Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Łukasz Krzycki (spr.), Sędzia WSA Piotr Borowiecki, Asesor WSA Michał Sułkowski, Protokolant specjalista Marcin Kwiatkowski, po rozpoznaniu na rozprawie w dniu 6 czerwca 2023 r. sprawy ze skargi Komendanta Miejskiego Policji w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] sierpnia 2022 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę

Zaskarżoną decyzją – przywołując art. 104 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz.U. z 2021 r., poz. 735 ze zm.), zwanej dalej "K.p.a.", po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Komendanta Miejskiego Policji w [...], zwanego dalej "Komendantem Miejskim", stwierdzając naruszenie przez tegoż art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 i 2, art. 32 ust. 1 i 2, art. 34 ust. 1 i 2 oraz art. 38 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L. nr 119. str. 1, ze zm.), zwanego dalej "RODO", polegające na:

- niezastosowaniu właściwych środków technicznych i organizacyjnych dla zapewnienia bezpieczeństwa przetwarzanych danych,

- braku zawiadomienia bez zbędnej zwłoki osoby fizycznej o naruszeniu jej danych osobowych, stwierdzonym [...] listopada 2020 r.,

- niezapewnieniu, by inspektor ochrony danych był właściwie i niezwłocznie włączany w sprawy związane z ochroną danych osobowych -

1. udzielono Komendantowi Miejskiemu upomnienia,

2. nakazano Komendantowi Miejskiemu dostosowanie operacji przetwarzania do przepisów RODO, poprzez:

- przeprowadzenie analizy ryzyka w celu oszacowania właściwego poziomu ryzyka wiążącego się z przetwarzaniem danych osobowych, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych,

- wdrożenie odpowiednich środków technicznych i organizacyjnych dla zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania

w terminie 30 dni od dnia doręczenia decyzji.

W uzasadnieniu decyzji przywołano następujące okoliczności faktyczne i prawne uwarunkowania sprawy:

- [...] listopada 2020 r. wpłynęło do organu zgłoszenie naruszenia ochrony danych osobowych złożone przez Komendanta Miejskiego (dalej także jako "administrator"), o naruszeniu ochrony danych osobowych funkcjonariusza Komendy Miejskiej Policji w [...] (dalej Jako "Komenda") - przez przesłanie, za pośrednictwem wewnętrznej poczty służbowej, nieprawidłowo zanonimizowanego wyroku Wojewódzkiego Sądu Administracyjnego w Białymstoku z 8 października 2020 r. (sygn. akt II SA/Bk 522/20), zwanego dalej "Wyrokiem", do wszystkich komórek i jednostek organizacyjnych Komendy; nieprawidłowa anonimizacja umożliwiła odczytanie danych osobowych funkcjonariusza, którego orzeczenie to dotyczyło, co do imienia, nazwiska, stopnia służbowego, zajmowanego stanowiska, adresu zamieszkania lub pobytu oraz okresu przebywania na zwolnieniu lekarskim z powodu choroby; administrator oświadczył w zgłoszeniu, że rozesłanie tej wiadomości miało na celu funkcję dydaktyczną, wobec osób zatrudnionych w Komendzie - Wyrok dotyczył przeprowadzonego postępowania dyscyplinarnego wobec funkcjonariusza Policji, któremu zarzucono "niezgodne z przeznaczeniem wykorzystanie zwolnienia lekarskiego ",

- administrator ocenił, że naruszenie to nie powoduje wysokiego ryzyka naruszenia praw lub wolności osoby, której ono dotyczyło i oświadczył, że osoba ta nie zostanie zawiadomiona o zdarzeniu, stosownie do art. 34 RODO,

- w związku z tym, organ - pismem z [...] listopada 2020 r., - wystąpił do Komendanta Miejskiego - na podstawie art. 34 RODO - o podjęcie stosownych działań w celu: zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony jej danych osobowych, przekazania tej osobie zaleceń odnośnie zminimalizowania potencjalnych skutków zaistniałego naruszenia oraz wyeliminowania podobnych nieprawidłowości w przyszłości; ponadto w piśmie tym organ zwrócił się o jednoznaczne wskazanie:

- czy administrator przeprowadził analizę ryzyka naruszenia praw lub wolności osób fizycznych w związku z wystąpieniem przedmiotowego naruszenia, a jeśli tak, to jakie wyniki uzyskał;

- czy administrator wprowadził zasady prawidłowej anonimizacji danych osobowych, o których mowa w zgłoszeniu - jeśli tak, to w jaki sposób oraz jakie zasady określono; wezwano też do przedstawienia dokumentów, potwierdzających wykonanie tych czynności,

- w odpowiedzi na to wystąpienie, Komendant Miejski - pismem z [...] grudnia 2020 r. - poinformował, że powiadomił osobę, której dane dotyczą, o wystąpieniu naruszenia ochrony jej danych osobowych oraz przekazał treść tego powiadomienia; wskazał ponadto, że przeprowadził analizę ryzyka naruszenia praw lub wolności osoby fizycznej oraz wprowadził zasady dokonywania anonimizacji danych osobowych,

- przedłożone przez administratora danych zawiadomienie - jakie skierował do osoby fizycznej, której naruszenie dotyczyło - nie spełniało rygorów określonych w art. 34 ust. 2 RODO; nie było w nim było szczegółowych informacji, dotyczących opisu możliwych konsekwencji naruszenia ochrony danych osobowych oraz opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym informacji o środkach w celu zminimalizowania jego ewentualnych negatywnych skutków,

- w związku z powyższym, organ – w myśl art. 34 ust. 4 RODO - wystąpił ponownie do Komendanta Miejskiego - pismem z [...] stycznia 2021 r. – o podjęcie stosownych działań w celu prawidłowego zawiadomienia osoby fizycznej, której dane zostały objęte naruszeniem - o przekazanie jej informacji, dotyczących opisu możliwych konsekwencji naruszenia ochrony danych osobowych oraz opisu środków, zastosowanych lub proponowanych przez administratora, w celu zaradzenia naruszeniu - w tym informacji o środkach w celu zminimalizowania jego ewentualnych negatywnych skutków; w piśmie tym zażądano również przedłożenia dokumentu, potwierdzającego przeprowadzenie analizy ryzyka wraz z metodyką jej przeprowadzenia oraz wewnętrznych uregulowań, dotyczących zasad dokonywania anonimizacji danych osobowych,

- pismem z [...] stycznia 2021 r. Komendant Miejski przesłał żądane dokumenty oraz ponownie podniósł, że - zgodnie z przeprowadzoną analizą - w jego ocenie nie występuje wysokie ryzyko naruszenia praw lub wolności osoby fizycznej, zaś "celem publikacji wyroku nie było napiętnowanie tego funkcjonariusza a jedynie uzmysłowienie podległym administratorowi funkcjonariuszom, że pracodawca jest uprawniony do kontroli prawidłowości wykorzystania przez nich zwolnień lekarskich tj, sprawdzenia czy przebywają w czasie zwolnienia w miejscu swojego zamieszkania ",

- pismem z [...] lutego 2021 r. Komendant Miejski poinformował o ponownym zawiadomieniu osoby fizycznej o wystąpieniu naruszenia ochrony jej danych osobowych oraz przesłał treść zawiadomienia,

- pismem z [...] marca 2021 r. organ poinformował administratora o wszczęciu z urzędu postępowania w przedmiocie możliwości naruszenia przez Komendanta Miejskiego, w związku z naruszeniem ochrony danych osobowych funkcjonariusza Policji, zgłoszonym organowi [...] listopada 2020 r.; pismem z [...] lipca 2021 r. rozszerzono przedmiot postępowania o możliwość naruszenia przez Komendanta Miejskiego art. 38 ust. 1 RODO,

- w wyniku przeprowadzonego postępowania administracyjnego ustalono następujący stan faktyczny:

- w aktach sprawy znajduje się kopia Wyroku, który zanonimizowano poprzez zamazanie markerem danych osobowych funkcjonariusza Policji tak, że możliwe było ich odczytanie; w ten sposób - poza treścią samego Wyroku - udostępniono także informację, kogo on dotyczy - można odczytać imię i nazwisko funkcjonariusza, zajmowane przezeń stanowisko, stopień służbowy oraz adres zamieszkania lub pobytu; przedmiotem postępowania sądowego była ocena orzeczenia wydanego przez Komendanta Miejskiego w sprawie uznania funkcjonariusza Policji za winnego w prowadzonym wobec niego postępowaniu dyscyplinarnym i odstąpienia od ukarania; przedmiotem postępowania dyscyplinarnego było natomiast nieprzestrzeganie zasad etyki zawodowej policjanta poprzez "niezgodne z przeznaczeniem wykorzystanie zwolnienia lekarskiego";

- niezanonimizowany prawidłowo Wyrok rozesłano [...] listopada 2020 r. - za pośrednictwem wewnętrznej poczty służbowej Policji - do wszystkich komórek i jednostek organizacyjnych Komendy - na polecenie Komendanta Miejskiego, na podstawie § 7 pkt 5 zarządzenia nr 30 Komendanta Głównego Policji z dnia 16 grudnia 2013 r. w sprawie funkcjonowania organizacji hierarchicznej w Policji (Dz. Urz. KGP z 2018 r. poz. 89),

- z jego treścią zapoznało się 497 funkcjonariuszy na 931 osób, należących do załogi jednostki, z uwagi na reakcję Zastępcy Komendanta Komisariatu Policji I w [...] ([...] listopada 2020 r.), który poinformował administratora danych o rozesłaniu nieprawidłowo zanonimizowanego Wyroku (tak: wyjaśnienia Komendanta Miejskiego z [...] marca 2021 r. oraz [...] sierpnia 2021 r.);

- Komendant Miejski w złożonych wyjaśnieniach wskazał, że inspektor ochrony danych nie został włączony w proces przed rozesłaniem e-maila; co za tym idzie nie przedstawiono administratorowi zalecenia w związku z zamiarem upublicznienie treści Wyroku; w tym czasie inspektor ochrony danych był nieobecny w Komendzie; nie wyznaczono w niej zastępcy inspektora ochrony danych (tak: wyjaśnienia Komendanta Miejskiego z [...] marca 2021 r. oraz [...] sierpnia 2021 r.);

- funkcjonariusza Wydziału Kadr Komendy, który rozesłał Wyrok, przeszkolono z zakresu ochrony danych osobowych, w tym z zasad prawidłowej anonimizacji danych [...] października 2018 r. oraz [...] grudnia 2020 r. (tak: wyjaśnienia Komendanta Miejskiego z [...] marca 2022 r.),

- w aktach sprawy znajdują się kopie dokumentów, sporządzonych przez Komendanta Miejskiego:

szacowanie ryzyka dla sieci w obrębie Komendy Miejskiej Policji w [...] i jednostek podległych Systemu Elektronicznej Poczty Policji (SEPP); wzięto w nim pod uwagę ryzyko w postaci "braku kontroli jakości danych wprowadzanych do systemu" (prawdopodobieństwo "P" - 2, wartość przypisana skutkowi dla dostępności informacji "Sd" - 1, wartość przypisana skutkowi dla integralności informacji "Si" - 1, wartość przypisana skutkowi dla poufności informacji "Sp" - 0, pierwotne ryzyko "Rp" - 2);

szacowanie ryzyka dla stanowisk dostępowych w Komendzie i jednostkach podległych Systemu Elektronicznej Poczty Policji (SEPP);

oba dokumenty, sporządzone [...] sierpnia 2020 r, zawierają identyczne wartości dla zagrożenia "brak kontroli jakości danych wprowadzonych do systemu". dokumenty nie zawierały dat wykonania; informacje, kiedy je wykonano organ ustalił w toku postępowania administracyjnego,

szacowanie ryzyka dla stanowisk dostępowych w Komendzie Miejskiej Policji w [...]i jednostkach podległych Systemu Elektronicznej Poczty Policji (SEPP) - dokument sporządzony [...] kwietnia 2022 r. (prawdopodobieństwo "P" - 1, wartość przypisana skutkowi dla dostępności informacji "Sd" - 1, wartość przypisana skutkowi dla integralności informacji "Si" -1, wartość przypisana skutkowi dla poufności informacji "Sp" - 0, pierwotne ryzyko "Rp"- 2),

dokumenty opracowano w oparciu o "Metodę zarządzania ryzykiem dla systemów teleinformatycznych w Policji" w wersji 1.0.;

- w aktach sprawy znajduje się także dokument, stwierdzający wykonanie szacowania ryzyka dla systemu teleinformatycznego System Elektronicznej Poczty Policji SEPP i jego zasobu informacyjnego przez Komendanta Głównego Policji (jako administratora tej poczty), w czerwcu 2020 r., w oparciu o "Metodę zarządzania ryzykiem dla systemów teleinformatycznych w Policji" w wersji 1.0.; w dokumencie tym nie ma wskazania zagrożenia, jakim jest udostępnienie danych osobowych osobom nieuprawnionym do ich pozyskania, ani zagrożeń pokrewnych,

- Komendant Miejski w złożonych wyjaśnieniach wskazał, że w przeprowadzonej analizie ryzyka naruszenia ochrony danych osobowych (dokument nazwany jako "formularz oceny wagi naruszenia"), przyjęto wartość dla kontekstu przetwarzania danych A = 1; naruszenie dotyczyło bowiem podstawowych danych, czyli imienia i nazwiska oraz adresu; dla B przyjęto wartość 0, gdyż w ocenie administratora w rozpatrywanym przypadku nie zaszła żadna okoliczność, mogąca podwyższyć lub obniżyć wycenę, jak znaczna ilość danych, szczególny charakter danych, specyfika podmiotu danych czy administratora; prawdopodobieństwo identyfikacji oceniono jako ograniczone i przypisano mu wartość 0.5 - z uwagi na okoliczność, że z załogi Komendy, liczącej 950 osób, nie wszyscy zatrudnieni znają funkcjonariusza, którego danych naruszenie dotyczyło; Wyrok przesłano znanym odbiorcom - funkcjonariuszom Komendy, za pośrednictwem skrzynki pocztowej w Systemie Elektronicznej Poczty Policji; dlatego przyjęto wartość w katalogu okoliczności naruszenia jako 0,25; wagę naruszenia określono zatem na poziomie 1,75; zgodnie z przyjętą metodologią pozwoliło to administratorowi odstąpić od zawiadomienia osoby, której danych naruszanie dotyczyło (tak: wyjaśnienia Komendanta Miejskiego z [...] marca 2021 r., kopia formularza oceny wagi naruszenia - jako dowód na przeprowadzenie analizy naruszenia praw lub wolności osoby fizycznej);

- Komendant Miejski, po zaistniałym naruszeniu - jako środek techniczny i organizacyjny, mający na celu zapobiegnięcie powstaniu kolejnym podobnym naruszeniom - wprowadził "Zasady anonimizacji danych osobowych" w jednostce; zgodnie z ich pkt 5, dopuszczalnymi sposobami anonimizacji są przykładowo: przekształcenie imienia i nazwiska w inicjały, zastąpienie danych osobowych krzyżykami, zamiana danych osobowych w treści dokumentu na wielokropek; zgodnie zaś z pkt 6 zasad, zabrania się udostępniania i rozsyłania dokumentów, w których dane osobowe zostały usunięte za pomocą markera lub korektora, gdyż czynności te nie prowadzą do trwałego usunięcia danych (tak wyjaśnienia Komendanta Miejskiego z [...] marca 2021 r. i kopia decyzji Komendanta Miejskiego nr [...] z [...] grudnia 2020 r. zmieniająca decyzję w sprawie wprowadzenia do użytku służbowego "Polityki ochrony danych osobowych w Komendzie Miejskiej Policji w [...] i jednostkach podległych" - zał. nr 11 stanowi "Zasady dokonywania anonimizacji danych osobowych"),

- pismem z [...] czerwca 2022 r. Komendant Miejski poinformował organ, że "Inspektor ochrony danych przed wystąpieniem przedmiotowego naruszenia nie został włączony w proces anonimizacji danych. Informację o naruszeniu uzyskał w dniu [...] listopada 2020 r., po powrocie do pracy z usprawiedliwionej nieobecności. Sposób anonimizacji danych zawartych na nośnikach danych, które miały zostać udostępnione na rzecz osób trzecich nie był konsultowany z inspektorem ochrony danych osobowych, w szczególności przy przyjętej metodzie anonimizacji, polegającej na zakreślaniu tekstu zawierającego dane osobowe markerem. Funkcjonariusz, który dokonał w ten sposób anonimizacji nie przewidział, iż wskutek podświetlania dokumentu przy skanowaniu nastąpi rozświetlenie treści ukrytych pod markerem";

- w aktach sprawy znajduje się kopia:

decyzji Komendanta Miejskiego nr [...] z [...] października 2019 r. w sprawie wprowadzenia do użytku służbowego "Polityki ochrony danych osobowych w Komendzie Miejskiej Policji w [...] i jednostkach podległych", która stanowi do niej załącznik,

decyzji Komendanta Miejskiego nr [...] z [...] sierpnia 2019 r., w sprawie wprowadzenia do użytku służbowego "Procedury postępowania na wypadek wystąpienia naruszenia ochrony danych osobowych w Komendzie Miejskiej Policji w [...] i jednostkach podległych", która stanowi do niej załącznik,

- przedmiotem niniejszego postępowania była możliwość naruszenia przez administratora danych przepisów RODO w związku z naruszeniem ochrony danych osobowych funkcjonariusza Policji; ponieważ naruszenie polegało na udostępnieniu danych osobowych funkcjonariusza Policji w nieprawidłowo zanonimizowanym Wyroku przesłanym do załogi Komendy, a nie zadań własnych Policji, sprawę rozstrzygano w oparciu o przepisy tego rozporządzenia, nie zaś ustawy z 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. z 2019 r. poz. 125),

- administrator danych, podejmując operacje na danych osobowych, jest obowiązany zadbać, aby odbywało się to z poszanowaniem zasad dotyczących ochrony danych osobowych, zapewniając ich bezpieczeństwo,

- w art. 5 rozporządzenia RODO sformułowano zasady, dotyczące przetwarzania danych osobowych; muszą być one respektowane przez wszystkich administratorów - podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych; zgodnie z art. 5 ust. 1 lit. f RODO, dane osobowe należy przetwarzać w sposób zapewniający odpowiednie ich bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("poufność i integralność"); konkretyzację tej zasady stanowią dalsze przepisy RODO; administrator danych ponadto - zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO) - musi być w stanie wykazać przestrzeganie zasad wskazanych w art. 5 ust. 1 RODO,

- uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać; środki te są w razie potrzeby poddawane przeglądom i uaktualniane (art. 24 ust. 1 RODO),

- w myśl art. 25 ust. 1 RODO, zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania administrator wdraża odpowiednie środki techniczne i organizacyjne, zaprojektowane w celu skutecznej realizacji zasad ochrony danych (uwzględnianie ochrony danych w fazie projektowania); administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzać wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania; obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności; w szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych (ust. 2),

- z art. 32 ust. 1 RODO wynika zobowiązanie administratora do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia; w przepisie tym sprecyzowano, że - decydując o środkach technicznych i organizacyjnych - należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze; z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym; w pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych, uwzględniając przy tym kryteria wskazane w art. 32 RODO, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku; ustalenia te, w stosownym przypadku - zgodnie z lit. a - d tego artykułu - powinny obejmować takie środki, jak pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania,

- w myśl art. 32 ust. 2 RODO, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem - w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych,

- jak wskazano w art. 24 ust. 1 RODO, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze są czynnikami, które administrator ma obowiązek uwzględniać w procesie budowania systemu ochrony danych - także z punktu widzenia pozostałych obowiązków, wskazanych w art. 25 ust. 1, art. 32 ust. 1 czy 2 RODO,

- co wynika z materiału sprawy, zarówno przy szacowaniu ryzyka, przeprowadzonego [...] sierpnia 2020 r., dla sieci w obrębie Komendy i jednostek podległych Systemu Elektronicznej Poczty Policji (SEPP) oraz dla stanowisk dostępowych w Komendzie i jednostkach podległych Systemu Elektronicznej Poczty Policji (SEPP), administrator przyjął identyczne kategorie ryzyka w postaci "braku kontroli jakości danych wprowadzanych do systemu "; oba szacowania przeprowadzono w oparciu o "Metodę zarządzania ryzykiem dla systemów teleinformatycznych w Policji", w wersji 1.0.; przy obu szacowaniach administrator nie wskazał, jakie okoliczności wziął dodatkowe pod uwagę; dalej wskazywano; jak dokonywano wyliczenie konstatując: przy takich wartościach poziom ryzyka dla wskazanego zagrożenia wynosił 8.3%; mieścił się zatem w przyjętym przez administratora poziomie jako akceptowalny, pozostający pod nadzorem administratora; szacowania to nie obejmują jednak zagrożenia, jakim jest udostępnienie danych osobowych za pomocą systemów informatycznych; zagrożenie naruszenia poufności administrator danych przy podatności "brak kontroli jakości danych wprowadzanych do systemu" oznaczył bowiem w tym przypadku wartością "0"; taką wartość - według metodyki Policji - można zaś przyjąć, gdy zagrożenie nie powoduje skutku (brak takiej podatności),

- powyższe szacowanie ryzyka dla danego zagrożenia - przyjmując wartość dla prawdopodobieństwa na poziomie wskazanym przez administratora - "2", ale z wartościami minimalnymi dla skutków (Sd, Si, Sp) na poziomie "1" i zakładając, że może powstać naruszenie i może wywołać ono choćby niewielki skutek – powinno zakładać pierwotny poziom ryzyka 12.5% - zatem taki, który może wymagać wdrożenia dodatkowych środków organizacyjnych i technicznych; biorąc natomiast pod uwagę, że zagrożenie zmaterializowało się w postaci udostępnienia danych osobowych, poprzez brak anonimizacji dokumentu, zawierającego dane osobowe funkcjonariusza Policji, z którym zapoznało się 497 osób, źle oszacowane ryzyko (bądź nie wzięcie takiego zagrożenia pod uwagę) spowodowało, że administrator danych nie dostosował odpowiednich środków w Komendzie do możliwych zagrożeń; prawidłowo przeprowadzona analiza ryzyka, jak również podjęcie działań, mających na celu zmniejszenie stwierdzonego wówczas poziomu ryzyka, powinno doprowadzić do zastosowania przez administratora środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych (w tym udostępnianych) danych, np. poprzez wdrożenie procedury, regulującej zagadnienia związane z udostępnianiem informacji, które mogą zawierać dane osobowe,

- działaniem tym administrator naruszył dyspozycję art. 24 i 32 RODO, ale także art. 25 ust. 1 i ust. 2 tego aktu, a w konsekwencji także jego art. 5 ust. 1 lit. f oraz art. 5 ust. 2, nie będąc w stanie wykazać, że zastosował środki techniczne i organizacyjne adekwatne do poziomu ryzyka wystąpienia określonego zagrożenia; administrator danych nie wziął pod uwagę bowiem najsłabszego ogniwa w każdym procesie przetwarzania danych osobowych, jakim jest człowiek - tym samym błędu ludzkiego; administrator ma obowiązek - uwzględniając m.in. stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o rożnym prawdopodobieństwie wystąpienia i wadze wynikającej z przetwarzania - wdrożyć odpowiednie środki techniczne i organizacyjne w celu zapewnienia skutecznej realizacji zasad ochrony danych, takich jak np. minimalizacja danych; obowiązany jest również zapewnić, by zastosowane środki zapewniały nieudostępnianie danych na rzecz osób nieuprawnionych do ich pozyskania; takim środkiem może być w szczególności procedura określająca zasady i sposób anonimizacji danych w udostępnianych dokumentach,

- przed rozpoczęciem udostępniania danych osobowych podległym funkcjonariuszom Komendant Miejski nie wdrożył formalnie jakiegokolwiek środka technicznego lub organizacyjnego, mającego na celu zapewnienie poufności przetwarzanych danych osobowych, zawartych w udostępnionym Wyroku, zaś - przedstawioną w toku postępowania administracyjnego – procedurę: "Zasady dokonywania anonimizacji danych osobowych" wprowadzono do stosowania 21 grudnia 2020 r. - jako aktualizację obowiązującej "Polityki ochrony danych osobowych" - jako reakcję na powstałe nieprawidłowości,

- faktem jest, że pracownik zobowiązany do realizacji polecenia Komendanta Miejskiego próbował, choć nieskutecznie, poddać anonimizacji treść upublicznianego Wyroku; zamazał bowiem czarnym markerem dane osobowe funkcjonariusza (druk przebijał marker), a następnie skanując naświetlił tekst, a - przed rozesłaniem - nie zweryfikował, czy udostępniany Wyrok był prawidłowo zanonimizowany (czy zamazany druk rzeczywiście nie ukazuje treści); wcześniejsze wprowadzenie "Zasad dokonywania anonimizacji danych osobowych" mogłoby zapobiec udostępnieniu danych, gdyż dokonująca anonimizacji osoba - będąc świadoma procedury – zrealizowała by to prawidłowo - nie korzystając z nieskutecznej metody (zamazywania markerem); Wyrok można było również udostępnić funkcjonariuszom w formie opracowanej na stronie https://orzeczenia.nsa.gov.pl/cbo/query - w Centralnej Bazie Orzeczeń Sądów Administracyjnych,

- co wynika z materiału sprawy, administrator wykonał analizę ryzyka dopiero [...] kwietnia 2022 r. - ponad 15 miesięcy po stwierdzeniu naruszenia, jak również już po wprowadzeniu "zasad dokonywania anonimizacji danych osobowych"; z przeprowadzonej analizy wynika, że - przy zagrożeniu określonym jako "brak kontroli danych wprowadzanych do systemu" (a więc identyczne zagrożenie jak przed wystąpieniem naruszenia) - administrator przyjął następujące wartości: prawdopodobieństwo - "1" (obniżone z wartości "2"), z wartościami dla skutków (na poziomie jak przed naruszeniem) -dla dostępności i integralności (Sd, Si) na poziomie "1" oraz dla poufności (Sp) na poziomie "0"; poziom końcowy dla ryzyka oszacowano na poziomie "2"; przyjęcie znów wartości "0" dla skutku poufności w dokonanej analizie - pomimo, że nieuprawnione udostępnienie danych miało miejsce (naruszenie poufności danych) – oznacza nie przewidywanie przez administratora danych takiego ryzyka; takie założenie należy traktować jako błędne; zagrożenie takie się bowiem zmaterializowało; tym samym analizy nie wykonano prawidłowo,

- odnosząc się do przyjęcia wartości "0" zarówno przed wystąpieniem naruszenia, jak również po jego wystąpieniu, wskazano: jest to również nieprawidłowe z uwagi na założenia wskazane w metodyce, w oparciu o którą wykonano szacowanie; zgodnie z przyjęta w Policji metodyką "dla skutku poufności: 1) Jeżeli utrata poufności dotyczy spraw mniejszej wagi, odnosi się do pojedynczych przypadków i nie wiąże się z odpowiedzialnością karną albo administracyjną osób odpowiedzialnych za zapewnienie ochrony takiej informacji, należy przyjąć Sp-i. 2) Jeżeli utrata poufności dotyczy informacji o charakterze wrażliwym lub odnosi się do licznych przypadków, jednak nie wiąże się z odpowiedzialnością karną albo administracyjną osób odpowiedzialnych za zapewnienie ochrony takiej informacji, należy przyjąć Sp=2. 3) Jeżeli utrata poufności dotyczy spraw mniejszej wagi, odnosi się do licznych przypadków, wpływa w sposób znaczący na wizerunek urzędu i organu, który ten urząd obsługuje, jednak nie wiąże się z odpowiedzialnością karną osób odpowiedzialnych za zapewnienie ochrony takiej informacji, jednak może wiązać się z odpowiedzialnością administracyjną, należy przyjąć Sp=3. 4) Jeżeli utrata poufności może prowadzić do naruszenia interesów osób trzecich i może prowadzić do roszczeń odszkodowawczych ze strony tych osób, a także do odpowiedzialności karnej osób odpowiedzialnych za zapewnienie ochrony takiej informacji, należy przyjąć Sp

4 "; stosownie do tej metodyki zatem - z uwagi na wrażliwy charakter udostępnionych informacji - administrator danych powinien przyjąć wartość nie mniejszą niż "2",

- biorąc powyższe pod uwagę, administrator nieprawidłowo wykonał zarówno szacowanie ryzyka przed wystąpieniem naruszenia, jak również po jego wystąpieniu; naruszył tym samym art. 32 ust. 2 RODO,

- dlatego, biorąc pod uwagę dyspozycję art. 58 ust. 2 lit. d RODO, nakazano Komendantowi Miejskiemu dostosowanie operacji przetwarzania danych osobowych poprzez wykonanie analizy ryzyka w celu oszacowania właściwego poziomu ryzyka wiążącego się z przetwarzaniem danych osobowych, w szczególności wynikającego z "braku kontroli danych wprowadzanych do systemu",

- podobnie jak środki organizacyjne, również analiza ryzyka powinna podlegać okresowym przeglądom i uaktualnieniom; dokonywanie przeglądów i aktualizacja wdrożonych rozwiązań są wymogiem, formułowanym wprost w art. 24 ust. 1 RODO; wdrożenie przez administratora środków technicznych i organizacyjnych nie jest działaniem jednorazowym, ale powinno przybrać postać procesu, w ramach którego administrator dokonuje przeglądu i - w razie potrzeby - uaktualnia przyjęte wcześniej zabezpieczenia,

- administrator danych nie testował, nie mierzył i nie oceniał skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzanych danych; dopuścił się tym samym także naruszenia art. 32 ust. 1 lit. d RODO, a w konsekwencji art. 5 ust. 2 tego rozporządzenia; nie wykazał bowiem - pomimo, że zobowiązano go do tego pismem organu z 3 marca 2021 r. - aby w Komendzie miało miejsce regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzanych danych osobowych, których naruszenie dotyczy,

- wskazanego testowania, mierzenia i oceniania, aby stanowiło to realizację wymogu wynikającego z art. 32 ust. 1 lit. d RODO, należy dokonywać regularnie; oznacza to świadome zaplanowanie i zorganizowanie, a także dokumentowanie (w związku z zasadą rozliczalności, o której mowa w art. 5 ust. 2 RODO) tego typu działań w określonych przedziałach czasowych - niezależnie od zmian w organizacji i przebiegu procesów przetwarzania danych,

- testowaniu i mierzeniu podlegają nie tylko fizyczne środki bezpieczeństwa, ale także wdrożone przez administratora procedury (nawet jeśli ich nie spisano); od skuteczności tych działań zależy bowiem bezpieczeństwo przetwarzanych danych; gdyby takie testowanie i mierzenie miało miejsce, wówczas administrator danych miałby możliwość stwierdzić, że sposób anonimizacji poprzez użycie czarnego markera nie jest skutecznym środkiem zabezpieczającym przed nieuprawnionym udostępnieniem danych; w złożonych wyjaśnieniach Komendant Miejski wskazał: ,,[a]dministrator SEPP Komendant Główny Policji dokonał testowania, mierzenia i oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych w postaci szacowania ryzyka dla systemu (...). Szacowanie dla sieci w ramach KMP w [...] i stanowisk dostępowych w jednostce zostało przeprowadzone przez Komendanta Miejskiego Policji w [...] (...)"; o ile jednak Komendant Główny Policji jest administratorem Systemu Elektronicznej Poczty Policji (SEPP), to Komendant Miejski odpowiada za prawidłowość przetwarzanych danych, w tym za błędy popełniane przez swoich podwładnych, ale także za skuteczność wdrażanych środków bezpieczeństwa, wdrożonych procedur, czy poziom świadomości swoich pracowników czy funkcjonariuszy; w tym przypadku to nie elektroniczna poczta była winna przedmiotowemu naruszeniu, lecz niedostateczna staranność funkcjonariusza Komendy, który rozesłał dokument; nie zweryfikował on bowiem, czy dokument, który miał rozesłać, zanonimizowano prawidłowo (w tym po zeskanowaniu, czy nie zawiera on informacji, których nie należało udostępniać innym funkcjonariuszom); to Komendant Miejski wydał polecenie rozesłania do podległych mu funkcjonariuszy Wyroku za pomocą poczty służbowej; Komendant Miejski, jako administrator danych funkcjonariusza, jest odpowiedzialny za ich udostępnienie w nieprawidłowo zanonimizowanym Wyroku (należącym do części akt osobowych funkcjonariusza) - będąc odpowiedzialnym za postępowanie swojego podwładnego, jak również prawidłowość wprowadzanych danych do systemu poczty elektronicznej,

- biorąc powyższe pod uwagę, zasadne było upomnienie Komendanta Miejskiego oraz nakazanie administratorowi podjęcie działań w zakresie określonym w sentencji decyzji,

- odnosząc się do obowiązków administratora, związanych z samym naruszeniem, wskazano: zgodnie z art. 34 ust. 1 RODO, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu; zawiadomienie - stosownie do art. 34 ust. 2 RODO - jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b – d - imię i nazwisko oraz dane kontaktowe inspektora ochrony danych osobowych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; opis możliwych konsekwencji naruszenia ochrony danych osobowych; opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków,

- zdaniem Komendanta Miejskiego, wskazanym w formularzu zgłoszenia naruszenia ochrony danych osobowych, w przedmiotowym przypadku nie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych: zawiadomienie osoby, której danych osobowych dotyczy naruszenie, nie było więc konieczne; analizując jednak przedstawioną [...] stycznia 2021 r. w odpowiedzi na wezwanie, analizę ryzyka naruszenia praw lub wolności osób fizycznych, zawartą w dokumencie - określonym przez administratora danych jako "Formularz oceny wagi naruszenia", przeprowadzoną [...] listopada 2020 r. - oraz przyjęte wartości w odniesieniu do poszczególnych elementów, nie sposób zgodzić się z takim wnioskiem; dla kontekstu przetwarzania danych osobowych — "KMD" dla "A" - rodzaju i poziomu wrażliwości danych administrator przyjął wartość "1" (dane podstawowe), nie biorąc pod uwagę, że - w związku z treścią i przedmiotem opublikowanego i niewłaściwie zanonimizowanego Wyroku - każda osoba, która otrzymała do niego dostęp, uzyskała również informacje o zachowaniu osoby (co oznacza wartość "2" - zgodnie z formularzem oceny wagi naruszenia) oraz informacje o przebywaniu tej osoby na zwolnieniu lekarskim, a więc informacje wskazane w art. 9 rozporządzenia 2016/679; oznacza to wartość "4" - zgodnie z formularzem oceny wagi naruszenia; ponadto, w odniesieniu do kontekstu przetwarzania dla "B", który może podnieść lub obniżyć wycenę, administrator nie wskazał żadnego z czynników, które winny wpłynąć na podwyższenie ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, a mianowicie charakter danych (+1), specyfika podmiotu lub administratora danych (+1) oraz możliwe negatywne skutki dla podmiotu danych (+1); biorąc jednak pod uwagę treść przesłanego do wiadomości około 950 osób Wyroku (odczytało go 497 osób), należy przyjąć istnienie możliwości jednoznacznego zidentyfikowania osoby, której dane dotyczą; dla pkt 2 "Prawdopodobieństwo identyfikacji - PI" należy więc przyjąć wartość "1" - maksymalne, w kontekście osób, do których dane zostały wysłane, nie zaś 0,5 - ograniczone, jak przyjął Komendant Miejski, wskazując - w piśmie z [...] marca 2021 r.: "spośród całego stanu osobowego Komendy Miejskiej Policji w [...] liczącego ok. 950 nie wszyscy znają funkcjonariusza, którego dotyczą dane, a co za tym idzie, nie wszyscy byli w stanie przypisać dane do konkretnej osoby"; należy bowiem pamiętać, że przy dysponowaniu imieniem i nazwiskiem, stopniem służbowym i informacją, w jakiej jednostce odbywa służbę funkcjonariusz zidentyfikowanie osoby nie wymaga ani dużego nakładu czasu, ani wysiłku, czy też funduszy - szczególnie dla osób zatrudnionych czy pełniących służbę w Komendzie; Komendant Miejski, przyjmując dla "Prawdopodobieństwa identyfikacji" daną wartość, pominął również, że – w ramach udostępnionego Wyroku - znajdowała się informacja jednoznacznie wskazująca na stanowisko piastowane przez funkcjonariusza, którego danych dotyczy naruszenie - mianowicie [...] Ogniwa [...] Referatu [...] Komisariatu Policji w [...]; pozwala to na bardzo łatwe zidentyfikowanie osoby fizycznej, o czym była już mowa powyżej; ponadto, przy pozycji "Okoliczności naruszenia" administrator wskazał, że nastąpiło naruszenie poufności ("NP") i należy dodać wartość "+0.25"; z uwagi na fakt, że zdarzenie nie stanowiło naruszenia integralności ("NI"), ani dostępności ("ND"), czy też nie stanowiło intencjonalnego działania sprawcy ("IDS"), w tych przypadkach ich wartość nie jest doliczana do ogólnej oceny wagi naruszenia, albo można przyjąć wartość "0"; stosując zatem przedstawiony przez administratora danych wzór (KPD=A+B, ON=NP+NI+ND+IDS), wynik wagi naruszenia będzie - zgodnie z przedstawionym formularzem - wyższy niż "4"; skutkować to będzie zatem koniecznością zawiadomienia osoby, której dane dotyczą; zgodnie bowiem z informacjami, przedstawionymi przez Komendanta, uzyskanie wyniku w postaci "4" oznacza, że występuje wysokie ryzyko naruszenia praw lub wolności osoby fizycznej; skutkuje to koniecznością jej powiadomienia o wystąpieniu naruszenia ochrony jej danych osobowych - stosownie do art. 34 ust. 1 RODO - oraz przekazania jej informacji wskazanych w art. 34 ust. 2 danego aktu,

- nieprawidłowo przeprowadzona analiza ryzyka naruszenia praw lub wolności osób fizycznych spowodowała, że administrator danych nie zawiadomił - stosownie do art. 34 RODO - osoby, której dane objęto naruszeniem; takie postępowanie administratora danych spowodowało konieczność podjęcia przez organ - na podstawie art. 34 ust. 4 RODO - działań polegających na dwukrotnym skierowaniu do Komendanta (24 listopada 2020 r. oraz 14 stycznia 2021 r.) wystąpienia w sprawie zawiadomienia osoby fizycznej o przedmiotowym naruszeniu; administrator danych zawiadomił prawidłowo osobę fizyczną o naruszeniu - stosownie do art. 34 ust. 1 i 2 RODO - dopiero za drugim razem,

- efektem nieprawidłowo przeprowadzonej analizy ryzyka naruszenia praw lub wolności osoby fizycznej było uznanie, że nie ma konieczności zawiadomienia osoby fizycznej; tym samym administrator takim działaniem naruszył art. 34 ust. 1 RODO; nie zawiadomił bowiem niezwłocznie osoby fizycznej o naruszeniu; administrator zawiadomił prawidłowo osobę fizyczną o naruszeniu, którego wystąpienie stwierdził [...] listopada 2020 r. (data deklarowana przez administratora w formularzu zgłoszenia, lecz z wyjaśnień wynika, że Zastępca Komendanta Komisariatu Policji I przekazał informację o dostrzeżonym naruszeniu już [...] listopada 2020 r.), dopiero [...] lutego 2021 r. - po ponad 50 dniach od stwierdzenia naruszenia; dlatego też zasadne było upomnienie administratora w tym zakresie,

- w celu zapewnienia administratorom wsparcia w realizacji ich zadań w zakresie ochrony danych osobowych administrator - zgodnie z art. 37 RODO – wyznacza inspektora ochrony danych; aby zapewnić realny udział inspektora ochrony danych, w art. 38 ust. 1 RODO określono, że administrator zapewnia, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy, dotyczące ochrony danych osobowych; co wynika natomiast z dokonanych w toku postępowania administracyjnego ustaleń, powołanego w Komendzie inspektora ochrony danych nie włączono w proces anonimizacji danych przed wystąpieniem naruszenia, ani nie był z nim konsultowany sposób anonimizacji danych na udostępnianych nośnikach, zawierających dane osobowe - zamazywanie tekstu czarnym markerem; przesądza to o naruszeniu wskazanego przepisu RODO; w przeciwnym razie inspektor ochrony danych miałby możliwość objęcia tego procesu nadzorem (monitorowaniem) lub wydania stosownych instrukcji czy zaleceń, w których mógłby wskazać, że taki sposób anonimizacji danych jest obarczony ryzykiem naruszenia praw lub wolności osób fizycznych; administrator danych może w każdym momencie wyznaczyć zastępcę inspektora ochrony danych, który mógłby wspierać go w realizacji zadań - w szczególności podczas nieobecności inspektora ochrony danych,

- ocena dokonywana przez organ służy zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu, odpowiadającego dyspozycji art. 58 ust. 2 RODO, służącego przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych; jest więc ona uzasadniona i potrzebna o ile nieprawidłowości w procesie przetwarzania danych osobowych istnieją; na podstawie art. 58 ust. 2 RODO przysługują organowi uprawnienia naprawcze, w tym udzielanie upomnień administratorowi w przypadku naruszenia przepisów rozporządzenia przez operacje przetwarzania (tak lit. b); mając powyższe na uwadze, uznano, że - w realiach niniejszej sprawy - właściwe jest zastosowanie wobec Komendanta Miejskiego upomnienia za stwierdzone naruszenia przepisów o ochronie danych osobowych w zakresie wskazanym w sentencji decyzji oraz nakazanie podjęcia określonych działań; organ odstąpił od wymierzenia administratorowi administracyjnej kary pieniężnej z uwagi na okoliczność, że udostępnienie danych miało miejsce wewnątrz organizacji, była podjęta próba anonimizacji (choć nieudana) oraz szybką i sprawną reakcję w momencie uzyskania informacji o powstałym naruszeniu, ale i podjętych działań, mających na celu zminimalizowanie ryzyka ponownego wystąpienia naruszenia (m.in. opracowanie i wdrożenie polityki anonimizacji danych).

W skardze zarzucono wydanie decyzji z naruszeniem przepisów postępowania - art. 7, art. 77 § 1 i art. 80 K.p.a. - w zw. z:

- art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 i 2, art. 32 ust. 1 i 2 RODO - polegające na niewyczerpującym rozpatrzeniu materiału dowodowego i dokonaniu dowolnych ustaleń w przedmiocie zobowiązania Komendanta Miejskiego do wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych, mających zapewnić bezpieczeństwo przetwarzania,

- art. 34 ust. 1 RODO - poprzez niezasadne przyjęcie, że Komendant Miejski dopuścił się zwłoki w zawiadomieniu osoby o zaistniałym naruszeniu jej danych osobowych,

- art. 38 RODO - poprzez niezasadne uznanie, że doszło do naruszenia, polegającego na niezapewnieniu, by inspektor ochrony danych był właściwie i niezwłocznie włączony w sprawy związane z ochroną danych osobowych.

W uzasadnieniu skargi podniesiono m.in.:

- w związku z przedmiotowym zdarzeniem administrator przeprowadził analizę ryzyka naruszenia praw i wolności osoby, której dane dotyczą; zgodnie z metodologią, przyjętą we wprowadzonej do użytku służbowego "Procedurze postępowania na wypadek wystąpienia naruszenia ochrony danych osobowych w Komendzie Miejskiej Policji w [...] i jednostkach podległych" administrator może odstąpić od powiadomienia osób, których dane naruszono, jeżeli waga naruszenia jest mniejsza niż 4 pkt.; po przeprowadzonej wnikliwej analizie zaistniałego zdarzenia w przedmiotowej sprawie waga naruszenia wyniosła 1,75 pkt; pozwoliło to administratorowi - zgodnie z przyjętymi wewnętrznymi uregulowaniami - odstąpić od powiadomienia osoby, której dane dotyczą; oceniając wagę naruszenia wzięto pod uwagę, że dotyczy ono danych podstawowych (imię i nazwisko, adres zamieszkania), ujawnienie nastąpiło znanym odbiorcom - funkcjonariuszom i pracownikom Komendy, zobowiązanych na piśmie do zachowania w tajemnicy danych, z którymi zapoznają się w ramach pełnionych obowiązków służbowych oraz nastąpiło za pomocą poczty służbowej działającej w ramach sieci wewnętrznej (INTRANET) - nie mającej połączenia z siecią zewnętrzną; oceniając wagę naruszenia przyjęto ograniczone prawdopodobieństwo identyfikacji funkcjonariusza, którego dotyczyły dane; spośród podległych administratorowi funkcjonariuszy i pracowników (stan osobowy ok. 950 osób) nie wszyscy go znają; funkcjonariusz, którego dotyczą dane, przebywał od dziewięciu miesięcy na nieprzerwanym zwolnieniu lekarskim; opublikowany Wyrok dotyczył zaskarżonego przez tegoż funkcjonariusza orzeczenia dyscyplinarnego; nie było celem publikacji wyroku napiętnowanie funkcjonariusza, a jedynie uzmysłowienie innym podległym administratorowi, że pracodawca jest uprawniony do kontroli prawidłowości wykorzystania zwolnień lekarskich (sprawdzenia, czy przebywają w czasie zwolnienia w miejscu swojego zamieszkania),

- administrator założył, że - skoro od chwili wystąpienia naruszenia funkcjonariusz, którego dotyczyły dane nie przebywał w pracy - nie nastąpiły dla niego żadne, niepożądane i niezamierzone przez administratora, następstwa tego zdarzenia - jak nieprzyjemności, czy szykany ze strony współpracowników; dlatego też - w zawiadomieniu osoby, której dotyczyło naruszenie – stwierdzono: "administrator nie dostrzega możliwych negatywnych konsekwencji natury prawnej mogących wywołać skutki w związku z owym naruszeniem. W sytuacji ich zaobserwowania oraz celem uzyskania dodatkowych informacji, zalecam kontakt z Inspektorem Ochrony Danych w Komendzie Miejskiej Policji w [...]" (tak: zawiadomienie osoby, której dane dotyczą); reasumując powyższe wyjaśnienia oraz okoliczności zaistniałego zdarzenia i jego całościowy kontekst, przedmiotowe naruszenie nie spowodowało wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą,

- mając na uwadze powyższe stanowisko oraz wobec dwukrotnego skierowania przez organ do Komendanta Miejskiego wystąpienia w sprawie zawiadomienia osoby fizycznej o przedmiotowym naruszeniu finalnie doszło do zawiadomienia osoby fizycznej dopiero [...] lutego 2021 r.; nie uzasadnia to stanowiska, że doszło do zawinionej zwłoki w zawiadomieniu funkcjonariusza o zaistniałym naruszeniu jego danych osobowych,

- zobowiązując Komendanta Miejskiego do wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania nie uwzględniono faktu, że Wyrok rozesłano w Systemie Elektronicznej Poczty Policji (SEPP); jego administratorem jest Komendant Główny Policji; prowadzi on rejestr czynności przetwarzania w powyższym systemie; upublicznienie treści nieskutecznie zanonimizowanego Wyroku nastąpiło w ramach czynności przesyłania za pośrednictwem poczty elektronicznej; Komendant Miejski nie ma uprawnień do wdrożenia odpowiednich środków technicznych, związanych z funkcjonowaniem systemu SEPP; to Komendant Główny Policji, jako Administrator Systemu Elektronicznej Poczty Policji (SEPP), dokonuje pomiarów, testowania i oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemie - zgodnie z zapisami Polityki ochrony danych osobowych Systemu Elektronicznej Poczty Policji (SEPP); Komendant Miejski po zaistniałym incydencie - w celu wyeliminowania podobnych nieprawidłowości w przyszłości - wdrożył odpowiednie środki organizacyjne m. in. wprowadził - decyzją nr [...] z dnia [...] grudnia 2020 r. - "Zasady dokonywania anonimizacji danych osobowych", jako załącznik do "Polityki ochrony danych osobowych w Komendzie i jednostkach podległych"; zgodnie z tymi zasadami, zabroniono usuwania danych osobowych z dokumentów, podlegających udostępnieniu lub publikacji za pomocą markera lub korektora; jako metody dopuszczalne wskazano w zasadach zastąpienie danych osobowych inicjałami, kropkami czy krzyżykami,

- co do naruszenia art. 38 RODO, polegającego na niezapewnieniu, by inspektor ochrony danych był właściwie i niezwłocznie włączony w sprawy związane z ochroną danych osobowych wskazano: inspektor ochrony danych - przed wystąpieniem przedmiotowego naruszenia - nie był włączony w proces anonimizacji danych wyłącznie z powodu przebywania w przedmiotowym okresie na kwarantannie w związku z Covid-19; informację o naruszeniu uzyskał [...] listopada 2020 r. - po powrocie z kwarantanny; należy pamiętać, że przedmiotowe naruszenie wystąpiło w okresie wprowadzenie stanu zagrożenia epidemicznego, ogłoszonego z powodu COVID-19, powszechnie uznanego za sytuację wyjątkową; w przypadku epidemii COYID-19 spełniony jest warunek uznania tego zdarzenia za siłę wyższą - w świetle orzecznictwa, jak i doktryny; jest to bowiem zdarzenie o charakterze zewnętrznym, zasadniczo niemożliwe do przewidzenia, będące poza kontrolą zarówno państwa, jak i jednostek; nawet jeśli można było brać pod uwagę wystąpienie jakiejś epidemii, to jednak skalę tego zjawiska należy uznać z całą pewnością za nadzwyczajną; nie ulega wątpliwości, że - w związku z epidemią COVID-19 - mogą wystąpić różnego rodzaju przeszkody i opóźnienia, skutkujące, tak jak w niniejszym przypadku absencją inspektora ochrony danych - w związku z przebywaniem na kwarantannie; ten spowodowany siłą wyższą jednostkowy przypadek, nie może przesądzać o zaistnieniu naruszenia w postaci niezapewnienia, by inspektor ochrony danych był właściwie i niezwłocznie włączony w sprawy związane z ochroną danych osobowych; możliwość wyznaczenia przez administratora zastępcy inspektora danych jest tylko jego uprawnieniem, nie zaś obowiązkiem i nie może skutkować negatywną oceną w zakresie poszanowania zasad dotyczących ochrony danych osobowych.

W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując dotychczasową argumentację.

Sąd zważył, co następuje.

Skarga nie zasługuje na uwzględnienie, gdyż zaskarżona decyzja nie narusza prawa.

Trafnie organ ustalił istotne uwarunkowania faktyczne sprawy a także przywołał jej ramy prawne w kwestii istnienia podstaw prawnych dla wydania decyzji, którą udzielono Komendantowi Miejskiemu upomnienia jak i zobowiązano go do podjęcia określonych środków naprawczych. Wobec szczegółowego zreferowanie stanowiska organu, powtarzanie jego argumentacji byłoby bezzasadne. Sąd przyjmuje ją za własną.

Odnosząc się do wywodów skargi należy jedynie dodać, co następuje.

Chybione są zarzuty naruszenia przepisów prawa procesowego. W sprawie nie są bowiem sporne istotne okoliczności faktyczne - ujawnienie danych funkcjonariusza, okoliczności tego zdarzenia, zwanego dalej "Incydentem", czy czynności podejmowanych przez organ i Komendanta Miejskiego w następstwie tego faktu. Zarzuty skargi dotyczą w istocie bezzasadnego uznania, jakoby - w stanie faktycznym, jak ustalony - doszło do naruszenia przepisów, statuujących obowiązki spoczywające na przetwarzającym daną osobowe podmiocie, zaś - w następstwie tego - bezpodstawnie wydano decyzję o charakterze dyscyplinującym – udzielono upomnienia oraz zobowiązano do podjęcia działań naprawczych. Chodzi więc o ewentualne naruszenie przepisów prawa materialnego przez niewłaściwą wykładnię bądź wadliwe zastosowanie.

Odnosząc się do argumentacji skargi w danym zakresie - wedle kolejności argumentacji przyjętej w jej uzasadnieniu – należy wskazać:

- orzekając w sprawie organ nie kwestionował samej dopuszczalności czy zasadności wykorzystania - przez rozpowszechnienie – orzeczenia w sprawie indywidualnej (Wyroku) dla potrzeb realizacji zadań Komendanta Miejskiego, jako pracodawcy; jednocześnie - wobec wystąpienia Incydentu – wskazano, wobec jakich przesłanek organ uznał za błędną analizę ryzyka naruszenia praw lub wolności osób fizycznych, do której przeprowadzenia był obowiązany administrator w zarówno w myśl art. 32 ust. 1 jak i art. 33 ust. 1 RODO; w sprawie nie może mieć kluczowego znaczenia, czy analizy tej dokonano istotnie z uwzględnieniem stosownych regulacji wewnętrznych; organ wskazał bowiem precyzyjnie czego dotyczyły nieprawidłowości analizy w wyniku której nie oceniono ryzyka jako "wysokie", w rozumieniu art. 34 ust. 1 RODO; gdyby nawet uznać przeprowadzoną przez Komendanta Miejskiego analizę, za zgodną z przyjętymi przezeń regułami (choć organ kwestionuje zastosowane założenia), i tak był on obowiązany zawiadomić funkcjonariusza, którego danych dotyczył Incydent - wobec nakazu od organu kierowanego doń w stosownych pismach, wedle kompetencji przewidzianej art. 34 ust. 4 RODO; co w sprawie bezsporne, powinność wynikającą z nakazu od organu zrealizowano dopiero wobec kolejnego wezwania; w takiej sytuacji nie sposób kwestionować wystąpienia przesłanek udzielenia upomnienia w następstwie naruszenia stosownych reguł RODO, w myśl art. 58 ust. 2 lit. b danego aktu,

- wbrew wywodom skargi przedmiotowe naruszenie spowodowało wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą; zasadna jest w tym zakresie argumentacja organu, gdzie wywodzi on, że - wobec zakresu ujawnionych danych - określona osoba jest łatwa do identyfikacji w gronie wielu współpracowników (zwłaszcza wobec ujawnienia funkcji) zaś upublicznione w strukturach Komendy informacje dotyczą także danych wrażliwych - m.in. kwestii przebywania na zwolnieniach lekarskich; nie sposób z kolei uznać, aby długotrwała absencja określonej osoby przesądzała o braku możliwości powstania negatywnych skutków ujawnienia jej danych wrażliwych w kontekście potencjalnych tego następstw, jak nieprzychylne komentarze itp. (tak wywody skargi); ponowne przetaczanie szerokiej argumentacji organu w tym względzie byłoby bezzasadne - wobec jej poprzedniego zreferowania,

- właśnie znaczna zwłoka w zawiadomieniu zainteresowanej osoby o Incydencie, stanowiła przesłankę zastosowania sankcji w postaci udzielenia upomnienia; wynika to jednoznacznie z treści uzasadnienia oskarżonego aktu; nie był więc tego przyczyną sam brak zawiadomienia - ostatecznie realizacji tej powinności przez Komendanta Miejskiego organ nie kwestionował - lecz uczynienie zadość powinności w danym zakresie dopiero wobec drugiego wezwania ze strony organu (okoliczność bezsporna),

- powinność regularnego testowania środków technicznych i organizacyjnych, zabezpieczenia przetwarzania danych osobowych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w rozumieniu art. 32 ust. 1 zd. wstępne RODO, wynika wprost z brzmienia lit. d wskazanego art. 32 ust. 1, zaś powinność dokumentowania czynności w danym zakresie statuuje zasada rozliczalności (art. 5 ust. 2 RODO); wprawdzie w zdaniu wstępnym powołanego przepisu użyto sformułowania "w stosownym przypadku"; nie sposób jednak uznać, aby wymaganie to nie dotyczyło danego administratora, zwłaszcza wobec wystąpienia Incydentu; skoro - wobec uprzedniego wezwania organu - Komendant Miejski nie wskazał, jakie działania w celu zapewnienia regularnego monitorowania będą podjęte, organ był uprawniony nałożyć stosowny obowiązki w danym zakresie, w myśl art. 58 ust.2 lit. d RODO; z treści rozstrzygnięcia w zaskarżonym akcie nie wynika bynajmniej, aby analizie Komendanta Miejskiego musiały podlegać także kwestie bezpieczeństwa systemu informatycznego, w tym poczty wewnętrznej, w zakresie gdzie administratorem systemu jest Komendant Główny Policji; powinność testowania skuteczności zabezpieczenia danych osobowych dotyczyć może naturalnie wyłącznie zakresu operacji na tychże, gdzie odpowiedzialność ponosi ich administrator; jedynie w tym zakresie obciążają Komendanta Miejskiego obowiązki, zakreślone daną decyzją; inne wnioski nie wnikają ani z brzmienia orzeczenia ani też z jego uzasadnienia,

- z mocy art. 35 ust. 1 RODO administrator jest obowiązany zapewnić aby wyznaczona przezeń osoba - inspektora ochrony danych - była właściwie i niezwłocznie włączana we wszystkie sprawy, dotyczące ochrony danych osobowych; trafnie wprawdzie zauważa Komendant Miejski, że z art. 34 RODO nie wynika powinność ustanowienia osoby, będącej w miarę potrzeb zastępcą takiego inspektora; powinność w danym zakresie wynikać może jednak z określonych uwarunkowań faktycznych, gdy przemawiają za tym względy organizacyjne po stronie administratora - np. obiektywnie znaczna ilość operacji na danych osobowych w jednostce organizacyjnej, zatrudniającej dużo osób (tu około 950) - bądź określone warunki faktyczne - np. stan epidemii i system kwarantann, gdy przewidywać należy znaczną absencję pracowników; inne wyłożenie znaczenia regulacji art. 34 RODO oznaczałoby, że powinność wskazana w art. 35 ust. 1 danego aktu mogłaby być wyłącznie iluzoryczna, formalna; wolą prawodawcy było natomiast, aby określone osoby realnie uczestniczyły i wspierały procesy przetwarzania danych osobowych dla zapewnienia większej ich ochrony - m.in. w przeciwdziałaniu niezasadnemu udostępnieniu; w rozpoznawanej sprawie wprawdzie wywody organu, jakoby uczestniczenie inspektora w procesie przetwarzania danych dla potrzeb rozpowszechnienia Wyroku, mogło mieć istotne znaczenie dla eliminacji danego Incydentu, mają charakter raczej spekulatywny; nie było bowiem oczywiście intencją pracownika udostępnienie danych lecz wyeliminowanie takiej możliwości, zaś zastosowane środki techniczne okazały się nieskuteczne, czego następnie nie zweryfikowano; nie sposób przesądzić, że dostępność w miejscu pracy inspektora wykluczyłaby zaistnienie danego zdarzenia; jednakże niewątpliwie jego absencja zwiększała ryzyko wystąpienia niepożądanych wypadków w procesach przetwarzania danych w Komendzie; w tym kontekście udzielenie upomnienia w danym zakresie także należy uznać za uzasadnione.

Wobec powyższych uwag wydając skarżoną decyzję nie uchybiono ani wskazanym w skardze przypisom prawa materialnego, określającym ramy przetwarzania danych osobowych (w tym reagowanie na wystąpienie incydentów), ani też tym, zakreślającym kompetencje organu, wyspecjalizowanego w sprawach ochrony danych osobowych, w razie stwierdzenia nieprawidłowości w danym zakresie.

Sąd nie dopatrzył się więc w zaskarżonym akcie - w świetle zarzutów skargi ani z urzędu - wad, które uzasadniałyby jego wyeliminowanie z obrotu prawnego.

Z przytoczonych wyżej przyczyn - na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2023 r., poz. 259 ze zm.) - orzeczono jak w sentencji.

-----------------------

19