drukuj    zapisz    Powrót do listy

647 Sprawy związane z ochroną danych osobowych, Ochrona danych osobowych, Generalny Inspektor Ochrony Danych Osobowych, Uchylono zaskarżoną decyzję w części, II SA/Wa 2465/21 - Wyrok WSA w Warszawie z 2021-11-15, Centralna Baza Orzeczeń Naczelnego (NSA) i Wojewódzkich (WSA) Sądów Administracyjnych, Orzecznictwo NSA i WSA

II SA/Wa 2465/21 - Wyrok WSA w Warszawie

Data orzeczenia
2021-11-15 orzeczenie nieprawomocne
Data wpływu
2021-07-05
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Waldemar Śledzik /przewodniczący sprawozdawca/
Symbol z opisem
647 Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżoną decyzję w części
Powołane przepisy
Dz.U. 2019 poz 2325 art. 145 par. 1 pkt 1 lit. c
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Sentencja

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Waldemar Śledzik (spr.), Sędzia WSA Piotr Borowiecki, Sędzia WSA Joanna Kruszewska-Grońska, , Protokolant referent stażysta Edyta Brzezicka, po rozpoznaniu na rozprawie w dniu 3 listopada 2021 r. sprawy ze skargi C.P. S.A. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] kwietnia 2021 r., nr [...] w przedmiocie nałożenia administracyjnej kary pieniężnej 1. uchyla decyzję w zaskarżonej części; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz C.P.S.A. z siedzibą w W. kwotę 22187 (słownie: dwadzieścia dwa tysiące sto osiemdziesiąt siedem) złotych, tytułem zwrotu kosztów postępowania.

Uzasadnienie

Decyzją z dnia [...] kwietnia 2021r. Prezes Urzędu Ochrony Danych Osobowych (zwany dalej także jako: "Prezes UODO"; "Organ") działając na podstawie art. 104 § 1 i 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm. – zwanej dalej także jako "k.p.a."), art. 7 ust. 1, art. 60, art. 101 i 103 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a), art. 58 ust. 2 lit. i) w związku z art. 24 ust. 1, art. 31, art. 32 ust. 1 i 2, art. 34 ust. 1, a także art. 83 ust. 1 i 2 oraz art. 83 ust. 4 lit. a) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35 – zwane dalej jako: "rozporządzenie 2016/679" ), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez [...] z siedzibą w [...] przy ul. [...] (zwany dalej także jako: "[...]’ "Spółka"), stwierdził naruszenie przez Spółkę [...], art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych przetwarzanych we współpracy z podmiotem świadczącym usługi kurierskie przez szybką identyfikację naruszeń ochrony danych osobowych oraz nałożył na Spółkę za naruszenie art. 32 ust. 1 i 2 rozporządzenia 2016/679 administracyjną karę pieniężną w wysokości 1.136.975 zł, zaś w pozostałym zakresie postępowanie umorzył.

Do wydania zaskarżonej decyzji doszło w następującym stanie faktycznym i prawnym.

W związku z regularnie dokonywanymi przez Spółkę zgłoszeniami do Urzędu Ochrony Danych Osobowych (dalej: także "UODO") naruszeń ochrony danych osobowych klientów [...], które polegały m.in. na utracie przez kurierów dokumentów zawierających dane osobowe klientów lub na wydaniu przez kurierów niewłaściwej osobie dokumentów zawierających dane osobowe w postaci: imienia i nazwiska, adresu zamieszkania lub pobytu, numeru PESEL, adresu e-maił, serii i numeru dowodu osobistego bądź innego dokumentu tożsamości, numeru telefonu oraz danych dotyczących łączących strony umów, Prezes UODO objął postępowaniem 84 zgłoszenia dokonane przez Spółkę w okresie od [...] czerwca do [...] lipca 2020 r., jak również w okresie od [...] sierpnia do [...] września 2020 r.

Przyjmując wyjaśnienia Spółki dotyczące powyższych naruszeń, zgłaszanych w okresie od grudnia 2019 r. do [...] maja 2020 r., Prezes UODO pismami z [...] kwietnia oraz [...] maja 2020 r. wskazał jednocześnie, że przedmiotowe naruszenia będą podlegały dalszej i ciągłej analizie porównawczej z ewentualnymi naruszeniami dokonywanymi w przyszłości, celem ustalenia skuteczności podjętych środków mających na celu zminimalizowanie negatywnych skutków naruszenia i ryzyka jego ponownego wystąpienia.

Ponadto Organ wyjaśnił, że informacje na temat zasad przetwarzania danych osobowych, treść obowiązujących w tej materii aktów prawnych, jak również wskazówki co do ich stosowania w praktyce, można odnaleźć na stronie internetowej Urzędu Ochrony Danych Osobowych (www.uodo.goy.pl), na której opublikowane są m.in. obowiązki administratorów związane z naruszeniami ochrony danych osobowych oraz Wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych, zgodnie z rozporządzeniem 2016/679 Grupy Roboczej art. 29 (zwane dalej także: "Wytycznymi").

Dokonując kolejnych analiz zgłoszeń naruszeń ochrony danych osobowych związanych ze współpracą Spółki z podmiotem świadczącym usługi kurierskie, w których Spółka wskazała, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Prezes UODO zwrócił uwagę na wzrost liczby zgłoszeń naruszeń tego typu w czerwcu 2020 r., w porównaniu z okresem od [...] stycznia do [...] maja 2020 r. oraz na znaczny upływ czasu od daty zaistnienia zdarzenia powodującego naruszenie ochrony danych osobowych do daty jego stwierdzenia przez Spółkę i w konsekwencji zawiadomienia osób, których dane dotyczą.

Analizując 57 zgłoszeń naruszenia ochrony danych osobowych, które wpłynęły do UODO w czerwcu 2020 r., Organ stwierdził, że nie odnotowano przypadków stwierdzenia przez Spółkę naruszenia w terminie do 7 dni od daty zdarzenia, które spowodowało naruszenie. Ustalono, że 6 naruszeń zostało stwierdzonych w terminie powyżej 7 do 14 dni po dacie zdarzenia powodującego naruszenie, 8 naruszeń zostało stwierdzonych w terminie powyżej 14 do 30 dni, 9 naruszeń zostało stwierdzonych w terminie powyżej 30 do 60 dni, zaś 34 naruszenia zostały stwierdzone przez Spółkę w terminie powyżej 60 dni od daty zdarzenia powodującego naruszenie, co stanowi 60 % ogólnej liczby naruszeń ochrony danych osobowych zgłoszonych w poddanym analizie okresie.

W związku z powyższym, w dniu [...] lipca 2020 r. Prezes UODO, na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679, zwrócił się do Spółki o przekazanie informacji i wskazanie:

1) działań mających na celu zminimalizowanie ryzyka ponownego wystąpienia naruszenia podjętych przez Spółkę w II kwartale 2020 r. w sprawach naruszeń mających związek z dostarczaniem przesyłek przez firmy kurierskie;

2) czy, a jeśli tak, to jakie techniczne i organizacyjne środki ochrony zostały wdrożone przez Spółkę, by od i bez zbędnej zwłoki zawiadomić organ nadzorczy i osobę, której dane dotyczą;

3) czy Spółka dokonała analizy wpływu terminowości identyfikacji naruszeń ochrony danych osobowych na prawa oraz wolności osób, których dane dotyczą i jakie były wyniki ww. analizy.

Jednocześnie, w piśmie z [...] lipca 2020 r. Organ przedstawił Spółce ogólne wyniki analizy zgłoszeń naruszeń ochrony danych osobowych dokonanych przez nią w czerwcu 2020 r.

Prezes UODO podkreślił też, że wraz z wyjaśnieniami należy złożyć dowody na ich potwierdzenie oraz pouczył, że brak złożenia wyjaśnień i dowodów na ich potwierdzenie może skutkować nałożeniem administracyjnej kary pieniężnej zgodnie z art. 83 ust. 5 lit. e) rozporządzenia 2016/679.

Pismem z [...] lipca 2020 r. Spółka udzieliła wyjaśnień, z których wynikało m.in., że została zapewniona przez przewoźnika o bieżącym monitorowaniu skali naruszeń, jak i podejmowaniu działań mających na celu wyeliminowanie lub co najmniej zminimalizowanie tego typu przypadków naruszeń.

Spółka wskazała też, że w drugim kwartale tego roku dla [...], w związku z trwającą pandemią, istotne było przede wszystkim zapewnienie bezpieczeństwa i zdrowia klientów i kurierów, w trakcie jej trwania, co znalazło swoje odzwierciedlenie w wypracowanej pomiędzy stronami instrukcji postępowania w trakcie doręczenia przesyłek, z zachowaniem najwyższych możliwych standardów bezpieczeństwa danych.

Spółka przedstawiła na tę okoliczność korespondencję z maja 2020 r. (dwie wiadomości e-mail) dotyczącą nieterminowego zgłoszenia naruszeń przez podmiot świadczący usługi kurierskie oraz wskazała, że wyjaśnia na bieżąco z przewoźnikiem przypadki naruszeń, celem wyeliminowania problemu opóźnień w przekazywaniu informacji o utracie danych. Wyjaśniła też dodatkowo, że istotny wpływ na terminowość zgłoszeń naruszeń ochrony danych osobowych dotyczących przedmiotowego postępowania w zakresie weryfikacji poprawności obsługi procesu dokumentów zwrotnych miał okres trwającej pandemii. Mianowicie z uwagi na ograniczenia u podmiotów kurierskich związane z okresem pandemii, wydłużeniu uległ proces weryfikacji i obsługi dokumentów zwrotnych, stąd informacje o zdarzeniach zostały zaraportowane przez przewoźnika z opóźnieniem.

Spółka podkreśliła, że w jej ocenie działania, które podejmuje, przynoszą efekty w dłuższej perspektywie, bowiem odsetek naruszeń ochrony danych osobowych w odniesieniu do wolumenu wszystkich przesyłek jest niewielki oraz przedstawiła wyliczenia za miesiąc czerwiec w tym zakresie.

Dodatkowo, w odpowiedzi na pismo Prezesa UODO z [...] lipca 2020 r. Spółka przekazała wyjaśnienia w przedmiocie naruszeń polegających na doręczeniu dokumentów osobom trzecim, zgodnie z którymi w większości przypadków, jak wynika z wyjaśnień przewoźnika, osoby, którym doręczane są dokumenty, to osoby bliskie (domownicy) osób, których dane dotyczą, wyrażając opinię, że doręczenie dokumentu osobie trzeciej będącej osobą bliską osoby, której dane dotyczą, powoduje bardzo małe prawdopodobieństwo zmaterializowania się ewentualnego ryzyka naruszenia praw i wolności związanego z tym zdarzeniem i w związku z czym wymaganie od niej informowania klientów o potencjalnych skutkach w zakresie naruszenia ich danych osobowych związanego z przekazaniem ich danych osobowych osobie trzeciej - bliskiej, wskutek działania na życzenie lub żądanie.

Prezes UODO uznał, że analiza zebranego w sprawie materiału, w tym wyjaśnień udzielonych przez [...], wykazała, że Spółka nie przedstawiła dostatecznych dowodów na podejmowane przez nią działania mające na celu zminimalizowanie ryzyka ponownego wystąpienia naruszenia.

Zdaniem Organu Spółka nie wskazała też technicznych i organizacyjnych środków ochrony wdrożonych przez Spółkę tak, aby od razu stwierdzić naruszenie ochrony danych osobowych i bez zbędnej zwłoki zawiadomić organ nadzorczy i osobę, której dane dotyczą, gdyż za takie nie mogą być uznane informacje, że "na bieżąco z przewoźnikiem wyjaśnia przypadki naruszeń celem wyeliminowania problemu opóźnień w przekazywaniu informacji o utracie danych", a o czym świadczą dołączone przez Spółkę e-maile w sprawie "nieterminowego zgłoszenia naruszeń" , z których wynika, że w maju 2020 r. wyjaśniane były naruszenia związane z przesyłkami nadanymi w grudniu 2019 r. oraz w styczniu i lutym 2020 r. - co poddało w wątpliwość informacje Spółki w zakresie bieżącego wyjaśniania z przewoźnikiem przypadków naruszeń.

Zgromadzony materiał dowodowy nie mógł potwierdzić również dodatkowych wyjaśnień Spółki, że "istotny wpływ na terminowość zgłoszeń naruszeń danych osobowych dotyczących niniejszego postępowania Urzędu, dotyczących weryfikacji poprawności obsługi procesu dokumentów zwrotnych, miał okres trwającej pandemii", ponieważ 60 % ogólnej liczby naruszeń ochrony danych osobowych zgłoszonych w czerwcu 2020 r. zostało zidentyfikowanych przez Spółkę powyżej 60 dni od daty zdarzenia powodującego naruszenie, zaś ponad 33 % ogólnej liczby zgłoszeń stanowiły zdarzenia zidentyfikowane przez Spółkę powyżej 90 dni od daty zdarzenia, tj. zdarzenia sprzed ogłoszenia stanu pandemii. Ponad 17 % ogólnej liczby naruszeń ochrony danych osobowych zgłoszonych w czerwcu 2020 r. dotyczyło zdarzeń ze stycznia 2020 r, oraz z 2019 r., co oznacza, że zostały zidentyfikowane przez Spółkę powyżej 120 dni od daty zdarzenia powodującego naruszenie ochrony danych osobowych.

Ponadto, Spółka nie odniosła się do wniosku Prezesa UODO o wskazanie, czy dokonała analizy wpływu terminowości identyfikacji naruszeń ochrony danych osobowych na prawa oraz wolności osób, których dane dotyczą, a jeśli tak, to jakie były wyniki ww. analizy.

Ponieważ zgromadzony materiał dowodowy wskazał na możliwość naruszenia przez Spółkę, jako administratora danych, przepisów rozporządzenia 2016/679 w zakresie niewdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679, co stanowi naruszenie art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 oraz w zakresie niezawiadamiania bez zbędnej zwłoki osób, których dane dotyczą, co stanowi naruszenie art. 34 ust. 1 rozporządzenia 2016/679, a także: nieprzekazywania informacji zgodnie z wnioskiem Prezesa UODO; przekazywanie niepełnych bądź nierzetelnych informacji; nieprzekazywanie dowodów potwierdzających składane wyjaśnienia, co stanowi naruszenie art. 31 rozporządzenia 2016/679 - Prezes UODO wszczął z urzędu postępowanie administracyjne w zakresie obejmującym wyżej wskazane naruszenia.

W trakcie przedmiotowego postępowania, Spółka wskazała m.in., że działa zgodnie z Polityką oceny i notyfikacji naruszeń ochrony danych osobowych w [...] S.A. (dalej: "Polityka"), dołączając treść tego dokumentu do wyjaśnień. Spółka wskazała, że zgodnie z pkt 3.3. Polityki dokłada starań, aby pracownicy i współpracownicy posiadali niezbędną wiedzę w zakresie ochrony danych osobowych, w szczególności naruszeń oraz, że w tym celu przeprowadzane są cykliczne szkolenia w zakresie ochrony danych osobowych.

Jako dowód Spółka przedstawiła treść komunikatu kierowanego do pracowników Spółki informującego o obowiązkowym szkoleniu w zakresie ochrony danych osobowych, który stanowi załącznik nr 2 do jej wyjaśnień. Jednym z modułów szkolenia są kwestie związane z naruszeniami ochrony danych osobowych. Jednocześnie, stosownie do pkt 3.4. Polityki, podmioty przetwarzające dane na zlecenie Spółki, zobowiązywane są do współpracy ze Spółką w zakresie zidentyfikowanych naruszeń ochrony danych osobowych.

Spółka wskazała, że kwestie dotyczące powierzenia przetwarzania danych osobowych, w tym odpowiedzialność firmy kurierskiej wobec Spółki, reguluje umowa współpracy w zakresie świadczenia usług kurierskich, jak również aneks do tej umowy (dalej – zwane "łącznie" jako: "Umowa"), która nakłada na firmę kurierską w szczególności obowiązek zabezpieczenia przesyłki w trakcie jej przewozu oraz od momentu jej wydania do doręczenia do odbiorcy, obowiązek postępowania zgodnie z instrukcją dla kuriera załączoną każdorazowo do przesyłki, której treść stanowi załącznik do wskazanego pisma Spółki, obowiązek weryfikacji tożsamości osoby odbierającej przesyłkę z danymi na liście przewozowym i dokumentach zawartych w paczce oraz zabezpieczenie dokumentów zwrotnych poprzez ich bezpieczne zdeponowanie w kopercie zwrotnej dołączonej do przesyłki, obowiązek niezwłocznego zgłoszenia utraty przesyłki i/lub danych w niej zawartych do Inspektora Ochrony Danych Spółki oraz przewiduje możliwość składania reklamacji na jakość świadczenia usług kurierskich, dochodzenia wypłaty odszkodowań przewidzianych w umowie, w tym w szczególności możliwość nakładania kar w przypadku naruszenia zasad ochrony powierzonych danych osobowych.

Spółka wskazała również, że podjęła działania mające na celu "wyeliminowanie przypadków naruszeń zdarzeń w przyszłości poprzez m.in. przygotowanie dla firmy kurierskiej instrukcji dotyczącej rozpoznawania naruszeń ochrony danych osobowych i ich niezwłocznego zgłaszania" , załączając treść przedmiotowej instrukcji. Podniosła również, że każdy z kurierów otrzymuje materiał edukacyjny opisujący podstawowe zagadnienia o ochronie danych osobowych, przedstawiając treść "Przewodnika dla kurierów".

Wyjaśniła też, że w związku z podjętymi powyżej działaniami, stwierdziła w lipcu 2020 r. mniejszą liczbę naruszeń logistycznych, niż w poprzedzających miesiącach, tj. w maju przedstawiając odpowiednie zestawienie w tym zakresie.

Ponadto Spółka przedstawiła wyjaśnienia oraz udokumentowała, że korespondencja załączona jako odpowiedź na pismo Prezesa UODO z dnia [...] lipca 2020 r., potwierdzająca podejmowane działania mające na celu wyeliminowanie lub co najmniej zminimalizowanie powstawania naruszeń ochrony danych osobowych mających związek z dostarczaniem przesyłek przez firmy kurierskie, prowadzona pomiędzy przewoźnikiem a [...] Sp. z o.o., dotyczy jednocześnie działań podejmowanych w tym zakresie przez Spółkę, ponieważ [...] Sp. z.o.o. na podstawie łączącej ją ze Spółką umowy z dnia [...] stycznia 2017 r. oraz aneksu nr 1 z dnia [...] maja 2018 r. prowadzi obsługę procesów logistycznych na rzecz Spółki, a działania dotyczące [...] Sp. z o.o. są tożsame w kontekście obsługi klientów Spółki, załączając treść aneksu do swych wyjaśnień z [...] lipca 2020 r.

Dodatkowo, odnosząc się do liczby zgłoszeń wskazanej w zawiadomieniu o wszczęciu postępowania zwróciła uwagę, iż ze względu na prowadzoną działalność telekomunikacyjną każdorazowo dokonuje oceny zasadności notyfikowania naruszeń organowi nadzorczemu oraz zawiadomienia osoby, nie w oparciu o przesłanki z art. 33 i art. 34 rozporządzenia 2016/679, a na podstawie przepisów szczególnych, tj. rozporządzenia Komisji (UE) Nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej (dalej: "rozporządzenie 611/2013").

Zgodnie bowiem z art. 2 ust. 1 rozporządzenia 611/2013, dostawca powiadamia właściwy organ krajowy o wszystkich przypadkach naruszenia danych osobowych. Taka konstrukcja przepisu jest zdecydowanie bardziej rygorystyczna, aniżeli dyspozycja wynikająca z art. 33 rozporządzenia 2016/679, co w konsekwencji wpływa na ilość dokonywanych notyfikacji. Podkreśliła, iż art. 33 rozporządzenia 2016/679 stanowi, że "(...) zgłasza Je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych". Jednocześnie, stosownie do art. 3 ust. 2 lit. a-c rozporządzenia 611/2013, prawdopodobieństwo, że naruszenie danych osobowych może mieć niekorzystne skutki dla danych osobowych lub prywatności abonenta lub osoby fizycznej, ocenia się, biorąc od uwagę w szczególności następujące okoliczności:

a) charakter i treść odnośnych danych osobowych, zwłaszcza jeśli dane te związane są z informacjami finansowymi, szczególnymi kategoriami danych, o których mowa w art. 8 ust. 1 dyrektywy 95/46/WE, danymi dotyczącymi poczty elektronicznej, danymi dotyczącymi lokalizacji, internetowymi plikami rejestru, rejestrami przeszukiwanych stron internetowych i wykazami wykonanych usług telekomunikacyjnych;

b) prawdopodobne konsekwencje naruszenia danych osobowych dla danego abonenta lub osoby fizycznej, szczególnie, jeżeli naruszenie mogłoby skutkować kradzieżą lub sfałszowaniem tożsamości, uszkodzeniem ciała, cierpieniem psychicznym, upokorzeniem lub naruszeniem dobrego imienia; oraz c) okoliczności, w jakich doszło do naruszenia danych osobowych, w szczególności to, gdzie skradziono dane oraz kiedy dostawca dowiedział się, że dane są w posiadaniu nieupoważnionej strony trzeciej.

Spółka wskazała, że biorąc powyższe pod uwagę, dokonała indywidualnej oceny ryzyka każdego ze zdarzeń mających znamiona naruszenia ochrony danych osobowych z uwzględnieniem dualizmu przepisów, o których mowa powyżej, wyjaśniając, że dokonała oceny wagi naruszeń ochrony danych osobowych według metodologii oceny stopnia naruszenia ochrony danych opracowanej przez Agencję Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA), w której zaproponowano trzy główne kryteria: 1 (KPD) Kontekst przetwarzania danych; 2 (Łl) Łatwość identyfikacji osoby, której dane dotyczą; 3 (ON) Okoliczności naruszenia, mające dodatkowy wpływ na powagę (dotkliwość) naruszenia.

W swych wyjaśnieniach Spółka wyodrębniła trzy typy naruszeń, tj.: 1) zdarzenia dotyczące wydania przesyłki osobie trzeciej, gdzie zgodnie z wyjaśnieniami Spółki w większości przypadków osobą trzecią jest członek najbliższej rodziny zamieszkały pod wspólnym adresem z klientem; 2) zagubienie dokumentów przez firmę kurierską; 3) kradzież przesyłki ze sprzętem.

W zakresie przesyłek doręczanych osobom trzecim. Spółka wskazała, że zgodnie z informacjami przekazanymi przez firmę kurierską, do zdarzeń tego typu dochodzi, co do zasady, na wyraźne życzenie klienta Spółki, a kurier działa wbrew instrukcji przekazanej przez Spółkę, łamiąc tym samym zasady prawidłowego doręczenia przesyłki. Dodatkowo, kurierzy często działają na wyraźne życzenie klientów, którzy proszą ich o przekazanie przesyłek do wskazanych przez nich osób, zwykle najbliższych członków ich rodzin.

W zakresie przesyłek doręczanych osobom trzecim, Spółka ponownie podkreśliła, że z analizy tych zgłoszeń wynika, że osobami tymi są najczęściej osoby bliskie (członkowie rodziny) osób, do których te przesyłki faktycznie są skierowane.

W związku z tym, wydanie takich dokumentów osobie, która zna te dane i mieszka z klientem w jednym gospodarstwie domowym, rodzi większe konsekwencje w zakresie prawa cywilnego [brak umocowania do podpisania umowy, a więc brak możliwości rozpoczęcia świadczenia usługi przez Spółkę], aniżeli rodzi ryzyko ewentualnych negatywnych następstw w sferze praw i wolności osoby, której dane dotyczą. Jednocześnie, zgodnie z wyjaśnieniami Spółki, taki sposób doręczania korespondencji jest powszechnie przyjętą zasadą w procedurze doręczeń w postępowaniu cywilnym i administracyjnym.

Powyższe, pozwala na stwierdzenie, że brak jest przesłanek do twierdzenia o możliwości wystąpienia negatywnych skutków dla klienta w następstwie opisanego zdarzenia, w postaci kradzieży tożsamości bądź wykorzystania jego danych do np, wyłudzenia pożyczek, czy świadczeń medycznych.

Spółka wskazała, że dokonała szczegółowej oceny ryzyka naruszeń dla każdej z trzech wyżej wymienionych kategorii zdarzeń, a uzyskany wynik według metodologii ENISA pozwolił określić poziom dotkliwości naruszenia ochrony danych dla osób, których dane dotyczą, jako niski. Pomimo analizy naruszeń, której wynik pozwolił określić poziom dotkliwości naruszenia ochrony danych dla osób, których dane dotyczą, jako "niski", notyfikowała jednak te naruszenia ze względu na wytyczne Prezesa Urzędu Ochrony Danych Osobowych przekazane Spółce w wystąpieniu z dnia [...] września 2018 r., wskazujące na konieczność notyfikowania zdarzeń, które obejmowały nr PESEL, uwzględniając ryzyko jako "wysokie".

Ponadto Spółka wskazała na zgodność swoich działań z art. 33 rozporządzenia 2016/679 i motywu 85 rozporządzenia 2016/679 oraz poinformowała, że nałożyła na podmiot świadczący usługi kurierskie w dniu [...] lutego 2020 r. kary umowne, w związku z utratą danych osobowych klientów Spółki, na łączną kwotę 7500 zł, przedstawiając notę obciążeniową jako załącznik do swych wyjaśnień oraz, że podjęła decyzję o nałożeniu kolejnych kar za naruszenie postanowień umowy przedstawiając noty obciążeniowe z dnia [...] czerwca 2020 r. oraz [...] lipca 2020 r. na łączną kwotę 17 978 zł.

W nawiązaniu do powyższych wyjaśnień Spółki, Prezes UODO zwrócił się o wskazanie, czy oprócz umowy z firmą kurierską Spółka posiada wewnętrzne procedury zapewniające spełnienie wymogów określonych w art. 34 ust. 1 rozporządzenia 2016/679 wraz z podaniem konkretnych przepisów z wewnętrznych regulacji.

W odpowiedzi na powyższe, Spółka wyjaśniła, że jako przedsiębiorca telekomunikacyjny, w pierwszej kolejności w stosunku do danych osobowych abonentów stosuje postanowienia rozporządzenia 611/2013, zaś w drugiej kolejności postanowienia rozporządzenia 2016/679. Ponadto, wskazała na pkt 5.5 Polityki Oceny i Notyfikacji Naruszeń Ochrony Danych Osobowych w [...] S.A., zgodnie z którym "w przypadku ustalenia, że istnieje prawdopodobieństwo, że naruszenie danych osobowych wywoła niekorzystne skutki dla danych osobowych lub prywatności abonenta lub osoby fizycznej, Administrator dokonuje zgłoszenia, o którym mowa w pkt 5.5. Polityki, a ponadto niezwłocznie informuje o naruszeniu podmioty danych, których dotyczy naruszenie; jeśli wyczerpujące określenie Podmiotów danych, których dotyczy Naruszenie, nie jest możliwe, Administrator zamieszcza informację na swojej stronie internetowej lub przekazuje ją w inny sposób, który maksymalizuje szansę dotarcia informacji do odpowiednich Podmiotów danych.

Spółka poinformowała też, że na początku września 2020 r. nastąpiła zmiana w parametrach usług przypisywanych do przesyłek przekazywanych przewoźnikowi, aby w jeszcze większym stopniu zobligować kuriera do doręczenia przesyłki tylko i wyłącznie do rąk własnych abonenta, którego dane widnieją na etykiecie adresowej przesyłki.

Zmiana ta, w ocenie Spółki, pozwoliła na wyeliminowanie przypadków wydawania przesyłki osobie nieupoważnionej, w tym również domownikom zamieszkującym pod tym samym adresem doręczenia.

Spółka poinformowała również o wdrożeniu dodatkowych działań mających na celu usprawnienie procesu śledzenia przesyłek w drodze, tak, aby w krótkim terminie po nadaniu przesyłki ustalać jej finalny status, zaś cyklicznej weryfikacji podawane są wszystkie przesyłki nadawane w kanałach zdalnych Spółki. Podkreśliła, że informacje pozyskane w ramach wyjaśnień i interwencji z przewoźnikiem pozwalają Spółce na podejmowanie dalszych działań względem przesyłki, w tym potwierdzenie w szczególności zaginięć przesyłek, a co za tym idzie szybsze identyfikowanie i zgłaszanie ewentualnej utraty danych osobowych.

Spółka wskazała, że w jej ocenie wprowadzone zmiany przyniosły pozytywne rezultaty, bazując na skali naruszeń, która znacząco spadła we wrześniu 2020 r.

Spółka przedstawiła również wyliczenia w zakresie m.in. liczby naruszeń związanych z doręczeniami przesyłek kurierskich w okresie od kwietnia do września 2020 r. podkreślając, że nie popadała w zwłokę, bowiem realizowała je niezwłocznie po stwierdzeniu naruszenia (tj. niezwłocznie po poinformowaniu jej o zdarzeniu stanowiącym o naruszeniu ochrony danych przez firmę kurierską). Wskazała ponadto, że upływ dłuższego czasu pomiędzy zdarzeniami prowadzącymi do naruszenia ochrony danych osobowych, a zgłoszeniami dokonanymi przez Spółkę do Prezesa UODO oraz do osób, których dane dotyczyły, nie był wynikiem zwłoki Spółki, jako administratora danych, lecz niewywiązywania się przez firmę kurierską z umownego i ustawowego obowiązku niezwłocznego zgłoszenia naruszenia ochrony danych osobowych administratorowi danych.

W tak ustalonym stanie faktycznym Prezes Urzędu Ochrony Danych Osobowych stwierdził, że Spółka w sposób niewystarczający dokonywała oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych znajdujących się na dokumentach dostarczanych klientom Spółki za pośrednictwem podmiotu świadczącego usługi kurierskie, co stanowi naruszenie art. 24 ust 1 oraz art 32 ust, 1 i 2 rozporządzenia 2016/679.

Odnosząc się do wyjaśnień Spółki oraz oceniając naruszenia ochrony danych osobowych objętych postępowaniem, Prezes UODO uznał, że naruszenie poufności danych, a w szczególności danych dotyczących łącznie imienia i nazwiska, adresu zamieszkania lub pobytu, numeru PESEL, serii i numeru dowodu osobistego bądź innego dokumentu tożsamości, numeru telefonu oraz innych kategorii danych dotyczące łączących strony umów (np. ID kontraktu, numer umowy, numer dokumentu, numer sprzętowy, numer i kwota faktury VAT, numer konta do wpłat), powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w związku z czym konieczne jest zawiadomienie osoby, której dane dotyczą, o naruszeniu jej danych osobowych.

Tymczasem przedstawiona na etapie postępowania wyjaśniającego przez [...] odmienna ocena ryzyka dla dokonywanych zgłoszeń naruszeń, nie została przez Spółkę dostatecznie uzasadniona, a przedstawione przez Spółkę dowody, w tym wydruki, zgodnie z zastrzeżeniem dostawcy na nich zawartym, mogą mieć jedynie pomocniczy charakter i nie mogą stanowić podstawy dokonania oceny ryzyka naruszenia praw lub wolności osób fizycznych. Dlatego też przedstawiona przez Spółkę dokumentacja, zdaniem Organu, może mieć jedynie charakter pomocniczy.

Nie można więc zgodzić się z oceną Spółki, że zdarzenia polegające na zagubieniu przez kurierów dokumentacji zawierającej dane osobowe w postaci: imienia i nazwiska, adresu zamieszkania lub pobytu, numeru PESEL, adresu e-mail, serii i numeru dowodu osobistego bądź innego dokumentu tożsamości, numeru telefonu oraz ww. innych kategorii danych dotyczące łączących strony umów, zgodnie z przedstawioną przez Spółkę dokumentacją posiadają "niską" wagę (tj. osoby nie zostaną dotknięte naruszeniem lub wywoła ono drobne niedogodności) i są zdarzeniami niepodlegającymi obowiązkowi zgłaszania naruszenia. Ponadto Spółka nie uwzględniła dodatkowych kryteriów związanych z zakresem ujawnionych danych osobowych mających wpływ na kontekst przetwarzania danych, co w konsekwencji spowodowało niezasadne obniżenie ryzyka.

W konsekwencji Organ przyjął, że objęte przedmiotowym postępowaniem naruszenia ochrony danych osobowych wynikające ze współpracy Spółki z podmiotem świadczącym usługi kurierskie powodowały wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a Spółka jako administrator, zobowiązana była bez zbędnej zwłoki zawiadamiać osoby, których dane dotyczą, o tych naruszeniach.

Prezes UODO zauważył, że Spółka pomimo wdrożenia Polityki oraz procedur ochrony danych osobowych związanych ze zgłaszaniem naruszeń, a także zawarcia umowy powierzenia przetwarzania danych osobowych z podmiotem przetwarzającym, nie wypracowała jednak odpowiednich mechanizmów mających na celu kontrolę realizacji przez podmiot przetwarzający swoich zobowiązań. Podkreślił, że Spółka wskazywała, że podejmuje działania w celu odpowiedniej realizacji umowy przez podmiot przetwarzający i w konsekwencji zmniejszenia liczby naruszeń, przedstawiając jako dowód stosowną korespondencję na tę okoliczność (stanowiącą załącznik do wyjaśnień z [...] lipca 2020 r.), jednak realne działania w tym zakresie podjęte zostały dopiero w związku z pismem Prezesa UODO z [...] lipca 2020 r., w którym przedstawione zostały wyniki analiz naruszeń ochrony danych osobowych zgłaszanych przez Spółkę, przeprowadzonych w UODO, a następnie w związku ze wszczęciem przedmiotowego postępowania administracyjnego.

Zdaniem Organu, Spółka dopiero w toku postępowania wdrożyła zmianę w parametrach usług przypisywanych do przesyłek przekazywanych przewoźnikowi, aby w większym stopniu zobligować kuriera do doręczenia przesyłki tj. tylko i wyłącznie do rąk własnych Abonenta albo osobie upoważnionej, w tym domownikom zamieszkującym pod tym samym adresem doręczenia oraz aby w krótkim terminie po nadaniu przesyłki ustalać jej status, w tym aby na podstawie informacji pozyskanych w ramach wyjaśnień i interwencji z przewoźnikiem podejmować dalsze działania względem przesyłki, w szczególności do zaginięć przesyłek, a co za tym idzie na szybsze identyfikowanie i zgłaszanie ewentualnej utraty danych osobowych.

Odnosząc się do wyjaśnień Spółki, że niezwłocznie po otrzymaniu informacji o naruszeniu od podmiotu przetwarzającego dokonywała zgłoszeń naruszeń oraz zawiadamiała osoby, których dane dotyczą Organ stwierdził, że brak szybkiej reakcji ze strony podmiotu przetwarzającego nie zdejmuje jednak z administratora odpowiedzialności za stwierdzenie naruszenia ochrony danych osobowych, bowiem zdolność do m.in. wykrywania naruszeń powinna być postrzegana jako kluczowy element środków technicznych i organizacyjnych, w tym każdej polityki w zakresie bezpieczeństwa danych.

Organ podniósł, że z treści art. 32 ust. 1 rozporządzenia 2016/679 wynika, że administrator jest zobowiązany do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub winny sposób przetwarzanych.

Organ podkreślił, że przepisy rozporządzenia 2016/679 zobowiązują zarówno administratorów, jak i podmioty przetwarzające do przyjęcia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych.

Z wyżej wymienionych przepisów, jak i motywu 87 rozporządzenia 2016/679 wynika ponadto, że rozporządzenie ustanowiło wymóg przyjęcia ww. środków, by od razu stwierdzić naruszenie ochrony danych osobowych.

Prezes UODO wskazał, że zgromadzony materiał dowodowy potwierdza, że Spółka co prawda podejmowała działania mające na celu wyjaśnienie przyczyn opóźnień w raportowaniu naruszeń przez podmiot świadczący usługi kurierskie, jednak działania te podejmowane były po zaraportowaniu naruszeń przez ten podmiot. Tymczasem Spółka nie powinna oczekiwać tylko na raportowanie przez podmiot przetwarzający naruszeń, ale wdrożyć odpowiednie rozwiązania umożliwiające weryfikację tych zobowiązań np. poprzez bieżące monitorowanie etapu doręczania przesyłek. [...], powołując się na opóźnienia w raportowaniu przez przewoźnika informacji o naruszeniach, potwierdza tym samym brak mechanizmów weryfikacji po stronie Spółki.

Organ zauważył przy tym, że choć w toku postępowania Spółka wykazała, że zawarła z podmiotem świadczącym usługi kurierskie umowę powierzenia przetwarzania danych osobowych oraz, powołując się brzmienie § 8 tejże umowy, wystawiła noty obciążeniowe z tego tytułu, to jednak dołączone noty obciążeniowe nie dotyczą wskazanego przez spółkę § 8, lecz innych postanowień umownych. Jednocześnie Organ przyjął, że nawet jeżeli Spółka obciążyłaby podmiot przetwarzający z tytułu nieterminowego raportowania naruszeń ochrony danych osobowych, to zgromadzony materiał dowodowy jednoznacznie wskazuje na brak dostatecznego nadzoru w tym zakresie, o czym, oprócz rzeczywistych dat identyfikacji zdarzeń powodujących naruszenia ochrony danych osobowych, świadczy korespondencja Spółki, w której wyjaśnia przyczyny zaraportowania zdarzeń m.in. z lipca, października i grudnia 2019 r., gdzie zapytania ze strony Spółki wysyłane były "dopiero" w styczniu i maju 2020 r.

Organ przypomniał, że w rozporządzeniu 2016/679 ustanowiono wymóg zobowiązujący administratora do wdrożenia wszelkich odpowiednich technicznych środków ochrony i wszelkich odpowiednich środków organizacyjnych, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy i osoby, których dane dotyczą. W rozporządzeniu 2016/679 stwierdzono również, że to, czy zawiadomienia dokonano bez zbędnej zwłoki, należy ustalić z uwzględnieniem w szczególności charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą.

Powyższe wiąże się więc z nałożeniem na administratora obowiązku utrzymania zdolności do terminowego "stwierdzania" wystąpienia wszelkich naruszeń, aby zapewnić możliwość podjęcia stosownych działań także osobie, której dane dotyczą.

Zgromadzony materiał dowodowy wykazał jednak, że [...] nie prowadziła dostatecznego nadzoru w tym obszarze, co w konsekwencji prowadziło do zawiadamiania osób, których dane dotyczyły, o naruszeniu ich danych osobowych w większości przypadków po upływie 60 dni od daty zdarzenia, które spowodowało naruszenie. W czerwcu 2020 r. Spółka dokonała 57 zgłoszeń naruszeń ochrony danych osobowych, zaś 34 naruszenia, co stanowi 60 % ogólnej liczby naruszeń ochrony danych osobowych zgłoszonych w czerwcu 2020 r., zostało zidentyfikowanych przez Spółkę powyżej 60 dni od daty zdarzenia powodującego naruszenie, zaś ponad 33 % ogólnej liczby zgłoszeń stanowiły zdarzenia zidentyfikowane przez Spółkę powyżej 90 dni od daty zdarzenia.

Ponad 17 % ogólnej liczby naruszeń ochrony danych osobowych zgłoszonych w czerwcu 2020 r. dotyczyło zdarzeń ze stycznia 2020 r. oraz z 2019 r., co oznacza, że zostały zidentyfikowane przez Spółkę powyżej 120 dni od daty zdarzenia powodującego naruszenie ochrony danych osobowych. W lipcu 2020 r. Spółka dokonała kolejnych 27 zgłoszeń. 12 z nich, co stanowi ponad 44 % ogólnej liczby zgłoszeń stanowią naruszenia zidentyfikowane powyżej 60 dni od daty zdarzenia powodującego naruszenie, zaś 15% ogólnej liczby zgłoszeń stanowiły zdarzenia zidentyfikowane przez Spółkę powyżej 90 dni od daty zdarzenia powodującego naruszenie.

Organ ponownie podkreślił, że Spółka co prawda zwracała się do podmiotu świadczącego usługi kurierskie o wyjaśnienia przyczyn opóźnienia, ale -jak wskazuje zebrany w sprawie materiał dowodowy - były to działania następcze, po zaraportowaniu zdarzeń przez podmiot świadczący usługi kurierskie i dotyczyły wyjaśniania przyczyn opóźnień w zgłoszeniach naruszeń zdarzeń nawet sprzed kilku miesięcy od daty zaraportowania. Realne działania mające na celu szybką identyfikację zdarzeń powodujących naruszenia ochrony danych osobowych podjęte zostały więc dopiero w związku z pismem Prezesa UODO z [...] lipca 2020 r., a następnie w związku z wszczęciem w tym zakresie postępowania administracyjnego.

Dlatego też, w ocenie Prezesa UODO, nie można zgodzić się z twierdzeniami Spółki, że jej działania w tym zakresie podjęte zostały niezwłocznie po pojawieniu się przypadków późnego zgłaszania naruszenia danych przez podmiot przetwarzający. Organ podkreślił przy tym, odnosząc się do wyjaśnień Spółki, że możliwe było podjęcie przez Spółkę skutecznych działań mających na celu zminimalizowanie skali naruszeń, jak również szybsze identyfikowanie naruszeń związanych z dostarczaniem przesyłek kurierskich, nawet pomimo okresu pandemii.

Brak w tym zakresie skutecznych środków organizacyjnych pozwalających na szybką identyfikację naruszeń ochrony danych osobowych przesądza więc o naruszeniu przez Spółkę obowiązków wynikających z art. 24 ust. 1 oraz 32 ust. 1 i 2 rozporządzenia 2016/679.

Organ uznał też, że Spółka w sposób niewystarczający dokonywała oceny skuteczności wdrożonych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych zawartych w dokumentach wysyłanych za pośrednictwem podmiotu świadczącego usługi kurierskie i mających zapewnić szybką identyfikację naruszeń ochrony danych osobowych, czym również naruszyła przepisy art. 24 ust. 1, art. 32 ust. 1 i 2 rozporządzenia 2016/679. Prezes UODO podkreślił, że przypadki zgłaszanych naruszeń ochrony danych osobowych związanych z nieprawidłowościami po stronie operatorów pocztowych nie należą do wyjątkowych w praktyce UODO, jednakże do wyjątków należą sytuacje, w których administrator nie podejmuje natychmiastowych działań związanych z zaginięciem bądź nieprawidłowym doręczeniem nadanych przez siebie przesyłek zawierających dane osobowe klientów.

Mając na uwadze powyższe ustalenia, Prezes UODO na podstawie art. 58 ust. 2 lit. i) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a-h oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej, że w sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę administracyjnej kary pieniężnej, na mocy art. 83 ust. 4 lit. a) rozporządzenia 2016/679.

Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił zarówno okoliczności obciążające i mające wpływ na wymiar nałożonej kary finansowej, jak i okoliczność łagodzącą, tj. stopień współpracy Spółki z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków.

Do przesłanek obciążających Organ zaliczył: -

1) zgodnie z art. 83 ust. 2 lit. a rozporządzenia 2016/67, charakter, wagę i czas trwania naruszenia, podkreślając w szczególności, że naruszenie cyt. rozporządzenia miało wpływ na opóźnienia w zawiadamianiu klientów Spółki o naruszeniu ochrony ich danych osobowych, gdyż [...], z uwagi na brak wdrożenia środków technicznych i organizacyjnych umożliwiających szybką identyfikację naruszeń ochrony danych osobowych powodujących wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w konsekwencji zawiadamiała swoich klientów o naruszeniu ze znacznym opóźnieniem (ponad 17 % ogólnej liczby naruszeń ochrony danych osobowych zgłoszonych w czerwcu 2020 r. dotyczyło zdarzeń ze stycznia 2020 r. oraz z 2019 r., co oznacza, że zostały zidentyfikowane przez Spółkę powyżej 120 dni od daty zdarzenia powodującego naruszenie ochrony danych osobowych), przy czym zgromadzony materiał dowodowy wskazuje na brak nadzoru w tym obszarze już we wcześniejszym okresie, bowiem zgłoszenia naruszeń z tego okresu obejmowały zdarzenia zidentyfikowane przez Spółkę nawet po 120 dniach od ich wystąpienia;

2) zgodnie z art. 83 ust. 2 lit. d rozporządzenia 2016/679, stopień odpowiedzialności Spółki (jako administratora) z uwzględnieniem wdrożonych środków technicznych i organizacyjnych, podkreślając w szczególności, że Spółka - pomimo zawartej umowy z podmiotem świadczącym usługi kurierskie oraz odpowiednich zapisów w Polityce - nie sprawowała należytego nadzoru w tym obszarze, nie identyfikując tym samym na bieżąco naruszeń ochrony danych osobowych związanych z wysyłką dokumentacji zawierającej dane osobowe, co w konsekwencji prowadziło do zawiadamiania osób, których dane dotyczyły, po upływie znacznego czasu od daty zdarzenia powodującego naruszenie ochrony ich danych osobowych;

3) zgodnie z art. 83 ust. 2 lit. g rozporządzenia 2016/679, kategorie danych osobowych, których dotyczyło naruszenie, podkreślając w szczególności, że zgłoszenia naruszeń ochrony danych osobowych dotyczyły nieprawidłowości w dostarczaniu przesyłek zawierających dane osobowe w zakresie: imię, nazwisko, adres zamieszkania lub pobytu, numer identyfikacyjny PESEL, często adres e-mail, seria i numer dowodu osobistego bądź innego dokumentu tożsamości, numer telefonu oraz inne kategorie danych dotyczące łączących strony umów (np. ID kontraktu, numer umowy, numer dokumentu, numer sprzętowy, numer i kwota faktury VAT, numer konta do wpłat).

Jako okoliczność łagodzącą Organ wziął pod uwagę przesłankę określoną w art. 83 ust. 2 lit.f) rozporządzenia 2016/679, tj. stopień współpracy Spółki z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków, oceniając pozytywnie fakt, że Spółka (już po przedstawieniu jej analiz wykonanych przez Prezesa UODO i wszczęciu postępowania) podjęła działania mające na celu szybszą identyfikację naruszeń ochrony danych osobowych. Organ podkreślił, że Spółka mimo iż w toku postępowania kwestionowała wysokie ryzyko naruszenia praw lub wolności osób fizycznych związane z naruszeniami objętymi postępowaniem, to jednak wdrożyła mechanizmy, w efekcie których zarówno zmniejszyła się liczba naruszeń ochrony danych osobowych związanych z tego typu zdarzeniami, jak również zdarzenia te identyfikowane są znacznie szybciej.

Jednocześnie Organ wyjaśnił, że na fakt zastosowania sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały wpływu inne, wskazane w art. 83 ust. 2 rozporządzenia 2016/679 okoliczności, to jest:

1) nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679) – gdyż Prezes UODO nie stwierdził w sprawie celowych działań Spółki prowadzących do stanu naruszenia przepisów rozporządzenia 2016/679, niemniej zaniedbania w kontroli skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych w procesie doręczania jej klientom przesyłek nie dają podstaw do zwolnienia jej od odpowiedzialności za stwierdzone naruszenie;

2) działania podjęte przez Spółkę w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679), gdyż w sprawie nie stwierdzono powstania szkód po stronie osób dotkniętych naruszeniem, w związku z czym brak jest podstaw do oczekiwania od Spółki podjęcia działań mających na celu ich zminimalizowanie;

3) stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 dokonane przez Spółkę (art. 83 ust. 2 lit. e rozporządzenia 2016/679), gdyż nie stwierdzono ze strony Spółki stosownych wcześniejszych naruszeń rozporządzenia 2016/679;

4) sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679), tj. Prezes UODO stwierdził naruszenie dokonując analizy zgłoszeń naruszeń ochrony danych osobowych dokonywanych przez samą Spółkę. Organ podkreślił jednak w związku z tym, że Spółka dokonując tych zgłoszeń, realizowała jedynie ciążący na niej obowiązek prawny, brak jest podstaw do uznania, że okoliczność ta stanowi dla Spółki okoliczność łagodzącą;

5) przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679), podkreślając w szczególności, że w sprawie nie zastosowano wcześniej wobec Spółki środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679;

6) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na podstawie art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679), podkreślając, że Spółka nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679.

7) osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art 83 ust 2 lit k rozporządzenia 2016/679), podkreślając, że Prezes UODO nie stwierdził w toku niniejszego postępowania, że dopuszczając się naruszenia podlegającego karze Spółka osiągnęła jakiekolwiek korzyści finansowe lub uniknęła jakichkolwiek strat finansowych.

Jednocześnie Organ stwierdził, iż zastosowanie wobec Spółki jakiegokolwiek innego środka naprawczego przewidzianego wart. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit b), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że Spółka w przyszłości nie dopuści się podobnych, co w sprawie, mniejszej zaniedbań.

Uzasadniając wysokość orzeczonej administracyjna kary pieniężnej w kwocie 1 136 975 zł, co stanowi równowartość 250 000 euro (średni kurs euro z 28 stycznia 2021 r. - 4,5479 zł), Organ wywiódł, że spełnia w ustalonych okolicznościach sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

Orzekając taką wysokość Organ oparł się na przedstawionym w toku postępowania sprawozdaniu finansowym za 2019 r., zgodnie z którym jej przychody netto ze sprzedaży wyniosły ok. 2,38 mld zł, natomiast zysk netto 586,8 min zł. Jednocześnie Organ zauważył, że Spółka jest podmiotem dominującym w Grupie [...] [...] S.A., której przychody netto ze sprzedaży za 2019 r. wyniosły ok. 11,68 mld zł, a zysk netto w roku 2019 ok. 1,1 mld zł (co wynika z danych przedstawionych przez Spółkę w "Skonsolidowanym raporcie rocznym za rok obrotowy zakończony [...] grudnia 2019 roku").

Zważywszy na wyżej przedstawione wyniki finansowe zarówno samej Spółki, jak i grupy kapitałowej, w której Spółka jest spółką dominującą, Prezes UODO stwierdził, że orzeczona administracyjna kara pieniężna nie będzie dla niej nadmiernie dotkliwa.

Z taką decyzją nie zgodziła się Spółka (dalej: "Skarżąca"), wnosząc skargę do tut. Sądu i domagając się uchylenia decyzji w zaskarżonej części, tj. co do pkt 1) jej sentencji, ze względu na naruszenie prawa materialnego, które miało wpływ na wynik sprawy oraz ze względu na naruszenie przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy, wskazując na naruszenie:

1) art, 4 pkt 7 i 8 rozporządzenia PE i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - dalej "RODO") w zw. z art, 2 ust. 1 pkt 1, art. 3 pkt 12 i pkt 19 oraz art. 7 i art. 35 ustawy z dnia 23 listopada 2012 r. Prawo pocztowe (dalej też jako: "PP"), a w konsekwencji też art. 24 ust. 1 RODO w zw. z art. 32 ust. 1 i 2 RODO, poprzez:

- (i) błędne uznanie, że "podmiot świadczący usługi kurierskie", w ramach działań którego dochodziło do naruszeń ochrony danych osobowych klientów [...], działał jako podmiot przetwarzający (procesor), podczas gdy w świetle art. 4 pkt 7 RODO i wskazanych przepisów Prawa pocztowego ma on status administratora;

- (ii) niedokonanie analizy wskazanych wyżej przepisów prawa materialnego, jak również znajdujących się w aktach sprawy dokumentów umownych dotyczących współpracy [...] i "podmiotu świadczącego usługi kurierskie", w tym w obszarze przetwarzania danych osobowych klientów [...] w procesie doręczania do nich przesyłek kurierskich, co stanowi również naruszenie art. 7, art. 77, art. 80 i 104 § k.p.a. pod kątem kwalifikacji prawnej "podmiotu świadczącego usługi kurierskie" jako administratora lub procesora w ramach współpracy z [...];

- (iii) zaniechanie zweryfikowania zakresu praw i obowiązków [...] oraz "podmiotu świadczącego usługi kurierskie", a w wyniku powyższego błędne przyjęcie, iż [...] powinien sprawować nadzór nad tym podmiotem także w sferze, w jakiej jest on samodzielnym administratorem, podczas gdy przepisy prawa nie wymagają od [...] wywierania wpływu na odrębnego administratora co do stosowanych przez niego środków technicznych i organizacyjnych;

- (iv) zaniechanie wezwania "podmiotu świadczącego usługi kurierskie" jako strony postępowania administracyjnego celem weryfikacji jej praw i obowiązków podlegających ocenie pod kątem zgodności z przepisami prawa regulującymi ochronę danych osobowych w zakresie, w jakim działania tego podmiotu wypełniają "współpracę" z [...], o której mowa w pkt 1) sentencji Decyzji, co stanowi także o naruszeniu art. 10 k.p.a. w zw. z art. 61 § 1 k.p.a. i art. 104 § 1 k.p.a.;

2) art. 32 ust. 1 i 2 w zw. z art. 24 ust. 1 RODO w zw. z art. 33 ust. 1 RODO i art. 34 ust. 1 RODO, poprzez wadliwe stwierdzenie przez Prezesa UODO, że [...] nie wdrożył odpowiednich środków technicznych i organizacyjnych pozwalających na szybką identyfikację naruszeń ochrony danych osobowych, w związku z błędnym pominięciem roli i zakresu odpowiedzialności firmy kurierskiej zarówno jako samodzielnego administratora, jak i - ewentualnie -jako podmiotu przetwarzającego, to jest, w związku z wadliwym nieuwzględnieniem przez Organ, że ewentualne opóźnienia w identyfikacji naruszeń były skutkiem niewywiązywania się przez tę firmę jako:

(i) administratora z obowiązków wynikających z przepisów RODO;

(ii) podmiotu przetwarzającego, z obowiązku umownego i ustawowego (art. 33 ust. 2 RODO) zgłaszania naruszeń administratorowi bez zbędnej zwłoki, a nie z braku odpowiednich środków technicznych i organizacyjnych po stronie [...] jako administratora danych;

3) art. 32 ust. 1 i 2 w zw. z art. 24 ust. 1 RODO w zw. z art. 33 ust. 1 RODO i art. 34 ust. 1 RODO w związku z motywem 87 Preambuły RODO, poprzez błędne uznanie przez Prezesa UODO, że [...] nie wdrożył odpowiednich środków technicznych i organizacyjnych, które pozwalałyby na niezwłoczne zawiadamianie podmiotów danych o naruszeniach, podczas gdy sam Organ stwierdził, że [...] "bez zbędnej zwłoki realizowało obowiązek zawiadamiania osób dotkniętych naruszeniem o tym naruszeniu" i właśnie z tego względu umorzył postępowanie w zakresie możliwości naruszenia przez Skarżącą art. 34 ust. 1 RODO, na podstawie art. 105 § 1 k.p.a. (pkt 2) sentencji Decyzji, - co nadto oznacza, że rozumowanie Organu jest wewnętrznie sprzeczne i także w ten sposób narusza ww. przepisy, gdyż Organ wywodzi przesłanki odpowiedzialności [...] z okoliczności, co do których sam słusznie stwierdza, że nie obciążają [...] jako administratora;

4) art. 32 ust. 1 i 2 w zw. z art. 24 ust. 1 RODO w zw. z art. 33 ust. 1 RODO w związku z motywem 87 Preambuły RODO, poprzez błędne stwierdzenie, że stosowanie przez [...] środki techniczne i organizacyjne zapewniające bezpieczeństwo danych osobowych przez szybką identyfikację naruszeń ochrony danych nie są "odpowiednie", mimo że [...] jako administrator wdrożył po swojej stronie odpowiednie środki techniczne i organizacyjne w tym zakresie, odpowiadające możliwemu do przewidzenia ryzyku dla ochrony danych i uwzględniające stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania;

5) art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a. i art. 107 § 3 k.p.a., art. 107 § 1 pkt 6) w zw. z art. 104 § 1 k.p.a., 105 § 1 k.p.a. oraz art. 8 § 1 k.p.a., art. 10 § 1 k.p.a. i art. 61 § 1 k.p.a. w zw. z art. 24 ust. 1 RODO i art. 32 ust. 1 i 2 RODO, poprzez dokonanie błędnych ustaleń faktycznych oraz niezebranie i brak wszechstronnego rozważenia materiału dowodowego, co doprowadziło Organ do błędnego wniosku, iż Skarżąca nie wdrożyła "odpowiednich środków technicznych/organizacyjnych zapewniających bezpieczeństwo danych osobowych we współpracy z podmiotem świadczącym usługi kurierskie przez szybką identyfikację naruszeń", w tym przez:

a) wadliwe pominięcie ustaleń co do roli i zakresu odpowiedzialności "podmiotu świadczgcego usługi kurierskie’', w tym:

- co do okoliczności pozwalających na "zakwalifikowanie" tego podmiotu jako administratora lub procesora w ramach współpracy z [...] oraz określenie zakresu zadań i obowiązków każdego z nich w ramach zapewnienia bezpieczeństwa przetwarzania danych klientów [...] przez szybką identyfikację naruszeń, w tym pominięcie dokumentów umownych regulujących relację między "podmiotem świadczącym usługi kurierskie" i [...], znajdujących się w aktach sprawy oraz faktu, że [...] wdrożył po swojej stronie odpowiednie środki organizacyjne i techniczne, ale nie miał obowiązku ani uprawnień do wdrażania Jakichkolwiek środków technicznych i organizacyjnych po stronie odrębnego administratora (decydującego samodzielnie o celach i sposobach przetwarzania),

- pominięcie okoliczności związanych z środkami zapewniającymi bezpieczeństwo danych osobowych stosowanymi przez firmę kurierską, co wykluczało możliwość stwierdzenia przez Prezesa DODO, iż brak Jest bezpieczeństwa przetwarzania danych w zakresie szybkiej identyfikacji naruszeń przez [...] "we współpracy" z tym podmiotem, skoro środków tych Prezes UODO nie zweryfikował w toku postępowania zakończonego Decyzją;

b) wadliwe uwzględnienie okoliczności związanych ze zgłoszeniami naruszeń dokonanymi przez [...] w sierpniu i we wrześniu 2020 r., pozostających poza przedmiotem postępowania wszczętego przez PUODO w zawiadomieniu o wszczęciu postępowania, a ograniczającym się do okoliczności związanych z 84 zgłoszeniami 2020 r., a dotyczącymi w zdecydowanej większości okresu całkowitego lockdown’u z powodu trwającej pandemii SARS COVID-19;

c) błędne uznanie, że [...] podjął "realne działania" w zakresie zapewnienia bezpieczeństwa danych osobowych przez szybką identyfikację naruszeń dopiero w związku z pismem Prezesa UODO z [...] lipca 2020 r., podczas gdy Skarżąca podejmowała takie działania wcześniej, m. in. na skutek prowadzonego monitoringu procesu oraz analizy ryzyka związanego z trwająca pandemią SARS COVID 19, o czym świadczy przedstawiony materiał dowodowy, który Organ pominął;

d) dokonanie powierzchownej, ogólnikowej i sprzecznej z własnymi założeniami Organu oceny ryzyka naruszenia praw lub wolności osób, których dane dotyczą, w związku z naruszeniami zgłoszonymi przez [...] oraz dowolne i arbitralne uznanie przez PUODO, że ryzyko związane z naruszeniem PESEL zawsze Jest "wysokie:, bez odniesienia oceny zdarzenia do konkretnej sytuacji faktycznej przedstawionej przez [...], w tym:

- brak rozróżnienia w ramach tej oceny poszczególnych "kategorii" naruszeń, tj. błędne "zrównanie" oceny ryzyka oraz potencjalnych skutków dla podmiotu danych w przypadku odbioru dokumentacji przez osobę nieuprawnioną (najczęściej najbliższego członka rodziny), w przypadku zagubienia przesyłki oraz w przypadku kradzieży;

- brak dokonania przez Organ oceny ryzyka w odniesieniu do każdego indywidualnego przypadku naruszenia w świetle przedstawionego przez [...] stanu faktycznego, mimo że rzekomy brak takiej "indywidualnej oceny" stanowił podstawowy zarzut Organu wobec [...] w tym zakresie;

- pominięcie przez PUODO w ramach oceny bardzo niskiego prawdopodobieństwa ziszczenia się ryzyka;

e) wadliwe pominięcie okoliczności związanych ze szczególnym kontekstem przetwarzania danych w postaci prowadzenia działalności i zintensyfikowanego korzystania z usług kurierskich w stanie pandemii, co skutkowało wzrostem wolumenu realizowanych przez [...] przesyłek w okresie objętym postępowaniem, i warunkach tzw. "twardego lockdown’u", tworzących dodatkowe, niemożliwe do przewidzenia z góry ani uprzedniego oszacowania przez [...] ryzyk dla ochrony danych;

f) błędne pominięcie ustaleń co do marginalnej liczby naruszeń związanych z doręczaniem przesyłek kurierskich w skali ogólnej liczby tych przesyłek, tj. 0,291% w czerwcu 2020 r. oraz 0,131% w lipcu 2020 r., z których istotna część zaistniała w miesiącach poprzedzających ten okres, a więc w warunkach tzw. "twardego lockdown’u'' (a więc mimo nadzwyczajnych, utrudnionych warunków panujących w tym okresie i szczególnego, niespodziewanego w normalnych warunkach obrotu wzrostu zainteresowania tego rodzaju przesyłkami przez klientów);

g) obszerne przedstawienie w uzasadnieniu Decyzji bezprzedmiotowych okoliczności dotyczących rzekomych nieprawidłowości w sposobie dokonania przez [...] oceny ryzyka naruszeń poprzedzającej zgłoszenie naruszenia do PUODO oraz osobie, której dane dotyczą, w sytuacji, w której sam Organ stwierdził, iż ocena ta była prawidłowa oraz umorzył - jako bezprzedmiotowe - postępowanie w zakresie naruszenia obowiązku zawiadamiania o naruszeniach ochrony danych właśnie ze względu na fakt, że obowiązek ten był wykonywany w sposób właściwy (pkt 2) sentencji Decyzji);

6) art. 83 ust. 1, ust. 2 i ust. 4 RODO w zw. z art. 101 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej "u.o.d.o.") oraz art. 7 k.p.a., art. 8 § 1 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a. i art. 107 § 3 k.p.a. w zw. z art. 72 u.o.d.o. oraz w zw. z art. 32 ust. 1 i 2 RODO i art. 24 ust. 1 RODO, poprzez:

a) ustalenie wymiaru kary pieniężnej nie tylko w odniesieniu do przychodów [...] S.A. ze sprzedaży w 2019 r., lecz także do takich "parametrów" jak przychody ze sprzedaży oraz zysk "grupy kapitałowej" [...] S.A., podczas gdy art. 83 ust. 4 RODO nie ustanawia takich kryteriów;

b) błędne rozstrzygnięcie o zastosowaniu sankcji w postaci kary pieniężnej oraz o jej wysokości, w związku z wadliwą oceną przesłanek z art. 83 ust. 2 lit. a)-k) RODO, w tym:

- nietrafną ocenę, że "charakter, waga i czas trwania naruszenia" oraz "stopień odpowiedzialności administratora" stanowią okoliczności "obciążające" [...], podczas gdy właściwa ocena tych przesłanek powinna prowadzić do wniosku, że stanowią one okoliczności łagodzące dla Skarżącej;

- błędne pominięcie okoliczności "łagodzących" dla Skarżącej w postaci:

(i) nieumyślnego charakteru rzekomego naruszenia [art. 83 ust. 2 lit. b) RODO];

(ii) braku wcześniejszych naruszeń po stronie [...] i to pomimo wyraźnego stwierdzenia przez Organ, że okoliczność ta zachodzi [art. 83 ust. 2 lit. e) RODO];

(iii) braku szkody poniesionej przez podmioty danych i to również pomimo wyraźnego stwierdzenia przez Organ, że okoliczność ta zachodzi [art. 83 ust. 2 lit. a) RODO];

(iv) sposobu dowiedzenia się przez Organ o rzekomym naruszeniu [...] w związku ze zgłoszeniami dokonywanymi przez [...] [art. 83 ust. 2 lit. i) RODO];

(v) braku korzyści finansowych Skarżącej w związku z rzekomym naruszeniem [art. 83 ust. 2 lit. k) RODO];

(vi) nadzwyczajnych warunków prowadzenia działalności w pandemii SARS COVID-19 i tzw. "twardego lockdown’u", wymagających doręczania równolegle zmasowanej liczby przesyłek do pozostających w domowej izolacji odbiorców towarów lub usług, wśród których były przesyłki nadawane przez Skarżącą, a które to warunki nie były możliwe do uprzedniego przewidzenia i zapobieżenia w normalnych okolicznościach obrotu [art. 83 ust. 2 lit. k) RODO];

c) odmienne określenie zakresu (istoty) naruszenia, które miało skutkować nałożeniem na [...] kary pieniężnej, wskazanego w uzasadnieniu Decyzji (str. 30 pkt 1) -jako związanego z doręczaniem przesyłek kurierskich a zakresem naruszenia wskazanym w pkt 1) sentencji Decyzji - jako dotyczącym "szybkiej identyfikacji naruszeń ochrony danych";

d) nałożenie administracyjnej kary pieniężnej nieadekwatnej i nieproporcjonalnej do stwierdzonego rzekomego naruszenia, a także poprzez zaniechanie jakiegokolwiek rzeczowego uzasadnienia dla nałożenia kary pieniężnej w takiej wysokości, w tym brak wyjaśnienia, jak na wysokość kary miały wpłynąć okoliczności "obciążające" i "łagodzące" odpowiedzialność [...].

Skarżąca w szerokim uzasadnieniu skargi (liczącym 58 stron) przedstawiła do każdego z wymienionych zarzutów argumentację potwierdzającą, w jej ocenie, ich zasadność.

Organ w odpowiedzi na skargę podtrzymał swoje stanowisko i wniósł o jej oddalenie w całości. Jednocześnie Organ zauważył, że w trakcie prowadzonego postępowania Skarżąca, w szczególności, nie kwestionowała niewyjaśnienie wzajemnych relacji Spółki z firmą kurierską, zaś zarzuty co do firmy [...], jako "rzeczywistego" administratora danych osobowych oraz stwierdzonych w tym zakresie naruszeń przez tę firmę i implikacji prawnych z tym związanych dla prawidłowego rozstrzygnięcia sprawy, pojawiły się dopiero na etapie skargi.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Na wstępie Sąd wyjaśnia, że w związku ze zmianą art. 15 zzs4 ust. 2 ustawy z 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz.U. z 2020 r., poz. 1842 – zwanej dalej jako: "ustawa covidowa"), wynikającą z art. 4 pkt 3 ustawy z 28 maja 2021 r. o zmianie ustawy - Kodeks postępowania cywilnego oraz niektórych innych ustaw (Dz.U. z 2021 r., poz. 1090), która weszła w życie 3 lipca 2021 r., w okresie obowiązywania stanu zagrożenia epidemicznego albo stanu epidemii ogłoszonego z powodu COVID-19 oraz w ciągu roku od odwołania ostatniego z nich, wojewódzkie sądy administracyjne oraz Naczelny Sąd Administracyjny przeprowadzają rozprawę przy użyciu urządzeń technicznych umożliwiających przeprowadzenie jej na odległość z jednoczesnym bezpośrednim przekazem obrazu i dźwięku, z tym, że osoby w niej uczestniczące nie muszą przebywać w budynku sądu.

Stosownie do wskazanej wyżej regulacji, nin. sprawa została skierowana do rozpoznania na rozprawie zdalnej, na podstawie zarządzenia Przewodniczącego Wydziału II z dnia 5 października 2021r. (k. 96 akt sądowych).

Zgodnie z art. 1 § 1 i 2 ustawy z 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (tj.: Dz. U. z 2021 r., poz. 137) w zw. z art. 3 § 1 ustawy z 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (tj.: Dz.U. z 2019 r., poz. 2325 ze zm.- zwaną dalej "P.p.s.a."), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. W ramach owej kontroli sąd administracyjny nie przejmuje sprawy administracyjnej do jej końcowego załatwienia, lecz ocenia, nie będąc przy tym związany granicami skargi, czy przy wydawaniu zaskarżonego aktu nie naruszono reguł postępowania administracyjnego i czy prawidłowo zastosowano prawo materialne.

Sąd uwzględniając skargę na decyzję lub postanowienie uchyla decyzję lub postanowienie w całości albo w części, jeżeli stwierdzi naruszenie prawa materialnego, które miało wpływ na wynik sprawy, naruszenie prawa dające podstawę do wznowienia postępowania administracyjnego, bądź inne naruszenie przepisów postępowania, jeżeli mogło ono mieć istotny wpływ na wynik sprawy (art.145 § 1 pkt 1 ustawy P.p.s.a.).

Jednocześnie, stosownie do art. 134 § 1 ustawy P.p.s.a. rozstrzygając daną sprawę sąd, co zasady, nie jest związany zarzutami i wnioskami skargi, może zastosować przewidziane ustawą środki w celu usunięcia naruszenia prawa w stosunku do aktów lub czynności wydanych lub podjętych we wszystkich postępowaniach prowadzonych w granicach sprawy, której dotyczy skarga, jeżeli jest to niezbędne dla końcowego jej załatwienia (art. 135 ustawy P.p.s.a.).

Natomiast w razie nieuwzględnienia skargi, sąd skargę oddala odpowiednio w całości albo w części (art. 151 ustawy P.p.s.a.).

Dokonując kontroli w ramach tak zakreślonej kognicji sądów administracyjnych, Sąd stwierdził, że decyzja w zaskarżonej części podlega uchyleniu albowiem Organ nie wyjaśnił wszystkich istotnych dla prawidłowego rozstrzygnięcia okoliczności, co miało wpływ na wynik sprawy.

Przedmiotem kontroli Sądu jest decyzja Prezesa UODO z dnia [...] listopada 2019r. stwierdzająca naruszenie przez skarżącą Spółkę [...], art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych przetwarzanych we współpracy z podmiotem świadczącym usługi kurierskie przez szybką identyfikację naruszeń ochrony danych osobowych oraz nałożenie na Skarżącą za powyższe naruszenie administracyjnej kary pieniężnej w wysokości 1.136.975 zł.

Zarówno z uzasadnienia zaskarżonej decyzji, jak też z jej sentencji wynika, że zarzucane Skarżącej przez Organ naruszenia, stanowiące podstawę do nałożenia kary pieniężnej, zostały przypisane Skarżącej w ramach "współpracy z podmiotem świadczącym usługi kurierskie". Jednocześnie Organ zakwalifikował firmę kurierską [...], realizującą proces doręczania przesyłek nadawanych przez [...] do swoich klientów, jako "podmiot przetwarzający" (procesora) w rozumieniu art. 4 pkt 8 RODO, tj. jako podmiot przetwarzający dane osobowe w imieniu administratora, o czym, w szczególności, świadczy fragment uzasadnienia, iż "(...) Spółka pomimo wdrożenia Polityki oraz procedur ochrony danych osobowych związanych ze zgłaszaniem naruszeń, a także zawarcia umowy powierzenia przetwarzania danych osobowych z podmiotem przetwarzającym (podkreślenie Sądu) nie wypracowała odpowiednich mechanizmów mających na celu kontrolę realizacji przez podmiot przetwarzający swoich zobowiązań".

W związku z powyższym, analizowane przez Organ przypadki naruszeń ochrony danych osobowych, które stanowiły podstawę faktyczną postępowania administracyjnego, a następnie zaskarżonej decyzji, wynikały m. in. z czynności usług doręczania przesyłek nadawanych przez [...] do swoich klientów, na co wskazuje konstatacja Prezesa UODO w zaskarżonej decyzji, że "[...] spółka Akcyjna (...) regularnie dokonywała (...) zgłoszeń naruszeń ochrony danych osobowych klientów Spółki, które polegały m. in. na utracie przez kurierów dokumentów zawierających dane osobowe klientów lub na wydaniu przez kurierów niewłaściwej osobie dokumentów zawierających dane osobowe (...)".

W tym miejscu Sąd zauważa, że w jawnym rejestrze operatorów pocztowych, prowadzonym przez Prezesa Urzędu Komunikacji Elektronicznej, [...] wpisany jest (pod numerem [...]) jako "operator pocztowy" (porządkowo Sąd zauważa, że z odpisu z rejestru przedsiębiorców KRS nr [...] - [...] Sp. z o.o. wynika, iż w dniu [...] kwietnia 2020 r. doszło do połączenia w trybie art 492 § 1 pkt 1) [...] poprzez przeniesienie całego majątku [...] Sp. z o.o. oraz [...] Sp. z o.o. [spółki przejmowanej] na [...] Sp. z o.o. spółka przejmująca - obecnie pod nazwą [...] Sp. z o.o.).

Dalej Sąd stwierdza, że jak wynika z art. 2 ust. 1 pkt 1 Prawo pocztowe, "usługę pocztową stanowi, wykonywane w obrocie krajowym lub zagranicznym, zarobkowe:

1) realizowane łącznie lub rozdzielnie przyjmowanie, sortowanie, doręczanie

przesyłek pocztowych oraz druków bezadresowych", zaś stosownie do art. 2 pkt 19 przywołanej ustawy, przesyłką kurierską jest przesyłka listowa będąca przesyłkę rejestrowaną lub paczka pocztowa, przyjmowana, sortowana, przemieszczana i doręczana w sposób łącznie zapewniający:

a) bezpośredni odbiór przesyłki pocztowej od nadawcy,

b) śledzenie przesyłki pocztowej od momentu nadania do doręczenia,

c) doręczenie przesyłki pocztowej w gwarantowanym terminie określonym w regulaminie świadczenia usług pocztowych lub w umowach o świadczenie usług pocztowych,

d) doręczenie przesyłki pocztowej bezpośrednio do rąk adresata lub osoby uprawnionej do odbioru,

e) uzyskanie pokwitowania odbioru przesyłki pocztowej w formie pisemnej lub

elektronicznej".

Dodać należy, że na operatorze pocztowym ciąży, zgodnie z art 41 komentowanej ustawy, obowiązek zachowania tajemnicy pocztowej, która obejmuje informacje przekazywane w przesyłkach pocztowych, informacje dotyczące realizowania przekazów pocztowych, dane dotyczące podmiotów korzystających z usług pocztowych oraz dane dotyczące faktu i okoliczności świadczenia usług pocztowych lub korzystania z tych usług. Z kolei z art. 42 tejże ustawy wynika, że informacje lub dane objęte tajemnicę pocztową mogę być zbierane, utrwalane, przechowywane, opracowywane, zmieniane, usuwane lub udostępniane tylko wówczas, gdy czynności te dotyczę świadczonej usługi pocztowej albo są niezbędne do jej wykonania lub jeżeli przepisy odrębne stanowię inaczej.

Z powyższego wynika, że – jak słusznie wskazuje Skarżąca Spółka – podstawowym obowiązkiem Organu było dokonanie analizy oraz wyjaśnienie czy firma [...], jako podmiot świadczący usługi kurierskie, w ramach działań którego dochodziło do naruszeń ochrony danych osobowych klientów Skarżącej (spółki [...]), działała jako podmiot przetwarzający (procesor), czy też w świetle art. 4 pkt 7 RODO i wskazanych wyżej przepisów Prawa pocztowego, ma ona status administratora.

W ocenie Sądu, niedokonanie analizy wskazanych wyżej przepisów prawa materialnego, jak również znajdujących się w aktach sprawy dokumentów umownych dotyczących współpracy skarżącej spółki [...] i firmy [...], jako "podmiotu świadczącego usługi kurierskie, w tym w obszarze przetwarzania danych osobowych klientów [...] w procesie doręczania do nich przesyłek kurierskich, stanowi istotne naruszenie przepisów procesowych, o których mowa w art. 7, art. 77, art. 80 i 104 § 1 k.p.a., mającej istotne znaczenie dla sprawy albowiem wyjaśnienie tej kwestii pod kątem kwalifikacji prawnej "podmiotu świadczącego usługi kurierskie" jako administratora bądź też "procesora" w ramach współpracy z [...] przesądza o możliwości przypisania Skarżącej zaniechania we wdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych przetwarzanych we współpracy z firmą [...]. Inaczej mówiąc, zweryfikowanie zakresu praw i obowiązków [...] oraz "podmiotu świadczącego usługi kurierskie" pozwoli na ustalenie czy Skarżąca powinna sprawować nadzór nad tym podmiotem także w przypadku, gdyby ustalenia te doprowadziły Organ do wniosku, że firma ta jest "samodzielnym administratorem" oraz czy w takiej sytuacji po stronie Skarżącej pozostaje obowiązek "wywierania wpływu na odrębnego administratora" co do stosowanych przez niego środków technicznych i organizacyjnych w zakresie praw i obowiązków regulujących ochronę danych osobowych klientów [...].

W tym miejscu, w nawiązaniu do tezy Organu zawartej w odpowiedzi na skargę, że Skarżąca kwestie te podniosła "dopiero" na etapie skargi oraz, że Spółka była obowiązana współdziałać w tym zakresie, gdyż ciężar dowodu w tej kwestii spoczywał w niniejszym postępowaniu na spółce, Sąd wyjaśnia, że postępowanie w sprawie naruszenia przepisów o ochronie danych jest jednym z postępowań administracyjnych przed Prezesem Urzędu Ochrony Danych Osobowych. O takim jego charakterze rozstrzyga art. 7 ust. 1 ustawy o ochronie danych osobowych, który postępowanie z rozdziału 7 kwalifikuje jako administracyjne i przewiduje w sprawach w niej nieuregulowanych stosowanie do tego postępowania Kodeksu postępowania administracyjnego. Warto przy tym zauważyć, że ustawodawca w art. 7 ust. 1 cyt. ustawy nie przewiduje stosowania "odpowiedniego", co oznacza stosowanie przepisów ogólnej procedury administracyjnej wprost, z modyfikacjami wynikającymi z regulacji ustawy o ochronie danych osobowych.

Zgodnie zatem z art. 7 ust. 1 u.o.d.o., w sprawach nieuregulowanych w ustawie do postępowań administracyjnych przed Prezesem Urzędu Ochrony Danych Osobowych, o których mowa w rozdziale 4-7 i 11 (a więc również w rozdziale 7 dotyczącym postępowania w sprawie naruszenia przepisów o ochronie danych osobowych), stosuje się przepisy Kodeksu postępowania administracyjnego.

Podkreślenia wymaga przy tym, że użyte w art. 60 u.o.d.o. określenie "naruszenie przepisów o ochronie danych osobowych" ma zakres szeroki i obejmuje naruszenia wszystkich przepisów o ochronie danych, zarówno zawartych w unijnym rozporządzeniu, jak i w przepisach krajowych, które uzupełniają lub modyfikują regulacje unijne.

W związku z powyższym, zdaniem Sądu, nie ulega wątpliwości, że związanie rygorami procedury administracyjnej oznacza, iż Prezes UODO jest obowiązany m.in. do przestrzegania zasady pogłębiania zaufania obywateli do organów praworządnego Państwa (art. 8 § 1 k.p.a.). W tej sytuacji, organ nadzorczy, uwzględniając powyższą zasadę, zobowiązany jest przede wszystkim dokładnie wyjaśnić okoliczności sprawy, konkretnie ustosunkować się do żądań i twierdzeń strony skarżącej oraz uwzględnić w decyzji zarówno interes społeczny, jak i słuszny interes strony skarżącej. Organ nadzorczy jest ponadto obowiązany w sposób wyczerpujący zebrać i ocenić cały materiał dowodowy (art. 7, art. 77 § 1 i art. 80 k.p.a.) oraz uzasadnić swoje rozstrzygnięcie według wymagań określonych w przepisie art. 107 § 3 k.p.a.

Z tych obowiązków, jak wykazano wcześniej, Organ nie wywiązał się, zaś naruszenie przepisów procesowych miało istotny wpływ na wynik sprawy.

Dodać należy, że zaniechanie wezwania "podmiotu świadczącego usługi kurierskie", jako strony postępowania administracyjnego celem weryfikacji jej praw i obowiązków podlegających ocenie pod kątem zgodności z przepisami prawa regulującymi ochronę danych osobowych w zakresie, w jakim działania tego podmiotu wypełniają "współpracę" z [...], o której mowa w zaskarżonej decyzji, stanowi także o naruszeniu art. 10 k.p.a. w zw. z art. 61 § 1 k.p.a. i art. 104 § 1 k.p.a.

Niezależnie od powyższego Sąd zauważa, że brak odniesienia się przez Organ do statusu prawnego podmiotu świadczącego usługi kurierskie jest tym bardziej niezrozumiałe w kontekście publicznie dostępnych i publikowanych przez PUODO wyjaśnieniach dotyczących ochrony danych osobowych, w których Organ wskazuje, że podmiot świadczący usługi kurierskie jest administratorem danych (por. fragment publikowanego na stronie internetowej BIP PUODO [w] https://uodo.qov.pl/pl/225/l467) oraz wyjaśnia, że "Inaczej jest natomiast w przypadku przetwarzania danych osobowych przez operatorów pocztowych. Poczta Polska i inni operatorzy pocztowi w związku z wykonywaniem usług pocztowych są administratorami danych osobowych nadawców i adresatów przesyłek, a jednocześnie odpowiadają za bezpieczeństwo przesyłek (i zawartych w nich danych osobowych) w ramach należytego wykonywania usług pocztowych oraz przestrzegania zasad i obowiązków określonych w Prawie pocztowym. Zgodnie z przepisami Prawa pocztowego operatorzy pocztowi zobowiązani są do ochrony tajemnicy pocztowej, która obejmuje informacje przekazywane w przesyłkach pocztowych. Maję obowiązek zachowania należytej staranności w zakresie uzasadnionym względami technicznymi lub ekonomicznymi przy zabezpieczaniu urządzeń i obiektów wykorzystywanych przy świadczeniu usług pocztowych oraz zbiorów danych przed ujawnieniem tajemnicy pocztowej (art. 41 ust. 6 tej ustawy)."

Już z powyższego wynika zatem, że Organ ma świadomość, iż skoro kwalifikacja prawna wskazanych wyżej podmiotów jest relewantna z punktu widzenia art. 4 pkt 7 RODO, zgodnie z którym administratorem danych jest podmiot, który samodzielnie lub z innymi ustala cele i sposoby przetwarzania danych osobowych, to obowiązkiem Prezesa UODO było z urzędu wyjaśnić, zgodnie z zasadą wyrażoną w art. 8 k.p.a. tj. prowadzenia postępowania w sposób budzący zaufanie do jego uczestników, kierując się zasadami proporcjonalności, bezstronności i równego traktowania, dlaczego odstąpił w przypadku spółki [...] od utrwalonej praktyki, o której mowa w przywołanym "własnym" wyjaśnieniu interpretacyjnym, tj. że – co do zasady - podmiot świadczący usługi kurierskie jest administratorem danych osobowych.

Tymczasem stwierdzić trzeba, że w zaskarżonej decyzji nie został przedstawiony nawet fragmentaryczny wywód Organu co do podstaw prawnych kwalifikacji [...] jako procesora, w szczególności na tle wymienionych wcześniej przepisów Prawa pocztowego, jak i art. 4 pkt 7 i 8 ustawy RODO.

Jednocześnie Sąd zauważa, że w aktach sprawy administracyjnej znajdują się dokumenty umowy o współpracy Skarżącej z firmą [...], wraz z aneksem nr 3 dotyczącym zmian treści tej umowy w obszarze przetwarzania danych osobowych oraz z treści tych dokumentów wynika, iż usługi kurierskie świadczone przez [...] , polegają m. in. na doręczaniu przesyłek do klientów Skarżącej – i co szczególnie istotne - to między innymi tych właśnie czynności dotyczyły naruszenia

danych osobowych, które Organ poddał analizie.

W ocenie Sądu, Prezes UODO zamiast dokonać wszechstronnej analizy obowiązków każdego z tych podmiotów, poprzestał na potocznym rozumieniu pojęcia "współpraca", używając go dla opisania relacji prawnych wiążących [...] z [...] i tym samym dokonał swobodnego uznania, że wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych osobowych przez szybką identyfikację naruszeń ochrony danych osobowych spoczywa na Skarżącej, pominąwszy przepisy regulujące działalność polegającą na doręczaniu przesyłek kurierskich.

W tym miejscu Sąd wyjaśnia, że skoro przepisy materialne determinują zakres ustaleń faktycznych, to obowiązkiem organu administracji jest dokonanie stosownych ustaleń faktycznych wyznaczonych hipotezą normy prawa materialnego.

Jedynie ubocznie Sąd zauważa (gdyż ustalanie stanu faktycznego w decyzjach administracyjnych poddanych kontroli sądowoadministracyjnej nie jest rolą Sądu – o czym także w dalszej części uzasadnienia), że z analizy akt sprawy wynika, że z umowy powierzenia przetwarzania danych osobowych, zawartej przez [...] i [...] oraz z aneksu nr 3 wynika, że Skarżąca powierzyła [...] przetwarzanie danych osobowych określonego w tym dokumencie kręgu osób (w tym klientów [...]), jednakże w związku z realizacją przez ten podmiot innych czynności, niż proces doręczenia przesyłek. Czynności te zostały enumeratywnie wskazane w umowie powierzenia przetwarzania danych, w § 2 ust. 2 (wymieniono tam m.in. potwierdzanie

tożsamości Odbiorcy/Klienta [...] na podstawie ważnego oryginału dokumentu tożsamości w przypadku opcji doręczenia do rąk własnych; weryfikację zgodności danych Klienta [...] zawartych w dokumencie tożsamości z danymi wskazanymi na Liście przewozowym i w tzw. dokumentach zwrotnych; rozliczanie należności pobranych od Odbiorców/Klientow [...] i ich przekazywanie [...] i inne).

W związku z takimi regulacjami, uzasadniony wydaje się być pogląd skargi, że tylko więc w odniesieniu do tych czynności [...] jest procesorem danych klientów [...], natomiast jest samodzielnym administratorem w ramach czynności przemieszczania /przewozu i doręczenia przesyłek do odbiorców.

Zaznaczenia wymaga, że Sąd powyższy pogląd wyraża w formie warunkowej, gdyż Organ do tej kwestii w ogóle nie odniósł się i dlatego przyjęta "teza" de iure uchyla się spod merytorycznej kontroli legalności aktu w tym zakresie.

Tymczasem, jak już to wcześniej wskazywano, powyższe ma zasadnicze znaczenie z punktu widzenia zasadności zarzucanych Skarżącej przez Organ naruszeń art. 24 ust. 1 oraz art. 32 ust. 1 i 2 RODO, gdyż jeśli Organ ustali, że to firma [...] przy realizowaniu przedmiotowej umowy oraz w świetle wskazanych wyżej przepisów jest administratorem danych osobowych w ramach usług kurierskich, to w konsekwencji należałoby przyjąć, że Skarżąca nie miała obowiązku (ani uprawnień) w zakresie wdrażania środków technicznych i organizacyjnych dotyczących zapewnienia bezpieczeństwa przetwarzania danych osobowych, gdyż te należały do innego administratora (tj. [...]).

Podobnie, aby właściwie ocenić ewentualną odpowiedzialność [...] za brak wcześniejszego zdiagnozowania zaistniałych zdarzeń skutkujących naruszeniem ochrony danych osobowych, Organ powinien był ustalić i określić, które z tych zdarzeń wskazanych w Decyzji wiązało się z procesem, w ramach którego [...] był administratorem, a które w ramach tych czynności, w jakich mógł występować jako podmiot przetwarzający.

Dopiero wyznaczenie zakresu odpowiedzialności za wykonywanie poszczególnych czynności może stanowić podstawę dla oceny, czy i w jakim zakresie Skarżąca nie dopełniła ciążących na niej obowiązków w zakresie wdrażania środków technicznych i organizacyjnych dotyczących zapewnienia bezpieczeństwa przetwarzania danych osobowych.

W powyższym kontekście jako trafny uznać należy zarzut skargi, że Prezes UODO "wadliwie pominął, iż w zakresie, w jakim przetwarzanie danych i naruszenia ochrony danych badane w postępowaniu związane były z wykonywaniem usług pocztowych, [...] działał jako samodzielny administrator w rozumieniu art. 4 pkt 7 RODO (...)" a w związku z tym, poprzez brak ustaleń faktycznych w tym zakresie, nie było podstaw do przypisania Skarżącej odpowiedzialności za naruszenie art. 24 ust. 1 RODO i art. 32 ust. 1 i 2 RODO.

Niezależnie od powyższego Sąd zauważa, że gdyby nawet w odniesieniu do którychkolwiek naruszeń objętych postępowaniem, w jakimś zakresie [...] występował w roli podmiotu przetwarzającego dane w związku z ich powierzeniem przez [...] – czego, jak już stwierdzono wcześniej, Organ nie i nie ustalił - przypisanie Skarżącej odpowiedzialności za naruszenie art. 24 ust. 1 RODO i art. 32 ust.l i 2 RODO w tym zakresie również uznać należy za błędne, gdyż Organ pominął zakres odpowiedzialności [...] jako procesora (oczywiście pod warunkiem, gdyby w istocie występował w tej roli w określonym zakresie).

Sąd podkreśla przy tym, że wynikający z art. 34 RODO termin na realizację przez administratora - nawet jeśliby przyjąć, że Skarżąca w jakimś zakresie występowała w tej roli, to obowiązek zawiadamiania o naruszeniach ochrony danych osób, których naruszenia te dotyczą, w rozumieniu "bez zbędnej zwłoki", należy liczyć od chwili, w której administrator stwierdził naruszenie (por. W. Chomiczewski [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak- Jomaa, D. Lubasz, Warszawa 2018, art. 34.; analogicznie: P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2018, art. 33).

W świetle powyższych rozważań, w ocenie Sądu, wskazane wady w ustaleniach faktycznych Organu implikują również niemożność dokonania prawidłowej oceny co do tego, czy Skarżąca wdrożyła adekwatne środki w celu identyfikacji naruszeń.

Z kolei jeśli firma [...] co do pewnych czynności, zweryfikowanych przez Organ, byłaby procesorem, to bez wskazania tych czynności oraz dokonania ich oceny, jakie działania w tym zakresie podjął samodzielnie sam procesor, a jakie spoczywały na Skarżącej, nie można dokonać oceny co do tego czy działania administratora są wystarczające. Ponadto jeśli to firma [...] jest administratorem danych, to Skarżąca nie ma obowiązku ani narzędzi prawnych do "monitorowania" działań tego podmiotu w sferze przetwarzania danych osobowych, a zatem sformułowany zarzut przez Organ zarzut braku monitoringu jest po prostu przedwczesny.

W zaskarżonej decyzji brak jest jednak ustaleń w powyższej materii. Zamiast tego, jak wynika z szeroko przedstawionego w tzw. części historycznej nin. uzasadnienia ustalenia te niejako "zastąpiono" polemiką z zarzutami odwołania Skarżącej. Jednocześnie, mimo naprowadzenia Organu na etapie odwoławczym konieczności dokonania ustaleń co do kwalifikacji prawnej firmy [...], jako administratora lub procesora, Prezes UODO choćby nie zażądał informacji czy wyjaśnień od tej firmy na powyższą okoliczność, w zasadzie "swobodnie" przyjmując, że jest procesorem w przetwarzaniu danych przez Spółkę.

W tym miejscu zwrócić uwagę należy na to, że o ile postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych, którego dotyczy rozdział 7 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych – jak już wyjaśniono wcześniej - jest postępowaniem administracyjnym, do którego na podstawie art. 7 ust. 1 u.o.d.o. znajdują zastosowanie przepisy Kodeksu postępowania administracyjnego i w ramach którego to postępowania prowadzący je organ jest związany kodeksowymi standardami prowadzenia postępowania wyjaśniającego, to jednocześnie Prezes UODO, jako organ nadzorczy, może ponadto skorzystać z możliwość posłużenia się w procesie gromadzenia dowodów takim instrumentem, jakim jest przeprowadzenie kontroli przestrzegania przepisów, o której mowa w art. 68 ust. 1 u.o.d.o.

Zgodnie z art. 68 ust. 1 u.o.d.o., jeżeli w toku postępowania zajdzie konieczność uzupełnienia dowodów, Prezes Urzędu może przeprowadzić postępowanie kontrolne.

Wspomniany przepis art. 68 ust. 1 u.o.d.o. pozwala organowi nadzorczemu dopuścić, jako dowód, materiały uzyskane w rezultacie przeprowadzonej kontroli. W ramach tego postępowania, kontrolujący ustala stan faktyczny na podstawie dowodów zabranych w postępowaniu kontrolnym, a w szczególności dokumentów, przedmiotów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń (art. 87 u.o.d.o.). Kontrolujący może także przesłuchać w charakterze świadka pracownika kontrolowanego (art. 86 ust. 1 u.o.d.o.).

Powyższa uwaga ma o tyle istotne znaczenie, że Prezes UODO nie jest związany w dokonywaniu ustaleń faktycznych wyłącznie na wyjaśnieniach jednej strony (administratora danych), ale ma możliwość "odrębnego" dokonania niezbędnych ustaleń faktycznych na mocy, w szczególności, art. 68 ust. 1 u.o.d.o., co w realiach sprawy oznacza możliwość zweryfikowania ewentualnych naruszeń i oceny działalności firmy [...].

Jednocześnie podkreślenia wymaga, że w świetle konstytucyjnego modelu sądowej kontroli działalności administracji publicznej - sąd administracyjny nie posiada, co do zasady kompetencji do dokonywania ustaleń stanu faktycznego, w będącej przedmiotem jego rozpoznania sprawie administracyjnej. Zadanie to należy do organu administracji publicznej. Kognicja ta jest ograniczona, ponieważ przyznanie sądom administracyjnym kompetencji w zakresie merytorycznego rozpoznania sprawy administracyjnej (np. o nałożenie administracyjnej kary pieniężnej) prowadziłoby do wyręczania przez judykaturę administracji publicznej (egzekutywy) w realizacji powierzonych jej zadań i kompetencji (por. wyrok TK z 13 listopada 2007 r., sygn. SK 40/06, OTK ZU nr 10/A/2007, poz. 137).

Reasumując dotychczasowe ustalenia i rozważania, Sąd uznał, że Prezes UODO, wydając sporną decyzję, dopuścił się - mogącego mieć istotny wpływ na wynik sprawy - naruszenia przepisów procedury administracyjnej, a w szczególności, art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a. i art. 107 § 3 k.p.a., art. 107 § 1 pkt 6) w zw. z art. 104 § 1 k.p.a., 105 § 1 k.p.a. oraz art. 8 § 1 k.p.a., art. 10 § 1 k.p.a. i art. 61 § 1 k.p.a. w zw. z art. 24 ust. 1 RODO i art. 32 ust. 1 i 2 RODO, poprzez brak wszechstronnego wyjaśnienia sprawy i dokonanie niepełnych lub błędnych ustaleń faktycznych, co doprowadziło Organ do błędnego wniosku, iż Skarżąca nie wdrożyła "odpowiednich środków technicznych/organizacyjnych zapewniających bezpieczeństwo danych osobowych we współpracy z podmiotem świadczącym usługi kurierskie przez szybką identyfikację naruszeń".

Organ, w szczególności, nie dokonał w sposób pełny ustaleń co do roli i zakresu odpowiedzialności "podmiotu świadczącego usługi kurierskie’', w tym co do okoliczności pozwalających na "zakwalifikowanie" tego podmiotu jako administratora lub procesora w ramach współpracy z [...] oraz określenia zakresu zadań i obowiązków każdego z nich, w ramach zapewnienia bezpieczeństwa przetwarzania danych klientów [...] przez szybką identyfikację naruszeń.

Dlatego też, ponownie prowadząc postępowanie, Organ ustali w pierwszej kolejności "status" firmy [...] jako administratora danych lub procesora przetwarzającego dane osobowe w kontekście wskazanych wcześniej rozważań Sądu.

W przypadku ustalenia, że pewne czynności, w ramach współpracy pomiędzy firmą [...] a Skarżącą, firma kurierska ma jednak status procesora, obowiązkiem Organy jest ustalić jakie to były konkretne czynności aby dokonać adekwatnej oceny poszczególnych naruszeń, o których zawiadomiła Prezesa UODO Skarżąca. Wówczas Organ winien dokonać oceny czy zastosowane przez Spółkę środki techniczne i organizacyjne zapewniały bezpieczeństwo danych osobowych przez szybką identyfikację naruszeń ochrony danych i są "odpowiednie", tj. odpowiadające możliwemu do przewidzenia ryzyka dla ochrony danych i uwzględniające stan wiedzy technicznej, kosztów wdrażania, charakteru, zakresu, kontekstu i celu przetwarzania.

W związku z tym, że obowiązek dokonania ustaleń w powyższym zakresie ma zasadnicze znaczenie, przedwczesne jest odnoszenie się przez Sąd do pozostałych zarzutów skargi.

Prezes UODO przy ponownym rozpatrywaniu sprawy zobowiązany będzie, na mocy art. 153 P.p.s.a., zastosować się do ocen prawnych i wskazań Sądu co do dalszego postępowania, zawartych w nin. orzeczeniu.

Mając na względzie wskazane naruszenia procesowe, Sąd na podstawie art. 145 § 1 pkt 1 lit. c) P.p.s.a. uznał, że zasadne było uchylenie decyzji w zaskarżonej części (punkt pierwszy sentencji).

Orzeczenie z punktu drugiego sentencji - o kosztach postępowania sądowego - ma uzasadnienie w treści art. 200, art. 205 § 2 i art. 209 P.p.s.a. w związku z § 14 ust. 1 pkt 1 lit. a) i § 2 pkt 7 rozporządzenia Ministra Sprawiedliwości z 22 października 2015r. w sprawie opłat za czynności radców prawnych (Dz.U. z 2015r., poz. 1804); koszty te obejmują uiszczony wpis sądowy w wysokości 11.300 zł, koszty zastępstwa procesowego strony skarżącej reprezentowanej przez radcę prawnego w wysokości 10.800 zł oraz opłatę skarbową w wysokości 17 zł.



Powered by SoftProdukt