Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Piotr Borowiecki (spr.), Sędzia WSA Andrzej Góraj, Asesor WSA Arkadiusz Koziarski, Protokolant specjalista Elwira Sipak, po rozpoznaniu na rozprawie w dniu 12 kwietnia 2023 r. sprawy ze skargi E. sp. z o.o. sp.k. z siedzibą w P. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] maja 2022 r. nr [...] w przedmiocie nałożenia administracyjnej kary pieniężnej za naruszenie przepisów dotyczących przetwarzania danych osobowych oddala skargę.

Decyzją z dnia [...] maja 2022 r. (znak: [...]) Prezes Urzędu Ochrony Danych Osobowych (dalej: "Prezes UODO"; "organ") stwierdził naruszenie przez E. Sp. Z o.o. Sp. K. z siedzibą w P. przy ul. K. (dalej: "Spółka", "skarżąca"), przepisu art. 33 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016 , str. 1 ze zm.), zwanego dalej "RODO", polegające na niezgłoszeniu Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia i nałożył na Spółkę, administracyjną karę pieniężną w wysokości [...] zł.

Decyzja ta wydana została w następującym stanie faktycznym.

Pismami z dnia [...] marca 2021 r. i [...] kwietnia 2021 r. Prezes UODO został poinformowany przez Komendanta Powiatowego Policji w J. o możliwych nieprawidłowościach dotyczących przetwarzania danych osobowych pracowników

w spółce E. Sp. Z o.o. Sp. K. W związku z podejrzeniem zagubienia dokumentów z akt osobowych pracowników Spółki, Komendant Powiatowy Policji w J. zwrócił się do Prezesa UODO z wnioskiem o przeprowadzenie kontroli w zakresie przestrzegania przez Spółkę przepisów o ochronie danych osobowych.

Pismami z: [...] kwietnia 2021 r., [...] czerwca 2021 r. oraz [...] lipca 2021 r. Prezes UODO zwrócił się do Spółki o udzielenie wyjaśnień w sprawie, w tym m. in.

o wskazanie, jakiej kategorii dane znajdowały się w dokumentach osobowych zagubionych przez Spółkę; czy zagubiona dokumentacja została odnaleziona; czy Spółka jako pracodawca uzyskała od osoby odpowiedzialnej za ich zagubienie wyjaśnienia w tym zakresie, a jeśli tak, to jaka jest ich treść.

W odpowiedzi na powyższe, Spółka skierowała do Prezesa UODO pisma

z dnia: [...] maja 2021 r., [...] czerwca 2021 r. i [...] sierpnia 2021 r., w których wskazywała, iż w okresie [...] stycznia 2021 r. – [...] marca 2021 r. dostęp do dokumentacji pracowniczej miała P.M., zatrudniona w tym okresie na podstawie umowy o pracę. Wyżej wymieniona miała otrzymać polecenia skompletowania, opisania

i wpięcia do teczek personalnych pracowników dotyczącej ich dokumentacji. Dokumenty miały być zbierane od pracowników osobiście. P.M. miała poprosić o pomoc w realizacji wskazanego polecenia B.Z. – [...] zatrudnionego w podmiocie BHP P.Z.. To B.Z. miała poinformować Spółkę, iż w dokumentacji pracowniczej brak świadectwa pracy D.R.. D.R. oświadczył, iż przekazał świadectwo pracy P. M.. P.M. oświadczyła, ze ww. dokument przekazała B.Z., czemu ta zaprzeczyła. Wskazany incydent nie został przez Spółkę zgłoszony do Prezesa UODO, albowiem, w opinii Spółki, nie zaistniało ryzyko naruszenia praw lub wolności osoby, której dane dotyczyły, tj. D.R. – mimo iż dokument nie został odnaleziony. W związku z powyższym, pismem z dnia [...] grudnia 2021 r. (znak: [...]) Prezes UODO skierował do spółki zawiadomienie o wszczęciu postępowania administracyjnego, którego przedmiotem był brak zgłoszenia przez Spółkę naruszenia ochrony danych osobowych oraz brak zawiadomienia o naruszeniu danych osobowych osoby, które dane te dotyczyły.

Wskazaną na wstępie decyzją z dnia [...] maja 2022 r. (znak: [...]) Prezesa UODO:

1. stwierdził naruszenie przez Spółkę przepisu art. 33 ust. 1 RODO, polegające na niezgłoszeniu Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia i nałożył na Spółkę administracyjną karę pieniężną w wysokości [...] zł;

2. umorzył postępowanie w pozostałym zakresie.

W uzasadnieniu organ wskazał, iż podczas oceny, czy naruszenie ochrony danych osobowych skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych należy brać pod uwagę m. in. treść motywów 75 oraz 85 RODO. Nadto, grupa robocza art. 29 w wytycznych dot. zgłaszania naruszeń ochrony danych osobowych zgodnie

z RODO wskazała, iż oceniając ryzyko dla osób fizycznych - będące wynikiem naruszeń ochrony danych osobowych, administrator winien uwzględnić konkretne okoliczności naruszenia, w tym wagę potencjalnego wpływu i prawdopodobieństwo jego wystąpienia oraz zaleciła, by w trakcie oceny brać pod uwagę wskazane w tych wytycznych kryteria, innymi słowy – administrator winien łącznie uwzględnić wagę potencjalnego wpływu na prawa i wolności osób fizycznych i prawdopodobieństwo ich wystąpienia, zaś w przypadku wątpliwości – zgłosić naruszenie - nawet, gdyby taka ostrożność mogła okazać się nadmierna. Zgodnie z art. 33 ust. 1 i 3 RODO – administrator bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej: a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą oraz kategorie

i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach - środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Organ podniósł, iż zgłaszając naruszenie organowi nadzorczemu, administratorzy informują Prezesa UODO, czy w ich ocenie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą oraz - jeżeli takie ryzyko wystąpiło - czy przekazali stosowne informacje osobom fizycznym, na które naruszenie wywiera wpływ. W uzasadnionych przypadkach mogą również przekazać informacje, że powiadomienie w ich ocenie nie jest konieczne ze względu na spełnienie warunków określonych w art. 34 ust. 3 lit. a) - c) rozporządzenia 2016/679. Prezes UODO dokonuje weryfikacji oceny dokonanej przez administratora i może - jeżeli administrator nie zawiadomił osób, których dane dotyczą - zażądać od niego takiego zawiadomienia. Zgłoszenia naruszenia ochrony danych osobowych pozwalają organowi nadzorczemu na właściwą reakcję mogącą ograniczyć skutki takich naruszeń, bowiem administrator ma obowiązek podjęcia skutecznych działań zapewniających ochronę osobom fizycznym i ich danym osobowym, które z jednej strony pozwolą na kontrolę skuteczności dotychczasowych rozwiązań, a z drugiej ocenę modyfikacji i usprawnień służących zapobieżeniu nieprawidłowościom analogicznym do objętych naruszeniem.

Prezes UODO uznał, że w realiach przedmiotowej sprawy doszło do naruszenia ochrony danych osobowych pracownika, polegającego na utracie przez pracodawcę dokumentu w postaci świadectwa pracy pracownika. Powyższy fakt Spółka potwierdziła w wyjaśnieniach skierowanych do Prezesa UODO wskazując jednak,

iż nie zgłosiła przedmiotowego naruszenia Prezesowi UODO, ponieważ w jej opinii nie wiązało się ono z ryzykiem naruszenia praw lub wolności osoby, której dane dotyczą, a ponadto pracownik, którego świadectwo pracy zagubiono, nie zgłaszał z tego tytułu roszczeń wobec Spółki. Spółka oświadczyła jednocześnie, że zawiadomiła, zgodnie

z przepisami, pracownika o utracie świadectwa pracy zawierającego jego dane osobowe.

Organ przytoczył treść § 2 ust. 1 rozporządzenia Ministra Rodziny, Pracy

i Polityki Społecznej z dnia 30 grudnia 2016 r. w sprawie świadectwa pracy (Dz. U. z 2018 r. poz. 1289 ze zm.), określającego dane jakie zamieszcza się w świadectwie pracy. Prezes UODO stwierdził, że informacje te uwzględnione w treści świadectwa pracy stanowią dane osobowe, szczególnie że występują łącznie z imieniem

i nazwiskiem, określeniem pracodawcy oraz informacją o dacie urodzenia osoby, której dane dotyczą. Niektóre z tych danych są szczególnie istotne z punktu widzenia praw lub wolności osoby, której dane dotyczą. W szczególności za takie dane należy uznać informacje o trybie i podstawie prawnej rozwiązania lub podstawie prawnej wygaśnięcia stosunku pracy, a w przypadku rozwiązania umowy o pracę za wypowiedzeniem - stronie stosunku pracy, która dokonała wypowiedzenia oraz

o zajęciu wynagrodzenia za pracę w myśl przepisów o postępowaniu egzekucyjnym. Informacje te, z uwagi na ich charakter, w przypadku ich udostępnienia osobom nieuprawnionym, mogą stanowić przyczynę naruszenia wolności lub praw osoby, której dane dotyczą. Powyższe dane mogą bowiem bezpośrednio lub pośrednio ujawniać informacje o życiu osobistym osoby, której dane dotyczą, o jej problemach natury prawnej oraz statusie majątkowym (np. informacja o zajęciu wynagrodzenia

z tytułu postępowania egzekucyjnego), itd.

W tej sytuacji, zdaniem organu, uznanie przez Spółkę, że incydent nie stanowił naruszenia ochrony danych osobowych, nie miało podstaw faktycznych ani prawnych. Okoliczności naruszenia ochrony danych, jako istotne, powinny być wzięte pod uwagę przez Spółkę przy ocenie, czy do niego doszło, jaka była jego skala oraz czy potencjalnie wiązało się ono z ryzykiem naruszenia praw lub wolności podmiotów danych, a także, czy ryzyko to jest wysokie. Tymczasem, jak wynika z udzielonych wyjaśnień, Spółka tego nie uczyniła, bezpodstawnie uznając, iż naruszenie nie wiązało się z ryzykiem naruszenia ww. praw lub wolności w ogóle, pomimo tego, że zagubiony dokument nie został do tej pory odnaleziony.

Ponadto, w dalszej części uzasadnienia, organ podkreślił, że z uwagi na nieodnalezienie dokumentu, nie jest istotna kwestia, czy nieuprawniony podmiot, np. potencjalny jego znalazca, faktycznie wszedł w posiadanie i zapoznał się z danymi osobowymi znajdującymi się na zagubionym świadectwie pracy pracownika Spółki, lecz to, że wystąpiło takie ryzyko, a w konsekwencji również potencjalnie wystąpiło ryzyko naruszenia praw lub wolności podmiotu danych. Jak wskazał organ, możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować - w treści art. 33 ust. 1 RODO wskazano bowiem, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu. Tym samym, w opinii Prezesa UODO, podnoszone przez Spółkę okoliczności, że D.R. nie dochodził wobec pracodawcy roszczeń z tytułu zagubienia świadectwa pracy, nie mają znaczenia dla stwierdzenia istnienia po stronie Spółki, jako administratora, obowiązku zgłoszenia przedmiotowego naruszenia ochrony danych osobowych Prezesowi UODO, zgodnie z art. 33 ust. 1 RODO. Nie ma również znaczenia to, że świadectwo pracy D.R. zostało przez niego osobiście przekazane do rąk P.M., która, jak wskazała w swoich wyjaśnieniach Spółka, nie przekazała go następnie ani Spółce, ani nie zwróciła D.R.. Wręczenie świadectwa pracy P.M. było równoznaczne z przekazaniem go Spółce, bowiem P.M. jako pracownik Spółki działała w jej imieniu i na jej polecenie, przy czym była też osobą upoważnioną przez Spółkę do przetwarzania danych osobowych pracowników.

Nadto, organ podkreślił, że naruszenie ochrony danych osobowych, które wystąpiło w związku z zagubieniem świadectwa pracy pracownika Spółki, powoduje ryzyko naruszenia praw lub wolności, albowiem wytyczne Grupy Roboczej Art. 29 jednoznacznie wskazują, że ryzyko to istnieje w przypadku, gdy naruszenie może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone. Przykłady takich szkód obejmują dyskryminację, kradzież łub sfałszowanie tożsamości, straty finansowe i naruszenie dobrego imienia. Nie ulegało zatem wątpliwości, że przywołane w wytycznych przykłady szkód mogą wystąpić w przypadku osoby, której dane osobowe stanowiły treść zagubionego świadectwa pracy. Nie bez znaczenia dla takiej oceny jest możliwość łatwej w oparciu o ujawnione dane identyfikacji osoby, której dane zostały objęte naruszeniem, szczególnie w jej środowisku lokalnym, które stanowi stosunkowo niewielkie miasto powiatowe, w którym zamieszkiwał D.R.. Organ również odwołał się w tym zakresie do orzecznictwa sądów administracyjnych.

W związku z powyższym, zdaniem organu, nie miało znaczenia, czy z treścią świadectwa pracy D.R. w istocie zapoznały się osoby nieuprawnione, w jakiej liczbie itd. Nie ma bowiem pewności, że treść świadectwa pracy nie została udostępniona nieuprawnionym odbiorcom. Przy czym, Spółka nie może obarczać odpowiedzialnością za naruszenie ochrony danych osobowych wyłącznie osoby, do której obowiązków, w ramach zatrudnienia w Spółce, należało założenie i prowadzenie akt osobowych jej pracowników. Za działania tej osoby Spółka ponosi, na gruncie obowiązujących przepisów prawa, pełną odpowiedzialność, jak za działania własne.

Organ odwołał się również do motywów 75 i 85 preambuły RODO, w których wyjaśniono, że brak odpowiedniej i szybkiej reakcji może powodować naruszenie ochrony danych osobowych i jednocześnie skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych, administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki. Natomiast ryzyko naruszenia praw lub wolności osób,

o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną; jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw

i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi.

Konkludując organ wskazał, iż stosując przepisy RODO należy mieć na uwadze, że ich celem (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw

i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów - nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy opracowywaniu technicznych i organizacyjnych środków bezpieczeństwa mających im zapobiegać - należy w pierwszej kolejności brać pod uwagę te wartości.

W konsekwencji, organ przyjął, iż Spółka, pomimo wystąpienia ryzyka naruszenia praw lub wolności osoby fizycznej, nie dokonała zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych polegającego na zagubieniu dokumentu zawierającego dane osobowe jej pracownika (świadectwa pracy) i tym samym nie wykonała obowiązku z art. 33 ust. 1 rozporządzenia 2016/679, co oznacza naruszenie przez Spółkę tego przepisu.

Wobec powyższego, korzystając z uprawnienia wynikającego z art. 58 ust. 2 lit. i) RODO, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych

w art. 58 ust. 2 RODO, administracyjnej kary pieniężnej na mocy art. 83 RODO, zależnie od okoliczności konkretnej sprawy, Prezes UODO stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę administracyjnej kary pieniężnej w oparciu o art. 83 ust. 4 lit. a) RODO. Wskazany przepis stanowi m.in., że naruszenie obowiązków administratora, o których mowa w art. 33 RODO, podlega administracyjnej karze pieniężnej w wysokości do 10 000 000 EURO, a w przypadku przedsiębiorstwa - w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Organ podał, że stosownie do treści art. 83 ust. 2 RODO, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a) - h) oraz lit. j). Decydując o nałożeniu na Spółkę administracyjnej kary pieniężnej Prezes UODO, stosownie do treści art. 83 ust. 2 lit. a) - k) RODO, wskazał, iż wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania

w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej kary pieniężnej:

1. czas trwania naruszenia (art. 83 ust. 2 lit. a RODO); za okoliczność obciążającą Prezes UODO uznaje stosunkowo długi czas trwania naruszenia. Od powzięcia przez Spółkę informacji o naruszeniu ochrony danych osobowych do dnia wydania niniejszej decyzji upłynęło co najmniej kilkanaście miesięcy, w trakcie których ryzyko naruszenia praw lub wolności osoby dotkniętej naruszeniem mogło się zrealizować.

2. umyślny charakter naruszenia (art. 83 ust. 2 lit. b RODO); Spółka podjęła świadomą decyzję, by nie zawiadamiać o naruszeniu Prezesa UODO, pomimo kierowanych do niej pism Prezesa UODO wskazujących na możliwość zaistnienia w niniejszej sprawie ryzyka naruszenia praw lub wolności osób, których dotyczyło naruszenie. Obowiązek Spółki, wynikający z art. 33 ust. 1 RODO, nie został przez nią zrealizowany.

3. stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f RODO); Prezes UODO uznał za niezadowalającą współpracę z nim ze strony Spółki. Ocena ta dotyczy reakcji Spółki na pisma Prezesa UODO wskazujące na możliwość zaistnienia w niniejszej sprawie ryzyka naruszenia praw lub wolności osób, których dotyczyło naruszenie i istnienie obowiązku zgłoszenia naruszenia organowi nadzorczemu. Prawidłowe, w ocenie Prezesa UODO, działanie (zgłoszenie naruszenia Prezesowi UODO) nie zostało podjęte przez Spółkę również po wszczęciu przez Prezesa UODO postępowania administracyjnego w sprawie.

4. sposób, w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h RODO); o naruszeniu ochrony danych osobowych stanowiących przedmiot niniejszej sprawy, to jest o zagubieniu przez Spółkę świadectwa pracy jednego z jej pracowników, Prezes UODO nie został poinformowany zgodnie z przewidzianą dla takich właśnie sytuacji procedurą określoną w art. 33 RODO, tylko w wyniku przeprowadzonych przez Prezesa UODO czynności wyjaśniających w Spółce na skutek zawiadomienia o możliwych nieprawidłowościach i wniosku o przeprowadzenie czynności kontrolnych skierowanego do Prezesa UODO przez Komendanta Powiatowego Policji w J. na polecenie Prokuratury Rejonowej w J.. Okoliczność braku informacji o naruszeniu ochrony danych pochodzącej od administratora zobowiązanego do przekazania takiej informacji Prezesowi UODO, czyli od Spółki, należy uznać za obciążającą tego administratora.

Określając wysokość wymierzonej kary administracyjnej, organ wziął pod uwagę również okoliczności łagodzące, tj.

1. liczba poszkodowanych osób, których dane dotyczą, oraz rozmiar poniesionej przez nie szkody (art. 83 ust. 2 lit. a RODO) - naruszenie w niniejszej sprawie dotyczyło tylko jednej osoby, przy czym nie stwierdzono, że osoba, której dane dotyczyły, poniosła jakąkolwiek szkodę, z racji braku roszczeń dochodzonych wobec Spółki;

2. nie stwierdzono wcześniejszych, popełnionych przez administratora naruszeń (art. 83 ust. 2 lit. e RODO).

Prezes UODO wymienił, też okoliczności, które nie miały wpływu na fakt zastosowania przez w niniejszej sprawie sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość.

W ocenie Prezesa UODO wymierzona administracyjna kara pieniężna spełnia funkcje, o których mowa w art. 83 ust. 1 RODO, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Organ podkreślił, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Spółka jako administrator

w przyszłości będzie wywiązywała się ze swoich obowiązków z zakresu ochrony danych.

Zdaniem organu zastosowana kara spełni funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Spółkę jako administratora przepisów RODO. Będzie również spełniać funkcję prewencyjną, ponieważ w ocenie Prezesa UODO wskaże zarówno Spółce, jak i innym administratorom danych, naganność lekceważenia obowiązków administratorów związanych z zaistnieniem naruszenia ochrony danych osobowych, a mających na celu przecież zapobieżenie jego negatywnym i często dotkliwym dla osób, których naruszenie dotyczy, skutkom,

a także usunięcie tych skutków lub przynajmniej ograniczenie. Zdaniem Prezesa UODO wysokość ustalonej kary pieniężnej jest proporcjonalna zarówno do wagi stwierdzonego w niniejszej sprawie naruszenia, jak i do sytuacji finansowej Spółki i nie będzie stanowiła dla niej nadmiernego obciążenia. Powyższe organ ustalił w oparciu o dokumentację nadesłaną przez Spółkę. Z przesłanego rachunku zysków i strat wynika, że przychody z działalności Spółki w okresie 28 listopada 2019 r. - 31 grudnia 2020 r. wyniosły ok. 2 500 000 zł (dwa miliony pięćset tysięcy złotych), w związku

z czym kwota nałożonej w niniejszej sprawie administracyjnej kary pieniężnej stanowi ok. 0,64 % obrotu osiągniętego przez Spółkę w okresie, za który Spółka przedstawiła dane finansowe, to jest w okresie ok. 13 miesięcy (od pełnego grudnia 2019 r. do pełnego grudnia 2020 r.). Jednocześnie organ podkreślił, że kwota nałożonej kary to jedynie ok. 0,04 % maksymalnej wysokości kary, którą Prezes UODO mógł - stosując, zgodnie z art. 83 ust. 4 RODO, maksymalny próg 10 000 000 EUR (zgodnie ze średnim kursem euro z dnia 28 stycznia 2022 r. - 45 697 000 zł) - nałożyć na Spółkę za stwierdzone w niniejszej sprawie naruszenie przepisów RODO. Zdaniem organu, wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków Spółki jako administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność uiszczenia kary finansowej pociągnie za sobą negatywne następstwa, w postaci znaczącej redukcji zatrudnienia bądź istotnego spadku obrotów Spółki.

W kwestii niezawiadomienia przez Spółkę o naruszeniu ochrony danych osobowych osoby, której dane dotyczą, to jest naruszenia art. 34 ust. 1 i 2 RODO, które to naruszenie objęte było również zakresem postępowania, Prezes UODO uznał, na podstawie zebranego materiału dowodowego, że w przedmiotowej sprawie nie wystąpiło wysokie ryzyko naruszenia praw lub wolności ww. osoby, przede wszystkim z uwagi na zakres danych objętych naruszeniem, przewidzianych w świadectwie pracy. Zakres ten został określony w § 2 ust. 1 rozporządzenia Ministra Rodziny, Pracy i Polityki Społecznej z dnia 30 grudnia 2016 r. w sprawie świadectwa pracy (Dz.U. 2018 poz. 1289 ze zm.), przy czym nie należą do niego takie dane, jak np. nr PESEL, numery dokumentów tożsamości, dane zaliczone w art. 9 ust. 1 rozporządzenia 2016/679 do szczególnych kategorii danych osobowych lub inne dane, których charakter przesądza o wystąpieniu wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą. Z kolei okoliczność wystąpienia wysokiego ryzyka naruszenia praw lub wolności osoby fizycznej stanowi niezbędną przesłankę powstania obowiązku zawiadomienia o naruszeniu osoby, której dane dotyczą, na podstawie art. 34 ust. 1 RODO. Z uwagi na powyższe, wobec faktu niewystąpienia

w przedmiotowej sprawie wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą oraz związanego z nim obowiązku zawiadomienia tej osoby

o naruszeniu, postępowanie w części dotyczącej ww. kwestii stało się bezprzedmiotowe.

E. Sp. z o.o. Sp. k. wniosła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na powyższą decyzję Prezesa UODO

z dnia [...] maja 2022 r. Skarżąca wskazała, że zaskarża decyzję w części, tj. w zakresie pkt 1 sentencji decyzji. Zaskarżonej decyzji zarzuciła:

1. nieprawidłowe zastosowanie przez organ art. 33 ust. 1 RODO mające wpływ na treść rozstrzygnięcia i błędne uznanie, iż w ustalonych przez organ okolicznościach sprawy, strona skarżąca dokonała zaniechania wykonania obowiązku zgłoszenia organowi przypadku naruszenia ochrony danych osobowych, albowiem obowiązek ów nie wystąpił z uwagi na to, ze prawdopodobieństwo naruszenia praw

i wolności podmiotu danych było znikome, a nadto – naruszenie nie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych (liczba mnoga), lecz ryzyko dotyczyło co najwyżej jednej osoby fizyczne.

2. nieprawidłowe zastosowanie przez organ art. 83 ust. 1 RODO mające wpływ na treść rozstrzygnięcia poprzez nałożenie na skarżącą kary administracyjnej w kwocie 15 994 zł, która to kwota jest nieproporcjonalnie wysoka nawet, gdyby uznać, ze skarżąca w istocie uchybiła ciążącemu nań obowiązkowi zawiadomienia

o naruszeniu przepisów o ochronie danych osobowych.

Zarzucając powyższe, skarżąca wniosła o uchylenie zaskarżonej decyzji

i umorzenie postępowania, zasadzenie od organu na jej rzecz skarżącej kosztów postępowania, rozpoznanie sprawy na rozprawie oraz przeprowadzenie dowodów uzupełniających z dokumentów dołączonych do skargi, tj. kopii świadectwa pracy odnalezionego w siedzibie skarżącej, oświadczenia wiceprezesa Spółki – A.W. oraz uchwały Zgromadzenia Wspólników E. Sp. z o.o. Sp. k. nr [...] z dnia [...] maja 2021 r.

W uzasadnieniu skargi skarżąca wyjaśniła, że, mając na uwadze, iż zdarzenie, będące podstawą faktyczną podstawą wszczęcia przez Prezesa UODO postępowania miało miejsce w 2007 r., zatem – ponad 10 lat temu, a ponadto, dotyczyło świadectwa pracy tylko jednej konkretnej osoby fizycznej, która z tego tytułu nie zgłaszała wobec Spółki żadnych roszczeń – trudno jest uznać, że ryzyko naruszenia praw lub wolności podmiotu danych było większe niż znikome. Skarżąca wskazała, iż organ błędnie antycypował treść danych, które mogły zostać ujawnione, wskazując na cały katalog danych wskazany w rozporządzeniu Ministra Rodziny, Pracy i Polityki Społecznej

z dnia 30 grudnia 2016 r. w sytuacji, w której część z ww. danych może w świadectwie pracy znaleźć się jedynie teoretycznie.

Nadto, istotną w opinii skarżącej jest okoliczność, że przedmiotowe świadectwo zostało odnalezione w jednym z pomieszczeń Spółki, co wskazuje na to, iż katalog osób, które potencjalnie mogły się zapoznać z jego treścią, jest stosunkowo niewielki. Co więcej, z treści odnalezionego dokumentu wynika, iż nie zawiera on żadnych danych, na które wskazywał organ, jako szczególnie istotne z punktu widzenia praw lub wolności osoby, której dotyczą, w szczególności informacji i zajęciu wynagrodzenia czy zwolnieniu dyscyplinarnym.

Skarżąca podniosła również, iż pozostawała w pewnym okresie w konflikcie

z P.M., czyli pracownicą odpowiedzialną za archiwizację akt osobowych pracowników, co rodzi przypuszczenie, iż świadectwo pracy D.R. mogło zostać przez nią celowo ukryte, zniszczone lub umieszczone w niewłaściwym miejscu. Tym bardziej, że - jak wskazuje skarżący - to właśnie wyżej wymieniona miała zainicjować postepowanie przed UODO jako zemstę za rozwiązanie z nią umowy o pracę.

Abstrahując od kwestii wystąpienia samego obowiązku zgłoszenia naruszenia ochrony danych osobowych, skarżąca wskazała na rażącą nieproporcjonalność wymierzonej Spółce kary pieniężnej w kwocie [...] zł w sytuacji, w której okoliczności wskazane przez organ jako obciążające (tj. czas trwania naruszenia, umyślność, stopień współpracy z organem nadzorczym; sposób, w jaki organ dowiedział się o naruszeniu) w opinii skarżącego - z pewnością nie miały takiego (obciążającego) charakteru.

W odpowiedzi na skargę z dnia [...] lipca 2022 r. Prezes UODO wniósł o jej oddalenie, podtrzymując stanowisko wyrażone w zaskarżonej decyzji.

Organ wskazał, iż ze stanowiskiem pełnomocnika skarżącej nie sposób się zgodzić, ponieważ zagubienie dokumentu zawierającego dane osobowe,

a w rezultacie tego utrata dostępności i poufności rzeczonych danych, wiąże się z ryzykiem naruszenia praw lub wolności osoby, której dane dotyczą, zarówno z uwagi na treść ww. dokumentu, jak i potencjalną możliwość zapoznania się z nim przez osoby nieuprawnione. Nie ma zatem znaczenia fakt, że skala naruszenia ochrony danych osobowych była stosunkowo niewielka (dotyczyła jednej osoby), skoro i tak zaistnienie potencjalnej możliwości zapoznania się z danymi osoby, której dane dotyczą, spowodowało ryzyko naruszenia jej praw lub wolności. Fakt niekierowania przez osobę, której danych incydent dotyczył, roszczeń wobec skarżącej z tego tytułu, na który powołuje się w skardze pełnomocnik skarżącej, również nie przesądza w świetle przepisów rozporządzenia 2016/679 o niewystąpieniu naruszenia ochrony danych, w tym ryzyka naruszenia praw lub wolności, oraz związanego z naruszeniem obowiązku zgłoszenia incydentu organowi nadzorczemu, wynikającego z art. 33 ust. 1 RODO.

Odnosząc się do podniesionej w skardze przez pełnomocnika okoliczności, iż świadectwo pracy w końcu odnalezione i że nie było w nim danych i informacji,

w przypadku których zapoznanie się z nimi przez osoby nieupoważnione spowodowałoby ryzyko naruszenia praw lub wolności podmiotu danych organ wskazał, iż sam fakt odnalezienia dokumentu nie zmienia faktu, iż był on przez dłuższy czas poza kontrolą skarżącej co najmniej w takim stopniu, że skarżąca nie miała wiedzy, gdzie zagubione świadectwo pracy znajduje się, jaki jest zakres jego treści, kto ma do niego dostęp i czy nie zostało ono zniszczone wraz ze znajdującymi się w nim danymi. Nawet, jeżeli po odnalezieniu zagubionego dokumentu okazało się, że zakres danych ujętych w zagubionym świadectwie pracy nie obejmował informacji dotyczących np. zajęcia wynagrodzenia w postępowaniu egzekucyjnym, to i tak zakres zawartych w nim danych przesądzał o potencjalnym, znaczącym prawdopodobieństwie naruszenia praw lub wolności osoby, której dane dotyczą, ze względu na ryzyko uzyskania do ww. dokumentu dostępu przez osoby nieupoważnione. Do zakresu danych zawartych w zagubionym świadectwie pracy D.R., pracownika skarżącej, należały bowiem: imię, nazwisko, nazwa i adres pracodawcy, imiona rodziców, data urodzenia, czas zatrudnienia, stanowisko, sposób rozwiązania umowy o pracę, wymiar wykorzystanego urlopu wypoczynkowego, okres niezdolności do pracy oraz czas odbycia służby wojskowej. Organ podkreślił, iż należy zwrócić szczególną uwagę na dane związane z okresem niezdolności do pracy – są to dane odnoszące się pośrednio do informacji na temat zdrowia osoby, której dane dotyczą, a więc do danych szczególnych, chronionych na podstawie art. 9 RODO. Taki stan rzeczy powoduje zaś potencjalną możliwość naruszenia dóbr osobistych osoby, której dane dotyczą, bowiem informacje

o niezdolności do pracy, a więc pośrednio o stanie zdrowia, są powszechnie traktowane jako informacje dalece ingerujące w dobra osobiste, takie jak prywatność osoby fizycznej, jej wizerunek itd. Także informacja o dacie urodzenia danej osoby lub o miejscu poprzedniej pracy, w przypadku dostępu do niej osoby nieuprawnionej, może powodować naruszenie dóbr osobistych, a w rezultacie praw lub wolności osoby, której dane dotyczą. W tej sytuacji, twierdzenie pełnomocnika skarżącej, że "w treści świadectwa pracy nie podoje się także pełnych danych osobowych pracownika, przez co informacje zawarte w treści świadectwa pracy dla osoby postronnej są w istocie całkowicie obojętne" w opinii Prezes UODO nie może zyskać aprobaty. Już samo pozyskanie przez osobę nieuprawnioną informacji na temat miejsca poprzedniej pracy osoby, której dane dotyczą, nie wspominając o liczbie dni, podczas których przebywała ona na zwolnieniu lekarskim itp., może stanowić przyczynę istotnego naruszenia jej prywatności, wizerunku oraz innych dóbr osobistych.

Organ wskazał, iż jakkolwiek pełnomocnik skarżącej deprecjonuje w skardze wagę incydentu i stopień ryzyka naruszenia praw i wolności osoby nim dotkniętej fakty - w ocenie Prezesa UODO - przemawiają za uznaniem przedmiotowego zdarzenia za istotne z punktu widzenia obowiązku zgłoszenia go, zgodnie z art. 33 ust. 1 RODO, Prezesowi UODO. Tak więc, twierdzenia pełnomocnika skarżącej, jakoby "informacje zawarte w treści świadectwa mogłyby natomiast mieć ograniczoną wartość dla osoby, która zna pracownika (rodzina, znajomy, kolega z pracy), ponieważ z treści świadectwa teoretycznie mogłaby się dowiedzieć o pracowniku pewnych informacji, które w skrajnym przypadku mogłyby być informacjami, których pracownik nie chciałby ujawniać" są nieuzasadnione. Potencjalne dotarcie informacji zawartych

w odnalezionym świadectwie pracy do osób nieuprawnionych, choćby funkcjonowały one w najbliższym otoczeniu osoby dotkniętej incydentem naruszenia ochrony danych, mogłoby skutkować niekorzystnymi dla podmiotu danych reperkusjami, szczególnie

w kontekście wizerunku ww. osoby w środowisku pracy i prywatności. Z wielu powodów osoba, której dane dotyczą, może potencjalnie nie życzyć sobie rozpowszechnienia o niej informacji w kontekście np. wykonywanych przez nią

w przeszłości prac.

Nadto, w dalszej części odpowiedzi na skargę organ podkreślił, że to właśnie dla współpracowników D.R., członków jego rodziny lub osób

z jego kręgu towarzyskiego dane osobowe zawarte w zagubionym świadectwie pracy potencjalnie stanowiły narzędzie, z którego ww. nieuprawnione osoby mogłyby ewentualnie uczynić niekorzystny dla D.R. użytek, naruszając jego dobra osobiste, a tym samym prawa lub wolności. Osoby te, znając osobiście D.R., mogłyby wykorzystać potencjalny fakt nieuprawnionego dostępu do jego danych, np. celem jego zdyskredytowania lub zdeprecjonowania jego pozycji i osiągnięć zawodowych.

Kolejną kwestią, na którą organ zwrócił uwagę, odnosząc się do skargi – jak wynika ze skargi odnaleziony dokument nie był przechowywany w miejscu właściwym dla tego rodzaju dokumentu (akta osobowe pracowników), ale w miejscu przypadkowym, niezwiązanym z prowadzeniem akt osobowych pracowników skarżącej. Taki stan rzeczy powodował, że skarżący jako administrator nie wykonywał swoich obowiązków wynikających z przepisów RODO, a w szczególności nie zapewniał poufności, dostępności i integralności danych zawartych w zagubionym świadectwie pracy, ponieważ pozbawił się w sposób zawiniony (w wyniku zagubienia dokumentu) możliwości ich wykonywania. Powyższe okoliczności wskazują z kolei na to, że z treścią zagubionego do niedawna dokumentu mogły potencjalnie zapoznać się osoby nieuprawnione do przetwarzania danych osobowych znajdujących się

w przedmiotowym świadectwie pracy. W tej sytuacji, argumentowanie przez pełnomocnika skarżącej, jakoby przechowywanie dokumentu w siedzibie skarżącej, jednak w miejscu nieprzeznaczonym do przechowywania akt osobowych pracowników, przesądzało o braku ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, jest w opinii organu chybione.

Ponadto organ podkreślił, iż z treści skargi wynika, że sama skarżąca ma wątpliwość, czy z dokumentem zapoznały się osoby nieuprawnione, czy nie, bowiem za takie, zdaniem Prezesa UODO, należy poczytywać stwierdzenie, że dokument "nie powinien trafić do przypadkowej osoby". Z powyższego, zdaniem organu, wynika, że skarżąca od momentu zaistnienia incydentu liczyła się z możliwością udostępnienia zagubionego dokumentu osobie nieuprawnionej.

Jak zauważył organ - z wyjaśnień pełnomocnika skarżącej wynika, że skarżąca dość lekceważąco podeszła do kwestii wyjaśnień, do złożenia których wezwał ją Prezes UODO, a także skutków incydentu zagubienia świadectwa pracy. Pełnomocnik skarżącej stwierdza bowiem, że "skarżąca nie przypuszczała, iż organ zajmie odmienną ocenę prawną co do przedmiotowego incydentu, niemniej zarządziła poszukiwania zaginionego dokumentu, które nie przyniosły rezultatu. Gdy jednak okazało się, że organ nałożył bardzo wysoką karę administracyjną, skarżąca jeszcze raz poleciła szczegółowe sprawdzenie dokumentacji. W wyniku podjętych czynności zagubiony dokument został odnaleziony (...)". Z powyższego – zdaniem Prezesa UODO, wynika, że skarżąca mając świadomość zagubienia dokumentu wraz z tego wszelkimi konsekwencjami dla ochrony danych, akceptowała ten stan, nie zamierzając w związku z nim podejmować działań mających znamiona dołożenia należytej staranności, a wysiłki podjęte przez nią celem odnalezienia dokumentu, a więc

i uchylenia choćby częściowo skutków incydentu, zostały przez skarżącą zintensyfikowane dopiero wówczas, gdy została na nią nałożona administracyjna kara pieniężna. Taka postawa skarżącej w opinii organu świadczy o lekceważącym stosunku do przepisów dotyczących ochrony danych osobowych oraz

o instrumentalnym podejściu do regulowanych nimi obowiązków.

W ocenie Prezesa UODO, wbrew twierdzeniom skarżącej naruszenie ochrony danych w przedmiotowej sprawie nie miało charakteru jednorazowego.

O jednorazowości incydentu nie może przesądzać sam fakt momentu zagubienia dokumentu. O czasie trwania stanu naruszenia decyduje również okres, w którym Skarżąca nie miała wiedzy o miejscu jego przechowywania (zagubienia), okres utraty dostępu do danych zawartych w dokumencie oraz okres potencjalnej utraty poufności danych. Okoliczności incydentu oraz wyjaśnienia skarżącej w sprawie wskazują, że twierdzenie o co najmniej kilkunastomiesięcznym okresie trwania naruszenia jest uzasadnione i pokrywa się z ujawnionymi w toku całego postępowania faktami.

Organ podniósł, że skarżąca z góry przyjęła bezpodstawne założenie, że ryzyko naruszenia praw lub wolności osoby, której dane znajdowały się w zagubionym świadectwie pracy, jest niewielkie i nie podjęła żadnych działań celem uchylenia skutków naruszenia, tj. nie dość, że nie dokonała zgłoszenia naruszenia do organu nadzorczego, to nie podjęła należytego wysiłku celem odnalezienia. W związku

z powyższym, po zapoznaniu się z wniesioną skargą, organ w całości podtrzymał argumentację wskazaną w zaskarżonej decyzji z dnia [...] maja 2022 r. po nałożeniu kary przez organ skarżąca jeszcze raz poleciła szczegółowe sprawdzenie dokumentacji. W wyniku podjętych czynności zagubiony dokument został odnaleziony w jednym z pomieszczeń biurowych w zamkniętej szafie pośród dokumentów niezwiązanych z dokumentacją pracowniczą. Z treści odnalezionego świadectwa pracy wynika, iż nie zawierało ono żadnych danych, na które wskazywał organ, jako szczególnie istotne z punktu widzenia praw lub wolności osoby, której dane dotyczą, w szczególności informacja o zajęciu wynagrodzenia za pracę lub dyscyplinarnym zwolnieniu.

Pismem z dnia [...] sierpnia 2022 r., odnosząc się do odpowiedzi na skargę, pełnomocnik strony skarżącej wniósł o przeprowadzenie przez Sąd dowodu

z dokumentów, tj. wydruku ze strony internetowej UODO, korespondencji mailowej pomiędzy stronami, która miała miejsce po wniesieniu skargi oraz pisma UODO z dnia [...] lipca 2022 r., stanowiącego załącznik do wskazanej korespondencji mailowej, które w opinii pełnomocnika skarżącej miały potwierdzać fakt odnalezienia przez pracodawcę świadectwa pracy D.R..

Na rozprawie w dniu 26 kwietnia 2023 r. Sąd postanowił dopuścić wnioski dowodowe strony skarżącej zawarte w treści skargi z dnia [...] czerwca 2022 r. oraz

w piśmie procesowym z dnia [...] sierpnia 2022 r.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. z 2022 r., poz. 2492), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.

W świetle powołanych przepisów cyt. ustawy, Wojewódzki Sąd Administracyjny w Warszawie, w zakresie swojej właściwości, ocenia zaskarżoną decyzję administracyjną, postanowienie, czy też inny akt lub czynność z zakresu administracji publicznej dotyczącą uprawnień lub obowiązków wynikających z przepisów prawa, z punktu widzenia ich zgodności z prawem materialnym i przepisami postępowania administracyjnego, według stanu faktycznego i prawnego obowiązującego w dacie wydania tego aktu lub podjęcia spornej czynności. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej dokonywaną wyłącznie pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności, czy też zgodności z zasadami współżycia społecznego.

Ponadto, co wymaga podkreślenia, Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (vide: art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi Dz. U. z 2023 r., poz. 259, z późn. zm.– dalej także: "p.p.s.a.").

Należy jednocześnie wyraźnie zaznaczyć, że od dnia wejścia w życie Traktatu Akcesyjnego z dnia 16 kwietnia 2003 r. (Dz. U. z 2004 r. Nr 90, poz. 864), na mocy którego Polska stała się państwem członkowskim Unii Europejskiej, kontrola sądu administracyjnego obejmuje również zgodność rozstrzygnięć organów administracji publicznej z prawem europejskim (prawem Unii Europejskiej), rozumianym jako całokształt dorobku prawnego Unii Europejskiej (acquis communautaire), w tym zasad ogólnych prawa europejskiego, interpretowanych oraz stosowanych w sposób jednolity na całym obszarze Unii Europejskiej.

Należy zauważyć, że w tej sytuacji Wojewódzki Sąd Administracyjny

w Warszawie, dokonując oceny legalności zaskarżonej decyzji Prezesa UODO, zobowiązany był – co do zasady – zbadać jej zgodność przede wszystkim z przepisami prawa europejskiego, w tym w szczególności z regulacjami zawartymi

w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – zwane także: "RODO").

W ocenie Sądu, analizowana pod tym kątem skarga nie zasługuje na uwzględnienie, albowiem zaskarżona decyzja Prezesa UODO z dnia [...] maja 2022 r. – nie narusza obowiązujących przepisów prawa. Sąd uznał, że Prezes UODO, wydając zaskarżoną decyzję nie dopuścił się naruszenia zarówno wiążących Polskę przepisów prawa europejskiego, jak i regulacji prawa krajowego, w stopniu mającym istotny wpływ na końcowy wynik sprawy zakończonej wydaniem wspomnianej wyżej decyzji.

Na wstępie wyjaśnić należy, iż przesłanką powstania po stronie administratora powinności zgłoszenia do organu nadzorczego naruszenia ochrony danych osobowych jest wystąpienie naruszenia ochrony danych osobowych, rozumiane jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodne z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesłanych, przechowywanych lub w inny sposób przetwarzanych (art. 4 pkt 12 RODO).

Przepisy art. 33 ust. 1 i ust. 3 RODO stanowią, że w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej: a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Z kolei art. 34 ust. 1 RODO wskazuje, że w sytuacji, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o takim naruszeniu.

Podkreślić należy, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować. W treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

W świetle powyższego zasadnie organ stwierdził, że w niniejszej sprawie zaistniało ryzyko naruszenia praw i wolności osób fizycznych, jako że opisane w części historycznej uzasadnienia naruszenia ochrony danych osobowych będące wynikiem zagubienia świadectwa pracy D.R. zawierających jego dane osobowe mogło prowadzić do szkód majątkowych i niemajątkowych dla tej osoby.

Organ trafnie, opierając się na regulacjach dotyczących treści świadectwa pracy, trafnie wskazał, że ujawnienie zawartych w nim danych osobowych osobom nieuprawnionym, mogą stanowić przyczynę naruszenia wolności lub praw osoby, której dotyczą.

Raz jeszcze podkreślić należy, iż w sytuacji, gdy na skutek naruszenia ochrony danych osobowych, wystąpiło wysokie ryzyko naruszenia praw i wolności osób fizycznych, skarżący jako administrator zobowiązany był wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy.

W motywie 85 preambuły RODO wyjaśniono: "Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki".

Stosując przepisy RODO, należy mieć na uwadze, że celem tego rozporządzenia (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości na przykład co do wykonania obowiązków przez administratorów – nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy opracowywaniu technicznych i organizacyjnych środków bezpieczeństwa mających im zapobiegać – należy w pierwszej kolejności brać pod uwagę te wartości.

W toku dokonywania oceny, czy występują ryzyka naruszenia praw lub wolności człowieka, administrator powinien brać pod uwagę wszelkie możliwe szkody, jak i krzywdy, które mogą wyniknąć z danego zdarzenia dla osób fizycznych (tak: S. Jandt [w:] DS.-GVO..., red. J. Kühling, B. Buchner, s. 617; Y. Reif [w:] DS.-GVO..., red. P. Gola, s. 496). Mogą one w szczególności polegać na utracie kontroli nad własnymi danymi osobowymi, negatywnych konsekwencjach wizerunkowych, możliwości zawierania przez inną osobę umów z wykorzystaniem danych osobowych innej osoby fizycznej, stratach finansowych czy wreszcie negatywnym odbiorze społecznym, który może być konsekwencją upublicznienia niektórych danych osobowych. Do zaistnienia ryzyka nie jest przy tym konieczne, by ostatecznie doszło do wystąpienia szkody lub krzywdy wynikających z danego naruszenia ochrony danych osobowych (tak: jw., s. 616).

W konsekwencji należy stwierdzić, że skarżąca nie dokonała zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w wykonaniu obowiązku z art. 33 ust. 1 RODO, co stanowi o naruszeniu przez skarżącą tego przepisu. Podkreślenia przy tym wymaga, że brak jakiejkolwiek wiedzy skarżącej na temat, gdzie mogło się znajdować przedmiotowe świadectwo pracy, wykluczał przyjęcie, że w niniejszej sprawie było mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Jak słusznie podnosił organ z uwagi na nieodnalezienie dokumentu, nie była istotna kwestia, czy nieuprawniony podmiot, np. potencjalny jego znalazca, faktycznie wszedł w posiadanie i zapoznał się z danymi osobowymi znajdującymi się na zagubionym świadectwie pracy pracownika Spółki, lecz to, że wystąpiło takie ryzyko, a w konsekwencji również potencjalnie wystąpiło ryzyko naruszenia praw lub wolności podmiotu danych.

Podnoszony przez skarżącą fakt późniejszego odnalezienia przedmiotowego świadectwa pracy nie mógł mieć wpływu ocenę, iż zaskarżona decyzja nie narusza prawa. Organ orzekał w ustalonym przez siebie stanie faktycznym, a ustalenia te dokonywane były przy uwzględnieniu zajmowanego w toku postępowania stanowiska skarżącej oraz przedstawianych przez nią informacji. Z treści skargi wynika, że świadectwo pracy zostało odnalezione dopiero po wydaniu zaskarżonej decyzji. Oczywistym jest, że okoliczność ta nie mogła mieć wpływu na treść wydanego przez organ rozstrzygnięcia. Z wyjaśnień skarżącej składanych w toku postepowania (pismo z [...] maja 2021 r. k. 15 oraz pismo z [...] sierpnia 2021 r. k. 109) wynikało, że przedmiotowe świadectwo pracy zostało zagubione, a skarżąca w z związku z tym nie dokonała zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w wykonaniu obowiązku z art. 33 ust. 1 RODO. Nie można w tej sytuacji zarzucić organowi, że błędnie ustalił stan faktyczny sprawy.

Słusznie nadto w odpowiedzi na skargę organ zwraca uwagę, że dokument ten przez dłuższy czas znajdował się poza kontrolą skarżącej, co najmniej w takim stopniu, że nie miała ona wiedzy, gdzie zagubione świadectwo pracy znajduje się, jaki jest zakres jego treści, kto ma do niego dostęp i czy nie zostało ono zniszczone wraz ze znajdującymi się w nim danymi.

Zawarta w zaskarżonej decyzji wypowiedź organu odnośnie treści świadectwa pracy dotyczyła możliwych informacji, które w świetle obowiązujących przepisów mogło ono zawierać. Z odnalezionego świadectwa pracy wynika, że zwiera ono następujące dane: imię, nazwisko, nazwa i adres pracodawcy, imiona rodziców, data urodzenia, czas zatrudnienia, stanowisko, sposób rozwiązania umowy o pracę, wymiar wykorzystanego urlopu wypoczynkowego, okres niezdolności do pracy oraz czas odbycia służby wojskowej. Zasadnie organ zwraca uwagę, że dane związane

z okresem niezdolności do pracy są danymi odnoszącymi się pośrednio do informacji na temat zdrowia osoby, której dane dotyczą, a więc do danych szczególnych, chronionych na podstawie art. 9 RODO. Trafne jest spostrzeżeni organu, że taki stan rzeczy powoduje zaś potencjalną możliwość naruszenia dóbr osobistych osoby, której dane dotyczą, bowiem informacje o niezdolności do pracy, a więc pośrednio o stanie zdrowia, są powszechnie traktowane jako informacje dalece ingerujące w dobra osobiste, takie jak prywatność osoby fizycznej. Także informacja o dacie urodzenia danej osoby lub o miejscu poprzedniej pracy, w przypadku dostępu do niej osoby nieuprawnionej, może powodować naruszenie dóbr osobistych, a w rezultacie praw lub wolności osoby, której dane dotyczą. Pozyskanie przez osobę nieuprawnioną informacji na temat miejsca poprzedniej pracy osoby, której dane dotyczą, a także o liczbie dni, podczas których przebywała ona na zwolnieniu lekarskim, może stanowić przyczynę istotnego naruszenia jej prywatności, wizerunku oraz innych dóbr osobistych, co również słusznie podnosi organ w odpowiedzi na skargę.

Wyjaśnić należ, że zgodnie z art. 58 ust. 2 lit. i) RODO, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych wart. 58 ust. 2 RODO, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy.

Jak wynika z uzasadnienia zaskarżonej decyzji, Prezes UODO szczegółowo wyjaśnił powody nałożenia na skarżącą kary pieniężnej w oparciu o art. 83 ust. 4 lit. a) RODO w przyjętej wysokości.

Stosownie do treści art. 83 ust. 2 RODO, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a) – h) oraz lit. j).

Decydując o nałożeniu na skarżącego administracyjnej kary pieniężnej w wysokości [...] zł, Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) – k) RODO – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej kary pieniężnej, a mianowicie:

a) czas trwania naruszenia (art. 83 ust. 2 lit. a RODO);

b) umyślny charakter naruszenia (art. 83 ust. 2 lit. b RODO);

c) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f RODO);

d) sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h RODO).

Za okoliczności łagodzące organ natomiast uznał:

a) liczbę poszkodowanych osób, których dane dotyczą, oraz rozmiar poniesionej przez nie szkody (art. 83 ust. 2 lit. a RODO);

b) niestwierdzenie wcześniejszych, popełnionych przez administratora naruszeń (art. 83 ust. 2 lit. e RODO).

Z kolei bez wpływu na fakt zastosowania przez Prezesa UODO w niniejszej sprawie sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, organ uznał, wskazane w art. 83 ust. 2 RODO, następujące okoliczności, a mianowicie:

a) charakter i waga naruszenia przy uwzględnieniu charakteru, zakresu i celu przetwarzania (art. 83 ust. 2 lit. a RODO);

b) działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osobę, której dane dotyczą (art. 83 ust. 2 lit. c RODO);

c) stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d RODO);

d) kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g RODO);

e) przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i RODO);

f) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j RODO);

g) osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k RODO).

W ocenie Sądu zastosowana przez organ administracyjna kara pieniężna spełnia, w ustalonych okolicznościach rozpatrywanej sprawy, funkcje, o których mowa w art. 83 ust. 1 RODO, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Należy podkreślić, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że administrator w przyszłości będzie wywiązywał się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności

w zakresie zgłaszania naruszenia ochrony danych osobowych Prezesowi UODO.

W związku z powyższym wskazać należy, że kara pieniężna w wysokości [...] zł spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 RODO ze względu na powagę stwierdzonego naruszenia w kontekście podstawowego celu rozporządzenia– ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych.

Podkreślenia wymaga, że organ w sposób wyczerpujący wyważył dyrektywy zasadności nałożenia oraz wysokości administracyjnej kary pieniężnej

w analizowanym przypadku. Brak jest zatem podstaw do uznania, że kara ta jest rażąco wygórowana i nieadekwatna do stopnia przewinienia. Zaznaczyć przy tym należy, że kara wymierzona została w wysokości 0,04% możliwej kwoty przewidzianej w art. 83 ust. 4 lit a RODO, i w wysokości ok.0,64 % obrotu osiągniętego przez skarżącą w okresie, za który przedstawiła dane finansowe. Zgodzić się należy

z organem, że kara w tej wysokości jest proporcjonalna do stwierdzonego naruszenia, a ponadto jest karą skuteczną i odstraszającą.

Mając powyższe na uwadze, Sąd na podstawie art. 151 p.p.s.a, orzekł

o oddaleniu skargi.