Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Izabela Głowacka-Klimas (spr.), Sędzia WSA Janusz Walawski, Sędzia WSA Andrzej Wieczorek, po rozpoznaniu na posiedzeniu niejawnym w dniu 22 września 2021 r. sprawy ze skargi [...] w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] stycznia 2021 r. nr [...] w przedmiocie ochrony danych osobowych oddala skargę.

Prezes Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO, organ) decyzją z dnia [...] stycznia 2021 r. o nr [...] działając

na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2020 r. poz. 256 ze zm.), art. 7 ust. 1, art. 60 oraz art. 102 ust. 1 pkt 1 i ust. 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781), a także art. 57 ust. 1 lit. a), art. 58 ust. 2 lit. e) i lit. i),

art. 83 ust. 1 - 3 i art. 83 ust. 4 lit. a) w związku z art. 33 ust. 1 oraz art. 34 ust. 1, 2

i 4 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwanego dalej również "rozporządzeniem 2016/679", po przeprowadzeniu postępowania administracyjnego w sprawie braku zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie, przez [...] Uniwersytet Medyczny w [...] (dalej: Administrator, UM, skarżący), stwierdził naruszenie przez [...] Uniwersytet Medyczny w [...] przepisów:

a) art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż

w terminie 72 godzin po stwierdzeniu naruszenia,

b) art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu

o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą.

Mając powyższe na uwadze organ:

1. nałożył na [...] Uniwersytet Medyczny w [...] karę pieniężną

w wysokości 25.000 zł (słownie: dwudziestu pięciu tysięcy złotych),

2. nakazał zawiadomienie osób, których dane dotyczą, o naruszeniu ochrony danych osobowych w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, tj.:

a) opisu charakteru naruszenia ochrony danych osobowych;

b) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;

c) opisu możliwych konsekwencji naruszenia ochrony danych osobowych;

d) opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków;

w terminie 3 dni od dnia, w którym decyzja stanie się ostateczna.

W uzasadnieniu powyższego rozstrzygnięcia na wstępie organ ustalił stan faktyczny sprawy wskazując, że do Prezesa UODO wpłynęły od kilkunastu osób informacje o naruszeniu ochrony danych osobowych - w dniu 27 lipca 2020 roku jedna osoba, wniosła skargę z tym związaną. Z informacji przekazanych przez tę osobę wynika, że naruszenie polegało na udostępnieniu na platformie [...] (w której na dzień [...].06.2020 r. zarejestrowanych było 237 osób) nagrań obrazujących przebieg egzaminów praktycznych z pediatrii organizowanych przez Katedrę i Klinikę [...] [...] Uniwersytetu Medycznego w [...], które odbyły się

w trzech terminach: [...].05.2020 r., [...].05.2020 r. i [...].05.2020 r., przy czym w trakcie przystępowania do egzaminu większość uczestniczących w nim studentów została wylegitymowana legitymacją studencką lub dowodem osobistym.

Jak wynika z pozyskanych informacji jeden ze studentów dnia [...].06.2020 r. poinformował starostów grup o tym, że na ww. platformie zamieszczono nagrania wszystkich sekcji egzaminowanych od początku trwania egzaminów, podkreślono również, że studenci nie zostali uprzedzeni, że nagranie po przeegzaminowaniu będzie udostępnione szerszej grupie osób. W związku z tym, że nagranie było ogólnodostępne, w gronie studenckim nawzajem przesyłano sobie informację

o udostępnieniu nagrania, a zaalarmowani studenci zaczęli sprawdzać, czy wyraźnie są widoczne ich dane z dowodów osobistych. Wiele osób logowało się na platformę lub przesyłało sobie linki do nagrań. Ze strony Administratora nie było żadnej reakcji. W trakcie sprawdzania linków okazało się, że istnieje możliwość obejrzenia nagrania po uzyskaniu linku do [...] bez konieczności logowania, co było dowodem na niezabezpieczenie danych osobowych widocznych na filmach. W celu zabezpieczenia dowodów na poparcie słuszności zgłoszenia zostały również zrobione zdjęcia ekranu komputera, na którym były zapauzowane nagrania

i widoczne dowody osobiste.

Wobec powyższego w dniu [...] lipca 2020 roku organ, działając na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679, zwrócił się do UM o udzielenie informacji, czy w związku z ww. sytuacją dokonana została analiza incydentu pod kątem ryzyka naruszenia praw i wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie.

Administrator w dniu [...] sierpnia 2020 r. potwierdził, że doszło do naruszenia ochrony danych osobowych polegającego na udostępnieniu danych osobowych nieuprawnionym odbiorcom. Stwierdził również, że dokonał oceny zdarzenia pod kątem ryzyka naruszenia praw lub wolności osób fizycznych. Ponadto z wyjaśnień Administratora wynika, że "Administrator Platformy e-learningowej opracował autorską poprawkę do systemu [...] uniemożliwiającą studentom pobieranie filmów. Pobieranie filmów jest normalną funkcjonalnością systemu (nie zalicza się do działań hakerskich czy podatności systemu) dla zalogowanych studentów i jest rejestrowane - utworzony pokój wirtualny dostępny jest wyłącznie dla egzaminowanej grupy i tylko te osoby mają dostęp do zapisywanych nagrań. Błąd osoby prowadzącej polegał na niewyłączeniu pokoju i dostępu do niego po zakończeniu egzaminu". Administrator stwierdził, że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób, których dane dotyczą.

W dniu [...] sierpnia 2020 roku do organu wpłynęła odpowiedź udzielona przez Rektora UM, z której wynika m.in., że "Zabezpieczono logi i informacje o osobach, które nagrania pobrały. Rozpoczęto analizę powziętych danych nt. ww. incydentu.

Z przeprowadzonych ustaleń wynika, że mechanizmy bezpieczeństwa platformy

e-learningowej nie zostały przełamane jak również nie doszło do tzw. wycieku danych. Ponadto na podstawie analiz dokonanych przez Administratora Platformy

e-learningowej i Działu ds. Bezpieczeństwa Informacji ustalono, że nagranie pobrane zostało przez 26 osób znanych Uczelni z imienia i nazwiska - członków wspólnoty Uczelni tj. (egzaminowani studenci danego kierunku oraz nauczyciele akademiccy), na których ciąży odpowiedzialność indywidualna za ich nierozpowszechnianie.

W związku z zakresem udostępnienia rzeczonych nagrań ograniczonych wyłącznie do uczestników egzaminu oraz niskim prawdopodobieństwem naruszenia praw

i wolności osób, których dane dotyczą Uczelnia odstąpiła od obowiązku zgłaszania naruszenia do Urzędu Ochrony Danych Osobowych, o którym mowa w art. 33 ust. 1 Rozporządzenia RODO".

Wobec powyższego, pismem z dnia [...] września 2020 roku Prezes UODO poinformował Administratora, że zgodnie z art. 33 ust. 1 ww. rozporządzenia,

w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu właściwemu zgodnie

z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Podkreślono również, że przy ocenie, czy naruszenie skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych należy brać pod uwagę m.in. treść motywu 75 oraz 85 ww. rozporządzenia. Dodano również, że Grupa Robocza Art. 29 w Wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 wskazała, że administrator oceniając ryzyko dla osób fizycznych będące wynikiem naruszenia powinien uwzględnić "konkretne okoliczności naruszenia, w tym wagę potencjalnego wpływu i prawdopodobieństwo jego wystąpienia" oraz zaleciła, by w trakcie oceny brać pod uwagę wskazane w tych Wytycznych kryteria. Pismem tym organ zwrócił się do Administratora, na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679, o udzielenie informacji, czy

w związku z ww. zdarzeniem dokonana została ponowna analiza incydentu pod kątem ryzyka naruszenia praw i wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie, a jeśli tak, to czy wyniki ponownie przeprowadzonej analizy są identyczne jak rezultaty poprzednio przeprowadzonej przez Administratora oceny ww. zdarzenia.

Administrator w odpowiedzi z [...] września 2020 roku poinformował Prezesa UODO, że od daty złożenia pierwszych wyjaśnień "do dnia dzisiejszego" do Uczelni nie wpłynęła żadna dodatkowa informacja mająca bezpośredni wpływ na czynniki determinujące konieczność przeprowadzenia ponownej analizy ryzyka w zakresie odnotowanego incydentu, którego możliwa eskalacja została bezzwłocznie, skutecznie i technicznie powstrzymana.

W dniu [...] września 2020 roku do Urzędu Ochrony Danych Osobowych wpłynęła odpowiedź Rektora UM, z której wynika, że "(...) nagrania przebiegu egzaminu były dostępne dla studentów oznaczonego rocznika jednego kierunku

i prowadzących zajęcia wykładowców, gdzie w zakresie znajomości tożsamości osoby, których dane dotyczą takimi informacjami wzajemnie dysponują. Bezspornym jest jednak fakt, iż zakres danych możliwych do pobrania przez ww. grupę osób był szerszy, nie mniej zostały podjęte skuteczne środki blokujące to naruszenie wraz

z autorskim informatycznym przeprogramowaniem funkcjonalności platformy

e-learningowej. W związku z tym, że nagrania mogły być pobrane przez wyżej opisaną grupę będącą wyodrębnioną częścią społeczności akademickiej oceniono ryzyko naruszenia praw i wolności osób, których dane dotyczą na małe. (...) Co istotne podkreślić należy, że każdy student [...]ego Uniwersytetu Medycznego

w [...] zobowiązany jest do poszanowania godności każdego człowieka,

a w szczególności, wzajemnie w ramach środowiska akademickiego. (...) Nadto studenci zobowiązani są Statutem Uczelni do przestrzegania przepisów wewnętrznych obowiązujących w Uczelni (norm, zasad współżycia i zwyczajów akademickich) w tym, w szczególności odnoszących się do ochrony prywatności. Mając na uwadze powyższe obowiązki studentów i pozostałych członków wspólnoty akademickiej w zakresie zgłaszania incydentów związanych z bezpieczeństwem informacji nie wpłynęła do Uczelni żadna informacja mogąca mieć wpływ na zmianę poziomu ryzyka albo wymagająca podjęcia innych środków technicznych

i organizacyjnych rozszerzających katalog podjętych działań".

Wobec braku zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie, w dniu [...] października 2020 r. Prezes UODO wszczął wobec Administratora postępowanie administracyjne (sygnatura pisma: [...]).

W odpowiedzi na powyższe, w piśmie z [...] października 2020 roku, Administrator uznał, że jest mało prawdopodobne by przedmiotowe naruszenie skutkowało ryzykiem naruszenia praw i wolności osób fizycznych. W dalszej części pisma Administrator szczegółowo uzasadnił swoje stanowisko wskazując jednocześnie, że uczelnia była uprawniona do weryfikacji osiągniętych efektów uczenia się określonych w programie studiów, w szczególności przeprowadzania zaliczenia i egzaminów kończących określone zajęcia oraz egzaminy dyplomowe, poza siedzibą uczelni lub poza jej filią z wykorzystaniem technologii informatycznych zapewniających kontrolę ich przebiegu i rejestrację. W związku z art. 76a ustawy

z dnia 20 lipca 2018 r. - Prawo o szkolnictwie wyższym i nauce (Dz.U. 2018 poz. 1668 ze zm.), który został dodany ustawą z dnia 16.04.2020 r. (Dz.U. z 2020 r. poz. 695), od 18.04.2020 r. i zmienionym sposobem egzaminowania, nauczyciel akademicki dla zapewnienia prawidłowego przebiegu egzaminu musiał zweryfikować tożsamość uczestnika egzaminu.

W uzasadnieniu wskazanej na wstępie decyzji Prezes UODO przywołała treść art. 4 pkt 12, art. 33 ust. 1 i 3 i art 34 ust. 1 rozporządzenia 2016/679.

Organ uznał, że w przedmiotowej sprawie doszło do naruszenia ochrony danych osobowych polegającego na udostępnieniu na platformie [...] nagrań obrazujących przebieg egzaminów praktycznych,

w trakcie przystępowania do których większość uczestników - studentów została wylegitymowana legitymacją studencką lub dowodem osobistym. Administrator nie kwestionował, iż sytuacja taka miała miejsce. Administrator podnosił jednak, że cyt.: "(...) dowody osobiste były przedstawiane przez Studentów sporadycznie

i prezentowana była ich tylko pierwsza strona ze zdjęciem (co dotyczy ewentualnego szerszego zakresu ujawnionych przez Studenta danych niż przetwarzanych podczas egzaminu: wizerunek, głos, imię, nazwisko, informacje o grupie, roku studiów, kierunku, przedmiocie oraz udzielone podczas egzaminu odpowiedzi)".

Ustosunkowując się do powyższego organ wskazał, że dane widoczne

na pierwszej stronie dowodu osobistego (w zależności od chwili jego wydania, jako że obecnie w obiegu funkcjonują dowody osobiste wydane według trzech wzorów), poza: zdjęciem, imionami, nazwiskiem, datą urodzenia i płcią, obejmują dodatkowo:

1) w przypadku dowodów wydanych przed 1 marca 2015 roku: nazwisko rodowe, imiona rodziców, podpis, numer dowodu osobistego i termin jego ważności,

2) w przypadku dowodów osobistych wydanych od 1 marca 2015 roku do 3 marca 2019 roku: nazwisko rodowe, imiona rodziców,

3) w przypadku dowodów osobistych wydanych po 4 marca 2019 roku: obywatelstwo, numer dowodu osobistego i termin jego ważności.

Jak wskazał organ, ponadto Administrator nie odniósł się do kwestii danych widocznych na legitymacjach studenckich, które studenci okazywali w związku

z przystępowaniem do egzaminu. Zgodnie z:

1) rozporządzeniem Ministra Nauki i Szkolnictwa Wyższego z dnia 14 września

2011 r. w sprawie dokumentacji przebiegu studiów (Dz.U. z 2011 r., poz. 201,

Nr 1188, ze zm. - obowiązującym od dnia 1 października 2011 roku, uchylonym

z dniem 1 października 2016 roku),

2) rozporządzeniem Ministra Nauki i Szkolnictwa Wyższego z dnia 16 września

2016 r. w sprawie dokumentacji przebiegu studiów (Dz.U. z 2016 r., poz. 1554, ze zm. - obowiązującym od dnia 1 października 2016 roku, uchylonym z dniem 1 października 2018 roku),

które określają wzór elektronicznej legitymacji studenckiej, na legitymacji tej widoczne są: kolorowe zdjęcie posiadacza legitymacji, nazwa uczelni, imię, nazwisko, adres, data wydania, numer albumu, numer PESEL (a w przypadku obcokrajowców odpowiednio: data urodzenia). Zgodnie natomiast z obecnie obowiązującym rozporządzeniem Ministra Nauki i Szkolnictwa Wyższego z dnia 27 września 2018 r. w sprawie studiów (Dz.U. z 2018 r., poz. 1861, ze zm. - obowiązującym od dnia 1 października 2018 roku), legitymacja taka zawiera wszystkie wyżej wskazane dane poza adresem studenta.

Prezes UODO podał, że jak wskazał w złożonych wyjaśnieniach Administrator, utrwalone na nagraniach dane znajdujące się na ww. dokumentach mogły pozostawać nieczytelne lub jedynie częściowo czytelne. Powyższe stwierdzenie,

w ocenie organu, może budzi wątpliwości w kontekście celu, dla którego dokumenty te były okazywane, tj. zweryfikowanie tożsamości osoby przystępującej do egzaminu. Ponadto fakt, że dane mogły być częściowo czytelne nie wyklucza możliwości zapoznania się z nimi przez osobę nieuprawnioną. Wreszcie nie można pominąć istnienia programów umożliwiających stosowną obróbkę zdjęć lub nagrań w sposób umożliwiający odczytanie tych danych. Te wszystkie okoliczności, jako istotne, powinny być wzięte pod uwagę przez Administratora przy ocenie, czy doszło do naruszenia ochrony danych osobowych, jaka była jego skala oraz czy potencjalnie wiązało się ono z ryzykiem naruszenia praw lub wolności podmiotów danych,

a także, czy ryzyko to jest wysokie. Tymczasem, jak wynika z zebranego materiału dowodowego, Administrator tego nie uczynił.

Organ podkreślił również, że w sprawie nie jest istotne to, czy nieuprawniony odbiorca faktycznie wszedł w posiadanie i zapoznał się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko, a w konsekwencji również potencjalnie wystąpiło ryzyko naruszenia praw lub wolności podmiotów danych. Administrator

w swoich wyjaśnieniach podkreślał, że nie wpłynęły do niego informacje wskazujące na nieuprawnione wykorzystanie danych osobowych udostępnionych w wyniku przedmiotowego naruszenia. Dlatego uznał, że naruszenie nie wiąże się z ryzykiem naruszenia praw lub wolności osób nim dotkniętych. Prezesa UODO podkreślił przy tym, że Administrator przewidział jednak, że naruszenie może wiązać się z takim ryzykiem - świadczy o tym fakt zwracania się przez niego o przekazywanie sygnałów o ewentualnym nieuprawnionym wykorzystaniu udostępnionych danych osobowych

i grożenia konsekwencjami, z jakimi takie wykorzystanie danych może się wiązać (postępowanie dyscyplinarne, skreślenie z listy studentów, rozwiązanie stosunku pracy, zawiadomienie organów ścigania). Uzależnianie reakcji na zaistniałe naruszenie od ziszczenia się jego potencjalnych konsekwencji jest sprzeczne

z zasadą, zgodnie z którą administrator ma przeciwdziałać konsekwencjom naruszenia lub minimalizować jego negatywne skutki (w sytuacji, gdy niezasadne jest już stosowanie środków im zapobiegających). Organ dodał, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować - w treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu.

Organ wyjaśnił, że w przedmiotowej sprawie zaistniało ryzyko nieuprawnionego wejścia w posiadanie danych osobowych przez tyle osób, ile miało do nich potencjalny dostęp. To jest co najmniej tyle osób, ile było zarejestrowanych na platformie, ponieważ z informacji, które wpłynęły do tutejszego Urzędu wynika, że istniała "możliwość obejrzenia nagrania po uzyskaniu linku do [...] bez konieczności logowania". Złożone przez Administratora w dniu [...] września 2020 roku wyjaśnienia wskazują ponadto, że dostęp do przedmiotowych nagrań uzyskał szerszy niż zakładany przez Administratora krąg osób. Należy również podkreślić, że fakt ewentualnego otwierania pliku zawierającego przedmiotowe nagranie przez kogokolwiek, jego pobierania czy dalszego udostępniania prowadzi do zwiększenia skali naruszenia i tym samym ryzyka naruszenia praw lub wolności osób, których dane dotyczą.

Zdaniem organu wyniku przedmiotowego zdarzenia doszło do naruszenia poufności danych tych osób, które przystępując do egzaminów legitymowały się widocznymi na przedmiotowym nagraniu legitymacjami studenckimi lub dowodami osobistymi - w zakresie danych znajdujących się na tych dokumentach - to jest do naruszenia bezpieczeństwa prowadzącego do przypadkowego, nieuprawnionego ujawnienia danych tych osób, co w sposób jednoznaczny przesądza, że wystąpiło naruszenie ochrony danych osobowych.

W opinii organu w niniejszej sprawie występuje wysokie ryzyko naruszenia praw i wolności osób fizycznych, powołał się przy tym na wytyczne art. 29 dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 - "Ryzyko to istnieje w przypadku, gdy naruszenie może prowadzić

do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone. Przykłady takich szkód obejmują dyskryminację, kradzież lub sfałszowanie tożsamości, straty finansowe i naruszenie dobrego imienia". Nie ulega wątpliwości, że przywołane w wytycznych przykłady szkód mogą wystąpić w przypadku osób, których dane osobowe - w niektórych przypadkach łącznie z numerem ewidencyjnym PESEL lub serią i nr dowodu osobistego - zostały utrwalone na udostępnionych nagraniach. Nie bez znaczenia dla takiej oceny jest możliwość łatwej w oparciu o ujawnione dane identyfikacji osób, których dane zostały objęte naruszeniem. W przedmiotowej sprawie doszło do ujawnienia nagrań, na których utrwalono wizerunki i głosy studentów, którzy w trakcie przystępowania

do egzaminów okazywali celem weryfikacji swojej tożsamości legitymacje studenckie lub dowody osobiste, na których zawarte są wyżej wymienione dane osobowe -

w niektórych przypadkach również numer ewidencyjny PESEL lub seria i nr dowodu osobistego w zestawieniu z pozostałymi danymi. Ponadto, poprzez udostępnienie tych nagrań osobom nieuprawnionym, doszło do ujawnienia innych danych, takich jak cyt.: "(...) informacje o grupie, roku studiów, kierunku, przedmiocie oraz udzielone podczas egzaminu odpowiedzi". W konsekwencji oznacza to, że występuje wysokie ryzyko naruszenia praw lub wolności osób objętych przedmiotowym naruszeniem, co z kolei skutkuje powstaniem po stronie Administratora obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone

w art. 33 ust. 3 tego rozporządzenia oraz zawiadomienia tych osób o naruszeniu zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 34 ust. 2 tego rozporządzenia.

Zdaniem organu nie ma znaczenia dla sprawy, że plik zawierający nagranie obrazujące przebieg przedmiotowych egzaminów został pobrany przez dwadzieścia sześć osób, którą to liczbę wskazuje Administrator w złożonych wyjaśnieniach. Organ podkreślił, że Grupa Robocza Art. 29 w wytycznych wyraźnie wskazuje, że

"w przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna".

Bez znaczenia są również działania Administratora polegające na opracowaniu poprawki autorskiej do systemu [...], która całkowicie uniemożliwia technicznie powtórzenie zaistniałej sytuacji.

Organ odniósł się również do treści art. 34 ust. 1 rozporządzenia 2016/679, wskazując, że zawiadamiając bez zbędnej zwłoki podmiot danych, administrator umożliwia osobie podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia. Art. 34 ust. 1 i 2 rozporządzenia 2016/679 ma na celu nie tylko zapewnienie możliwie najskuteczniejszej ochrony podstawowych praw lub wolności podmiotów danych, ale także realizację zasady przejrzystości, która wynika z art. 5 ust. 1 lit. a) rozporządzenia 2016/679 (por. Chomiczewski Witold [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak - Jomaa, D. Lubasz, Warszawa 2018). Właściwe wywiązanie się z obowiązku określonego w art. 34 rozporządzenia 2016/679 ma zapewnić osobom, których dane dotyczą – szybką

i przejrzystą informację o naruszeniu ochrony ich danych osobowych wraz z opisem możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków, które mogą one podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków. Zdaniem organu postępując zgodnie z prawem i wykazując dbałość o interesy osób, których dane dotyczą, Administrator powinien był bez zbędnej zwłoki zapewnić osobom, których dane dotyczą, możliwość jak najlepszej ochrony danych osobowych. Dla osiągnięcia tego celu niezbędne jest przynajmniej wskazanie tych informacji, które wymienione są w art. 34 ust. 2 rozporządzenia 2016/679, z którego to obowiązku Administrator nie wywiązał się. Administrator podejmując zatem decyzję o niezawiadomieniu o naruszeniu organu nadzorczego, jak i osób, których dane dotyczą, w praktyce pozbawił te osoby, przekazanej bez zbędnej zwłoki, rzetelnej informacji o naruszeniu i możliwości przeciwdziałania potencjalnym szkodom.

Reasumując organ stwierdził, że Administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w wykonaniu obowiązku z art. 33 ust. 1 rozporządzenia 2016/679 oraz nie zawiadomił bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu ochrony ich danych, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, co oznacza naruszenie przez Administratora tych przepisów.

W dalszej części uzasadnienia decyzji organ wyjaśnił podstawy prawne swojego rozstrzygnięcia. Jak wskazał, zgodnie z art. 34 ust. 4 rozporządzenia 2016/679, jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą,

o naruszeniu ochrony danych osobowych, organ nadzorczy - biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko - może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3. Z kolei z treści art. 58 ust. 2 lit. e) rozporządzenia 2016/679 wynika, że każdemu organowi nadzorczemu przysługuje uprawnienie naprawcze w postaci nakazania administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych.

Ponadto zgodnie z art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych wart. 58 ust. 2 rozporządzenia 2016/679, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy.

Nakładając karę pieniężną organ miał na uwadze przesłanki określone

w art. 83 ust. 2 lit. a) i b) oraz lit. f) i g) rozporządzenia 2016/679, które szczegółowo uzasadnił. Jak stwierdził Prezes UODO, ustalając wysokość administracyjnej kary pieniężnej, uwzględnił również działania podjęte przez Administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83

ust. 2 lit. c rozporządzenia 2016/679). Wyjaśnił, że Administrator przekazał osobom, których dane dotyczą, pewne informacje dotyczące naruszenia i umożliwił im komunikację dzięki przeznaczonym do tego kanałom komunikacji. Wskazał również osobom mogącym mieć nieuprawniony dostęp do ujawnionych nagrań na możliwe konsekwencje dyscyplinarne i karne ich bezprawnego użycia. Takie działanie Administratora zasługuje, w ocenie organu, na dostrzeżenie i akceptację, jednakże nie jest w żadnym wypadku równoznaczne ze spełnieniem obowiązku, o którym mowa w art. 34 rozporządzenia 2016/679.

W ocenie Prezesa UODO zastosowana administracyjna kara pieniężna spełnia, w ustalonych okolicznościach niniejszej sprawy, funkcje, o których mowa

w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

Organ podkreślił, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi

do tego, że Administrator w przyszłości będzie wywiązywał się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie zgłaszania naruszenia ochrony danych osobowych Prezesowi UODO oraz zawiadamiania o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie. Zastosowanie administracyjnej kary pieniężnej w niniejszym przypadku jest niezbędne zważywszy także na to, że Administrator zignorował fakt, iż

z naruszeniem ochrony danych mamy do czynienia zarówno wówczas, gdy

do zdarzenia dojdzie wskutek świadomego działania, jak i wtedy, gdy doprowadzi

do niego nieumyślność. W ocenie Prezesa UODO administracyjna kara pieniężna spełni funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Administratora przepisów rozporządzenia 2016/679, będzie również spełniać funkcję prewencyjną wskaże bowiem zarówno Administratorowi jak i innym administratorom danych na naganność lekceważenia obowiązków administratorów związanych

z zaistnieniem naruszenia ochrony danych osobowych, a mających na celu przecież zapobieżenie jego negatywnym i często dotkliwym dla osób, których naruszenie dotyczy, skutkom, a także usunięcie tych skutków lub przynajmniej ograniczenie.

W związku z powyższym zdaniem organu kara pieniężna w wysokości

25 000 zł (słownie: dwudziestu pięciu tysięcy złotych), spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonego naruszenia

w kontekście podstawowego celu rozporządzenia 2016/679 - ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych. Jednocześnie wysokość administracyjnej kary pieniężnej nałożonej niniejszą decyzją na administratora będącego jednostką sektora finansów publicznych (uczelnią publiczną - wskazaną w art. 9 pkt 11 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych) mieści się w określonym w art. 102 ust. 1 ustawy

z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) limicie 100 000 złotych.

Pismem z dnia [...] lutego 2021 r. (prezentata Urzędu Ochrony Danych Osobowych: [...] lutego 2021 r.) [...] Uniwersytet Medyczny w [...], reprezentowany przez profesjonalnego pełnomocnika, złożył skargę

do Wojewódzkiego Sądu Administracyjnego w Warszawie na decyzję Prezesa UODO z [...] stycznia 2021 r., zaskarżając wydaną decyzję w całości.

Zaskarżonej decyzji skarżący zarzucił naruszenie następujących przepisów postępowania mających istotny wpływ na wydanie tego rozstrzygnięcia,

a mianowicie:

1) art. 6, art. 7 i art. 77 § 1 i 4 w zw. z art. 80 ustawy z dnia 14 czerwca 1960 roku - Kodeks postępowania administracyjnego (Dz.U. z 2020 r. poz. 256 ze zm.; dalej Kpa.), poprzez wydanie rozstrzygnięcia w sprawie bez uwzględnienia całego zebranego materiału dowodowego w sprawie i dokonania prawidłowej, pełnej jego oceny, a w szczególności pominięcie okoliczności istotnych dla niniejszego postępowania, w tym faktycznego i realnego zagrożenia wykorzystania ujawnionych danych osobowych przez osoby trzecie, ze względu na niską jakość utrwalonego materiału filmowego, który uniemożliwia odczytanie danych z okazywanych dokumentów przez Studentów nawet przy zastosowaniu trybu "stop – klatki"; całkowite pominięcie przez organ dokonanej przez skarżącego analizy incydentu bezpieczeństwa pod kątem prawdopodobieństwa, by powstałe naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, co

w konsekwencji doprowadziło organ do dokonania oceny zaistniałego incydentu bezpieczeństwa w sposób całkowicie oderwany od stanu faktycznego niniejszej sprawy, w tym realnego wystąpienia ryzyka naruszenia ww. praw i wolności Studentów, a która to przesłanka determinuje obowiązek po stronie administratora

do wykonania obowiązku zgłoszenia, o którym mowa w art. 33 ust. 1 rozporządzenia 2016/679; przyjęcia jako własne okoliczności wskazywanych w pismach informujących o zdarzeniu i skargach indywidualnych, bez właściwej ich weryfikacji

z przedstawionymi przez skarżącego dokumentami i wyjaśnieniami, a tym samym zebranym materiałem dowodowym w sprawie, a które to okoliczności stanowiły podstawę ustaleń faktycznych przyjętych w zaskarżonej decyzji,

2) art. 6, art. 7, art. 75 § 1, art. 77 § 1 i art. 84 § 1 w zw. z art. 80 Kpa., poprzez wydanie rozstrzygnięcia w sprawie na podstawie niepełnego materiału dowodowego

i zaniechanie powołania stosownego biegłego z zakresu obróbki cyfrowej obrazu,

w celu ustalenia czy faktycznie istniała techniczna, a zatem realna możliwość odczytania i wykorzystania danych z dokumentów ujawnionych na nagraniach pobranych w związku z zaistniałym incydentem bezpieczeństwa, a tym samym nieuprawnione zastępowanie przez organ wniosków wymagających wiedzy specjalnej, własnymi wnioskami i twierdzeniami, w sytuacji kiedy takich wiadomości specjalnych organ nie posiada, a okoliczności realnego i faktycznego zagrożenia wykorzystania danych znajdujących się na przedmiotowych dokumentach w sposób prawdopodobnie naruszający prawa lub wolności osób fizycznych są kluczowe dla oceny powstania po stronie administratora obowiązku informacyjnego, o którym mowa w art. 33 ust. 1 rozporządzenia 2016/679; ponadto okoliczności wymagające wiadomości specjalnych stanowiły podstawę ustaleń faktycznych w sprawie, które organ przyjął bez przeprowadzenia stosownej opinii biegłego;

3) art. 6, art. 7 i art. 8 § 1 w zw. z art. 77 § 1 Kpa., poprzez prowadzenie postępowania z wyłączeniem zasady pogłębiania zaufania jego uczestników do organu prowadzącego oraz z wyłączeniem zasady prawdy obiektywnej i przyjęciem przez organ po stronie skarżącego uchybienia w postaci braku powiadomienia organu o naruszeniu ochrony danych osobowych bez zbędnej zwłoki i nałożeniu pieniężnej kary administracyjnej, w sytuacji kiedy to organ pismem z dnia [...] września 2020 roku ([...]) wezwał skarżącego do udzielenia informacji, "[...] czy w związku z ww. zdarzeniem dokonana została ponowna analiza incydentu pod kątem ryzyka naruszenia praw i wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkujących koniecznością zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych oraz osób, których dotyczy naruszenie, a jeśli tak, to czy wyniki ponownie przeprowadzonej analizy są identyczne jak rezultaty poprzednio przeprowadzonej przez administratora oceny ww. zdarzenia" pod rygorem nałożenia administracyjnej kary pieniężnej w przypadku odmowy złożenia wyjaśnień, nie sygnalizując Skarżącemu aby dotychczasowe wyjaśnienia i analiza zaistniałego incydentu bezpieczeństwa nie odpowiadały warunkom opisanym w art. 33 ust. 1 rozporządzenia 2016/679 w zakresie wyłączenia obowiązku zgłoszenia.

Ponadto, ze względu na powyższe naruszenia przepisów postępowania, Administrator zarzucił zaskarżonej decyzji naruszenie przepisów prawa materialnego mające istotny wpływ na wydanie zaskarżonej decyzji, w postaci:

4) art. 33 ust. 1 rozporządzenia 2016/679, poprzez niewłaściwe zastosowanie

i uznanie, że skarżący miał obowiązek zgłoszenia zaistniałego incydentu bezpieczeństwa danych osobowych organowi w czasie 72 godzin, w sytuacji kiedy zebrany w sprawie materiał dowodowy i niepełny - brak opinii biegłego - nie daje podstaw do tak jednoznacznego wniosku, gdyż jakość utrwalonego materiału filmowego, uniemożliwia odczytanie danych z okazywanych dokumentów przez Studentów nawet przy zastosowaniu trybu "stop - klatki", co wyklucza uznanie, że

w tym konkretnym przypadku doszło do faktycznego i realnego zagrożenia dla wolności i praw osób, których dane dotyczą;

5) art. 33 ust. 1 rozporządzenia 2016/679, poprzez niewłaściwe zastosowanie

i uznanie, że to ocena zaistniałego zdarzenia dokonana przez organ nadzorczego decyduje o zaistnieniu obowiązku zgłoszenia mu incydentu naruszenia danych osobowych, w sytuacji kiedy norma ta kreuje prawo i obwiązek oceny ryzyka zagrożenia takiego naruszenia dla wolności i praw osób fizycznych wyłącznie administratorowi, i to ta ocena stanowi podstawę dalszych działań jakie administrator ten podejmie - obowiązkiem jest dokonanie takiej oceny, a tym samym wystąpienie po stronie Skarżącego w rozpatrywanej sprawie zwłoki w powiadomieniu, złożeniu wyjaśnień organowi nadzorczemu w przedmiotowym zakresie;

6) art. 34 ust. 1 rozporządzenia 2016/679, poprzez niewłaściwe zastosowanie

i uznanie, że skarżący nie dokonał zawiadomienia osób w trybie ww. normy bez zbędnej zwłoki, w sytuacji kiedy zebrany w sprawie materiał dowodowy i niepełny - brak opinii biegłego - nie daje podstaw do tak jednoznacznego wniosku, gdyż jakość utrwalonego materiału filmowego, uniemożliwia odczytanie danych z okazywanych dokumentów przez Studentów nawet przy zastosowaniu trybu "stop - klatki",

co wyklucza uznanie, że w tym konkretnym przypadku doszło do wysokiego, faktycznego i realnego zagrożenia dla wolności i praw osób, których dane dotyczą;

7) art. 83 ust. 1 - 3, art. 83 ust. 4 lit. a w zw. z art. 58 ust. 2 lit i rozporządzenia 2016/679 w związku z art. 102 ust. 1 pkt 1 i ust. 3 u.o.d.o., poprzez niewłaściwe zastosowanie i wymierzenie skarżącemu pieniężnej kary administracyjnej w kwocie 25.000,00 zł (dwadzieścia pięć tysięcy złotych), w sytuacji kiedy, zebrany w sprawie materiał dowodowy i niepełny - brak opinii biegłego - nie daje podstaw

do jednoznacznego stwierdzenia, że skarżący dopuścił się naruszenia art. 33 ust. 1

i art. 34 ust. 1 rozporządzenia 2016/679, których naruszenie skutkowałoby zasadnością nałożenia sankcji finansowej na skarżącego;

8) art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. a rozporządzenia 2016/679 w związku z art. 8 § 1 Kpa. polegające na wymierzeniu skarżącemu pieniężnej kary administracyjnej za naruszenie przepisów ww. rozporządzenia, uznając błędnie wbrew wnioskom wynikającym z zebranego materiału dowodowego i niepełnego - brak opinii biegłego, że w niniejszej sprawie naruszenie miało znaczną wagę i poważny charakter,

w sytuacji kiedy jakość utrwalonego materiału filmowego, wyklucza możliwość odczytania danych na okazanych dokumentach, a tym samym powstanie szkód majątkowych w przyszłości; błędne przyjęcie, długiego czasu trwania naruszenia ze względu na brak powiadomienia przez administratora osób oraz organu; błędne przyjęcie, że ujawnienie dokumentów nastąpiło w zakresie 156 Studentów (6 osób x 26 grup studenckich), w sytuacji kiedy nie wszyscy okazywali na nagraniach dokumenty tożsamości;

9) art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. b rozporządzenia 2016/679 w związku

z art. 8 § 1 Kpa. polegające na wymierzeniu skarżącemu pieniężnej kary administracyjnej za naruszenie przepisów ww. rozporządzenia, uznając błędnie, że zaistniał obowiązek informacyjny, gdyż naruszenie miało znaczną wagę i poważny charakter, w sytuacji kiedy jakość utrwalonego materiału filmowego, wyklucza możliwość odczytania danych na okazanych dokumentach, a tym samym powstanie szkód majątkowych w przyszłości i wkroczenie w sferę praw i obowiązków studentów, których dane dotyczą; pominięcie okoliczności, że skarżący dokonał szczegółowej analizy ryzyka, dokonał poprawek w systemie informatycznym, a wynik tej analizy nie wykazał, aby zagrożenie miało charakter realny w niniejszej sprawie,

w sytuacji, w której skarżący działał w oparciu o wyjątek od obowiązku zawiadomienia organu, przewidziany w art. 33 ust. 1 ww. Rozporządzenia, co nie może być uznane za świadome (umyślne) naruszenie tego obowiązku, skoro ustawodawca europejski administratorowi przyznaje kompetencje do oceny ryzyka naruszenia praw i wolności osób fizycznych w związku z zaistniałym incydentem bezpieczeństwa;

10) art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. f rozporządzenia 2016/679 w związku z art. 8 § 1 Kpa. polegające na wymierzeniu skarżącemu pieniężnej kary administracyjnej za naruszenie przepisów ww. rozporządzenia, uznając błędnie, że współpraca skarżącego była "niezadowalająca", w sytuacji kiedy analiza materiału dowodowego w niniejszej sprawie oraz w sprawach indywidualnych skarg prowadzi do zgoła odmiennego wniosku, że skarżący dołożył należytej staranności i terminowości

w kontakcie z organem i nie uchybił swoim obowiązkom w tym zakresie, przyczynił się do ustalenia całokształtu okoliczności sprawy oraz przedstawił wszelkie niezbędne dokumenty i informacje; niezasadnym uznaniu za okoliczność obciążającą skarżącego w zakresie braku współpracy z organem, w sytuacji, w której skarżący działał w oparciu o wyjątek od obowiązku podania informacji osobom, których dane dotyczą i zgłoszenia incydentu bezpieczeństwa do organu, a przewidziany w art. 33 ust. 1 ww. rozporządzenia, a zarazem działania skarżącego w przekonaniu, że nie występuje jakiekolwiek naruszenie i szkoda, wobec czego organ nie powinien był potraktować jego postawy jako okoliczności obciążającej i wpływającej na wymiar kary za rzekome naruszenie;

11) art. 83 ust. 1 i 2 rozporządzenia 2016/679 w związku z art. 8 § 1 Kpa., poprzez pominięcie dyrektywy indywidualizacji wymiaru kary pieniężnej, oceny całokształtu okoliczności sprawy przy decyzji o wymierzeniu kary albo zaniechania jej wymierzenia.

Przedstawiając powyższe zarzuty Administrator wniósł na podstawie art. 106

§ 3 ustawy z dnia 30 sierpnia 2002 roku Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2019, poz. 2325, ze zm.) o dopuszczenie

i przeprowadzenie uzupełniającego dowodu z dokumentów znajdujących się

w aktach indywidulanych skarg Studentów (a dołączonych do skargi na decyzję Prezesa UODO) w związku z zaistniałym incydentem bezpieczeństwa danych osobowych, w celu wyjaśnienia istotnych wątpliwości co do czynności podejmowanych przez administratora, składanych wyjaśnień, postawy procesowej skarżącego w toku postępowań prowadzonych przez organ, działań podjętych

w związku z zaistniałym zdarzeniem, na okoliczność nieczytelności (fotografie) materiału filmowego i braku możliwości odczytania danych w sposób umożliwiający wykorzystanie tych danych. Ponadto, w oparciu o powyższe zarzuty, skarżący wniósł o:

1) uchylenie decyzji organu I instancji w całości i przekazanie sprawy temu organowi do ponownego rozpoznania;

2) zasądzenie na rzecz strony skarżącej kosztów postępowania według norm przepisanych, w tym kosztów zastępstwa procesowego.

W uzasadnieniu skargi Administrator szczegółowo wyjaśnił podniesione wyżej zarzuty.

W odpowiedzi na skargę organ wniósł o jej oddalenie.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.

Skarga nie zasługuje na uwzględnienie.

Nie ulega wątpliwości, że w niniejszej sprawie doszło do braku zgłoszenia przez Administratora faktu naruszenia danych osobowych uczestników egzaminów praktycznych z pediatrii organizowanych przez Katedrę i Klinikę [...] [...] Uniwersytetu Medycznego w [...], co stanowi naruszenie art. 33 ust. 1 rozporządzenia 2016/679, a także naruszenie art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą. Przebieg całego naruszenia szczegółowo opisano w części historycznej uzasadnienia, a sprowadzało się ono do utrwalenia dowodów osobistych i legitymacji studenckich i ich udostępnienia.

Istota problemu w niniejszej sprawie w zakresie art. 33 ust. 1 rozporządzenia 2016/679 sprowadza się do ustalenia, czy skarżący wykazał w toku niniejszego postępowania, że był zwolniony z powyższego obowiązku, ponieważ było mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

W ocenie Sądu wbrew twierdzeniom skarżącego, że utrwalone na nagraniach dane osobowe były nieczytelne lub mało czytelne, należy przyjąć, że twierdzenia te

w żaden sposób nie uzasadniają oceny ryzyka naruszenia praw lub wolności osób fizycznych, o którym mowa w art. 33 ust. 1 rozporządzenia 2016/679.

Zdaniem Sądu organ prawidłowo uznał, że to czy dane mogły być częściowo czytelne nie wyklucza możliwości zapoznania się z nimi przez osobę nieuprawnioną (w czym pomocne są między innymi odpowiednie programy komputerowe),

w związku z czym skarżący jako administrator danych osobowych studentów powinien był wziąć pod uwagę sygnalizowane mu okoliczności a następnie ocenić, czy doszło do naruszenia ochrony danych osobowych, jaka była jego skala oraz czy potencjalnie wiązało się ono z ryzykiem naruszenia praw lub wolności podmiotów, których dane udostępniono, a także, czy ryzyko to jest wysokie. Tymczasem, jak wynika z udzielonych przez skarżącego wyjaśnień, uznał on, że ryzyko naruszenia praw lub wolności było mało prawdopodobne.

Sąd wyjaśnia, że w rozpatrywanej sprawie nie jest istotne to, czy nieuprawniony odbiorca faktycznie wszedł w posiadanie i zapoznał się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko, a w konsekwencji również potencjalnie wystąpiło ryzyko naruszenia praw lub wolności podmiotów danych. Administrator w swoich wyjaśnieniach podkreślał, że nie wpłynęły do niego informacje wskazujące na nieuprawnione wykorzystanie danych osobowych udostępnionych w wyniku przedmiotowego naruszenia. Dlatego uznał, że naruszenie nie wiąże się z ryzykiem naruszenia praw lub wolności osób nim dotkniętych. Warto podkreślić, że Administrator przewidział jednak, że naruszenie może wiązać się

z takim ryzykiem - świadczy o tym fakt zwracania się przez niego o przekazywanie sygnałów o ewentualnym nieuprawnionym wykorzystaniu udostępnionych danych osobowych i grożenia konsekwencjami, z jakimi takie wykorzystanie danych może się wiązać (postępowanie dyscyplinarne, skreślenie z listy studentów, rozwiązanie stosunku pracy, zawiadomienie organów ścigania).

Przesłanką powstania po stronie administratora powinności zgłoszenia do organu nadzorczego naruszenia ochrony danych osobowych jest wystąpienie naruszenia ochrony danych osobowych, rozumiane jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodne z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesłanych, przechowywanych lub w inny sposób przetwarzanych (art. 4 pkt 12 rozporządzenia 2016/679).

Przepisy art. 33 ust. 1 i ust. 3 rozporządzenia 2016/679 stanowią, że

w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu właściwemu zgodnie

z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej: a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Z kolei art. 34 ust. 1 rozporządzenia 2016/679 wskazuje, że w sytuacji, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o takim naruszeniu.

Podkreślić należy, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować. W treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Zatem podnoszona przez Administratora okoliczność, że cyt.: "nie wpłynęła do Uczelni żadna informacja mogąca mieć wpływ na zmianę poziomu ryzyka albo wymagająca podjęcia innych środków technicznych

i organizacyjnych rozszerzających katalog podjętych działań" pozostaje irrelewantna dla stwierdzenia istnienia po stronie Administratora obowiązku zgłoszenia przedmiotowego naruszenia ochrony danych osobowych Prezesowi UODO, zgodnie z powyższym przepisem.

Zasadnie organ stwierdził, że w niniejszej sprawie zaistniało ryzyko nieuprawnionego wejścia w posiadanie danych osobowych przez tyle osób, ile miało do nich potencjalny dostęp. To jest co najmniej tyle osób, ile było zarejestrowanych na platformie, ponieważ z informacji, które wpłynęły do tutejszego Urzędu wynika, że istniała "możliwość obejrzenia nagrania po uzyskaniu linku do [...] bez konieczności logowania". Złożone przez Administratora w dniu [...] września 2020 roku wyjaśnienia wskazują ponadto, że dostęp do przedmiotowych nagrań uzyskał szerszy niż zakładany przez Administratora krąg osób. Podkreślenia przy tym wymaga, że fakt ewentualnego otwierania pliku zawierającego przedmiotowe nagranie przez kogokolwiek, jego pobierania czy dalszego udostępniania prowadzi do zwiększenia skali naruszenia i tym samym ryzyka naruszenia praw lub wolności osób, których dane dotyczą.

W ocenie Sądu w wyniku odnotowanego zdarzenia doszło do naruszenia poufności danych studentów UM, którzy przystępując do egzaminów legitymowali się widocznymi na nagraniu legitymacjami studenckimi lub dowodami osobistymi -

w zakresie danych znajdujących się na tych dokumentach - to jest do naruszenia bezpieczeństwa prowadzącego do przypadkowego, nieuprawnionego ujawnienia danych tych osób, co w sposób jednoznaczny przesądza, że wystąpiło naruszenie ochrony danych osobowych. Naruszenie poufności danych, jakie wystąpiło

w przedmiotowej sprawie, w związku z naruszeniem ochrony danych osobowych polegającym na udostępnieniu na platformie [...] nagrań obrazujących przebieg egzaminów praktycznych, w trakcie przystępowania do których większość uczestniczących w nich studentów została wylegitymowana legitymacją studencką lub dowodem osobistym, w wyniku czego doszło do naruszenia poufności danych tych studentów w zakresie danych znajdujących się na legitymacji studenckiej lub dowodzie osobistym, powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Jak wskazuje Grupa Robocza Art. 29 w wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679, "Ryzyko to istnieje w przypadku, gdy naruszenie może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone. Przykłady takich szkód obejmują dyskryminację, kradzież lub sfałszowanie tożsamości, straty finansowe i naruszenie dobrego imienia". Nie ulega wątpliwości, że przywołane w wytycznych przykłady szkód mogą wystąpić w przypadku osób, których dane osobowe - w niektórych przypadkach łącznie z numerem ewidencyjnym PESEL lub serią i nr dowodu osobistego - zostały utrwalone na udostępnionych nagraniach. Nie bez znaczenia dla takiej oceny jest możliwość łatwej w oparciu o ujawnione dane identyfikacji osób, których dane zostały objęte naruszeniem. W badanej sprawie doszło do ujawnienia nagrań, na których utrwalono wizerunki i głosy studentów, którzy w trakcie przystępowania do egzaminów okazywali celem weryfikacji swojej tożsamości legitymacje studenckie lub dowody osobiste, na których zawarte są wyżej wymienione dane osobowe - w niektórych przypadkach również numer ewidencyjny PESEL lub seria i nr dowodu osobistego w zestawieniu z pozostałymi danymi. Ponadto, poprzez udostępnienie tych nagrań osobom nieuprawnionym, doszło do ujawnienia innych danych, takich jak cyt.: "(...) informacje o grupie, roku studiów, kierunku, przedmiocie oraz udzielone podczas egzaminu odpowiedzi".

W konsekwencji oznacza to, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób objętych przedmiotowym naruszeniem, co z kolei skutkuje powstaniem po stronie Administratora obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 33 ust. 3 tego rozporządzenia oraz zawiadomienia tych osób o naruszeniu zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 34 ust. 2 tego rozporządzenia.

Dla powyższej oceny nie ma wpływu to, czy plik zawierający nagranie obrazujące przebieg przedmiotowych egzaminów został pobrany przez dwadzieścia sześć osób, którą to liczbę wskazuje Administrator w złożonych wyjaśnieniach. Nie ma bowiem pewności, że plik ten nie został następnie udostępniony innym nieuprawnionym odbiorcom, przy czym administrator nie może obarczać odpowiedzialnością za naruszenie osób, którym udostępniono te nagrania - w omawianym przypadku nie budzi wątpliwości to, że to właśnie zaniechania skarżącego doprowadziły do naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób nim dotkniętych. Nawet gdyby przyjąć, że możliwość zapoznania się z danymi osobowymi, które obrazuje udostępnione nagranie, miało tylko ww. dwadzieścia sześć osób, to fakt pozostawania tych osób

w jakimikolwiek związku z Administratorem nie daje żadnych gwarancji co do intencji tych osób, a ewentualne konsekwencje posłużenia się takimi kategoriami danych mogą być znaczące dla osób, których dane objęte zostały naruszeniem. W ww. wytycznych stwierdzono: "To, czy administrator wie, że dane osobowe znajdują się w rękach osób, których zamiary są nieznane lub które mogą mieć złe intencje, może mieć znaczenie dla poziomu potencjalnego ryzyka. Może nastąpić naruszenie dotyczące poufności danych polegające na omyłkowym ujawnieniu danych osobowych stronie trzeciej, zgodnie z definicją w art. 4 pkt 10, lub innemu odbiorcy. Może to nastąpić na przykład w sytuacji, gdy dane osobowe zostaną przypadkowo wysłane do niewłaściwego działu organizacji lub do organizacji dostawców, z której usług powszechnie się korzysta. Administrator może wezwać odbiorcę do zwrotu albo bezpiecznego zniszczenia otrzymanych danych. W obu przypadkach - z uwagi na fakt, że administrator pozostaje z tymi podmiotami w stałych stosunkach i może znać stosowane przez nie procedury, ich historię i inne istotne szczegóły ich dotyczące - odbiorcę można uznać za "zaufanego".

Bez znaczenia jest również fakt, że "w ramach podjętych działań Administrator platformy opracował poprawkę autorską do systemu [...], która całkowicie uniemożliwia technicznie powtórzenie zaistniałej sytuacji". Dane zostały bowiem udostępnione nieuprawnionym osobom, co oznacza, że nastąpiło naruszenie bezpieczeństwa prowadzące do nieuprawnionego ujawnienia danych osobowych,

a zakres tych danych (obejmujących w niektórych przypadkach również numer ewidencyjny PESEL lub serię i nr dowodu osobistego) przesądza o tym, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Opracowanie

i wdrożenie takiej poprawki uznać należy za środek podjęty przez administratora celem zminimalizowania ryzyka wystąpienia tego typu naruszenia w przyszłości,

a nie działanie minimalizujące ryzyko naruszenia praw lub wolności osób fizycznych, których dane dotyczą. Również ustalenie przez Administratora, kim były osoby, które pobrały plik zawierający przedmiotowe nagrania, nie minimalizuje ryzyka naruszenia praw lub wolności osób, których ujawnione dane dotyczą. Podkreślić jednocześnie należy, że administrator danych dopuszczający możliwość wykorzystania środków komunikacji takich jak wykorzystane do przeprowadzenia egzaminów

w przedmiotowej sprawie, powinien mieć świadomość ryzyk związanych na przykład

z nieprawidłowym zabezpieczeniem nagrań przed nieuprawnionym dostępem

i w celu ich minimalizacji przedsięwziąć odpowiednie środki organizacyjne

i techniczne. Istnienie tych ryzyk, w sytuacji braku działań administratora danych mających na celu ich minimalizację poprzez wdrożenie odpowiednich środków organizacyjnych i technicznych, prowadzi wprost do powstania ryzyka naruszenia praw lub wolności osób fizycznych.

W ocenie Sądu w sytuacji, gdy na skutek naruszenia ochrony danych osobowych, wystąpiło wysokie ryzyko naruszenia praw i wolności osób fizycznych, skarżący jako administrator zobowiązany był wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy, jak również osoby, których dane dotyczą. Administrator powinien zrealizować przedmiotowy obowiązek możliwie najszybciej.

W motywie 85 preambuły rozporządzenia 2016/679 wyjaśniono: "Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia,

a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki".

Z kolei w motywie 86 preambuły rozporządzenia 2016/679 wyjaśniono: "Administrator powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić tej osobie podjęcie niezbędnych działań zapobiegawczych. Informacja taka powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z organem nadzorczym, z poszanowaniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy ścigania. Na przykład potrzeba zminimalizowania bezpośredniego ryzyka wystąpienia szkody będzie wymagać niezwłocznego poinformowania osób, których dane dotyczą, natomiast wdrożenie odpowiednich środków przeciwko takim samym lub podobnym naruszeniom ochrony danych może uzasadniać późniejsze poinformowanie".

Zawiadamiając bez zbędnej zwłoki podmiot danych, administrator umożliwia osobie podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia. Przepis art. 34 ust. 1 i ust. 2 rozporządzenia 2016/679 ma na celu nie tylko zapewnienie możliwie najskuteczniejszej ochrony podstawowych praw lub wolności podmiotów danych, ale także realizację zasady przejrzystości, która wynika z art. 5 ust. 1 lit. a) rozporządzenia 2016/679 (por. Chomiczewski Witold [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak - Jomaa, D. Lubasz, Warszawa 2018). Właściwe wywiązanie się z obowiązku określonego w art. 34 rozporządzenia 2016/679 ma zapewnić osobom, których dane dotyczą – szybką

i przejrzystą informację o naruszeniu ochrony ich danych osobowych wraz z opisem możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków, które mogą one podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków. Postępując zatem zgodnie z prawem i wykazując dbałość o interesy osób, których dane dotyczą, skarżący powinien był bez zbędnej zwłoki zapewnić osobom, których dane dotyczą, możliwość jak najlepszej ochrony danych osobowych. Dla osiągnięcia tego celu niezbędne było przynajmniej wskazanie tych informacji, które wymienione są w art. 34 ust. 2 rozporządzenia 2016/679, z którego to obowiązku skarżący nie wywiązał się. W opinii Sądu skarżący podejmując decyzję o niezawiadomieniu

o naruszeniu organu nadzorczego, jak i osób, których dane dotyczą, w praktyce pozbawił te osoby, przekazanej bez zbędnej zwłoki, rzetelnej informacji o naruszeniu i możliwości przeciwdziałania potencjalnym szkodom.

Stosując przepisy rozporządzenia 2016/679 należy mieć na uwadze, że celem tego rozporządzenia (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw

i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości na przykład co do wykonania obowiązków przez administratorów - nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy opracowywaniu technicznych

i organizacyjnych środków bezpieczeństwa mających im zapobiegać – należy

w pierwszej kolejności brać pod uwagę te wartości.

W toku dokonywania oceny, czy występują ryzyka naruszenia praw lub wolności człowieka, administrator powinien brać pod uwagę wszelkie możliwe szkody, jak i krzywdy, które mogą wyniknąć z danego zdarzenia dla osób fizycznych (tak: S. Jandt [w:] DS.-GVO..., red. J. Kühling, B. Buchner, s. 617; Y. Reif [w:] DS.-GVO..., red. P. Gola, s. 496). Mogą one w szczególności polegać na utracie kontroli nad własnymi danymi osobowymi, negatywnych konsekwencjach wizerunkowych, możliwości zawierania przez inną osobę umów z wykorzystaniem danych osobowych innej osoby fizycznej, stratach finansowych czy wreszcie negatywnym odbiorze społecznym, który może być konsekwencją upublicznienia niektórych danych osobowych. Do zaistnienia ryzyka nie jest przy tym konieczne, by ostatecznie doszło do wystąpienia szkody lub krzywdy wynikających z danego naruszenia ochrony danych osobowych (tak: jw., s. 616).

Jak wynika natomiast z ustaleń poczynionych w niniejszej sprawie, skarżący nie rozpatrzył odnotowanego zdarzenia upublicznienia nagrań obrazujących przebieg egzaminów z punktu widzenia ryzyka naruszenia praw lub wolności człowieka, które niewątpliwie zaistniało. Doszło bowiem do "wycieku" danych studentów przystępujących do egzaminów, o czym administrator miał wiedzę i nie podjął stosownych czynności, określonych w przepisach art. 33 ust. 1 oraz art. 34 ust. 1 rozporządzenia 2016/679.

W konsekwencji należy stwierdzić, że skarżący nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w wykonaniu obowiązku z art. 33 ust. 1 rozporządzenia 2016/679 oraz nie zawiadomił bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu ochrony ich danych, zgodnie

z art. 34 ust. 1 ww. rozporządzenia 2016/679, co stanowi o naruszeniu przez skarżącego wspomnianych przepisów.

Zgodnie z art. 34 ust. 4 rozporządzenia 2016/679, jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy - biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko - może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków,

o których mowa w ust. 3. Z kolei z treści art. 58 ust. 2 lit. e) rozporządzenia 2016/679 wynika, że każdemu organowi nadzorczemu przysługuje uprawnienie naprawcze

w postaci nakazania administratorowi zawiadomienia osoby, której dane dotyczą,

o naruszeniu ochrony danych.

Ponadto zgodnie z art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych wart. 58 ust. 2 rozporządzenia 2016/679, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy.

Jak wynika z uzasadnienia zaskarżonej decyzji, Prezes UODO szczegółowo wyjaśnił powody nałożenia na skarżącego kary pieniężnej w oparciu o art. 83 ust. 4 lit. a) rozporządzenia 2016/679 w przyjętej wysokości.

Stosownie do treści art. 83 ust. 2 rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a) - h) oraz lit. j) rozporządzenia 2016/679.

Decydując o nałożeniu na skarżącego administracyjnej kary pieniężnej Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej kary pieniężnej, a mianowicie:

a) charakter i wagę naruszenia (art. 83 ust. 2 lit. a rozporządzenia 2016/679),

b) czas trwania naruszenia (art. 83 ust. 2 lit. a rozporządzenia 2016/679),

c) liczbę poszkodowanych osób, których dane dotyczą (art. 83 ust. 2 lit. a rozporządzenia 2016/679),

d) umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679),

e) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679),

f) kategorię danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679),

g) sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679),

Co istotne, ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił również działania podjęte przez skarżącego w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83

ust. 2 lit. c rozporządzenia 2016/679). Administrator przekazał osobom, których dane dotyczą, pewne informacje dotyczące naruszenia i umożliwił im komunikację dzięki przeznaczonym do tego kanałom komunikacji. Wskazał również osobom mogącym mieć nieuprawniony dostęp do ujawnionych nagrań na możliwe konsekwencje dyscyplinarne i karne ich bezprawnego użycia.

Z kolei bez wpływu na fakt zastosowania przez Prezesa UODO w niniejszej sprawie sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, organ uznał, wskazane w art. 83 ust. 2 rozporządzenia 2016/679, następujące okoliczności, a mianowicie:

a) stopień odpowiedzialności Administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679) ,

b) stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 dokonane przez Administratora (art. 83 ust. 2 lit. e rozporządzenia 2016/679),

c) przestrzeganie wcześniej zastosowanych w tej samej sprawie środków,

o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679),

d) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679),

e) osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679).

W ocenie Sądu zastosowana przez organ administracyjna kara pieniężna spełnia, w ustalonych okolicznościach rozpatrywanej sprawy, funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Należy podkreślić, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Administrator

w przyszłości będzie wywiązywał się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie zgłaszania naruszenia ochrony danych osobowych Prezesowi UODO oraz zawiadamiania o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie. Zastosowanie administracyjnej kary pieniężnej okazało się niezbędne, zważywszy także na to, że skarżący zignorował fakt, iż do naruszenia ochrony danych dochodzi zarówno wówczas, gdy do zdarzenia dojdzie wskutek świadomego działania, jak i wtedy, gdy doprowadzi do niego nieumyślność.

W związku z powyższym wskazać należy, że kara pieniężna w wysokości

25.000 złotych spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki,

o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonego naruszenia w kontekście podstawowego celu rozporządzenia 2016/679 - ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych. Jednocześnie wysokość administracyjnej kary pieniężnej nałożonej ww. decyzją na administratora będącego jednostką sektora finansów publicznych (uczelnią publiczną - wskazaną w art. 9 pkt 11 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych), mieści się w określonym w art. 102

ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781) limicie 100.000 złotych.

Mając powyższe na uwadze Sąd, działając na podstawie art. 151 ustawy

z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2019 r. poz. 2325 ze zm.) orzekł o oddaleniu skargi.

-----------------------

29