{\rtf1\ansi\ansicpg1252
\deff0{\fonttbl{\f0\froman\fcharset0 Times New Roman;}{\f1\froman\fcharset0 Helvetica;}{\f2\froman\fcharset0 Arial;}{\f3\froman\fcharset0 unknown;}}
{\colortbl\red0\green0\blue0;\red255\green255\blue255;\red192\green192\blue192;}
{\stylesheet 
{\style\s1 \ql\fi0\li0\ri0\f2\fs32\b\cf0 heading 1;}
{\style\s2 \ql\fi0\li0\ri0\f2\fs28\b\i\cf0 heading 2;}
{\style\s3 \ql\fi0\li0\ri0\f2\fs26\b\cf0 heading 3;}
{\style\s0 \ql\fi0\li0\ri0\f2\fs24\cf0 Normal;}
}
{\*\listtable
}
{\*\listoverridetable
}
{\info}
\paperw11907\paperh16840\margl1440\margr1120\margt1720\margb1440
{\footer \pard\plain\s0\ql\fi0\li0\ri0\plain\f0 2026-04-13 01:54\par
}{\header \trowd
\trftsWidth3\trwWidth9347\trqc\trgaph10\trpaddl0\trpaddr0\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7630
\cellx7630\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1716
\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f0 Centralna Baza Orzecze\u324? S\u261?d\u243?w Administracyjnych
\cell\pard\plain\intbl\s0\qr\fi0\li0\ri0\plain\f0 Str \f3{\field{\*\fldinst PAGE}{\fldrslt  }}\f0  / \f3{\field{\*\fldinst NUMPAGES \\* Arabic}{\fldrslt 1 }}
\cell \trowd
\trftsWidth3\trwWidth9347\trqc\trgaph10\trpaddl0\trpaddr0\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7630
\cellx7630\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1716
\cellx9346\row
\pard}\pgwsxn11907\pghsxn16840
\marglsxn1440\margrsxn1120\margtsxn1720\margbsxn1440\pard\plain\s0\fi0\li0\ri0\plain\f1\fs24\b II SA/Wa 1353/21 - Wyrok\b0\par
\par\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Data orzeczenia\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 2022-01-21
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Data wp\u322?ywu\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 2021-04-09
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b S\u261?d\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Wojew\u243?dzki S\u261?d Administracyjny w Warszawie
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b S\u281?dziowie\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Danuta Kania
\par Ewa Radziszewska-Krupa /przewodnicz\u261?cy sprawozdawca/
\par Tomasz Szmydt
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Symbol z opisem\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 647  Sprawy zwi\u261?zane z ochron\u261? danych osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Has\u322?a tematyczne\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Ochrona danych osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Skar\u380?ony organ\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Generalny Inspektor Ochrony Danych Osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Tre\u347?\u263? wyniku\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Oddalono skarg\u281?
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Powo\u322?ane przepisy\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Dz.U. 2022 nr 0 poz 329;  art. 151; Ustawa z dnia 30 sierpnia 2002 r. Prawo o post\u281?powaniu przed s\u261?dami administracyjnymi  - t.j.
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Sentencja\b0
\par\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs22 Wojew\u243?dzki S\u261?d Administracyjny w Warszawie w sk\u322?adzie nast\u281?puj\u261?cym: Przewodnicz\u261?cy S\u281?dzia WSA Ewa Radziszewska-Krupa (spr.), S\u281?dzia WSA Danuta Kania, S\u281?dzia WSA Tomasz Szmydt, po rozpoznaniu w trybie uproszczonym w dniu 21 stycznia 2022 r. sprawy ze skargi E. S.A. z siedzib\u261? w [...] na decyzj\u281? Prezesa Urz\u281?du Ochrony Danych Osobowych z dnia [...] lutego 2021 r. nr [...] w przedmiocie naruszenia przepis\u243?w o ochronie danych osobowych oddala skarg\u281?
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Uzasadnienie\b0
\par\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs22 I. Stan sprawy przedstawia si\u281? nast\u281?puj\u261?co:
\par 
\par 1. Prezes Urz\u281?du Ochrony Danych Osobowych (zwany dalej "Prezesem UODO") decyzj\u261? z [...] lutego 2021r. na\u322?o\u380?y\u322? na [...] S.A. z siedzib\u261? w [...] (zwana dalej: "Skar\u380?\u261?c\u261?", "Sp\u243?\u322?k\u261?") administracyjn\u261? kar\u281? pieni\u281?\u380?n\u261? w wysoko\u347?ci 136.437 z\u322?, z uwagi na naruszenie art. 33 ust. 1 rozporz\u261?dzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016r. w sprawie ochrony os\u243?b fizycznych w zwi\u261?zku z przetwarzaniem danych osobowych i w sprawie swobodnego przep\u322?ywu takich danych oraz uchylenia dyrektywy 95/46/WE (og\u243?lne rozporz\u261?dzenie o ochronie danych - Dz.Urz.UE L 119 z 4 maja 2016r. s. 1, ze zm., zwane dalej: "RODO"), gdy\u380? Sp\u243?\u322?ka nie zg\u322?osi\u322?a Prezesowi UODO naruszenia ochrony danych osobowych bez zb\u281?dnej zw\u322?oki, nie p\u243?\u378?niej ni\u380? w terminie 72 godzin po stwierdzeniu naruszenia.
\par 
\par W podstawie prawnej decyzji powo\u322?ano m.in. art. 104 \u167? 1 ustawy z 14 czerwca 1960r. Kodeks post\u281?powania administracyjnego (Dz.U. z 2020r., poz. 256 ze zm., zwany dalej "k.p.a."), art. 7 ust. 1, art. 60, art. 101 i art. 103 ustawy z 10 maja 2018r. o ochronie danych osobowych (Dz.U. z 2019r., poz. 1781, zwana dalej "u.o.d.o.") oraz art. 57 ust. 1 lit. a), art. 58 ust, 2 lit. i), art. 83 ust. 1-3 i art. 83 ust. 4 lit. a) w zwi\u261?zku z art. 33 ust. 1 RODO.
\par 
\par Z uzasadnienia decyzji wynika, \u380?e osoba, kt\u243?ra sta\u322?a si\u281? nieuprawnionym adresatem danych osobowych (zwana dalej "Osob\u261? trzeci\u261?") z\u322?o\u380?y\u322?a do Urz\u281?du Ochrony Danych Osobowych (zwany dalej "UODO") 1 czerwca 2020r. informacj\u281? o naruszeniu ochrony danych osobowych. Wiadomo\u347?\u263? wys\u322?a\u322? wsp\u243?\u322?pracownik [...] Sp. z o.o. (zwana dalej "Kontrahentem"), kt\u243?ra prowadzi\u322?a na rzecz Skar\u380?\u261?cej badania jako\u347?ciowe. Wsp\u243?\u322?pracownik Kontrahenta przes\u322?a\u322? Osobie trzeciej niezaszyfrowany plik, kt\u243?ry zawiera\u322? dane osobowe 259 klient\u243?w Sp\u243?\u322?ki, korzystaj\u261?c z konta e-mail, nieb\u281?d\u261?cego kontem s\u322?u\u380?bowym. Wsp\u243?\u322?pracownik za\u322?\u261?czy\u322? do wiadomo\u347?ci plik zawieraj\u261?cy dane osobowe swoje, jak i innych os\u243?b (imiona, nazwiska, adresy e-mail, numery telefon\u243?w i informacje dotycz\u261?ce daty rejestracji w Strefie Zakup\u243?w Skar\u380?\u261?cej).
\par 
\par Prezes UODO w zwi\u261?zku z uzyskaniem ww. informacji o naruszeniu poufno\u347?ci danych osobowych klient\u243?w Skar\u380?\u261?cej prowadzi\u322? od 16 czerwca do 19 pa\u378?dziernika 2020r. post\u281?powanie wyja\u347?niaj\u261?ce w rozumieniu art. 58 ust. 1 lit. a) i e) RODO, w celu zbadania zgodno\u347?ci z przepisami o ochronie danych osobowych przetwarzania przez Skar\u380?\u261?c\u261? - administratora - danych osobowych.
\par 
\par Prezes UODO 16 czerwca 2020r., na podstawie art. 58 ust. 1 lit. a) i e) RODO, zwr\u243?ci\u322? si\u281? do Sp\u243?\u322?ki o wyja\u347?nienie, czy w zwi\u261?zku z wysy\u322?k\u261? ww. wiadomo\u347?ci e-mail do nieuprawnionego odbiorcy dokonano analizy incydentu pod k\u261?tem ryzyka naruszenia praw i wolno\u347?ci os\u243?b fizycznych, niezb\u281?dn\u261? do oceny, czy dosz\u322?o do naruszenia ochrony danych, skutkuj\u261?cego konieczno\u347?ci\u261? zawiadomienia Prezesa UODO oraz os\u243?b, kt\u243?rych dotyczy naruszenie. W pi\u347?mie tym wskazano, w jaki spos\u243?b mo\u380?na dokona\u263? zg\u322?oszenia naruszenia i wezwano Sp\u243?\u322?k\u281? do z\u322?o\u380?enia wyja\u347?nie\u324? w terminie 7 dni od dnia dor\u281?czenia pisma.
\par 
\par Sp\u243?\u322?ka w odpowiedzi z 30 czerwca 2020r. potwierdzi\u322?a, \u380?e naruszenie ochrony danych osobowych, polegaj\u261?ce na udost\u281?pnieniu danych osobowych nieuprawnionemu odbiorcy mia\u322?o miejsce oraz \u380?e dokona\u322?a oceny pod k\u261?tem ryzyka naruszenia praw i wolno\u347?ci os\u243?b fizycznych. Zdaniem Sp\u243?\u322?ki nie dosz\u322?o do naruszenia skutkuj\u261?cego konieczno\u347?ci\u261? zawiadomienia Prezesa UODO, bo: a) dane nie mia\u322?y szczeg\u243?lnego charakteru, b) administrator zna to\u380?samo\u347?\u263? osoby, kt\u243?rej ujawniono dane i otrzyma\u322? od niej o\u347?wiadczenie, \u380?e w spos\u243?b trwa\u322?y zniszczy\u322?a za\u322?\u261?cznik, do kt\u243?rego otrzymania nie by\u322?a upowa\u380?niona. Sp\u243?\u322?ka zaznaczy\u322?a ponadto, \u380?e ze wzgl\u281?du na szybko podj\u281?te dzia\u322?ania, wyeliminowa\u322?a mo\u380?liwo\u347?\u263?, aby zdarzenie wywo\u322?a\u322?o negatywne skutki dla os\u243?b, kt\u243?rych dane dotycz\u261?.
\par 
\par Prezes UODO w pi\u347?mie z 14 lipca 2020r. poinformowa\u322? Sp\u243?\u322?k\u281?, \u380?e zgodnie z art. 33 ust. 1 RODO, w przypadku naruszenia ochrony danych osobowych, administrator danych bez zb\u281?dnej zw\u322?oki - w miar\u281? mo\u380?liwo\u347?ci, nie p\u243?\u378?niej ni\u380? w terminie 72 godzin po stwierdzeniu naruszenia \u8211? zg\u322?asza je organowi nadzorczemu w\u322?a\u347?ciwemu zgodnie z art. 55, chyba \u380?e jest ma\u322?o prawdopodobne, by naruszenie to skutkowa\u322?o ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych. Do zg\u322?oszenia przekazanego organowi nadzorczemu po up\u322?ywie 72 godzin do\u322?\u261?cza si\u281? wyja\u347?nienie przyczyn op\u243?\u378?nienia. Prezes UODO wskaza\u322? te\u380?, \u380?e przy ocenie, czy naruszenie skutkuje ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych nale\u380?y bra\u263? pod uwag\u281? m.in. tre\u347?\u263? motywu 75 oraz 85 RODO. Nadto Grupa Robocza Art. 29 w Wytycznych przyj\u281?tych 3 pa\u378?dziernika 2017r., dotycz\u261?cych zg\u322?aszania narusze\u324? ochrony danych osobowych zgodnie z rozporz\u261?dzeniem 2016/679 (wydanych w zwi\u261?zku z art. 29 i art. 30 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 pa\u378?dziernika 1995r., zwane dalej "Wytycznymi") wskaza\u322?a, \u380?e administrator, oceniaj\u261?c ryzyko dla os\u243?b fizycznych, b\u281?d\u261?ce wynikiem naruszenia powinien uwzgl\u281?dni\u263? "konkretne okoliczno\u347?ci naruszenia, w tym wag\u281? potencjalnego wp\u322?ywu i prawdopodobie\u324?stwo jego wyst\u261?pienia" oraz zaleci\u322?a, by w trakcie oceny bra\u263? pod uwag\u281? kryteria wskazane w Wytycznych. W Wytycznych wyja\u347?niono te\u380?, \u380?e "podczas oceny ryzyka, kt\u243?re mo\u380?e powsta\u263? w wyniku naruszenia, administrator powinien \u322?\u261?cznie uwzgl\u281?dni\u263? wag\u281? potencjalnego wp\u322?ywu na prawa i wolno\u347?ci os\u243?b fizycznych i prawdopodobie\u324?stwo jego wyst\u261?pienia. Oczywi\u347?cie ryzyko wzrasta, gdy konsekwencje naruszenia s\u261? powa\u380?niejsze, jak r\u243?wnie\u380? wtedy, gdy wzrasta prawdopodobie\u324?stwo ich wyst\u261?pienia. W przypadku jakichkolwiek w\u261?tpliwo\u347?ci administrator powinien zg\u322?osi\u263? naruszenie, nawet je\u347?li taka ostro\u380?no\u347?\u263? mog\u322?aby si\u281? okaza\u263? nadmierna".
\par 
\par Prezes UODO wezwa\u322? Sp\u243?\u322?k\u281? na podstawie art. 58 ust. 1 lit. a) i e) RODO do udzielenia informacji, czy w zwi\u261?zku z ww. zdarzeniem dokonano ponownej analizy incydentu pod k\u261?tem ryzyka naruszenia praw i wolno\u347?ci os\u243?b fizycznych, niezb\u281?dnej do oceny, czy dosz\u322?o do naruszenia ochrony danych, skutkuj\u261?cego konieczno\u347?ci\u261? zawiadomienia Prezesa UODO i os\u243?b, kt\u243?rych dotyczy naruszenie, a je\u347?li tak, to czy wyniki ponownie przeprowadzonej analizy s\u261? identyczne, jak rezultaty poprzednio przeprowadzonej przez administratora oceny ww. zdarzenia.
\par 
\par Prezes UODO wezwa\u322? te\u380? do przes\u322?ania wyja\u347?nie\u324? w terminie 7 dni od dnia dor\u281?czenia pisma.
\par 
\par Sp\u243?\u322?ka w odpowiedzi z 24 lipca 2020r. wyja\u347?ni\u322?a, \u380?e dokona\u322?a ponownej analizy ryzyka, kt\u243?ra wykaza\u322?a wynik analogiczny do wyniku analizy przeprowadzonej 1 czerwca 2020r. Uzna\u322?a, \u380?e istnieje ma\u322?e prawdopodobie\u324?stwo naruszenia praw lub wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261?. Za\u322?\u261?cznikiem nr 1 do tego pisma by\u322?a "Analiza wt\u243?rnego naruszenia ochrony danych osobowych", obrazuj\u261?ca przebieg analizy ryzyka naruszenia praw lub wolno\u347?ci os\u243?b fizycznych. Sp\u243?\u322?ka zwr\u243?ci\u322?a uwag\u281? na podj\u281?te \u347?rodki zaradcze, podkre\u347?laj\u261?c, \u380?e dzia\u322?ania zaradcze pozwoli\u322?y na wyeliminowanie mo\u380?liwo\u347?ci, aby incydent wywo\u322?a\u322? negatywne skutki dla os\u243?b, kt\u243?rych dane dotycz\u261?. Istotne znaczenie dla wyniku obu analiz ma fakt, \u380?e incydent dotyczy\u322? danych podstawowych (imi\u281?, nazwisko, e-mail, numer telefonu, data rejestracji). Sp\u243?\u322?ka jako administrator zna to\u380?samo\u347?\u263? Osoby trzeciej, kt\u243?rej na drodze omy\u322?ki ujawniono dane osobowe i otrzyma\u322?a od Niej 5.06.2020r. o\u347?wiadczenie, \u380?e zniszczy\u322?a w spos\u243?b trwa\u322?y za\u322?\u261?cznik z danymi osobowymi. Te \u347?rodki zaradcze doprowadzi\u322?y do wyeliminowania prawdopodobie\u324?stwa dalszego naruszenia ochrony danych w sprawie.
\par 
\par Prezes UODO w zwi\u261?zku z tym, zwr\u243?ci\u322? si\u281? do Sp\u243?\u322?ki pismem z 1 wrze\u347?nia 2020r., powo\u322?uj\u261?c m.in. art. 33 ust. 1 zd. 1 RODO, \u380?e administrator w przypadku naruszenia ochrony danych osobowych, bez zb\u281?dnej zw\u322?oki - w miar\u281? mo\u380?liwo\u347?ci, nie p\u243?\u378?niej ni\u380? w terminie 72 godzin po stwierdzeniu naruszenia - zg\u322?asza je organowi nadzorczemu w\u322?a\u347?ciwemu, zgodnie z art. 55, chyba \u380?e jest ma\u322?o prawdopodobne, by naruszenie to skutkowa\u322?o ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych. Ponadto, wbrew temu, co zawarto we wnioskach analizy (za\u322?\u261?cznik nr 1 ww. pisma Sp\u243?\u322?ki), to, czy dosz\u322?o do naruszenia praw lub wolno\u347?ci os\u243?b fizycznych jest indyferentne dla administratora, kt\u243?rego obowi\u261?zkiem jest zg\u322?oszenie organowi nadzorczemu naruszenia ochrony danych osobowych "chyba \u380?e jest ma\u322?o prawdopodobne, by naruszenie to skutkowa\u322?o ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych".
\par 
\par Zdaniem Prezesa UODO z\u322?o\u380?enie o\u347?wiadczenia przez osob\u281? mo\u380?liw\u261? do zidentyfikowania o trwa\u322?ym zniszczeniu za\u322?\u261?cznika z danymi osobowymi nie eliminuje ryzyka naruszenia ochrony danych osobowych, gdy Sp\u243?\u322?ka nie uzyska\u322?a informacji dotycz\u261?cych ewentualnego dalszego udost\u281?pniania danych przez nieupowa\u380?nionego odbiorc\u281?. Sp\u243?\u322?ka powinna wzi\u261?\u263? pod uwag\u281?, \u380?e do naruszenia ochrony danych dosz\u322?o 1 czerwca 2020r., a ww. o\u347?wiadczenie Osoby trzeciej z\u322?o\u380?ono 5 czerwca 2020r. i je\u347?li mia\u322?o ono niwelowa\u263? ryzyko naruszenia ochrony danych osobowych, to przez 5 dni ryzyko to istnia\u322?o.
\par 
\par Prezes UODO zwr\u243?ci\u322? si\u281? te\u380? do Sp\u243?\u322?ki, na podstawie art. 58 ust. 1 lit, a) i e) RODO, o z\u322?o\u380?enie w ci\u261?gu 7 dni od dnia dor\u281?czenia tego pisma wyja\u347?nie\u324? dotycz\u261?cych m.in. tego, jakie ewentualnie "Dzia\u322?ania zaradcze" wspomniane w pi\u347?mie z 24 lipca 2020r., niestanowi\u261?ce uzyskania o\u347?wiadczenia od nieuprawnionego odbiorcy wiadomo\u347?ci e-mail o trwa\u322?ym zniszczeniu za\u322?\u261?cznika, pozwoli\u322?y na wyeliminowanie mo\u380?liwo\u347?ci, aby incydent wywo\u322?a\u322? negatywne skutki dla os\u243?b, kt\u243?rych dane dotycz\u261?.
\par 
\par Sp\u243?\u322?ka 14 wrze\u347?nia 2020r. udzieli\u322?a wyja\u347?nie\u324?, z kt\u243?rych wynika m.in., \u380?e o naruszeniu ochrony danych dowiedzia\u322?a si\u281? 1 czerwca 2020r. i tego samego dnia Kontrahent Sp\u243?\u322?ki skontaktowa\u322? si\u281? z nieuprawnionym odbiorc\u261? danych. Sp\u243?\u322?ka natychmiastowo podj\u281?\u322?a dzia\u322?ania zaradcze, kt\u243?re od pierwszego dnia niwelowa\u322?o ryzyko naruszenia ochrony danych. Osoba trzecia w rozmowie telefonicznej 1 czerwca 2020r. z pracownikiem Sp\u243?\u322?ki o\u347?wiadczy\u322?a, \u380?e dokona trwa\u322?ego usuni\u281?cia danych oraz zobowi\u261?za\u322?a si\u281? do trwa\u322?ego usuni\u281?cia danych, a jedynie potwierdzenie tego dzia\u322?ania mia\u322?o miejsce 5 czerwca 2020r. Sp\u243?\u322?ka od pierwszego dnia od powzi\u281?cia informacji o naruszaniu ochrony danych podj\u281?\u322?a dzia\u322?ania zaradcze, aby ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych zosta\u322?o zniwelowane. Sp\u243?\u322?ka przeprowadzi\u322?a te\u380? analiz\u281? w zakresie identyfikacji przyczyn incydentu ochrony danych i dokona\u322?a aktualizacji dokumentacji dotycz\u261?cej: a) wyboru dostawc\u243?w (podmiot\u243?w przetwarzaj\u261?cych) w ramach procedury przetargowej obowi\u261?zuj\u261?cej w Sp\u243?\u322?ce (m.in. doprecyzowa\u322?a, co wynika\u322?o z umowy, \u380?e dostawcy kontaktuj\u261?cy si\u281? z klientami s\u261? obowi\u261?zani korzysta\u263? z firmowej domeny poczty elektronicznej), b) zleci\u322?a dostawcy, aby ponownie przeprowadzi\u322? szkolenia pracownik\u243?w w zakresie prawid\u322?owego adresowania i wysy\u322?ania korespondencji.
\par 
\par W ocenie Prezesa UODO Sp\u243?\u322?ka nie wykaza\u322?a wi\u281?c dodatkowych \u347?rodk\u243?w zaradczych, niweluj\u261?cych ryzyko naruszenia praw lub wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261?, zwi\u261?zanych z ww. zdarzeniem. Skoro Sp\u243?\u322?ka nie zg\u322?osi\u322?a Prezesowi UODO naruszenia ochrony danych osobowych, 19 pa\u378?dziernika 2020r. wszcz\u281?to post\u281?powanie administracyjne.
\par 
\par Sp\u243?\u322?ka w odpowiedzi na zawiadomienie o wszcz\u281?ciu post\u281?powania administracyjnego, pismem z 30 pa\u378?dziernika 2020r. poinformowa\u322?a, \u380?e:
\par 
\par a) w wyniku naruszenia nie dosz\u322?o do powstania uszczerbku fizycznego, szk\u243?d maj\u261?tkowych lub niemaj\u261?tkowych u os\u243?b fizycznych, takich jak kontrola nad w\u322?asnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzie\u380? lub sfa\u322?szowanie to\u380?samo\u347?ci, strata finansowa, nieuprawnione odwr\u243?cenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufno\u347?ci danych osobowych chronionych tajemnic\u261? zawodow\u261? lub innych szk\u243?d gospodarczych lub spo\u322?ecznych, o kt\u243?rych mowa w motywie 85 Preambu\u322?y RODO. Sp\u243?\u322?ka, maj\u261?c na uwadze zasad\u281? rozliczalno\u347?ci oraz w oparciu o analiz\u281? ryzyka, przeprowadzon\u261? przez inspektora ochrony danych i zewn\u281?trzn\u261? Kancelari\u281? (specjalizuj\u261?c\u261? si\u281? w przepisach o ochronie danych osobowych, do kt\u243?rej zwr\u243?ci\u322?a si\u281? o wsparcie), uzna\u322?a, \u380?e jest ma\u322?o prawdopodobne, aby naruszenie to mog\u322?o powodowa\u263? ryzyko naruszenia praw lub wolno\u347?ci klient\u243?w, kt\u243?rych dane osobowe znajdowa\u322?y si\u281? w omy\u322?kowo wys\u322?anej bazie;
\par 
\par b) opr\u243?cz sta\u322?ej wsp\u243?\u322?pracy z Kontrahentem, w celu wyja\u347?nienia okoliczno\u347?ci zdarzenia, w tym m.in. odebrania istotnych o\u347?wiadcze\u324?, Sp\u243?\u322?ka zweryfikowa\u322?a czy w ramach pracy nad baz\u261? nie dosz\u322?o ze strony Kontrahenta - podmiotu przetwarzaj\u261?cego, lub jego podwykonawc\u243?w do innych narusze\u324?. W ramach tej weryfikacji Call Center Sp\u243?\u322?ki kontaktowa\u322? si\u281? z osobami, kt\u243?rych dane posiada\u322? Kontrahent, w celu ustalenia, z jakich adres\u243?w mailowych osoby wykonuj\u261?ce zlecenie kontaktowa\u322?y si\u281? z klientami i jaka by\u322?a jako\u347?\u263? \u347?wiadczonych us\u322?ug. Sp\u243?\u322?ka wyci\u261?gn\u281?\u322?a tak\u380?e konsekwencje cywilnoprawne wobec Kontrahenta, a jako administrator danych, podj\u281?\u322?a opr\u243?cz wszelkich koniecznych dzia\u322?a\u324? niezb\u281?dnych do wyja\u347?nienia sprawy, tak\u380?e dzia\u322?ania dodatkowe, aby rzetelnie i dog\u322?\u281?bnie wyja\u347?ni\u263? zdarzenie i zbada\u263?, czy nie dosz\u322?o do innych zdarze\u324?, kt\u243?re mog\u322?yby skutkowa\u263? naruszeniem praw i wolno\u347?ci os\u243?b fizycznych.
\par 
\par Sp\u243?\u322?ka do ww. pisma za\u322?\u261?czy\u322?a drugie o\u347?wiadczenie o usuni\u281?ciu danych osobowych, wystawione przez Osob\u281? trzeci\u261?, kt\u243?re zawiera potwierdzenie, \u380?e usun\u281?\u322?a dane klient\u243?w Sp\u243?\u322?ki i nie by\u322?y one kopiowane, ani udost\u281?pnianie innym osobom przez Osob\u281? trzeci\u261?. W zwi\u261?zku z tym, tak\u380?e w ocenie inspektora ochrony danych Sp\u243?\u322?ki w sprawie nie zasz\u322?a konieczno\u347?\u263? zg\u322?oszenia naruszenia do Prezesa UODO.
\par 
\par Prezes UODO, w zwi\u261?zku z tym, \u380?e ww. pisma podpisa\u322? inspektor ochrony danych, a nie przedstawiciele Sp\u243?\u322?ki (zgodnie ze sposobem reprezentacji ujawnionym w Rejestrze Przedsi\u281?biorc\u243?w prowadzonym przez KRS) 22 grudnia 2020r., zwr\u243?cono si\u281? do Sp\u243?\u322?ki o przekazanie UODO pe\u322?nomocnictwa udzielonego pracownikowi Sp\u243?\u322?ki, udzielaj\u261?cemu odpowiedzi na korespondencj\u281?. W odpowiedzi, Sp\u243?\u322?ka skierowa\u322?a do UODO 31 grudnia 2020r. pismo z podpisami dw\u243?ch cz\u322?onk\u243?w zarz\u261?du Sp\u243?\u322?ki, uprzednio wys\u322?ane 30 pa\u378?dziernika 2020r. i podpisane przez inspektora ochrony danych. Pismo z 31 grudnia 2020r. zawiera m.in. wyja\u347?nienie, \u380?e wszystkie pisma wysy\u322?ane do UODO i podpisywane przez Sp\u243?\u322?k\u281?, s\u261? uprzednio konsultowane i akceptowane przez Administratora.
\par 
\par Sp\u243?\u322?ka w odpowiedzi na zawiadomienie o zgromadzeniu materia\u322?u dowodowego z 21 stycznia 2021r. podtrzyma\u322?a dotychczasowe stanowisko, wyra\u380?ane od czerwca 2020r., \u380?e analiz\u281? incydentu przeprowadzono w oparciu o wytyczne European Union Agency for Network and Information Security (ENISA), 2013, Recommendations for a methodology of the assessment of severity of personal data breaches (zwane dalej "ENISA") i uzyskano wynik ryzyka na poziomie WN < 2, czyli: "Osoby nie zostan\u261? dotkni\u281?te naruszeniem lub wywo\u322?a ono drobne niedogodno\u347?ci". Sp\u243?\u322?ka zwr\u243?ci\u322?a te\u380? uwag\u281? na "kluczowe elementy sk\u322?adowe analizy ryzyka, wskazuj\u261?c, na (cyt.):
\par 
\par a) rodzaj i poziom wra\u380?liwo\u347?ci danych - nieuprawnione udost\u281?pnienie dotyczy\u322?o danych podstawowych: imienia, nazwiska, adresu email, numeru telefonu, informacji o dacie rejestracji. Dane nie dotyczy\u322?y zachowa\u324? (wchodz\u261?cych w zakres danych tzw. behawioralnych), a w\u243?wczas mo\u380?na dokonywa\u263? profilowania (art. 4 pkt 4 RODO). Sp\u243?\u322?ka wskaza\u322?a, \u380?e w ramach swoich dzia\u322?a\u324? nie prowadzi profilowania, a sama informacja o dacie rejestracji w Strefie Zakup\u243?w nie jest wystarczaj\u261?c\u261? przes\u322?ank\u261? do uznania, \u380?e mamy do czynienia z informacj\u261? o preferencjach. Klienci rejestruj\u261? si\u281? w Strefie Zakup\u243?w, otrzymuj\u261? kupony rabatowe, wi\u281?c nie mo\u380?na m\u243?wi\u263? o szczeg\u243?lnej informacji dotycz\u261?cej preferencji. Inaczej by\u322?oby w przypadku wskazania np. zakresu dokonywanych zakup\u243?w, czego nie obejmowa\u322?a baza.
\par 
\par b) mo\u380?liwo\u347?\u263? identyfikacji \u8211? Sp\u243?\u322?ka, opieraj\u261?c si\u281? na ENISA, zauwa\u380?y\u322?a, \u380?e w stanie faktycznym zachodzi\u322?a ograniczona mo\u380?liwo\u347?\u263? identyfikacji - kr\u261?g odbiorc\u243?w jest niewielki, a w zakresie danych nie wchodzi\u322? PESEL (dana ewidencyjna). Osoba trzecia - nieuprawniony odbiorca - niezw\u322?ocznie usun\u261?\u322? dane, do kt\u243?rych uzyska\u322? dost\u281?p na skutek omy\u322?ki Kontrahenta i z\u322?o\u380?y\u322? o\u347?wiadczenie o zachowaniu poufno\u347?ci.
\par 
\par Sp\u243?\u322?ka opisuj\u261?c \u347?rodki zaradcze w pi\u347?mie z 21 stycznia 2021r., o\u347?wiadczy\u322?a m.in., \u380?e wypowiedzia\u322?a umow\u281? Kontrahentowi, gdy\u380? nie spe\u322?ni\u322? standard\u243?w bezpiecze\u324?stwa, do kt\u243?rych spe\u322?nienia by\u322? zobowi\u261?zany. Sp\u243?\u322?ka wprowadzi\u322?a te\u380? zaostrzone wymagania dotycz\u261?ce minimalnych \u347?rodk\u243?w technicznych i organizacyjnych, kt\u243?re spe\u322?nia\u263? ma wykonawca, mimo \u380?e dotychczasowe by\u322?y zgodne z obowi\u261?zuj\u261?cymi normami prawnymi). Sp\u243?\u322?ka wnios\u322?a te\u380? o odst\u261?pienie od wymierzenia kary lub jej nadzwyczajne z\u322?agodzenie, ze wzgl\u281?du na podj\u281?cie przez ni\u261? niezb\u281?dnych dzia\u322?a\u324? celem ograniczenia, a wr\u281?cz wyeliminowania skutk\u243?w tego naruszenia.
\par 
\par Prezes UODO, po zapoznaniu si\u281? z ca\u322?o\u347?ci\u261? materia\u322?u dowodowego sprawy i po odwo\u322?aniu si\u281? do art. 4 pkt 12 i art. 33 ust. 1 i 3 RODO, wskaza\u322?, \u380?e z ww. przepis\u243?w wynika, \u380?e u administratora danych powstaje obowi\u261?zek zg\u322?oszenia Prezesowi UODO wyst\u261?pienia naruszenia ochrony danych osobowych, je\u347?li z danym naruszeniem wi\u261?\u380?e si\u281? ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych - niezale\u380?nie od poziomu tego ryzyka. Z ustale\u324? dokonanych przez organ wynika, \u380?e do nieuprawnionego odbiorcy wys\u322?ano wiadomo\u347?\u263? e-mail z za\u322?\u261?cznikiem w postaci niezaszyfrowanego pliku, zawieraj\u261?cego dane osobowe adresata wiadomo\u347?ci i 259 innych os\u243?b (imiona, nazwiska, adresy e-mail, numery telefon\u243?w, a tak\u380?e informacje o dacie rejestracji). Dosz\u322?o wi\u281?c do naruszenia bezpiecze\u324?stwa prowadz\u261?cego do przypadkowego ujawnienia osobie nieuprawnionej do otrzymania danych 259 os\u243?b, a wi\u281?c do naruszenia poufno\u347?ci danych tych os\u243?b, co przes\u261?dza, \u380?e wyst\u261?pi\u322?o naruszenie ochrony danych osobowych. Prezes UODO oceni\u322?, \u380?e wbrew twierdzeniom Sp\u243?\u322?ki, skutkowa\u322?o to ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych. Grupa Robocza Art. 29 wskazuje w Wytycznych, \u380?e oceniaj\u261?c ryzyko dla os\u243?b fizycznych, b\u281?d\u261?ce wynikiem naruszenia, administrator powinien uwzgl\u281?dni\u263? konkretne okoliczno\u347?ci naruszenia, w tym wag\u281? potencjalnego wp\u322?ywu i prawdopodobie\u324?stwo jego wyst\u261?pienia. W trakcie oceny nale\u380?y bra\u263? pod uwag\u281?: liczb\u281? os\u243?b fizycznych, na kt\u243?re naruszenie wywiera wp\u322?yw. Naruszenie mo\u380?e dotyczy\u263? tylko jednej osoby, kilku os\u243?b lub kilku tysi\u281?cy os\u243?b - albo du\u380?o wi\u281?kszej ich liczby. Zazwyczaj potencjalny wp\u322?yw naruszenia wzrasta wraz z liczb\u261? os\u243?b, kt\u243?rych ono dotyczy. Jednak w zale\u380?no\u347?ci od charakteru danych osobowych oraz kontekstu, w kt\u243?rym zosta\u322?y one ujawnione, naruszenie mo\u380?e mie\u263? powa\u380?ne konsekwencje nawet dla jednej osoby. R\u243?wnie\u380? w tym wypadku najwa\u380?niejsze jest przeanalizowanie prawdopodobie\u324?stwa wyst\u261?pienia konsekwencji dla os\u243?b, na kt\u243?re naruszenie ma wp\u322?yw, oraz tego, jak powa\u380?ne b\u281?d\u261? te konsekwencje.
\par 
\par Prezes UODO wskaza\u322?, \u380?e naruszenie w sprawie dotyczy wielu os\u243?b, co w spos\u243?b istotny podnosi wag\u281? naruszenia i prawdopodobie\u324?stwo zmaterializowania si\u281? zagro\u380?e\u324? zwi\u261?zanych z naruszeniem. Nie bez znaczenia dla takiej oceny ryzyka jest mo\u380?liwo\u347?\u263? \u322?atwej - w oparciu o ujawnione dane - identyfikacji os\u243?b, kt\u243?rych dane obj\u281?to naruszeniem. Fakt, \u380?e w wyniku naruszenia nie dosz\u322?o do ujawnienia np. PESEL os\u243?b nim dotkni\u281?tych, nie oznacza, \u380?e os\u243?b tych nie mo\u380?na zidentyfikowa\u263?. Wyst\u281?puje wi\u281?c ryzyko naruszenia praw lub wolno\u347?ci os\u243?b obj\u281?tych naruszeniem, co skutkuje powstaniem obowi\u261?zku zg\u322?oszenia organowi nadzorczemu przez Sp\u243?\u322?k\u281? (administratora danych) naruszenia ochrony danych osobowych, zgodnie z art. 33 ust. 1 RODO, w kt\u243?rym musz\u261? si\u281? znale\u378?\u263? informacje okre\u347?lone w art. 33 ust. 3 RODO. Mo\u380?liwym ryzykiem zwi\u261?zanym z ww. zdarzeniem jest w szczeg\u243?lno\u347?ci utrata przez osoby, kt\u243?rych dane dotycz\u261?, kontroli nad ich danymi. Dane te mog\u261? np. pos\u322?u\u380?y\u263? osobom, kt\u243?re wejd\u261? w ich posiadanie, np. do niechcianych przez osoby, kt\u243?rych dane dotycz\u261?, kontakt\u243?w przez e-mail lub telefon \u8211? r\u243?wnie\u380? takich, w czasie kt\u243?rych podj\u281?te zostan\u261? pr\u243?by uzyskania dodatkowych danych tych os\u243?b. Wreszcie przy wykorzystaniu tych danych mog\u261? zosta\u263? za\u322?o\u380?one konta w r\u243?\u380?nego rodzaju serwisach spo\u322?eczno\u347?ciowych i portalach internetowych, co mo\u380?e mie\u263? negatywny wp\u322?yw na postrzeganie tych os\u243?b w ich \u347?rodowisku zawodowym czy rodzinnym, a nawet prowadzi\u263? do ich dyskryminacji. W przypadku ww. naruszenia ochrony danych osobowych istnieje ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych. Z art. 33 ust. 1 RODO wynika, \u380?e mo\u380?liwe konsekwencje zdarzenia nie musz\u261? si\u281? zmaterializowa\u263?. Samo wyst\u261?pienie naruszenia ochrony danych osobowych, z kt\u243?rym wi\u261?\u380?e si\u281? ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, implikuje obowi\u261?zek zg\u322?oszenia naruszenia w\u322?a\u347?ciwemu organowi nadzorczemu.
\par 
\par Zdaniem Prezesa UODO podnoszona przez Sp\u243?\u322?k\u281? okoliczno\u347?\u263?, \u380?e w wyniku naruszenia nie dosz\u322?o do powstania uszczerbku fizycznego, szk\u243?d maj\u261?tkowych lub niemaj\u261?tkowych u os\u243?b fizycznych, takich jak kontrola nad w\u322?asnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzie\u380? lub sfa\u322?szowanie to\u380?samo\u347?ci, strata finansowa, nieuprawnione odwr\u243?cenie pseudonimizacji, naruszenia dobrego imienia, naruszenie poufno\u347?ci danych osobowych chronionych tajemnic\u261? zawodow\u261? lub innych szk\u243?d gospodarczych lub spo\u322?ecznych, o kt\u243?rych mowa w motywie 85 Preambu\u322?y RODO, nie ma znaczenia dla stwierdzenia istnienia po stronie Sp\u243?\u322?ki obowi\u261?zku zg\u322?oszenia Prezesowi UODO naruszenia ochrony danych osobowych, zgodnie z art. 33 ust 1 RODO.
\par 
\par Na ocen\u281? ryzyka naruszenia nie ma wp\u322?ywu zwr\u243?cenie si\u281? z pro\u347?b\u261? do nieuprawnionego odbiorcy o trwa\u322?e usuni\u281?cie otrzymanej korespondencji, a nawet z\u322?o\u380?enie przez t\u281? osob\u281? o\u347?wiadczenia o trwa\u322?ym jej usuni\u281?ciu. Nie ma bowiem pewno\u347?ci, \u380?e przed tymi czynno\u347?ciami osoba ta nie wykona\u322?a, np. kserokopii lub te\u380? nie utrwali\u322?a danych osobowych zawartych w tre\u347?ci dokumentu w inny spos\u243?b, np. poprzez ich spisanie. Samo dokonanie czynno\u347?ci wskazanych w o\u347?wiadczeniach z\u322?o\u380?onych przez Osob\u281? trzeci\u261? - nieuprawnionego odbiorc\u281? - nie daje gwarancji, \u380?e intencje takiej osoby obecnie lub w przysz\u322?o\u347?ci nie zmieni\u261? si\u281?, a ewentualne konsekwencje pos\u322?u\u380?enia si\u281? takimi kategoriami danych mog\u261? by\u263? znacz\u261?ce dla os\u243?b, kt\u243?rych dane obj\u281?te zosta\u322?y naruszeniem. To samo dotyczy o\u347?wiadczenia o zniszczeniu otrzymanej korespondencji, gdy\u380? Sp\u243?\u322?ka nie ma mo\u380?liwo\u347?ci jego weryfikacji. W Wytycznych Grupy Roboczej Art. 29 stwierdzono, \u380?e to, czy administrator wie, \u380?e dane osobowe znajduj\u261? si\u281? w r\u281?kach os\u243?b, kt\u243?rych zamiary s\u261? nieznane lub kt\u243?re mog\u261? mie\u263? z\u322?e intencje, mo\u380?e mie\u263? znaczenie dla poziomu potencjalnego ryzyka. Mo\u380?e nast\u261?pi\u263? naruszenie dotycz\u261?ce poufno\u347?ci danych polegaj\u261?ce na omy\u322?kowym ujawnieniu danych osobowych stronie trzeciej, zgodnie z definicj\u261? w art. 4 pkt 10, lub innemu odbiorcy. Mo\u380?e to nast\u261?pi\u263? na przyk\u322?ad, gdy dane osobowe zostan\u261? przypadkowo wys\u322?ane do niew\u322?a\u347?ciwego dzia\u322?u organizacji lub do organizacji dostawc\u243?w, z kt\u243?rej us\u322?ug powszechnie si\u281? korzysta. Administrator mo\u380?e wezwa\u263? odbiorc\u281? do zwrotu albo bezpiecznego zniszczenia otrzymanych danych. W obu przypadkach \u8211? z uwagi na fakt, \u380?e administrator pozostaje z tymi podmiotami w sta\u322?ych stosunkach i mo\u380?e zna\u263? stosowane przez nie procedury, ich histori\u281? i inne istotne szczeg\u243?\u322?y ich dotycz\u261?ce - odbiorc\u281? mo\u380?na uzna\u263? za "zaufanego". Innymi s\u322?owy, administrator mo\u380?e ufa\u263? odbiorcy na tyle, aby m\u243?c racjonalnie oczekiwa\u263?, \u380?e strona ta nie odczyta omy\u322?kowo wys\u322?anych danych lub nie uzyska do nich wgl\u261?du oraz \u380?e wype\u322?ni polecenie ich odes\u322?ania.
\par 
\par Zdaniem Prezesa UODO w sprawie nie ma jednak podstaw by nieuprawnionego odbiorc\u281? uzna\u263? i traktowa\u263? jako "odbiorc\u281? zaufanego", co przes\u261?dza o istnieniu ryzyka naruszenia praw lub wolno\u347?ci dla os\u243?b obj\u281?tych naruszeniem, cho\u263? ujawnienie danych nie by\u322?o zwi\u261?zane z wysokim ryzykiem naruszenia praw i wolno\u347?ci os\u243?b fizycznych. Sp\u243?\u322?ka powinna wi\u281?c zg\u322?osi\u263? Prezesowi UODO ww. naruszenie.
\par 
\par Podj\u281?cie przez Sp\u243?\u322?k\u281? dzia\u322?a\u324? maj\u261?cych na celu zminimalizowanie ryzyka ponownego wyst\u261?pienia naruszenia, wykazanych w korespondencji z organem nadzorczym, a w szczeg\u243?lno\u347?ci w odpowiedzi na zawiadomienie o wszcz\u281?ciu post\u281?powania administracyjnego oraz w pi\u347?mie z 21 stycznia 2021r. nie eliminowa\u322?o obowi\u261?zku zg\u322?oszenia przez Sp\u243?\u322?k\u281? stwierdzenia naruszenia ochrony danych osobowych, zgodnie z art. 33 ust. 1 RODO. Charakter tych dzia\u322?a\u324? wskazuje bowiem, \u380?e maj\u261? one zapobiec wyst\u261?pieniu tego typu narusze\u324? w przysz\u322?o\u347?ci; a nie wp\u322?ywaj\u261? na ocen\u281?, \u380?e w zwi\u261?zku z wyst\u261?pieniem ww. naruszenia istnieje ryzyko naruszenia praw i wolno\u347?ci. Grupa Robocza Art. 29 w Wytycznych wskazuje wyra\u378?nie, \u380?e "w przypadku jakichkolwiek w\u261?tpliwo\u347?ci administrator powinien zg\u322?osi\u263? naruszenie, nawet je\u347?li taka ostro\u380?no\u347?\u263? mog\u322?aby si\u281? okaza\u263? nadmierna".
\par 
\par Sp\u243?\u322?ka, dopuszczaj\u261?c mo\u380?liwo\u347?\u263? wykorzystania do komunikacji z Kontrahentem poczt\u281? elektroniczn\u261?, powinna mie\u263? \u347?wiadomo\u347?\u263? ryzyk zwi\u261?zanych np. z za\u322?\u261?czeniem do przesy\u322?anej wiadomo\u347?ci niew\u322?a\u347?ciwego za\u322?\u261?cznika. Istnienie tych ryzyk, w sytuacji braku dzia\u322?a\u324? administratora danych, maj\u261?cych na celu ich minimalizacj\u281? przez wdro\u380?enie odpowiednich \u347?rodk\u243?w organizacyjnych i technicznych, jak np. szyfrowanie przesy\u322?anych w ten spos\u243?b dokument\u243?w, prowadzi wprost do powstania ryzyka naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, kt\u243?rych dane takim kana\u322?em komunikacji s\u261? przesy\u322?ane.
\par 
\par W sytuacji, gdy na skutek naruszenia ochrony danych osobowych wyst\u281?puje ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, administrator zobowi\u261?zany jest wdro\u380?y\u263? wszelkie odpowiednie \u347?rodki techniczne i organizacyjne, by od razu stwierdzi\u263? naruszenie ochrony danych osobowych i szybko poinformowa\u263? organ nadzorczy. Administrator powinien zrealizowa\u263? ten obowi\u261?zek mo\u380?liwie najszybciej. W motywie 85 preambu\u322?y RODO wyja\u347?niono przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych mo\u380?e skutkowa\u263? powstaniem uszczerbku fizycznego, szk\u243?d maj\u261?tkowych lub niemaj\u261?tkowych u os\u243?b fizycznych, takich jak utrata kontroli nad w\u322?asnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzie\u380? lub sfa\u322?szowanie to\u380?samo\u347?ci, strata finansowa, nieuprawnione odwr\u243?cenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufno\u347?ci danych osobowych chronionych tajemnic\u261? zawodow\u261? lub wszelkie inne znaczne szkody gospodarcze lub spo\u322?eczne. Administrator powinien wi\u281?c zg\u322?osi\u263?, je\u380?eli jest to wykonalne organowi nadzorczemu bez zb\u281?dnej zw\u322?oki, natychmiast po stwierdzeniu naruszenia ochrony danych osobowych, nie p\u243?\u378?niej ni\u380? w terminie 72 godzin po stwierdzeniu naruszenia, chyba \u380?e administrator jest w stanie wykaza\u263? zgodnie z zasad\u261? rozliczalno\u347?ci, \u380?e jest ma\u322?o prawdopodobne, by naruszenie to mog\u322?o powodowa\u263? ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych. Je\u380?eli nie mo\u380?na dokona\u263? zg\u322?oszenia w terminie 72 godzin, zg\u322?oszeniu powinno towarzyszy\u263? wyja\u347?nienie przyczyn op\u243?\u378?nienia, a informacje mog\u261? by\u263? przekazywane stopniowo, bez dalszej zb\u281?dnej zw\u322?oki".
\par 
\par Skoro Sp\u243?\u322?ka nie dokona\u322?a zg\u322?oszenia naruszenia ochrony danych osobowych organowi nadzorczemu, w terminie okre\u347?lonym w art. 33 ust. 1 RODO, naruszy\u322?a ten przepis. Zasz\u322?y wi\u281?c przes\u322?anki uzasadniaj\u261?ce na\u322?o\u380?enie na Sp\u243?\u322?k\u281? administracyjnej kary pieni\u281?\u380?nej na mocy art. 83 ust. 4 lit. a) RODO, do 10 000 000 EUR, a w przypadku przedsi\u281?biorstwa - do 2% jego ca\u322?kowitego rocznego \u347?wiatowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wy\u380?sza.
\par 
\par Prezes UODO, decyduj\u261?c o na\u322?o\u380?eniu kary pieni\u281?\u380?nej (136.437z\u322?) wzi\u261?\u322? pod uwag\u281? okoliczno\u347?ci stanowi\u261?ce o konieczno\u347?ci zastosowania sankcji i wp\u322?ywaj\u261?ce obci\u261?\u380?aj\u261?co na wymiar na\u322?o\u380?onej kary pieni\u281?\u380?nej:
\par 
\par a) liczba poszkodowanych os\u243?b, kt\u243?rych dane dotycz\u261? (art. 83 ust. 2 lit. a RODO) \u8211? 259 os\u243?b i wi\u261?\u380?e si\u281? z ryzykiem naruszenia ich praw lub wolno\u347?ci.
\par 
\par b) d\u322?ugi czas trwania naruszenia (art. 83 ust. 2 lit. a) RODO) - Sp\u243?\u322?ka od powzi\u281?cia informacji o naruszeniu ochrony danych osobowych - 1 czerwca 2020r. do wydania decyzji, nie wykona\u322?a obowi\u261?zku wynikaj\u261?cego z art. 33 RODO;
\par 
\par c) umy\u347?lny charakter naruszenia (art. 83 ust. 2 lit. b) RODO) - Sp\u243?\u322?ka podj\u281?\u322?a \u347?wiadom\u261? decyzj\u281?, by nie zawiadamia\u263? Prezesa UODO o naruszeniu, cho\u263? powzi\u281?\u322?a informacj\u281? o zdarzeniu od nieuprawnionego odbiorcy i z kierowanych do niej przez Prezesa UODO pism, wskazuj\u261?cych na mo\u380?liwo\u347?\u263? istnienia w sprawie ryzyka naruszenia praw lub wolno\u347?ci os\u243?b, kt\u243?rych dotyczy\u322?o naruszenie.
\par 
\par d) stopie\u324? odpowiedzialno\u347?ci administratora z uwzgl\u281?dnieniem \u347?rodk\u243?w technicznych i organizacyjnych wdro\u380?onych przez niego, na mocy art. 25 i 32 (art. 83 ust. 2 lit. d) RODO) - naruszenie wi\u261?za\u322?o si\u281? z brakiem wdro\u380?enia lub nieprawid\u322?owym wdro\u380?eniem przez Sp\u243?\u322?k\u281? \u347?rodk\u243?w organizacyjnych i technicznych zapewniaj\u261?cych bezpiecze\u324?stwo danych, np. szyfrowania plik\u243?w zawieraj\u261?cych dane osobowe, kt\u243?re s\u261? przesy\u322?ane w wiadomo\u347?ciach elektronicznych;
\par 
\par e) stopie\u324? wsp\u243?\u322?pracy z organem nadzorczym, w celu usuni\u281?cia naruszenia oraz z\u322?agodzenia jego ewentualnych negatywnych skutk\u243?w (art. 83 ust. 2 lit. f) RODO) \u8211? uznano za niezadowalaj\u261?cy w zakresie reakcji Sp\u243?\u322?ki na pisma Prezesa UODO, wskazuj\u261?ce na mo\u380?liwo\u347?\u263? istnienia ryzyka naruszenia praw lub wolno\u347?ci os\u243?b i brak prawid\u322?owego zg\u322?oszenia Prezesowi UODO naruszenia w trybie art. 33 ust. 1 RODO.
\par 
\par Prezes UODO, ustalaj\u261?c wysoko\u347?\u263? administracyjnej kary pieni\u281?\u380?nej, uwzgl\u281?dni\u322? te\u380? okoliczno\u347?ci \u322?agodz\u261?ce, maj\u261?ce wp\u322?yw na ostateczny wymiar kary: - dzia\u322?ania Sp\u243?\u322?ki w celu zminimalizowania szkody poniesionej przez osoby, kt\u243?rych dane dotycz\u261? (art. 83 ust. 2 lit. c RODO) - Sp\u243?\u322?ka zwr\u243?ci\u322?a si\u281? do nieuprawnionego odbiorcy o trwa\u322?e usuni\u281?cie korespondencji, cho\u263? nie jest to r\u243?wnoznaczne z gwarancj\u261? faktycznego usuni\u281?cia przez Osob\u281? trzeci\u261? danych osobowych i nie wyklucza ewentualnych negatywnych dla podmiot\u243?w danych konsekwencji ich wykorzystania.
\par 
\par Na zastosowan\u261? przez Prezesa UODO sankcj\u281? nie mia\u322?y wp\u322?ywu inne, wskazane w art. 83 ust. 2 RODO okoliczno\u347?ci: - ryzyko naruszenia praw lub wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261?, nie jest wysokie (lit. a); - brak wcze\u347?niejszych narusze\u324? przepis\u243?w RODO (lit. e); - dane osobowe udost\u281?pnione osobie nieuprawnionej nie nale\u380?a\u322?y do szczeg\u243?lnych kategorii danych osobowych, o kt\u243?rych mowa w art. 9 RODO, jednak\u380?e ich zakres (imiona i nazwiska, numery telefon\u243?w, adresy e-mail oraz informacje o dacie rejestracji), wi\u261?\u380?e si\u281? z ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych (lit. g); - spos\u243?b w jaki organ nadzorczy dowiedzia\u322? si\u281? o naruszeniu ochrony danych osobowych stanowi\u261?cych przedmiot sprawy - Prezes UODO nie zosta\u322? poinformowany, zgodnie z art. 33 RODO (lit. h); - przestrzeganie wcze\u347?niej zastosowanych w tej samej sprawie \u347?rodk\u243?w, o kt\u243?rych mowa w art. 58 ust. 2 RODO (lit. i; f) stosowanie zatwierdzonych kodeks\u243?w post\u281?powania na mocy art. 40 RODO lub zatwierdzonych mechanizm\u243?w certyfikacji na mocy art. 42 RODO (lit. j); osi\u261?gni\u281?te bezpo\u347?rednio lub po\u347?rednio w zwi\u261?zku z naruszeniem korzy\u347?ci finansowe lub unikni\u281?te straty (lit. k).
\par 
\par W ocenie Prezesa UODO, zastosowana administracyjna kara pieni\u281?\u380?na spe\u322?nia w ustalonych okoliczno\u347?ciach sprawy funkcje, o kt\u243?rych mowa w art. 83 ust. 1 RODO: jest w indywidualnym przypadku skuteczna, proporcjonalna i odstraszaj\u261?ca. Kara b\u281?dzie skuteczna, je\u380?eli jej na\u322?o\u380?enie doprowadzi do tego, \u380?e Sp\u243?\u322?ka - profesjonalnie i na skal\u281? masow\u261? przetwarzaj\u261?ca dane osobowe - w przysz\u322?o\u347?ci b\u281?dzie wywi\u261?zywa\u322?a si\u281? z obowi\u261?zk\u243?w z zakresu ochrony danych osobowych, w szczeg\u243?lno\u347?ci w zakresie zg\u322?aszania naruszenia ochrony danych osobowych Prezesowi UODO oraz zawiadamiania o naruszeniu ochrony danych osobowych os\u243?b, kt\u243?rych dotyczy\u322?o naruszenie.
\par 
\par Z naruszeniem ochrony danych mamy do czynienia zar\u243?wno, gdy do zdarzenia dojdzie wskutek \u347?wiadomego dzia\u322?ania, jak i gdy doprowadzi do niego nieumy\u347?lno\u347?\u263? - omy\u322?ka. Ostatnie nie powoduje zwolnienia administratora z obowi\u261?zk\u243?w okre\u347?lonych w art. 33 ust. 1 RODO, wi\u281?c uzasadnione by\u322?o zastosowanie administracyjnej kary pieni\u281?\u380?nej, kt\u243?ra spe\u322?ni funkcj\u281? represyjn\u261?, bo stanowi odpowied\u378? na naruszenie przez Sp\u243?\u322?k\u281? przepis\u243?w RODO. B\u281?dzie te\u380? spe\u322?nia\u263? funkcj\u281? prewencyjn\u261?, bo wska\u380?e Sp\u243?\u322?ce i innym administratorom danych na naganno\u347?\u263? lekcewa\u380?enia obowi\u261?zk\u243?w administrator\u243?w, zwi\u261?zanych z naruszeniem ochrony danych osobowych, a maj\u261?cych na celu zapobie\u380?enie jego negatywnym i cz\u281?sto dotkliwym dla os\u243?b, kt\u243?rych naruszenie dotyczy, skutkom, a tak\u380?e usuni\u281?cie tych skutk\u243?w lub przynajmniej ograniczenie.
\par 
\par Stosownie do art. 103 u.o.d.o. r\u243?wnowarto\u347?\u263? kwot wyra\u380?onych w euro, o kt\u243?rych mowa w art. 83 RODO, oblicza si\u281? w z\u322?otych wed\u322?ug \u347?redniego kursu euro og\u322?aszanego przez NBP w tabeli kurs\u243?w na dzie\u324? 28 stycznia ka\u380?dego roku, a w przypadku gdy w danym roku NBP nie og\u322?asza \u347?redniego kursu euro 28 stycznia \u8211? wed\u322?ug \u347?redniego kursu euro og\u322?oszonego w najbli\u380?szej po tej dacie tabeli kurs\u243?w NBP. Kara pieni\u281?\u380?na w wysoko\u347?ci 136.437 z\u322? stanowi r\u243?wnowarto\u347?\u263? 30.000 euro (\u347?redni kurs euro z 28 stycznia 2021r. - 4,5479 z\u322?), spe\u322?nia w ustalonych okoliczno\u347?ciach sprawy przes\u322?anki, o kt\u243?rych mowa w art. 83 ust. 1 RODO, ze wzgl\u281?du na powag\u281? stwierdzonego naruszenia w kontek\u347?cie podstawowego celu RODO - ochrony podstawowych praw i wolno\u347?ci os\u243?b fizycznych, w szczeg\u243?lno\u347?ci prawa do ochrony danych osobowych.
\par 
\par 2. Skar\u380?\u261?ca w skardze do Wojew\u243?dzkiego S\u261?du Administracyjnego w Warszawie z [...] marca 2021r. wnios\u322?a o uchylenie ww. decyzji, z uwagi na naruszenie:
\par 
\par a) regulacji RODO, w szczeg\u243?lno\u347?ci art. 33 ust. 1 - przez jego niew\u322?a\u347?ciwe zastosowanie i nieuznanie, \u380?e w przypadku, gdy jest ma\u322?o prawdopodobne, by naruszenie skutkowa\u322?o ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych obowi\u261?zek dokonania zg\u322?oszenia naruszenia nie znajduje zastosowania, jak r\u243?wnie\u380? poprzez pomini\u281?cie, \u380?e incydent stanowi\u261?cy przedmiot post\u281?powania UODO z 19 pa\u378?dziernika 2020r. nie b\u281?dzie skutkowa\u322? ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych;
\par 
\par b) regulacji RODO, w szczeg\u243?lno\u347?ci art. 24, art. 83 ust. 2 lit. a, b, c, d, f, g - przez ich niew\u322?a\u347?ciwe zastosowanie i nieuwzgl\u281?dnienie jako okoliczno\u347?ci uzasadniaj\u261?cej odst\u261?pienie od na\u322?o\u380?enia kary lub jej nadzwyczajnego z\u322?agodzenia kr\u243?tkiego czasu naruszenia, znikomego lub nieistniej\u261?cego rozmiaru szkody poniesionej przez osoby, kt\u243?rych ujawnienie danych dotyczy, nieumy\u347?lnego charakteru naruszenia, natychmiastowych dzia\u322?a\u324? podj\u281?tych w celu zminimalizowania szkody, niskiego stopnia odpowiedzialno\u347?ci za zaistnienie naruszenia, wysokiego stopnia wsp\u243?\u322?pracy z organem nadzorczym cechuj\u261?cego si\u281? sta\u322?ym kontaktem telefonicznym i korespondencyjnym przedstawiciela Skar\u380?\u261?cej z organem, niskiej kategorii danych osobowych, kt\u243?rych dotyczy\u322?o naruszenie, zastosowania zatwierdzonych przez organy Unii Europejskiej kodeks\u243?w post\u281?powania;
\par 
\par c) przepis\u243?w ustawy z 14 czerwca 1960r. Kodeks post\u281?powania administracyjnego (Dz.U. z 2020r., poz. 256, ze zm., (zwana dalej: "k.p.a."), w szczeg\u243?lno\u347?ci art. 75 i 77;
\par 
\par d) art. 60 ustawy z dnia 23 kwietnia 1964r. Kodeks cywilny (Dz.U. z 2020r., poz. 1740, ze zm., zwany dalej: "k.c.") - przez pomini\u281?cie dowodu z dokumentu w postaci o\u347?wiadczenia Osoby trzeciej, z\u322?o\u380?onego w formie elektronicznej, a tak\u380?e pisemnej, zawnioskowanego przez Skar\u380?\u261?c\u261? w pismach z 25 czerwca i 29 pa\u378?dziernika 2020r., gdy by\u322?o to niezb\u281?dne do wyja\u347?nienia istotnych w\u261?tpliwo\u347?ci, co skutkowa\u322?o b\u322?\u281?dnym ustaleniem stanu faktycznego;
\par 
\par d) przepis\u243?w k.p.a., w szczeg\u243?lno\u347?ci art. 77 \u167? 1, przez jego niezastosowanie i przez to niespe\u322?nienie obowi\u261?zku wyczerpuj\u261?cego zebrania i rozpatrzenia ca\u322?ego materia\u322?u dowodowego oraz niesp\u243?jno\u347?\u263? w ocenie materia\u322?u dowodowego tego samego \u347?wiadka, jak r\u243?wnie\u380? swobodne pomini\u281?cie o\u347?wiadcze\u324? i zobowi\u261?za\u324? tego\u380? \u347?wiadka na podstawie informacji kt\u243?rego UODO wszcz\u261?\u322? post\u281?powanie.
\par 
\par Sp\u243?\u322?ka w uzasadnieniu skargi podkre\u347?li\u322?a, \u380?e jej Kontrahent dowiedzia\u322? si\u281? od Osoby trzeciej (F.P.) w tym samym dniu, co Prezes UODO (1 czerwca 2020r.) o podejrzeniu incydentu danych osobowych przetwarzanych przez Sp\u243?\u322?k\u281?, kt\u243?ry polega\u322? na przekazaniu tych danych Osobie trzeciej przez Kontrahenta. Sp\u243?\u322?ka otrzyma\u322?a informacje o incydencie od Kontrahenta 2 czerwca 2020r., kt\u243?ry wskaza\u322?, \u380?e pouczy\u322? Osob\u281? trzeci\u261? o prawnych konsekwencjach ich wykorzystania. Kontrahent przekaza\u322? te\u380? informacj\u281?, \u380?e Osoba trzecia zobowi\u261?za\u322?a si\u281? do przes\u322?ania tego samego dnia o\u347?wiadczenia o niewykorzystaniu danych, ich usuni\u281?ciu i nieprzekazaniu i nieprzekazywaniu w przysz\u322?o\u347?ci. Kontrahent na polecenie Sp\u243?\u322?ki 3 czerwca 2020r. skontaktowa\u322? si\u281? ponownie z Osob\u261? trzeci\u261?, uzyskuj\u261?c ponowne zapewnienie, \u380?e dane osobowe nie by\u322?y powielane, wykorzystywane, przekazywane i zosta\u322?y usuni\u281?te. Osoba trzecia zobowi\u261?za\u322?a si\u281? do niewykorzystania tych\u380?e danych w przysz\u322?o\u347?ci, pod rygorem wszcz\u281?cia post\u281?powania karnego i cywilnego. W tym samym dniu Kontrahent poinformowa\u322? Sp\u243?\u322?k\u281? o przeprowadzeniu rozmowy z Osob\u261? trzeci\u261?, w kt\u243?rej zobowi\u261?za\u322?a si\u281? m.in. do przekazania o\u347?wiadczenia o zachowaniu poufno\u347?ci. W korespondencji mailowej z 5 czerwca 2020r. Osoba trzecia poinformowa\u322?a Sp\u243?\u322?k\u281?, \u380?e usun\u281?\u322?a dane. Kolejne o\u347?wiadczenie od osoby trzeciej Sp\u243?\u322?ka uzyska\u322?a 18 wrze\u347?nia 2020r., w zwi\u261?zku z rekomendacj\u261? UODO.
\par 
\par Zdaniem Sp\u243?\u322?ki, podejmowane przez ni\u261? dzia\u322?ania, o kt\u243?rych Prezes UODO by\u322? informowany, sta\u322?y kontakt z organem nadzorczym, odpowiadanie na pisma kierowane do Sp\u243?\u322?ki, przekazywanie wszelkich informacji o incydencie, w tym \u380?\u261?danych przez organ (wysoki stopie\u324? wsp\u243?\u322?pracy), zastosowanie przez Sp\u243?\u322?k\u281? wytycznych ENISA i przeprowadzona na ich podstawie ocena ryzyka incydentu bezpiecze\u324?stwa danych osobowych, jak r\u243?wnie\u380? ocena wagi naruszenia i posiadanie wiedzy o Osobie trzeciej, kt\u243?ra poinformowa\u322?a o usuni\u281?ciu danych osobowych stanowi\u261?cych przedmiot ujawnienia, wskazuj\u261?, \u380?e mo\u380?liwe by\u322?o zamkni\u281?cie incydentu przez Sp\u243?\u322?k\u281?, po konsultacji z Inspektorem Danych Osobowych, jak r\u243?wnie\u380? po telefonicznych rozmowach z przedstawicielem UODO, bez zg\u322?oszenia w trybie art. 33 ust. 1 RODO. Sp\u243?\u322?ka wskaza\u322?a, \u380?e przeprowadzi\u322?a te\u380? badania bazy klient\u243?w, na kt\u243?rej pracowa\u322? Kontrahent, w celu sprawdzenia czy nie dosz\u322?o do dalszych incydent\u243?w.
\par 
\par Prezes UODO powinien wi\u281?c odst\u261?pi\u263? od wymierzenia kary finansowej, albo nadzwyczajnie j\u261? z\u322?agodzi\u263? (art. 83 ust. 2 lit. g RODO), bo naruszenie by\u322?o kr\u243?tkotrwa\u322?e, a Sp\u243?\u322?ka podj\u281?\u322?a szereg dzia\u322?a\u324? wskazanych w zaskar\u380?onej decyzji w celu zminimalizowania ewentualnej szkody (art. 83 ust. 2 lit. c RODO), a ponadto osoby, kt\u243?rych dane ujawniono osobie trzeciej nie ponios\u322?y szkody w zwi\u261?zku z incydentem (art. 83 ust. 2 lit. a RODO).
\par 
\par Sp\u243?\u322?ka podkre\u347?li\u322?a te\u380?, \u380?e nieuznanie przez Prezesa UODO istotnej warto\u347?ci o\u347?wiadcze\u324? Osoby trzeciej, w\u322?asnor\u281?cznie podpisanych o zachowaniu poufno\u347?ci, pozbawia te o\u347?wiadczenia charakteru dowodowego, co jest chybione, bo osoba ta ponosi\u263? mo\u380?e odpowiedzialno\u347?\u263? karn\u261? i wynikaj\u261?c\u261? z art. 107 u.o.d.o., o czym zosta\u322?a poinformowana. Organ nie ma podstaw by umniejsza\u263? warto\u347?\u263? dowodow\u261? tych o\u347?wiadcze\u324?, skoro wszcz\u261?\u322? na podstawie wniosku tej osoby post\u281?powanie. Dodatkowo niesp\u243?jne jest stanowisko organu, gdy uznaje ujawnienie danych osobowych i na tej podstawie podejmuje czynno\u347?ci wyja\u347?niaj\u261?ce, a jednocze\u347?nie kwestionuje o\u347?wiadczenia tej osoby, w kt\u243?rym wskazano na brak konsekwencji ujawnienia danych. Dowolno\u347?\u263? w ocenie tych dowod\u243?w stanowi przekroczenie przez UODO granicy swobodnej oceny dowod\u243?w i fakt\u243?w, przejawiaj\u261?cym si\u281? w naruszeniu obowi\u261?zku wyprowadzenia z materia\u322?u dowodowego i stanu faktycznego, wniosk\u243?w logicznych i sp\u243?jnych. Dosz\u322?o wi\u281?c do naruszenia art. 77 \u167? 1 k.p.a i art. 233 k.p.c., przez zastosowanie oczywi\u347?cie b\u322?\u281?dnych kryteri\u243?w oceny dowod\u243?w oraz przekroczenia granicy swobodnej oceny dowod\u243?w (wyrok NSA z 8 marca 2005r. GSK 1448/04, LEX nr277375; z 7 lipca 2005r., FSK 1967/04, LEK nr 189852).
\par 
\par Sp\u243?\u322?ka zwr\u243?ci\u322?a te\u380? uwag\u281?, \u380?e Kontrahent w umowie ze Sp\u243?\u322?k\u261? z 24 czerwca 2019r. o\u347?wiadczy\u322?, \u380?e stosuje \u347?rodki techniczne i organizacyjne niezb\u281?dne do zapewnienia w\u322?a\u347?ciwego poziomu ochrony danych osobowych (za\u322?. 2 umowy, \u167? 6 ust. 2, 8). Sp\u243?\u322?ka nie mo\u380?e ponosi\u263? odpowiedzialno\u347?ci, \u380?e osoba zatrudniona u podwykonawcy Kontrahenta wys\u322?a\u322?a maila do nieuprawnionego odbiorcy i powinna by\u263? zwolniona z odpowiedzialno\u347?ci, zgodnie z art. 83 ust. 2 RODO.
\par 
\par Skar\u380?\u261?ca wskaza\u322?a te\u380? na niesp\u243?jno\u347?\u263? w informowaniu podmiot\u243?w o wymaganych przez UODO dzia\u322?aniach i wskaza\u322?a, \u380?e ENISA zamieszczony na stronie UODO stoi w sprzeczno\u347?ci z interpretacjami zawartymi w zaskar\u380?onej decyzji, co narusza art. 77 \u167? 1 k.p.a. Obowi\u261?zkiem krajowych organ\u243?w nadzorczych jest kompleksowa, sp\u243?jna ocena stanu faktycznego zgodna z za\u322?o\u380?eniami RODO, czyli zapewnieniem ochrony danych osobowych polegaj\u261?cym na ich rzeczywistej ochronie w wypadku ich zagro\u380?enia i podejmowaniu przez organ dzia\u322?a\u324? wskazanych w RODO w tym dzia\u322?a\u324? zaradczych. Dzia\u322?ania te nie mog\u261? jednak polega\u263? wy\u322?\u261?cznie na karaniu podmiot\u243?w bez uwzgl\u281?dnienia stanu faktycznego w tym podj\u281?tych przez te podmioty dzia\u322?a\u324?, w tym dzia\u322?a\u324? zgodnych z rekomendacjami samego organu, jak r\u243?wnie\u380? bez uwzgl\u281?dnienia szerszego kontekstu konsekwencji dla ukaranego podmiotu, jakie s\u261? lub mog\u261? by\u263? zwi\u261?zane z decyzj\u261? b\u281?d\u261?c\u261? przedmiotem skargi.
\par 
\par Skar\u380?\u261?ca pokre\u347?li\u322?a, \u380?e maj\u261?c na uwadze rodzaj prowadzonej przez Ni\u261? dzia\u322?alno\u347?ci o strategicznym znaczeniu dla funkcjonowania Pa\u324?stwa, UODO winien dokona\u263? szczeg\u243?\u322?owej analizy przepis\u243?w stanowi\u261?cych podstaw\u281? decyzji i stanu faktycznego, opieraj\u261?c j\u261? r\u243?wnie\u380? na gruncie samych za\u322?o\u380?e\u324? organ\u243?w wsp\u243?lnotowych przy opracowywaniu i wdra\u380?aniu RODO. Brak orzecznictwa w zakresie w\u322?a\u347?ciwej interpretacji przepis\u243?w RODO, konieczno\u347?\u263? dokonywania wyk\u322?adni stosunkowo nowych regulacji winien skutkowa\u263? dalece posuni\u281?t\u261? ostro\u380?no\u347?ci\u261? w stosowaniu \u347?rodk\u243?w w postaci kar, szczeg\u243?lnie w kontek\u347?cie mo\u380?liwego zaistnienia szerszych i dotkliwszych ni\u380? sama kara strat wizerunkowych ukaranego, a co za tym idzie wyceny samego przedsi\u281?biorstwa i zaufania inwestor\u243?w do podmiotu notowanego na rynku publicznym.
\par 
\par Sp\u243?\u322?ka wskaza\u322?a, \u380?e zaskar\u380?ona decyzja rodzi daleko id\u261?ce konsekwencje dla zastosowania art. 33 ust. 1 RODO, gdy\u380? jej nast\u281?pstwem b\u281?dzie wzrost wolumenu zg\u322?osze\u324? do UODO, nawet jednostkowych narusze\u324?, co nie jest zgodne z intencj\u261? ustawodawcy wyra\u380?on\u261? w przepisie stanowi\u261?cym podstaw\u281? decyzji.
\par 
\par 3. Prezes UODO w odpowiedzi na skarg\u281? wni\u243?s\u322? o jej oddalenie, podtrzymuj\u261?c dotychczasowe stanowisko w sprawie, prezentowane w uzasadnieniu zaskar\u380?onej decyzji. Za oczywist\u261? omy\u322?k\u281? Skar\u380?\u261?cej uzna\u322? wskazanie daty wydania decyzji - [...] lutego 2020r. (s. 1, 6 i 11 skargi), zamiast [...] lutego 2021r.
\par 
\par 4. Sp\u243?\u322?ka w pi\u347?mie procesowym z 25 czerwca 2021r. podtrzyma\u322?a stanowisko wyra\u380?one w skardze, podkre\u347?laj\u261?c, \u380?e organ w zaskar\u380?onej decyzji nie dokona\u322? w\u322?a\u347?ciwej kwalifikacji stanu faktycznego i nie wskaza\u322? w\u322?a\u347?ciwej metodologii post\u281?powania, co do ww. incydentu, a jedynie swobodnie i wed\u322?ug w\u322?asnego uznania ocenia dzia\u322?ania Sp\u243?\u322?ki, bez podania, jakie dodatkowe czynno\u347?ci nale\u380?a\u322?o podj\u261?\u263? w sprawie. Sp\u243?\u322?ka podczas analizy ryzyka wsp\u243?\u322?pracowa\u322?a ze specjalistami, kt\u243?rych ceni organ, wi\u281?c niezrozumia\u322?e s\u261? odmienne oceny dokonane przez organ w zaskar\u380?onej decyzji. Sp\u243?\u322?ka wskaza\u322?a, \u380?e jej pierwsze pismo do UODO spe\u322?nia\u322?o przes\u322?anki z art. 33 ust. 3 RODO, a ponadto podj\u281?\u322?a wszelkie obowi\u261?zki ci\u261?\u380?\u261?ce na administratorze, zgodnie z art. 24 ust. 1 RODO, wi\u281?c zasadne by\u322?o jej twierdzenie, \u380?e nie powinna ponosi\u263? odpowiedzialno\u347?ci w rozumieniu art. 83 ust. 2 RODO.
\par 
\par 5.Prezes UODO w pi\u347?mie procesowym z 6 wrze\u347?nia 2021r. podtrzyma\u322? stanowisko prezentowane w zaskar\u380?onej decyzji i w odpowiedzi na skarg\u281?. Nie podzieli\u322? argumentacji Skar\u380?\u261?cej zawartej w ww. pi\u347?mie procesowym i wskaza\u322?, \u380?e przed wszcz\u281?ciem post\u281?powania administracyjnego, w korespondencji przesy\u322?anej Sp\u243?\u322?ce wielokrotnie wskazywa\u322? na sedno sprawy - naruszenie art. 33 ust. 1 RODO, polegaj\u261?ce na niezg\u322?oszeniu Prezesowi UODO naruszenia ochrony danych osobowych bez zb\u281?dnej zw\u322?oki, nie p\u243?\u378?niej ni\u380? w terminie 72 godzin po stwierdzeniu naruszenia.
\par 
\par II. Wojew\u243?dzki S\u261?d Administracyjny w Warszawie zwa\u380?y\u322?, co nast\u281?puje:
\par 
\par 1. Skarga jest niezasadna.
\par 
\par 2. S\u261?d na wst\u281?pie wyja\u347?nia, \u380?e spraw\u281? rozpoznano w trybie uproszczonym, z uwagi na art. 119 pkt 2 i art. 120 ustawy z 30 sierpnia 2002r. - Prawo o post\u281?powaniu przed s\u261?dami administracyjnymi (Dz.U. z 2019r. poz. 2325 ze zm., zwana dalej: "P.p.s.a."), gdy\u380? Prezes UODO w pi\u347?mie z 5 lipca 2021r., a Skar\u380?\u261?ca Sp\u243?\u322?ka w pi\u347?mie z 12 lipca 2021r. zg\u322?osili wniosek o rozpoznanie sprawy w trybie uproszczonym.
\par 
\par S\u261?d stwierdza ponadto, \u380?e zgodnie z art. 1 \u167? 1 i 2 ustawy z 25 lipca 2002r. - Prawo o ustroju s\u261?d\u243?w administracyjnych (Dz.U. z 2019r., poz. 2167 ze zm.) kontrola s\u261?dowa zaskar\u380?onych decyzji, postanowie\u324? b\u261?d\u378? innych akt\u243?w, wymienionych w art. 3 \u167? 2 P.p.s.a., sprawowana jest przez S\u261?dy administracyjne w oparciu o kryterium zgodno\u347?ci z prawem. W zwi\u261?zku z tym, aby wyeliminowa\u263? z obrotu prawnego akt wydany przez organ administracji publicznej (np. decyzj\u281?) konieczne jest stwierdzenie, \u380?e dosz\u322?o w niej do naruszenia b\u261?d\u378? przepisu prawa materialnego w stopniu maj\u261?cym wp\u322?yw na wynik sprawy, b\u261?d\u378? przepisu post\u281?powania w stopniu mog\u261?cym mie\u263? istotny wp\u322?yw na rozstrzygni\u281?cie, albo te\u380? przepisu prawa daj\u261?cego podstaw\u281? do wznowienia post\u281?powania, lub ewentualnie ustalenie, \u380?e decyzja lub postanowienie organu dotkni\u281?te jest wad\u261? niewa\u380?no\u347?ci (art. 145 \u167? 1 pkt 1 lit. a)-c), pkt 2 P.p.s.a.). S\u261?d, stosownie do art. 151 P.p.s.a., w razie nieuwzgl\u281?dnienia skargi w ca\u322?o\u347?ci albo w cz\u281?\u347?ci, oddala skarg\u281? odpowiednio w ca\u322?o\u347?ci albo w cz\u281?\u347?ci.
\par 
\par S\u261?d wyja\u347?nia r\u243?wnie\u380?, \u380?e stosownie do art. 134 \u167? 1 P.p.s.a. S\u261?d rozstrzyga w granicach danej sprawy, nie b\u281?d\u261?c jednak zwi\u261?zany zarzutami i wnioskami skargi oraz powo\u322?an\u261? podstaw\u261? prawn\u261?, z zastrze\u380?eniem art. 57a. Ostatni z ww. przepis\u243?w nie mia\u322? jednak zastosowania w sprawie, gdy\u380? organ administracyjny wyda\u322? decyzj\u281? administracyjn\u261?, kt\u243?r\u261? zaskar\u380?y\u322?a Skar\u380?\u261?ca, a nie interpretacj\u281? indywidualn\u261?, o kt\u243?rej mowa w art. 57a P.p.s.a.
\par 
\par 3. W ocenie S\u261?du, analizowana pod tym k\u261?tem skarga nie zas\u322?uguje na uwzgl\u281?dnienie, albowiem zaskar\u380?ona decyzja odpowiada\u322?a prawu.
\par 
\par S\u261?d w pierwszej kolejno\u347?ci wskazuje, \u380?e w okoliczno\u347?ciach faktycznych sprawy, kt\u243?re wynikaj\u261? z akt administracyjnych sprawy, niezasadne s\u261? zarzuty procesowe skargi, opieraj\u261?ce si\u281? na naruszeniu przepis\u243?w k.p.a., kt\u243?re by\u322?y i mog\u322?y by\u263? stosowane w sprawie. Zdaniem S\u261?du Prezes UODO zar\u243?wno zebra\u322?, jak i rozwa\u380?y\u322? ca\u322?okszta\u322?t materia\u322?u dowodowego sprawy, uwzgl\u281?dniaj\u261?c zasad\u281? prawdy obiektywnej wyra\u380?on\u261? w art. 7 i art. 77 \u167? 1 k.p.a. Prezes UODO, ustalaj\u261?c stan faktyczny sprawy opiera\u322? si\u281? na obszernym materiale dowodowym, w tym na wyja\u347?nieniach z\u322?o\u380?onych przez Sp\u243?\u322?k\u281? w trakcie post\u281?powania administracyjnego, bior\u261?c pod uwag\u281? podnoszone przez Skar\u380?\u261?c\u261? okoliczno\u347?ci i oceniaj\u261?c je z punktu widzenia obowi\u261?zuj\u261?cych przepis\u243?w, a w szczeg\u243?lno\u347?ci art. 33 ust. 1 RODO, o kt\u243?rym poucza\u322? Skar\u380?\u261?c\u261? przed wszcz\u281?ciem post\u281?powania administracyjnego, wyja\u347?niaj\u261?c zasady jego stosowania, maj\u261?c przy tym na wzgl\u281?dzie ww. Wytyczne Grupy Roboczej Art. 29, przyj\u281?te 3 pa\u378?dziernika 2017r., a dotycz\u261?ce zg\u322?aszania narusze\u324? ochrony danych osobowych zgodnie z RODO.
\par 
\par Zdaniem S\u261?du r\u243?wnie\u380? uzasadnienie zaskar\u380?onej decyzji skonstruowano w zgodzie z art. 107 \u167? 1 i 3 k.p.a. Wprawdzie Skar\u380?\u261?ca nie zosta\u322?a przekonana o s\u322?uszno\u347?ci twierdze\u324? organu odnosz\u261?cych si\u281? do potrzeby zastosowania w sprawie art. 33 RODO, tym niemniej zdaniem S\u261?du, w okoliczno\u347?ciach faktycznych sprawy nie naruszono art. 11 k.p.a. Skar\u380?\u261?cej wyja\u347?niono bowiem, z jakich powod\u243?w przyj\u281?to, \u380?e nale\u380?a\u322?o w sprawie zastosowa\u263? przepis art. 33 ust. 1 i 3 RODO, powo\u322?uj\u261?c si\u281? na konkretne dowody znajduj\u261?ce si\u281? w aktach sprawy. Prezes UODO w zaskar\u380?onej decyzji wyja\u347?ni\u322? te\u380? w pe\u322?ni dlaczego na\u322?o\u380?y\u322? na Sp\u243?\u322?k\u281? kar\u281? pieni\u281?\u380?nej, o kt\u243?rej mowa w art. 83 RODO, w wysoko\u347?ci okre\u347?lonej w decyzji. Materia\u322? dowodowy, wbrew twierdzeniom zawartym w skardze, r\u243?wnie\u380? oceniono, maj\u261?c na wzgl\u281?dzie zasad\u281? swobodnej oceny dowod\u243?w, o kt\u243?rej mowa w art. 80 k.p.a., bior\u261?c pod uwag\u281? wszystkie dowody, kt\u243?re nale\u380?a\u322?o uwzgl\u281?dni\u263? przy zastosowaniu przepis\u243?w prawa materialnego, stanowi\u261?cych podstaw\u281? zaskar\u380?onej decyzji. Prezes UODO w zaskar\u380?onej decyzji wskaza\u322?, na jakich dowodach si\u281? opar\u322? i dlaczego na ich podstawie wyci\u261?gn\u261?\u322? wnioski, a kt\u243?rym z nich odm\u243?wi\u322? wiarygodno\u347?ci i z jakich powod\u243?w.
\par 
\par Prezes UODO dokona\u322? ponadto prawid\u322?owej wyk\u322?adni art. 33 ust. 1 RODO. Je\u380?eli administratorzy nie wywi\u261?\u380?\u261? si\u281? z obowi\u261?zku zg\u322?oszenia naruszenia ochrony danych organowi nadzorczemu albo osobom, kt\u243?rych dane dotycz\u261?, albo zar\u243?wno organowi nadzorczemu, jak i osobom, kt\u243?rych dane dotycz\u261?, pomimo spe\u322?nienia wymog\u243?w ustanowionych w art. 33 lub 34, organ nadzorczy mo\u380?e skorzysta\u263? z mo\u380?liwo\u347?ci, kt\u243?ra obejmowa\u322?aby wzi\u281?cie pod uwag\u281? wszystkich \u347?rodk\u243?w naprawczych znajduj\u261?cych si\u281? do jego dyspozycji, co wi\u261?za\u322?oby si\u281? z mo\u380?liwo\u347?ci\u261? zastosowania administracyjnej kary pieni\u281?\u380?nej w po\u322?\u261?czeniu ze \u347?rodkiem naprawczym przewidzianym w art. 58 ust. 2 RODO, albo bez takiego \u347?rodka. Je\u380?eli zdecydowano si\u281? zastosowa\u263? administracyjn\u261? kar\u281? pieni\u281?\u380?n\u261?, warto\u347?\u263? tej kary mo\u380?e opiewa\u263? na kwot\u281? do 10 000 000 EUR lub do 2% ca\u322?kowitego rocznego \u347?wiatowego obrotu przedsi\u281?biorstwa zgodnie z art. 83 ust. 4 lit. a) RODO.
\par 
\par W niekt\u243?rych przypadkach niewywi\u261?zanie si\u281? z obowi\u261?zku zg\u322?oszenia naruszenia mo\u380?e doprowadzi\u263? do ujawnienia braku istniej\u261?cych \u347?rodk\u243?w bezpiecze\u324?stwa albo nieadekwatno\u347?ci istniej\u261?cych \u347?rodk\u243?w bezpiecze\u324?stwa. W\u243?wczas organ nadzorczy mo\u380?e nak\u322?ada\u263? kar\u281? za niewywi\u261?zanie si\u281? z obowi\u261?zku zg\u322?oszenia naruszenia lub zawiadomienia o wyst\u261?pieniu naruszenia (art. 33 i 34), z jednej strony, oraz za brak (odpowiednich) \u347?rodk\u243?w bezpiecze\u324?stwa (art. 32), z drugiej strony, poniewa\u380? obydwie te sytuacje traktuje si\u281? jako dwa odr\u281?bne naruszenia.
\par 
\par W sprawie z akt sprawy wynika, \u380?e podwykonawca Kontrahenta Skar\u380?\u261?cej ujawni\u322? osobie nieuprawnionej dane osobowe 259 os\u243?b w postaci: imion, nazwisk, adres\u243?w e-mail, numer\u243?w telefon\u243?w, a tak\u380?e informacji o dacie rejestracji. Prezes UODO na podstawie wyja\u347?nie\u324? Skar\u380?\u261?cej ustali\u322? tak\u380?e, \u380?e jakkolwiek ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych w zwi\u261?zku z opisanym w stanie faktycznym sprawy incydentem nie by\u322?o wysokie i Sp\u243?\u322?ka nie mia\u322?a obowi\u261?zku zawiadomi\u263? tych os\u243?b o naruszeniu, stosownie do art. 34 RODO, bo nie dosz\u322?o do ujawnienia danych dotycz\u261?cych zachowa\u324? os\u243?b - ich preferencji, tym niemniej organ przyj\u261?\u322? prawid\u322?owo, \u380?e nie zwalnia\u322?o to Sp\u243?\u322?ki, na mocy ww. art. 33 ust. 1 RODO, z obowi\u261?zku zawiadomienia organu nadzoru o naruszeniu, tym bardziej, \u380?e sama potwierdzi\u322?a naruszenie.
\par 
\par Wbrew ponadto twierdzeniom Skar\u380?\u261?cej, Prezes UODO wydaj\u261?c zaskar\u380?an\u261? decyzj\u281? nie pomin\u261?\u322? wyj\u261?tku od zasady zg\u322?aszania organowi nadzorczemu narusze\u324? ochrony danych osobowych, przewidzianego w art. 33 ust. 1 RODO, lecz przyj\u261?\u322?, \u380?e wyj\u261?tek ten nie ma w sprawie zastosowania. Zgodnie z art. 33 ust. 1 zdanie pierwsze RODO w przypadku naruszenia ochrony danych osobowych, administrator bez zb\u281?dnej zw\u322?oki - w miar\u281? mo\u380?liwo\u347?ci, nie p\u243?\u378?niej ni\u380? w terminie 72 godzin po stwierdzeniu naruszenia - zg\u322?asza je organowi nadzorczemu w\u322?a\u347?ciwemu, zgodnie z art. 55 RODO, chyba \u380?e jest ma\u322?o prawdopodobne, by naruszenie to skutkowa\u322?o ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych.
\par 
\par Sp\u243?\u322?ka, twierdz\u261?c, \u380?e jest ma\u322?o prawdopodobne, by ww. naruszenie skutkowa\u322?o ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, powo\u322?ywa\u322?a si\u281? w wyja\u347?nieniach na r\u243?\u380?ne argumenty. Prezes UODO ustosunkowa\u322? si\u281? do tych twierdze\u324? w uzasadnieniu zaskar\u380?anej decyzji, prawid\u322?owo przyjmuj\u261?c, \u380?e podnoszona przez Sp\u243?\u322?k\u281? okoliczno\u347?\u263?, \u380?e w wyniku ww. naruszenia nie dosz\u322?o do powstania uszczerbku fizycznego, szk\u243?d maj\u261?tkowych lub niemaj\u261?tkowych u os\u243?b fizycznych, takich jak kontrola nad w\u322?asnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzie\u380? lub sfa\u322?szowanie to\u380?samo\u347?ci, strata finansowa, nieuprawnione odwr\u243?cenie pseudonimizacji, naruszenia dobrego imienia, naruszenie poufno\u347?ci danych osobowych chronionych tajemnic\u261? zawodow\u261? lub innych szk\u243?d gospodarczych lub spo\u322?ecznych, o kt\u243?rych mowa w motywie 85 Preambu\u322?y RODO, nie ma znaczenia dla stwierdzenia istnienia po stronie Sp\u243?\u322?ki obowi\u261?zku zg\u322?oszenia Prezesowi UODO naruszenia ochrony danych osobowych, zgodnie z art. 33 ust 1 RODO.
\par 
\par Trafna i odpowiadaj\u261?ca tre\u347?ci art. 80 k.p.a. by\u322?a ocena Prezesa UODO, \u380?e zwr\u243?cenie si\u281? przez Sp\u243?\u322?k\u281? tak\u380?e za po\u347?rednictwem Kontrahenta do Osoby trzeciej - nieuprawnionego odbiorcy \u8211? o trwa\u322?e usuni\u281?cie otrzymanej korespondencji, a nawet z\u322?o\u380?enie przez t\u281? osob\u281? o\u347?wiadczenia o trwa\u322?ym jej usuni\u281?ciu r\u243?wnie\u380? nie mia\u322?o wp\u322?ywu na ocen\u281? ryzyka naruszenia danych osobowych. Racjonalna by\u322?a bowiem ocena Prezesa UODO, \u380?e nie ma bowiem pewno\u347?ci, \u380?e przed tymi czynno\u347?ciami osoba ta nie wykona\u322?a np. kserokopii lub te\u380? nie utrwali\u322?a danych osobowych zawartych w tre\u347?ci dokumentu w inny spos\u243?b, np. poprzez ich spisanie. Samo dokonanie czynno\u347?ci wskazanych w o\u347?wiadczeniach z\u322?o\u380?onych przez Osob\u281? trzeci\u261? - nieuprawnionego odbiorc\u281? - nie daje gwarancji, \u380?e intencje takiej osoby obecnie lub w przysz\u322?o\u347?ci nie zmieni\u261? si\u281?, a ewentualne konsekwencje pos\u322?u\u380?enia si\u281? takimi kategoriami danych mog\u261? by\u263? znacz\u261?ce dla os\u243?b, kt\u243?rych dane obj\u281?te zosta\u322?y naruszeniem. W tym kontek\u347?cie nie spos\u243?b za zasadne uzna\u263? zarzut\u243?w skargi, uznaj\u261?cych, \u380?e oceny organu z tego zakresu s\u261? niesp\u243?jne i nielogiczne. To samo dotyczy o\u347?wiadczenia o zniszczeniu przez Osob\u281? trzeci\u261? otrzymanej korespondencji, gdy\u380? prawid\u322?owo wskazuje Prezes UODO, \u380?e Sp\u243?\u322?ka nie ma mo\u380?liwo\u347?ci jego weryfikacji, cho\u263? Osobie trzeciej gro\u380?\u261? sankcje karne i wynikaj\u261?ce z u.o.d.o.
\par 
\par S\u261?d stwierdza, \u380?e nie dopatrzy\u322? si\u281? niekonsekwencji w dzia\u322?aniach Prezesa UODO, kt\u243?ry podj\u261?\u322? dzia\u322?ania w zwi\u261?zku ze zg\u322?oszeniem dokonanym przez Osob\u281? trzeci\u261?, a nast\u281?pnie oceni\u322? na mocy swobodnej oceny dowod\u243?w o\u347?wiadczenia tej osoby z\u322?o\u380?one po 1 czerwca 2020r.
\par 
\par Prezes UODO podejmowa\u322? dzia\u322?ania prawem przewidziane i prawid\u322?owo zwr\u243?ci\u322? si\u281? do Skar\u380?\u261?cej z \u380?\u261?daniem z\u322?o\u380?enia wyja\u347?nie\u324?. Mia\u322? te\u380? prawo rozpatrze\u263? przed\u322?o\u380?one przez Sp\u243?\u322?k\u281?, stosownie do art. 77 \u167? 1 k.p.a. przed\u322?o\u380?one dowody, w tym poczynion\u261? przez Skar\u380?\u261?c\u261? analiz\u281? ryzyka wynikaj\u261?cego z zaistnia\u322?ego incydentu bezpiecze\u324?stwa danych osobowych. To, \u380?e Sp\u243?\u322?ka przyjmuje, \u380?e uwzgl\u281?dni\u322?a wytyczne ENISA, nie oznacza, \u380?e organ administracyjny nie mo\u380?e dokona\u263? ich weryfikacji. Ww. metodologia jest jedn\u261? z wielu, kt\u243?re administrator mo\u380?e wykorzysta\u263? w celu oceny ryzyka naruszenia praw lub wolno\u347?ci os\u243?b fizycznych zwi\u261?zanego z zaistnia\u322?ym naruszeniem ochrony danych osobowych, a Prezes UODO nie narzuca jej stosowania (jedynie informuje o jej istnieniu), a nast\u281?pnie mo\u380?e j\u261? zweryfikowa\u263? z uwzgl\u281?dnieniem og\u243?lnych zasad RODO. Celem tego rozporz\u261?dzenia (wyra\u380?onym w art. 1 ust. 2) jest ochrona podstawowych praw i wolno\u347?ci os\u243?b fizycznych, w szczeg\u243?lno\u347?ci ich prawa do ochrony danych osobowych oraz \u380?e ochrona os\u243?b fizycznych w zwi\u261?zku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 Preambu\u322?y RODO). W przypadku jakichkolwiek w\u261?tpliwo\u347?ci np. co do wykonania obowi\u261?zk\u243?w przez administrator\u243?w - r\u243?wnie\u380? w sytuacji, gdy dosz\u322?o do naruszenia ochrony danych osobowych - nale\u380?y w pierwszej kolejno\u347?ci bra\u263? pod uwag\u281? te warto\u347?ci.
\par 
\par Prawid\u322?owe by\u322?o ponadto odwo\u322?anie si\u281? przez Prezesa UODO do Wytycznych Grupy Roboczej Art. 29, tym bardziej, \u380?e organ w post\u281?powaniu wyja\u347?niaj\u261?cym w rozumieniu art. 58 ust. 1 lit. a i e RODO informowa\u322? Sp\u243?\u322?k\u281? o tre\u347?ci maj\u261?cych zastosowanie w sprawie wytycznych w zwi\u261?zku ze stosowaniem art. 33 ust. 1 RODO.
\par 
\par Zgodnie z art. 57 ust. 1 lit. a) RODO organ nadzorczy monitoruje i egzekwuje stosowanie tego rozporz\u261?dzenia, a wi\u281?c w szczeg\u243?lno\u347?ci weryfikuje spos\u243?b realizacji przez administrator\u243?w danych obowi\u261?zk\u243?w okre\u347?lonych w tym akcie prawnym. Obowi\u261?zkiem administratora wynikaj\u261?cym z art. 33 ust. 1 RODO jest dokonanie przez niego oceny ryzyka naruszenia praw lub wolno\u347?ci os\u243?b fizycznych wi\u261?\u380?\u261?cego si\u281? ze stwierdzonym naruszeniem. Prezes UODO, uznaj\u261?c, \u380?e ocena dokonana przez Sp\u243?\u322?k\u281? jest b\u322?\u281?dna, powinien da\u263? temu wyraz w uzasadnieniu zaskar\u380?onej decyzji.
\par 
\par Mia\u322?o to miejsce w sprawie. Prezes UODO prawid\u322?owo bowiem w okoliczno\u347?ciach faktycznych sprawy oceni\u322?, \u380?e Osoba trzecia - nieuprawniony odbiorca \u8211? nie by\u322? w \u347?wietle ww. Wytycznych "odbiorc\u261? zaufanym", lecz przypadkow\u261? osob\u261?, kt\u243?rej podwykonawca Kontrahenta Skar\u380?\u261?cej ujawni\u322? znaczn\u261? cz\u281?\u347?\u263? danych osobowych klient\u243?w Sp\u243?\u322?ki \u8211? 259 os\u243?b.
\par 
\par W \u347?wietle Wytycznych Grupy Roboczej Art. 29 za "odbiorc\u281? zaufanego" mo\u380?na uzna\u263? osob\u281?, z kt\u243?r\u261? administrator pozostawa\u322? w sta\u322?ych stosunkach i m\u243?g\u322? zna\u263? stosowane przez ni\u261? procedury oraz histori\u281? tej osoby, czy inne istotne szczeg\u243?\u322?y tej osoby dotycz\u261?ce. Z akt sprawy okoliczno\u347?ci te nie wynika\u322?y, jak r\u243?wnie\u380? Skar\u380?\u261?ca nie powo\u322?ywa\u322?a si\u281? na te okoliczno\u347?ci ani w prowadzonym przez Prezesa UODO post\u281?powaniu wyja\u347?niaj\u261?cym w rozumieniu art. 58 ust. 1 lit. a) i e) RODO ani w post\u281?powaniu administracyjnym poprzedzaj\u261?cym wydanie zaskar\u380?onej decyzji. Dodatkowo, w \u347?wietle zar\u243?wno uzasadnienia skargi, jak i okoliczno\u347?ci ustalonych przez organ wynika, \u380?e Osoba trzecia by\u322?a osob\u261?, z kt\u243?r\u261? Skar\u380?\u261?ca nie utrzymywa\u322?a \u380?adnych kontakt\u243?w i w zwi\u261?zku z ww. zdarzeniem udost\u281?pnienia danych osobowych kontaktowa\u322?a si\u281? z Osob\u261? trzeci\u261? przez swojego Kontrahenta. Tym samym mo\u380?liwym by\u322?o uznanie w zaskar\u380?onej decyzji, \u380?e ta okoliczno\u347?\u263? wskazywa\u322?a na istnienie ryzyka naruszenia praw lub wolno\u347?ci dla os\u243?b obj\u281?tych naruszeniem, cho\u263? ujawnienie danych nie by\u322?o zwi\u261?zane z wysokim ryzykiem naruszenia praw i wolno\u347?ci os\u243?b fizycznych.
\par 
\par Trafne by\u322?o w zwi\u261?zku z tym przyj\u281?cie przez Prezesa UODO, \u380?e Sp\u243?\u322?ka ju\u380? z tego powodu, powinna zg\u322?osi\u263? Prezesowi UODO ww. naruszenie danych osobowych, stosownie do art. 33 ust. 1 RODO. Organ racjonalnie te\u380? przyj\u261?\u322?, \u380?e samo dokonanie czynno\u347?ci wskazanych w o\u347?wiadczeniach z\u322?o\u380?onych przez Osob\u281? trzeci\u261? - nieuprawnionego odbiorc\u281? - nie dawa\u322?o gwarancji, \u380?e intencje takiej osoby w przysz\u322?o\u347?ci nie zmieni\u261? si\u281?, a ewentualne konsekwencje pos\u322?u\u380?enia si\u281? takimi kategoriami danych mog\u261? by\u263? znacz\u261?ce dla os\u243?b, kt\u243?rych dane obj\u281?te zosta\u322?y naruszeniem. Racj\u281? mia\u322? r\u243?wnie\u380? organ, \u380?e nawet, gdy Osoba trzecia z\u322?o\u380?y o\u347?wiadczenie o trwa\u322?ym usuni\u281?ciu otrzymanej korespondencji, nie ma pewno\u347?ci, \u380?e przed t\u261? czynno\u347?ci\u261? nie wykona\u322?a, np. kserokopii lub te\u380? nie utrwali\u322?a danych osobowych zawartych w tre\u347?ci dokumentu w inny spos\u243?b, np. poprzez ich spisanie. Prawid\u322?owo te\u380? wskazywa\u322? Prezes UODO, \u380?e Sp\u243?\u322?ka nie ma mo\u380?liwo\u347?ci weryfikacji o\u347?wiadczenia Osoby trzeciej o zniszczeniu otrzymanej omy\u322?kowo korespondencji od pracownika podwykonawcy Kontrahenta.
\par 
\par Prezes UODO, wbrew argumentacji przedstawionej w skardze, mia\u322? w tym zakresie r\u243?wnie\u380? uprawnienie do powo\u322?ania si\u281? na Wytyczne Grupy Roboczej Art. 29, gdy\u380? Sp\u243?\u322?ka by\u322?a o nich informowana w toku post\u281?powania wyja\u347?niaj\u261?cego, zgodnie z art. 8 k.p.a., a ponadto regulacje te maj\u261? znaczenie przy interpretacji przepis\u243?w RODO, kt\u243?re stosowano w sprawie. Z Wytycznych tych wynika, co mo\u380?e mie\u263? wp\u322?yw na ocen\u281? ryzyka naruszenia danych osobowych. Jedn\u261? z okoliczno\u347?ci jest to czy administrator wie, \u380?e dane osobowe znajduj\u261? si\u281? w r\u281?kach os\u243?b, kt\u243?rych zamiary s\u261? nieznane, lub kt\u243?re mog\u261? mie\u263? z\u322?e intencje, mo\u380?e mie\u263? znaczenie dla poziomu potencjalnego ryzyka. W takim przypadku mo\u380?e nast\u261?pi\u263? naruszenie dotycz\u261?ce poufno\u347?ci danych, polegaj\u261?ce na omy\u322?kowym ujawnieniu danych osobowych stronie trzeciej, zgodnie z definicj\u261? w art. 4 pkt 10 RODO, lub innemu odbiorcy. Skoro administrator, nie mo\u380?e ufa\u263? odbiorcy \u8211? Osobie trzeciej, aby m\u243?c racjonalnie oczekiwa\u263?, \u380?e nie odczyta omy\u322?kowo wys\u322?anych danych lub nie uzyska do nich wgl\u261?du oraz \u380?e wype\u322?ni polecenie ich odes\u322?ania czy zniszczenia, powinien podj\u261?\u263? kroki, o kt\u243?rych mowa w art. 33 ust. 1 RODO - zg\u322?oszenia przez Sp\u243?\u322?k\u281? stwierdzenia naruszenia ochrony danych osobowych.
\par 
\par Tym samym, wbrew stanowisku Skar\u380?\u261?cej, z powodu powy\u380?szych okoliczno\u347?ci nale\u380?a\u322?o przyj\u261?\u263?, \u380?e w sprawie nie zasz\u322?a przes\u322?anka do wy\u322?\u261?czenia stosowania art. 33 ust. 1 RODO - ujawnienie danych nie by\u322?o ma\u322?o prawdopodobne, lecz skutkowa\u322?o ryzykiem naruszenia praw i wolno\u347?ci os\u243?b fizycznych. Stanowisko Prezesa UODO z tego zakresu by\u322?o racjonalne, oparte o materia\u322? dowodowy znajduj\u261?cy si\u281? w aktach sprawy i mie\u347?ci\u322?o si\u281? w dyspozycji art. 80 k.p.a. w zwi\u261?zku z art. 77 \u167? 1 k.p.a. Organ, wbrew stanowisku prezentowanemu w skardze i w pi\u347?mie procesowym Sp\u243?\u322?ki z 25 czerwca 2021r., nie odm\u243?wi\u322? mocy dowodowej o\u347?wiadczeniom z\u322?o\u380?onym przez Osob\u281? trzeci\u261?, lecz oceni\u322? je z uwzgl\u281?dnieniem zasad logiki i przydatno\u347?ci w rozpoznawanej sprawie, w kontek\u347?cie przes\u322?anek z art. 33 ust. 1 RORO. Oceny organu w tym zakresie nie nosi\u322?y cech dowolno\u347?ci, lecz mie\u347?ci\u322?y si\u281? w tre\u347?ci art. 80 k.p.a. Prezes UODO s\u322?usznie uzna\u322?, \u380?e samo dokonanie czynno\u347?ci wskazanych w o\u347?wiadczeniach z\u322?o\u380?onych przez Osob\u281? trzeci\u261? - nieuprawnionego odbiorc\u281? - nie daje gwarancji, \u380?e intencje takiej osoby obecnie lub w przysz\u322?o\u347?ci nie zmieni\u261? si\u281?, a ewentualne konsekwencje pos\u322?u\u380?enia si\u281? takimi kategoriami danych mog\u261? by\u263? znacz\u261?ce dla os\u243?b, kt\u243?rych dane obj\u281?te zosta\u322?y naruszeniem. Wbrew argumentacji skargi, okoliczno\u347?\u263?, \u380?e osoba dotkni\u281?ta naruszeniem mog\u322?aby si\u281? dowiedzie\u263? o wykorzystaniu jej danych, nie wp\u322?ywa na zmniejszenie ryzyka naruszenia praw lub wolno\u347?ci w omawianym przypadku. Racj\u281? mia\u322? bowiem Prezes UODO wskazuj\u261?c w uzasadnieniu zaskar\u380?onej decyzji, \u380?e Sp\u243?\u322?ka nie ma realnej mo\u380?liwo\u347?ci weryfikacji, czy nieuprawniony odbiorca faktycznie dokona\u322? czynno\u347?ci wskazanych w o\u347?wiadczeniu (w tym, czy trwale usun\u261?\u322? udost\u281?pnione mu omy\u322?kowo dane osobowe). Dlatego nie jest istotne to, czy nieuprawniony odbiorca faktycznie wykorzysta\u322? dane osobowe, do kt\u243?rych otrzymania nie by\u322? uprawniony. Istotny jest fakt, \u380?e dosz\u322?o do sytuacji, w kt\u243?rej osoba nieuprawniona mia\u322?a mo\u380?liwo\u347?\u263? wykorzystania danych, kt\u243?re zosta\u322?y jej udost\u281?pnione w wyniku zaistnia\u322?ego naruszenia ochrony danych osobowych, a wi\u281?c do sytuacji, w kt\u243?rej powsta\u322?o ryzyko naruszenia praw lub wolno\u347?ci os\u243?b, kt\u243?rych te dane dotycz\u261?.
\par 
\par Zdaniem S\u261?du Prezes UODO prawid\u322?owo oceni\u322?, \u380?e skutkowa\u322?o to ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych. Grupa Robocza Art. 29 wskazuje w Wytycznych, \u380?e oceniaj\u261?c ryzyko dla os\u243?b fizycznych, b\u281?d\u261?ce wynikiem naruszenia, administrator powinien uwzgl\u281?dni\u263? konkretne okoliczno\u347?ci naruszenia, w tym wag\u281? potencjalnego wp\u322?ywu i prawdopodobie\u324?stwo jego wyst\u261?pienia. W trakcie oceny nale\u380?y bra\u263? pod uwag\u281?: liczb\u281? os\u243?b fizycznych, na kt\u243?re naruszenie wywiera wp\u322?yw. Naruszenie mo\u380?e dotyczy\u263? tylko jednej osoby, kilku os\u243?b lub kilku tysi\u281?cy os\u243?b - albo du\u380?o wi\u281?kszej ich liczby. Zazwyczaj potencjalny wp\u322?yw naruszenia wzrasta wraz z liczb\u261? os\u243?b, kt\u243?rych ono dotyczy. Jednak w zale\u380?no\u347?ci od charakteru danych osobowych oraz kontekstu, w kt\u243?rym zosta\u322?y one ujawnione, naruszenie mo\u380?e mie\u263? powa\u380?ne konsekwencje nawet dla jednej osoby. R\u243?wnie\u380? w tym wypadku najwa\u380?niejsze jest przeanalizowanie prawdopodobie\u324?stwa wyst\u261?pienia konsekwencji dla os\u243?b, na kt\u243?re naruszenie ma wp\u322?yw, oraz tego, jak powa\u380?ne b\u281?d\u261? te konsekwencje.
\par 
\par Prezes UODO s\u322?usznie wskaza\u322?, \u380?e naruszenie w sprawie dotyczy wielu os\u243?b, co w spos\u243?b istotny podnosi wag\u281? naruszenia i prawdopodobie\u324?stwo zmaterializowania si\u281? zagro\u380?e\u324? zwi\u261?zanych z naruszeniem. Prawid\u322?owe by\u322?o te\u380? wskazanie przez organ, \u380?e nie bez znaczenia dla takiej oceny ryzyka jest mo\u380?liwo\u347?\u263? \u322?atwej - w oparciu o ujawnione dane - identyfikacji os\u243?b, kt\u243?rych dane obj\u281?to naruszeniem. Fakt, \u380?e w wyniku naruszenia nie dosz\u322?o do ujawnienia np. PESEL os\u243?b nim dotkni\u281?tych, nie oznacza, \u380?e os\u243?b tych nie mo\u380?na zidentyfikowa\u263?. Wyst\u281?puje wi\u281?c ryzyko naruszenia praw lub wolno\u347?ci os\u243?b obj\u281?tych naruszeniem, co skutkuje powstaniem obowi\u261?zku zg\u322?oszenia organowi nadzorczemu przez Sp\u243?\u322?k\u281? (administratora danych) naruszenia ochrony danych osobowych, zgodnie z art. 33 ust. 1 RODO, w kt\u243?rym musz\u261? si\u281? znale\u378?\u263? informacje okre\u347?lone w art. 33 ust. 3 RODO. Mo\u380?liwym ryzykiem zwi\u261?zanym z ww. zdarzeniem jest w szczeg\u243?lno\u347?ci utrata przez osoby, kt\u243?rych dane dotycz\u261?, kontroli nad ich danymi. Dane te mog\u261? np. pos\u322?u\u380?y\u263? osobom, kt\u243?re wejd\u261? w ich posiadanie, np. do niechcianych przez osoby, kt\u243?rych dane dotycz\u261?, kontakt\u243?w przez e-mail lub telefon \u8211? r\u243?wnie\u380? takich, w czasie kt\u243?rych podj\u281?te zostan\u261? pr\u243?by uzyskania dodatkowych danych tych os\u243?b. Wreszcie przy wykorzystaniu tych danych mog\u261? zosta\u263? za\u322?o\u380?one konta w r\u243?\u380?nego rodzaju serwisach spo\u322?eczno\u347?ciowych i portalach internetowych, co mo\u380?e mie\u263? negatywny wp\u322?yw na postrzeganie tych os\u243?b w ich \u347?rodowisku zawodowym czy rodzinnym, a nawet prowadzi\u263? do ich dyskryminacji. W przypadku ww. naruszenia ochrony danych osobowych istnieje ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych. Skoro z art. 33 ust. 1 RODO wynika, \u380?e mo\u380?liwe konsekwencje zdarzenia nie musz\u261? si\u281? zmaterializowa\u263?, to prawid\u322?owo uznani w zaskar\u380?onej decyzji, \u380?e wyst\u261?pienie naruszenia ochrony danych osobowych, z kt\u243?rym wi\u261?\u380?e si\u281? ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, implikuje obowi\u261?zek zg\u322?oszenia naruszenia w\u322?a\u347?ciwemu organowi nadzorczemu.
\par 
\par Zdaniem S\u261?du Prezes UODO trafnie ponadto przyj\u261?\u322? w uzasadnieniu zaskar\u380?onej decyzji, \u380?e podnoszona przez Sp\u243?\u322?k\u281? okoliczno\u347?\u263?, \u380?e w wyniku naruszenia nie dosz\u322?o do powstania uszczerbku fizycznego, szk\u243?d maj\u261?tkowych lub niemaj\u261?tkowych u os\u243?b fizycznych, takich jak kontrola nad w\u322?asnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzie\u380? lub sfa\u322?szowanie to\u380?samo\u347?ci, strata finansowa, nieuprawnione odwr\u243?cenie pseudonimizacji, naruszenia dobrego imienia, naruszenie poufno\u347?ci danych osobowych chronionych tajemnic\u261? zawodow\u261? lub innych szk\u243?d gospodarczych lub spo\u322?ecznych, o kt\u243?rych mowa w motywie 85 Preambu\u322?y RODO, nie ma znaczenia przy stwierdzeniu istnienia po stronie Sp\u243?\u322?ki obowi\u261?zku zg\u322?oszenia Prezesowi UODO naruszenia ochrony danych osobowych, zgodnie z art. 33 ust 1 RODO.
\par 
\par Wbrew stanowisku skargi, organ w uzasadnieniu zaskar\u380?onej decyzji nie pomin\u261?\u322? ani analizy ryzyka dokonanej przez Skar\u380?\u261?c\u261? z uwzgl\u281?dnieniem ENISA, ani z\u322?o\u380?enia ww. o\u347?wiadcze\u324? przez nieuprawnionego odbiorc\u281?, lecz zweryfikowa\u322? je i na tej podstawie przyj\u261?\u322?, \u380?e nie stanowi\u322?y one podstawy do zamkni\u281?cia incydentu. Organ racjonalnie oceni\u322? te\u380?, \u380?e zgromadzony w sprawie materia\u322? dowodowy nie \u347?wiadczy\u322? o tym, \u380?e z zaistnia\u322?ym naruszeniem wi\u261?za\u322?o si\u281? ma\u322?e prawdopodobie\u324?stwo naruszenia praw lub wolno\u347?ci os\u243?b nim dotkni\u281?tych, co uzasadnia\u322?oby brak zg\u322?oszenia organowi nadzorczemu jego zaistnienia. Prezes UODO w pi\u347?mie z 14 lipca 2020r., skierowanym do Skar\u380?\u261?cej, maj\u261?c na wzgl\u281?dzie art. 8 \u167? 1 k.p.a., podj\u261?\u322? pr\u243?b\u281? wyja\u347?nienia Skar\u380?\u261?cej jakie mog\u261? by\u263? konsekwencje zaistnia\u322?ego naruszenia. Organ w pi\u347?mie tym ponownie pouczy\u322? Skar\u380?\u261?c\u261? (pierwsze pouczenie zawarto w skierowanym do Sp\u243?\u322?ki pi\u347?mie z 16 czerwca 2020r.) o tre\u347?ci art. 33 ust. 1 RODO, a tak\u380?e przybli\u380?y\u322? w odpowiednim zakresie tre\u347?\u263? Wytycznych Grupy Roboczej Art. 29, dotycz\u261?cych zg\u322?aszania narusze\u324? ochrony danych osobowych zgodnie z rozporz\u261?dzeniem 2016/679 (WP250rev.01). Prezes UODO, udzielaj\u261?c tych wskaz\u243?wek, zwr\u243?ci\u322? si\u281? do Sp\u243?\u322?ki o udzielenie informacji, czy w zwi\u261?zku z zaistnia\u322?ym zdarzeniem dokona\u322?a ponownej analizy incydentu pod k\u261?tem ryzyka naruszenia praw lub wolno\u347?ci os\u243?b fizycznych (niezb\u281?dna do oceny, czy dosz\u322?o do naruszenia ochrony danych skutkuj\u261?cego konieczno\u347?ci\u261? zawiadomienia Prezesa UODO oraz os\u243?b, kt\u243?rych dotyczy naruszenie) nie dlatego, \u380?e ta ponowna analiza jest wymagana, lecz dlatego, i\u380? zak\u322?ada\u322?, \u380?e Sp\u243?\u322?ka we\u378?mie te wskaz\u243?wki pod uwag\u281? i dojdzie do innych ni\u380? pierwotne wniosk\u243?w. Tak si\u281? jednak nie sta\u322?o.
\par 
\par S\u261?d nie ma te\u380? podstaw do zakwestionowania stanowiska Prezesa UODO, \u380?e podj\u281?te przez Skar\u380?\u261?c\u261?, wykazane w korespondencji z organem nadzorczym, a w szczeg\u243?lno\u347?ci w odpowiedzi na zawiadomienie o wszcz\u281?ciu post\u281?powania administracyjnego oraz w pi\u347?mie z 21 stycznia 2021r., dzia\u322?ania maj\u261?ce na celu zminimalizowanie ryzyka ponownego wyst\u261?pienia naruszenia danych osobowych, nie eliminowa\u322?y obowi\u261?zku Sp\u243?\u322?ki zg\u322?oszenia, zgodnie z art. 33 ust. 1 RODO, stwierdzonego naruszenia ochrony danych osobowych. Charakter tych dzia\u322?a\u324? wskazywa\u322?, \u380?e mia\u322?y one zapobiec wyst\u261?pieniu tego typu narusze\u324? w przysz\u322?o\u347?ci, ale nie wp\u322?ywaj\u261? na ocen\u281?, \u380?e w zwi\u261?zku z wyst\u261?pieniem ww. naruszenia istnieje ryzyko naruszenia praw i wolno\u347?ci. Grupa Robocza Art. 29 w Wytycznych wskazuje wyra\u378?nie, \u380?e "w przypadku jakichkolwiek w\u261?tpliwo\u347?ci administrator powinien zg\u322?osi\u263? naruszenie, nawet, je\u347?li taka ostro\u380?no\u347?\u263? mog\u322?aby si\u281? okaza\u263? nadmierna".
\par 
\par S\u261?d za niezrozumia\u322?e uznaje twierdzenie skargi, \u380?e Sp\u243?\u322?ka ju\u380? w pi\u347?mie z 25 czerwca 2020r., to jest zg\u322?oszeniu przekazanym UODO, po up\u322?ywie 72 godzin do\u322?\u261?czy\u322?a wyja\u347?nienie dzia\u322?a\u324? podj\u281?tych celem zapobie\u380?enia zaistnieniu ewentualnej szkody oraz przyczyn op\u243?\u378?nienia lub te\u380? braku zg\u322?oszenia incydentu wraz z wyczerpuj\u261?cym opisem wymaganym tre\u347?ci\u261? art. 33 ust. 3 RODO. Z pisma wys\u322?anego do UODO 30 czerwca 2020r. wynika bowiem, \u380?e "poziom szacowanego ryzyka nie kwalifikuje zdarzenia pod zg\u322?oszenie do Prezesa Urz\u281?du Ochrony Danych Osobowych". Sp\u243?\u322?ka r\u243?wnie\u380? p\u243?\u378?niej, konsekwentnie wskazywa\u322?a, \u380?e w sprawie nie zasz\u322?y okoliczno\u347?ci uzasadniaj\u261?ce zg\u322?oszenie organowi nadzorczemu naruszenia danych osobowych.
\par 
\par S\u261?d stwierdza ponadto, \u380?e racj\u281? mia\u322? Prezes UODO, wskazuj\u261?c, \u380?e Sp\u243?\u322?ka, dopuszczaj\u261?c mo\u380?liwo\u347?\u263? wykorzystania do komunikacji z Kontrahentem poczt\u281? elektroniczn\u261?, powinna mie\u263? \u347?wiadomo\u347?\u263? ryzyk zwi\u261?zanych np. z za\u322?\u261?czeniem do przesy\u322?anej wiadomo\u347?ci niew\u322?a\u347?ciwego za\u322?\u261?cznika. Istnienie tych ryzyk, w sytuacji braku dzia\u322?a\u324? administratora danych, maj\u261?cych na celu ich minimalizacj\u281? przez wdro\u380?enie odpowiednich \u347?rodk\u243?w organizacyjnych i technicznych, jak np. szyfrowanie przesy\u322?anych w ten spos\u243?b dokument\u243?w, prowadzi wprost do powstania ryzyka naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, kt\u243?rych dane takim kana\u322?em komunikacji s\u261? przesy\u322?ane. Organ, wbrew argumentacji skargi, nie wskazywa\u322? natomiast w uzasadnieniu zaskar\u380?onej decyzji, \u380?e Sp\u243?\u322?ka ponosi odpowiedzialno\u347?\u263? za dzia\u322?ania Kontrahenta. Wyja\u347?ni\u322? za\u347? prawid\u322?owo, \u380?e Sp\u243?\u322?ka powinna w okoliczno\u347?ciach faktycznych zg\u322?osi\u263? organowi nadzorczemu naruszenia danych osobowych, stosownie do art. 33 ust. 1 RODO.
\par 
\par Prezes UODO trafnie te\u380? wskaza\u322?, \u380?e mo\u380?liwe konsekwencje zdarzenia naruszenia danych osobowych nie musz\u261? si\u281? zmaterializowa\u263? \u8211? gdy\u380? w art. 33 ust. 1 RODO mowa o tym, \u380?e samo wyst\u261?pienie naruszenia ochrony danych osobowych, z kt\u243?rym wi\u261?\u380?e si\u281? ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, implikuje obowi\u261?zek zg\u322?oszenia naruszenia w\u322?a\u347?ciwemu organowi nadzorczemu. Podnoszona przez Sp\u243?\u322?k\u281? okoliczno\u347?\u263?, \u380?e w wyniku naruszenia nie dosz\u322?o do powstania uszczerbku fizycznego lub szk\u243?d u os\u243?b fizycznych, nie ma znaczenia dla stwierdzenia istnienia po stronie Sp\u243?\u322?ki obowi\u261?zku zg\u322?oszenia Prezesowi UODO naruszenia ochrony danych osobowych, zgodnie z ww. przepisem.
\par 
\par S\u261?d, maj\u261?c powy\u380?sze okoliczno\u347?ci na wzgl\u281?dzie uzna\u322?, \u380?e na uwzgl\u281?dnienie nie zas\u322?ugiwa\u322? ca\u322?okszta\u322?t zarzut\u243?w procesowych skargi, w tym przede wszystkim naruszenia art. 75, art. 77 \u167? 1 i art. 80 k.p.a., jak r\u243?wnie\u380? zarzuty naruszenia przepisu prawa materialnego - art. 33 ust. 1 i 3 i art. 24 RODO.
\par 
\par S\u261?d zauwa\u380?a ponadto, \u380?e skoro organ administracyjny w rozpoznawanej sprawie nie stosowa\u322? ani przepis\u243?w k.c., ani przepis\u243?w k.p.c., a ponadto nie by\u322? uprawniony do ich stosowania, zarzuty z tego zakresu, ani zwi\u261?zana z nimi argumentacja skargi nie mog\u322?y r\u243?wnie\u380? by\u263? uznane za zasadne.
\par 
\par Zdaniem S\u261?du na uwzgl\u281?dnienie nie zas\u322?ugiwa\u322?y ponadto zarzuty skargi o naruszeniu przepis\u243?w RODO, a w szczeg\u243?lno\u347?ci, art. 83 ust. 2 lit. a)-g) RODO. Prezes UODO w uzasadnieniu zaskar\u380?onej decyzji wskaza\u322? bowiem powody zastosowania wobec Skar\u380?\u261?cej sankcji \u8211? administracyjnej kary pieni\u281?\u380?nej. Organ nie pomin\u261?\u322? wyja\u347?nie\u324? sk\u322?adanych przez Skar\u380?\u261?c\u261?, lecz na podstawie ca\u322?o\u347?ciowej analizy materia\u322?u dowodowego przyj\u261?\u322?, \u380?e w zaistnia\u322?ej sytuacji dosz\u322?o do naruszenia przez Sp\u243?\u322?k\u281? art. 33 ust. 1 RODO. Organ by\u322? wi\u281?c uprawniony do wymierzenia Sp\u243?\u322?ce administracyjnej kary pieni\u281?\u380?nej, na podstawie art. 83 ust. 4 lit. a) w zwi\u261?zku z art. 58 ust. 2 lit. i) RODO w zwi\u261?zku z art. 101 i art. 103 u.o.d.o. i przy uwzgl\u281?dnieniu czynnik\u243?w indywidualizuj\u261?cych wymiar kary, o kt\u243?rych mowa w art. 83 ust. 1-3 RODO.
\par 
\par Art. 83 ust. 2 RODO stanowi, \u380?e administracyjne kary pieni\u281?\u380?ne nak\u322?ada si\u281?, zale\u380?nie od okoliczno\u347?ci ka\u380?dego indywidualnego przypadku, opr\u243?cz lub zamiast \u347?rodk\u243?w, o kt\u243?rych mowa w art. 58 ust. 2 lit. a)-h) oraz j). Decyduj\u261?c, czy na\u322?o\u380?y\u263? administracyjn\u261? kar\u281? pieni\u281?\u380?n\u261?, oraz ustalaj\u261?c jej wysoko\u347?\u263?, zwraca si\u281? w ka\u380?dym indywidualnym przypadku nale\u380?yt\u261? uwag\u281? na:
\par 
\par a) charakter, wag\u281? i czas trwania naruszenia przy uwzgl\u281?dnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych os\u243?b, kt\u243?rych dane dotycz\u261?, oraz rozmiaru poniesionej przez nie szkody;
\par 
\par b) umy\u347?lny lub nieumy\u347?lny charakter naruszenia;
\par 
\par c) dzia\u322?ania podj\u281?te przez administratora lub podmiot przetwarzaj\u261?cy w celu zminimalizowania szkody poniesionej przez osoby, kt\u243?rych dane dotycz\u261?;
\par 
\par d) stopie\u324? odpowiedzialno\u347?ci administratora lub podmiotu przetwarzaj\u261?cego z uwzgl\u281?dnieniem \u347?rodk\u243?w technicznych i organizacyjnych wdro\u380?onych przez nich na mocy art. 25 i 32;
\par 
\par e) wszelkie stosowne wcze\u347?niejsze naruszenia ze strony administratora lub podmiotu przetwarzaj\u261?cego;
\par 
\par f) stopie\u324? wsp\u243?\u322?pracy z organem nadzorczym w celu usuni\u281?cia naruszenia oraz z\u322?agodzenia jego ewentualnych negatywnych skutk\u243?w;
\par 
\par g) kategorie danych osobowych, kt\u243?rych dotyczy\u322?o naruszenie;
\par 
\par h) spos\u243?b, w jaki organ nadzorczy dowiedzia\u322? si\u281? o naruszeniu, w szczeg\u243?lno\u347?ci, czy i w jakim zakresie administrator lub podmiot przetwarzaj\u261?cy zg\u322?osili naruszenie;
\par 
\par i) je\u380?eli wobec administratora lub podmiotu przetwarzaj\u261?cego, kt\u243?rych sprawa dotyczy, zosta\u322?y wcze\u347?niej zastosowane w tej samej sprawie \u347?rodki, o kt\u243?rych mowa w art. 58 ust. 2 - przestrzeganie tych \u347?rodk\u243?w;
\par 
\par j) stosowanie zatwierdzonych kodeks\u243?w post\u281?powania na mocy art. 40 lub zatwierdzonych mechanizm\u243?w certyfikacji na mocy art. 42; oraz
\par 
\par k) wszelkie inne obci\u261?\u380?aj\u261?ce lub \u322?agodz\u261?ce czynniki maj\u261?ce zastosowanie do okoliczno\u347?ci sprawy, takie jak osi\u261?gni\u281?te bezpo\u347?rednio lub po\u347?rednio w zwi\u261?zku z naruszeniem korzy\u347?ci finansowe lub unikni\u281?te straty.
\par 
\par Zdaniem S\u261?du, Prezes UODO w spos\u243?b nale\u380?yty wzi\u261?\u322? pod rozwag\u281? przy okre\u347?laniu wysoko\u347?ci kary pieni\u281?\u380?nej okoliczno\u347?ci w postaci podejmowanych przez administratora \u8211? Sp\u243?\u322?k\u281? \u8211? dzia\u322?a\u324? maj\u261?cych na celu wyeliminowanie narusze\u324?. Tym niemniej Prezes UODO s\u322?usznie przyj\u261?\u322?, \u380?e cho\u263? Sp\u243?\u322?ka wsp\u243?\u322?pracowa\u322?a z organem przed wszcz\u281?ciem post\u281?powania administracyjnego, nie dokona\u322?a najistotniejszej z punktu widzenia art. 33 ust. 1 RODO czynno\u347?ci - zg\u322?oszenia organowi nadzoru naruszenia ochrony danych osobowych, cho\u263? by\u322?a wielokrotnie pouczana o potrzebie tego rodzaju dzia\u322?ania, z wyja\u347?nieniem interpretacji dokonanej przez Grup\u281? Robocz\u261? Art. 29 w ww. Wytycznych przyj\u281?tych 3 pa\u378?dziernika 2017r., a dotycz\u261?cych zg\u322?aszania narusze\u324? ochrony danych osobowych zgodnie z RODO. Wskazano w nich, o czym mowa wy\u380?ej, \u380?e administrator, oceniaj\u261?c ryzyko dla os\u243?b fizycznych, b\u281?d\u261?ce wynikiem naruszenia powinien uwzgl\u281?dni\u263? "konkretne okoliczno\u347?ci naruszenia, w tym wag\u281? potencjalnego wp\u322?ywu i prawdopodobie\u324?stwo jego wyst\u261?pienia" oraz w trakcie oceny bra\u263? pod uwag\u281? kryteria wskazane w Wytycznych. Wyja\u347?niono w nich, \u380?e administrator "podczas oceny ryzyka, kt\u243?re mo\u380?e powsta\u263? w wyniku naruszenia, powinien \u322?\u261?cznie uwzgl\u281?dni\u263? wag\u281? potencjalnego wp\u322?ywu na prawa i wolno\u347?ci os\u243?b fizycznych i prawdopodobie\u324?stwo jego wyst\u261?pienia. Oczywi\u347?cie ryzyko wzrasta, gdy konsekwencje naruszenia s\u261? powa\u380?niejsze, jak r\u243?wnie\u380? wtedy, gdy wzrasta prawdopodobie\u324?stwo ich wyst\u261?pienia. W przypadku jakichkolwiek w\u261?tpliwo\u347?ci administrator powinien zg\u322?osi\u263? naruszenie, nawet je\u347?li taka ostro\u380?no\u347?\u263? mog\u322?aby si\u281? okaza\u263? nadmierna".
\par 
\par S\u261?d, maj\u261?c na wzgl\u281?dzie art. 83 ust. 2 lit. a) RODO wskazuje, \u380?e Prezes UODO w spos\u243?b prawid\u322?owy wyja\u347?ni\u322? Sp\u243?\u322?ce kwesti\u281? charakteru naruszenia, jak r\u243?wnie\u380? jego wag\u281?, maj\u261?c na wzgl\u281?dzie okoliczno\u347?ci wynikaj\u261?ce z ustale\u324? organu, jak r\u243?wnie\u380? te przedstawiane przez Sp\u243?\u322?k\u281? w toku post\u281?powania wyja\u347?niaj\u261?cego w rozumieniu art. 58 ust. 1 lit. a i e) RODO oraz w toku post\u281?powania administracyjnego. S\u261?d w zwi\u261?zku z tym uznaje, \u380?e organ nie naruszy\u322? ww. przepisu art. 83 ust. 2 lit. a) RODO. Zdaniem S\u261?du skoro Sp\u243?\u322?ka nie zg\u322?osi\u322?a Prezesowi UODO od 1 czerwca 2020r. do dnia wydania zaskar\u380?onej decyzji \u8211? [...] luty 2021r. - naruszenia danych osobowych, stosownie do art. 33 ust. 1 RODO, nale\u380?a\u322?o przyj\u261?\u263?, \u380?e czas trwania naruszenia ww. przepisu by\u322? znaczny. Warto te\u380? wskaza\u263?, \u380?e organ przy wymiarze kary m\u243?g\u322? te\u380? uwzgl\u281?dni\u263? i to, \u380?e Sp\u243?\u322?ka w post\u281?powaniu wyja\u347?niaj\u261?cym, przed przes\u322?aniem Prezesowi UODO 30 pa\u378?dziernika 2020r., kopii o\u347?wiadczenia podpisanego przez Osob\u281? trzeci\u261? informowa\u322?a UODO jedynie o o\u347?wiadczeniu dotycz\u261?cym trwa\u322?ego usuni\u281?cia przez t\u281? osob\u281? danych, ale nie udost\u281?pni\u322?a go organowi. Dodatkowo ww. o\u347?wiadczenie przekazane 30 pa\u378?dziernika 2020r., opatrzono dat\u261? 18 wrze\u347?nia 2020r., co oznacza, \u380?e z\u322?o\u380?ono je po 4 miesi\u261?cach od stwierdzenia naruszenia.
\par 
\par S\u261?d, maj\u261?c powy\u380?sze na wzgl\u281?dzie, jak r\u243?wnie\u380? ca\u322?okszta\u322?t okoliczno\u347?ci opisanych w uzasadnieniu zaskar\u380?onej decyzji, uzna\u322?, \u380?e Prezes UODO precyzyjnie okre\u347?li\u322? okoliczno\u347?ci decyduj\u261?ce o konieczno\u347?ci na\u322?o\u380?enia na Sp\u243?\u322?k\u281? administracyjnej kary pieni\u281?\u380?nej oraz czynniki maj\u261?ce wp\u322?yw na jej wysoko\u347?\u263?, stosownie do art. 83 ust. 2 lit. a) - k) RODO. Skoro w okoliczno\u347?ciach faktycznych sprawy Sp\u243?\u322?ka naruszy\u322?a jeden z podstawowych obowi\u261?zk\u243?w okre\u347?lony w art. 33 ust. 1 RODO, mo\u380?liwe by\u322?o zastosowanie art. 83 ust. 2 RODO.
\par 
\par Zdaniem S\u261?du Prezes UODO trafnie przyj\u261?\u322?, \u380?e warto\u347?\u263? na\u322?o\u380?onej kary spe\u322?ni funkcje przewidziane w art. 83 ust. 1 RODO: skuteczno\u347?\u263? w indywidualnym przypadku (Sp\u243?\u322?ka profesjonalnie i na skal\u281? masow\u261? przetwarza dane osobowe), proporcjonalno\u347?\u263?, adekwatno\u347?\u263?, prewencyjno\u347?\u263? i odstraszenie, gdy\u380? kar\u281? okre\u347?lono na 136.437 z\u322?, a maksymalna jej wysoko\u347?\u263? wynosi do 10.000.000 EURO i do 2% ca\u322?kowitego rocznego \u347?wiatowego obrotu z poprzedniego roku obrotowego. Organ, ustalaj\u261?c wysoko\u347?\u263? sankcji okre\u347?lonej w zaskar\u380?onej decyzji, uwzgl\u281?dni\u322? zar\u243?wno liczb\u281? poszkodowanych os\u243?b, kt\u243?rych dane osobowe zosta\u322?y ujawnione osobie nieuprawnionej \u8211? 259 os\u243?b, jak r\u243?wnie\u380? wi\u261?\u380?\u261?ce si\u281? z tym ryzyko naruszenia ich praw lub wolno\u347?ci (art. 83 ust. 2 lit. a RODO); d\u322?ugi czas trwania naruszenia (art. 83 ust. 2 lit. a) RODO), gdy\u380? Sp\u243?\u322?ka od powzi\u281?cia informacji o naruszeniu ochrony danych osobowych - 1 czerwca 2020r. - do wydania decyzji, nie wykona\u322?a obowi\u261?zku wynikaj\u261?cego z art. 33 RODO; umy\u347?lny charakter naruszenia (art. 83 ust. 2 lit. b) RODO), gdy\u380? Sp\u243?\u322?ka podj\u281?\u322?a \u347?wiadom\u261? decyzj\u281?, by nie zawiadamia\u263? Prezesa UODO o naruszeniu, cho\u263? organ w kierowanych do Sp\u243?\u322?ki pismach w toku post\u281?powania wyja\u347?niaj\u261?cego (w rozumieniu art. 58 ust. 1 lit. a) i e) RODO) informowa\u322? o tre\u347?ci art. 33 ust. 1 RODO i ryzyku naruszenia praw lub wolno\u347?ci os\u243?b, kt\u243?rych dotyczy\u322?o naruszenie w zwi\u261?zku z przes\u322?aniem danych do nieuprawnionego odbiorcy, jak r\u243?wnie\u380? o ww. Wytycznych wypracowany przez w\u322?a\u347?ciwy organ; stopie\u324? odpowiedzialno\u347?ci administratora (Skar\u380?\u261?cej) z uwzgl\u281?dnieniem \u347?rodk\u243?w technicznych i organizacyjnych wdro\u380?onych przez niego, na mocy art. 25 i 32 (art. 83 ust. 2 lit. d) RODO) - naruszenie wi\u261?za\u322?o si\u281? z brakiem wdro\u380?enia lub nieprawid\u322?owym wdro\u380?eniem przez Sp\u243?\u322?k\u281? \u347?rodk\u243?w organizacyjnych i technicznych zapewniaj\u261?cych bezpiecze\u324?stwo danych, np. szyfrowania plik\u243?w zawieraj\u261?cych dane osobowe, kt\u243?re s\u261? przesy\u322?ane w wiadomo\u347?ciach elektronicznych; stopie\u324? wsp\u243?\u322?pracy z organem nadzorczym, w celu usuni\u281?cia naruszenia oraz z\u322?agodzenia jego ewentualnych negatywnych skutk\u243?w (art. 83 ust. 2 lit. f) RODO), gdy\u380? Sp\u243?\u322?ka w spos\u243?b niezadowalaj\u261?cy zareagowa\u322?a na pisma kierowane przez Prezesa UODO w toku post\u281?powania wyja\u347?niaj\u261?cego w rozumieniu art. 58 ust. 1 lit. a) i e) RODO, wskazuj\u261?ce na mo\u380?liwo\u347?\u263? istnienia ryzyka naruszenia praw lub wolno\u347?ci os\u243?b i nie zg\u322?osi\u322?a Prezesowi UODO naruszenia w trybie art. 33 ust. 1 RODO.
\par 
\par Prezes UODO, ustalaj\u261?c wysoko\u347?\u263? administracyjnej kary pieni\u281?\u380?nej, uwzgl\u281?dni\u322? te\u380? okoliczno\u347?ci \u322?agodz\u261?ce, maj\u261?ce wp\u322?yw na ostateczny wymiar kary: - dzia\u322?ania Sp\u243?\u322?ki w celu zminimalizowania szkody poniesionej przez osoby, kt\u243?rych dane dotycz\u261? (art. 83 ust. 2 lit. c RODO) - Sp\u243?\u322?ka zwr\u243?ci\u322?a si\u281? do nieuprawnionego odbiorcy o trwa\u322?e usuni\u281?cie korespondencji, cho\u263? nie jest to r\u243?wnoznaczne z gwarancj\u261? faktycznego usuni\u281?cia przez Osob\u281? trzeci\u261? danych osobowych i nie wyklucza ewentualnych negatywnych dla podmiot\u243?w danych konsekwencji ich wykorzystania.
\par 
\par Tym samym okre\u347?lona w zaskar\u380?onej decyzji administracyjna kara pieni\u281?\u380?na by\u322?a adekwatna do ustalonych okoliczno\u347?ci faktycznych sprawy, gdy\u380? z jednej strony odzwierciedla w spos\u243?b w\u322?a\u347?ciwy czas trwania naruszenia, w tym liczb\u281? os\u243?b, kt\u243?rych dane dotycz\u261?, umy\u347?lny charakter naruszenia, stopie\u324? odpowiedzialno\u347?ci Sp\u243?\u322?ki, z uwzgl\u281?dnieniem \u347?rodk\u243?w technicznych i organizacyjnych wdro\u380?onych na mocy art. 25 i 32 RODO, stopie\u324? wsp\u243?\u322?pracy z organem nadzorczym w celu usuni\u281?cia naruszenia oraz z\u322?agodzenia jego ewentualnych negatywnych skutk\u243?w, a zarazem uwzgl\u281?dnia\u322?a podj\u281?cie przez Sp\u243?\u322?k\u281? dzia\u322?a\u324? maj\u261?cych na celu zminimalizowanie szkody poniesionej przez osoby, kt\u243?rych dane dotycz\u261?. Wysoko\u347?\u263? kary w ustalonym stanie faktycznym stanowi proporcjonalny do charakteru i zakresu naruszenia przejaw koniecznego dzia\u322?ania ze strony organu nadzorczego, zmierzaj\u261?cego do przywr\u243?cenia stanu zgodnego z prawem, bez nak\u322?adania na adresata decyzji ci\u281?\u380?ar\u243?w, kt\u243?rym nie m\u243?g\u322?by on podo\u322?a\u263?. Prezes UODO, okre\u347?laj\u261?c wysoko\u347?\u263? na\u322?o\u380?onej zaskar\u380?on\u261? decyzj\u261? administracyjnej kary pieni\u281?\u380?nej mia\u322? na uwadze przewidziane we w\u322?a\u347?ciwych przepisach limity kar oraz fakt, \u380?e w sprawie kara ta by\u322?a daleko od nich ni\u380?sza. Bra\u322? tak\u380?e pod rozwag\u281? okoliczno\u347?ci faktyczne sprawy oraz Wytyczne Grupy Roboczej ds. Ochrony Danych art. 29 w sprawie stosowania i ustalania administracyjnych kar pieni\u281?\u380?nych do cel\u243?w RODO, przyj\u281?te 3 pa\u378?dziernika 2017r., kt\u243?re zawieraj\u261? wprost wyra\u380?ony wym\u243?g dokonania przez organ nadzorczy oceny ka\u380?dego przypadku z osobna.
\par 
\par 4. S\u261?d, maj\u261?c powy\u380?sze okoliczno\u347?ci na wzgl\u281?dzie uzna\u322?, \u380?e zasadne by\u322?o oddalenie skargi, na mocy art. 151 P.p.s.a.
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\pard}