{\rtf1\ansi\ansicpg1252
\deff0{\fonttbl{\f0\froman\fcharset0 Times New Roman;}{\f1\froman\fcharset0 Helvetica;}{\f2\froman\fcharset0 Arial;}{\f3\froman\fcharset0 unknown;}}
{\colortbl\red0\green0\blue0;\red255\green255\blue255;\red192\green192\blue192;}
{\stylesheet 
{\style\s1 \ql\fi0\li0\ri0\f2\fs32\b\cf0 heading 1;}
{\style\s2 \ql\fi0\li0\ri0\f2\fs28\b\i\cf0 heading 2;}
{\style\s3 \ql\fi0\li0\ri0\f2\fs26\b\cf0 heading 3;}
{\style\s0 \ql\fi0\li0\ri0\f2\fs24\cf0 Normal;}
}
{\*\listtable
}
{\*\listoverridetable
}
{\info}
\paperw11907\paperh16840\margl1440\margr1120\margt1720\margb1440
{\footer \pard\plain\s0\ql\fi0\li0\ri0\plain\f0 2026-04-13 01:30\par
}{\header \trowd
\trftsWidth3\trwWidth9347\trqc\trgaph10\trpaddl0\trpaddr0\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7630
\cellx7630\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1716
\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f0 Centralna Baza Orzecze\u324? S\u261?d\u243?w Administracyjnych
\cell\pard\plain\intbl\s0\qr\fi0\li0\ri0\plain\f0 Str \f3{\field{\*\fldinst PAGE}{\fldrslt  }}\f0  / \f3{\field{\*\fldinst NUMPAGES \\* Arabic}{\fldrslt 1 }}
\cell \trowd
\trftsWidth3\trwWidth9347\trqc\trgaph10\trpaddl0\trpaddr0\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7630
\cellx7630\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1716
\cellx9346\row
\pard}\pgwsxn11907\pghsxn16840
\marglsxn1440\margrsxn1120\margtsxn1720\margbsxn1440\pard\plain\s0\fi0\li0\ri0\plain\f1\fs24\b II SA/Wa 150/23 - Wyrok\b0\par
\par\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Data orzeczenia\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 2023-06-21
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Data wp\u322?ywu\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 2023-01-23
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b S\u261?d\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Wojew\u243?dzki S\u261?d Administracyjny w Warszawie
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b S\u281?dziowie\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Izabela G\u322?owacka-Klimas /przewodnicz\u261?cy sprawozdawca/
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Symbol z opisem\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 647  Sprawy zwi\u261?zane z ochron\u261? danych osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Has\u322?a tematyczne\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Ochrona danych osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Skar\u380?ony organ\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Generalny Inspektor Ochrony Danych Osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Tre\u347?\u263? wyniku\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Oddalono skarg\u281?
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Powo\u322?ane przepisy\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Dz.U. 2023 nr 0 poz 259; art. 153; Ustawa z dnia 30 sierpnia 2002 r. Prawo o post\u281?powaniu przed s\u261?dami administracyjnymi - t.j.
\par Dz.U. 2016 nr 0 poz 922; art. 101a ust. 2; Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - tekst jedn.
\par Dz.U. 2022 nr 0 poz 1467; art. art. 492 par. 1, 493 par. 1, par. 2 , 494 par. 1; Ustawa z dnia 15 wrze\u347?nia 2000 r. Kodeks sp\u243?\u322?ek handlowych (t. j.)
\par Dz.U.UE.L 2016 nr 119 poz 1; art. art. 5 ust. 1 lit. f), ust. 2, 24 ust. 1, 25 ust. 1, 32 ust. 1 lit. b) i d); Rozporz\u261?dzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony os\u243?b fizycznych w zwi\u261?zku z  przetwarzaniem danych osobowych i w sprawie swobodnego przep\u322?ywu takich danych oraz uchylenia dyrektywy 95/46/WE
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Sentencja\b0
\par\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs22 Wojew\u243?dzki S\u261?d Administracyjny w Warszawie w sk\u322?adzie nast\u281?puj\u261?cym: Przewodnicz\u261?cy S\u281?dzia WSA Izabela G\u322?owacka-Klimas (spr.), S\u281?dzia WSA Agnieszka G\u243?ra-B\u322?aszczykowska, Asesor WSA Arkadiusz Koziarski, Protokolant st. sekr. s\u261?dowy Maryla Wi\u347?niewska, , po rozpoznaniu na rozprawie w dniu 14 czerwca 2023 r. sprawy ze skargi P. Sp. z o.o. z siedzib\u261? w [...] na decyzj\u281? Prezesa Urz\u281?du Ochrony Danych Osobowych z dnia [...] listopada 2022 r., nr [...] w przedmiocie ochrony danych osobowych oddala skarg\u281?
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Uzasadnienie\b0
\par\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs22 Prezes Urz\u281?du Ochrony Danych Osobowych (dalej: organ, Prezes UODO) decyzj\u261? z [...] listopada 2022 r. nr [...] (dalej decyzja
\par 
\par z [...] listopada 2022 r.), po przeprowadzeniu wszcz\u281?tego z urz\u281?du post\u281?powania administracyjnego w sprawie naruszenia przez V. sp. z o.o., kt\u243?rej nast\u281?pc\u261? prawnym jest [...] sp. z o.o. z siedzib\u261? w W. (dalej: Sp\u243?\u322?ka, Skar\u380?\u261?ca), przepis\u243?w o ochronie danych osobowych, stwierdzaj\u261?c naruszenie przez V. sp. z o.o. przepis\u243?w art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b) i lit. d) oraz art. 32 ust. 2 rozporz\u261?dzenia 2016/679, polegaj\u261?ce na niewdro\u380?eniu przez V. sp. z o.o., kt\u243?rej nast\u281?pc\u261? prawnym jest Sp\u243?\u322?ka, odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych zapewniaj\u261?cych stopie\u324? bezpiecze\u324?stwa odpowiadaj\u261?cy ryzyku przetwarzania danych za pomoc\u261? system\u243?w informatycznych s\u322?u\u380?\u261?cych do rejestracji danych osobowych abonent\u243?w us\u322?ug przedp\u322?aconych,
\par 
\par co doprowadzi\u322?o do uzyskania przez osob\u281? nieuprawnion\u261? dost\u281?pu do tych danych,
\par 
\par a co stanowi\u322?o r\u243?wnie\u380? naruszenie zasady integralno\u347?ci i poufno\u347?ci, o kt\u243?rej mowa
\par 
\par w art. 5 ust. 1 lit. 1) rozporz\u261?dzenia 2016/679 i zwi\u261?zane by\u322?o z naruszeniem zasady rozliczalno\u347?ci, o kt\u243?rej mowa w art. 5 ust. 2 rozporz\u261?dzenia 2016/679, na\u322?o\u380?y\u322?
\par 
\par na Sp\u243?\u322?k\u281? za naruszenie art. 5 ust. 1 lit. 1), art. 5 ust. 2, art. 25 ust. 1, art. 32 ust. 1
\par 
\par lit. b) i lit. d) oraz art. 32 ust. 2 rozporz\u261?dzenia 2016/679, administracyjn\u261? kar\u281? pieni\u281?\u380?n\u261? w kwocie 1.599.395,00 z\u322? (s\u322?ownie: jeden milion pi\u281?\u263?set dziewi\u281?\u263?dziesi\u261?t dziewi\u281?\u263? tysi\u281?cy trzysta dziewi\u281?\u263?dziesi\u261?t pi\u281?\u263? z\u322?otych).
\par 
\par Do wydania powy\u380?szej decyzji dosz\u322?o w nast\u281?puj\u261?cym stanie sprawy.
\par 
\par V. sp. z o.o. (sp\u243?\u322?ka) zg\u322?osi\u322?a [...] grudnia 2019 r. Prezesowi UODO naruszenie ochrony danych osobowych abonent\u243?w us\u322?ug przedp\u322?aconych, polegaj\u261?ce na uzyskaniu przez osob\u281? nieuprawnion\u261? dost\u281?pu do tych danych
\par 
\par i pozyskaniu 142.222 rekord\u243?w potwierdze\u324? rejestracji us\u322?ug przedp\u322?aconych, zawieraj\u261?cych dane osobowe 114.963 klient\u243?w w zakresie imienia i nazwiska,
\par 
\par nr PESEL, serii i nr dowodu osobistego, numeru telefonu, NIP i nazwy podmiotu. Incydent ten mia\u322? miejsce od [...] do [...] grudnia 2019 r.
\par 
\par W konsekwencji Prezes UODO zdecydowa\u322? o przeprowadzeniu w ww. sp\u243?\u322?ce kontroli zgodno\u347?ci przetwarzania danych osobowych z przepisami o ochronie danych osobowych: rozporz\u261?dzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016r. w sprawie ochrony os\u243?b fizycznych w zwi\u261?zku z przetwarzaniem danych osobowych i w sprawie swobodnego przep\u322?ywu takich danych oraz uchylenia dyrektywy 95/46/WE (og\u243?lne rozporz\u261?dzenie o ochronie danych - Dz. Urz. UE L 119 z 4.05.2016, str. 1 ze zm., zwana dalej "RODO") i ustaw\u261? z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781, zwana dalej "u.o.d.o."). Zakresem kontroli obj\u281?to spos\u243?b przetwarzania, w tym zabezpieczenia danych, w ramach \u347?wiadczenia us\u322?ug telekomunikacyjnych abonentom us\u322?ug przedp\u322?aconych. W toku kontroli odebrano od pracownik\u243?w sp\u243?\u322?ki ustne wyja\u347?nienia i dokonano ogl\u281?dzin systemu [...], s\u322?u\u380?\u261?cego do rejestracji danych osobowych abonent\u243?w us\u322?ug przedp\u322?aconych. Stan faktyczny opisano szczeg\u243?\u322?owo w protokole kontroli, kt\u243?ry podpisa\u322? zarz\u261?d sp\u243?\u322?ki.
\par 
\par Prezes UODO, na podstawie informacji i dowod\u243?w zgromadzonych w post\u281?powaniu kontrolnym, ustali\u322?, \u380?e w procesie przetwarzania danych abonent\u243?w us\u322?ug przedp\u322?aconych, sp\u243?\u322?ka V., jako administrator, naruszy\u322?a: zasad\u281? poufno\u347?ci danych wyra\u380?on\u261? w art. 5 ust. 1 lit. f RODO i obowi\u261?zki, kt\u243?re stanowi\u261? odzwierciedlenie tej zasady, okre\u347?lone w art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b) i d), art. 32 ust. 2 RODO - przez niewdro\u380?enie odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych zapewniaj\u261?cych stopie\u324? bezpiecze\u324?stwa, odpowiadaj\u261?cy ryzyku przetwarzania danych za pomoc\u261? system\u243?w informatycznych s\u322?u\u380?\u261?cych do rejestracji danych osobowych abonent\u243?w us\u322?ug przedp\u322?aconych.
\par 
\par Prezes UODO ustali\u322?, \u380?e przedmiotem dzia\u322?alno\u347?ci Sp\u243?\u322?ki jest \u347?wiadczenie us\u322?ug w zakresie telekomunikacji bezprzewodowej. Podstaw\u261? prawn\u261? i celem przetwarzania danych osobowych w Sp\u243?\u322?ce w procesie rejestracji us\u322?ug przedp\u322?aconych jest realizacja umowy na us\u322?ug\u281? telekomunikacyjn\u261?, zawieran\u261? przez dokonanie czynno\u347?ci faktycznej: wys\u322?anie SMS, MMS, pobranie danych b\u261?d\u378? inicjacj\u281? po\u322?\u261?czenia telefonicznego, w oparciu o ustaw\u281? z 16 lipca 2014 r. Prawo telekomunikacyjne (Dz.U. z 2019 r., poz. 2460, zwana dalej: "P.t."). Obowi\u261?zek pozyskania danych osobowych przy us\u322?udze przedp\u322?aconej (rejestracji kart prepaid) wprowadzono art. 60b ust. 2 i ust. 1 P.t., kt\u243?ry wszed\u322? w \u380?ycie 25 lipca 2016 r. Abonenci us\u322?ug przedp\u322?aconych, kt\u243?rzy zawarli umow\u281? przed dniem wej\u347?cia w \u380?ycie ustawy z 10 czerwca 2016 r. o dzia\u322?aniach antyterrorystycznych (Dz.U. z 2016 r. poz. 904, zwana dalej "u.d.a.") - przed 2 lipca 2016 r., mieli obowi\u261?zek poda\u263? dostawcy us\u322?ugi dane osobowe na mocy art. 60 u.d.a. Zakres tych danych w przypadku: a) abonenta nieb\u281?d\u261?cego osob\u261? fizyczn\u261?, obejmuje: nazw\u281? podmiotu, nr NIP, nr telefonu, a je\u347?li rejestracji dokonuje pe\u322?nomocnik pozyskiwane s\u261? r\u243?wnie\u380? dane osobowe pe\u322?nomocnika w zakresie imienia i nazwiska i nr PESEL lub serii i numeru dokumentu to\u380?samo\u347?ci; b) osob\u281? fizyczn\u261? obejmuje: imi\u281? i nazwisko, nr PESEL, nr dowodu osobistego lub innego dokumentu to\u380?samo\u347?ci oraz nr telefonu. W celach kontaktowych pozyskiwane s\u261? te\u380? dane osobowe w postaci adres\u243?w e-mail i nr telefonu. Zbieranie ww. danych odbywa si\u281? na etapie rejestracji karty za pomoc\u261? punkt\u243?w sprzeda\u380?y (point of sale, zwane dalej "POS") - podmioty zewn\u281?trzne, z kt\u243?rymi sp\u243?\u322?ka ma podpisane umowy o wsp\u243?\u322?pracy, okre\u347?laj\u261?ce zasady powierzenia przetwarzania danych osobowych. Podmioty nieposiadaj\u261?ce w\u322?asnych rozwi\u261?za\u324? programowych
\par 
\par do realizacji us\u322?ugi rejestracji kart przedp\u322?aconych posiadaj\u261?, stworzon\u261? przez sp\u243?\u322?k\u281?, aplikacj\u281? web [...] s\u322?u\u380?\u261?c\u261? do rejestracji kart prepaid. Proces rejestracji danych za po\u347?rednictwem POS odbywa si\u281? przez aplikacj\u281? web [...] dost\u281?pn\u261? z poziomu sieci publicznej, za pomoc\u261? przegl\u261?darki internetowej. Dane osobowe wprowadzane s\u261? do tej aplikacji przez POS, na podstawie dokumentu to\u380?samo\u347?ci. Aplikacja ta umo\u380?liwia wygenerowanie wydruku potwierdzenia dokonania rejestracji. Rozwi\u261?zania przyj\u281?te u podmiot\u243?w korzystaj\u261?cych z w\u322?asnych system\u243?w informatycznych do rejestracji kart prepaid, np. system\u243?w kasowych; terminali, nie pozwalaj\u261? na wydrukowanie potwierdzenia rejestracji karty. Sp\u243?\u322?ka u\u380?ytkuje system informatyczny o nazwie S., z kt\u243?rym \u322?\u261?czy si\u281? aplikacja [...], s\u322?u\u380?\u261?ca
\par 
\par do rejestracji kart przedp\u322?aconych. Tw\u243?rc\u261? S. jest T. Sp. z o.o. s.k.a., kt\u243?ra zajmowa\u322?a si\u281? te\u380? utrzymaniem tego systemu od [...] kwietnia 2014 r. do [...] czerwca 2017r. Od [...] lipca 2017r. do chwili obecnej obs\u322?ug\u261? i utrzymaniem S. zajmuje si\u281? A. S.A. Podstawowe dane osobowe zapisywane s\u261? w jednej tabeli S., opartej o motor bazodanowy [...], do kt\u243?rej trafiaj\u261? dane rejestracyjne wprowadzane przez POS, za pomoc\u261? [...] i dane z system\u243?w klient\u243?w hurtowych (niemaj\u261?cych dost\u281?pu do [...], korzystaj\u261?cych ze swoich system\u243?w informatycznych). Producentem [...] jest W. s.c., kt\u243?ry to podmiot opracowa\u322? t\u281? aplikacj\u281? i zajmuje si\u281? jej obs\u322?ug\u261?, rozwojem i nadzorem od [...] wrze\u347?nia 2014 r. [...] s\u322?u\u380?y do wprowadzania danych do S., przez zastosowanie sieciowego interfejsu programowania aplikacji wykorzystuj\u261?cego architektur\u281? i protoko\u322?y sieci Web, w tym protok\u243?\u322? http
\par 
\par do komunikacji mi\u281?dzy aplikacjami znajduj\u261?cymi si\u281? na oddzielnych urz\u261?dzeniach
\par 
\par w sieci (zwanym dalej WebAPI).
\par 
\par Jak wskaza\u322? organ, w toku kontroli stwierdzono, \u380?e od [...] do [...] grudnia 2019 r. w sp\u243?\u322?ce dosz\u322?o do incydentu wycieku danych osobowych, na skutek uzyskania nieuprawnionego dost\u281?pu do danych abonent\u243?w us\u322?ug przedp\u322?aconych przez wykorzystanie podatno\u347?ci systemu informatycznego - us\u322?ugi generuj\u261?cej potwierdzenia dokonania rejestracji kart prepaid. Podatno\u347?\u263? ta polega\u322?a na braku weryfikacji identyfikatora wniosku rejestracyjnego (zwany dalej "Id wniosku") z identyfikatorem punktu sprzeda\u380?y, w kt\u243?rym dokonano rejestracji (zwany dalej "Id POS"). Poprawna weryfikacja mia\u322?a polega\u263? na wygenerowaniu potwierdzenia rejestracji jedynie, gdy id wniosku zgadza\u322?y si\u281? z Id POS, w kt\u243?rym dokonano rejestracji wniosku. S. nie weryfikowa\u322? Id POS ani tego, czy dany wniosek pochodzi
\par 
\par z konkretnego POS. \u346?rodki techniczne i organizacyjne stosowane w sp\u243?\u322?ce przed wyst\u261?pieniem naruszenia, od [...] maja 2018 r. (data rozpocz\u281?cia stosowania RODO), by\u322?y poddawane przegl\u261?dom i uaktualniane w miar\u281? potrzeb w sytuacji wyst\u261?pienia zmian organizacyjnych lub prawnych. W sp\u243?\u322?ce nie przeprowadzano kompleksowego regularnego testowania, mierzenia i oceniania skuteczno\u347?ci \u347?rodk\u243?w technicznych
\par 
\par i organizacyjnych, maj\u261?cych zapewni\u263? bezpiecze\u324?stwo przetwarzania danych.
\par 
\par W sytuacjach, gdy pojawia\u322?o si\u281? podejrzenie zaistnienia podatno\u347?ci, prowadzone by\u322?y prace maj\u261?ce na celu zabezpieczenie przed dan\u261? podatno\u347?ci\u261? (wydruki z systemu [...], potwierdzaj\u261?ce podj\u281?te dzia\u322?ania zaradcze dotycz\u261?ce potwierdzonych podejrze\u324? o podatno\u347?ci systemu). Ma to potwierdzenie m.in. w wyja\u347?nieniach sp\u243?\u322?ki zawartych w pi\u347?mie z [...] marca 2020 r. i przes\u322?anych w celach dowodowych wydrukach zrzut\u243?w ekranu z systemu [...], wskazuj\u261?cych na wykonywanie test\u243?w dotycz\u261?cych podatno\u347?ci XSS i weryfikacji wprowadzanych danych. Sp\u243?\u322?ka nie przeprowadza\u322?a test\u243?w nastawionych na weryfikacj\u281? zabezpiecze\u324? aplikacji [...] i W. S., dotycz\u261?cych podatno\u347?ci systemu informatycznego, zwi\u261?zanej z naruszeniem danych osobowych. Dzia\u322?ania takie podj\u281?to dopiero po incydencie z [...] grudnia
\par 
\par 2019 r. W dokumentacji prowadzonej przez sp\u243?\u322?k\u281?, opisuj\u261?cej proces przetwarzania danych i zastosowane \u347?rodki organizacyjne i techniczne, pozyskanej w toku czynno\u347?ci kontrolnych (m.in. "Polityce Przetwarzania Danych Osobowych V.", "[...] Procedurze monitorowania kluczowych element\u243?w system\u243?w informatycznych", "[...] Planie na wypadek awarii sieciowego systemu informatycznego") nie uregulowano kwestii dotycz\u261?cych regularnego testowania, mierzenia i oceniania skuteczno\u347?ci \u347?rodk\u243?w technicznych i organizacyjnych maj\u261?cych zapewni\u263? bezpiecze\u324?stwo przetwarzania. Sp\u243?\u322?ka podj\u281?\u322?a dzia\u322?ania naprawcze i usun\u281?\u322?a podatno\u347?\u263? systemu informatycznego przez jego modernizacj\u281?, polegaj\u261?c\u261? na korelacji numeru wniosku
\par 
\par (Id wniosku) z numerem POS (Id POS). Obecnie numer wniosku musi si\u281? zgadza\u263?
\par 
\par z nr POS, w kt\u243?rym wniosek zarejestrowano. Sp\u243?\u322?ka prowadzi\u322?a ograniczenie czasowe dost\u281?pno\u347?ci wygenerowania potwierdzenia rejestracji i warunku, polegaj\u261?cego na tym, \u380?e bez aktywnej sesji utworzonej podczas logowania do [...] nie jest mo\u380?liwe wykonanie czynno\u347?ci wykorzystuj\u261?cej us\u322?ugi przeznaczonej dla [...]. Gdy zaistnieje potrzeba ponownego wygenerowania wniosku, jest to mo\u380?liwe tylko
\par 
\par z poziomu system\u243?w dost\u281?pnych uprawnionym pracownikom sp\u243?\u322?ki.
\par 
\par Prezes UODO pismem z [...] czerwca 2020 r. zawiadomi\u322? sp\u243?\u322?k\u281? V.
\par 
\par o wszcz\u281?ciu z urz\u281?du post\u281?powania administracyjnego w przedmiocie naruszenia przepis\u243?w o ochronie danych osobowych, wobec nie wdro\u380?enia odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych zapewniaj\u261?cych stopie\u324? bezpiecze\u324?stwa odpowiadaj\u261?cy ryzyku.
\par 
\par Sp\u243?\u322?ka V. skierowa\u322?a do organu [...] lipca 2020 r. oraz [...] sierpnia 2020 r. wyja\u347?nienia, w kt\u243?rych wskaza\u322?a m.in. na istotne elementy stanu faktycznego sprawy, w tym prawid\u322?owy zakres przetwarzanych danych osobowych i szereg \u347?rodk\u243?w organizacyjnych i technicznych wdro\u380?onych przez V. oraz nast\u281?pczych dzia\u322?a\u324? naprawczych podj\u281?tych wobec wykrytego naruszenia, a tak\u380?e przed\u322?o\u380?y\u322?a kopie certyfikat\u243?w [...] z [...] lipca 2020 r. \u8211? ISO/IEC 27001:2013 oraz ISO/IEC 27701:2019.
\par 
\par Nast\u281?pnie pismem z [...] pa\u378?dziernika 2020 r., uzupe\u322?nionym pismem
\par 
\par z [...] pa\u378?dziernika 2020 r., sp\u243?\u322?ka przedstawi\u322?a dalsze wyja\u347?nienia dotycz\u261?ce m.in. szczeg\u243?\u322?owych aspekt\u243?w zwi\u261?zanych z uzyskanymi certyfikatami ISO, w tym wskaza\u322?a, \u380?e zgodnie z wymogami utrzymania certyfikat\u243?w zgodno\u347?ci z wdro\u380?onymi normami V. dokumentowa\u322?a dokonanie mierzenia skuteczno\u347?ci \u347?rodk\u243?w technicznych i organizacyjnych maj\u261?cych zapewni\u263? bezpiecze\u324?stwo przetwarzania.
\par 
\par W pismach tych wyja\u347?ni\u322?a r\u243?wnie\u380?, \u380?e rozpocz\u281?\u322?a proces wdra\u380?ania obu norm ISO jeszcze przed wykryciem naruszenia ochrony danych osobowych - w listopadzie
\par 
\par 2019 r. W\u347?r\u243?d za\u322?\u261?czonych do tych pism dokument\u243?w znajduje si\u281? m.in. raport
\par 
\par z wewn\u281?trznego audytu z lutego 2020 r. - Audyt stanu przetwarzania danych osobowych w V. sp. z o. o. po wdro\u380?eniu wymog\u243?w RODO,
\par 
\par a tak\u380?e raporty z zewn\u281?trznych audyt\u243?w certyfikacyjnych przeprowadzonych
\par 
\par w kwietniu i maju 2020 r.
\par 
\par W tym stanie rzeczy Prezes UODO decyzj\u261? z [...] grudnia 2020 r.
\par 
\par nr [...], stwierdzaj\u261?c naruszenie przez sp\u243?\u322?k\u281?: art. 5 ust. 1 lit. f, art. 5
\par 
\par ust. 2, art. 25 ust. 1, art. 32 ust. 1 lit. b i d i ust. 2 RODO \u8211? polegaj\u261?ce na niewdro\u380?eniu przez sp\u243?\u322?k\u281? odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych zapewniaj\u261?cych stopie\u324? bezpiecze\u324?stwa odpowiadaj\u261?cy ryzyku przetwarzania danych za pomoc\u261? system\u243?w informatycznych s\u322?u\u380?\u261?cych do rejestracji danych osobowych abonent\u243?w us\u322?ug przedp\u322?aconych, co doprowadzi\u322?o do uzyskania przez osob\u281? nieuprawnion\u261? dost\u281?pu do tych danych \u8211? na\u322?o\u380?y\u322? na sp\u243?\u322?k\u281? administracyjn\u261? kar\u281? pieni\u281?\u380?n\u261?
\par 
\par w wysoko\u347?ci 1.968.524 z\u322?otych.
\par 
\par Sp\u243?\u322?ka V. z\u322?o\u380?y\u322?a do Wojew\u243?dzkiego S\u261?du Administracyjnego w Warszawie skarg\u281? na powy\u380?sz\u261? decyzj\u281? Prezesa UODO, zarzucaj\u261?c naruszenie szeregu przepis\u243?w prawa materialnego oraz procesowego.
\par 
\par S\u261?d wyrokiem z dnia 21 pa\u378?dziernika 2021 r., sygn. akt II SA/Wa 272/21, uchyli\u322? zaskar\u380?on\u261? decyzj\u281?. S\u261?d uzna\u322?, \u380?e decyzja Prezesa UODO narusza\u322?a przepisy prawa procesowego w zakresie sporz\u261?dzenia uzasadnienia, rozwa\u380?enia i oceny okoliczno\u347?ci faktycznych sprawy, jak r\u243?wnie\u380? przepisy prawa materialnego w zakresie wyja\u347?nienia z jakich powod\u243?w na\u322?o\u380?ono kar\u281? pieni\u281?\u380?n\u261?, w wysoko\u347?ci okre\u347?lonej w decyzji z [...] grudnia 2020 r.
\par 
\par Zdaniem S\u261?du przy wymiarze kary Prezes UODO powinien wzi\u261?\u263? pod uwag\u281? okoliczno\u347?\u263?, \u380?e sp\u243?\u322?ka V. podejmowa\u322?a dzia\u322?ania zmierzaj\u261?ce do wyeliminowania nieprawid\u322?owo\u347?ci, kt\u243?re mia\u322?y miejsce w chwili incydentu, oraz rozwa\u380?y\u263?, w jakim zakresie podejmowane przez ni\u261? dzia\u322?ania wp\u322?yn\u281?\u322?y na prawid\u322?owo\u347?\u263? stosowania przepis\u243?w RODO.
\par 
\par S\u261?d za niezasadny uzna\u322? zarzut skargi naruszenia art. 7 Kpa., wskazuj\u261?c, \u380?e Prezes UODO wype\u322?ni\u322? przes\u322?anki do nale\u380?ytego ustalenia stanu faktycznego sprawy, wykaza\u322? na podstawie zgromadzonych dowod\u243?w, \u380?e w okresie od 18 do 22 grudnia 2019 r. sp\u243?\u322?ka V. przetwarza\u322?a dane osobowe swoich klient\u243?w w spos\u243?b niezapewniaj\u261?cy odpowiedniego stopnia bezpiecze\u324?stwa danych osobowych.
\par 
\par W ocenie S\u261?du racj\u281? mia\u322? r\u243?wnie\u380? Prezes UODO, \u380?e brak ww. uregulowa\u324? przyczyni\u322? si\u281? do wyst\u261?pienia naruszenia ochrony danych osobowych oraz za trafne uzna\u322? przyj\u281?cie przez organ, \u380?e sp\u243?\u322?ka nie przeprowadza\u322?a test\u243?w nastawionych
\par 
\par na weryfikacj\u281? zabezpiecze\u324? aplikacji [...] oraz W. systemu S., dotycz\u261?cych podatno\u347?ci systemu informatycznego.
\par 
\par Nie wzbudzi\u322?o tak\u380?e zastrze\u380?e\u324? S\u261?du stanowisko Prezesa UODO, \u380?e do wykrycia wykorzystanej podatno\u347?ci systemu, kt\u243?ra doprowadzi\u322?a do naruszenia ochrony danych osobowych, wystarczy\u322?oby zweryfikowanie podstawowej zasady dzia\u322?ania systemu, tj. walidacji numeru POS z numerem wniosku. Wed\u322?ug S\u261?du wdro\u380?enie systemu bez poprawnie dzia\u322?aj\u261?cej walidacji \u347?wiadczy o ra\u380?\u261?cym zaniedbaniu podstawowych obowi\u261?zk\u243?w administratora danych osobowych,
\par 
\par w kontek\u347?cie art. 32 RODO.
\par 
\par W zwi\u261?zku z powy\u380?szym Prezes UODO dokona\u322? ponownej analizy materia\u322?u dowodowego zgromadzonego w niniejszej sprawie i wyda\u322? wskazan\u261? na wst\u281?pie decyzj\u281?, w uzasadnieniu kt\u243?rej przywo\u322?a\u322? maj\u261?ce zastosowanie w sprawie przepisy RODO.
\par 
\par Organ wyja\u347?ni\u322?, \u380?e przyj\u281?ty przez sp\u243?\u322?k\u281? V. \u347?rodek bezpiecze\u324?stwa maj\u261?cy zapewni\u263? odporno\u347?\u263? system\u243?w informatycznych polegaj\u261?cy na weryfikacji tylko wed\u322?ug numeru id wniosku, zamiast tak\u380?e id POS, wskutek czego dosz\u322?o
\par 
\par do naruszenia poufno\u347?ci danych, nie mo\u380?e by\u263? uznany za \u347?rodek bezpiecze\u324?stwa,
\par 
\par o kt\u243?rym mowa w przepisach RODO. Do naruszenia ochrony danych osobowych abonent\u243?w us\u322?ug przedp\u322?aconych dosz\u322?o bowiem w wyniku wykorzystania podatno\u347?ci systemu informatycznego (us\u322?ugi generuj\u261?cej potwierdzenia rejestracji) umo\u380?liwiaj\u261?cej nieuprawniony dost\u281?p do danych. Stwierdzona podatno\u347?\u263? us\u322?ugi generuj\u261?cej potwierdzenia rejestracji polega\u322?a w\u322?a\u347?nie na braku weryfikacji wszystkich wymaganych parametr\u243?w, tj. id wniosku rejestracyjnego oraz id POS. Z za\u322?o\u380?e\u324? systemu poprawna weryfikacja mia\u322?a polega\u263? na wygenerowaniu potwierdzenia rejestracji jedynie wtedy, gdy id wniosku zgadza\u322?y si\u281? z id POS. System S. nie weryfikowa\u322? jednak id POS ani tego, czy dany wniosek pochodzi z tego POS.
\par 
\par W odpowiedzi na zawiadomienie o wszcz\u281?ciu post\u281?powania administracyjnego sp\u243?\u322?ka wskaza\u322?a, \u380?e przed wyst\u261?pieniem naruszenia przyj\u281?\u322?a \u347?rodki ochrony danych w postaci procedur okre\u347?laj\u261?cych metodyk\u281? analizy ryzyka, procedury klasyfikacji poziom\u243?w bezpiecze\u324?stwa informacji, polityki bezpiecze\u324?stwa informacji, procedury zarz\u261?dzenia systemem informatycznym wraz z za\u322?\u261?cznikami: [...] Procedura zarz\u261?dzania kopiami zapasowymi, [...] Procedura zarz\u261?dzania kontami u\u380?ytkownik\u243?w, [...] Polityka hase\u322? do system\u243?w informatycznych, [...] Procedura przegl\u261?du stacji roboczych, [...] Procedura zarz\u261?dzania zmianami w systemach informatycznych, [...] Procedura monitorowania kluczowych element\u243?w system\u243?w informatycznych oraz procedura zatrudniania, zmiany i zako\u324?czenia zatrudnienia oraz nadawania, zmiany i odbierania uprawnie\u324?, a tak\u380?e elementy Planu ci\u261?g\u322?o\u347?ci dzia\u322?ania: [...] Plan na wypadek naruszenia ochrony danych osobowych, [...] Plan na wypadek awarii sieciowego systemu informatycznego, [...] Plan na wypadek awarii krytycznej stacji roboczych.
\par 
\par W ocenie Prezesa UODO przyj\u281?te przez sp\u243?\u322?k\u281? V. \u347?rodki mog\u322?yby by\u263? skuteczne, gdyby w ramach wdro\u380?onych procedur zawiera\u322?y r\u243?wnie\u380? uregulowania dotycz\u261?ce regularnego testowania, mierzenia i oceniania skuteczno\u347?ci \u347?rodk\u243?w technicznych i organizacyjnych maj\u261?cych zapewni\u263? bezpiecze\u324?stwo przetwarzania
\par 
\par i kt\u243?re by\u322?yby przez sp\u243?\u322?k\u281? przestrzegane. Tymczasem, w prowadzonej przez sp\u243?\u322?k\u281? V. ww. dokumentacji opisuj\u261?cej proces przetwarzania danych oraz zastosowane \u347?rodki organizacyjne i techniczne, pozyskanej w toku dokonywania czynno\u347?ci kontrolnych, kwestie te nie zosta\u322?y uregulowane.
\par 
\par Zdaniem Prezesa UODO brak w przyj\u281?tych przez sp\u243?\u322?k\u281? V. procedurach uregulowa\u324? zapewniaj\u261?cych regularne testowanie, mierzenie i ocenianie skuteczno\u347?ci zastosowanych \u347?rodk\u243?w technicznych i organizacyjnych maj\u261?cych zapewni\u263? bezpiecze\u324?stwo przetwarzania danych, przyczyni\u322? si\u281? do wyst\u261?pienia naruszenia danych osobowych. Jednocze\u347?nie, z zebranego w toku kontroli materia\u322?u dowodowego wynika, \u380?e regularne testowanie, mierzenie i ocenianie skuteczno\u347?ci \u347?rodk\u243?w technicznych i organizacyjnych maj\u261?cych zapewni\u263? bezpiecze\u324?stwo przetwarzania nie by\u322?o w sp\u243?\u322?ce przeprowadzane. W sytuacjach, gdy pojawia\u322?o si\u281? podejrzenie zaistnienia podatno\u347?ci by\u322?y prowadzone wy\u322?\u261?cznie prace maj\u261?ce na celu zabezpieczenie przed dan\u261? podatno\u347?ci\u261? (wydruki z systemu [...] potwierdzaj\u261?ce podj\u281?te dzia\u322?ania zaradcze dotycz\u261?ce potwierdzonych podejrze\u324? o podatno\u347?ci systemu). Powy\u380?sze znajduje r\u243?wnie\u380? potwierdzenie m.in. w wyja\u347?nieniach z\u322?o\u380?onych przez kontrolowany podmiot w pi\u347?mie z [...] marca 2020 r. oraz w przes\u322?anych w celach dowodowych wydrukach zrzut\u243?w ekran\u243?w z systemu [...] wskazuj\u261?cych na wykonywanie test\u243?w dotycz\u261?cych podatno\u347?ci XSS oraz weryfikacji wprowadzanych danych. Nie by\u322?y natomiast przeprowadzane testy nastawione na weryfikacj\u281? zabezpiecze\u324? aplikacji [...] oraz W. systemu S. dotycz\u261?cych podatno\u347?ci systemu informatycznego zwi\u261?zanej z zaistnia\u322?ym naruszeniem danych osobowych. Dzia\u322?ania takie podj\u281?te zosta\u322?y dopiero po zaistnieniu naruszenia [...] grudnia 2019 r. \u346?rodki techniczne i organizacyjne stosowane w sp\u243?\u322?ce od [...] maja 2018 r. (dzie\u324? rozpocz\u281?cia stosowania RODO) do czasu wyst\u261?pienia naruszenia by\u322?y poddawane przegl\u261?dom oraz uaktualniane jedynie w sytuacji wyst\u261?pienia zmian organizacyjnych lub prawnych (kopia wiadomo\u347?ci e-mail informuj\u261?ca o konieczno\u347?ci dokonania przegl\u261?du stosowanego monitoringu wraz z ankiet\u261?).
\par 
\par Organ wspomnia\u322?, \u380?e pierwotnie tw\u243?rc\u261? systemu S. by\u322?a T. Sp. z o.o. s.k.a., kt\u243?ra zajmowa\u322?a si\u281? r\u243?wnie\u380? utrzymaniem systemu S., a tak\u380?e utrzymaniem web-serwisu umo\u380?liwiaj\u261?cego wymian\u281? informacji pomi\u281?dzy aplikacj\u261? [...] (opracowan\u261? przez W. s.c.i funkcjonuj\u261?c\u261? od [...] wrze\u347?nia 2014 r.) a systemem centralnym S. w okresie od [...] kwietnia 2014 r. do [...] czerwca 2017 r. Funkcje te nast\u281?pnie przej\u281?\u322?a A. S.A. i wykonuje je do chwili obecnej. Zmiana operatora, w ocenie Prezes UODO, powinna zainicjowa\u263? dokonanie kompleksowej oceny skuteczno\u347?ci wdro\u380?onych rozwi\u261?za\u324? technicznych i organizacyjnych maj\u261?cych zapewni\u263? bezpiecze\u324?stwo przetwarzanych danych w systemach informatycznych sp\u243?\u322?ki V. Zebrany w toku materia\u322? dowodowy nie dostarczy\u322? informacji, aby w sytuacji zmiany podmiotu zajmuj\u261?cego si\u281? utrzymaniem systemu, jak i serwisu, taka ocena zosta\u322?a przeprowadzona.
\par 
\par Prezes UODO nie zgodzi\u322? si\u281? ze stanowiskiem sp\u243?\u322?ki zawartym w wyja\u347?nieniach z [...] stycznia 2020 r., stwierdzaj\u261?c, \u380?e do wykrycia wykorzystanej podatno\u347?ci wystarczy\u322?oby zweryfikowanie podstawowej zasady dzia\u322?ania systemu S,
\par 
\par tj. sprawdzenie, czy nast\u281?puje walidacja numeru POS z numerem wniosku, natomiast brak podj\u281?cia tego dzia\u322?ania \u347?wiadczy o nieskutecznym b\u261?d\u378? niew\u322?a\u347?ciwym przeprowadzaniu wskazanych przez sp\u243?\u322?k\u281? V. przegl\u261?d\u243?w. Organ wskaza\u322?, \u380?e sprawdzenie poprawno\u347?ci walidacji dw\u243?ch ww. danych nie wymaga \u380?adnej wiedzy specjalistycznej b\u261?d\u378? du\u380?ych nak\u322?ad\u243?w finansowych, a jedynie dost\u281?pu do systemu. Ponadto podkre\u347?li\u322?, \u380?e zidentyfikowana w wyniku naruszenia ochrony danych osobowych podatno\u347?\u263? jest zwi\u261?zana z zastosowanymi \u347?rodkami technicznymi s\u322?u\u380?\u261?cymi do identyfikacji u\u380?ytkownik\u243?w, a co za tym idzie ich uprawnie\u324? w systemie. Jak wskaza\u322?a sp\u243?\u322?ka V. w zg\u322?oszeniu naruszenia ochrony danych osobowych z [...] grudnia 2019 r., "naruszenie polega\u322?o na wykorzystaniu endpointu API s\u322?u\u380?\u261?cego do generowania wydruku potwierdzenia rejestracji w stacjonarnych punktach partnerskich (POS). Endpoint ze wzgl\u281?du na sw\u243?j cel jest dost\u281?pny z sieci zewn\u281?trznej, ze wzgl\u281?du na b\u322?\u261?d w konstrukcji pozwala\u322? na odpytanie o potwierdzenie danych rejestracyjnych przy wykorzystaniu jedynie id wniosku rejestracyjnego. Argument identyfikuj\u261?cy punkt partnerski \u8211? [...], kt\u243?ry powinien by\u263? walidowany tak, by jedynie znaj\u261?c par\u281? id punktu + id wniosku da\u322?o si\u281? pobra\u263? potwierdzenie, nie by\u322? w rzeczywisto\u347?ci brany pod uwag\u281?. W zwi\u261?zku z tym wywo\u322?anie http GET https[...] [...] pdf by\u322?o mo\u380?liwe przy podaniu dowolnego posld. Atakuj\u261?cy u\u380?ywa\u322? posld = 1 i kolejnych re\u261?uestld generowanych w p\u281?tli". Sprawdzenie poprawno\u347?ci dzia\u322?ania za\u322?o\u380?onej walidacji numeru POS z numerem wniosku jest tak oczywiste i podstawowe, i\u380? jedynym s\u322?usznym wnioskiem, kt\u243?ry mo\u380?na wysnu\u263?, jest stwierdzenie, i\u380? wdro\u380?enie systemu s\u322?u\u380?\u261?cego do przetwarzania danych osobowych do u\u380?ytku bez poprawnie dzia\u322?aj\u261?cej ww. walidacji \u347?wiadczy o ra\u380?\u261?cym zaniedbaniu podstawowych obowi\u261?zk\u243?w administratora danych osobowych, w kontek\u347?cie art. 32 RODO.
\par 
\par W ocenie organu dokonywanie test\u243?w wy\u322?\u261?cznie w sytuacji pojawiaj\u261?cego si\u281? zagro\u380?enia, bez wprowadzenia procedury, kt\u243?ra by okre\u347?la\u322?a harmonogram dzia\u322?a\u324? zapewniaj\u261?cych regularne testowanie, mierzenie i ocenianie skuteczno\u347?ci wdro\u380?onych \u347?rodk\u243?w jest niewystarczaj\u261?ce. Sp\u243?\u322?ka, jak wynika ze zgromadzonego materia\u322?u, mimo przyj\u281?tych rozwi\u261?za\u324? nie by\u322?a w stanie wykry\u263? podatno\u347?ci ze wzgl\u281?du na brak regularnych test\u243?w wdro\u380?onego przez ni\u261? systemu S., kt\u243?ry z za\u322?o\u380?enia, jak wynika z wyja\u347?nie\u324? sp\u243?\u322?ki pozyskanych w toku kontroli, mia\u322? weryfikowa\u263? id POS
\par 
\par i zgodno\u347?\u263? id wniosku o rejestracj\u281? z id POS rejestruj\u261?cego wniosek.
\par 
\par Zdaniem organu nie mo\u380?na te\u380? uzna\u263?, \u380?e dzia\u322?ania, jak wskaza\u322?a sp\u243?\u322?ka, polegaj\u261?ce na poddawaniu \u347?rodk\u243?w technicznych i organizacyjnych przegl\u261?dom oraz uaktualnieniom w przypadku pojawienia si\u281? zmian organizacyjnych lub prawnych, stanowi\u261? o wype\u322?nieniu obowi\u261?zku administratora w zakresie zapewnienia regularnego testowania, mierzenia i testowania skuteczno\u347?ci \u347?rodk\u243?w technicznych
\par 
\par i organizacyjnych. Dzia\u322?ania takie nie wyczerpuj\u261? bowiem wymogu regularno\u347?ci. Testy powinny by\u263? wykonywane niezale\u380?nie, czy takie zmiany w dzia\u322?alno\u347?ci zachodz\u261? czy te\u380? nie. Zmiany, do kt\u243?rych odwo\u322?uje si\u281? sp\u243?\u322?ka, powinny by\u263? natomiast czynnikiem powoduj\u261?cym konieczno\u347?\u263? przeprowadzenia ponownej analizy ryzyka i ich wp\u322?ywu na bezpiecze\u324?stwo przetwarzanych danych, kt\u243?rej wynik nale\u380?y uwzgl\u281?dni\u263? przy stosowaniu \u347?rodka bezpiecze\u324?stwa, jakim jest regularne testowanie.
\par 
\par Analiza ryzyka przeprowadzana przez administratora danych osobowych powinna zosta\u263? udokumentowana oraz uzasadniona na podstawie przede wszystkim okre\u347?lenia stanu faktycznego, istniej\u261?cego w momencie jej przeprowadzania. Nale\u380?y wzi\u261?\u263? pod uwag\u281? w szczeg\u243?lno\u347?ci charakterystyk\u281? zachodz\u261?cych proces\u243?w, aktywa, podatno\u347?ci, zagro\u380?enia oraz istniej\u261?ce zabezpieczenia, w ramach zachodz\u261?cych proces\u243?w przetwarzania danych osobowych.
\par 
\par Okre\u347?lenie aktywa u\u380?ywane jest dla wskazania wszystkiego, co stanowi warto\u347?\u263? dla organizacji, firmy \u8211? administratora danych. Pewne aktywa stanowi\u263? b\u281?d\u261? warto\u347?\u263? wy\u380?sz\u261? od innych, i r\u243?wnie\u380? z tej perspektywy winny by\u263? oceniane i zabezpieczane. Bardzo istotne s\u261? r\u243?wnie\u380? wzajemne powi\u261?zania wyst\u281?puj\u261?cych aktyw\u243?w,
\par 
\par np. poufno\u347?\u263? aktyw\u243?w (danych osobowych) zale\u380?na b\u281?dzie od rodzaju i sposobu przetwarzania tych danych. Ustalenie warto\u347?ci aktyw\u243?w jest konieczne
\par 
\par do oszacowania skutk\u243?w ewentualnego incydentu (naruszenia ochrony danych osobowych).
\par 
\par Podatno\u347?\u263? jest okre\u347?lana powszechnie jako s\u322?abo\u347?\u263? b\u261?d\u378? luka
\par 
\par w zabezpieczeniach, kt\u243?ra wykorzystana przez dane zagro\u380?enie mo\u380?e zak\u322?\u243?ca\u263? funkcjonowanie, a tak\u380?e mo\u380?e prowadzi\u263? do incydent\u243?w b\u261?d\u378? narusze\u324? ochrony danych osobowych. Identyfikowanie zagro\u380?e\u324? polega na okre\u347?laniu, jakie zagro\u380?enia i z jakiego kierunku (powodu) mog\u261? si\u281? pojawi\u263?. Metod\u261? przeprowadzenia analizy ryzyka jest np. zdefiniowanie poziomu ryzyka jako iloczynu prawdopodobie\u324?stwa
\par 
\par i skutk\u243?w wyst\u261?pienia danego incydentu. Zazwyczaj wykorzystuje si\u281? macierz ryzyka, kt\u243?ra pozwala zobrazowa\u263? poziomy ryzyka w spos\u243?b wizualny, przedstawiaj\u261?c poziomy ryzyka, dla kt\u243?rych organizacja definiuje odpowiednie dzia\u322?ania.
\par 
\par W ocenie Prezesa UODO przedstawiona w toku kontroli analiza ryzyka, przeprowadzona w maju 2018 r., nie odzwierciedla w pe\u322?ni stanu faktycznego procesu "Rejestracja danych w POS", b\u281?d\u261?cego przedmiotem kontroli, w zwi\u261?zku
\par 
\par z wyst\u261?pieniem naruszenia danych osobowych, zg\u322?oszonego [...] grudnia 2019 r. Jak wynika z materia\u322?u zebranego w toku kontroli, przegl\u261?d \u347?rodk\u243?w technicznych
\par 
\par i organizacyjnych zosta\u322? przeprowadzony przez sp\u243?\u322?k\u281? jedynie przed rozpocz\u281?ciem stosowania RODO. Nie spos\u243?b jednak uzna\u263? go za realny i faktyczny, nie doprowadzi\u322? bowiem do ujawnienia podatno\u347?ci w funkcjonowaniu systemu.
\par 
\par Organ podkre\u347?li\u322?, \u380?e badanie prawdopodobie\u324?stwa wyst\u261?pienia danego zdarzenia nie powinno opiera\u263? si\u281? wy\u322?\u261?cznie na podstawie cz\u281?stotliwo\u347?ci wyst\u281?powania zdarze\u324? w danej organizacji, albowiem fakt nie wyst\u261?pienia danego zdarzenia w przesz\u322?o\u347?ci wcale nie oznacza, \u380?e nie mo\u380?e ono zaistnie\u263? w przysz\u322?o\u347?ci.
\par 
\par Wskazane w przedstawionej analizie ryzyka zagro\u380?enie w postaci "nieuprawniony dost\u281?p os\u243?b trzecich lub nieuprawnione ujawnienie danych osobom trzecim" nie powinno zosta\u263? okre\u347?lone przez sp\u243?\u322?k\u281? V. na poziomie "Nie dotyczy", poniewa\u380? zdarzenie to mo\u380?e zaistnie\u263? w ka\u380?dej organizacji, z powodu wielu r\u243?\u380?nych przyczyn, natomiast odpowied\u378? "Nie dotyczy" by\u322?aby zasadna w sytuacji, gdyby sp\u243?\u322?ka nie przetwarza\u322?a w tym procesie danych osobowych. Natomiast, jak wynika z materia\u322?u dowodowego ustalonego w toku kontroli oraz post\u281?powania administracyjnego, w\u322?a\u347?nie to zagro\u380?enie zmaterializowa\u322?o si\u281?, poprzez wykorzystanie niezidentyfikowanej przez administratora podatno\u347?ci istniej\u261?cej w procesie przetwarzania danych osobowych "Rejestracja danych w POS" w zwi\u261?zku
\par 
\par z zaistnia\u322?ym naruszeniem danych osobowych abonent\u243?w us\u322?ug przedp\u322?aconych.
\par 
\par Zdaniem organu przyj\u281?cie warto\u347?ci "\u346?rednie/rzadka" oraz ocena na poziomie "2" dla zagro\u380?enia "brak badania podatno\u347?ci system\u243?w informatycznych" r\u243?wnie\u380? \u347?wiadczy o powierzchownym podej\u347?ciu do ryzyka naruszenia praw lub wolno\u347?ci os\u243?b fizycznych przez sp\u243?\u322?k\u281?. Przyj\u281?ta ocena powinna odzwierciedla\u263? realn\u261? sytuacj\u281? panuj\u261?c\u261? w danej organizacji i opiera\u263? si\u281? przede wszystkim na faktach, stwierdzonych podczas badania tej sytuacji, przeprowadzonego w formie audytu, sprawdzenia b\u261?d\u378? na podstawie stwierdzonego stanu faktycznego. Jak natomiast wynika z zebranego podczas przeprowadzonej kontroli materia\u322?u dowodowego, w roku 2019 nie by\u322?
\par 
\par w sp\u243?\u322?ce V. przeprowadzony przegl\u261?d stosowanych \u347?rodk\u243?w technicznych
\par 
\par i organizacyjnych, co samo w sobie dyskwalifikuje dokonan\u261? ocen\u281? na tym poziomie, za\u347? incydentalnie podejmowane dzia\u322?ania nie wyczerpuj\u261? znamion regularno\u347?ci.
\par 
\par Przeprowadzona analiza ryzyka mia\u322?a na celu jedynie wykazanie, \u380?e nie wyst\u281?puje wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, a co za tym idzie, \u380?e nie jest konieczne wdra\u380?anie dodatkowych \u347?rodk\u243?w technicznych
\par 
\par i organizacyjnych. Takie podej\u347?cie spowodowa\u322?o, w opinii organu, brak prawid\u322?owej oceny zagro\u380?e\u324? dla procesu przetwarzania danych osobowych abonent\u243?w us\u322?ug przedp\u322?aconych (proces o nazwie "Rejestracja danych w POS") i w konsekwencji niew\u322?a\u347?ciwe ich zabezpieczenie, czego efektem by\u322?o naruszenie danych osobowych.
\par 
\par Brak rzetelnie przeprowadzonej analizy ryzyka, w po\u322?\u261?czeniu z brakiem regularnego testowania, mierzenia i oceniania skuteczno\u347?ci wdro\u380?onych \u347?rodk\u243?w technicznych i organizacyjnych maj\u261?cych zapewni\u263? bezpiecze\u324?stwo przetwarzania, doprowadzi\u322? do naruszenia danych osobowych, ale i przes\u261?dza o naruszeniu przez sp\u243?\u322?k\u281? obowi\u261?zk\u243?w spoczywaj\u261?cych na administratorze danych, wynikaj\u261?cych
\par 
\par z art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b i d oraz art. 32 ust. 2 RODO.
\par 
\par Odnosz\u261?c si\u281? natomiast do przed\u322?o\u380?onych kopii uzyskanych [...] lipca 2020 r. certyfikat\u243?w: ISO/IEC 27001:2013 oraz ISO/IEC 27701:2019 organ wskaza\u322?,
\par 
\par \u380?e sp\u243?\u322?ka w toku post\u281?powania usun\u281?\u322?a uchybienie w postaci braku procedur zapewniaj\u261?cych regularne testowanie, mierzenie i ocenianie skuteczno\u347?ci przyj\u281?tych \u347?rodk\u243?w w prowadzonej dokumentacji opisuj\u261?cej proces przetwarzania danych oraz zastosowane \u347?rodki organizacyjne i techniczne. Sp\u243?\u322?ka wdro\u380?y\u322?a rozwi\u261?zania zapewniaj\u261?ce regularne testowanie, mierzenie i ocenianie skuteczno\u347?ci przyj\u281?tych \u347?rodk\u243?w zapewniaj\u261?cych bezpiecze\u324?stwo przetwarzania danych. Wdro\u380?enie tych rozwi\u261?za\u324? nast\u261?pi\u322?o jednak dopiero [...] lipca 2020 r., a wi\u281?c po up\u322?ywie znacznego czasu od wyst\u261?pienia naruszenia danych osobowych abonent\u243?w us\u322?ug przedp\u322?aconych.
\par 
\par Jak wyja\u347?ni\u322? organ, sp\u243?\u322?ka w wyja\u347?nieniach podnios\u322?a, \u380?e na tym etapie post\u281?powania nie zosta\u322?o wykazane kim by\u322? atakuj\u261?cy. Spos\u243?b wykorzystania podatno\u347?ci wskazywa\u322?, \u380?e atakuj\u261?cy mia\u322? wcze\u347?niej dost\u281?p do systemu i wiedzia\u322?, jak skonstruowa\u263? odpowiednie zapytanie. Obecnie sp\u243?\u322?ka nie wie, czy i jakimi uprawnieniami m\u243?g\u322? dysponowa\u263? atakuj\u261?cy oraz jakiego okresu mog\u322?o owo uprawnienie dotyczy\u263?. W ocenie sp\u243?\u322?ki wykazanie, czy dosz\u322?o do udost\u281?pnienia danych osobie nieuprawnionej le\u380?y po stronie Prezesa UODO.
\par 
\par Zdaniem organu Prezes UODO nie ma w swoich kompetencjach uprawnie\u324?
\par 
\par do prowadzenia post\u281?powania zmierzaj\u261?cego do wykrycia sprawcy czynu zabronionego i oceny, czy dosz\u322?o do jego pope\u322?nienia, te przys\u322?uguj\u261? bowiem organom \u347?cigania, gdy\u380? to one s\u261? uprawnione do prowadzenia takiego post\u281?powania i oceny, czy dosz\u322?o do pope\u322?nienia czynu zabronionego oraz do kwalifikacji czynu zabronionego. Do kompetencji Prezesa UODO nale\u380?y natomiast ocena, czy administrator danych przetwarza dane zgodnie z wymogami wynikaj\u261?cymi z przepis\u243?w o ochronie danych osobowych oraz odpowiedzialno\u347?ci administratora danych za przetwarzanie danych w spos\u243?b naruszaj\u261?cy te przepisy. Twierdzenie sp\u243?\u322?ki, \u380?e nie wie, czy i jakimi uprawnieniami m\u243?g\u322? dysponowa\u263? atakuj\u261?cy oraz jakiego okresu mog\u322?o owo uprawnienie dotyczy\u263?, potwierdza, i\u380? wdro\u380?one przez ni\u261? \u347?rodki techniczne i organizacyjne maj\u261?ce zapewni\u263? bezpiecze\u324?stwo danych by\u322?y niewystarczaj\u261?ce. Brak wiedzy na temat tych informacji stanowi r\u243?wnie\u380? dow\u243?d na to, \u380?e sp\u243?\u322?ka nie panowa\u322?a nad procesem przetwarzania danych, co stanowi o naruszeniu zasady rozliczalno\u347?ci.
\par 
\par Podsumowuj\u261?c organ stwierdzi\u322?, pomimo usuni\u281?cia przez sp\u243?\u322?k\u281? uchybie\u324?
\par 
\par w zakresie zapewnienia bezpiecze\u324?stwa przetwarzanych danych, w tym podatno\u347?ci system\u243?w informatycznych s\u322?u\u380?\u261?cych do przetwarzania danych osobowych abonent\u243?w us\u322?ug przedp\u322?aconych, b\u281?d\u261?cej przyczyn\u261? naruszenia poufno\u347?ci danych osobowych, zaistnia\u322?y przes\u322?anki uzasadniaj\u261?ce zastosowanie wobec sp\u243?\u322?ki przys\u322?uguj\u261?cych Prezesowi UODO uprawnie\u324? do na\u322?o\u380?enia administracyjnej kary pieni\u281?\u380?nej za naruszenie zasady poufno\u347?ci danych (art. 5 ust. 1 lit. f RODO),
\par 
\par a w konsekwencji zasady rozliczalno\u347?ci (art. 5 ust. 2 RODO) w zwi\u261?zku z naruszeniem obowi\u261?zk\u243?w administratora przy wdra\u380?aniu \u347?rodk\u243?w technicznych i organizacyjnych w trakcie przetwarzania danych, w celu skutecznej realizacji zasad ochrony danych (art. 25 ust. 1 RODO); obowi\u261?zk\u243?w w zakresie zapewnienia poufno\u347?ci, integralno\u347?ci, dost\u281?pno\u347?ci i odporno\u347?ci system\u243?w i us\u322?ug przetwarzania danych (art. 32 ust. 1 lit. b RODO); obowi\u261?zku regularnego testowania, mierzenia i oceniania skuteczno\u347?ci przyj\u281?tych \u347?rodk\u243?w technicznych i organizacyjnych maj\u261?cych zapewni\u263? bezpiecze\u324?stwo przetwarzania (art. 32 ust. 1 lit. d RODO) oraz obowi\u261?zku uwzgl\u281?dnienia ryzyka wi\u261?\u380?\u261?cego si\u281? z przetwarzaniem, wynikaj\u261?cego
\par 
\par z nieuprawnionego dost\u281?pu do przetwarzanych danych osobowych (art. 32 ust. 2 RODO).
\par 
\par Decyduj\u261?c o na\u322?o\u380?eniu na Sp\u243?\u322?k\u281? [...], nast\u281?pc\u281? prawnego sp\u243?\u322?ki V., administracyjnej kary pieni\u281?\u380?nej, a tak\u380?e okre\u347?laj\u261?c jej wysoko\u347?\u263?, Prezes UODO \u8211? stosownie do tre\u347?ci art. 83 ust. 2 lit. a - k RODO \u8211? wzi\u261?\u322? pod uwag\u281? i uzna\u322?
\par 
\par za obci\u261?\u380?aj\u261?ce nast\u281?puj\u261?ce okoliczno\u347?ci sprawy maj\u261?ce wp\u322?yw na wymiar na\u322?o\u380?onej kary.
\par 
\par Charakter, waga i czas trwania naruszenia przy uwzgl\u281?dnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych os\u243?b, kt\u243?rych dane dotycz\u261?, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a RODO) \u8211? stwierdzone w niniejszej sprawie naruszenie przepis\u243?w RODO, kt\u243?rego skutkiem by\u322?o uzyskanie nieuprawnionego dost\u281?pu do przetwarzanych przez sp\u243?\u322?k\u281? V. danych przez osob\u281? b\u261?d\u378? osoby nieuprawnione, a w konsekwencji naruszenie poufno\u347?ci danych ponad 100 tys. abonent\u243?w us\u322?ug przedp\u322?aconych sp\u243?\u322?ki, ma znaczn\u261? wag\u281?
\par 
\par i powa\u380?ny charakter, stwarza bowiem wysokie ryzyko wyst\u261?pienia szk\u243?d maj\u261?tkowych lub niemaj\u261?tkowych dla osoby, kt\u243?rej dane zosta\u322?y naruszone. Samo naruszenie poufno\u347?ci danych ju\u380? stanowi dla tych os\u243?b szkod\u281? niemaj\u261?tkow\u261? (krzywd\u281?). Abonenci, kt\u243?rych imi\u281? i nazwisko, numer PESEL czy numer dokumentu to\u380?samo\u347?ci pozyskano w spos\u243?b nieuprawniony mog\u261? bowiem co najmniej odczuwa\u263? obaw\u281? przed utrat\u261? kontroli nad swoimi danymi osobowymi, kradzie\u380?\u261? to\u380?samo\u347?ci lub oszustwem dotycz\u261?cym to\u380?samo\u347?ci, czy wreszcie przed strat\u261? finansow\u261?. Naruszenie przez sp\u243?\u322?k\u281? obowi\u261?zk\u243?w zastosowania \u347?rodk\u243?w zabezpieczaj\u261?cych przetwarzane dane przed ich udost\u281?pnieniem osobom nieuprawnionym, poci\u261?ga bowiem za sob\u261? nie tylko potencjaln\u261?, ale r\u243?wnie\u380? realn\u261? mo\u380?liwo\u347?\u263? wykorzystania tych danych przez podmioty trzecie bez wiedzy i wbrew woli os\u243?b, kt\u243?rych dane zosta\u322?y naruszone np. przy u\u380?yciu numeru PESEL w celu nawi\u261?zania stosunk\u243?w prawnych lub zaci\u261?gni\u281?cia zobowi\u261?za\u324? w imieniu os\u243?b, kt\u243?rych dane pozyskano w spos\u243?b bezprawny, czy te\u380? wykorzystania danych do niechcianych dzia\u322?a\u324? marketingowych wykorzystuj\u261?c numer telefonu. Znacz\u261?cy wp\u322?yw na wag\u281? i charakter naruszenia ma r\u243?wnie\u380? okoliczno\u347?\u263?, \u380?e sp\u243?\u322?ka, a obecnie jej nast\u281?pca prawny Sp\u243?\u322?ka [...], przetwarza dane na skal\u281? masow\u261?. Masowe przetwarzanie musi si\u281? wi\u261?za\u263? z wy\u380?szym poziomem odpowiedzialno\u347?ci administratora i z wy\u380?szym poziomem nale\u380?ytej staranno\u347?ci wymaganej od niego, gdy\u380? nieodpowiednie zabezpieczenie danych mo\u380?e skutkowa\u263? negatywnymi konsekwencjami dla wielu os\u243?b. Naruszenie obowi\u261?zk\u243?w administratora (brak odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych) nie dotyczy\u322?o tylko i wy\u322?\u261?cznie os\u243?b dotkni\u281?tych wyciekiem ich danych osobowych, a nawet te\u380? nie wszystkich posiadanych w tym czasie w ich bazie danych osobowych. Naruszenie to stwarza\u322?o ryzyko dla wszystkich os\u243?b b\u281?d\u261?cych klientami sp\u243?\u322?ki V. w ca\u322?ym okresie trwania naruszenia, zar\u243?wno przed, jak i po wycieku danych. Nie bez znaczenia zatem przy ustalaniu wysoko\u347?ci kary mia\u322? czas trwania naruszenia. Brak odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych zapewniaj\u261?cych stopie\u324? bezpiecze\u324?stwa odpowiadaj\u261?cy ryzyku trwa\u322? bowiem od dnia rozpocz\u281?cia stosowania RODO, to jest
\par 
\par od [...] maja 2018 r., a usuni\u281?ty zosta\u322? ostatecznie \u8211? w trakcie post\u281?powania zako\u324?czonego wydaniem niniejszej decyzji \u8211? wraz z uzyskaniem przez sp\u243?\u322?k\u281? V. w dniu [...] lipca 2020 r. certyfikat\u243?w ISO/IEC 27001:2013, ISO/IEC 27701:2019, ISO/IEC 27001:2013 oraz ISO/IEC 27002:2013, po\u347?wiadczaj\u261?cych wdro\u380?enie procedur zapewniaj\u261?cych regularne testowanie, mierzenie i ocenianie skuteczno\u347?ci przyj\u281?tych \u347?rodk\u243?w w prowadzonej przez sp\u243?\u322?k\u281? V. dokumentacji opisuj\u261?cej proces przetwarzania danych oraz zastosowane \u347?rodki organizacyjne i techniczne.
\par 
\par Dalej organ wskaza\u322?, \u380?e umy\u347?lny lub nieumy\u347?lny charakter naruszenia (art. 83 ust. 2 lit. b RODO) \u8211? nieuprawniony dost\u281?p do danych osobowych abonent\u243?w us\u322?ug przedp\u322?aconych sp\u243?\u322?ki sta\u322? si\u281? mo\u380?liwy na skutek niedochowania nale\u380?ytej staranno\u347?ci przez sp\u243?\u322?k\u281? V. i niew\u261?tpliwie stanowi o nieumy\u347?lnym charakterze naruszenia. Niemniej jednak Sp\u243?\u322?ka, nast\u281?pca prawny sp\u243?\u322?ki V., jako administrator ponosi odpowiedzialno\u347?\u263? za stwierdzone nieprawid\u322?owo\u347?ci w procesie przetwarzania danych. Na negatywn\u261? ocen\u281? zas\u322?uguje fakt, \u380?e sp\u243?\u322?ka V., pomimo i\u380? zak\u322?ada\u322?a, \u380?e system b\u281?dzie weryfikowa\u322? zgodno\u347?\u263? id wniosku z id POS, nie przeprowadzi\u322?a testu pod k\u261?tem poprawno\u347?ci dzia\u322?ania systemu zgodnie z za\u322?o\u380?onymi wymaganiami. Jednocze\u347?nie twierdzenia sp\u243?\u322?ki V., \u380?e nie wie, czy i jakimi uprawnieniami m\u243?g\u322? dysponowa\u263? atakuj\u261?cy oraz jakiego okresu mog\u322?o owo uprawnienie dotyczy\u263?, \u347?wiadcz\u261?, \u380?e wdro\u380?one przez ni\u261? \u347?rodki techniczne i organizacyjne, maj\u261?ce zapewni\u263? bezpiecze\u324?stwo danych, by\u322?y niewystarczaj\u261?ce, a sp\u243?\u322?ka nie panowa\u322?a nad procesem przetwarzania danych.
\par 
\par Kategorie danych osobowych, kt\u243?rych dotyczy\u322?o naruszenie (art. 83 ust. 2 lit. g RODO) \u8211? dane osobowe, do kt\u243?rych dost\u281?p uzyska\u322?a nieznana i nieuprawniona osoba trzecia, wprawdzie nie nale\u380?\u261? do szczeg\u243?lnych kategorii danych osobowych, o kt\u243?rych mowa w art. 9 RODO, jednak\u380?e ich zakres: numer telefonu oraz w przypadku 4522 os\u243?b imi\u281? i nazwisko, numer PESEL, numer i seria dokumentu to\u380?samo\u347?ci; w stosunku do 108702 os\u243?b imi\u281? i nazwisko oraz nr PESEL; w stosunku do 10167 os\u243?b imi\u281?
\par 
\par i nazwisko oraz numer i seria dokumentu to\u380?samo\u347?ci, wi\u261?\u380?e si\u281? z wysokim ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych.
\par 
\par Ustalaj\u261?c wysoko\u347?\u263? administracyjnej kary pieni\u281?\u380?nej, Prezes UODO uwzgl\u281?dni\u322? jako okoliczno\u347?ci \u322?agodz\u261?ce, maj\u261?ce wp\u322?yw na obni\u380?enie wysoko\u347?ci wymierzonej kary nast\u281?puj\u261?ce przes\u322?anki.
\par 
\par Dzia\u322?ania podj\u281?te przez sp\u243?\u322?k\u281? w celu zminimalizowania szkody poniesionej przez osoby, kt\u243?rych dane dotycz\u261? (art. 83 ust. 2 lit. c RODO) \u8211? sp\u243?\u322?ka V. skierowa\u322?a do os\u243?b dotkni\u281?tych naruszeniem poufno\u347?ci ich danych osobowych zawiadomienia o naruszeniu ich danych osobowych, zawieraj\u261?ce wszystkie wymagane zgodnie z art. 34 ust. 2 RODO informacje. Sp\u243?\u322?ka bezpo\u347?rednio
\par 
\par po wykryciu naruszenia bezpiecze\u324?stwa danych, jeszcze przed wszcz\u281?ciem post\u281?powania administracyjnego podj\u281?\u322?a konkretne i szybkie dzia\u322?ania, kt\u243?rych efektem by\u322?o usuni\u281?cie tego naruszenia. W szczeg\u243?lno\u347?ci usun\u281?\u322?a z systemu informatycznego wykorzystan\u261? przez osob\u281? lub osoby nieuprawnione jego podatno\u347?\u263? na naruszenie ochrony przetwarzanych w systemie danych osobowych abonent\u243?w. Mimo wysokiego ryzyka wyst\u261?pienia szk\u243?d maj\u261?tkowych lub niemaj\u261?tkowych dla os\u243?b, kt\u243?rych dane zosta\u322?y w spos\u243?b bezprawny pozyskane przez osob\u281? nieuprawnion\u261?, podj\u281?cie przez sp\u243?\u322?k\u281? szybkich dzia\u322?a\u324? maj\u261?cych na celu zabezpieczenie danych przed ich pobraniem przyczyni\u322?o si\u281? do ograniczenia liczby os\u243?b dotkni\u281?tych naruszeniem bezpiecze\u324?stwa ich danych, co nale\u380?y uzna\u263?, w ocenie organu, jako okoliczno\u347?\u263? \u322?agodz\u261?c\u261?, poniewa\u380? zaw\u281?\u380?enie liczby os\u243?b dotkni\u281?tych naruszeniem \u347?wiadczy o dzia\u322?aniach podj\u281?tych w celu zminimalizowania szkody poniesionej przez osoby, kt\u243?rych dane dotycz\u261?.
\par 
\par Prezes UODO zwr\u243?ci\u322? ponadto uwag\u281? na stopie\u324? wsp\u243?\u322?pracy z organem nadzorczym w celu usuni\u281?cia naruszenia oraz z\u322?agodzenia jego ewentualnych negatywnych skutk\u243?w (art. 83 ust. 2 lit. f RODO), brak stwierdzenia wcze\u347?niejszych poprzedzaj\u261?cych niniejsze post\u281?powanie narusze\u324? przepis\u243?w RODO przez sp\u243?\u322?k\u281? V. Przy czym \u380?adnego wp\u322?ywu na fakt zastosowania przez Prezesa UODO
\par 
\par w niniejszej sprawie sankcji w postaci administracyjnej kary pieni\u281?\u380?nej, jak r\u243?wnie\u380?
\par 
\par na jej wysoko\u347?\u263?, nie mia\u322?y inne, wskazane w art. 83 ust. 2 RODO okoliczno\u347?ci.
\par 
\par Prezes UODO uzna\u322?, \u380?e na\u322?o\u380?enie administracyjnej kary pieni\u281?\u380?nej na Sp\u243?\u322?k\u281?, nast\u281?pc\u281? prawnego sp\u243?\u322?ki V., jest konieczne i uzasadnione wag\u261?, charakterem oraz zakresem zarzucanych sp\u243?\u322?ce V. narusze\u324?. Stwierdzi\u322?, \u380?e zastosowanie
\par 
\par w niniejszej sprawie jakiegokolwiek innego \u347?rodka naprawczego przewidzianego w art. 58 ust. 2 RODO, w szczeg\u243?lno\u347?ci za\u347? poprzestanie na upomnieniu (art. 58 ust. 2
\par 
\par lit. b), nie by\u322?oby proporcjonalne do stwierdzonych nieprawid\u322?owo\u347?ci w procesie przetwarzania danych osobowych oraz nie gwarantowa\u322?oby tego, \u380?e Sp\u243?\u322?ka, nast\u281?pca prawny sp\u243?\u322?ki V., w przysz\u322?o\u347?ci nie dopu\u347?ci si\u281? podobnych zaniedba\u324?.
\par 
\par W ko\u324?cowej cz\u281?\u347?ci uzasadnienia organ wskaza\u322? na motywy \u347?wiadcz\u261?ce
\par 
\par o zasadno\u347?ci wymierzenia Sp\u243?\u322?ce kary pieni\u281?\u380?ne w orzeczonej wysoko\u347?ci. Uzna\u322?, \u380?e z uwagi na charakter i wag\u281? narusze\u324? zastosowanie znajdzie zar\u243?wno art. 83 ust. 4
\par 
\par lit. a RODO, przewiduj\u261?cy m.in. za naruszenie obowi\u261?zk\u243?w administratora, o kt\u243?rych mowa w art. 25 i 32 RODO, mo\u380?liwo\u347?\u263? na\u322?o\u380?enia administracyjnej kary pieni\u281?\u380?nej
\par 
\par w wysoko\u347?ci do 10 000 000 EUR (w przypadku przedsi\u281?biorstwa - w wysoko\u347?ci
\par 
\par do 2% jego ca\u322?kowitego rocznego \u347?wiatowego obrotu z poprzedniego roku obrotowego), jak r\u243?wnie\u380? art. 83 ust. 5 lit. a RODO, zgodnie z kt\u243?rym naruszenia m.in. podstawowych zasad przetwarzania, o kt\u243?rych mowa m.in. w art. 5 tego rozporz\u261?dzenia, podlegaj\u261? administracyjnej karze pieni\u281?\u380?nej w wysoko\u347?ci
\par 
\par do 20 000 000 EUR (w przypadku przedsi\u281?biorstwa - w wysoko\u347?ci do 4% jego ca\u322?kowitego rocznego \u347?wiatowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wy\u380?sza).
\par 
\par W ocenie Prezesa UODO zastosowana administracyjna kara pieni\u281?\u380?na spe\u322?nia w ustalonych okoliczno\u347?ciach niniejszej sprawy funkcje, o kt\u243?rych mowa w art. 83
\par 
\par ust. 1 RODO, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna
\par 
\par i odstraszaj\u261?ca, a jednocze\u347?nie nie b\u281?dzie dla Sp\u243?\u322?ki nadmiernie dotkliwa.
\par 
\par Sp\u243?\u322?ka, reprezentowana przez radc\u281? prawnego, zaskar\u380?y\u322?a decyzj\u281? Prezesa UODO z 16 listopada 2022 r. do Wojew\u243?dzkiego S\u261?du Administracyjnego
\par 
\par w Warszawie.
\par 
\par Zaskar\u380?onej decyzji zarzuci\u322?a:
\par 
\par 1) naruszenie prawa materialnego, kt\u243?re mia\u322?o wp\u322?yw na wynik sprawy,
\par 
\par tj. art. 83 ust. 2 lit. a Rozporz\u261?dzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony os\u243?b fizycznych w zwi\u261?zku z przetwarzaniem danych osobowych i w sprawie swobodnego przep\u322?ywu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm., dalej: "RODO" lub "Rozporz\u261?dzenie"), polegaj\u261?ce na jego niew\u322?a\u347?ciwym zastosowaniu i przyj\u281?ciu, \u380?e naruszenie przez V. przepis\u243?w art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b i lit. d oraz art. 32 ust. 2 RODO zako\u324?czy\u322?o si\u281? z dniem 22 lipca 2020 r, podczas gdy zako\u324?czenie stanu naruszenia nast\u261?pi\u322?o najp\u243?\u378?niej w lutym 2020 r., co doprowadzi\u322?o do niezasadnego na\u322?o\u380?enia na Skar\u380?\u261?c\u261? administracyjnej kary pieni\u281?\u380?nej, z naruszeniem art. 83 ust. 2 lit. a RODO;
\par 
\par 2) naruszenie prawa materialnego, kt\u243?re mia\u322?o wp\u322?yw na wynik sprawy,
\par 
\par tj. art. 83 ust. 1 w zwi\u261?zku z art. 83 ust. 2 lit. a RODO, polegaj\u261?ce na ich niew\u322?a\u347?ciwym zastosowaniu i przyj\u281?ciu, \u380?e osoby, kt\u243?rych dotyczy\u322?o naruszenie ochrony danych osobowych, ponios\u322?y szkod\u281?, o kt\u243?rej mowa w art. 83 ust. 2 lit. a, podczas gdy za poniesienie szkody nie mo\u380?e by\u263? uznawana obawa jej poniesienia przez osoby, kt\u243?rych dane dotycz\u261?, co doprowadzi\u322?o do niezasadnego na\u322?o\u380?enia na Skar\u380?\u261?c\u261? administracyjnej kary pieni\u281?\u380?nej, w wysoko\u347?ci naruszaj\u261?cej zasad\u281? proporcjonalno\u347?ci;
\par 
\par 3) naruszenie prawa materialnego, kt\u243?re mia\u322?o wp\u322?yw na wynik sprawy,
\par 
\par tj. art. 153 PPSA w zwi\u261?zku z art. 83 ust. 2 lit. h RODO, polegaj\u261?ce na ich niezastosowaniu i uznaniu wbrew wytycznym WSA zawartym w wyroku
\par 
\par z 21 pa\u378?dzierniku 2021 r., \u380?e fakt zawiadomienia podmiot\u243?w danych o naruszeniu przez V. nie ma wp\u322?ywu na wymiar administracyjnej kary pieni\u281?\u380?nej; naruszenie prawa materialnego, kt\u243?re mia\u322?o wp\u322?yw na wynik sprawy, tj. art. 32 ust. 1 lit. d w zwi\u261?zku z art. 32 ust. 2 RODO, polegaj\u261?ce na ich niew\u322?a\u347?ciwym zastosowaniu i przyj\u281?ciu, \u380?e niewdro\u380?enie \u347?rodka bezpiecze\u324?stwa organizacyjnego polegaj\u261?cego
\par 
\par na regularnym testowaniu, mierzeniu i ocenianiu skuteczno\u347?ci \u347?rodk\u243?w technicznych
\par 
\par i organizacyjnych maj\u261?cych zapewni\u263? bezpiecze\u324?stwo przetwarzania wdro\u380?onych przez V., doprowadzi\u322?o do niewykrycia podatno\u347?ci b\u281?d\u261?cej przyczyn\u261? naruszenia ochrony danych osobowych oraz stanowi\u322?o naruszenie obowi\u261?zk\u243?w wynikaj\u261?cych z RODO, za kt\u243?re organ niezasadnie na\u322?o\u380?y\u322? na Skar\u380?\u261?c\u261? administracyjn\u261? kar\u281? pieni\u281?\u380?n\u261?;
\par 
\par 4) naruszenie prawa materialnego, kt\u243?re mia\u322?o wp\u322?yw na wynik sprawy,
\par 
\par tj. art. 25 ust. 1 RODO, polegaj\u261?ce na jego nieprawid\u322?owym zastosowaniu w sprawie, poprzez uznanie, \u380?e do naruszenia mo\u380?e doj\u347?\u263? pomimo braku wyrz\u261?dzenia szkody, co doprowadzi\u322?o do niezasadnego na\u322?o\u380?enia na Skar\u380?\u261?c\u261? administracyjnej kary pieni\u281?\u380?nej;
\par 
\par 5) naruszenie przepis\u243?w prawa materialnego, kt\u243?re mia\u322?o wp\u322?yw na wynik sprawy, tj. art. 83 ust. 2 lit. g RODO, polegaj\u261?ce na jego niew\u322?a\u347?ciwym zastosowaniu
\par 
\par i przyj\u281?ciu, \u380?e w przypadku, gdy naruszeniem ochrony danych osobowych obj\u281?ty jest numer PESEL, zachodzi wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, w sytuacji gdy ka\u380?dorazowe wyst\u261?pienie naruszenia ochrony danych osobowych wymaga odr\u281?bnej analizy ryzyka w kontek\u347?cie zmiennych element\u243?w stanu faktycznego, a w konsekwencji obj\u281?cie numeru PESEL naruszeniem nie stanowi automatycznie o wysokim poziomie ryzyka, co doprowadzi\u322?o do niezasadnego stwierdzenia przez organ, \u380?e V. naruszy\u322?a te przepisy, a nast\u281?pnie do na\u322?o\u380?enia na Skar\u380?\u261?c\u261? administracyjnej kary pieni\u281?\u380?nej;
\par 
\par 6) naruszenie przepis\u243?w prawa materialnego, kt\u243?re mia\u322?o wp\u322?yw na wynik sprawy, tj. art. 83 ust. 2 lit. a RODO polegaj\u261?ce na jego b\u322?\u281?dnej wyk\u322?adni i przyj\u281?ciu przez organ, \u380?e chocia\u380? naruszenie ochrony danych osobowych obejmowa\u322?o 114 963 os\u243?b, rzekome naruszenie obowi\u261?zk\u243?w administratora (brak odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych) stwarza\u322?o ryzyko dla wszystkich os\u243?b b\u281?d\u261?cych klientami V. w ca\u322?ym okresie trwania naruszenia, zar\u243?wno przed, jak i po wycieku danych, co skutkowa\u322?o niezasadnym na\u322?o\u380?eniem na Skar\u380?\u261?c\u261? administracyjnej kary pieni\u281?\u380?nej w wysoko\u347?ci nieodpowiadaj\u261?cej liczbie os\u243?b, kt\u243?rych dotyczy\u322?o naruszenie ochrony danych osobowych;
\par 
\par 7) naruszenie przepis\u243?w prawa materialnego, kt\u243?re mia\u322?o wp\u322?yw na wynik sprawy, tj. art. 83 ust. 1 RODO w zwi\u261?zku z art. 5 ust. 1 lit. f RODO w zwi\u261?zku z art. 24 ust. 1, art. 25 ust. 1, art. 32 lit. b i lit. d oraz art. 32 ust. 2 RODO poprzez przyj\u281?cie, \u380?e konsekwencj\u261? naruszenia art. 24 ust. 2, art. 25 ust. 1, art. 32 lit. b i lit. d oraz art. 32 ust. 2 RODO jest automatycznie naruszenie art. 5 ust. 1 lit. f RODO, podczas gdy,
\par 
\par w sytuacji tego samego zdarzenia - utraty poufno\u347?ci danych osobowych spowodowanej bezpo\u347?rednio umy\u347?lnym dzia\u322?aniem podmiotu trzeciego, niezale\u380?nego od administratora (atak hakerski), naruszenie ww. przepis\u243?w jest odr\u281?bne i niezale\u380?ne od siebie, co doprowadzi\u322?o do niezasadnego stwierdzenia przez organ, \u380?e V. naruszy\u322?a art. 5 ust. 1 lit. f RODO, a nast\u281?pnie do niezasadnego na\u322?o\u380?enia
\par 
\par na Skar\u380?\u261?c\u261? administracyjnej kary pieni\u281?\u380?nej z naruszeniem zasady proporcjonalno\u347?ci, w nieadekwatnej wysoko\u347?ci;
\par 
\par 8) naruszenie przepis\u243?w prawa materialnego, kt\u243?re mia\u322?o wp\u322?yw na wynik sprawy, tj. art. 83 ust. 4 i 5 RODO w zwi\u261?zku z art. 7, art. 7a \u167? 1 oraz art. 8 \u167? 1 ustawy z 14 czerwca 1960 r. Kodeks post\u281?powania administracyjnego (t.j. Dz. U. z 2022 r., poz. 2000, dalej: "KPA") poprzez ich b\u322?\u281?dn\u261? wyk\u322?adni\u281? polegaj\u261?c\u261? na wzi\u281?ciu przez organ pod uwag\u281? jako "ca\u322?kowity roczny \u347?wiatowy obr\u243?t z poprzedniego roku obrotowego", o kt\u243?rym mowa w tych przepisach obrotu V. za 2021 rok podczas gdy organ powinien by\u322? wzi\u261?\u263? pod uwag\u281? ca\u322?kowity roczny \u347?wiatowy obr\u243?t V. z 2019 rok, gdy\u380? by\u322? to poprzedni rok obrotowy wzgl\u281?dem pierwszej decyzji wydanej w sprawie, co skutkowa\u322?o wymierzeniem administracyjnej kary pieni\u281?\u380?nej w nieprawid\u322?owej (zbyt wysokiej) wysoko\u347?ci;
\par 
\par 9) naruszenie przepis\u243?w prawa materialnego, kt\u243?re mia\u322?o wp\u322?yw na wynik sprawy, tj. art. 83 ust. 2 lit. a, b, c, e, f, oraz g RODO w zwi\u261?zku z art. 83 ust. 1 RODO oraz art. 153 PPSA, polegaj\u261?ce na ich niew\u322?a\u347?ciwym zastosowaniu poprzez nieustalenie wp\u322?ywu element\u243?w okre\u347?lonych w art. 83 ust. 2 lit. a, b, c, e, f, oraz g RODO na wysoko\u347?\u263? administracyjnej kary pieni\u281?\u380?nej, co uniemo\u380?liwia stwierdzenie, czy kara pieni\u281?\u380?na spe\u322?nia wymogi z art. 83 ust. 1 RODO, a w konsekwencji poprzez niewyja\u347?nienie w spos\u243?b przekonywuj\u261?cy powod\u243?w wymierzenia administracyjnej kary pieni\u281?\u380?nej w wysoko\u347?ci wskazanej w sentencji decyzji, do czego S\u261?d zobowi\u261?za\u322? Prezesa UODO w wyroku 21 z pa\u378?dziernika 2021 r. (sygn. II SA/Wa 272/21);
\par 
\par 10) naruszenie przepis\u243?w prawa materialnego, kt\u243?re mia\u322?o wp\u322?yw na wynik sprawy, tj. art. 83 ust. 1 RODO, polegaj\u261?ce na jego niew\u322?a\u347?ciwym zastosowaniu poprzez nieuwzgl\u281?dnienie przy ocenie kryteri\u243?w z art. 83 ust. 1 RODO, \u380?e V. przesta\u322?a istnie\u263? w wyniku przej\u281?cia przez Skar\u380?\u261?c\u261?, kt\u243?ra to nie mia\u322?a \u380?adnego faktycznego zwi\u261?zku z naruszeniem ochrony danych osobowych, kt\u243?rego dotyczy decyzja, a w zwi\u261?zku z czym organ zobowi\u261?zany by\u322? do ponownej oceny skuteczno\u347?ci i funkcji represyjnej administracyjnej kary pieni\u281?\u380?nej, kt\u243?rej brak doprowadzi\u322?
\par 
\par do niezasadnego na\u322?o\u380?enia na Skar\u380?\u261?c\u261? administracyjnej kary pieni\u281?\u380?nej
\par 
\par z naruszeniem art. 83 ust. 1 RODO, w nieadekwatnej wysoko\u347?ci;
\par 
\par 11) naruszenie przepis\u243?w post\u281?powania, kt\u243?re mia\u322?o istotny wp\u322?yw na wynik sprawy, tj. art. 7 w zwi\u261?zku z art. 77 KPA i art. 107 \u167? 3 w zwi\u261?zku z art. 11 KPA, polegaj\u261?ce na nieustaleniu rozmiaru rzekomej szkody, kt\u243?r\u261? zdaniem organu ponios\u322?y osoby, kt\u243?rych mo\u380?e dotyczy\u263? naruszenie ochrony danych osobowych, kt\u243?rego dotyczy decyzja, co doprowadzi\u322?o do niezasadnego na\u322?o\u380?enia na Sp\u243?\u322?k\u281? administracyjnej kary pieni\u281?\u380?nej w wysoko\u347?ci wskazanej w decyzji;
\par 
\par 12) naruszenie przepis\u243?w post\u281?powania, kt\u243?re mia\u322?o istotny wp\u322?yw na wynik sprawy, tj. art. 7 KPA w zwi\u261?zku z art. 77 KPA i art. 80 KPA, polegaj\u261?ce na niepodj\u281?ciu z urz\u281?du wszelkich czynno\u347?ci niezb\u281?dnych do dok\u322?adnego wyja\u347?nienia stanu faktycznego oraz niezebraniu i nierozpatrzeniu ca\u322?ego materia\u322?u dowodowego
\par 
\par w spos\u243?b wyczerpuj\u261?cy, a tak\u380?e b\u322?\u281?dnym przyj\u281?ciu przez organ, \u380?e uprawnienia, kt\u243?rymi dysponowa\u322? atakuj\u261?cy pozostaj\u261? bez znaczenia dla stwierdzenia naruszenia przez V. przepis\u243?w Rozporz\u261?dzenia, podczas gdy okoliczno\u347?ci ataku, kt\u243?rego ofiar\u261? pad\u322?a V., stanowi\u261? istotny element stanu faktycznego, niezb\u281?dny w celu prawid\u322?owego ustalenia skali naruszenia, co skutkowa\u322?o nies\u322?usznym na\u322?o\u380?eniem na Skar\u380?\u261?c\u261? administracyjnej kary pieni\u281?\u380?nej w wysoko\u347?ci wskazanej
\par 
\par w decyzji.
\par 
\par W \u347?wietle powy\u380?szych zarzut\u243?w, Skar\u380?\u261?ca wnios\u322?a o uchylenie zaskar\u380?onej decyzji w ca\u322?o\u347?ci.
\par 
\par W obszernym uzasadnieniu skargi Skar\u380?\u261?ca rozwin\u281?\u322?a argumentacj\u281? sformu\u322?owan\u261? na rzecz postawionych w niej zarzut\u243?w.
\par 
\par W odpowiedzi na skarg\u281? Prezes UODO wni\u243?s\u322? o jej oddalenie.
\par 
\par Wojew\u243?dzki S\u261?d Administracyjny w Warszawie zwa\u380?y\u322?, co nast\u281?puje:
\par 
\par Skarga nie jest zasadna albowiem przedmiotowa decyzja odpowiada prawu. Badaj\u261?c skarg\u281? wed\u322?ug kryteri\u243?w przewidzianych w art. 134 \u167? 1 ustawy z dnia
\par 
\par 30 sierpnia 2002 r. \u8211? Prawo o post\u281?powaniu przed s\u261?dami administracyjnymi (Dz.U.
\par 
\par z 2023 r. poz. 259 ze zm.; dalej jako "p.p.s.a.") oraz w art. 145 \u167? 1 p.p.s.a., S\u261?d uzna\u322?, \u380?e nie zas\u322?uguje ona na uwzgl\u281?dnienie, bowiem zaskar\u380?ona decyzja nie narusza prawa w spos\u243?b uzasadniaj\u261?cy jej uchylenie.
\par 
\par Przedmiotem rozpoznania w niniejszej sprawie by\u322?a skarga na decyzj\u281? Prezesa Urz\u281?du Ochrony Danych Osobowych (dalej Prezes UODO) z [...] listopada 2022 r.
\par 
\par W pierwszej kolejno\u347?ci S\u261?d podkre\u347?la, \u380?e uzasadnienie zaskar\u380?onej decyzji jest rozbudowane w spos\u243?b nadmierny, kilkakrotnie w uzasadnieniu poruszane s\u261? te same aspekty sprawy. Uj\u281?cie uzasadnienia decyzji na 37 stronach pomimo, niew\u261?tpliwie ogromnego materia\u322?u zebranego w post\u281?powaniu, \u347?wiadczy jednak o braku syntetycznego podej\u347?cia do problemu. Od organu nale\u380?y natomiast wymaga\u263? syntetycznego uj\u281?cia sprawy i przedstawienia jej istoty w oparciu o zastosowane przepisy prawa. S\u261?d stwierdza tak\u380?e, \u380?e wbrew twierdzeniom skargi w zaskar\u380?onej decyzji nast\u261?pi\u322?o szczeg\u243?\u322?owe ustalenie stanu faktycznego sprawy. Organ przedstawi\u322? te\u380? argumentacj\u281? na poparcie zaj\u281?tego stanowiska. W prawid\u322?owo ustalonym stanie faktycznym Prezes UODO zastosowa\u322? w\u322?a\u347?ciwe normy prawa materialnego zastosowa\u322? si\u281? do wytycznych zawartych w wyroku o sygn. akt II SA/Wa 272/21. Nie budzi te\u380? w\u261?tpliwo\u347?ci ich interpretacja prawa dokonana przez organ. Organ nie naruszy\u322? tak\u380?e przepis\u243?w post\u281?powania w stopniu mog\u261?cym mie\u263? istotny wp\u322?yw na wynik post\u281?powania. Jak s\u322?usznie wskaza\u322? Prezes UODO wyciek danych by\u322? efektem podatno\u347?ci system\u243?w informatycznych Sp\u243?\u322?ki V. na ingerencj\u281?. W efekcie niezastosowania w systemach odpowiednich \u347?rodk\u243?w bezpiecze\u324?stwa dost\u281?p do danych uzyska\u322?a osoba nieuprawniona. Dosz\u322?o wi\u281?c do naruszenia zasad integralno\u347?ci i poufno\u347?ci. Sp\u243?\u322?ka w ocenie organu nie mog\u322?a wykry\u263? podatno\u347?ci systemu informatycznego na naruszenia z uwagi na brak regularnych test\u243?w, co potwierdza zebrany w toku kontroli materia\u322? dowodowy.
\par 
\par Przechodz\u261?c do om\u243?wienia poszczeg\u243?lnych zarzut\u243?w skargi, na wst\u281?pie S\u261?d wskazuje, \u380?e zgodnie z tre\u347?ci\u261? art. 153 p.p.s.a. zar\u243?wno S\u261?d jak i organ by\u322?y zwi\u261?zane ocen\u261? prawn\u261? i wskazaniami co do dalszego post\u281?powania wyra\u380?onymi w orzeczeniu o sygn. akt II SA/Wa 272/21.
\par 
\par W uzasadnieniu wyroku z dnia 21 pa\u378?dziernika 2021 r. sprawie o sygn. akt
\par 
\par II SA/Wa 272/21 uznano za niezasadne zarzuty naruszenia przez Prezesa UODO przepis\u243?w art. 5 ust. 1 lit. f) i ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b) i d) i ust. 2 rozporz\u261?dzenia 2016/679. Zdaniem S\u261?du Prezes UODO wzi\u261?\u322? pod rozwag\u281?, czy Sp\u243?\u322?ka V., jako administrator danych osobowych, przeanalizowa\u322?a ryzyko zwi\u261?zane z ochron\u261? danych, czy udokumentowa\u322?a i uzasadni\u322?a je nale\u380?ycie w stanie faktycznym, czy bada\u322?a od dnia wej\u347?cia w \u380?ycie przepis\u243?w rozporz\u261?dzenia 2016/679 procesy przetwarzania danych osobowych na poszczeg\u243?lnych etapach i czy zastosowane przez Sp\u243?\u322?k\u281? V. procedury by\u322?y adekwatne do oszacowanego ryzyka.
\par 
\par B\u281?d\u261?c zwi\u261?zanym wyk\u322?adni\u261? i wskazaniami dokonanymi przez S\u261?d orzekaj\u261?cy w sprawie o sygn. akt II SA/Wa 272/21 sk\u322?ad orzekaj\u261?cy w niniejszej sprawie stoi
\par 
\par na stanowisku, \u380?e zarzuty skargi dotycz\u261?ce naruszenia przepis\u243?w art. 5 ust. 1 lit. f)
\par 
\par i ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b) i d) i ust. 2 rozporz\u261?dzenia 2016/679 s\u261? bezzasadne.
\par 
\par Przechodz\u261?c do om\u243?wienia poszczeg\u243?lnych zarzut\u243?w skargi nale\u380?y wskaza\u263?, \u380?e niezasadny jest zarzut 1 skargi dotycz\u261?cy art. 83 ust. 2 lit. a RODO, polegaj\u261?cy na jego niew\u322?a\u347?ciwym zastosowaniu i przyj\u281?ciu, \u380?e naruszenie przez V. przepis\u243?w art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b) i lit. d) oraz art. 32 ust. 2 RODO zako\u324?czy\u322?o si\u281? z dniem [...] lipca 2020 r., podczas gdy zako\u324?czenie stanu naruszenia nast\u261?pi\u322?o najp\u243?\u378?niej w lutym 2020 r. Reasumuj\u261?c powy\u380?szy zarzut dotyczy okresu trwania naruszenia.
\par 
\par W ocenie S\u261?du powy\u380?szy zarzut jest niezasadny. Jak s\u322?usznie wskaza\u322? organ, dopiero z dat\u261? uzyskania certyfikacji, co mia\u322?o miejsce [...] lipca 2020 r. Skar\u380?\u261?ca mog\u322?a powo\u322?a\u263? si\u281? na fakt, \u380?e spe\u322?nia wymogi ISO/IEC 27001:2013 oraz ISO/IEC 27701:2019. Zdaniem S\u261?du z samego faktu rozpocz\u281?cia procesu uzyskania zgodno\u347?ci z normami ISO/IEC 27001:2013 oraz ISO/IEC 27701:2019 nie mo\u380?na dowie\u347?\u263?, \u380?e proces ten zako\u324?czy si\u281? pomy\u347?lnie. O prawid\u322?owo\u347?ci tego stanowiska \u347?wiadczy r\u243?wnie\u380? raport z audytu przetwarzania danych osobowych przez sp\u243?\u322?k\u281? V.
\par 
\par po wdro\u380?eniu wymog\u243?w rozporz\u261?dzenia 2016/678, datowany na dzie\u324? [...] lutego
\par 
\par 2020 r., na kt\u243?ry powo\u322?uje si\u281? Skar\u380?\u261?ca jako na ko\u324?cow\u261? dat\u281? naruszenia. Z zalecenia do punktu 5 "Zasady przetwarzania danych osobowych (art. 5, art. 24 i art. 32)"
\par 
\par i "Przetwarzanie zgodne z prawem" ppkt. 5.7 "integralno\u347?\u263? i poufno\u347?\u263?" wynika bowiem, \u380?e nale\u380?y opracowa\u263? zasady testowania, mierzenia i oceniania skuteczno\u347?ci stosowanych \u347?rodk\u243?w technicznych i organizacyjnych maj\u261?cych zapewni\u263? bezpiecze\u324?stwo przetwarzania.
\par 
\par Tak wi\u281?c powy\u380?sze \u347?wiadczy o tym, \u380?e w dacie wskazanej przez Skar\u380?\u261?c\u261? nie dosz\u322?o do zako\u324?czenia trwania naruszenia, gdy\u380? na Skar\u380?\u261?c\u261? na\u322?o\u380?ono obowi\u261?zki zwi\u261?zane z prawid\u322?owym zabezpieczeniem danych.
\par 
\par W ocenie S\u261?du Prezes UODO prawid\u322?owo ustali\u322? okres trwania naruszenia przyjmuj\u261?c, \u380?e trwa\u322?o ono od [...] maja 2018 r.(wej\u347?cie w \u380?ycie RODO) do [...] lipca
\par 
\par 2020 r. \u8211? daty uzyskania certyfikacji, wynika to z faktu, \u380?e przetwarzanie danych osobowych abonent\u243?w us\u322?ug przedp\u322?aconych trwa\u322?o ju\u380? w dacie wej\u347?cia w \u380?ycie RODO. Natomiast sp\u243?\u322?ka V. by\u322?a zobowi\u261?zana zgodnie z motywem 171 rozporz\u261?dzenia 2016/679 i art. 99 ust.2 RODO do posiadania w dniu wej\u347?cia w \u380?ycie RODO rozwi\u261?za\u324? technicznych i organizacyjnych w postaci regularnego testowania
\par 
\par i mierzenia wdro\u380?onych rozwi\u261?za\u324? - \u347?rodk\u243?w bezpiecze\u324?stwa przetwarzania danych, czego nie dope\u322?ni\u322?a, a uchybienie to zosta\u322?o usuni\u281?te dopiero w trakcie trwania niniejszego post\u281?powania administracyjnego. Podkre\u347?lenia wymaga, \u380?e to europejski prawodawca wyznaczy\u322? administratorom danych dwuletni okres na zaprojektowanie istniej\u261?cych system\u243?w przetwarzania danych, tak aby spe\u322?nia\u322?y wymogi rozporz\u261?dzenia 2016/679. W tym miejscu wskaza\u263? r\u243?wnie\u380? nale\u380?y, \u380?e obowi\u261?zek wynikaj\u261?cy z art. 25 ust. 1 RODO nie dotyczy jedynie ochrony danych w fazie projektowania, ale odnosi si\u281? r\u243?wnie\u380? do samego etapu przetwarzania danych.
\par 
\par W ocenie S\u261?du niezasadny jest tak\u380?e zarzut 2 skargi dotycz\u261?cy naruszenia prawa materialnego, kt\u243?re mia\u322?o wp\u322?yw na wynik sprawy, tj. art. 83 ust. 1 w zwi\u261?zku
\par 
\par z art. 83 ust. 2 lit. a) RODO, polegaj\u261?cego na ich niew\u322?a\u347?ciwym zastosowaniu
\par 
\par i przyj\u281?ciu, \u380?e osoby, kt\u243?rych dotyczy\u322?o naruszenie ochrony danych osobowych, ponios\u322?y szkod\u281?, o kt\u243?rej mowa w art. 83 ust. 2 lit. a), podczas, gdy za poniesienie szkody nie mo\u380?e by\u263? uznawana obawa jej poniesienia przez osoby, kt\u243?rych dane dotycz\u261?, co doprowadzi\u322?o do niezasadnego na\u322?o\u380?enia na Skar\u380?\u261?c\u261? administracyjnej kary pieni\u281?\u380?nej, w wysoko\u347?ci naruszaj\u261?cej zasad\u281? proporcjonalno\u347?ci.
\par 
\par W niniejszej sprawie nie ulega w\u261?tpliwo\u347?ci, \u380?e dosz\u322?o do wycieku danych osobowych abonent\u243?w us\u322?ug przedp\u322?aconych, z uwagi na podatno\u347?\u263? system\u243?w informatycznych na naruszenie. Ponad 100 ty\u347?. abonent\u243?w us\u322?ug przedp\u322?aconych sp\u243?\u322?ki zosta\u322?o dotkni\u281?tych naruszeniem poufno\u347?ci ich danych. Zdaniem S\u261?du Prezes UODO prawid\u322?owo przyj\u261?\u322?, \u380?e w sprawie dosz\u322?o do zaistnienia szkody niemaj\u261?tkowej w postaci obawy przed utrat\u261? kontroli abonent\u243?w nad swoimi danymi osobowymi.
\par 
\par Jak wskaza\u322? S\u261?d Okr\u281?gowy w W. w wyroku z dnia [...] sierpnia 2020 r. sygn. akt [...] obawa, a wi\u281?c utrata bezpiecze\u324?stwa stanowi realn\u261? szkod\u281? niemaj\u261?tkow\u261? wi\u261?\u380?\u261?c\u261? si\u281? z obowi\u261?zkiem jej naprawienia.
\par 
\par Z powy\u380?szym zarzutem skargi powi\u261?zany jest zarzut 12, kt\u243?ry dotyczy naruszenie przepis\u243?w post\u281?powania, kt\u243?re mia\u322?o istotny wp\u322?yw na wynik sprawy, tj. art. 7 KPA w zwi\u261?zku z art. 77 KPA i art. 80 KPA, polegaj\u261?ce na niepodj\u281?ciu z urz\u281?du wszelkich czynno\u347?ci niezb\u281?dnych do dok\u322?adnego wyja\u347?nienia stanu faktycznego oraz niezebraniu i nierozpatrzeniu ca\u322?ego materia\u322?u dowodowego w spos\u243?b wyczerpuj\u261?cy, a tak\u380?e b\u322?\u281?dnym przyj\u281?ciu przez organ, \u380?e uprawnienia, kt\u243?rymi dysponowa\u322? atakuj\u261?cy pozostaj\u261? bez znaczenia dla stwierdzenia naruszenia przez V. przepis\u243?w RODO, podczas gdy okoliczno\u347?ci ataku, kt\u243?rego ofiar\u261? pad\u322?a ww. sp\u243?\u322?ka, stanowi\u261? istotny element stanu faktycznego, niezb\u281?dny w celu prawid\u322?owego ustalenia skali naruszenia, co skutkowa\u322?o nies\u322?usznym na\u322?o\u380?eniem na Skar\u380?\u261?c\u261? administracyjnej kary pieni\u281?\u380?nej w wysoko\u347?ci wskazanej w decyzji.
\par 
\par W ocenie S\u261?du w sprawie nie dosz\u322?o do naruszenia wskazanych powy\u380?ej przepis\u243?w post\u281?powania. Prezes UODO okre\u347?li\u322? rozmiar zaistnia\u322?ej szkody niemaj\u261?tkowej, o czym mowa by\u322?a powy\u380?ej. Skar\u380?\u261?ca w toku ca\u322?ego post\u281?powania nie przedstawi\u322?a \u380?adnych dowod\u243?w \u347?wiadcz\u261?cych o fakcie braku zaistnienia szkody, nie przed\u322?o\u380?y\u322?a chocia\u380?by o\u347?wiadcze\u324? os\u243?b dotkni\u281?tych naruszeniem poufno\u347?ci ich danych, \u380?e nie ponios\u322?y one z tego tytu\u322?u \u380?adnej szkody maj\u261?tkowej, czy niemaj\u261?tkowej.
\par 
\par Zasada oficjalno\u347?ci post\u281?powania administracyjnego nak\u322?ada na organ obowi\u261?zek gromadzenia w sprawie materia\u322?u dowodowego, nie oznacza to jednak,
\par 
\par \u380?e strona postepowania mo\u380?e zachowywa\u263? bierno\u347?\u263? w jego toku. To na stronie post\u281?powania spoczywa obowi\u261?zek wykazania konkretnych fakt\u243?w i zdarze\u324?,
\par 
\par z kt\u243?rych wywodzi dla siebie okre\u347?lone skutki prawne.
\par 
\par Odnosz\u261?c si\u281? do zarzutu 3 dotycz\u261?cego art. 153 p.p.s.a. w zwi\u261?zku z art. 83 ust. 2 lit. h) RODO, polegaj\u261?cego na ich niezastosowaniu i uznaniu wbrew wytycznym WSA zawartym w wyroku z 21 pa\u378?dzierniku 2021 r., \u380?e fakt zawiadomienia podmiot\u243?w danych o naruszeniu przez V. nie ma wp\u322?ywu na wymiar administracyjnej kary pieni\u281?\u380?nej; naruszenie prawa materialnego, kt\u243?re mia\u322?o wp\u322?yw na wynik sprawy, tj. art. 32 ust. 1 lit. d w zwi\u261?zku z art. 32 ust. 2 RODO, polegaj\u261?ce na ich niew\u322?a\u347?ciwym zastosowaniu i przyj\u281?ciu, \u380?e niewdro\u380?enie \u347?rodka bezpiecze\u324?stwa organizacyjnego polegaj\u261?cego na regularnym testowaniu, mierzeniu i ocenianiu skuteczno\u347?ci \u347?rodk\u243?w technicznych i organizacyjnych maj\u261?cych zapewni\u263? bezpiecze\u324?stwo przetwarzania wdro\u380?onych przez V., doprowadzi\u322?o do niewykrycia podatno\u347?ci b\u281?d\u261?cej przyczyn\u261? naruszenia ochrony danych osobowych oraz stanowi\u322?o naruszenie obowi\u261?zk\u243?w wynikaj\u261?cych z RODO, za kt\u243?re organ niezasadnie na\u322?o\u380?y\u322? na Skar\u380?\u261?c\u261? administracyjn\u261? kar\u281? pieni\u281?\u380?n\u261?.
\par 
\par W pierwszej kolejno\u347?ci nale\u380?y wskaza\u263?, \u380?e zgodnie ze stanowiskiem Grupy Roboczej Art. 29 wytycznych w sprawie stosowania i ustalania administracyjnych kar pieni\u281?\u380?nych do cel\u243?w rozporz\u261?dzenia nr 2016/679 (WP 253 17/PL), administrator danych osobowych ma obowi\u261?zek zawiadomienia organ nadzoru o naruszeniu danych osobowych. Zwyk\u322?e dope\u322?nienie tego obowi\u261?zku nie mo\u380?e by\u263? interpretowane jako czynnik os\u322?abiaj\u261?cy/\u322?agodz\u261?cy. Innymi s\u322?owy, zdaniem S\u261?du, takie zawiadomienie jest irrelewantne dla wymierzanej kary pieni\u281?\u380?nej.
\par 
\par Odnosz\u261?c si\u281? do naruszenia art. 32 ust. 1 lit. d) w zwi\u261?zku z art. 32 ust. 2 RODO nale\u380?y wskaza\u263?, \u380?e S\u261?d w uzasadnieniu wyroku o sygn. akt II SA/Wa 272/21 stan\u261?\u322? na stanowisku, \u380?e powy\u380?szy zarzut skargi by\u322? bezzasadny. To na administratorze spoczywa obowi\u261?zek takiego doboru \u347?rodk\u243?w zabezpieczenia, aby zminimalizowa\u263? ryzyko ich naruszenia. Podobne stanowisko wyrazi\u322? Wojew\u243?dzki S\u261?d Administracyjny w Warszawie w wyroku z dnia 26 sierpnia 2020 r. sygn. akt II SA/Wa 2826/19, gdzie wskazano, \u380?e "czynno\u347?ci o charakterze techniczno-organizacyjnym le\u380?\u261? w gestii administratora danych osobowych, ale nie mog\u261? by\u263? dobierane w spos\u243?b ca\u322?kowicie swobodny i dobrowolny, bez uwzgl\u281?dnienia stopnia ryzyka oraz charakteru chronionych danych osobowych." (por. wyrok Wojew\u243?dzkiego S\u261?du Administracyjnego w Warszawie z 26 sierpnia 2020 r. sygn. akt II SA/Wa 2826/19).
\par 
\par Podkre\u347?lenia wymaga, \u380?e regularne testowanie, mierzenie i ocenianie skuteczno\u347?ci \u347?rodk\u243?w technicznych i organizacyjnych maj\u261?cych zapewni\u263? bezpiecze\u324?stwo przetwarzania jest podstawowym obowi\u261?zkiem ka\u380?dego administratora oraz podmiotu przetwarzaj\u261?cego wynikaj\u261?cym z art. 32 ust 1 lit. d) RODO. Administrator zobowi\u261?zany jest wi\u281?c do weryfikacji zar\u243?wno doboru,
\par 
\par jak i poziomu skuteczno\u347?ci stosowanych \u347?rodk\u243?w technicznych na ka\u380?dym etapie przetwarzania. Kompleksowo\u347?\u263? tej weryfikacji powinna by\u263? oceniana przez pryzmat adekwatno\u347?ci do ryzyk oraz proporcjonalno\u347?ci w stosunku do stanu wiedzy technicznej, koszt\u243?w wdra\u380?ania oraz charakteru, zakresu, kontekstu i cel\u243?w przetwarzania. Jak s\u322?usznie zauwa\u380?y\u322? organ, Skar\u380?\u261?ca nie podj\u281?\u322?a minimalnych dzia\u322?a\u324? w celu zweryfikowania, czy tworzony przez ni\u261? system dzia\u322?a poprawnie
\par 
\par i zgodnie z przyj\u281?tymi za\u322?o\u380?eniami, kt\u243?re mia\u322?y polega\u263? na walidacji numeru POS
\par 
\par z numerem wniosku, nie sprawdzono wi\u281?c czy przyj\u281?te \u347?rodki kontroli s\u261? skuteczne
\par 
\par i w spos\u243?b prawid\u322?owy chroni\u261? dane osobowe abonent\u243?w.
\par 
\par Jak wskaza\u322? organ, wskazane testowanie, mierzenie i ocenianie, aby stanowi\u322?o realizacj\u281? wymogu wynikaj\u261?cego z art. 32 ust. 1 lit. d) RODO, musi by\u263? dokonywane w spos\u243?b regularny, co oznacza \u347?wiadome zaplanowanie i zorganizowanie, a tak\u380?e dokumentowanie (w zwi\u261?zku z zasad\u261? rozliczalno\u347?ci, o kt\u243?rej mowa w art. 5 ust. 2 RODO) tego typu dzia\u322?a\u324? w okre\u347?lonych przedzia\u322?ach czasowych, niezale\u380?nie
\par 
\par od zmian w organizacji i przebiegu proces\u243?w przetwarzania danych spowodowanych np. zmian\u261? organizacyjn\u261? u administratora danych.
\par 
\par W tym miejscu warto przytoczy\u263? orzeczenie Wojew\u243?dzki S\u261?d Administracyjny w Warszawie w wyroku z 3 wrze\u347?nia 2020 r. o sygn. II SA/Wa 2559/19, w kt\u243?rym wskazano, \u380?e: "Rozporz\u261?dzenie 2016/679 wprowadzi\u322?o podej\u347?cie, w kt\u243?rym zarz\u261?dzanie ryzykiem jest fundamentem dzia\u322?a\u324? zwi\u261?zanych z ochron\u261? danych osobowych i ma charakter ci\u261?g\u322?ego procesu. Podmioty przetwarzaj\u261?ce dane osobowe zobligowane s\u261? nie tylko do zapewnienia zgodno\u347?ci z wytycznymi ww. rozporz\u261?dzenia poprzez jednorazowe wdro\u380?enie organizacyjnych i technicznych \u347?rodk\u243?w bezpiecze\u324?stwa, ale r\u243?wnie\u380? do zapewnienia ci\u261?g\u322?o\u347?ci monitorowania poziomu zagro\u380?e\u324? oraz zapewnienia rozliczalno\u347?ci w zakresie poziomu oraz adekwatno\u347?ci wprowadzonych zabezpiecze\u324?. Oznacza to, \u380?e konieczno\u347?ci\u261? staje si\u281? mo\u380?liwo\u347?\u263? udowodnienia przed organem nadzorczym, \u380?e wprowadzone rozwi\u261?zania, maj\u261?ce na celu zapewnienie bezpiecze\u324?stwa danych osobowych, s\u261? adekwatne do poziomu ryzyka, jak r\u243?wnie\u380? uwzgl\u281?dniaj\u261? charakter danej organizacji oraz wykorzystywanych mechanizm\u243?w przetwarzania danych osobowych. Administrator samodzielnie ma przeprowadzi\u263? szczeg\u243?\u322?ow\u261? analiz\u281? prowadzonych proces\u243?w przetwarzania danych i dokona\u263? oceny ryzyka, a nast\u281?pnie zastosowa\u263? takie \u347?rodki i procedury, kt\u243?re b\u281?d\u261? adekwatne do oszacowanego ryzyka.
\par 
\par Konsekwencj\u261? takiej orientacji jest rezygnacja z list wymaga\u324?, w zakresie bezpiecze\u324?stwa narzuconych przez prawodawc\u281?, na rzecz samodzielnego doboru zabezpiecze\u324? w oparciu o analiz\u281? zagro\u380?e\u324?. Administratorom nie wskazuje si\u281? konkretnych \u347?rodk\u243?w i procedur w zakresie bezpiecze\u324?stwa. Administrator samodzielnie ma przeprowadzi\u263? szczeg\u243?\u322?ow\u261? analiz\u281? prowadzonych proces\u243?w przetwarzania danych i dokona\u263? oceny ryzyka, a nast\u281?pnie zastosowa\u263? takie \u347?rodki
\par 
\par i procedury, kt\u243?re b\u281?d\u261? adekwatne do oszacowanego ryzyka."
\par 
\par Z akt sprawy wynika, \u380?e przedstawiona w toku kontroli analiza ryzyka, przeprowadzona w maju 2018 r., nie odzwierciedla w pe\u322?ni stanu faktycznego procesu "Rejestracja danych w POS", b\u281?d\u261?cego przedmiotem kontroli, w zwi\u261?zku
\par 
\par z wyst\u261?pieniem naruszenia danych osobowych, zg\u322?oszonego przez Sp\u243?\u322?k\u281? V.
\par 
\par [...] grudnia 2019 r. Jak wynika z materia\u322?u zebranego w toku kontroli, przegl\u261?d \u347?rodk\u243?w technicznych i organizacyjnych zosta\u322? przeprowadzony przez Sp\u243?\u322?k\u281? jedynie przed rozpocz\u281?ciem stosowania rozporz\u261?dzenia 2016/679. Nie spos\u243?b jednak uzna\u263? go za realny i faktyczny, nie doprowadzi\u322? bowiem do ujawnienia podatno\u347?ci
\par 
\par w funkcjonowaniu systemu.
\par 
\par S\u261?d w pe\u322?ni podziela stanowisko organu, i\u380? badanie prawdopodobie\u324?stwa wyst\u261?pienia danego zdarzenia nie powinno opiera\u263? si\u281? wy\u322?\u261?cznie na podstawie cz\u281?stotliwo\u347?ci wyst\u281?powania zdarze\u324? w danej organizacji, albowiem fakt nie wyst\u261?pienia danego zdarzenia w przesz\u322?o\u347?ci wcale nie oznacza, \u380?e nie mo\u380?e ono zaistnie\u263? w przysz\u322?o\u347?ci.
\par 
\par Na zako\u324?czenie warto powo\u322?a\u263? si\u281? na stanowisko Europejska Rada Ochrony Danych (EROD) zawarte w Wytycznych nr 4/2019 dotycz\u261?cych artyku\u322?u 25 gdzie wskazano, \u380?e "Uwzgl\u281?dnianie ochrony danych w fazie projektowania oraz domy\u347?lna ochrona danych", wersja 2.0, przyj\u281?tych 20 pa\u378?dziernika 2020 r., wskazuje, \u380?e "obowi\u261?zek utrzymania, przegl\u261?du i aktualizacji, w miar\u281? potrzeby, operacji przetwarzania dotyczy r\u243?wnie\u380? wcze\u347?niej istniej\u261?cych system\u243?w. Oznacza to, \u380?e dotychczasowe systemy zaprojektowane przed wej\u347?ciem w \u380?ycie RODO nale\u380?y poddawa\u263? przegl\u261?dom i konserwacji, aby zapewni\u263? wdro\u380?enie \u347?rodk\u243?w
\par 
\par i zabezpiecze\u324?, kt\u243?re w skuteczny spos\u243?b wdra\u380?aj\u261? zasady i prawa os\u243?b, kt\u243?rych dane dotycz\u261?, jak okre\u347?lono w niniejszych wytycznych".
\par 
\par Odnosz\u261?c si\u281? do zarzutu 4 skargi, dotycz\u261?cego naruszenia art. 25 ust.1 RODO nale\u380?y wskaza\u263?, \u380?e zarzut ten zosta\u322? ju\u380? om\u243?wiony powy\u380?ej i jest niezasadny.
\par 
\par Jak s\u322?usznie wskaza\u322? organ w sprawie dosz\u322?o do szkody niematerialnej w postaci obawy a wi\u281?c utrat\u261? bezpiecze\u324?stwa ochrony danych osobowych, zwi\u261?zanego
\par 
\par z wyciekiem tych danych.
\par 
\par Przechodz\u261?c do om\u243?wienia zarzutu 5 skargi, kt\u243?rego tre\u347?\u263? szczeg\u243?\u322?owo zosta\u322?a wskazana w cz\u281?\u347?ci historycznej uzasadnienia, a dotycz\u261?cego przyj\u281?cia przez organ, \u380?e w zwi\u261?zku z ujawnienie nr PESEL prowadzi do wysokiego ryzyka naruszenia praw i wolno\u347?ci , w szczeg\u243?lno\u347?ci wysokiego ryzyka kradzie\u380?y to\u380?samo\u347?ci, nale\u380?y stwierdzi\u263?, \u380?e sk\u322?ad orzekaj\u261?cy w tej sprawie w pe\u322?ni podziela stanowisko organu
\par 
\par w tym zakresie.
\par 
\par W ocenie S\u261?du, kt\u243?ra to ocena jest zbie\u380?na z ocen\u261? organu, podczas oceny ryzyka naruszenia praw lub wolno\u347?ci os\u243?b fizycznych nale\u380?y zwr\u243?ci\u263? uwag\u281? na wytyczne Grupy Roboczej Art. 29 (tj. Grupy Roboczej ds. Ochrony Os\u243?b Fizycznych w zakresie Przetwarzania Danych Osobowych, powo\u322?anej na mocy art. 29 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 pa\u378?dziernika 1995 r., zast\u261?pionej zgodnie z art. 68 rozporz\u261?dzenia 2016/679 Europejsk\u261? Rad\u261? Ochrony Danych Osobowych, kt\u243?ra podczas pierwszego posiedzenia plenarnego zatwierdzi\u322?a m.in. ni\u380?ej przywo\u322?ane wytyczne), dotycz\u261?ce zg\u322?aszania narusze\u324? ochrony danych osobowych zgodnie z rozporz\u261?dzeniem 2016/679, zwanych dalej r\u243?wnie\u380? "wytycznymi".
\par 
\par Jak wynika z ww. wytycznych, "podczas oceny ryzyka, kt\u243?re mo\u380?e powsta\u263?
\par 
\par w wyniku naruszenia, administrator powinien \u322?\u261?cznie uwzgl\u281?dni\u263? wag\u281? potencjalnego wp\u322?ywu na prawa i wolno\u347?ci os\u243?b fizycznych i prawdopodobie\u324?stwo jego wyst\u261?pienia. Oczywi\u347?cie ryzyko wzrasta, gdy konsekwencje naruszenia s\u261? powa\u380?niejsze, jak r\u243?wnie\u380? wtedy, gdy wzrasta prawdopodobie\u324?stwo ich wyst\u261?pienia" oraz "Ryzyko to istnieje w przypadku, gdy naruszenie mo\u380?e prowadzi\u263? do uszczerbku fizycznego lub szk\u243?d maj\u261?tkowych lub niemaj\u261?tkowych dla os\u243?b, kt\u243?rych dane zosta\u322?y naruszone. Przyk\u322?ady takich szk\u243?d obejmuj\u261? dyskryminacj\u281?, kradzie\u380? lub sfa\u322?szowanie to\u380?samo\u347?ci, straty finansowe i naruszenie dobrego imienia".
\par 
\par W wyroku z dnia 31 sierpnia 2022 r. WSA w Warszawie, sygn. akt II SA/Wa 2993/21, wskazano, \u380?e "(...) organ trafnie przyj\u261?\u322?, i\u380? wyst\u261?pi\u322?o wysokie ryzyko naruszenia praw i wolno\u347?ci os\u243?b obj\u281?tych przedmiotowym naruszeniem z uwagi na mo\u380?liwo\u347?\u263? \u322?atwej, w oparciu o ujawnione dane, identyfikacji os\u243?b, kt\u243?rych dane zosta\u322?y obj\u281?te naruszeniem. Dane te bowiem to imi\u281? i nazwisko, adres do korespondencji, numer telefonu, numer PESEL os\u243?b posiadaj\u261?cych polskie obywatelstwo".
\par 
\par S\u261?d orzekaj\u261?cy w tej sprawie w pe\u322?ni podziela stanowisko wyra\u380?one
\par 
\par w cytowanym wyroku i przyjmuje je za w\u322?asne.
\par 
\par Na zako\u324?czenie nale\u380?y powo\u322?a\u263? si\u281? na Wytyczne Europejskiej Rady Ochrony Danych 01/2021 w sprawie przyk\u322?ad\u243?w dotycz\u261?cych powiadomienia o naruszeniu danych osobowych przyj\u281?tych w dniu 14 grudnia 2021 r., wersja 2.0 (dalej "Wytyczne EROD 01/2021"), przyk\u322?ad nr 14, odnosz\u261?cy si\u281? do sytuacji "wys\u322?ania poczt\u261? przez pomy\u322?k\u281? wysoce poufnych danych osobowych". We wspomnianym przypadku dosz\u322?o do ujawnienia numeru ubezpieczenia spo\u322?ecznego, b\u281?d\u261?cego odpowiednikiem stosowanego w Polsce nr PESEL. W omawianym przypadku Europejska Rada Ochrony Danych (dalej "EROD") nie mia\u322?a w\u261?tpliwo\u347?ci, \u380?e ujawnione dane w zakresie: imi\u281? i nazwisko, adres e-mail, adres pocztowy, numer ubezpieczenia spo\u322?ecznego, wskazuj\u261? na wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych
\par 
\par ("zaanga\u380?owanie ich [os\u243?b poszkodowanych] numeru ubezpieczenia spo\u322?ecznego,
\par 
\par a tak\u380?e innych, bardziej podstawowych danych osobowych, dodatkowo zwi\u281?ksza ryzyko, kt\u243?re mo\u380?na okre\u347?li\u263? jako wysokie ").
\par 
\par Reasumuj\u261?c S\u261?d stoi na stanowisku, \u380?e ujawnienie numeru PESEL, wskazuje na wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych.
\par 
\par Odnosz\u261?c si\u281? do zarzutu 6 skargi, kt\u243?rego tre\u347?\u263? szczeg\u243?\u322?owo zosta\u322?a przytoczona w cz\u281?\u347?ci historycznej uzasadnienia, nale\u380?y wskaza\u263?, \u380?e zar\u243?wno Sp\u243?\u322?ka V. jak i [...] przetwarza dane osobowe na masow\u261? skal\u281?. W ocenie S\u261?du masowe przetwarzanie musi si\u281? wi\u261?za\u263? z wy\u380?szym poziomem odpowiedzialno\u347?ci administratora i wy\u380?szym poziomem nale\u380?ytej staranno\u347?ci, gdy\u380? nieodpowiednie zabezpieczenie danych mo\u380?e skutkowa\u263? negatywnymi konsekwencjami dla wielu os\u243?b. Przetwarzanie tych danych odbywa\u322?o si\u281? przy u\u380?yciu \u347?rodka informatycznego, co w konsekwencji powodowa\u322?o podwy\u380?szon\u261? odpowiedzialno\u347?\u263? za wdro\u380?enie \u347?rodk\u243?w organizacyjnych i technicznych dla zabezpieczenia systemu, czego w tej sprawie zabrak\u322?o. Naruszenie to zdaniem S\u261?du, kt\u243?re to zdanie jest zbie\u380?ne z ocen\u261? organu, stwarza zagro\u380?enie dla wszystkich klient\u243?w sp\u243?\u322?ki.
\par 
\par Odnosz\u261?c si\u281? do zarzutu 7 skargi, kt\u243?rego tre\u347?\u263? szczeg\u243?\u322?owo zosta\u322?a przytoczona w cz\u281?\u347?ci historycznej uzasadnienia, a dotycz\u261?cego na\u322?o\u380?enia kary pieni\u281?\u380?nej w nieadekwatnej wysoko\u347?ci, nale\u380?y wskaza\u263?, \u380?e z tak\u261? kwalifikacj\u261? naruszenia przez Sp\u243?\u322?k\u281? V. przepis\u243?w rozporz\u261?dzenia zgodzi\u322? si\u281? WSA w wyroku z 21 pa\u378?dziernika 2021 r. (sygn. akt II SA/Wa 272/21), kt\u243?ry wskaza\u322?, \u380?e "nie mo\u380?na uzna\u263? zarzut\u243?w skargi o naruszeniu przez Prezesa UODO przepis\u243?w art. 5 ust. 1 lit. f) i ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b) i d) i ust. 2 RODO. Zdaniem S\u261?du Prezes UODO wzi\u261?\u322? pod rozwag\u281?, czy Sp\u243?\u322?ka jako administrator danych osobowych, przeanalizowa\u322?a ryzyko zwi\u261?zane z ochron\u261? danych osobowych, czy udokumentowa\u322?a i uzasadni\u322?a je nale\u380?ycie w stanie faktycznym sprawy, czy bada\u322?a od dnia wej\u347?cia w \u380?ycie przepis\u243?w RODO, czyli od maja 2018 r. procesy przetwarzania danych osobowych na poszczeg\u243?lnych etapach i czy zastosowane przez Sp\u243?\u322?k\u281? procedury by\u322?y adekwatne do oszacowanego ryzyka" (s. 49-50).
\par 
\par Odnosz\u261?c si\u281? do zarzutu 8 skargi, kt\u243?rego tre\u347?\u263? szczeg\u243?\u322?owo zosta\u322?a przytoczona w cz\u281?\u347?ci historycznej uzasadnienia, a dotyczy on wyk\u322?adni okre\u347?lenia "poprzedni rok obrotowy" z art.83 ust.4 i 5 rozporz\u261?dzenia 2016/679, nale\u380?y wskaza\u263?, \u380?e w ocenie S\u261?du wysoko\u347?\u263? ca\u322?kowitego rocznego \u347?wiatowego obrotu z poprzedniego roku obrotowego dotyczy roku poprzedzaj\u261?cego na\u322?o\u380?enie kary. Analogicznie brzmi art. 106 ustawy o ochronie konkurencji i konsument\u243?w. Po uchyleniu wyrokiem WSA z 21 pa\u378?dziernika 2021 r., sygn. akt II SA/Wa 272/21, decyzji Prezesa UODO rozstrzyga on spraw\u281? na nowo stosuj\u261?c wytyczne s\u261?du. Konieczne jest uwzgl\u281?dnianie obrotu dzia\u322?alno\u347?ci gospodarczej poprzedzaj\u261?cego ponowne na\u322?o\u380?enie kary dla oceny potencja\u322?u rynkowego pope\u322?niaj\u261?cego delikt administracyjny dla cel\u243?w miarkowania kary. O ile elementy strony przedmiotowej deliktu administracyjnego, czyli okoliczno\u347?ci takie jak waga naruszenia, charakter naruszonych danych oceniany jest z daty jego pope\u322?nienia to ju\u380? kwestie mo\u380?liwo\u347?ci finansowych oceniane s\u261? zgodnie z wyk\u322?adni\u261? funkcjonaln\u261?, a wyrazem sytuacji finansowej jest rzeczony obr\u243?t.
\par 
\par Organ ponownie rozpoznaj\u261?c spraw\u281? po uchyleniu decyzji przez S\u261?d bierze pod uwag\u281? nowy stan faktyczny, zw\u322?aszcza \u380?e warto\u347?\u263? obrotu obliczona dla tej decyzji mie\u347?ci si\u281? w poprzednim obrocie nie przekraczaj\u261?c go, co prowadzi do wzgl\u281?dniejszego potraktowania. Jest to sp\u243?jne z uzupe\u322?niaj\u261?c\u261? regulacj\u281? RODO zasad\u261? z art. 101a ust. 2 ustawy o ochronie danych osobowych, kt\u243?ra wskazuje, \u380?e
\par 
\par w przypadku braku danych na temat obrotu, Prezes UODO ustala podstaw\u281? wymiaru administracyjnej kary pieni\u281?\u380?nej w oparciu o szacunki co do wielko\u347?ci podmiotu, specyfiki prowadzonej przez niego dzia\u322?alno\u347?ci lub og\u243?lnie dost\u281?pne dane finansowe dotycz\u261?ce podmiotu. Analiza tego stanu faktycznego musi by\u263? aktualna na dzie\u324? orzekania, czyli na\u322?o\u380?enia kary pieni\u281?\u380?nej tak\u380?e ponownie. Nie jest to przecie\u380? post\u281?powanie odwo\u322?awcze gdzie obowi\u261?zuje regulacja reformationis in peius, tylko rozpatrzenie sprawy na nowo jak organ I instancji.
\par 
\par W komentarzach do regulacji analogicznej z art. 106 ustawy o ochronie konkurencji i konsument\u243?w wskazuje si\u281?, \u380?e: "stosowanie terminu \u187?obr\u243?t\u171?, kt\u243?ry jest \u347?ci\u347?le zwi\u261?zany z rozmiarami prowadzonej dzia\u322?alno\u347?ci gospodarczej na dzie\u324? orzekania organu, pozwoli urealni\u263? podstaw\u281? naliczania kar nak\u322?adanych przez Prezesa UOKiK do jego sytuacji maj\u261?tkowej" (M. Mamczarek, Ustawa o ochronie konkurencji i konsument\u243?w. Komentarz, legalis).
\par 
\par Na poparcie powy\u380?szych twierdze\u324? mo\u380?na przytoczy\u263? te\u380? taki wyrok co prawda na gruncie ustawy o ochronie konkurencji i konsument\u243?w, ale potwierdzaj\u261?cy,
\par 
\par \u380?e wskazanie wide\u322?ek uzale\u380?nionych od procentu obrotu przedsi\u281?biorcy jest celowe. "Celem tym jest unikni\u281?cie nak\u322?adania grzywien, kt\u243?rych przedsi\u281?biorstwa przewidywalnie nie b\u281?d\u261? w stanie zap\u322?aci\u263? ze wzgl\u281?du na ich wielko\u347?\u263? okre\u347?lon\u261? na podstawie ca\u322?kowitego obrotu, jakkolwiek w spos\u243?b przybli\u380?ony i niedoskona\u322?y. Jak wynika z orzecznictwa Trybuna\u322?u, kwota grzywny, jaka mo\u380?e zosta\u263? na\u322?o\u380?ona na przedsi\u281?biorstwo, ma bowiem g\u243?rn\u261? granic\u281? okre\u347?lon\u261? liczbowo i w spos\u243?b bezwzgl\u281?dny, tak \u380?e maksymalna kwota grzywny, kt\u243?r\u261? mo\u380?na na\u322?o\u380?y\u263? na dane przedsi\u281?biorstwo, mo\u380?e by\u263? z g\u243?ry przewidziana (zob. podobnie wyrok z dnia 9 lipca 2015 r., InnoLux/Komisja, C-231/14_P, EU:C:2015:451, pkt 48 i przytoczone tam orzecznictwo). A zatem w \u347?wietle tego celu S\u261?d (w naszym przypadku Prezes UODO \u8211? dopisek w\u322?asny) nie mo\u380?e by\u263? krytykowany za to, \u380?e w pkt 415 zaskar\u380?onego wyroku orzek\u322?, i\u380? zasadniczo to na podstawie reali\u243?w gospodarczych panuj\u261?cych w trakcie roku obrotowego poprzedzaj\u261?cego wydanie decyzji nak\u322?adaj\u261?cej sankcje za naruszenie art. 81 WE nale\u380?y ustala\u263? g\u243?rn\u261? granic\u281?, o kt\u243?rej mowa w art. 2 ust. 2 akapit drugi rozporz\u261?dzenia nr 1/2003.\u8217?\u8217? (Wyrok Trybuna\u322?u Sprawiedliwo\u347?ci z dnia 7 wrze\u347?nia 2016 r. C-101/15 P).
\par 
\par Odnosz\u261?c si\u281? do zarzutu 9 skargi, kt\u243?rego tre\u347?\u263? szczeg\u243?\u322?owo zosta\u322?a przytoczona w cz\u281?\u347?ci historycznej uzasadnienia, nale\u380?y wskaza\u263?, \u380?e organ
\par 
\par w uzasadnieniu zaskar\u380?onej decyzji wyja\u347?ni\u322? przes\u322?anki na\u322?o\u380?enia kary pieni\u281?\u380?nej oraz czynniki maj\u261?ce wp\u322?yw na jej wysoko\u347?\u263?. Wskaza\u322? r\u243?wnie\u380? na okoliczno\u347?ci \u322?agodz\u261?ce. Zdaniem S\u261?du, kara pieni\u281?\u380?na zosta\u322?a prawid\u322?owo ustalona i uzasadniona.
\par 
\par W skar\u380?onej decyzji, w punktach, organ wskaza\u322? konkretne okoliczno\u347?ci, kt\u243?re wp\u322?yn\u281?\u322?y na wysoko\u347?\u263? tej kary. Skar\u380?\u261?ca tych okoliczno\u347?ci skutecznie nie podwa\u380?y\u322?a, poprzestaj\u261?c jedynie na polemice i stwierdzeniu, \u380?e jest ona zbyt wysoka.
\par 
\par Odnosz\u261?c si\u281? do zarzutu 10 skargi dotycz\u261?cego faktu, \u380?e delikt administracyjny pope\u322?ni\u322?a V., kt\u243?ra przesta\u322?a istnie\u263? w wyniku przej\u281?cia przez Skar\u380?\u261?c\u261?, kt\u243?ra to nie mia\u322?a \u380?adnego faktycznego zwi\u261?zku z naruszeniem ochrony danych osobowych, a mimo to to na Skar\u380?\u261?c\u261? na\u322?o\u380?ono kar\u261? administracyjn\u261?, S\u261?d wskazuje, \u380?e z akt sprawy wynika, \u380?e V. (sp\u243?\u322?ka przejmowana) po\u322?\u261?czy\u322?a si\u281? ze Sp\u243?\u322?k\u261? [...] sp. z o.o.(sp\u243?\u322?ka przejmuj\u261?ca), po\u322?\u261?czenie nast\u261?pi\u322?o w trybie art. 492 \u167? 1 kodeksu sp\u243?\u322?ek handlowych. Skutkiem przej\u281?cia przez [...] by\u322?o wst\u261?pienie we wszystkie prawa i obowi\u261?zki sp\u243?\u322?ki przejmowanej, tak\u380?e obowi\u261?zki publicznoprawne, w tym odpowiedzialno\u347?\u263? za delikty administracyjne.
\par 
\par Jak wskaza\u322? Naczelny S\u261?d Administracyjny w wyroku z dnia 19 stycznia
\par 
\par 2018 r. sygn. akt I OSK 1740/17 "Konsekwencj\u261? po\u322?\u261?czenia sp\u243?\u322?ek w trybie art. 492
\par 
\par \u167? 1 pkt 1 k.s.h. jest utrata bytu prawnego jedynie przez sp\u243?\u322?k\u281? przejmowan\u261?, w kt\u243?rej wszystkie prawa i obowi\u261?zki wst\u281?puje sp\u243?\u322?ka przejmuj\u261?ca, co nast\u281?puje z chwil\u261? po\u322?\u261?czenia, a wi\u281?c z dniem wpisania po\u322?\u261?czenia do rejestru w\u322?a\u347?ciwego wed\u322?ug siedziby, odpowiednio sp\u243?\u322?ki przejmuj\u261?cej, co powoduje jednocze\u347?nie wykre\u347?lenie sp\u243?\u322?ki przejmowanej z rejestru (art. 493 \u167? 1 i 2 oraz art. 494 \u167? 1 k.s.h.). Po\u322?\u261?czenie to nie prowadzi zatem do utraty bytu prawnego sp\u243?\u322?ki przejmuj\u261?cej i wykreowania na bazie maj\u261?tk\u243?w \u322?\u261?cz\u261?cych si\u281? sp\u243?\u322?ek nowego podmiotu prawa handlowego, jak ma to miejsce w przypadku po\u322?\u261?czenia na zasadach okre\u347?lonych w art. 492 \u167? 1 pkt 2 k.s.h., a wi\u281?c \u322?\u261?czenia si\u281? przez zawi\u261?zanie nowej sp\u243?\u322?ki. Sp\u243?\u322?ka przejmuj\u261?ca nadal istnieje zatem jako odr\u281?bny podmiot, a wszelkie nabyte przez ni\u261? przed po\u322?\u261?czeniem prawa, w tym prawa ze sfery publicznoprawnej, pozostaj\u261? przy tej sp\u243?\u322?ce. Sukcesja uniwersalna, a wi\u281?c wst\u261?pienie sp\u243?\u322?ki przejmuj\u261?cej we wszystkie prawa i obowi\u261?zki sp\u243?\u322?ki przejmowanej, wywo\u322?uje zatem tak\u380?e skutki w sferze praw i obowi\u261?zk\u243?w publicznoprawnych. W konsekwencji uzna\u263? nale\u380?y, i\u380? skoro nast\u281?pstwo prawne wyst\u281?puje pod tytu\u322?em og\u243?lnym, to nie mamy do czynienia z zako\u324?czeniem dzia\u322?alno\u347?ci sp\u243?\u322?ki przej\u281?tej, lecz z kontynuacj\u261? tej dzia\u322?alno\u347?ci przez sp\u243?\u322?k\u281? przejmuj\u261?c\u261?."
\par 
\par Jak wskaza\u322? S\u261?d Najwy\u380?szy w wyroku z dnia 19 wrze\u347?nia 2019 r., sygn. akt
\par 
\par I NSK 78/18, "Nie budzi w\u261?tpliwo\u347?ci, \u380?e w wyniku po\u322?\u261?czenia si\u281? sp\u243?\u322?ek w trybie art. 492 \u167? 1 pkt 1 k.s.h. jednym ze skutk\u243?w tej czynno\u347?ci jest zako\u324?czenie bytu sp\u243?\u322?ki przejmowanej, co nie oznacza unicestwienia sytuacji prawnej przejmowanego podmiotu, bowiem w wyniku po\u322?\u261?czenia z mocy prawa nast\u281?puje "scalenie si\u281?" obu podmiot\u243?w i podmiot przejmuj\u261?cy "wst\u281?puje" w ca\u322?\u261? sytuacj\u281? prawn\u261? podmiotu przej\u281?tego. Sp\u243?\u322?ka przejmuj\u261?ca, jest kontynuatork\u261? - nast\u281?pczyni\u261? prawn\u261? sp\u243?\u322?ki przej\u281?tej, bowiem \u380?art. 494 k .s.h. wynika wst\u261?pienie z dniem po\u322?\u261?czenia we wszystkie prawa i obowi\u261?zki sp\u243?\u322?ki przejmowanej. (...) W ocenie S\u261?du Najwy\u380?szego, sukcesja uniwersalna, o kt\u243?rej mowa wart. 494 \u167? 1 k.s.h. w kontek\u347?cie wst\u261?pienia w sytuacj\u281? prawn\u261? sp\u243?\u322?ki przejmowanej, obejmowa\u263? b\u281?dzie tak\u380?e odpowiedzialno\u347?\u263? za delikt administracyjny pope\u322?niony przez sp\u243?\u322?k\u281? przejmowan\u261? przed jej przej\u281?ciem przez sp\u243?\u322?k\u281? przejmuj\u261?c\u261?. W konsekwencji dopuszczalne jest wszcz\u281?cie post\u281?powania administracyjnego przeciwko sp\u243?\u322?ce przejmuj\u261?cej i w przypadku stwierdzenia naruszenia przepis\u243?w, wymierzenie jej kary za naruszenie prawa spowodowane przez sp\u243?\u322?k\u281? przej\u281?t\u261?."
\par 
\par Reasumuj\u261?c skoro Skar\u380?\u261?ca [...] wst\u261?pi\u322?a we wszystkie prawa i obowi\u261?zki sp\u243?\u322?ki przejmowanej powoduje tak\u380?e przeniesienie na sp\u243?\u322?k\u281? przejmuj\u261?c\u261? obowi\u261?zku zap\u322?aty administracyjnej kary pieni\u281?\u380?nej na\u322?o\u380?onej ostateczn\u261? decyzj\u261? po tym po\u322?\u261?czeniu
\par 
\par za wykroczenie pope\u322?nione przez sp\u243?\u322?k\u281? przejmowan\u261? przed po\u322?\u261?czeniem.
\par 
\par Niezrozumia\u322?y jest zdaniem S\u261?du zarzut 11 skargi dotycz\u261?cy rozmiaru szkody. W ocenie S\u261?du organ w zaskar\u380?onej decyzji wskaza\u322?, \u380?e dosz\u322?o do szkody niematerialnej, kt\u243?ra obj\u281?\u322?a okre\u347?lona liczb\u281? abonent\u243?w us\u322?ug przedp\u322?aconych.
\par 
\par Bior\u261?c powy\u380?sze pod rozwag\u281? S\u261?d dzia\u322?aj\u261?c na podstawie art. 151 p.p.s.a. skarg\u281? oddali\u322?.
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\pard}