par W kwestii zapatrywania organu odno\u347?nie sp\u243?\u378?nionej reakcji skar\u380?\u261?cej na wiadomo\u347?\u263? o omy\u322?kowym udost\u281?pnieniu osobom nieuprawnionym danych jej klient\u243?w, Prezes Urz\u281?du Ochrony Danych Osobowych poda\u322?, \u380?e o ile s\u322?usznie Sp\u243?\u322?ka niezw\u322?ocznie, tj. dnia [...] marca 2020 r. przekaza\u322?a wiadomo\u347?\u263? podmiotowi przetwarzaj\u261?cemu i opar\u322?a swoje przekonanie o konieczno\u347?ci zawiadomienia organu nadzorczego dopiero po potwierdzeniu jej wiarygodno\u347?ci, o tyle ze zgromadzonego materia\u322?u dowodowego nie wynika, by administrator podejmowa\u322? inne dzia\u322?ania zmierzaj\u261?ce do szybkiego i skutecznego stwierdzenia naruszenia, opr\u243?cz skierowania dnia [...] marca 2020 r. kr\u243?tkiego pytania do dyrektora podmiotu przetwarzaj\u261?cego - [...]. Co wi\u281?cej, z materia\u322?u tego wynika, \u380?e Sp\u243?\u322?ka nie potraktowa\u322?a powa\u380?nie otrzymanej informacji o nieprawid\u322?owo\u347?ciach, o czym jednoznacznie \u347?wiadczy komentarz dyrektora ds. finans\u243?w Sp\u243?\u322?ki sugeruj\u261?cy, \u380?e mo\u380?e to by\u263? pr\u243?ba wy\u322?udzenia poufnych informacji.
\par 
\par Przes\u261?dzaj\u261?c o odpowiedzialno\u347?ci Sp\u243?\u322?ki za wskazane w pkt 1 skar\u380?onej decyzji naruszenia przepis\u243?w rozporz\u261?dzenia 2016/679, organ nie m\u243?g\u322? pomin\u261?\u263? roli, jak\u261? w procesie przetwarzania danych osobowych odgrywa\u322? profesjonalny podmiot przetwarzaj\u261?cy z bran\u380?y IT, co znalaz\u322?o sw\u243?j wyraz w prowadzeniu przez Prezesa Urz\u281?du Ochrony Danych Osobowych post\u281?powania administracyjnego w sprawie, r\u243?wnie\u380? wobec mo\u380?liwo\u347?ci naruszenia art. 28 ust. 1 oraz art. 28 ust. 3 lit. h rozporz\u261?dzenia 2016/679.
\par 
\par Korzystanie przez Sp\u243?\u322?k\u281? w procesie przetwarzania danych osobowych ze wsparcia ze strony profesjonalnego podmiotu przetwarzaj\u261?cego, okre\u347?lany "transferem ryzyka", nie implikuje wcale stanu "przeniesienia odpowiedzialno\u347?ci" z administratora na podmiot przetwarzaj\u261?cy w zakresie obowi\u261?zk\u243?w ci\u261?\u380?\u261?cych na nim na mocy przepis\u243?w rozporz\u261?dzenia 2016/679, a odnosi si\u281? do stanu ich kooperacji okre\u347?lonej na gruncie art. 28 ust. 3 lit. c) rozporz\u261?dzenia 2016/679 i ponoszonej na zasadzie wzajemnej odpowiedzialno\u347?ci za bezpiecze\u324?stwo proces\u243?w przetwarzania danych osobowych.
\par 
\par W \u347?wietle art. 32 ust. 1 rozporz\u261?dzenia 2016/679 odpowiedzialno\u347?\u263? administratora za zapewnienie bezpiecze\u324?stwa przetwarzania danych osobowych poprzez powierzenie ich przetwarzania podmiotowi przetwarzaj\u261?cemu nie zostaje wy\u322?\u261?czona. Przyj\u281?cie odmiennej interpretacji przepisu prowadzi\u322?oby do b\u322?\u281?dnego wniosku, \u380?e w momencie zawarcia umowy powierzenia danych osobowych, administrator staje si\u281? de facto wy\u322?\u261?czony spod przepis\u243?w rozporz\u261?dzenia 2016/679 zobowi\u261?zuj\u261?cych go do zapewnienia bezpiecze\u324?stwa przetwarzanych danych. Rozpatrywana sprawa jest dobitnym przyk\u322?adem na to, \u380?e nawet najbardziej precyzyjna i aktualna procedura zg\u322?aszania naruszenia ochrony danych osobowych nie odniesie zamierzonego skutku bez odpowiedniego impulsu ze strony administratora.
\par 
\par Prezes Urz\u281?du Ochrony Danych Osobowych poda\u322?, \u380?e umorzy\u322? post\u281?powanie administracyjne w zakresie naruszenia art. 33 ust. 1 oraz art. 34 ust. 1 rozporz\u261?dzenia 2016/679, albowiem Sp\u243?\u322?ka faktycznie dokona\u322?a zg\u322?oszenia przedmiotowego naruszenia ochrony danych osobowych i co za tym idzie odpowiedniego zawiadomienia os\u243?b, kt\u243?rych dane dotycz\u261?, bez zb\u281?dnej zw\u322?oki.
\par 
\par Powy\u380?sze ustalenia nie maj\u261? jednak wp\u322?ywu na okoliczno\u347?\u263?, \u380?e mi\u281?dzy pierwszym - zbagatelizowanym przez administratora - sygna\u322?em o mo\u380?liwym naruszeniu ochrony danych osobowych, a jego stwierdzeniem min\u281?\u322?o 11 dni i tego dotyczy istota skar\u380?onej decyzji. Zatem fakt, \u380?e Sp\u243?\u322?ka spe\u322?ni\u322?a wym\u243?g okre\u347?lony w art. 33, nie oznacza jednocze\u347?nie, \u380?e spe\u322?nia ona wymogi okre\u347?lone w innych przepisach rozporz\u261?dzenia 2016/679. Zg\u322?oszenie naruszenia ochrony danych osobowych organowi nadzorczemu w terminie okre\u347?lonym w powo\u322?anym przepisie rozporz\u261?dzenia 2016/679 nie zwalnia bowiem administratora danych od podejmowania dzia\u322?a\u324? maj\u261?cych na celu sprawne i szybkie identyfikowanie narusze\u324? ochrony danych osobowych.
\par 
\par "Termin na zg\u322?oszenie naruszenia danych osobowych jest liczony od chwili jego stwierdzenia. Poprzez stwierdzenie naruszenia nale\u380?y rozumie\u263? uzyskanie przez administratora wiedzy o okoliczno\u347?ciach faktycznych, kt\u243?re mog\u322?yby zosta\u263? zakwalifikowane jako spe\u322?niaj\u261?ce przes\u322?anki okre\u347?lone w przepisie art 4 pkt 12. Nie jest natomiast decyduj\u261?cy moment gdy administrator dokona\u322? takiej subsumpcji. Nale\u380?y przy tym pami\u281?ta\u263?, \u380?e zgodnie z motywem 87 administrator powinien wprowadzi\u263? takie \u347?rodki technicznej ochrony, by by\u263? w stanie od razu stwierdza\u263? naruszenia ochrony danych osobowych. Je\u380?eli tak si\u281? nie stanie, to administrator naruszy wymogi dotycz\u261?ce wdro\u380?enia odpowiednich \u347?rodk\u243?w technicznych, kt\u243?re s\u322?u\u380?\u261? wychwytywaniu mo\u380?liwych narusze\u324?" (Bielak-Jomaa Edyta (red.), Lubasz Dominik (red.), RODO. Og\u243?lne rozporz\u261?dzenie o ochronie danych. Komentarz).
\par 
\par Prezes Urz\u281?du Ochrony Danych Osobowych nie doszuka\u322? si\u281? r\u243?wnie\u380? uchybie\u324? formalnych w \u322?\u261?cz\u261?cej administratora z firm\u261? [...] umowie powierzenia danych osobowych, ww. podmiot dawa\u322? Sp\u243?\u322?ce odpowiednie gwarancje stosownie do tre\u347?ci art. 28 ust. 1 rozporz\u261?dzenia 2016/679, a administrator wykazywa\u322? si\u281? odpowiedni\u261? procedur\u261? w zakresie zapewnienia bezpiecze\u324?stwa procesowi przetwarzania danych, popartych uprzedni\u261? ocen\u261? ryzyka, wskazuj\u261?c\u261? m.in. na ewentualno\u347?\u263? b\u322?\u281?dnego dzia\u322?ania systemu informatycznego, czy te\u380? mo\u380?liwo\u347?\u263? wyst\u261?pienia b\u322?\u281?du ludzkiego.
\par 
\par Wszystkie te przedsi\u281?brane przez Sp\u243?\u322?k\u281? organizacyjne oraz techniczne \u347?rodki nie zda\u322?y egzaminu, wobec niedope\u322?nienia przez Sp\u243?\u322?k\u281? zasad nale\u380?ytej staranno\u347?ci przy obs\u322?udze przedmiotowego naruszenia, tj. niepotraktowania pierwszych sygna\u322?\u243?w o mo\u380?liwym incydencie bezpiecze\u324?stwa z nale\u380?yt\u261? powag\u261? i w konsekwencji niepodj\u281?cia na czas adekwatnych \u347?rodk\u243?w zaradczych.
\par 
\par Odnosz\u261?c si\u281? bezpo\u347?rednio do zarzutu dotycz\u261?cego naruszenia art. 32 rozporz\u261?dzenia 2016/679 organ poda\u322?, \u380?e podtrzymuje stanowisko, zgodnie z kt\u243?rym fakt przetwarzania danych osobowych przez podmiot przetwarzaj\u261?cy na podstawie umowy powierzenia przetwarzania danych osobowych nie zdejmuje z administratora odpowiedzialno\u347?ci za wdro\u380?enie odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych, odpowiadaj\u261?cych ryzyku zaistnienia naruszenia praw lub wolno\u347?ci os\u243?b fizycznych. Innymi s\u322?owy, na gruncie tego przepisu rozporz\u261?dzenia 2016/679 zobowi\u261?zania administratora i podmiotu przetwarzaj\u261?cego do zapewniania bezpiecze\u324?stwa przetwarzania danych osobowych pozostaj\u261? od siebie niezale\u380?ne, a ich wykonanie przez wskazane podmioty nie ma charakteru alternatywnego, co w konsekwencji prowadzi\u263? musi do konstatacji, i\u380? nie zachodzi wy\u322?\u261?czenie odpowiedzialno\u347?ci administratora za zapewnienie bezpiecze\u324?stwa przetwarzania danych osobowych poprzez powierzenie ich przetwarzania podmiotowi przetwarzaj\u261?cemu. W tym kontek\u347?cie Prezes Urz\u281?du Ochrony Danych Osobowych zarzut Sp\u243?\u322?ki, w kt\u243?rym podnosi ona, \u380?e ewentualn\u261? odpowiedzialno\u347?\u263? za naruszenie ochrony danych osobowych mo\u380?na przypisa\u263? jedynie podmiotowi przetwarzaj\u261?cemu, uznaje za bezpodstawny.
\par 
\par Wnikliwa analiza zgromadzonego w sprawie materia\u322?u dowodowego, w szczeg\u243?lno\u347?ci w postaci kierowanych do Urz\u281?du Ochrony Danych Osobowych pism z [...] marca, [...] czerwca oraz [...] wrze\u347?nia 2020 r., opisuj\u261?cych w spos\u243?b wyczerpuj\u261?cy zachodz\u261?c\u261? pomi\u281?dzy Sp\u243?\u322?k\u261? a podmiotem przetwarzaj\u261?cym relacj\u281?, nie pozwala stwierdzi\u263?, \u380?e podmiot przetwarzaj\u261?cy nie zapewnia\u322? wystarczaj\u261?cych gwarancji dla bezpiecze\u324?stwa danych osobowych oraz nie udost\u281?pnia\u322? administratorowi wszelkich informacji niezb\u281?dnych do wykazania spe\u322?nienia obowi\u261?zk\u243?w okre\u347?lonych w art. 28 rozporz\u261?dzenia 2016/679 b\u261?d\u378? te\u380? uniemo\u380?liwia\u322? Sp\u243?\u322?ce w jakikolwiek spos\u243?b przeprowadzanie audyt\u243?w, co znalaz\u322?o odzwierciedlenie w zaskar\u380?onej decyzji o umorzeniu post\u281?powania administracyjnego w zakresie naruszenia art. 28 ust. 1 oraz 28 ust. 3 lit. h rozporz\u261?dzenia 2016/679.
\par 
\par W nawi\u261?zaniu do zarzutu dotycz\u261?cego naruszenia przez Prezesa Urz\u281?du Ochrony Danych Osobowych przepis\u243?w art. 83 ust. 1 rozporz\u261?dzenia 2016/679, poprzez wymierzenie Sp\u243?\u322?ce kary nieproporcjonalnej, zarzutu wskazuj\u261?cego na naruszenie art. 83 ust. 2 lit. a, poprzez zastosowanie przez organ b\u322?\u281?dnej wyk\u322?adni przepisu; zarzutu odnosz\u261?cego si\u281? do naruszenia art. 83 ust. 2 lit. b rozporz\u261?dzenia 2016/679, poprzez b\u322?\u281?dn\u261? jego wyk\u322?adni\u281? oraz przyj\u281?cie, \u380?e nieumy\u347?lny charakter naruszenia stanowi okoliczno\u347?\u263? zaostrzaj\u261?c\u261? kar\u281?; zarzutu wydania decyzji z naruszeniem art. 83 ust. 2 lit. k rozporz\u261?dzenia 2016/679, poprzez jego niezastosowanie, Prezes Urz\u281?du Ochrony Danych Osobowych uzna\u322? powy\u380?sze zarzuty za bezzasadne.
\par 
\par Prezes Urz\u281?du Ochrony Danych Osobowych w uzasadnieniu zaskar\u380?onej decyzji precyzyjnie okre\u347?li\u322? okoliczno\u347?ci decyduj\u261?ce o konieczno\u347?ci na\u322?o\u380?enia administracyjnej kary pieni\u281?\u380?nej oraz czynniki maj\u261?ce wp\u322?yw na jej wysoko\u347?\u263?, stosownie do tre\u347?ci art. 83 ust. 2 lit. a) - k) rozporz\u261?dzenia 2016/679. Decyduj\u261?c, czy na\u322?o\u380?y\u263? administracyjn\u261? kar\u281? pieni\u281?\u380?n\u261?, a tak\u380?e ustalaj\u261?c jej wysoko\u347?\u263?, za najistotniejsze naruszenie Prezes UODO uzna\u322? naruszenie przez Sp\u243?\u322?k\u281? jednej z podstawowych zasad przetwarzania danych osobowych, tj. okre\u347?lonej w art. 5 ust. 1 lit. f) rozporz\u261?dzenia 2016/679 zasady poufno\u347?ci danych osobowych. Stwierdzi\u322? przy tym, \u380?e stosownie do tre\u347?ci art. 83 ust. 3 rozporz\u261?dzenia 2016/679, kar\u261? zar\u243?wno adekwatn\u261? w ustalonych okoliczno\u347?ciach faktycznych sprawy, jak i spe\u322?niaj\u261?c\u261? swoj\u261? funkcj\u281? na gruncie art. 83 ust. 1 rozporz\u261?dzenia 2016/679, b\u281?dzie kwota 1.069.850 PLN
\par 
\par Wymienione w art. 83 ust. 2 rozporz\u261?dzenia 2016/679 przes\u322?anki, jakie nale\u380?y wzi\u261?\u263? przy nak\u322?adaniu przez organ administracyjnej kary pieni\u281?\u380?nej s\u261? przes\u322?ankami w wi\u281?kszo\u347?ci ocennymi. Ustawodawca unijny nie zdefiniowa\u322?, kt\u243?ra z przes\u322?anek miarkowania kary jest przes\u322?ank\u261? \u322?agodz\u261?c\u261?, a kt\u243?ra zaostrzaj\u261?c\u261? jej wymiar, uznaj\u261?c, \u380?e ocena dokonywana przez organ nadzorcy w tym zakresie b\u281?dzie uzale\u380?niona od okoliczno\u347?ci konkretnej sprawy.
\par 
\par Poczynione przez organ ustalenia, dotycz\u261?ce okoliczno\u347?ci tej konkretnej sprawy, prowadzi\u263? musz\u261? nieodparcie do konkluzji, \u380?e administrator dopu\u347?ci\u322? si\u281? istotnych uchybie\u324? w zakresie zarz\u261?dzania stwierdzonym naruszeniem ochrony danych osobowych swoich kontrahent\u243?w. Nie mo\u380?na inaczej, jak tylko ra\u380?\u261?cym niedbalstwem okre\u347?li\u263? sytuacji, w kt\u243?rej administrator pomimo docieraj\u261?cych do niego sygna\u322?\u243?w o mo\u380?liwym wyst\u261?pieniu naruszenia poufno\u347?ci danych przez niego przetwarzanych, dysponuj\u261?c przy tym instrumentarium w postaci \u347?rodk\u243?w technicznych i organizacyjnych, dzi\u281?ki kt\u243?rym m\u243?g\u322? bez zb\u281?dnej zw\u322?oki dokona\u263? ewaluacji zagro\u380?enia i przedsi\u281?wzi\u261?\u263? w por\u281? odpowiednie \u347?rodki zaradcze, przez ponad 10 dni nie uruchamia\u322? wdro\u380?onych w swojej organizacji procedur, czego egzemplifikacj\u261? jest incydent bezpiecze\u324?stwa z dnia [...] marca 2020 r. i dopiero na jego kanwie sp\u243?\u378?niona reakcja Sp\u243?\u322?ki.
\par 
\par W podsumowaniu organ stwierdzi\u322?, \u380?e w tre\u347?ci zaskar\u380?onej decyzji orzekaj\u261?c o na\u322?o\u380?eniu administracyjnej kary pieni\u281?\u380?nej dostatecznie wykaza\u322? zasadno\u347?\u263? na\u322?o\u380?enia tej kary, jak zasadno\u347?\u263? ustalenia jej wysoko\u347?ci.
\par 
\par Wojew\u243?dzki S\u261?d Administracyjny w Warszawie zwa\u380?y\u322?, co nast\u281?puje:
\par 
\par Skarga jest uzasadniona.
\par 
\par Zaskar\u380?on\u261? decyzj\u261? Prezes Urz\u281?du Ochrony Danych Osobowych na\u322?o\u380?y\u322? na [...] Sp. z o.o. w likwidacji z siedzib\u261? w [...] \u8211? administratora danych osobowych, kar\u281? pieni\u281?\u380?n\u261? za naruszenie okre\u347?lonych w tej decyzji przepis\u243?w rozporz\u261?dzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r., prowadz\u261?ce do wywo\u322?ania zagro\u380?enia polegaj\u261?cego na stworzeniu niekontrolowanego dost\u281?pu os\u243?b trzecich do przetwarzanych danych, wskutek b\u322?\u281?du pope\u322?nionego przez pracownika podmiotu przetwarzaj\u261?cego ([...]), w zwi\u261?zku z resetowaniem serwera, na kt\u243?rym przechowywano dane. B\u322?\u261?d ten polega\u322? na nieprawid\u322?owej konfiguracji zapory sieciowej zresetowanego serwera (tzw. firewall), skutkuj\u261?cej niew\u322?\u261?czeniem tej zapory i tym samym pozbawieniem serwera ochrony.
\par 
\par Zdaniem organu zasadnicz\u261? przyczyn\u261? uzasadniaj\u261?c\u261? postawienie administratorowi danych zarzutu naruszenia jego obowi\u261?zk\u243?w maj\u261?cych na celu zapewnienie bezpiecze\u324?stwa danych osobowych by\u322?a zw\u322?oka administratora danych w podj\u281?ciu szybkiego i skutecznego dzia\u322?ania prowadz\u261?cego do stwierdzenia naruszenia ochrony, daj\u261?cego mo\u380?liwo\u347?\u263? zapobie\u380?enia albo ograniczenia skutk\u243?w tego naruszenia. W odpowiedzi na skarg\u281? organ powt\u243?rzy\u322?, \u380?e kwestie dotycz\u261?ce stosowania przez administratora technicznych i organizacyjnych rozwi\u261?za\u324? w zakresie proces\u243?w przetwarzania danych osobowych jej klient\u243?w nie mia\u322?y istotnie negatywnego wp\u322?ywu na ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych i by\u322?y bez znaczenia dla zaskar\u380?onego rozstrzygni\u281?cia albowiem jego sedno stanowi sp\u243?\u378?niona i nieadekwatna do ryzyka naruszenia ochrony danych osobowych reakcja administratora, a nie brak procedur.
\par 
\par W ocenie Prezesa Urz\u281?du Ochrony Danych Osobowych, administrator, po otrzymaniu wiadomo\u347?ci z [...] marca 2020 r. nie do\u322?o\u380?y\u322? szczeg\u243?lnej staranno\u347?ci w dzia\u322?aniu zmierzaj\u261?cym do zweryfikowania informacji o prawdopodobnym naruszeniu ochrony danych osobowych. \u346?wiadczy o tym. m. in. jego uwaga poczyniona w informacji przekazanej podmiotowi przetwarzaj\u261?cemu o prawdopodobnym naruszeniu danych, sugeruj\u261?ca, \u380?e mo\u380?e to by\u263? pr\u243?ba wy\u322?udzenia danych. Co prawda administrator niezw\u322?ocznie przekaza\u322? t\u281? informacj\u281? podmiotowi przetwarzaj\u261?cemu, jednak\u380?e nie podejmowa\u322? innych dzia\u322?a\u324? zmierzaj\u261?cych do szybkiego i skutecznego stwierdzenia naruszenia.
\par 
\par Organ rozwa\u380?a\u322? naruszenie zwi\u261?zanych z t\u261? zw\u322?ok\u261?, okre\u347?lonych w decyzji przepis\u243?w prawnych jedynie w stosunku do administratora danych i w konsekwencji temu podmiotowi (skar\u380?\u261?cej) przypisa\u322? ca\u322?\u261? odpowiedzialno\u347?\u263? za stwierdzone naruszenie, poniewa\u380? w jego ocenie brak szybkiej reakcji podmiotu przetwarzaj\u261?cego na informacj\u281? o prawdopodobnym naruszeniu nie zdejmuje z administratora odpowiedzialno\u347?ci za stwierdzenie naruszenia ochrony danych osobowych.
\par 
\par Rozwa\u380?enie zasadniczej w tej sprawie kwestii ewentualnego roz\u322?o\u380?enia ci\u281?\u380?aru odpowiedzialno\u347?ci podmiot\u243?w bior\u261?cych udzia\u322? w procesie przetwarzania danych osobowych (administratora danych i podmiotu przetwarzaj\u261?cego) wymaga ustalenia zakresu przypisanych ka\u380?demu z nich, okre\u347?lonych w rozporz\u261?dzeniu obowi\u261?zk\u243?w zwi\u261?zanych z przetwarzaniem. Jest oczywiste, \u380?e gdy administrator danych przetwarzaj\u261?c dane osobowe nie korzysta z us\u322?ug innego podmiotu \u8211? podmiotu przetwarzaj\u261?cego, na nim spoczywa pe\u322?na odpowiedzialno\u347?\u263? za przestrzeganie przepis\u243?w maj\u261?cych zapewnia\u263? bezpiecze\u324?stwo tych danych. Inaczej wygl\u261?da sytuacja, je\u380?eli w procesie przetwarzania danych bior\u261? udzia\u322? dwa podmioty: administrator i podmiot przetwarzaj\u261?cy. Podmiot przetwarzaj\u261?cy, to w rozumieniu art. 4 pkt 8 rozporz\u261?dzenia nr 22016/679 osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, kt\u243?ry przetwarza dane osobowe w imieniu administratora. Administrator mo\u380?e wi\u281?c pos\u322?u\u380?y\u263? si\u281? zast\u281?pc\u261?, kt\u243?ry wykonuje za niego, w jego imieniu czynno\u347?ci przetwarzania. Zast\u281?pca (reprezentant) administratora jest odr\u281?bnym podmiotem prawa, dzia\u322?aj\u261?cym za reprezentowanego, na podstawie umocowania udzielonego w zawartej z administratorem umowie o powierzeniu przetwarzania. Je\u380?eli czynno\u347?ci przetwarzania wykonuje podmiot przetwarzaj\u261?cy, a nie administrator, to co do zasady do dzia\u322?ania tego zast\u281?pcy nale\u380?a\u322?oby odnosi\u263? przepisy okre\u347?laj\u261?ce obowi\u261?zki zwi\u261?zane z przetwarzaniem. Rozporz\u261?dzenie nr 2016/679 rozk\u322?ada jednak\u380?e te obowi\u261?zki pomi\u281?dzy administratora i podmiot przetwarzaj\u261?cy, co oznacza, \u380?e administrator powierzaj\u261?c przetwarzanie danych innemu podmiotowi nie jest zwolniony ca\u322?kowicie z odpowiedzialno\u347?ci za niedope\u322?nienie prawnych wymaga\u324? dotycz\u261?cych przetwarzania. Przepisy rozporz\u261?dzenia kieruj\u261? niekt\u243?re obowi\u261?zki do administratora danych (art. 5 ust. 2), inne za\u347? s\u261? adresowane jednocze\u347?nie do administratora i do podmiotu przetwarzaj\u261?cego (art. 32 ust. 1 i 2). Ponadto podmiot przetwarzaj\u261?cy ma odr\u281?bne obowi\u261?zki w tym zakresie (art. 28 rozporz\u261?dzenia). Co prawda te obowi\u261?zki podmiotu przetwarzaj\u261?cego powinny by\u263? umieszczone w zawartej mi\u281?dzy stronami umowie o przetwarzanie danych. Niemniej jednak obligatoryjne dla stron wprowadzenie ich do umowy nie odbiera im charakteru publicznoprawnego, nie czyni obowi\u261?zkami wy\u322?\u261?cznie obligacyjnymi, co ma oczywi\u347?cie zasadnicze znaczenie dla okre\u347?lenia odpowiedzialno\u347?ci za ich naruszenie i co znajduje potwierdzenie w art. 83 ust. 4 lit. a rozporz\u261?dzenia.
\par 
\par Trzeba podkre\u347?li\u263?, \u380?e podmiot przetwarzaj\u261?cy jest obowi\u261?zany do wsp\u243?\u322?dzia\u322?ania z administratorem, a nawet do udzielania mu pomocy w wywi\u261?zywaniu si\u281? z jego obowi\u261?zk\u243?w okre\u347?lonych w art. 32-36 (art. 28 rozporz\u261?dzenia). Na\u322?o\u380?enie zar\u243?wno na administratora, jak i na podmiot przetwarzaj\u261?cy do\u347?\u263? og\u243?lnego obowi\u261?zku zapewnienia bezpiecze\u324?stwa danych (art. 32 ust. 1) nie implikuje oczywi\u347?cie konieczno\u347?ci podejmowania przez te podmioty dzia\u322?a\u324? tego samego rodzaju i nie rodzi po ich stronie odpowiedzialno\u347?ci za naruszenia, niezale\u380?nie od tego, kt\u243?remu z nich mo\u380?na je przypisa\u263?. Nie ma tu mowy o jakimkolwiek solidarnym, w rozumieniu prawnym wykonywaniu przez strony obowi\u261?zk\u243?w dotycz\u261?cych zapewnienia bezpiecze\u324?stwa przetwarzania danych i solidarnej odpowiedzialno\u347?ci za naruszenie tych obowi\u261?zk\u243?w.
\par 
\par Zdaniem Wojew\u243?dzkiego S\u261?du Administracyjnego w Warszawie punktem odniesienia dla konkretyzacji obowi\u261?zk\u243?w kierowanych do administratora i do podmiotu przetwarzaj\u261?cego (np. art. 32 ust. 1) s\u261? ich prawnie wyznaczone funkcje. Wed\u322?ug rozporz\u261?dzenia funkcj\u261? administratora danych jest samodzielne lub wsp\u243?lnie z innymi ustalanie cel\u243?w i sposob\u243?w przetwarzania danych osobowych (art. 4 pkt 7 rozporz\u261?dzenia). Do podmiotu przetwarzaj\u261?cego nale\u380?y natomiast przetwarzanie danych osobowych w imieniu administratora (art. 4 pkt 8). Prowadzi to do wniosku, \u380?e na ka\u380?dym z tych podmiot\u243?w ci\u261?\u380?\u261? obowi\u261?zki dotycz\u261?ce zakresu ich indywidualnego uczestnictwa w procesie przetwarzania danych. Ta teza znajduje potwierdzenie w pi\u347?miennictwie. W komentarzu do art. 5 ust. 2 rozporz\u261?dzenia formu\u322?uj\u261?cego og\u243?ln\u261? zasad\u281? odpowiedzialno\u347?ci administratora danych za przestrzeganie przepis\u243?w rozporz\u261?dzenia dotycz\u261?cych przetwarzania danych osobowych wyra\u380?ono pogl\u261?d, \u380?e w przypadku powierzenia przetwarzania danych osobowych, obowi\u261?zki wdro\u380?enia odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych w celu zapewnienia odpowiedniego stopnia bezpiecze\u324?stwa odpowiadaj\u261?cego ryzyku naruszenia praw lub wolno\u347?ci os\u243?b fizycznych o r\u243?\u380?nym prawdopodobie\u324?stwie wyst\u261?pienia i wadze zagro\u380?enia spoczywaj\u261? na podmiocie przetwarzaj\u261?cym (Og\u243?lne rozporz\u261?dzenie o ochronie danych osobowych Ustawa o ochronie danych osobowych Wybrane przepisy sektorowe. Komentarz pod red. P. Lipi\u324?skiego, Warszawa 2021, s. 164).
\par 
\par Przedstawione rozwa\u380?ania uzasadniaj\u261? stwierdzenie, \u380?e w przypadku powierzenia przetwarzania danych podmiotowi przetwarzaj\u261?cemu egzekwowanie odpowiedzialno\u347?ci za naruszenia powsta\u322?e w procesie przetwarzania nie mo\u380?e nie bra\u263? pod uwag\u281? obowi\u261?zk\u243?w obu podmiot\u243?w uczestnicz\u261?cych w przetwarzaniu i nie uwzgl\u281?dnia\u263? ich indywidualnego przyczynienia si\u281? do powstania naruszenia. \u346?wiadcz\u261? o tym r\u243?wnie\u380? okre\u347?lone w rozporz\u261?dzeniu zasady nak\u322?adania administracyjnych kar pieni\u281?\u380?nych za naruszenie przepis\u243?w rozporz\u261?dzenia (art. 83). Tej odpowiedzialno\u347?ci administracyjnej podlegaj\u261? administrator danych i podmiot przetwarzaj\u261?cy. Jedna z dyrektyw nak\u322?adania tych kar stanowi, \u380?e podj\u281?cie decyzji o na\u322?o\u380?eniu kary i ustaleniu jej wysoko\u347?ci wymaga zwr\u243?cenia uwagi w ka\u380?dym indywidualnym przypadku na stopie\u324? odpowiedzialno\u347?ci administratora lub podmiotu przetwarzaj\u261?cego, z uwzgl\u281?dnieniem \u347?rodk\u243?w technicznych organizacyjnych wdro\u380?onych przez nich na mocy art. 25 i 32 (art. 83 ust. 2 lit. d).
\par 
\par Odnosz\u261?c si\u281? do zasadniczej, zdaniem organu kwestii sp\u243?\u378?nionego podj\u281?cia dzia\u322?a\u324? zmierzaj\u261?cych do stwierdzenia naruszenia ochrony danych osobowych nale\u380?y zauwa\u380?y\u263?, \u380?e przepisy rozporz\u261?dzenia nie formu\u322?uj\u261? wprost prawnego obowi\u261?zku podj\u281?cia dzia\u322?a\u324? zmierzaj\u261?cych do niezw\u322?ocznego stwierdzenia takiego naruszenia. Rozporz\u261?dzenie stanowi jedynie o obowi\u261?zku administratora i podmiotu przetwarzaj\u261?cego niezw\u322?ocznego zawiadomienia o stwierdzonym naruszeniu ochrony danych osobowych. Administratora bez zb\u281?dnej zw\u322?oki zawiadamia o stwierdzonym naruszeniu organ nadzorczy (art. 33 ust. 1). Natomiast podmiot przetwarzaj\u261?cy po stwierdzeniu naruszenia ochrony danych bez zb\u281?dnej zw\u322?oki zg\u322?asza je administratorowi (art. 33 ust. 2).
\par 
\par Organ wywi\u243?d\u322? obowi\u261?zek doprowadzenia do niezw\u322?ocznego stwierdzenia naruszenia ochrony danych osobowych, m. in. z tre\u347?ci art. 32 ust. 1 i 2 rozporz\u261?dzenia, przypisuj\u261?c go jednak wy\u322?\u261?cznie administratorowi danych. Tymczasem z tych przepis\u243?w wynika, \u380?e dotycz\u261? one zar\u243?wno administratora jak i podmiotu przetwarzaj\u261?cego, co dodatkowo potwierdza art. 28 ust. 3 lit.c tego aktu prawnego. Co wi\u281?cej, art. 28 ust. 3 lit. f nakazuje podmiotowi przetwarzaj\u261?cemu udzielenie pomocy administratorowi danych w zakresie wykonywania przez administratora jego obowi\u261?zk\u243?w okre\u347?lonych w art. 32 \u8211? 36. Oznacza to, \u380?e podmiot przetwarzaj\u261?cy ma nie tylko w\u322?asny obowi\u261?zek podj\u281?cia dzia\u322?a\u324? zmierzaj\u261?cych do niezw\u322?ocznego stwierdzenia naruszenia ochrony danych, ale jest r\u243?wnie\u380? obowi\u261?zany do wspierania administratora w jego poczynaniach maj\u261?cych r\u243?wnie\u380? na celu stwierdzenie naruszenia ochrony bez zb\u281?dnej zw\u322?oki.
\par 
\par W \u347?wietle przedstawionego stanu prawnego postawienie zarzutu niedope\u322?nienia obowi\u261?zku niezw\u322?ocznego stwierdzenia naruszenia ochrony danych osobowych tylko jednemu z dw\u243?ch podmiot\u243?w uczestnicz\u261?cych w przetwarzaniu danych by\u322?oby wi\u281?c uzasadnione, gdyby powstanie naruszenia nie mia\u322?o \u380?adnego zwi\u261?zku z dzia\u322?aniem lub zaniechaniem drugiego z nich.
\par 
\par Zdaniem S\u261?du okoliczno\u347?ci faktyczne sprawy nie daj\u261? podstaw do postawienia zarzut\u243?w naruszenia obowi\u261?zk\u243?w wskazanych w zaskar\u380?onej decyzji wy\u322?\u261?cznie administratorowi danych i w konsekwencji na\u322?o\u380?enia na niego kary pieni\u281?\u380?nej.
\par 
\par Nale\u380?y przede wszystkim podkre\u347?li\u263?, \u380?e naruszenie ochrony polega\u322?o na stworzeniu mo\u380?liwo\u347?ci nieuprawnionego dost\u281?pu do danych b\u281?d\u261?cych w dyspozycji podmiotu przetwarzaj\u261?cego, wskutek b\u322?\u281?du pracownika tego podmiotu, polegaj\u261?cego na niew\u322?\u261?czeniu zapory sieciowej zresetowanego serwera. Sta\u322?o si\u281? to 28 lutego 2020 r. Naruszenie przez nieuprawione udost\u281?pnienie danych nie mia\u322?o zatem bezpo\u347?redniego zwi\u261?zku z dzia\u322?aniem lub zaniechaniem administratora danych, administrator nie mia\u322? bezpo\u347?redniego wp\u322?ywu na powstanie naruszenia. Organ nie wykaza\u322? te\u380?, \u380?e administrator danych m\u243?g\u322? swoimi konkretnymi dzia\u322?aniami zapobiec temu zdarzeniu. Je\u380?eli zatem organ uzna\u322?, \u380?e stwierdzenie naruszenia by\u322?o stwierdzone, to to op\u243?\u378?nienie nie by\u322?o przyczyn\u261? naruszenia lecz przyczyn\u261? powstania szkody (kradzie\u380?y danych) w czasie pomi\u281?dzy powstaniem naruszenia (28 lutego) a stwierdzeniem, \u380?e naruszenie powsta\u322?o ([...] i [...] marca 2020 r.).
\par 
\par Ustalone w post\u281?powaniu administracyjnym w tej sprawie fakty rzeczywi\u347?cie wskazuj\u261?, \u380?e pomi\u281?dzy uzyskaniem przez administratora pierwszej informacji o prawdopodobnym naruszeniu ochrony danych ([...] marca 2020 r.), a stwierdzeniem przez ten podmiot naruszenia i ustaleniem jego \u378?r\u243?d\u322?a ([...] marca 2020 r.) up\u322?yn\u281?\u322?o kilkana\u347?cie dni. W tym czasie ([...] marca 2020 r.) dane, pozbawione ochrony (zabezpieczenia) zosta\u322?y pobrane i usuni\u281?te z serwera przez nieuprawniony podmiot zewn\u281?trzny. Jest zatem bardzo prawdopodobne, \u380?e szybsze stwierdzenie naruszenia mog\u322?oby zapobiec "wyciekowi" tych danych i powstaniu zwi\u261?zanej z tym szkody.
\par 
\par Istotne znaczenie dla obci\u261?\u380?enia kt\u243?regokolwiek z podmiot\u243?w odpowiedzialno\u347?ci\u261? za to op\u243?\u378?nienie maj\u261? zdarzenia przypadaj\u261?ce w okresie pomi\u281?dzy [...] a [...] marca 2020 r., wymagaj\u261?ce oceny uwzgl\u281?dniaj\u261?cej prawny kontekst ca\u322?ej tej sytuacji.
\par 
\par Po wewn\u281?trznej weryfikacji informacji o prawdopodobnym naruszeniu ochrony danych, nast\u281?pnego dnia ([...] marca 2020 r.) administrator przekaza\u322? t\u281? wiadomo\u347?\u263? podmiotowi przetwarzaj\u261?cemu. W dniu [...] marca 2020 r. administrator ponownie zwr\u243?ci\u322? si\u281? do podmiotu przetwarzaj\u261?cego w sprawie weryfikacji tej informacji. Z wyja\u347?nie\u324? sk\u322?adanych przez administratora podmiotowi nadzorczemu, zawartych m. in. w pi\u347?mie z [...] marca 2020 r. wprost nie wynika, jak w okresie od [...] do [...] marca 2020 r. przebiega\u322?y i na czym polega\u322?y konkretne dzia\u322?ania b\u261?d\u378? ewentualnie zaniechania administratora danych i podmiotu przetwarzaj\u261?cego, w zwi\u261?zku z otrzyman\u261? informacj\u261? o prawdopodobnym naruszeniu danych. Administrator poda\u322?, \u380?e [...] marca 2020 r. podmiot przetwarzaj\u261?cy ponownie zresetowa\u322? serwer, jednak\u380?e konfiguracja serwera by\u322?a w dalszym ci\u261?gu nieszczelna (port serwera pozostawa\u322? otwarty). Nie wyja\u347?niono, czy podmiot przetwarzaj\u261?cy by\u322? \u347?wiadomy niedzia\u322?ania zabezpieczenia serwera po jego zresetowaniu i czy i kiedy powiadomi\u322? o tym administratora danych. Nie ulega jednak w\u261?tpliwo\u347?ci, \u380?e mia\u322? obowi\u261?zek sprawdzenia poprawno\u347?ci dzia\u322?ania zap\u243?r sieciowych zresetowanego serwera po pierwszym i ponownym resecie. Na uwag\u281? zas\u322?uguje fakt, \u380?e podmiot przetwarzaj\u261?cy stwierdzi\u322? powstanie naruszenia dopiero [...] marca 2020 r., w dniu w kt\u243?rym administrator danych ponowie powiadomi\u322? go o otrzymaniu kolejnej informacji o potencjalnym naruszeniu. W tym samym dniu podmiot przetwarzaj\u261?cy ustali\u322? poprawnie zapory firewall i zap\u322?aci\u322? okup nieznanemu podmiotowi, kt\u243?ry wykrad\u322? dane z niezabezpieczonego serwera oraz zg\u322?osi\u322? stwierdzone naruszenie administratorowi. Po potwierdzeniu naruszenia przez administratora, administrator [...] marca 2020 r. zg\u322?osi\u322? naruszenie organowi nadzoru.
\par 
\par Wydaje si\u281? oczywiste, \u380?e ze wzgl\u281?du na to, \u380?e naruszenie nast\u261?pi\u322?o w procesie przetwarzania danych przez podmiot przetwarzaj\u261?cy, wskutek b\u322?\u281?du jego pracownika, przede wszystkim ten podmiot mia\u322? najwi\u281?ksze mo\u380?liwo\u347?ci, przy prawid\u322?owym wykonywaniu swych obowi\u261?zk\u243?w dotycz\u261?cych zapewnienia bezpiecze\u324?stwa przetwarzanych danych, wynikaj\u261?cych z art. 32 w zwi\u261?zku z art. 28 ust. 3 lit. c rozporz\u261?dzenia, doprowadzenia do niezw\u322?ocznego stwierdzenia naruszenia i powiadomienia administratora danych o naruszeniu. Nale\u380?y zauwa\u380?y\u263?, \u380?e organ rozpatruj\u261?c kwesti\u281? naruszenia przez administratora art. 28 ust. 1 i ust. 3 lit. h rozporz\u261?dzenia umorzy\u322? post\u281?powanie w tym zakresie, poniewa\u380? nie dopatrzy\u322? si\u281? po stronie administratora b\u322?\u281?du w wyborze podmiotu przetwarzaj\u261?cego dane.
\par 
\par Zdaniem S\u261?du w \u347?wietle analizowanych wy\u380?ej przepis\u243?w rozporz\u261?dzenia i ustalonych przez organ okoliczno\u347?ci faktycznych sprawy nie ma podstaw do przypisania administratorowi danych sprawstwa za powstanie naruszenia (spowodowania niekontrolowanego dost\u281?pu do danych) ani do postawienia temu podmiotowi zarzutu spowodowania wy\u322?\u261?cznie swoim zachowaniem op\u243?\u378?nienia w stwierdzeniu naruszenia ochrony danych osobowych. Je\u380?eli bowiem ju\u380? [...] marca 2020 r., po ponownym zresetowaniu serwera, przetwarzaj\u261?cy nie dokona\u322? poprawnego jego zabezpieczenia, to ten jego b\u322?\u261?d oboj\u281?tnie czy niezauwa\u380?ony czy zlekcewa\u380?ony, ca\u322?kowicie obci\u261?\u380?a podmiot przetwarzaj\u261?cy.
\par 
\par Administrator danych nie posiadaj\u261?c organizacyjnych czy technicznych mo\u380?liwo\u347?ci prawid\u322?owego, zgodnego z wymogami prawnymi przetwarzania danych, powierzy\u322? te czynno\u347?ci innemu podmiotowi, wyspecjalizowanemu w tej materii. Niejako wyr\u281?czy\u322? si\u281? w tym zakresie podmiotem przetwarzaj\u261?cym. Dokonuj\u261?c prawid\u322?owego (niezakwestionowanego przez organ nadzoru) wyboru tego podmiotu, m\u243?g\u322? mie\u263? wi\u281?c zaufanie do jego dzia\u322?ania, wsparte znajomo\u347?ci\u261? ci\u261?\u380?\u261?cych na nim obowi\u261?zk\u243?w okre\u347?lonych omawianym rozporz\u261?dzeniem oraz wynikaj\u261?cych z umowy o powierzenie przetwarzania danych. Moc\u261? tej umowy podmiot przetwarzaj\u261?cy zobowi\u261?za\u322? si\u281? wobec administratora danych m.in. do stosowania odpowiednich technicznych, fizycznych oraz organizacyjnych \u347?rodk\u243?w bezpiecze\u324?stwa w celu ochrony powierzonych danych, sprawowania nadzoru nad bezpiecze\u324?stwem danych przez ca\u322?y okres ich powierzenia i wreszcie do zg\u322?aszania administratorowi bez zb\u281?dnej zw\u322?oki faktycznego lub podejrzanego naruszenia ochrony danych (\u167? 3 ust. 1 lit a i b, ust. 2 pkt 9 umowy).
\par 
\par Dokonanie prawid\u322?owego wyboru podmiotu przetwarzaj\u261?cego dane nie zwalnia administratora ca\u322?kowicie z obowi\u261?zk\u243?w zwi\u261?zanych z przetwarzaniem danych i z odpowiedzialno\u347?ci za ich naruszenie. Nie pozwala jednak na egzekwowanie od administratora ca\u322?ej odpowiedzialno\u347?ci za naruszenie przepis\u243?w prawa prowadz\u261?cych do naruszenia ochrony danych osobowych, powsta\u322?ego z przyczyn le\u380?\u261?cych po stronie podmiotu przetwarzaj\u261?cego. Zgadzaj\u261?c si\u281? z organem, \u380?e administrator nie wykaza\u322? si\u281? znacz\u261?c\u261? aktywno\u347?ci\u261? w dzia\u322?aniach zmierzaj\u261?cych do zweryfikowania informacji o prawdopodobnym naruszeniu ochrony danych osobowych, trzeba zauwa\u380?y\u263?, \u380?e w okoliczno\u347?ciach faktycznych sprawy jego mo\u380?liwo\u347?ci dzia\u322?ania by\u322?y ograniczone, poza wywieraniem nacisku na podmiot przetwarzaj\u261?cy. Nie wydaje si\u281? bowiem, aby administrator mia\u322? techniczne czy organizacyjne mo\u380?liwo\u347?ci, pozwalaj\u261?ce mu na w\u322?asn\u261? r\u281?k\u281? skontrolowa\u263? funkcjonowanie zabezpiecze\u324? serwera, z kt\u243?rego wyciek\u322?y dane. Ponadto administrator informowa\u322?, w ramach wyja\u347?nie\u324? sk\u322?adanych organowi nadzoru o utrzymywaniu sta\u322?ego kontaktu z podmiotem przetwarzaj\u261?cym po pojawieniu si\u281? informacji o wycieku danych.
\par 
\par Wed\u322?ug S\u261?du w tej sprawie naruszenie ochrony danych nast\u261?pi\u322?o z przyczyn le\u380?\u261?cych po stronie podmiotu przetwarzaj\u261?cego. Naruszeniem w rozumieniu art. 4 pkt 12 rozporz\u261?dzenia jest bowiem stworzenie nieuprawionego dost\u281?pu do danych, a to nast\u261?pi\u322?o wskutek b\u322?\u281?du pracownika podmiotu przetwarzaj\u261?cego. Organ w \u380?aden spos\u243?b nie wykaza\u322?, \u380?e istnieje zwi\u261?zek przyczynowo - skutkowy pomi\u281?dzy tym b\u322?\u281?dem, a zarzucanym administratorowi naruszeniem obowi\u261?zk\u243?w wskazanych w decyzji o na\u322?o\u380?eniu kary administracyjnej, kt\u243?re wed\u322?ug tego, co ju\u380? powiedziano nale\u380?y interpretowa\u263? zgodne z funkcj\u261? administratora jako podmiotu ustalaj\u261?cego cele i sposoby przetwarzania danych. Rozumowanie organu sprowadza si\u281? do przyporz\u261?dkowania (subsumcji) ustalonego stanu faktycznego, ograniczonego do dzia\u322?ania administratora pod okre\u347?lone przepisy rozporz\u261?dzenia, reguluj\u261?ce obowi\u261?zki zwi\u261?zane z przetwarzaniem danych osobowych, z pomini\u281?ciem faktu, \u380?e te przepisy odnosz\u261? si\u281? nie tylko do administratora danych i \u380?e ze stanu faktycznego wynika oczywisty udzia\u322? podmiotu przetwarzaj\u261?cego w powstaniu naruszenia ochrony danych osobowych. Jak ju\u380? powiedziano, przypisana administratorowi opiesza\u322?o\u347?\u263? w stwierdzeniu naruszenia ochrony danych mog\u322?a si\u281? ewentualnie przyczyni\u263? do powstania szkody w wyniku powsta\u322?ego naruszenia, a nie do powstania samego naruszenia.
\par 
\par Z tych wzgl\u281?d\u243?w S\u261?d uznaje za uzasadnione zarzuty skargi dotycz\u261?ce naruszenia przepis\u243?w post\u281?powania, polegaj\u261?ce na niepe\u322?nym zebraniu, rozpatrzeniu i b\u322?\u281?dnej ocenie materia\u322?u dowodowego w sprawie (art. 7, art. 7a \u167? 1, art. 8 \u167? 1, art. 77 \u167? 1, art. 81 a \u167? 1 oraz art. 80 k.p.a.).
\par 
\par W konsekwencji organ naruszy\u322? r\u243?wnie\u380? przepisy prawa materialnego \u8211? art. 5 ust. 1 lit. f, art. 25 ust. 1, art. 32 ust. 1 lit. b, art. 32 ust. 1 lit. d, art. 32 ust. 2 oraz art. 83 ust. 1 i ust. 2 lit d rozporz\u261?dzenia nr 2016/679, wymierzaj\u261?c skar\u380?\u261?cej kar\u281? bez uwzgl\u281?dniania wszystkich okoliczno\u347?ci rozpoznawanego przypadku. Nie wzi\u261?\u322? pod uwag\u281? roli podmiotu przetwarzaj\u261?cego w powstaniu naruszenia ochrony danych osobowych i tym samym wymierzy\u322? administratorowi kar\u281? administracyjn\u261? z pomini\u281?ciem zasady proporcjonalno\u347?ci kary w stosunku do stopnia odpowiedzialno\u347?ci administratora danych i podmiotu przetwarzaj\u261?cego.
\par 
\par Z tych wszystkich wzgl\u281?d\u243?w, Wojew\u243?dzki S\u261?d Administracyjny w Warszawie, na podstawie art. 145 \u167? 1 pkt 1 lit a i c ustawy Prawo o post\u281?powaniu przed s\u261?dami administracyjnymi, uchyli\u322? pkt 1 zaskar\u380?onej decyzji. O kosztach post\u281?powania S\u261?d orzek\u322? w oparciu o art. 200 i art. 205 \u167? 2 ustawy procesowej zas\u261?dzaj\u261?c od organu na rzecz Sp\u243?\u322?ki 10 699 z\u322? tytu\u322?em uiszczonego wpisu od skargi, koszty zast\u281?pstwa adwokackiego w wysoko\u347?ci 10 800 z\u322? (\u167? 14 ust.1 pkt 1 lit. a w zw. z \u167? 2 rozporz\u261?dzenia Ministra Sprawiedliwo\u347?ci z 22 pa\u378?dziernika 2015 r. w sprawie op\u322?at za czynno\u347?ci adwokackie Dz. U z 2015 r. poz. 1800) oraz 17 z\u322? tytu\u322?em op\u322?aty skarbowej od pe\u322?nomocnictwa.
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\pard}