Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Radziszewska-Krupa (spr.), Sędzia WSA Danuta Kania, Sędzia WSA Tomasz Szmydt, po rozpoznaniu w trybie uproszczonym w dniu 21 stycznia 2022 r. sprawy ze skargi E. S.A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lutego 2021 r. nr [...] w przedmiocie naruszenia przepisów o ochronie danych osobowych oddala skargę

I. Stan sprawy przedstawia się następująco:

1. Prezes Urzędu Ochrony Danych Osobowych (zwany dalej "Prezesem UODO") decyzją z [...] lutego 2021r. nałożył na [...] S.A. z siedzibą w [...] (zwana dalej: "Skarżącą", "Spółką") administracyjną karę pieniężną w wysokości 136.437 zł, z uwagi na naruszenie art. 33 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - Dz.Urz.UE L 119 z 4 maja 2016r. s. 1, ze zm., zwane dalej: "RODO"), gdyż Spółka nie zgłosiła Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.

W podstawie prawnej decyzji powołano m.in. art. 104 § 1 ustawy z 14 czerwca 1960r. Kodeks postępowania administracyjnego (Dz.U. z 2020r., poz. 256 ze zm., zwany dalej "k.p.a."), art. 7 ust. 1, art. 60, art. 101 i art. 103 ustawy z 10 maja 2018r. o ochronie danych osobowych (Dz.U. z 2019r., poz. 1781, zwana dalej "u.o.d.o.") oraz art. 57 ust. 1 lit. a), art. 58 ust, 2 lit. i), art. 83 ust. 1-3 i art. 83 ust. 4 lit. a) w związku z art. 33 ust. 1 RODO.

Z uzasadnienia decyzji wynika, że osoba, która stała się nieuprawnionym adresatem danych osobowych (zwana dalej "Osobą trzecią") złożyła do Urzędu Ochrony Danych Osobowych (zwany dalej "UODO") 1 czerwca 2020r. informację o naruszeniu ochrony danych osobowych. Wiadomość wysłał współpracownik [...] Sp. z o.o. (zwana dalej "Kontrahentem"), która prowadziła na rzecz Skarżącej badania jakościowe. Współpracownik Kontrahenta przesłał Osobie trzeciej niezaszyfrowany plik, który zawierał dane osobowe 259 klientów Spółki, korzystając z konta e-mail, niebędącego kontem służbowym. Współpracownik załączył do wiadomości plik zawierający dane osobowe swoje, jak i innych osób (imiona, nazwiska, adresy e-mail, numery telefonów i informacje dotyczące daty rejestracji w Strefie Zakupów Skarżącej).

Prezes UODO w związku z uzyskaniem ww. informacji o naruszeniu poufności danych osobowych klientów Skarżącej prowadził od 16 czerwca do 19 października 2020r. postępowanie wyjaśniające w rozumieniu art. 58 ust. 1 lit. a) i e) RODO, w celu zbadania zgodności z przepisami o ochronie danych osobowych przetwarzania przez Skarżącą - administratora - danych osobowych.

Prezes UODO 16 czerwca 2020r., na podstawie art. 58 ust. 1 lit. a) i e) RODO, zwrócił się do Spółki o wyjaśnienie, czy w związku z wysyłką ww. wiadomości e-mail do nieuprawnionego odbiorcy dokonano analizy incydentu pod kątem ryzyka naruszenia praw i wolności osób fizycznych, niezbędną do oceny, czy doszło do naruszenia ochrony danych, skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie. W piśmie tym wskazano, w jaki sposób można dokonać zgłoszenia naruszenia i wezwano Spółkę do złożenia wyjaśnień w terminie 7 dni od dnia doręczenia pisma.

Spółka w odpowiedzi z 30 czerwca 2020r. potwierdziła, że naruszenie ochrony danych osobowych, polegające na udostępnieniu danych osobowych nieuprawnionemu odbiorcy miało miejsce oraz że dokonała oceny pod kątem ryzyka naruszenia praw i wolności osób fizycznych. Zdaniem Spółki nie doszło do naruszenia skutkującego koniecznością zawiadomienia Prezesa UODO, bo: a) dane nie miały szczególnego charakteru, b) administrator zna tożsamość osoby, której ujawniono dane i otrzymał od niej oświadczenie, że w sposób trwały zniszczyła załącznik, do którego otrzymania nie była upoważniona. Spółka zaznaczyła ponadto, że ze względu na szybko podjęte działania, wyeliminowała możliwość, aby zdarzenie wywołało negatywne skutki dla osób, których dane dotyczą.

Prezes UODO w piśmie z 14 lipca 2020r. poinformował Spółkę, że zgodnie z art. 33 ust. 1 RODO, w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Prezes UODO wskazał też, że przy ocenie, czy naruszenie skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych należy brać pod uwagę m.in. treść motywu 75 oraz 85 RODO. Nadto Grupa Robocza Art. 29 w Wytycznych przyjętych 3 października 2017r., dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (wydanych w związku z art. 29 i art. 30 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995r., zwane dalej "Wytycznymi") wskazała, że administrator, oceniając ryzyko dla osób fizycznych, będące wynikiem naruszenia powinien uwzględnić "konkretne okoliczności naruszenia, w tym wagę potencjalnego wpływu i prawdopodobieństwo jego wystąpienia" oraz zaleciła, by w trakcie oceny brać pod uwagę kryteria wskazane w Wytycznych. W Wytycznych wyjaśniono też, że "podczas oceny ryzyka, które może powstać w wyniku naruszenia, administrator powinien łącznie uwzględnić wagę potencjalnego wpływu na prawa i wolności osób fizycznych i prawdopodobieństwo jego wystąpienia. Oczywiście ryzyko wzrasta, gdy konsekwencje naruszenia są poważniejsze, jak również wtedy, gdy wzrasta prawdopodobieństwo ich wystąpienia. W przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna".

Prezes UODO wezwał Spółkę na podstawie art. 58 ust. 1 lit. a) i e) RODO do udzielenia informacji, czy w związku z ww. zdarzeniem dokonano ponownej analizy incydentu pod kątem ryzyka naruszenia praw i wolności osób fizycznych, niezbędnej do oceny, czy doszło do naruszenia ochrony danych, skutkującego koniecznością zawiadomienia Prezesa UODO i osób, których dotyczy naruszenie, a jeśli tak, to czy wyniki ponownie przeprowadzonej analizy są identyczne, jak rezultaty poprzednio przeprowadzonej przez administratora oceny ww. zdarzenia.

Prezes UODO wezwał też do przesłania wyjaśnień w terminie 7 dni od dnia doręczenia pisma.

Spółka w odpowiedzi z 24 lipca 2020r. wyjaśniła, że dokonała ponownej analizy ryzyka, która wykazała wynik analogiczny do wyniku analizy przeprowadzonej 1 czerwca 2020r. Uznała, że istnieje małe prawdopodobieństwo naruszenia praw lub wolności osób, których dane dotyczą. Załącznikiem nr 1 do tego pisma była "Analiza wtórnego naruszenia ochrony danych osobowych", obrazująca przebieg analizy ryzyka naruszenia praw lub wolności osób fizycznych. Spółka zwróciła uwagę na podjęte środki zaradcze, podkreślając, że działania zaradcze pozwoliły na wyeliminowanie możliwości, aby incydent wywołał negatywne skutki dla osób, których dane dotyczą. Istotne znaczenie dla wyniku obu analiz ma fakt, że incydent dotyczył danych podstawowych (imię, nazwisko, e-mail, numer telefonu, data rejestracji). Spółka jako administrator zna tożsamość Osoby trzeciej, której na drodze omyłki ujawniono dane osobowe i otrzymała od Niej 5.06.2020r. oświadczenie, że zniszczyła w sposób trwały załącznik z danymi osobowymi. Te środki zaradcze doprowadziły do wyeliminowania prawdopodobieństwa dalszego naruszenia ochrony danych w sprawie.

Prezes UODO w związku z tym, zwrócił się do Spółki pismem z 1 września 2020r., powołując m.in. art. 33 ust. 1 zd. 1 RODO, że administrator w przypadku naruszenia ochrony danych osobowych, bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu właściwemu, zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Ponadto, wbrew temu, co zawarto we wnioskach analizy (załącznik nr 1 ww. pisma Spółki), to, czy doszło do naruszenia praw lub wolności osób fizycznych jest indyferentne dla administratora, którego obowiązkiem jest zgłoszenie organowi nadzorczemu naruszenia ochrony danych osobowych "chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych".

Zdaniem Prezesa UODO złożenie oświadczenia przez osobę możliwą do zidentyfikowania o trwałym zniszczeniu załącznika z danymi osobowymi nie eliminuje ryzyka naruszenia ochrony danych osobowych, gdy Spółka nie uzyskała informacji dotyczących ewentualnego dalszego udostępniania danych przez nieupoważnionego odbiorcę. Spółka powinna wziąć pod uwagę, że do naruszenia ochrony danych doszło 1 czerwca 2020r., a ww. oświadczenie Osoby trzeciej złożono 5 czerwca 2020r. i jeśli miało ono niwelować ryzyko naruszenia ochrony danych osobowych, to przez 5 dni ryzyko to istniało.

Prezes UODO zwrócił się też do Spółki, na podstawie art. 58 ust. 1 lit, a) i e) RODO, o złożenie w ciągu 7 dni od dnia doręczenia tego pisma wyjaśnień dotyczących m.in. tego, jakie ewentualnie "Działania zaradcze" wspomniane w piśmie z 24 lipca 2020r., niestanowiące uzyskania oświadczenia od nieuprawnionego odbiorcy wiadomości e-mail o trwałym zniszczeniu załącznika, pozwoliły na wyeliminowanie możliwości, aby incydent wywołał negatywne skutki dla osób, których dane dotyczą.

Spółka 14 września 2020r. udzieliła wyjaśnień, z których wynika m.in., że o naruszeniu ochrony danych dowiedziała się 1 czerwca 2020r. i tego samego dnia Kontrahent Spółki skontaktował się z nieuprawnionym odbiorcą danych. Spółka natychmiastowo podjęła działania zaradcze, które od pierwszego dnia niwelowało ryzyko naruszenia ochrony danych. Osoba trzecia w rozmowie telefonicznej 1 czerwca 2020r. z pracownikiem Spółki oświadczyła, że dokona trwałego usunięcia danych oraz zobowiązała się do trwałego usunięcia danych, a jedynie potwierdzenie tego działania miało miejsce 5 czerwca 2020r. Spółka od pierwszego dnia od powzięcia informacji o naruszaniu ochrony danych podjęła działania zaradcze, aby ryzyko naruszenia praw lub wolności osób fizycznych zostało zniwelowane. Spółka przeprowadziła też analizę w zakresie identyfikacji przyczyn incydentu ochrony danych i dokonała aktualizacji dokumentacji dotyczącej: a) wyboru dostawców (podmiotów przetwarzających) w ramach procedury przetargowej obowiązującej w Spółce (m.in. doprecyzowała, co wynikało z umowy, że dostawcy kontaktujący się z klientami są obowiązani korzystać z firmowej domeny poczty elektronicznej), b) zleciła dostawcy, aby ponownie przeprowadził szkolenia pracowników w zakresie prawidłowego adresowania i wysyłania korespondencji.

W ocenie Prezesa UODO Spółka nie wykazała więc dodatkowych środków zaradczych, niwelujących ryzyko naruszenia praw lub wolności osób, których dane dotyczą, związanych z ww. zdarzeniem. Skoro Spółka nie zgłosiła Prezesowi UODO naruszenia ochrony danych osobowych, 19 października 2020r. wszczęto postępowanie administracyjne.

Spółka w odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego, pismem z 30 października 2020r. poinformowała, że:

a) w wyniku naruszenia nie doszło do powstania uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak kontrola nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub innych szkód gospodarczych lub społecznych, o których mowa w motywie 85 Preambuły RODO. Spółka, mając na uwadze zasadę rozliczalności oraz w oparciu o analizę ryzyka, przeprowadzoną przez inspektora ochrony danych i zewnętrzną Kancelarię (specjalizującą się w przepisach o ochronie danych osobowych, do której zwróciła się o wsparcie), uznała, że jest mało prawdopodobne, aby naruszenie to mogło powodować ryzyko naruszenia praw lub wolności klientów, których dane osobowe znajdowały się w omyłkowo wysłanej bazie;

b) oprócz stałej współpracy z Kontrahentem, w celu wyjaśnienia okoliczności zdarzenia, w tym m.in. odebrania istotnych oświadczeń, Spółka zweryfikowała czy w ramach pracy nad bazą nie doszło ze strony Kontrahenta - podmiotu przetwarzającego, lub jego podwykonawców do innych naruszeń. W ramach tej weryfikacji Call Center Spółki kontaktował się z osobami, których dane posiadał Kontrahent, w celu ustalenia, z jakich adresów mailowych osoby wykonujące zlecenie kontaktowały się z klientami i jaka była jakość świadczonych usług. Spółka wyciągnęła także konsekwencje cywilnoprawne wobec Kontrahenta, a jako administrator danych, podjęła oprócz wszelkich koniecznych działań niezbędnych do wyjaśnienia sprawy, także działania dodatkowe, aby rzetelnie i dogłębnie wyjaśnić zdarzenie i zbadać, czy nie doszło do innych zdarzeń, które mogłyby skutkować naruszeniem praw i wolności osób fizycznych.

Spółka do ww. pisma załączyła drugie oświadczenie o usunięciu danych osobowych, wystawione przez Osobę trzecią, które zawiera potwierdzenie, że usunęła dane klientów Spółki i nie były one kopiowane, ani udostępnianie innym osobom przez Osobę trzecią. W związku z tym, także w ocenie inspektora ochrony danych Spółki w sprawie nie zaszła konieczność zgłoszenia naruszenia do Prezesa UODO.

Prezes UODO, w związku z tym, że ww. pisma podpisał inspektor ochrony danych, a nie przedstawiciele Spółki (zgodnie ze sposobem reprezentacji ujawnionym w Rejestrze Przedsiębiorców prowadzonym przez KRS) 22 grudnia 2020r., zwrócono się do Spółki o przekazanie UODO pełnomocnictwa udzielonego pracownikowi Spółki, udzielającemu odpowiedzi na korespondencję. W odpowiedzi, Spółka skierowała do UODO 31 grudnia 2020r. pismo z podpisami dwóch członków zarządu Spółki, uprzednio wysłane 30 października 2020r. i podpisane przez inspektora ochrony danych. Pismo z 31 grudnia 2020r. zawiera m.in. wyjaśnienie, że wszystkie pisma wysyłane do UODO i podpisywane przez Spółkę, są uprzednio konsultowane i akceptowane przez Administratora.

Spółka w odpowiedzi na zawiadomienie o zgromadzeniu materiału dowodowego z 21 stycznia 2021r. podtrzymała dotychczasowe stanowisko, wyrażane od czerwca 2020r., że analizę incydentu przeprowadzono w oparciu o wytyczne European Union Agency for Network and Information Security (ENISA), 2013, Recommendations for a methodology of the assessment of severity of personal data breaches (zwane dalej "ENISA") i uzyskano wynik ryzyka na poziomie WN < 2, czyli: "Osoby nie zostaną dotknięte naruszeniem lub wywoła ono drobne niedogodności". Spółka zwróciła też uwagę na "kluczowe elementy składowe analizy ryzyka, wskazując, na (cyt.):

a) rodzaj i poziom wrażliwości danych - nieuprawnione udostępnienie dotyczyło danych podstawowych: imienia, nazwiska, adresu email, numeru telefonu, informacji o dacie rejestracji. Dane nie dotyczyły zachowań (wchodzących w zakres danych tzw. behawioralnych), a wówczas można dokonywać profilowania (art. 4 pkt 4 RODO). Spółka wskazała, że w ramach swoich działań nie prowadzi profilowania, a sama informacja o dacie rejestracji w Strefie Zakupów nie jest wystarczającą przesłanką do uznania, że mamy do czynienia z informacją o preferencjach. Klienci rejestrują się w Strefie Zakupów, otrzymują kupony rabatowe, więc nie można mówić o szczególnej informacji dotyczącej preferencji. Inaczej byłoby w przypadku wskazania np. zakresu dokonywanych zakupów, czego nie obejmowała baza.

b) możliwość identyfikacji – Spółka, opierając się na ENISA, zauważyła, że w stanie faktycznym zachodziła ograniczona możliwość identyfikacji - krąg odbiorców jest niewielki, a w zakresie danych nie wchodził PESEL (dana ewidencyjna). Osoba trzecia - nieuprawniony odbiorca - niezwłocznie usunął dane, do których uzyskał dostęp na skutek omyłki Kontrahenta i złożył oświadczenie o zachowaniu poufności.

Spółka opisując środki zaradcze w piśmie z 21 stycznia 2021r., oświadczyła m.in., że wypowiedziała umowę Kontrahentowi, gdyż nie spełnił standardów bezpieczeństwa, do których spełnienia był zobowiązany. Spółka wprowadziła też zaostrzone wymagania dotyczące minimalnych środków technicznych i organizacyjnych, które spełniać ma wykonawca, mimo że dotychczasowe były zgodne z obowiązującymi normami prawnymi). Spółka wniosła też o odstąpienie od wymierzenia kary lub jej nadzwyczajne złagodzenie, ze względu na podjęcie przez nią niezbędnych działań celem ograniczenia, a wręcz wyeliminowania skutków tego naruszenia.

Prezes UODO, po zapoznaniu się z całością materiału dowodowego sprawy i po odwołaniu się do art. 4 pkt 12 i art. 33 ust. 1 i 3 RODO, wskazał, że z ww. przepisów wynika, że u administratora danych powstaje obowiązek zgłoszenia Prezesowi UODO wystąpienia naruszenia ochrony danych osobowych, jeśli z danym naruszeniem wiąże się ryzyko naruszenia praw lub wolności osób fizycznych - niezależnie od poziomu tego ryzyka. Z ustaleń dokonanych przez organ wynika, że do nieuprawnionego odbiorcy wysłano wiadomość e-mail z załącznikiem w postaci niezaszyfrowanego pliku, zawierającego dane osobowe adresata wiadomości i 259 innych osób (imiona, nazwiska, adresy e-mail, numery telefonów, a także informacje o dacie rejestracji). Doszło więc do naruszenia bezpieczeństwa prowadzącego do przypadkowego ujawnienia osobie nieuprawnionej do otrzymania danych 259 osób, a więc do naruszenia poufności danych tych osób, co przesądza, że wystąpiło naruszenie ochrony danych osobowych. Prezes UODO ocenił, że wbrew twierdzeniom Spółki, skutkowało to ryzykiem naruszenia praw lub wolności osób fizycznych. Grupa Robocza Art. 29 wskazuje w Wytycznych, że oceniając ryzyko dla osób fizycznych, będące wynikiem naruszenia, administrator powinien uwzględnić konkretne okoliczności naruszenia, w tym wagę potencjalnego wpływu i prawdopodobieństwo jego wystąpienia. W trakcie oceny należy brać pod uwagę: liczbę osób fizycznych, na które naruszenie wywiera wpływ. Naruszenie może dotyczyć tylko jednej osoby, kilku osób lub kilku tysięcy osób - albo dużo większej ich liczby. Zazwyczaj potencjalny wpływ naruszenia wzrasta wraz z liczbą osób, których ono dotyczy. Jednak w zależności od charakteru danych osobowych oraz kontekstu, w którym zostały one ujawnione, naruszenie może mieć poważne konsekwencje nawet dla jednej osoby. Również w tym wypadku najważniejsze jest przeanalizowanie prawdopodobieństwa wystąpienia konsekwencji dla osób, na które naruszenie ma wpływ, oraz tego, jak poważne będą te konsekwencje.

Prezes UODO wskazał, że naruszenie w sprawie dotyczy wielu osób, co w sposób istotny podnosi wagę naruszenia i prawdopodobieństwo zmaterializowania się zagrożeń związanych z naruszeniem. Nie bez znaczenia dla takiej oceny ryzyka jest możliwość łatwej - w oparciu o ujawnione dane - identyfikacji osób, których dane objęto naruszeniem. Fakt, że w wyniku naruszenia nie doszło do ujawnienia np. PESEL osób nim dotkniętych, nie oznacza, że osób tych nie można zidentyfikować. Występuje więc ryzyko naruszenia praw lub wolności osób objętych naruszeniem, co skutkuje powstaniem obowiązku zgłoszenia organowi nadzorczemu przez Spółkę (administratora danych) naruszenia ochrony danych osobowych, zgodnie z art. 33 ust. 1 RODO, w którym muszą się znaleźć informacje określone w art. 33 ust. 3 RODO. Możliwym ryzykiem związanym z ww. zdarzeniem jest w szczególności utrata przez osoby, których dane dotyczą, kontroli nad ich danymi. Dane te mogą np. posłużyć osobom, które wejdą w ich posiadanie, np. do niechcianych przez osoby, których dane dotyczą, kontaktów przez e-mail lub telefon – również takich, w czasie których podjęte zostaną próby uzyskania dodatkowych danych tych osób. Wreszcie przy wykorzystaniu tych danych mogą zostać założone konta w różnego rodzaju serwisach społecznościowych i portalach internetowych, co może mieć negatywny wpływ na postrzeganie tych osób w ich środowisku zawodowym czy rodzinnym, a nawet prowadzić do ich dyskryminacji. W przypadku ww. naruszenia ochrony danych osobowych istnieje ryzyko naruszenia praw lub wolności osób fizycznych. Z art. 33 ust. 1 RODO wynika, że możliwe konsekwencje zdarzenia nie muszą się zmaterializować. Samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu.

Zdaniem Prezesa UODO podnoszona przez Spółkę okoliczność, że w wyniku naruszenia nie doszło do powstania uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak kontrola nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenia dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub innych szkód gospodarczych lub społecznych, o których mowa w motywie 85 Preambuły RODO, nie ma znaczenia dla stwierdzenia istnienia po stronie Spółki obowiązku zgłoszenia Prezesowi UODO naruszenia ochrony danych osobowych, zgodnie z art. 33 ust 1 RODO.

Na ocenę ryzyka naruszenia nie ma wpływu zwrócenie się z prośbą do nieuprawnionego odbiorcy o trwałe usunięcie otrzymanej korespondencji, a nawet złożenie przez tę osobę oświadczenia o trwałym jej usunięciu. Nie ma bowiem pewności, że przed tymi czynnościami osoba ta nie wykonała, np. kserokopii lub też nie utrwaliła danych osobowych zawartych w treści dokumentu w inny sposób, np. poprzez ich spisanie. Samo dokonanie czynności wskazanych w oświadczeniach złożonych przez Osobę trzecią - nieuprawnionego odbiorcę - nie daje gwarancji, że intencje takiej osoby obecnie lub w przyszłości nie zmienią się, a ewentualne konsekwencje posłużenia się takimi kategoriami danych mogą być znaczące dla osób, których dane objęte zostały naruszeniem. To samo dotyczy oświadczenia o zniszczeniu otrzymanej korespondencji, gdyż Spółka nie ma możliwości jego weryfikacji. W Wytycznych Grupy Roboczej Art. 29 stwierdzono, że to, czy administrator wie, że dane osobowe znajdują się w rękach osób, których zamiary są nieznane lub które mogą mieć złe intencje, może mieć znaczenie dla poziomu potencjalnego ryzyka. Może nastąpić naruszenie dotyczące poufności danych polegające na omyłkowym ujawnieniu danych osobowych stronie trzeciej, zgodnie z definicją w art. 4 pkt 10, lub innemu odbiorcy. Może to nastąpić na przykład, gdy dane osobowe zostaną przypadkowo wysłane do niewłaściwego działu organizacji lub do organizacji dostawców, z której usług powszechnie się korzysta. Administrator może wezwać odbiorcę do zwrotu albo bezpiecznego zniszczenia otrzymanych danych. W obu przypadkach – z uwagi na fakt, że administrator pozostaje z tymi podmiotami w stałych stosunkach i może znać stosowane przez nie procedury, ich historię i inne istotne szczegóły ich dotyczące - odbiorcę można uznać za "zaufanego". Innymi słowy, administrator może ufać odbiorcy na tyle, aby móc racjonalnie oczekiwać, że strona ta nie odczyta omyłkowo wysłanych danych lub nie uzyska do nich wglądu oraz że wypełni polecenie ich odesłania.

Zdaniem Prezesa UODO w sprawie nie ma jednak podstaw by nieuprawnionego odbiorcę uznać i traktować jako "odbiorcę zaufanego", co przesądza o istnieniu ryzyka naruszenia praw lub wolności dla osób objętych naruszeniem, choć ujawnienie danych nie było związane z wysokim ryzykiem naruszenia praw i wolności osób fizycznych. Spółka powinna więc zgłosić Prezesowi UODO ww. naruszenie.

Podjęcie przez Spółkę działań mających na celu zminimalizowanie ryzyka ponownego wystąpienia naruszenia, wykazanych w korespondencji z organem nadzorczym, a w szczególności w odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego oraz w piśmie z 21 stycznia 2021r. nie eliminowało obowiązku zgłoszenia przez Spółkę stwierdzenia naruszenia ochrony danych osobowych, zgodnie z art. 33 ust. 1 RODO. Charakter tych działań wskazuje bowiem, że mają one zapobiec wystąpieniu tego typu naruszeń w przyszłości; a nie wpływają na ocenę, że w związku z wystąpieniem ww. naruszenia istnieje ryzyko naruszenia praw i wolności. Grupa Robocza Art. 29 w Wytycznych wskazuje wyraźnie, że "w przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna".

Spółka, dopuszczając możliwość wykorzystania do komunikacji z Kontrahentem pocztę elektroniczną, powinna mieć świadomość ryzyk związanych np. z załączeniem do przesyłanej wiadomości niewłaściwego załącznika. Istnienie tych ryzyk, w sytuacji braku działań administratora danych, mających na celu ich minimalizację przez wdrożenie odpowiednich środków organizacyjnych i technicznych, jak np. szyfrowanie przesyłanych w ten sposób dokumentów, prowadzi wprost do powstania ryzyka naruszenia praw lub wolności osób fizycznych, których dane takim kanałem komunikacji są przesyłane.

W sytuacji, gdy na skutek naruszenia ochrony danych osobowych występuje ryzyko naruszenia praw lub wolności osób fizycznych, administrator zobowiązany jest wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy. Administrator powinien zrealizować ten obowiązek możliwie najszybciej. W motywie 85 preambuły RODO wyjaśniono przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Administrator powinien więc zgłosić, jeżeli jest to wykonalne organowi nadzorczemu bez zbędnej zwłoki, natychmiast po stwierdzeniu naruszenia ochrony danych osobowych, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki".

Skoro Spółka nie dokonała zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, w terminie określonym w art. 33 ust. 1 RODO, naruszyła ten przepis. Zaszły więc przesłanki uzasadniające nałożenie na Spółkę administracyjnej kary pieniężnej na mocy art. 83 ust. 4 lit. a) RODO, do 10 000 000 EUR, a w przypadku przedsiębiorstwa - do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Prezes UODO, decydując o nałożeniu kary pieniężnej (136.437zł) wziął pod uwagę okoliczności stanowiące o konieczności zastosowania sankcji i wpływające obciążająco na wymiar nałożonej kary pieniężnej:

a) liczba poszkodowanych osób, których dane dotyczą (art. 83 ust. 2 lit. a RODO) – 259 osób i wiąże się z ryzykiem naruszenia ich praw lub wolności.

b) długi czas trwania naruszenia (art. 83 ust. 2 lit. a) RODO) - Spółka od powzięcia informacji o naruszeniu ochrony danych osobowych - 1 czerwca 2020r. do wydania decyzji, nie wykonała obowiązku wynikającego z art. 33 RODO;

c) umyślny charakter naruszenia (art. 83 ust. 2 lit. b) RODO) - Spółka podjęła świadomą decyzję, by nie zawiadamiać Prezesa UODO o naruszeniu, choć powzięła informację o zdarzeniu od nieuprawnionego odbiorcy i z kierowanych do niej przez Prezesa UODO pism, wskazujących na możliwość istnienia w sprawie ryzyka naruszenia praw lub wolności osób, których dotyczyło naruszenie.

d) stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego, na mocy art. 25 i 32 (art. 83 ust. 2 lit. d) RODO) - naruszenie wiązało się z brakiem wdrożenia lub nieprawidłowym wdrożeniem przez Spółkę środków organizacyjnych i technicznych zapewniających bezpieczeństwo danych, np. szyfrowania plików zawierających dane osobowe, które są przesyłane w wiadomościach elektronicznych;

e) stopień współpracy z organem nadzorczym, w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) RODO) – uznano za niezadowalający w zakresie reakcji Spółki na pisma Prezesa UODO, wskazujące na możliwość istnienia ryzyka naruszenia praw lub wolności osób i brak prawidłowego zgłoszenia Prezesowi UODO naruszenia w trybie art. 33 ust. 1 RODO.

Prezes UODO, ustalając wysokość administracyjnej kary pieniężnej, uwzględnił też okoliczności łagodzące, mające wpływ na ostateczny wymiar kary: - działania Spółki w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c RODO) - Spółka zwróciła się do nieuprawnionego odbiorcy o trwałe usunięcie korespondencji, choć nie jest to równoznaczne z gwarancją faktycznego usunięcia przez Osobę trzecią danych osobowych i nie wyklucza ewentualnych negatywnych dla podmiotów danych konsekwencji ich wykorzystania.

Na zastosowaną przez Prezesa UODO sankcję nie miały wpływu inne, wskazane w art. 83 ust. 2 RODO okoliczności: - ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie jest wysokie (lit. a); - brak wcześniejszych naruszeń przepisów RODO (lit. e); - dane osobowe udostępnione osobie nieuprawnionej nie należały do szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO, jednakże ich zakres (imiona i nazwiska, numery telefonów, adresy e-mail oraz informacje o dacie rejestracji), wiąże się z ryzykiem naruszenia praw lub wolności osób fizycznych (lit. g); - sposób w jaki organ nadzorczy dowiedział się o naruszeniu ochrony danych osobowych stanowiących przedmiot sprawy - Prezes UODO nie został poinformowany, zgodnie z art. 33 RODO (lit. h); - przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 RODO (lit. i; f) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 RODO lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 RODO (lit. j); osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (lit. k).

W ocenie Prezesa UODO, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach sprawy funkcje, o których mowa w art. 83 ust. 1 RODO: jest w indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Spółka - profesjonalnie i na skalę masową przetwarzająca dane osobowe - w przyszłości będzie wywiązywała się z obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie zgłaszania naruszenia ochrony danych osobowych Prezesowi UODO oraz zawiadamiania o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie.

Z naruszeniem ochrony danych mamy do czynienia zarówno, gdy do zdarzenia dojdzie wskutek świadomego działania, jak i gdy doprowadzi do niego nieumyślność - omyłka. Ostatnie nie powoduje zwolnienia administratora z obowiązków określonych w art. 33 ust. 1 RODO, więc uzasadnione było zastosowanie administracyjnej kary pieniężnej, która spełni funkcję represyjną, bo stanowi odpowiedź na naruszenie przez Spółkę przepisów RODO. Będzie też spełniać funkcję prewencyjną, bo wskaże Spółce i innym administratorom danych na naganność lekceważenia obowiązków administratorów, związanych z naruszeniem ochrony danych osobowych, a mających na celu zapobieżenie jego negatywnym i często dotkliwym dla osób, których naruszenie dotyczy, skutkom, a także usunięcie tych skutków lub przynajmniej ograniczenie.

Stosownie do art. 103 u.o.d.o. równowartość kwot wyrażonych w euro, o których mowa w art. 83 RODO, oblicza się w złotych według średniego kursu euro ogłaszanego przez NBP w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku NBP nie ogłasza średniego kursu euro 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów NBP. Kara pieniężna w wysokości 136.437 zł stanowi równowartość 30.000 euro (średni kurs euro z 28 stycznia 2021r. - 4,5479 zł), spełnia w ustalonych okolicznościach sprawy przesłanki, o których mowa w art. 83 ust. 1 RODO, ze względu na powagę stwierdzonego naruszenia w kontekście podstawowego celu RODO - ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych.

2. Skarżąca w skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie z [...] marca 2021r. wniosła o uchylenie ww. decyzji, z uwagi na naruszenie:

a) regulacji RODO, w szczególności art. 33 ust. 1 - przez jego niewłaściwe zastosowanie i nieuznanie, że w przypadku, gdy jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych obowiązek dokonania zgłoszenia naruszenia nie znajduje zastosowania, jak również poprzez pominięcie, że incydent stanowiący przedmiot postępowania UODO z 19 października 2020r. nie będzie skutkował ryzykiem naruszenia praw lub wolności osób fizycznych;

b) regulacji RODO, w szczególności art. 24, art. 83 ust. 2 lit. a, b, c, d, f, g - przez ich niewłaściwe zastosowanie i nieuwzględnienie jako okoliczności uzasadniającej odstąpienie od nałożenia kary lub jej nadzwyczajnego złagodzenia krótkiego czasu naruszenia, znikomego lub nieistniejącego rozmiaru szkody poniesionej przez osoby, których ujawnienie danych dotyczy, nieumyślnego charakteru naruszenia, natychmiastowych działań podjętych w celu zminimalizowania szkody, niskiego stopnia odpowiedzialności za zaistnienie naruszenia, wysokiego stopnia współpracy z organem nadzorczym cechującego się stałym kontaktem telefonicznym i korespondencyjnym przedstawiciela Skarżącej z organem, niskiej kategorii danych osobowych, których dotyczyło naruszenie, zastosowania zatwierdzonych przez organy Unii Europejskiej kodeksów postępowania;

c) przepisów ustawy z 14 czerwca 1960r. Kodeks postępowania administracyjnego (Dz.U. z 2020r., poz. 256, ze zm., (zwana dalej: "k.p.a."), w szczególności art. 75 i 77;

d) art. 60 ustawy z dnia 23 kwietnia 1964r. Kodeks cywilny (Dz.U. z 2020r., poz. 1740, ze zm., zwany dalej: "k.c.") - przez pominięcie dowodu z dokumentu w postaci oświadczenia Osoby trzeciej, złożonego w formie elektronicznej, a także pisemnej, zawnioskowanego przez Skarżącą w pismach z 25 czerwca i 29 października 2020r., gdy było to niezbędne do wyjaśnienia istotnych wątpliwości, co skutkowało błędnym ustaleniem stanu faktycznego;

d) przepisów k.p.a., w szczególności art. 77 § 1, przez jego niezastosowanie i przez to niespełnienie obowiązku wyczerpującego zebrania i rozpatrzenia całego materiału dowodowego oraz niespójność w ocenie materiału dowodowego tego samego świadka, jak również swobodne pominięcie oświadczeń i zobowiązań tegoż świadka na podstawie informacji którego UODO wszczął postępowanie.

Spółka w uzasadnieniu skargi podkreśliła, że jej Kontrahent dowiedział się od Osoby trzeciej (F.P.) w tym samym dniu, co Prezes UODO (1 czerwca 2020r.) o podejrzeniu incydentu danych osobowych przetwarzanych przez Spółkę, który polegał na przekazaniu tych danych Osobie trzeciej przez Kontrahenta. Spółka otrzymała informacje o incydencie od Kontrahenta 2 czerwca 2020r., który wskazał, że pouczył Osobę trzecią o prawnych konsekwencjach ich wykorzystania. Kontrahent przekazał też informację, że Osoba trzecia zobowiązała się do przesłania tego samego dnia oświadczenia o niewykorzystaniu danych, ich usunięciu i nieprzekazaniu i nieprzekazywaniu w przyszłości. Kontrahent na polecenie Spółki 3 czerwca 2020r. skontaktował się ponownie z Osobą trzecią, uzyskując ponowne zapewnienie, że dane osobowe nie były powielane, wykorzystywane, przekazywane i zostały usunięte. Osoba trzecia zobowiązała się do niewykorzystania tychże danych w przyszłości, pod rygorem wszczęcia postępowania karnego i cywilnego. W tym samym dniu Kontrahent poinformował Spółkę o przeprowadzeniu rozmowy z Osobą trzecią, w której zobowiązała się m.in. do przekazania oświadczenia o zachowaniu poufności. W korespondencji mailowej z 5 czerwca 2020r. Osoba trzecia poinformowała Spółkę, że usunęła dane. Kolejne oświadczenie od osoby trzeciej Spółka uzyskała 18 września 2020r., w związku z rekomendacją UODO.

Zdaniem Spółki, podejmowane przez nią działania, o których Prezes UODO był informowany, stały kontakt z organem nadzorczym, odpowiadanie na pisma kierowane do Spółki, przekazywanie wszelkich informacji o incydencie, w tym żądanych przez organ (wysoki stopień współpracy), zastosowanie przez Spółkę wytycznych ENISA i przeprowadzona na ich podstawie ocena ryzyka incydentu bezpieczeństwa danych osobowych, jak również ocena wagi naruszenia i posiadanie wiedzy o Osobie trzeciej, która poinformowała o usunięciu danych osobowych stanowiących przedmiot ujawnienia, wskazują, że możliwe było zamknięcie incydentu przez Spółkę, po konsultacji z Inspektorem Danych Osobowych, jak również po telefonicznych rozmowach z przedstawicielem UODO, bez zgłoszenia w trybie art. 33 ust. 1 RODO. Spółka wskazała, że przeprowadziła też badania bazy klientów, na której pracował Kontrahent, w celu sprawdzenia czy nie doszło do dalszych incydentów.

Prezes UODO powinien więc odstąpić od wymierzenia kary finansowej, albo nadzwyczajnie ją złagodzić (art. 83 ust. 2 lit. g RODO), bo naruszenie było krótkotrwałe, a Spółka podjęła szereg działań wskazanych w zaskarżonej decyzji w celu zminimalizowania ewentualnej szkody (art. 83 ust. 2 lit. c RODO), a ponadto osoby, których dane ujawniono osobie trzeciej nie poniosły szkody w związku z incydentem (art. 83 ust. 2 lit. a RODO).

Spółka podkreśliła też, że nieuznanie przez Prezesa UODO istotnej wartości oświadczeń Osoby trzeciej, własnoręcznie podpisanych o zachowaniu poufności, pozbawia te oświadczenia charakteru dowodowego, co jest chybione, bo osoba ta ponosić może odpowiedzialność karną i wynikającą z art. 107 u.o.d.o., o czym została poinformowana. Organ nie ma podstaw by umniejszać wartość dowodową tych oświadczeń, skoro wszczął na podstawie wniosku tej osoby postępowanie. Dodatkowo niespójne jest stanowisko organu, gdy uznaje ujawnienie danych osobowych i na tej podstawie podejmuje czynności wyjaśniające, a jednocześnie kwestionuje oświadczenia tej osoby, w którym wskazano na brak konsekwencji ujawnienia danych. Dowolność w ocenie tych dowodów stanowi przekroczenie przez UODO granicy swobodnej oceny dowodów i faktów, przejawiającym się w naruszeniu obowiązku wyprowadzenia z materiału dowodowego i stanu faktycznego, wniosków logicznych i spójnych. Doszło więc do naruszenia art. 77 § 1 k.p.a i art. 233 k.p.c., przez zastosowanie oczywiście błędnych kryteriów oceny dowodów oraz przekroczenia granicy swobodnej oceny dowodów (wyrok NSA z 8 marca 2005r. GSK 1448/04, LEX nr277375; z 7 lipca 2005r., FSK 1967/04, LEK nr 189852).

Spółka zwróciła też uwagę, że Kontrahent w umowie ze Spółką z 24 czerwca 2019r. oświadczył, że stosuje środki techniczne i organizacyjne niezbędne do zapewnienia właściwego poziomu ochrony danych osobowych (zał. 2 umowy, § 6 ust. 2, 8). Spółka nie może ponosić odpowiedzialności, że osoba zatrudniona u podwykonawcy Kontrahenta wysłała maila do nieuprawnionego odbiorcy i powinna być zwolniona z odpowiedzialności, zgodnie z art. 83 ust. 2 RODO.

Skarżąca wskazała też na niespójność w informowaniu podmiotów o wymaganych przez UODO działaniach i wskazała, że ENISA zamieszczony na stronie UODO stoi w sprzeczności z interpretacjami zawartymi w zaskarżonej decyzji, co narusza art. 77 § 1 k.p.a. Obowiązkiem krajowych organów nadzorczych jest kompleksowa, spójna ocena stanu faktycznego zgodna z założeniami RODO, czyli zapewnieniem ochrony danych osobowych polegającym na ich rzeczywistej ochronie w wypadku ich zagrożenia i podejmowaniu przez organ działań wskazanych w RODO w tym działań zaradczych. Działania te nie mogą jednak polegać wyłącznie na karaniu podmiotów bez uwzględnienia stanu faktycznego w tym podjętych przez te podmioty działań, w tym działań zgodnych z rekomendacjami samego organu, jak również bez uwzględnienia szerszego kontekstu konsekwencji dla ukaranego podmiotu, jakie są lub mogą być związane z decyzją będącą przedmiotem skargi.

Skarżąca pokreśliła, że mając na uwadze rodzaj prowadzonej przez Nią działalności o strategicznym znaczeniu dla funkcjonowania Państwa, UODO winien dokonać szczegółowej analizy przepisów stanowiących podstawę decyzji i stanu faktycznego, opierając ją również na gruncie samych założeń organów wspólnotowych przy opracowywaniu i wdrażaniu RODO. Brak orzecznictwa w zakresie właściwej interpretacji przepisów RODO, konieczność dokonywania wykładni stosunkowo nowych regulacji winien skutkować dalece posuniętą ostrożnością w stosowaniu środków w postaci kar, szczególnie w kontekście możliwego zaistnienia szerszych i dotkliwszych niż sama kara strat wizerunkowych ukaranego, a co za tym idzie wyceny samego przedsiębiorstwa i zaufania inwestorów do podmiotu notowanego na rynku publicznym.

Spółka wskazała, że zaskarżona decyzja rodzi daleko idące konsekwencje dla zastosowania art. 33 ust. 1 RODO, gdyż jej następstwem będzie wzrost wolumenu zgłoszeń do UODO, nawet jednostkowych naruszeń, co nie jest zgodne z intencją ustawodawcy wyrażoną w przepisie stanowiącym podstawę decyzji.

3. Prezes UODO w odpowiedzi na skargę wniósł o jej oddalenie, podtrzymując dotychczasowe stanowisko w sprawie, prezentowane w uzasadnieniu zaskarżonej decyzji. Za oczywistą omyłkę Skarżącej uznał wskazanie daty wydania decyzji - [...] lutego 2020r. (s. 1, 6 i 11 skargi), zamiast [...] lutego 2021r.

4. Spółka w piśmie procesowym z 25 czerwca 2021r. podtrzymała stanowisko wyrażone w skardze, podkreślając, że organ w zaskarżonej decyzji nie dokonał właściwej kwalifikacji stanu faktycznego i nie wskazał właściwej metodologii postępowania, co do ww. incydentu, a jedynie swobodnie i według własnego uznania ocenia działania Spółki, bez podania, jakie dodatkowe czynności należało podjąć w sprawie. Spółka podczas analizy ryzyka współpracowała ze specjalistami, których ceni organ, więc niezrozumiałe są odmienne oceny dokonane przez organ w zaskarżonej decyzji. Spółka wskazała, że jej pierwsze pismo do UODO spełniało przesłanki z art. 33 ust. 3 RODO, a ponadto podjęła wszelkie obowiązki ciążące na administratorze, zgodnie z art. 24 ust. 1 RODO, więc zasadne było jej twierdzenie, że nie powinna ponosić odpowiedzialności w rozumieniu art. 83 ust. 2 RODO.

5.Prezes UODO w piśmie procesowym z 6 września 2021r. podtrzymał stanowisko prezentowane w zaskarżonej decyzji i w odpowiedzi na skargę. Nie podzielił argumentacji Skarżącej zawartej w ww. piśmie procesowym i wskazał, że przed wszczęciem postępowania administracyjnego, w korespondencji przesyłanej Spółce wielokrotnie wskazywał na sedno sprawy - naruszenie art. 33 ust. 1 RODO, polegające na niezgłoszeniu Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.

II. Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

1. Skarga jest niezasadna.

2. Sąd na wstępie wyjaśnia, że sprawę rozpoznano w trybie uproszczonym, z uwagi na art. 119 pkt 2 i art. 120 ustawy z 30 sierpnia 2002r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2019r. poz. 2325 ze zm., zwana dalej: "P.p.s.a."), gdyż Prezes UODO w piśmie z 5 lipca 2021r., a Skarżąca Spółka w piśmie z 12 lipca 2021r. zgłosili wniosek o rozpoznanie sprawy w trybie uproszczonym.

Sąd stwierdza ponadto, że zgodnie z art. 1 § 1 i 2 ustawy z 25 lipca 2002r. - Prawo o ustroju sądów administracyjnych (Dz.U. z 2019r., poz. 2167 ze zm.) kontrola sądowa zaskarżonych decyzji, postanowień bądź innych aktów, wymienionych w art. 3 § 2 P.p.s.a., sprawowana jest przez Sądy administracyjne w oparciu o kryterium zgodności z prawem. W związku z tym, aby wyeliminować z obrotu prawnego akt wydany przez organ administracji publicznej (np. decyzję) konieczne jest stwierdzenie, że doszło w niej do naruszenia bądź przepisu prawa materialnego w stopniu mającym wpływ na wynik sprawy, bądź przepisu postępowania w stopniu mogącym mieć istotny wpływ na rozstrzygnięcie, albo też przepisu prawa dającego podstawę do wznowienia postępowania, lub ewentualnie ustalenie, że decyzja lub postanowienie organu dotknięte jest wadą nieważności (art. 145 § 1 pkt 1 lit. a)-c), pkt 2 P.p.s.a.). Sąd, stosownie do art. 151 P.p.s.a., w razie nieuwzględnienia skargi w całości albo w części, oddala skargę odpowiednio w całości albo w części.

Sąd wyjaśnia również, że stosownie do art. 134 § 1 P.p.s.a. Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną, z zastrzeżeniem art. 57a. Ostatni z ww. przepisów nie miał jednak zastosowania w sprawie, gdyż organ administracyjny wydał decyzję administracyjną, którą zaskarżyła Skarżąca, a nie interpretację indywidualną, o której mowa w art. 57a P.p.s.a.

3. W ocenie Sądu, analizowana pod tym kątem skarga nie zasługuje na uwzględnienie, albowiem zaskarżona decyzja odpowiadała prawu.

Sąd w pierwszej kolejności wskazuje, że w okolicznościach faktycznych sprawy, które wynikają z akt administracyjnych sprawy, niezasadne są zarzuty procesowe skargi, opierające się na naruszeniu przepisów k.p.a., które były i mogły być stosowane w sprawie. Zdaniem Sądu Prezes UODO zarówno zebrał, jak i rozważył całokształt materiału dowodowego sprawy, uwzględniając zasadę prawdy obiektywnej wyrażoną w art. 7 i art. 77 § 1 k.p.a. Prezes UODO, ustalając stan faktyczny sprawy opierał się na obszernym materiale dowodowym, w tym na wyjaśnieniach złożonych przez Spółkę w trakcie postępowania administracyjnego, biorąc pod uwagę podnoszone przez Skarżącą okoliczności i oceniając je z punktu widzenia obowiązujących przepisów, a w szczególności art. 33 ust. 1 RODO, o którym pouczał Skarżącą przed wszczęciem postępowania administracyjnego, wyjaśniając zasady jego stosowania, mając przy tym na względzie ww. Wytyczne Grupy Roboczej Art. 29, przyjęte 3 października 2017r., a dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z RODO.

Zdaniem Sądu również uzasadnienie zaskarżonej decyzji skonstruowano w zgodzie z art. 107 § 1 i 3 k.p.a. Wprawdzie Skarżąca nie została przekonana o słuszności twierdzeń organu odnoszących się do potrzeby zastosowania w sprawie art. 33 RODO, tym niemniej zdaniem Sądu, w okolicznościach faktycznych sprawy nie naruszono art. 11 k.p.a. Skarżącej wyjaśniono bowiem, z jakich powodów przyjęto, że należało w sprawie zastosować przepis art. 33 ust. 1 i 3 RODO, powołując się na konkretne dowody znajdujące się w aktach sprawy. Prezes UODO w zaskarżonej decyzji wyjaśnił też w pełni dlaczego nałożył na Spółkę karę pieniężnej, o której mowa w art. 83 RODO, w wysokości określonej w decyzji. Materiał dowodowy, wbrew twierdzeniom zawartym w skardze, również oceniono, mając na względzie zasadę swobodnej oceny dowodów, o której mowa w art. 80 k.p.a., biorąc pod uwagę wszystkie dowody, które należało uwzględnić przy zastosowaniu przepisów prawa materialnego, stanowiących podstawę zaskarżonej decyzji. Prezes UODO w zaskarżonej decyzji wskazał, na jakich dowodach się oparł i dlaczego na ich podstawie wyciągnął wnioski, a którym z nich odmówił wiarygodności i z jakich powodów.

Prezes UODO dokonał ponadto prawidłowej wykładni art. 33 ust. 1 RODO. Jeżeli administratorzy nie wywiążą się z obowiązku zgłoszenia naruszenia ochrony danych organowi nadzorczemu albo osobom, których dane dotyczą, albo zarówno organowi nadzorczemu, jak i osobom, których dane dotyczą, pomimo spełnienia wymogów ustanowionych w art. 33 lub 34, organ nadzorczy może skorzystać z możliwości, która obejmowałaby wzięcie pod uwagę wszystkich środków naprawczych znajdujących się do jego dyspozycji, co wiązałoby się z możliwością zastosowania administracyjnej kary pieniężnej w połączeniu ze środkiem naprawczym przewidzianym w art. 58 ust. 2 RODO, albo bez takiego środka. Jeżeli zdecydowano się zastosować administracyjną karę pieniężną, wartość tej kary może opiewać na kwotę do 10 000 000 EUR lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa zgodnie z art. 83 ust. 4 lit. a) RODO.

W niektórych przypadkach niewywiązanie się z obowiązku zgłoszenia naruszenia może doprowadzić do ujawnienia braku istniejących środków bezpieczeństwa albo nieadekwatności istniejących środków bezpieczeństwa. Wówczas organ nadzorczy może nakładać karę za niewywiązanie się z obowiązku zgłoszenia naruszenia lub zawiadomienia o wystąpieniu naruszenia (art. 33 i 34), z jednej strony, oraz za brak (odpowiednich) środków bezpieczeństwa (art. 32), z drugiej strony, ponieważ obydwie te sytuacje traktuje się jako dwa odrębne naruszenia.

W sprawie z akt sprawy wynika, że podwykonawca Kontrahenta Skarżącej ujawnił osobie nieuprawnionej dane osobowe 259 osób w postaci: imion, nazwisk, adresów e-mail, numerów telefonów, a także informacji o dacie rejestracji. Prezes UODO na podstawie wyjaśnień Skarżącej ustalił także, że jakkolwiek ryzyko naruszenia praw lub wolności osób fizycznych w związku z opisanym w stanie faktycznym sprawy incydentem nie było wysokie i Spółka nie miała obowiązku zawiadomić tych osób o naruszeniu, stosownie do art. 34 RODO, bo nie doszło do ujawnienia danych dotyczących zachowań osób - ich preferencji, tym niemniej organ przyjął prawidłowo, że nie zwalniało to Spółki, na mocy ww. art. 33 ust. 1 RODO, z obowiązku zawiadomienia organu nadzoru o naruszeniu, tym bardziej, że sama potwierdziła naruszenie.

Wbrew ponadto twierdzeniom Skarżącej, Prezes UODO wydając zaskarżaną decyzję nie pominął wyjątku od zasady zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych, przewidzianego w art. 33 ust. 1 RODO, lecz przyjął, że wyjątek ten nie ma w sprawie zastosowania. Zgodnie z art. 33 ust. 1 zdanie pierwsze RODO w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu właściwemu, zgodnie z art. 55 RODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Spółka, twierdząc, że jest mało prawdopodobne, by ww. naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, powoływała się w wyjaśnieniach na różne argumenty. Prezes UODO ustosunkował się do tych twierdzeń w uzasadnieniu zaskarżanej decyzji, prawidłowo przyjmując, że podnoszona przez Spółkę okoliczność, że w wyniku ww. naruszenia nie doszło do powstania uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak kontrola nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenia dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub innych szkód gospodarczych lub społecznych, o których mowa w motywie 85 Preambuły RODO, nie ma znaczenia dla stwierdzenia istnienia po stronie Spółki obowiązku zgłoszenia Prezesowi UODO naruszenia ochrony danych osobowych, zgodnie z art. 33 ust 1 RODO.

Trafna i odpowiadająca treści art. 80 k.p.a. była ocena Prezesa UODO, że zwrócenie się przez Spółkę także za pośrednictwem Kontrahenta do Osoby trzeciej - nieuprawnionego odbiorcy – o trwałe usunięcie otrzymanej korespondencji, a nawet złożenie przez tę osobę oświadczenia o trwałym jej usunięciu również nie miało wpływu na ocenę ryzyka naruszenia danych osobowych. Racjonalna była bowiem ocena Prezesa UODO, że nie ma bowiem pewności, że przed tymi czynnościami osoba ta nie wykonała np. kserokopii lub też nie utrwaliła danych osobowych zawartych w treści dokumentu w inny sposób, np. poprzez ich spisanie. Samo dokonanie czynności wskazanych w oświadczeniach złożonych przez Osobę trzecią - nieuprawnionego odbiorcę - nie daje gwarancji, że intencje takiej osoby obecnie lub w przyszłości nie zmienią się, a ewentualne konsekwencje posłużenia się takimi kategoriami danych mogą być znaczące dla osób, których dane objęte zostały naruszeniem. W tym kontekście nie sposób za zasadne uznać zarzutów skargi, uznających, że oceny organu z tego zakresu są niespójne i nielogiczne. To samo dotyczy oświadczenia o zniszczeniu przez Osobę trzecią otrzymanej korespondencji, gdyż prawidłowo wskazuje Prezes UODO, że Spółka nie ma możliwości jego weryfikacji, choć Osobie trzeciej grożą sankcje karne i wynikające z u.o.d.o.

Sąd stwierdza, że nie dopatrzył się niekonsekwencji w działaniach Prezesa UODO, który podjął działania w związku ze zgłoszeniem dokonanym przez Osobę trzecią, a następnie ocenił na mocy swobodnej oceny dowodów oświadczenia tej osoby złożone po 1 czerwca 2020r.

Prezes UODO podejmował działania prawem przewidziane i prawidłowo zwrócił się do Skarżącej z żądaniem złożenia wyjaśnień. Miał też prawo rozpatrzeć przedłożone przez Spółkę, stosownie do art. 77 § 1 k.p.a. przedłożone dowody, w tym poczynioną przez Skarżącą analizę ryzyka wynikającego z zaistniałego incydentu bezpieczeństwa danych osobowych. To, że Spółka przyjmuje, że uwzględniła wytyczne ENISA, nie oznacza, że organ administracyjny nie może dokonać ich weryfikacji. Ww. metodologia jest jedną z wielu, które administrator może wykorzystać w celu oceny ryzyka naruszenia praw lub wolności osób fizycznych związanego z zaistniałym naruszeniem ochrony danych osobowych, a Prezes UODO nie narzuca jej stosowania (jedynie informuje o jej istnieniu), a następnie może ją zweryfikować z uwzględnieniem ogólnych zasad RODO. Celem tego rozporządzenia (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 Preambuły RODO). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów - również w sytuacji, gdy doszło do naruszenia ochrony danych osobowych - należy w pierwszej kolejności brać pod uwagę te wartości.

Prawidłowe było ponadto odwołanie się przez Prezesa UODO do Wytycznych Grupy Roboczej Art. 29, tym bardziej, że organ w postępowaniu wyjaśniającym w rozumieniu art. 58 ust. 1 lit. a i e RODO informował Spółkę o treści mających zastosowanie w sprawie wytycznych w związku ze stosowaniem art. 33 ust. 1 RODO.

Zgodnie z art. 57 ust. 1 lit. a) RODO organ nadzorczy monitoruje i egzekwuje stosowanie tego rozporządzenia, a więc w szczególności weryfikuje sposób realizacji przez administratorów danych obowiązków określonych w tym akcie prawnym. Obowiązkiem administratora wynikającym z art. 33 ust. 1 RODO jest dokonanie przez niego oceny ryzyka naruszenia praw lub wolności osób fizycznych wiążącego się ze stwierdzonym naruszeniem. Prezes UODO, uznając, że ocena dokonana przez Spółkę jest błędna, powinien dać temu wyraz w uzasadnieniu zaskarżonej decyzji.

Miało to miejsce w sprawie. Prezes UODO prawidłowo bowiem w okolicznościach faktycznych sprawy ocenił, że Osoba trzecia - nieuprawniony odbiorca – nie był w świetle ww. Wytycznych "odbiorcą zaufanym", lecz przypadkową osobą, której podwykonawca Kontrahenta Skarżącej ujawnił znaczną część danych osobowych klientów Spółki – 259 osób.

W świetle Wytycznych Grupy Roboczej Art. 29 za "odbiorcę zaufanego" można uznać osobę, z którą administrator pozostawał w stałych stosunkach i mógł znać stosowane przez nią procedury oraz historię tej osoby, czy inne istotne szczegóły tej osoby dotyczące. Z akt sprawy okoliczności te nie wynikały, jak również Skarżąca nie powoływała się na te okoliczności ani w prowadzonym przez Prezesa UODO postępowaniu wyjaśniającym w rozumieniu art. 58 ust. 1 lit. a) i e) RODO ani w postępowaniu administracyjnym poprzedzającym wydanie zaskarżonej decyzji. Dodatkowo, w świetle zarówno uzasadnienia skargi, jak i okoliczności ustalonych przez organ wynika, że Osoba trzecia była osobą, z którą Skarżąca nie utrzymywała żadnych kontaktów i w związku z ww. zdarzeniem udostępnienia danych osobowych kontaktowała się z Osobą trzecią przez swojego Kontrahenta. Tym samym możliwym było uznanie w zaskarżonej decyzji, że ta okoliczność wskazywała na istnienie ryzyka naruszenia praw lub wolności dla osób objętych naruszeniem, choć ujawnienie danych nie było związane z wysokim ryzykiem naruszenia praw i wolności osób fizycznych.

Trafne było w związku z tym przyjęcie przez Prezesa UODO, że Spółka już z tego powodu, powinna zgłosić Prezesowi UODO ww. naruszenie danych osobowych, stosownie do art. 33 ust. 1 RODO. Organ racjonalnie też przyjął, że samo dokonanie czynności wskazanych w oświadczeniach złożonych przez Osobę trzecią - nieuprawnionego odbiorcę - nie dawało gwarancji, że intencje takiej osoby w przyszłości nie zmienią się, a ewentualne konsekwencje posłużenia się takimi kategoriami danych mogą być znaczące dla osób, których dane objęte zostały naruszeniem. Rację miał również organ, że nawet, gdy Osoba trzecia złoży oświadczenie o trwałym usunięciu otrzymanej korespondencji, nie ma pewności, że przed tą czynnością nie wykonała, np. kserokopii lub też nie utrwaliła danych osobowych zawartych w treści dokumentu w inny sposób, np. poprzez ich spisanie. Prawidłowo też wskazywał Prezes UODO, że Spółka nie ma możliwości weryfikacji oświadczenia Osoby trzeciej o zniszczeniu otrzymanej omyłkowo korespondencji od pracownika podwykonawcy Kontrahenta.

Prezes UODO, wbrew argumentacji przedstawionej w skardze, miał w tym zakresie również uprawnienie do powołania się na Wytyczne Grupy Roboczej Art. 29, gdyż Spółka była o nich informowana w toku postępowania wyjaśniającego, zgodnie z art. 8 k.p.a., a ponadto regulacje te mają znaczenie przy interpretacji przepisów RODO, które stosowano w sprawie. Z Wytycznych tych wynika, co może mieć wpływ na ocenę ryzyka naruszenia danych osobowych. Jedną z okoliczności jest to czy administrator wie, że dane osobowe znajdują się w rękach osób, których zamiary są nieznane, lub które mogą mieć złe intencje, może mieć znaczenie dla poziomu potencjalnego ryzyka. W takim przypadku może nastąpić naruszenie dotyczące poufności danych, polegające na omyłkowym ujawnieniu danych osobowych stronie trzeciej, zgodnie z definicją w art. 4 pkt 10 RODO, lub innemu odbiorcy. Skoro administrator, nie może ufać odbiorcy – Osobie trzeciej, aby móc racjonalnie oczekiwać, że nie odczyta omyłkowo wysłanych danych lub nie uzyska do nich wglądu oraz że wypełni polecenie ich odesłania czy zniszczenia, powinien podjąć kroki, o których mowa w art. 33 ust. 1 RODO - zgłoszenia przez Spółkę stwierdzenia naruszenia ochrony danych osobowych.

Tym samym, wbrew stanowisku Skarżącej, z powodu powyższych okoliczności należało przyjąć, że w sprawie nie zaszła przesłanka do wyłączenia stosowania art. 33 ust. 1 RODO - ujawnienie danych nie było mało prawdopodobne, lecz skutkowało ryzykiem naruszenia praw i wolności osób fizycznych. Stanowisko Prezesa UODO z tego zakresu było racjonalne, oparte o materiał dowodowy znajdujący się w aktach sprawy i mieściło się w dyspozycji art. 80 k.p.a. w związku z art. 77 § 1 k.p.a. Organ, wbrew stanowisku prezentowanemu w skardze i w piśmie procesowym Spółki z 25 czerwca 2021r., nie odmówił mocy dowodowej oświadczeniom złożonym przez Osobę trzecią, lecz ocenił je z uwzględnieniem zasad logiki i przydatności w rozpoznawanej sprawie, w kontekście przesłanek z art. 33 ust. 1 RORO. Oceny organu w tym zakresie nie nosiły cech dowolności, lecz mieściły się w treści art. 80 k.p.a. Prezes UODO słusznie uznał, że samo dokonanie czynności wskazanych w oświadczeniach złożonych przez Osobę trzecią - nieuprawnionego odbiorcę - nie daje gwarancji, że intencje takiej osoby obecnie lub w przyszłości nie zmienią się, a ewentualne konsekwencje posłużenia się takimi kategoriami danych mogą być znaczące dla osób, których dane objęte zostały naruszeniem. Wbrew argumentacji skargi, okoliczność, że osoba dotknięta naruszeniem mogłaby się dowiedzieć o wykorzystaniu jej danych, nie wpływa na zmniejszenie ryzyka naruszenia praw lub wolności w omawianym przypadku. Rację miał bowiem Prezes UODO wskazując w uzasadnieniu zaskarżonej decyzji, że Spółka nie ma realnej możliwości weryfikacji, czy nieuprawniony odbiorca faktycznie dokonał czynności wskazanych w oświadczeniu (w tym, czy trwale usunął udostępnione mu omyłkowo dane osobowe). Dlatego nie jest istotne to, czy nieuprawniony odbiorca faktycznie wykorzystał dane osobowe, do których otrzymania nie był uprawniony. Istotny jest fakt, że doszło do sytuacji, w której osoba nieuprawniona miała możliwość wykorzystania danych, które zostały jej udostępnione w wyniku zaistniałego naruszenia ochrony danych osobowych, a więc do sytuacji, w której powstało ryzyko naruszenia praw lub wolności osób, których te dane dotyczą.

Zdaniem Sądu Prezes UODO prawidłowo ocenił, że skutkowało to ryzykiem naruszenia praw lub wolności osób fizycznych. Grupa Robocza Art. 29 wskazuje w Wytycznych, że oceniając ryzyko dla osób fizycznych, będące wynikiem naruszenia, administrator powinien uwzględnić konkretne okoliczności naruszenia, w tym wagę potencjalnego wpływu i prawdopodobieństwo jego wystąpienia. W trakcie oceny należy brać pod uwagę: liczbę osób fizycznych, na które naruszenie wywiera wpływ. Naruszenie może dotyczyć tylko jednej osoby, kilku osób lub kilku tysięcy osób - albo dużo większej ich liczby. Zazwyczaj potencjalny wpływ naruszenia wzrasta wraz z liczbą osób, których ono dotyczy. Jednak w zależności od charakteru danych osobowych oraz kontekstu, w którym zostały one ujawnione, naruszenie może mieć poważne konsekwencje nawet dla jednej osoby. Również w tym wypadku najważniejsze jest przeanalizowanie prawdopodobieństwa wystąpienia konsekwencji dla osób, na które naruszenie ma wpływ, oraz tego, jak poważne będą te konsekwencje.

Prezes UODO słusznie wskazał, że naruszenie w sprawie dotyczy wielu osób, co w sposób istotny podnosi wagę naruszenia i prawdopodobieństwo zmaterializowania się zagrożeń związanych z naruszeniem. Prawidłowe było też wskazanie przez organ, że nie bez znaczenia dla takiej oceny ryzyka jest możliwość łatwej - w oparciu o ujawnione dane - identyfikacji osób, których dane objęto naruszeniem. Fakt, że w wyniku naruszenia nie doszło do ujawnienia np. PESEL osób nim dotkniętych, nie oznacza, że osób tych nie można zidentyfikować. Występuje więc ryzyko naruszenia praw lub wolności osób objętych naruszeniem, co skutkuje powstaniem obowiązku zgłoszenia organowi nadzorczemu przez Spółkę (administratora danych) naruszenia ochrony danych osobowych, zgodnie z art. 33 ust. 1 RODO, w którym muszą się znaleźć informacje określone w art. 33 ust. 3 RODO. Możliwym ryzykiem związanym z ww. zdarzeniem jest w szczególności utrata przez osoby, których dane dotyczą, kontroli nad ich danymi. Dane te mogą np. posłużyć osobom, które wejdą w ich posiadanie, np. do niechcianych przez osoby, których dane dotyczą, kontaktów przez e-mail lub telefon – również takich, w czasie których podjęte zostaną próby uzyskania dodatkowych danych tych osób. Wreszcie przy wykorzystaniu tych danych mogą zostać założone konta w różnego rodzaju serwisach społecznościowych i portalach internetowych, co może mieć negatywny wpływ na postrzeganie tych osób w ich środowisku zawodowym czy rodzinnym, a nawet prowadzić do ich dyskryminacji. W przypadku ww. naruszenia ochrony danych osobowych istnieje ryzyko naruszenia praw lub wolności osób fizycznych. Skoro z art. 33 ust. 1 RODO wynika, że możliwe konsekwencje zdarzenia nie muszą się zmaterializować, to prawidłowo uznani w zaskarżonej decyzji, że wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu.

Zdaniem Sądu Prezes UODO trafnie ponadto przyjął w uzasadnieniu zaskarżonej decyzji, że podnoszona przez Spółkę okoliczność, że w wyniku naruszenia nie doszło do powstania uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak kontrola nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenia dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub innych szkód gospodarczych lub społecznych, o których mowa w motywie 85 Preambuły RODO, nie ma znaczenia przy stwierdzeniu istnienia po stronie Spółki obowiązku zgłoszenia Prezesowi UODO naruszenia ochrony danych osobowych, zgodnie z art. 33 ust 1 RODO.

Wbrew stanowisku skargi, organ w uzasadnieniu zaskarżonej decyzji nie pominął ani analizy ryzyka dokonanej przez Skarżącą z uwzględnieniem ENISA, ani złożenia ww. oświadczeń przez nieuprawnionego odbiorcę, lecz zweryfikował je i na tej podstawie przyjął, że nie stanowiły one podstawy do zamknięcia incydentu. Organ racjonalnie ocenił też, że zgromadzony w sprawie materiał dowodowy nie świadczył o tym, że z zaistniałym naruszeniem wiązało się małe prawdopodobieństwo naruszenia praw lub wolności osób nim dotkniętych, co uzasadniałoby brak zgłoszenia organowi nadzorczemu jego zaistnienia. Prezes UODO w piśmie z 14 lipca 2020r., skierowanym do Skarżącej, mając na względzie art. 8 § 1 k.p.a., podjął próbę wyjaśnienia Skarżącej jakie mogą być konsekwencje zaistniałego naruszenia. Organ w piśmie tym ponownie pouczył Skarżącą (pierwsze pouczenie zawarto w skierowanym do Spółki piśmie z 16 czerwca 2020r.) o treści art. 33 ust. 1 RODO, a także przybliżył w odpowiednim zakresie treść Wytycznych Grupy Roboczej Art. 29, dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP250rev.01). Prezes UODO, udzielając tych wskazówek, zwrócił się do Spółki o udzielenie informacji, czy w związku z zaistniałym zdarzeniem dokonała ponownej analizy incydentu pod kątem ryzyka naruszenia praw lub wolności osób fizycznych (niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie) nie dlatego, że ta ponowna analiza jest wymagana, lecz dlatego, iż zakładał, że Spółka weźmie te wskazówki pod uwagę i dojdzie do innych niż pierwotne wniosków. Tak się jednak nie stało.

Sąd nie ma też podstaw do zakwestionowania stanowiska Prezesa UODO, że podjęte przez Skarżącą, wykazane w korespondencji z organem nadzorczym, a w szczególności w odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego oraz w piśmie z 21 stycznia 2021r., działania mające na celu zminimalizowanie ryzyka ponownego wystąpienia naruszenia danych osobowych, nie eliminowały obowiązku Spółki zgłoszenia, zgodnie z art. 33 ust. 1 RODO, stwierdzonego naruszenia ochrony danych osobowych. Charakter tych działań wskazywał, że miały one zapobiec wystąpieniu tego typu naruszeń w przyszłości, ale nie wpływają na ocenę, że w związku z wystąpieniem ww. naruszenia istnieje ryzyko naruszenia praw i wolności. Grupa Robocza Art. 29 w Wytycznych wskazuje wyraźnie, że "w przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet, jeśli taka ostrożność mogłaby się okazać nadmierna".

Sąd za niezrozumiałe uznaje twierdzenie skargi, że Spółka już w piśmie z 25 czerwca 2020r., to jest zgłoszeniu przekazanym UODO, po upływie 72 godzin dołączyła wyjaśnienie działań podjętych celem zapobieżenia zaistnieniu ewentualnej szkody oraz przyczyn opóźnienia lub też braku zgłoszenia incydentu wraz z wyczerpującym opisem wymaganym treścią art. 33 ust. 3 RODO. Z pisma wysłanego do UODO 30 czerwca 2020r. wynika bowiem, że "poziom szacowanego ryzyka nie kwalifikuje zdarzenia pod zgłoszenie do Prezesa Urzędu Ochrony Danych Osobowych". Spółka również później, konsekwentnie wskazywała, że w sprawie nie zaszły okoliczności uzasadniające zgłoszenie organowi nadzorczemu naruszenia danych osobowych.

Sąd stwierdza ponadto, że rację miał Prezes UODO, wskazując, że Spółka, dopuszczając możliwość wykorzystania do komunikacji z Kontrahentem pocztę elektroniczną, powinna mieć świadomość ryzyk związanych np. z załączeniem do przesyłanej wiadomości niewłaściwego załącznika. Istnienie tych ryzyk, w sytuacji braku działań administratora danych, mających na celu ich minimalizację przez wdrożenie odpowiednich środków organizacyjnych i technicznych, jak np. szyfrowanie przesyłanych w ten sposób dokumentów, prowadzi wprost do powstania ryzyka naruszenia praw lub wolności osób fizycznych, których dane takim kanałem komunikacji są przesyłane. Organ, wbrew argumentacji skargi, nie wskazywał natomiast w uzasadnieniu zaskarżonej decyzji, że Spółka ponosi odpowiedzialność za działania Kontrahenta. Wyjaśnił zaś prawidłowo, że Spółka powinna w okolicznościach faktycznych zgłosić organowi nadzorczemu naruszenia danych osobowych, stosownie do art. 33 ust. 1 RODO.

Prezes UODO trafnie też wskazał, że możliwe konsekwencje zdarzenia naruszenia danych osobowych nie muszą się zmaterializować – gdyż w art. 33 ust. 1 RODO mowa o tym, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu. Podnoszona przez Spółkę okoliczność, że w wyniku naruszenia nie doszło do powstania uszczerbku fizycznego lub szkód u osób fizycznych, nie ma znaczenia dla stwierdzenia istnienia po stronie Spółki obowiązku zgłoszenia Prezesowi UODO naruszenia ochrony danych osobowych, zgodnie z ww. przepisem.

Sąd, mając powyższe okoliczności na względzie uznał, że na uwzględnienie nie zasługiwał całokształt zarzutów procesowych skargi, w tym przede wszystkim naruszenia art. 75, art. 77 § 1 i art. 80 k.p.a., jak również zarzuty naruszenia przepisu prawa materialnego - art. 33 ust. 1 i 3 i art. 24 RODO.

Sąd zauważa ponadto, że skoro organ administracyjny w rozpoznawanej sprawie nie stosował ani przepisów k.c., ani przepisów k.p.c., a ponadto nie był uprawniony do ich stosowania, zarzuty z tego zakresu, ani związana z nimi argumentacja skargi nie mogły również być uznane za zasadne.

Zdaniem Sądu na uwzględnienie nie zasługiwały ponadto zarzuty skargi o naruszeniu przepisów RODO, a w szczególności, art. 83 ust. 2 lit. a)-g) RODO. Prezes UODO w uzasadnieniu zaskarżonej decyzji wskazał bowiem powody zastosowania wobec Skarżącej sankcji – administracyjnej kary pieniężnej. Organ nie pominął wyjaśnień składanych przez Skarżącą, lecz na podstawie całościowej analizy materiału dowodowego przyjął, że w zaistniałej sytuacji doszło do naruszenia przez Spółkę art. 33 ust. 1 RODO. Organ był więc uprawniony do wymierzenia Spółce administracyjnej kary pieniężnej, na podstawie art. 83 ust. 4 lit. a) w związku z art. 58 ust. 2 lit. i) RODO w związku z art. 101 i art. 103 u.o.d.o. i przy uwzględnieniu czynników indywidualizujących wymiar kary, o których mowa w art. 83 ust. 1-3 RODO.

Art. 83 ust. 2 RODO stanowi, że administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)-h) oraz j). Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na:

a) charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;

b) umyślny lub nieumyślny charakter naruszenia;

c) działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;

d) stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32;

e) wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;

f) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;

g) kategorie danych osobowych, których dotyczyło naruszenie;

h) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;

i) jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 - przestrzeganie tych środków;

j) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42; oraz

k) wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

Zdaniem Sądu, Prezes UODO w sposób należyty wziął pod rozwagę przy określaniu wysokości kary pieniężnej okoliczności w postaci podejmowanych przez administratora – Spółkę – działań mających na celu wyeliminowanie naruszeń. Tym niemniej Prezes UODO słusznie przyjął, że choć Spółka współpracowała z organem przed wszczęciem postępowania administracyjnego, nie dokonała najistotniejszej z punktu widzenia art. 33 ust. 1 RODO czynności - zgłoszenia organowi nadzoru naruszenia ochrony danych osobowych, choć była wielokrotnie pouczana o potrzebie tego rodzaju działania, z wyjaśnieniem interpretacji dokonanej przez Grupę Roboczą Art. 29 w ww. Wytycznych przyjętych 3 października 2017r., a dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z RODO. Wskazano w nich, o czym mowa wyżej, że administrator, oceniając ryzyko dla osób fizycznych, będące wynikiem naruszenia powinien uwzględnić "konkretne okoliczności naruszenia, w tym wagę potencjalnego wpływu i prawdopodobieństwo jego wystąpienia" oraz w trakcie oceny brać pod uwagę kryteria wskazane w Wytycznych. Wyjaśniono w nich, że administrator "podczas oceny ryzyka, które może powstać w wyniku naruszenia, powinien łącznie uwzględnić wagę potencjalnego wpływu na prawa i wolności osób fizycznych i prawdopodobieństwo jego wystąpienia. Oczywiście ryzyko wzrasta, gdy konsekwencje naruszenia są poważniejsze, jak również wtedy, gdy wzrasta prawdopodobieństwo ich wystąpienia. W przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna".

Sąd, mając na względzie art. 83 ust. 2 lit. a) RODO wskazuje, że Prezes UODO w sposób prawidłowy wyjaśnił Spółce kwestię charakteru naruszenia, jak również jego wagę, mając na względzie okoliczności wynikające z ustaleń organu, jak również te przedstawiane przez Spółkę w toku postępowania wyjaśniającego w rozumieniu art. 58 ust. 1 lit. a i e) RODO oraz w toku postępowania administracyjnego. Sąd w związku z tym uznaje, że organ nie naruszył ww. przepisu art. 83 ust. 2 lit. a) RODO. Zdaniem Sądu skoro Spółka nie zgłosiła Prezesowi UODO od 1 czerwca 2020r. do dnia wydania zaskarżonej decyzji – [...] luty 2021r. - naruszenia danych osobowych, stosownie do art. 33 ust. 1 RODO, należało przyjąć, że czas trwania naruszenia ww. przepisu był znaczny. Warto też wskazać, że organ przy wymiarze kary mógł też uwzględnić i to, że Spółka w postępowaniu wyjaśniającym, przed przesłaniem Prezesowi UODO 30 października 2020r., kopii oświadczenia podpisanego przez Osobę trzecią informowała UODO jedynie o oświadczeniu dotyczącym trwałego usunięcia przez tę osobę danych, ale nie udostępniła go organowi. Dodatkowo ww. oświadczenie przekazane 30 października 2020r., opatrzono datą 18 września 2020r., co oznacza, że złożono je po 4 miesiącach od stwierdzenia naruszenia.

Sąd, mając powyższe na względzie, jak również całokształt okoliczności opisanych w uzasadnieniu zaskarżonej decyzji, uznał, że Prezes UODO precyzyjnie określił okoliczności decydujące o konieczności nałożenia na Spółkę administracyjnej kary pieniężnej oraz czynniki mające wpływ na jej wysokość, stosownie do art. 83 ust. 2 lit. a) - k) RODO. Skoro w okolicznościach faktycznych sprawy Spółka naruszyła jeden z podstawowych obowiązków określony w art. 33 ust. 1 RODO, możliwe było zastosowanie art. 83 ust. 2 RODO.

Zdaniem Sądu Prezes UODO trafnie przyjął, że wartość nałożonej kary spełni funkcje przewidziane w art. 83 ust. 1 RODO: skuteczność w indywidualnym przypadku (Spółka profesjonalnie i na skalę masową przetwarza dane osobowe), proporcjonalność, adekwatność, prewencyjność i odstraszenie, gdyż karę określono na 136.437 zł, a maksymalna jej wysokość wynosi do 10.000.000 EURO i do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Organ, ustalając wysokość sankcji określonej w zaskarżonej decyzji, uwzględnił zarówno liczbę poszkodowanych osób, których dane osobowe zostały ujawnione osobie nieuprawnionej – 259 osób, jak również wiążące się z tym ryzyko naruszenia ich praw lub wolności (art. 83 ust. 2 lit. a RODO); długi czas trwania naruszenia (art. 83 ust. 2 lit. a) RODO), gdyż Spółka od powzięcia informacji o naruszeniu ochrony danych osobowych - 1 czerwca 2020r. - do wydania decyzji, nie wykonała obowiązku wynikającego z art. 33 RODO; umyślny charakter naruszenia (art. 83 ust. 2 lit. b) RODO), gdyż Spółka podjęła świadomą decyzję, by nie zawiadamiać Prezesa UODO o naruszeniu, choć organ w kierowanych do Spółki pismach w toku postępowania wyjaśniającego (w rozumieniu art. 58 ust. 1 lit. a) i e) RODO) informował o treści art. 33 ust. 1 RODO i ryzyku naruszenia praw lub wolności osób, których dotyczyło naruszenie w związku z przesłaniem danych do nieuprawnionego odbiorcy, jak również o ww. Wytycznych wypracowany przez właściwy organ; stopień odpowiedzialności administratora (Skarżącej) z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego, na mocy art. 25 i 32 (art. 83 ust. 2 lit. d) RODO) - naruszenie wiązało się z brakiem wdrożenia lub nieprawidłowym wdrożeniem przez Spółkę środków organizacyjnych i technicznych zapewniających bezpieczeństwo danych, np. szyfrowania plików zawierających dane osobowe, które są przesyłane w wiadomościach elektronicznych; stopień współpracy z organem nadzorczym, w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) RODO), gdyż Spółka w sposób niezadowalający zareagowała na pisma kierowane przez Prezesa UODO w toku postępowania wyjaśniającego w rozumieniu art. 58 ust. 1 lit. a) i e) RODO, wskazujące na możliwość istnienia ryzyka naruszenia praw lub wolności osób i nie zgłosiła Prezesowi UODO naruszenia w trybie art. 33 ust. 1 RODO.

Prezes UODO, ustalając wysokość administracyjnej kary pieniężnej, uwzględnił też okoliczności łagodzące, mające wpływ na ostateczny wymiar kary: - działania Spółki w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c RODO) - Spółka zwróciła się do nieuprawnionego odbiorcy o trwałe usunięcie korespondencji, choć nie jest to równoznaczne z gwarancją faktycznego usunięcia przez Osobę trzecią danych osobowych i nie wyklucza ewentualnych negatywnych dla podmiotów danych konsekwencji ich wykorzystania.

Tym samym określona w zaskarżonej decyzji administracyjna kara pieniężna była adekwatna do ustalonych okoliczności faktycznych sprawy, gdyż z jednej strony odzwierciedla w sposób właściwy czas trwania naruszenia, w tym liczbę osób, których dane dotyczą, umyślny charakter naruszenia, stopień odpowiedzialności Spółki, z uwzględnieniem środków technicznych i organizacyjnych wdrożonych na mocy art. 25 i 32 RODO, stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków, a zarazem uwzględniała podjęcie przez Spółkę działań mających na celu zminimalizowanie szkody poniesionej przez osoby, których dane dotyczą. Wysokość kary w ustalonym stanie faktycznym stanowi proporcjonalny do charakteru i zakresu naruszenia przejaw koniecznego działania ze strony organu nadzorczego, zmierzającego do przywrócenia stanu zgodnego z prawem, bez nakładania na adresata decyzji ciężarów, którym nie mógłby on podołać. Prezes UODO, określając wysokość nałożonej zaskarżoną decyzją administracyjnej kary pieniężnej miał na uwadze przewidziane we właściwych przepisach limity kar oraz fakt, że w sprawie kara ta była daleko od nich niższa. Brał także pod rozwagę okoliczności faktyczne sprawy oraz Wytyczne Grupy Roboczej ds. Ochrony Danych art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów RODO, przyjęte 3 października 2017r., które zawierają wprost wyrażony wymóg dokonania przez organ nadzorczy oceny każdego przypadku z osobna.

4. Sąd, mając powyższe okoliczności na względzie uznał, że zasadne było oddalenie skargi, na mocy art. 151 P.p.s.a.