Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Sławomir Antoniuk (spr.), Sędzia WSA Ewa Kwiecińska, Sędzia WSA Iwona Maciejuk, Protokolant referent stażysta Adrianna Siniarska, po rozpoznaniu na rozprawie w dniu 28 lutego 2020 r. sprawy ze skargi [...] Związku Piłki Nożnej na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] kwietnia 2019 r. nr: [...] w przedmiocie nałożenia kary pieniężnej w związku z przetwarzaniem danych osobowych oddala skargę

Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO) decyzją z dnia [...] kwietnia 2019 r. nr [...], na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096, z późn. zm.) oraz art. 7 ust. 1 i 2, art. 60, art. 101, art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000, z późn. zm.); zwanej dalej u.o.d.o. w związku z art. 5 ust. 1 lit. f, art. 32 ust. 1 lit. b i art. 32 ust. 2, art. 58 ust. 2 lit. i oraz art. 83 ust. 3, art. 83 ust. 4 lit. a, art. 83 ust. 5 lit. a rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianą ogłoszoną w Dz. Urz. UE L 127 z 23.05.2018, str. 2); zwanego dalej RODO, po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez [...] Związek Piłki Nożnej z siedzibą [...]; zwanym dalej [...] stwierdził naruszenie przez Związek przepisów art. 5 ust. 1 lit. f, art. 32 ust. 1 lit. b i art. 32 ust. 2 RODO, polegające na niezapewnieniu bezpieczeństwa i poufności przetwarzanych danych osobowych osób, którym przyznano licencje sędziowskie w 2015 r., w zakresie numeru PESEL oraz adresu zamieszkania poprzez ich nieuprawnione ujawnienie na stronie internetowej [...] pod linkiem: [...] w zakładkach "[...]", "[...]" oraz "[...]" i nałożył na Związek administracyjną karę pieniężną w wysokości 55 750,50 PLN (słownie: pięćdziesiąt pięć tysięcy siedemset pięćdziesiąt złotych pięćdziesiąt groszy), co stanowi równowartość 13.000 EUR, według średniego kursu euro ogłoszonego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia 2019 r.

W uzasadnieniu rozstrzygnięcia organ wskazał, że w dniu [...] lipca 2018 r. [...] zgłosił Prezesowi UODO naruszenie ochrony danych osobowych polegające na niezamierzonej publikacji danych osobowych osób, którym przyznano licencje sędziowskie w 2015 r., w zakresie imienia, nazwiska, numeru PESEL oraz adresu zamieszkania na stronie internetowej [...] Związku Piłki Nożnej pod linkiem: [...] w zakładkach "[...]", "[...]" oraz "[...]". W powyższym zgłoszeniu [...] podał, że okres naruszenia trwał od października 2015 r. do dnia [...] lipca 2018 r. i jego przyczyną były wewnętrzne działania niezamierzone. W zawiadomieniu wskazano, że osoby, których dane dotyczą zostaną powiadomione o naruszeniu.

Pismem z dnia [...] sierpnia 2018 r. [...] poinformował organ nadzorczy o zakończeniu procesu powiadamiania osób, których dane dotyczą, o naruszeniu ich danych oraz o usunięciu tego naruszenia.

Z uwagi na to, że powiadomienie osób, których dane dotyczą, nie spełniało wymogów określonych w art. 34 RODO, w dniu [...] sierpnia 2018 r. Prezes UODO wystąpił do [...], na podstawie art. 52 ust. 1 u.o.d.o., o podjęcie działań mających na celu zawiadomienie osób, których dane dotyczą, o naruszeniu ich danych, w tym przekazanie zaleceń odnośnie zminimalizowania potencjalnych negatywnych skutków zaistniałego naruszenia oraz o wyeliminowaniu podobnych nieprawidłowości w przyszłości. W odpowiedzi na powyższe wystąpienie [...] w zgłoszeniu uzupełniającym z dnia [...] października 2018 r. wskazał, że powiadomił osoby zgodnie z art. 34 RODO oraz podjął działania mające na celu zabezpieczenie przetwarzanych danych, w tym dokonał stosownych zmian w procedurach zarządzania stroną www. (m. in. ustalił procedurę wprowadzania danych na stronę poprzez poddanie szczególnemu rygorowi i kontroli ze strony Administratora Danych Osobowych i Inspektora Ochrony Danych), objął programem szkoleniowym osoby odpowiedzialne za przetwarzanie danych oraz umieścił na stronie internetowej informacje o wyznaczeniu Inspektora Ochrony Danych wraz z podaniem kontaktu do Inspektora. Ponadto [...], jako datę zakończenia naruszenia, ponownie wskazał datę [...] lipca 2018 r.

Prezes UODO otrzymał skargę od jednej z osób, której dane osobowe zostały udostępnione na stronie internetowej [...]. Na jej podstawie Prezes UODO dokonał czynności sprawdzających, czy publikacja danych osobowych została przez [...] usunięta, czy widnieje nadal. W wyniku powyższych czynności w dniu [...] stycznia 2019 r. ustalono, że po wpisaniu w wyszukiwarce internetowej adresu strony internetowej [...], w odnośnikach "[...]", "[...]" oraz "[...]" opublikowane są dane osobowe łącznie 585 osób, w zakresie imienia, nazwiska, numeru PESEL oraz adresu zamieszkania. Wobec powyższego Prezes UODO pismem z dnia [...] stycznia 2019 r. znak: [...], zawiadomił [...] o wszczęciu z urzędu postępowania administracyjnego w sprawie niezapewnienia bezpieczeństwa i poufności przetwarzanych danych osobowych osób, którym przyznano licencje sędziowskie w 2015 r., w zakresie imienia, nazwiska, numeru PESEL oraz adresu zamieszkania, poprzez ich bezprawną publikację na stronie internetowej [...] pod linkiem: [...] w zakładkach "[...]", "[...]" oraz "[...]".

Na podstawie zebranego w przedmiotowej sprawie materiału dowodowego Prezes UODO ustalił, że [...] jest związkiem sportowym w rozumieniu obowiązujących przepisów prawa, dobrowolną, samorządną i trwałą organizacją sportu piłki nożnej, działającą w oparciu o zrzeszonych w niej członków (§ 6 statutu [...]) oraz o statut (§ 7 statutu [...]). Ponadto zgodnie z § 11 ust. 6 statutu [...], realizuje on swoje cele m. in. poprzez prowadzenie ewidencji, statystyki, dokumentacji i zasobów archiwalnych oraz wydawanie komunikatów i materiałów informacyjnych. Zgodnie z Krajowym Rejestrem Sądowym [...] jest związkiem sportowym, którego celem działania jest organizacja, rozwój i popularyzacja sportu piłki nożnej w województwie [...], ochrona praw i interesów oraz koordynacja działań wszystkich członków związku oraz pozyskiwanie środków materiałowych i finansowych z przeznaczeniem ich na prowadzenie swej działalności statutowej.

W związku z zakończeniem procesu przyznawania licencji sędziowskich w 2015 r., na podstawie zgłoszeń przesłanych przez Kolegium Sędziowskie, [...] opublikował w październiku 2015 r. listę osób, którym przyznano licencje sędziowskie w roku 2015. Publikacja obejmowała: imię, nazwisko, numer PESEL oraz adres zamieszkania. Dane te zostały opublikowane na stronie internetowej [...] pod linkiem: [...] w zakładkach "[...]", "[...]" oraz "[...]".

Z wyjaśnień [...] wynika, że podjął działania mające na celu: usunięcie plików z danymi, powiadomienie dostawców wyszukiwarek, aby usunąć dane z wyników wyszukiwania. Następnie dane ze strony internetowej zostały usunięte, a wskazane linki: [...],[...],[...] oraz [...] zostały zgłoszone do Google celem usunięcia z indexu. Usunięcie miało mieć miejsce [...] lipca 2018 r., na co wskazuje korespondencja e-mailowa pomiędzy [...], a firmą sprawującą nadzór informatyczny nad stroną internetową. Jednocześnie [...] wskazał, że w sierpniu 2018 r. celem dokonania kontroli stanu realizacji usunięcia danych ze strony, sprawdził i ustalił, iż dane nie pojawiają się w Internecie, wymienił też korespondencję z firmą informatyczną, której odpowiedź potwierdziła usunięcie z niej danych.

W dniu [...] stycznia 2019 r. [...] otrzymał telefoniczną informację, że pomimo usunięcia przedmiotowych danych ze strony internetowej [...], są one dostępne w wyszukiwarce Google i plik z danymi wyświetla się w Internecie. Wobec powyższego [...] dokonał ponownej analizy strony oraz zwrócił się w tym celu do firmy informatycznej, która sprawuje nadzór nad tą stroną. W dniu [...] stycznia 2019 r. [...] otrzymał informacje od firmy informatycznej, sprawującej nadzór nad stroną internetową, że dostęp do treści strony (zawierającej dane osób, którym przyznano licencje sędziowskie w 2015 r. w zakresie adresu zamieszkania i numeru PESEL) jest możliwy po wpisaniu w wyszukiwarce internetowej adresu [...] lub po podejrzeniu treści serwera [...]. Ponadto, firma sprawująca nadzór nad stroną internetową poinformowała [...] o usunięciu linków i dodatkowych wykonanych pracach takich jak zupełne wyłączenie indeksowania z treści modułu Media. Na potwierdzenie swoich wyjaśnień [...] dołączył korespondencję z ww. podmiotem.

Po wszczęciu postępowania [...] usunął ze swojej strony internetowej dane osób, którym przyznano licencje sędziowskie w 2015 r., w zakresie imienia, nazwiska, numeru PESEL oraz adresu zamieszkania, w związku z czym po wpisaniu w wyszukiwarce internetowej adresu [...] strony, na której znajdowały się dane osób, którym przyznano licencje sędziowskie w 2015 r. w zakresie imienia, nazwiska, adresu zamieszkania i numeru PESEL, w wynikach wyszukiwania nie wyświetla się strona zawierająca w swojej treści te dane.

[...] przesłał do organu nadzorczego sprawozdanie finansowe za rok obrotowy kończący się 31 grudnia 2017 r., z którego wynika, że przychody z działalności statutowej wynoszą 1 903 351,87 zł.

Ze sprawozdania finansowego nie wynika, aby w ramach swojej działalności prowadził on działalność gospodarczą zaś przychody z działalności statutowej obejmują środki pieniężne i inne aktywa finansowe ze źródeł określonych przepisami prawa lub statutem.

Prezes UODO wskazał, że jest organem właściwym w sprawie ochrony danych osobowych (art. 34 u.o.d.o.) i organem nadzorczym w rozumieniu RODO (art. 34 ust. 2 u.o.d.o.). Przywołał także treść art. 5, art. 57 ust. 1, art. 32 oraz art. 6 ust. 1 lit. f RODO.

Podniósł, iż [...] jako Wojewódzki Związek Piłki Nożnej jest zobowiązany do prowadzenia ewidencji przyznanych licencji i ich publikacji na stronie internetowej, co wynika wprost z § 13 uchwały Zarządu Polskiego Związku Piłki Nożnej z dnia [...] kwietnia 2012 r. nr [...] w sprawie licencji dla sędziów piłkarskich (nr [...], z dnia [...].05.2015 r., tekst jednolity). Choć w uchwale tej nie jest wymieniony zakres danych, jaki powinien zostać opublikowany, jak również nie ma w tej kwestii przepisów prawa, które regulowałyby to zagadnienie, zatem należy odnieść się do zasady minimalizacji danych z art. 5 ust. 1 lit. c RODO. Ograniczenie do danych niezbędnych oznacza takie ukształtowanie zakresu przetwarzania danych, aby przetwarzać tylko takie dane, bez których nie da się osiągnąć celu.

W związku z powyższym organ wskazał, że przetwarzanie danych osób, którym przyznano licencje sędziowskie w 2015 r., na stronie internetowej [...], powinno odbywać się zgodnie z uwzględnieniem ww. zasady minimalizacji danych w celu spełniającym obowiązek wynikający z § 13 ww. uchwały. W ocenie Prezesa UODO, o ile udostępnienie na stronie internetowej [...] danych osobowych osób, którym przyznano licencje sędziowskie w 2015 r. w zakresie ich imion, nazwisk i miejscowości zamieszkania jest prawnie uzasadnione celem wynikającym z ww. uchwały, o tyle udostępnienie adresu zamieszkania i numeru PESEL wykracza poza ten cel. Nie jest bowiem konieczne publikowanie tak szczegółowych danych osobowych sędziów, którym przyznano licencje sędziowskie. Tak szeroki katalog danych osobowych stwarza potencjalne ryzyko wykorzystania ich w celach bezprawnych, np. do zawierania stosunków prawnych lub zaciągania zobowiązań w imieniu osób, których dane ujawniono, bez ich wiedzy, a także do rozporządzania ich prawami.

[...] zgłaszając Prezesowi UODO naruszenie w dniu [...] lipca 2018 r. miał świadomość, że zakres danych jaki został udostępniony na jego stronie internetowej jest nieprawidłowy jednak nie wdrożył odpowiednich środków technicznych i organizacyjnych, aby zapewnić odpowiedni stopień bezpieczeństwa w procesie przetwarzania tych danych, przez co dane te były dostępne na stronie internetowej również po zgłoszeniu naruszenia, tj. po [...] lipca 2018 r., mimo, że w zgłoszeniu naruszenia [...] zawarł oświadczenie, że stan naruszenia trwał do [...] lipca 2018 r.

Odnosząc się do stanowiska [...] dotyczącego usunięcia przedmiotowych danych ze strony internetowej w dniu [...] lipca 2018 r. organ stwierdził, że skoro stan naruszenia trwał nadal to [...] w procesie usuwania danych dokonał wyboru nieskutecznych środków technicznych i organizacyjnych zabezpieczających dalsze przetwarzanie tych danych doprowadzając do ich udostępnienia nieograniczonej liczbie osób. Tym samym [...], jako administrator, w procesie przetwarzania na swojej stronie internetowej danych 585 osób, którym przyznano licencje sędziowskie w 2015 r., nie dopełnił ciążących na nim obowiązków przewidzianych w art. 5 ust. 1 lit. f, art. 32 ust. 1 lit. b i art. 32 ust. 2 RODO, w zakresie ich zabezpieczenia przed ich udostępnieniem nieokreślonej liczbie osób.

W ocenie organu nadzorczego administrator podjął ograniczone działania w celu usunięcia naruszenia, które okazały się nieskuteczne. [...] zlecił podmiotowi zewnętrznemu usunięcie naruszenia i nie dokonał weryfikacji podjętych przez niego działań. Na skutek powyższego dostęp do danych osobowych był nadal możliwy.

Powołując się na treść art. 58 ust. 2 lit. i RODO organ stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki warunkujące nałożenie na [...] administracyjnej kary pieniężnej.

Prezes UODO decydując o nałożeniu na [...] administracyjnej kary pieniężnej oraz ustalając jej wysokość, zgodnie z art. 83 ust. 2 lit. a-k RODO wziął pod uwagę następujące okoliczności tej sprawy:

1) [...] nie dopełnił obowiązku zastosowania odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku udostępniania danych osobowych na stronie internetowej przez co dane osób, którym przyznano licencje sędziowskie w 2015 r., w zakresie ich numeru PESEL oraz adresu zamieszkania, były dostępne na stronie internetowej [...] pod linkiem: [...]w zakładkach "[...]", "[...]" oraz "[...]" również w okresie od [...] lipca 2018 r. do stycznia 2019 r.

2) stwierdzone w niniejszej sprawie naruszenie ma znaczną wagę i poważny charakter, stwarza bowiem prawdopodobieństwo wysokiego ryzyka negatywnych skutków prawnych dla 585 osób, których dane zostały ujawnione w Internecie, narusza również podstawową w odniesieniu do przetwarzania danych osobowych zasadę integralności i poufności (art. 5 ust. 1 lit f RODO). Naruszenie przez [...] obowiązków zastosowania środków zapewniających bezpieczeństwo przetwarzanych danych, przed ich udostępnieniem osobom nieupoważnionym (wskazanych w art. 5 ust. 1 lit f, art. 32 ust. 1 lit. b i art. 32 ust. 2 RODO), pociąga za sobą ryzyko wykorzystania tych danych przez osoby lub podmioty trzecie bez wiedzy i wbrew woli osób, których dane dotyczą, niezgodnie z przepisami RODO, np. do zawierania stosunków prawnych lub zaciągania zobowiązań w imieniu osób, których dane ujawniono. Takie działania na danych osobowych mogłyby następować nie tylko bez wiedzy i woli osób, których dane dotyczą, ale mogłoby potencjalnie prowadzić do rozporządzania ich prawami. Wagę naruszenia zwiększa również okoliczność, że na [...] przetwarzającym dane osobowe w sposób profesjonalny, w ramach swojej działalności, ciąży większa odpowiedzialność i większe wymagania niż na podmiocie przetwarzającym dane osobowe w ramach działalności ubocznej, incydentalnie lub na niewielką skalę,

3) organ nie posiada dowodów, aby osoby, których dane dotyczą doznały szkody majątkowej, niemniej już samo naruszenie poufności danych stanowić może szkodę niemajątkową (krzywdę),

4) [...] ponosi odpowiedzialność za stwierdzone naruszenie, jednakże ma ono charakter nieumyślny, a naruszenie art. 5 ust. 1 lit. f, art. 32 ust. 1 lit. b i art. 32 ust. 2 RODO, powstało na skutek niedochowania należytej staranności ze strony [...], w procesie zastosowania środków, które uniemożliwiałyby dostęp do danych 585 osób, którym przyznano licencje sędziowskie w 2015 r., w zakresie numeru PESEL oraz adresu zamieszkania,

5) pomimo stwierdzonego naruszenia przepisów RODO przez [...] w dniu [...] lipca 2018 r. nie zastosował środków, które uniemożliwiałyby dostęp do danych 585 osób, którym przyznano licencje sędziowskie w 2015 r., w zakresie numeru PESEL oraz adresu zamieszkania, co skutkowało dalszym udostępnianiem tych danych nieokreślonej liczbie osób, tym samym podjął ograniczone działania, które nie przyczyniły się do wyeliminowania potencjalnych szkód,

6) pomimo podjęcia przez [...] działań w celu usunięcia naruszenia nie można tego uznać za okoliczność łagodzącą gdyż działania te okazały się nieskuteczne,

7) wpływu na rozstrzygnięcie organu nadzorczego co do odpowiedzialności administratora za nieskuteczne działania nie mogą mieć okoliczności, że to nie on podejmował te działania a firma zewnętrzna. [...] jako administrator tych danych został bezpośrednio zobowiązany przepisami RODO, do zabezpieczenia przetwarzanych danych przed ich udostępnieniem osobom nieuprawnionym,

8) [...] nie stosuje zatwierdzonych kodeksów postępowania na mocy art. 40 RODO lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 RODO (stosowanie kodeksów postępowania lub mechanizmów certyfikacji),

9) samodzielne zgłoszenie przez [...] naruszenia ochrony danych osobowych oraz fakt, że aktualnie [...] na swojej stronie internetowej nie przetwarza danych osobowych osób, którym przyznano licencje sędziowskie w 2015 r. nie stanowi okoliczności łagodzącej dla niniejszego postępowania. Natomiast [...] współpracował z Prezesem UODO, w wyznaczonym terminie [...] przesłał wyjaśnienia i udzielił odpowiedzi na wystąpienie Prezesa UODO, zatem stopień tej współpracy należy ocenić jako pełny,

10) naruszenie nie dotyczyło szczególnych kategorii danych, lecz ma znaczenie zestawienie danych, które ze względu na dokładną identyfikację osoby (imię, nazwisko, adresu zamieszkania i numer PESEL), może stwarzać ryzyko naruszenia praw i wolności osoby,

11) o naruszeniu organ nadzorczy dowiedział się od [...] ze zgłoszenia naruszenia, a następnie ze skargi osoby, której dane zostały ujawnione,

12) nie zostało stwierdzone, żeby [...] uprzednio dopuścił się naruszenia przepisów RODO, które miałoby istotne znaczenie dla niniejszego postępowania,

13) w tej samej sprawie nie zostały wcześniej zastosowane wobec [...] środki, o których mowa w art. 58 ust. 2 RODO (przestrzeganie środków nałożonych w tej samej sprawie na administratora),

14) nie potwierdzono osiągnięcia przez [...] korzyści finansowych, jak i uniknięcia strat w związku z naruszeniem,

15) w trakcie postępowania przed organem nadzorczym [...] usunął stwierdzone naruszenie.

Prezes UOPDO podkreślił, że przy ustalaniu wysokości kary wziął pod uwagę następujące czynniki łagodzące wymiar kary:

1) dobrą współpracę [...] z Prezesem UODO w trakcie trwania niniejszego postępowania,

2) brak dowodów na osiągnięcie przez [...] korzyści finansowych, jak i uniknięcie strat w związku z naruszeniem,

3) usunięcie naruszenia przez [...] w trakcie postępowania przed organem nadzorczym,

4) działalność niezarobkową prowadzoną przez [...],

5) brak dowodów na istnienie szkód dla osób których dane zostały ujawnione.

Decydując, czy nałożyć administracyjną karę pieniężną, a także ustalając jej wysokość, za najistotniejszy Prezes UODO uznał poważny charakter naruszenia, polegającego na tym, że pomimo stwierdzonego przez [...] naruszenia polegającego na publikacji danych osób, którym przyznano licencje sędziowskie w 2015 r. w zakresie ich numeru PESEL oraz adresu zamieszkania na stronie internetowej [...] pod linkiem: [...] w zakładkach "[...]", "[...]" oraz "[...]" przez [...] w dniu [...] lipca 2018 r. nie zastosował on skutecznych środków, które uniemożliwiałyby dostęp do danych 585 osób aż do stycznia 2019 r., pomimo zapewnienia złożonego przed organem nadzorczym. Także czas trwania naruszenia ocenić należy negatywnie mając na uwadze moment jego zgłoszenia.

W sytuacji, gdy naruszenie zostało już usunięte, wydawanie nakazu byłoby bezprzedmiotowe, administracyjna kara pieniężna może zostać nałożona zamiast zastosowania uprawnień naprawczych przez organ nadzorczy. Wobec powyższego należy stwierdzić, że [...] nie dochował należytej staranności, poprzez zaniechanie sprawdzenia czy faktycznie ta publikacja została usunięta ze strony internetowej. Administrator nie podjął wystarczających działań prowadzących do trwałego usunięcia zawartości podstron, mimo oświadczenia złożonego Prezesowi UODO, a zatem nie podjął właściwych czynności by dane skutecznie usunąć. Dane zostały usunięte dopiero w toku postępowania przed organem nadzorczym.

W ocenie Prezesa UODO, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 RODO, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Zaś zastosowanie administracyjnej kary pieniężnej w niniejszym przypadku jest niezbędne zważywszy także na to, że [...] będąc świadomym istnienia naruszenia, nie sprawdził, czy faktycznie firma sprawująca nadzór nad stroną internetową dokonała usunięcia danych, tym samym nie zastosował odpowiednich środków technicznych i organizacyjnych, w celu trwałego usunięcia naruszenia. Wobec powyższego za czynnik obciążający [...] należy uznać zaniedbanie w procesie usuwania naruszenia. Zastosowana kara pieniężna jest proporcjonalna do stwierdzonego naruszenia, szczególnie ze względu na wagę naruszenia, kategorie danych osobowych, których dotyczyło naruszenie (numer PESEL oraz adres zamieszkania udostępnione w połączeniu z imieniem i nazwiskiem), liczbę podmiotów danych objętych naruszeniem (585 osób fizycznych) i czas trwania naruszenia (lipiec 2018 - styczeń 2019). Odstraszający charakter kary pieniężnej wiąże się zaś z zapobieganiem popełniania naruszeń w przyszłości. Kara ma odstraszać zarówno [...], przed ponownym naruszeniem, jak i inne podmioty. Nakładając niniejszą decyzją karę pieniężną za naruszenie przepisów o ochronie danych osobowych Prezes UODO wziął pod uwagę oba aspekty: po pierwsze - charakter represyjny, [...] naruszył przepisy RODO, po drugie - charakter prewencyjny, zarówno [...] jak i inni administratorzy będą skutecznie zniechęceni do naruszania w przyszłości prawa ochrony danych osobowych.

W ocenie Prezesa UODO, zastosowana kara pieniężna w kwocie 55 750,50 PLN (co stanowi równowartość 13.000 EUR), spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 RODO, ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad RODO, tj. integralności i poufności.

W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie [...] wniósł o uchylenie decyzji Prezesa UODO z dnia [...] kwietnia 2019 r. oraz zasądzenie kosztów postępowania, w tym kosztów zastępstwa adwokackiego według norm przepisanych.

Zaskarżonemu rozstrzygnięciu zarzucił naruszenie:

I. przepisów postępowania, mające wpływ na wynik sprawy, tj.:

1) art. 7, art. 77, art. 80 K.p.a. w związku z art. 68 ust. 1 u.o.d.o., poprzez odstąpienie przez organ nadzorczy od przeprowadzenia postępowania kontrolnego, w sytuacji, gdy w niniejszej sprawie istniała konieczność uzupełnienia dowodów, co doprowadziło do niewyjaśnienia wszystkich okoliczności mających istotne znaczenie dla rozstrzygnięcia niniejszej sprawy i skutkowało oparciem przedmiotowego rozstrzygnięcia o niepełny materiał dowodowy, a także poprzez przekroczenie przez Prezesa UODO granic swobodnej oceny dowodów i w efekcie uczynienie jej dowolną i uznanie, że:

a) administratorem danych osobowych, a tym samym podmiotem odpowiedzialnym za naruszenie danych osobowych stwierdzone w styczniu 2019 r. był [...], podczas gdy okoliczności niniejszej sprawy, w szczególności fakt, że usunął dane osobowe wszystkich 585 sędziów piłkarskich ze swojej strony internetowej już w sierpniu 2018 r., a następnie powiadomił operatorów wyszukiwarek internetowych (w tym firmę Google) o konieczności usunięcia ww. danych z indeksów prowadzonych przez nich stron, pozwalają na konstatację, iż podmiotem odpowiedzialnym za ww. naruszenie ze stycznia 2019 r, a tym samym administratorem ujawnionych danych osobowych, był wyłącznie operator wyszukiwarki internetowej, który nie dokonał prawidłowego usunięcia ww. danych na żądanie [...],

b) stan przedmiotowego naruszenia danych osobowych trwał nieprzerwanie pomiędzy dniem [...] lipca 2018 r. (tj. dniem stwierdzenia naruszenia przez [...]) a dniem [...] stycznia 2019 r., w którym stwierdzono, iż po wpisaniu w wyszukiwarce internetowej (nie na stronie [...]) określonego adresu "[...]" można zapoznać się z treścią danych osobowych 585 sędziów piłkarskich, podczas gdy sam organ nadzorczy stwierdził, że w sierpniu 2018 r. ww. dane nie pojawiały się już w Internecie, a jedocześnie odstąpił od zbadania czy możliwe jest, aby ww. dane mogły zostać ponownie - okresie pomiędzy sierpniem 2018 r. a styczniem 2019 r. - udostępnione w Internecie na skutek działania operatorów wyszukiwarek internetowych, co z kolei doprowadziło do nieprawidłowego określenia czasu trwania przedmiotowego naruszenia i uznania, że okres jego trwania wpływa negatywnie na ocenę działań skarżącego i powinien skutkować obostrzeniem nałożonej administracyjnej kary pieniężnej,

c) naruszenie danych osobowych stwierdzone w styczniu 2019 r. było związane z udostępnieniem przedmiotowych danych osobowych nieograniczonej liczbie osób (tak jak w przypadku udostępnienia ich na ogólnodostępnej stronie internetowej), przy jednoczesnym pominięciu, że uzyskanie dostępu do ww. danych osobowych wymagał dysponowania złożonym adresem "[...]" i wpisaniem go do wyszukiwarki internetowej, a tym samym krąg osób mogących uzyskać dostęp do ww. danych w styczniu 2019 r. był znacząco ograniczony, co z kolei miało wpływ na wymiar orzeczonej wobec skarżącego kary pieniężnej,

d) skarżący nie wdrożył odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych osobowych, podczas gdy [...] przygotował i zaimplementował odpowiednie rozwiązania techniczne i organizacyjne, zgodnie z wymogami RODO (tj. wprowadził politykę ochrony danych osobowych, właściwe rejestry, ustanowił Inspektora Ochrony Danych, a także przeszkolił personel w zakresie zasad i obowiązków związanych z przetwarzaniem danych osobowych), co z kolei doprowadziło organ nadzorczy do bezpodstawnej konstatacji, że [...] dopuścił się naruszenia art. 32 ust. 1 lit. b) i ust. 2 RODO, w sytuacji gdy w żadnym zakresie nie wykazano, a nawet nie wskazano na czym to naruszenie miałoby polegać,

e) publikacja na stronie internetowej danych osób, którym przyznano licencje sędziowskie na sezon 2015 r., jedynie - w proponowanym przez organ - zakresie (tj. imienia, nazwiska oraz miejscowości zamieszkania) pozwoliłaby na realizację celu § 13 uchwały Zarządu Polskiego Związku Piłki Nożnej z dnia [...] kwietnia 2012 r. (nr [...]), podczas gdy ww. uchwała miała umożliwiać identyfikację i weryfikację osób posiadających aktualne licencje sędziowskie (np. przez przedstawicieli klubów sportowych etc.), a wskazany powyżej zakres danych nie pozwala na przeprowadzenie takich operacji, co w konsekwencji doprowadziło organ nadzorczy do błędnej konstatacji, że zakres danych udostępnionych przez [...], wykracza poza ww. cel, a tym samym narusza zasadę minimalizacji danych,

f) skarżący jest podmiotem profesjonalnie przetwarzającym dane osobowe, a tym samym ciążą na nim szczególne obowiązki związane z tym przetwarzaniem, która to okoliczność została następnie wzięta przez organ pod uwagę przy określaniu wysokości administracyjnej kary pieniężnej, podczas gdy [...] jako organizacja non-profit prowadzi działalność w zakresie organizacji, rozwoju i popularyzacji sportu piłki nożnej w województwie [...], a tym samym przetwarzanie przez nią danych osobowych ma wyłącznie charakter subsydiarny,

g) skorzystanie przez skarżącego z usług podmiotu profesjonalnie trudniącego się m.in. doradztwem w zakresie informatyki, działalnością portali internetowych, przetwarzaniem danych oraz zarządzaniem stronami internetowymi (tj. [...]Sp. z o.o. [...] ) i posiadającego fachową wiedzę oraz doświadczenie w zakresie funkcjonowania ww. stron, a także zasad działania dostawców usług internetowych, nie jest okolicznością wpływającą na poziom odpowiedzialności skarżącego za wskazane naruszenie (tj. zmniejszającą tą odpowiedzialność), podczas gdy [...] nie zajmuje się profesjonalnym przetwarzaniem danych osobowych, w szczególności w środowisku internetowym i nie można od niego wymagać aby posiadał specjalistyczną wiedzę w tym zakresie, a tym samym skorzystanie przez skarżącego z usług wskazanej powyżej firmy powinno być postrzegane jako podjęcie odpowiednich środków ochrony danych, zmierzających do jak najszybszego i skutecznego usunięcia ujawnionych danych osobowych z Internetu,

h) art. 8 ust. 1 i art. 11 K.p.a. w zawiązku z art. 107 § 1 pkt 6 i § 3 K.p.a. oraz art. 72 u.o.d.o., poprzez nieprawidłowe uzasadnienie przedmiotowej decyzji, w szczególności w zakresie odnoszącym się do wymiaru orzeczonej administracyjnej kary pieniężnej, przejawiające się w jego zbyt daleko idącej lakoniczności, a niekiedy nawet sprzeczności, podczas gdy uzasadnienie decyzji jest jej integralną częścią której podstawowa funkcja polega na wyjaśnieniu rozstrzygnięcia, a brak prawidłowego uzasadnienia uniemożliwia stronie ustalenie czy organ nie przekroczył granic przyznanego mu uznania administracyjnego, a tym samym skutkuje niewypełnieniem przez organ obowiązku działania w sposób budzący zaufanie uczestników postępowania oraz obowiązku wyjaśnienia stronom zasadności przesłanek, którymi kierował się on przy załatwieniu sprawy,

naruszenie przepisów prawa materialnego, mające wpływ na wynik sprawy, tj.:

a) art. 5 ust. 1 lit. f RODO, poprzez jego nieprawidłowe zastosowanie, w sytuacji, gdy okoliczności przedmiotowej sprawy nie dają podstaw do uznania, że na skutek publikacji przedmiotowych danych na stronie internetowej [...] doszło do nieautoryzowanej zmiany lub zniszczenia ww. danych osobowych (tj. naruszenia zasady integralności danych), a skarżący był obowiązany do publikacji ww. danych osobowych na podstawie § 13 uchwały Zarządu Polskiego Związku Piłki Nożnej z dnia [...] kwietnia 2012 r. (nr [...]), w zakresie umożliwiającym dokonanie weryfikacji tożsamości osób posiadających licencje sędziowskie w sezonie 2015, czego osoby których dane dotyczyły - jako członkowie Polskiego Związku Piłki Nożnej – były świadome,

b) art. 32 ust. 1 lit. b i art. 32 ust. 2 RODO w związku z art. 83 ust. 4 lit. a RODO, poprzez jego nieprawidłową wykładnię i aprioryczne uznanie, że każde naruszenie art. 5 ust. 1 lit. f RODO jest związane z uprzednim niezapewnieniem przez administratora odpowiednich środków technicznych i organizacyjnych ochrony danych osobowych, a w konsekwencji wymierzenie administracyjnej kary pieniężnej na podstawie art. 83 ust. 4 lit. a, podczas gdy organ w żadnym zakresie nie wykazał, że [...] nie wdrożył odpowiednich środków technicznych i organizacyjnych zapewniających odpowiedni stopień bezpieczeństwa przetwarzanych danych osobowych ani nawet nie wskazał w jakim zakresie wdrożone przez ww. podmiot środki nie spełniały kryterium "odpowiedniości",

c) art. 83 ust. 1, ust. 2 i ust. 5 lit. a RODO w związku z art. 72 u.o.d.o., poprzez nałożenie na [...] Związek Piłki Nożnej administracyjnej kary pieniężnej w sytuacji gdy z okoliczności przedmiotowej sprawy, a także z dotychczasowej praktyki Prezesa UODO wynika, że wystarczające w niniejszym przypadku byłoby skorzystanie przez organ z uprawnień naprawczych, przy jednoczesnym określeniu wysokości ww. kary w sposób dowolny, tj. nie uwzględnieniu wszystkich przesłanek z art. 83 ust. 2 RODO wpływających na wymiar kary, w tym np. okoliczności, że [...] poza poinformowaniem osób, których dane dotyczą o zaistniałej sytuacji, skierował do tych podmiotów pisemne przeprosiny, a także niesprecyzowaniu przez organ w jaki sposób przesłanki wymienione w treści uzasadnienia wpłynęły na wysokość orzeczonej kary pieniężnej.

Strona skarżąca podkreśliła w uzasadnieniu skargi, że skutkiem zaniechania przeprowadzenia postępowania kontrolnego było niewyjaśnienie: a) rzeczywistej przyczyny stwierdzonego przez organ naruszenia, tj. czy zaistniało ono na skutek niewdrożenia przez [...] odpowiednich środków technicznych i organizacyjnych, czy też na skutek błędu ludzkiego, b) kto ponosił odpowiedzialność za publikację danych osobowych sędziów w styczniu 2019 r., w tym czy możliwe, aby ww. dane zostały udostępnione w Internecie wskutek nieprawidłowego działania operatora wyszukiwarki, c) czy działania podjęte przez [...] na przełomie lipca i sierpnia 2018 r. były ostatecznie skuteczne, tj. czy doprowadziły do kompletnego usunięcia ww. danych z Internetu, które następnie zostały ponownie udostępnione w Sieci, d) jaki był rzeczywisty czas trwania potencjalnego naruszenia, a tym samym czy naruszenie to trwało nieprzerwanie od sierpnia 2018 r. do stycznia 2019 r., czy też przedmiotowe dane "powróciły" do Internetu wskutek zaniedbań ze strony operatora wyszukiwarki, e) jaki był rzeczywisty krąg potencjalnych odbiorców danych osobowych udostępnionych w styczniu 2019 r. przy założeniu, że aby się zapoznać z ich treścią konieczne było posiadanie i odpowiednie wykorzystanie skomplikowanego adresu "[...]". Zgodnie z wyrokiem Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z dnia 13 maja 2014 r., sygn. akt C-131/12 wydanego w sprawie [...],[...] przeciwko [...], w związku ze swoją pozycją administratora danych osobowych, operator wyszukiwarki internetowej jest zobowiązany do usunięcia z wyświetlanej listy wyników wyszukiwania danych osobowych, także w przypadku, gdy są one publikowane przez osoby trzecie, tj. na stronach internetowych. W ocenie TSUE dla istnienia ww. obowiązku nie ma znaczenia nawet fakt, że imię, nazwisko czy inne informacje nie zostały uprzednio czy jednocześnie usunięte z tych stron Internetowych. Obowiązek usunięcia określonych danych osobowych z wyników wyszukiwania ma tym bardziej kategoryczny charakter w sytuacji, gdy operator został poinformowany o takiej konieczności przez wydawcę strony internetowej. Niewypełnienie powyższego obowiązku przez operatora będącego jednocześnie administratorem powinno być postrzegane jako naruszenie danych osobowych, za które to operator ponosi odpowiedzialności. W ocenie strony skarżącej odpowiedzialność za publikację przedmiotowych danych w styczniu 2019 r. powinien ponosić operator wyszukiwarki internetowej, który nie zrealizował żądań [...] maja (z lipca 2018 r.) w zakresie usunięcia newralgicznych Informacji, czy też ponownie udostępnił te dane w Sieci.

W odpowiedzi na skargę Prezes UODO wniósł o jej oddalenie, podtrzymując swoje dotychczasowe argumenty faktyczne i prawne.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (t.j. Dz. U. z 2019 r. poz. 2167), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania.

Skarga nie zasługuje na uwzględnienie, ponieważ Sąd przeprowadzając kontrolę zaskarżonego rozstrzygnięcia nie stwierdził, aby Prezes UODO wydając decyzję z dnia [...] kwietnia 2019 r. naruszył przepisy prawa materialnego w stopniu mającym wpływ na wynik sprawy, czy też przepisy postępowania administracyjnego w stopniu mogącym mieć istotny wpływ na wynik sprawy.

Przepis art. 5 RODO formułuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 lit. f RODO, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność").

Stosownie zaś do treści art. 32 ust. 1 lit. b RODO, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania. W myśl art. 32 ust. 2 RODO, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Przepis art. 32 RODO stanowi również konkretyzację wskazanej w art. 5 ust. 1 lit. f RODO, zasady integralności i poufności, zgodnie z którą dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Stosownie do treści art. 6 ust. 1 lit. f RODO, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy i w takim zakresie przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą jest dzieckiem.

[...] jako Wojewódzki Związek Piłki Nożnej jest zobowiązany do prowadzenia ewidencji przyznanych licencji i ich publikacji na stronie internetowej, co wynika wprost z § 13 uchwały Zarządu Polskiego Związku Piłki Nożnej z dnia [...] kwietnia 2012 r., nr [...], w sprawie licencji dla sędziów piłkarskich (nr [...], z dnia [...].05.2015 r., tekst jednolity). Wprawdzie w uchwale tej nie jest wymieniony zakres danych, jakie powinny zostać opublikowane, jak również nie ma w tej kwestii przepisów prawa, które regulowałyby to zagadnienie, należy jednak odnieść się do zasady minimalizacji danych z art. 5 ust. 1 lit. c RODO. Zgodnie z powołanym przepisem dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ("minimalizacja danych"). Ograniczenie do danych niezbędnych oznacza takie ukształtowanie zakresu przetwarzania danych, aby przetwarzać tylko takie dane, bez których nie da się osiągnąć celu. Przenosząc powyższe na kanwę niniejszej sprawy należy wskazać, że przetwarzanie danych osób, którym przyznano licencje sędziowskie w 2015 r., na stronie internetowej [...], powinno odbywać się zgodnie z uwzględnieniem ww. zasady minimalizacji danych w celu spełniającym obowiązek wynikający z § 13 ww. uchwały. W ocenie Prezesa, o ile udostępnienie na stronie internetowej [...] danych osobowych osób, którym przyznano licencje sędziowskie w roku 2015 w zakresie ich imion, nazwisk i miejscowości zamieszkania jest prawnie uzasadnione celem wynikającym z ww. uchwały, o tyle udostępnienie adresu zamieszkania i numeru PESEL wykracza poza ten cel. Nie jest bowiem konieczne publikowanie tak szczegółowych danych osobowych sędziów, którym przyznano licencje sędziowskie. Tak szeroki katalog danych osobowych stwarza potencjalne ryzyko wykorzystania ich w celach bezprawnych, np. do zawierania stosunków prawnych lub zaciągania zobowiązań w imieniu osób, których dane ujawniono, bez ich wiedzy, a także do rozporządzania ich prawami.

Ocenę organu należy uznać za trafną. Strona skarżąca zdaje się bagatelizować znaczenie stwierdzonych nieprawidłowości w zakresie udostępniania danych osobowych sędziów piłkarskich. Nie sposób nie dostrzec jeszcze innych zagrożeń związanych ze specyfiką wykonywania tej profesji, np. kierowania anonimowej korespondencji z groźbami karalnymi, naruszenia miru domowego przez członków środowiska kibiców klubów piłkarskich, itp.

Pogląd o potrzebie ograniczenia dostępu do danych osób wykonujących zadania publiczne w zakresie podania adresu zamieszkania i nr PESEL jest powszechnie akceptowany w orzecznictwie sądów administracyjnych. Przykładowo w wyroku z dnia 23 listopada 2016 r. sygn. akt I OSK 1323/15 (publik. www.orzeczenia.nsa.gov.pl) NSA stwierdził, iż: "Dane dotyczące miejscowości zamieszkania konkretnego sędziego w świetle przepisów powołanej ustawy – Prawo o ustroju sądów powszechnych, nie są bezpośrednio związane z powierzeniem lub wykonywaniem funkcji sędziego bądź też z posiadanymi przez niego kompetencjami. Znajomość miejscowości zamieszkania konkretnej osoby pełniącej funkcję sędziego, nie jest też źródłem wiedzy o wydatkowaniu środków publicznych. Nie sposób zatem uznać aby informacja o miejscu zamieszkania konkretnych sędziów miała związek z funkcjonowaniem instytucji publicznej, jaką jest Sąd". W wyroku z dnia 21 czerwca 2018 r. sygn. akt I OSK 166/18 (publik. j.w.) NSA wskazał, iż "... informacje o osobach pełniących funkcje publiczne mogą być udostępnione tylko jeżeli mają związek z pełnieniem tych funkcji. Ta ostatnia sytuacja ma miejsce w niniejszej sprawie - co do adresu zamieszkania i numeru PESEL ordynatorów, które słusznie skarżący Szpital zanonimizował w udostępnionych Stowarzyszeniu umowach, czego Stowarzyszenie nie zakwestionowało w skardze".

Nie może być zatem wątpliwości, że w analizowanym przypadku administrator danych osobowych – [...] przetwarzając dane sędziów piłkarskich nie zastosował się do zasady "minimalizacji danych" oraz "integralności i poufności" z art. 5 ust. 1 lit. c i f RODO. [...] zgłaszając Prezesowi UODO naruszenie w dniu [...] lipca 2018 r. miał świadomość, że zakres danych jaki został udostępniony na jego stronie internetowej jest nieprawidłowy jednak nie wdrożył odpowiednich środków technicznych i organizacyjnych, aby zapewnić odpowiedni stopień bezpieczeństwa w procesie przetwarzania tych danych, przez co dane te były dostępne na stronie internetowej również po zgłoszeniu naruszenia, tj. po [...] lipca 2018 r., mimo, że w zgłoszeniu naruszenia [...] zawarł oświadczenie, że stan naruszenia trwał do [...] lipca 2018 r.

Odnosząc się do zarzutu, że zaskarżona decyzja została wydana z naruszeniem art. 5 ust. 1 lit. f RODO, poprzez jego nieprawidłowe zastosowanie, z uwagi na brak podstaw do uznania, że na skutek publikacji na stronie internetowej [...] przedmiotowych danych, doszło do nieautoryzowanej zmiany lub zniszczenia tych danych, wskazać należy, że przedmiotem postępowania zakończonego nałożeniem administracyjnej kary pieniężnej na [...] była nieskuteczna próba usunięcia stwierdzonego przez [...] naruszenia polegającego na upublicznieniu zbyt szerokiego zakresu danych osobowych 585 osób. Jak podano w kwestionowanym rozstrzygnięciu, przedmiotowe naruszenie miało znaczną wagę i poważny charakter, stwarzało bowiem prawdopodobieństwo wysokiego ryzyka negatywnych skutków prawnych dla osób, których dane zostały ujawnione w Internecie. Zostały bowiem upublicznione dane osobowe w zakresie imienia, nazwiska, adresu zamieszkania i numeru PESEL, co doprowadziło do potencjalnego ryzyka negatywnego rozporządzania prawami osób, których te dane dotyczą. Wprawdzie jak już wskazano w treści kwestionowanego rozstrzygnięcia organ nie posiada dowodów, aby osoby, których dane dotyczą, doznały szkody majątkowej, niemniej już samo naruszenie poufności danych stanowić może szkodę niemajątkową. Zasadnym jest również zwrócenie uwagi, że wbrew stanowisku zawartemu w skardze, wpływu na powyższą ocenę nie miała okoliczność czy przed datą wszczęcia postępowania przez organ nadzorczy osoby, których dane zostały upublicznione zgłaszały w tym przedmiocie naruszenie bądź żądały usunięcia tych danych. Jak już wskazano powyżej do organu nadzorczego wpłynęła skarga od jednej z osób, której dane osobowe zostały udostępnione na stronie internetowej [...] i na jej podstawie Prezes UODO dokonał czynności sprawdzających, czy publikacja danych osobowych została przez [...] usunięta, czy widnieje nadal.

Co do zarzutu dotyczącego wydania zaskarżonej decyzji z naruszeniem art. 7, art. 77 § 1 i art. 80 K.p.a. w związku z art. 68 ust. 1 ustawy o ochronie danych osobowych, poprzez odstąpienie przez organ nadzorczy od przeprowadzenia postępowania kontrolnego, należy stwierdzić, że nie jest on zasadny. Zgodnie z art. 68 ust. 1 ustawy o ochronie danych osobowych jeżeli w toku postępowania zajdzie konieczność uzupełnienia dowodów, Prezes Urzędu może przeprowadzić postępowanie kontrolne.

Tymczasem zebrany w niniejszej sprawie materiał dowodowy nie pozostawił wątpliwości, co do zaistniałego stanu faktycznego, który nie jest również kwestionowany przez stronę skarżącą. Ponadto, w treści skargi nie skonkretyzowano o jakie dokumenty powinien zostać uzupełniony materiał dowodowy w przedmiotowej sprawie, i które byłyby niezbędne do oceny przez organ. [...] kwestionując postępowanie dowodowe, przeprowadzone przez organ nie wskazał, jakie kryteria oceny naruszył organ przy ocenie konkretnych dowodów, nie uzasadnił braku ich wiarygodności i mocy dowodowej (por. wyrok Naczelnego Sądu Administracyjnego z dnia 7 sierpnia 2018 r., sygn. akt I OSK 2051/16).

Odpowiadając na twierdzenie, że to operator wyszukiwarki internetowej był odpowiedzialny za naruszenie, polegające na upublicznieniu osób, którym przyznano licencje sędziowskie w 2015 r. w zakresie numeru PESEL oraz adresu zamieszkania na stronie internetowej [...], należy podkreślić, że to [...] jako administrator swojej strony internetowej odpowiada za jej treść. Operator wyszukiwarki internetowej jest odpowiedzialny jedynie za wyniki, które pojawiają się w wyszukiwarce i odsyłają do konkretnych stron internetowych, nie ma jednak wpływu na treść strony internetowej, do której odsyłają wyniki wyszukiwania. Przeczą też twierdzeniom strony okoliczności ujawnione w toku postępowania, albowiem jak wynika z korespondencji prowadzonej w dniu [...] stycznia 2019 r. pomiędzy przedstawicielami [...] a [...] (karta 39 akta administracyjnych), podmiot obsługujący strony internetowe [...] wyłączył zupełnie indeksowanie z modułu "[...]", co pozwoliło skutecznie usunąć ze strony internetowej Związku sporne dane osobowe.

Ponadto, co do zarzutu, że korzystanie przez [...] z usług firmy informatycznej, sprawującej nadzór nad stroną internetową [...], powinno być postrzegane jako podjęcie środków zmierzających do skutecznego usunięcia ujawnionego naruszenia, należy wskazać, że [...] jako administrator danych, przetwarzanych na jego stronie internetowej ponosi pełną odpowiedzialność za prawidłowość ich przetwarzania, przy czym znaczenia dla oceny prawidłowości przetwarzania danych nie ma okoliczność, czy nadzór nad przetwarzaniem tych danych sprawuje bezpośrednio administrator, czy profesjonalny podmiot z zakresu informatyki. Tak więc skorzystanie przez [...] z usług profesjonalnego podmiotu nie wyłącza odpowiedzialności administratora. Podobnie wpływu na zmniejszenie odpowiedzialności administratora danych, w procesie przetwarzania nie ma kwestia, czy naruszenie przepisów o ochronie danych osobowych nastąpiło na skutek działania lub zaniechania bezpośrednio osoby odpowiedzialnej za prawidłowe przetwarzanie danych, czy też pracownika lub innego podmiotu upoważnionego do nadzorowania procesu przetwarzania danych.

Co do stanowiska [...], że przedmiotowe dane zostały usunięte ze strony internetowej w dniu [...] lipca 2018 r. to zgodzić się należy z organem, że powyższe nie znajduje potwierdzenia w zebranym materiale dowodowym. Stan naruszenia w procesie przetwarzania danych osobowych przez [...] na stronie internetowej był odnotowany w styczniu 2019 r. Wobec powyższego nie zastosowano skutecznych środków technicznych i organizacyjnych zabezpieczających dalsze przetwarzanie tych danych i tym samym doprowadzono do ich dalszego udostępniania nieograniczonej liczbie osób. Nie można zatem uznać, że [...], jako administrator, w procesie przetwarzania na swojej stronie internetowej danych 585 osób, którym przyznano licencje sędziowskie w 2015 r., dopełnił ciążących na nim obowiązków przewidzianych w art. 5 ust. 1 lit. f, art. 32 ust. 1 lit. b i art. 32 ust. 2 RODO w zakresie zabezpieczenia danych przed ich udostępnieniem nieokreślonej liczbie osób. Ponadto, wbrew zarzutom podnoszonym w skardze, że organ nadzorczy stwierdził, iż w sierpniu 2018 r. dane osób, którym przyznano licencje sędziowskie w 2015 r. w zakresie numeru PESEL oraz adresu zamieszkania nie są dostępne w Internecie należy zauważyć, że nie znajduje on potwierdzenia w aktach przedmiotowej sprawy. Sam [...] oświadczył, że przedmiotowe naruszenie zostało usunięte, natomiast organ przyjął to jako deklarację ze strony administratora i nie miał podstaw do jej kwestionowania. Wobec powyższego organ nadzorczy nie stwierdził usunięcia naruszenia w procesie przetwarzania danych na stronie internetowej [...] w sierpniu 2018 r. W szczególności takie stanowisko nie zostało zawarte w piśmie Prezesa UODO z dnia [...] sierpnia 2018 r., skierowanym do [...], dotyczącym podjęcia działań mających na celu zawiadomienie osób, których dane dotyczą o naruszeniu ich danych.

Zaznaczyć należy, że Prezes UODO nie kwestionuje środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzanych danych, zastosowanych przez [...] jako takich (tj. wprowadzenie polityki ochrony danych osobowych, ustanowienie Inspektora Ochrony Danych, przeszkolenie pracowników w zakresie obowiązków związanych z przetwarzaniem danych), jednak organ nadzorczy nie może zaakceptować sytuacji, w której pomimo zastosowanych środków nie wyeliminowano prawidłowo stwierdzonego naruszenia. Jest to jednocześnie podstawą do uznania przez organ, że podjęte działania były nieskuteczne, a zatem i zastosowane środki były niewystarczające. Ustawodawca nie konkretyzuje jakie środki techniczne i organizacyjne zapewniają prawidłową ochronę przetwarzanych danych, tym samym wbrew twierdzeniom podnoszonym w skardze organ nadzorczy nie jest zobowiązany do wskazywania podmiotom przetwarzającym dane konkretnych rozwiązań technicznych i organizacyjnych, jakie powinny być zastosowane, aby przetwarzanie danych odbywało się w sposób bezpieczny i zgodny z prawem. Organ ocenia natomiast, czy zastosowane środki doprowadzają do sytuacji, w której nie dochodzi do zagrożeń w procesie przetwarzania danych osobowych. Przenosząc powyższe ustalenia na kanwę przedmiotowej sprawy, w ocenie Sądu, administrator podjął ograniczone działania w celu usunięcia naruszenia, które okazały się nieskuteczne. [...] zlecił podmiotowi zewnętrznemu usunięcie naruszenia i nie dokonał weryfikacji podjętych przez niego działań. Na skutek powyższego dostęp do danych osobowych był nadal możliwy.

Wpływu na treść zaskarżonej decyzji nie może mieć również argumentacja podnoszona w skardze, że dostęp do danych osób, którym przyznano licencje sędziowskie w 2015 r. w zakresie numeru PESEL oraz adresu zamieszkania, widniejących na stronie internetowej [...] był ograniczony z uwagi na okoliczność, że wymagał on uprzedniego dostępu do adresu [...] i wpisaniem go w wyszukiwarce internetowej. Adres [...] stanowi format adresowania i identyfikowania zasobów w internecie, jego wpisanie nie stanowi natomiast zabezpieczenia danych znajdujących się na stronie internetowej przed ich udostępnieniem nieograniczonej liczbie osób. Ponadto, jak wskazano w treści zaskarżonego rozstrzygnięcia, dostęp do ww. danych osobowych nie wymagał znajomości dokładnego adresu [...], bowiem do ich treści odesłania znajdowały się również w wynikach pojawiających się w wyszukiwarce internetowej.

Mając na uwadze zawartą w skardze, że treść § 13 uchwały Zarządu Polskiego Związku Piłki Nożnej z dnia [...] kwietnia 2012 r., nr [...] w sprawie licencji dla sędziów piłkarskich (nr [...], z dnia [...].05.2015 r., tekst jednolity) stanowiła podstawę do publikacji danych osób, którym przyznano licencje sędziowskie w 2015 r. w zakresie numeru PESEL oraz adresu zamieszkania, należy wskazać, że powyższy przepis stanowi, że Wojewódzkie Związki Piłki Nożnej prowadzą ewidencję przyznanych licencji i publikują je na strome internetowej. Tym samym autor powyższej uchwały nie określił konkretnego zakresu danych, podlegających publikacji, powyższe oznacza, że spełnienie obowiązku wynikającego z ww. § 13 uchwały z dnia [...] kwietnia 2012 r., nr [...], powinno nastąpić zgodnie z zasadą minimalizacji danych, wymienioną w art. 5 ust. 1 lit. c RODO. Należy zwrócić uwagę, że [...] jako administrator danych, samodzielnie dokonał oceny przetwarzania danych na swojej strome internetowej, w wyniku, której uznał, że w zbyt szerokim zakresie udostępnia dane osób którym przyznano licencje sędziowskie w 2015 r. Konsekwencją przedmiotowej oceny było zgłoszenie naruszenia przepisów z zakresu ochrony danych osobowych. Jednak podkreślenia wymaga, że to nie kwestia ujawnienia zbyt szerokiego zakresu danych była przedmiotem niniejszego postępowania, choć już ta okoliczność uprawniała Prezesa UODO do zastosowania instytucji administracyjnej kary pieniężnej, tylko nieusunięcie tego naruszenia. To podejmowanie nieskutecznych środków naprawczych, skala naruszenia prawa oraz znaczna liczba osób, których owo naruszenie dotyczyło, pomimo wykrycia nieprawidłowości przez [...], stanowiło w konsekwencji nałożenie przez organ na [...] administracyjnej kary pieniężnej.

Należy także podkreślić, że wbrew twierdzeniu strony skarżącej, że organ nadzorczy, wymierzając administracyjną karę finansową nie wziął pod uwagę okoliczności, że [...] prowadzi działalność niezarobkową, podczas ustalania wysokości administracyjnej kary pieniężnej organ nadzorczy zasadnie wziął pod uwagę katalog okoliczności łagodzących wymiar kary, w którym znalazło się m. in. stwierdzenie, że [...] prowadzi niezarobkową działalność.

Odnosząc się do zarzutu wydania zaskarżonej decyzji z naruszeniem art. 8 ust. 1 i art. 11 K.p.a. w związku z art. 107 § 1 pkt 6 i § 3 K.p.a. oraz art. 72 ustawy o ochronie danych osobowych, z uwagi na lakoniczność uzasadnienia, w zakresie odnoszącym się do wymiaru orzeczonej administracyjnej kary pieniężnej, należy wyjaśnić, że Prezes UODO w treści zaskarżonej decyzji wprost określił okoliczności decydujące o nałożeniu administracyjnej kary oraz czynniki mające wpływ na jej wysokość. Wymienił również okoliczności łagodzące wysokość nałożonej kary. Decydując, czy nałożyć administracyjną karę pieniężną, a także ustalając jej wysokość, za najistotniejszy organ uznał poważny charakter naruszenia, polegającego na tym, że pomimo stwierdzonego przez [...] naruszenia polegającego na publikacji zbyt szerokiego zakresu danych osobowych, podmiot ten niezastosował skutecznych środków, które uniemożliwiałyby dostęp do danych 585 osób, pomimo zapewnienia złożonego przed organem nadzorczym. Także czas trwania naruszenia ocenić należy negatywnie mając na uwadze moment jego zgłoszenia, tj. [...] lipca 2018 r. i czas skutecznego usunięcia naruszenia, tj. styczeń 2019 r.

W sytuacji, gdy naruszenie zostało już usunięte, a zatem wydawanie nakazu byłoby bezprzedmiotowe, administracyjna kara pieniężna może zostać nałożona zamiast zastosowania uprawnień naprawczych przez organ nadzorczy (art. 83 ust. 2 RODO).

W ocenie Sądu zastosowana przez Prezesa UODO administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 RODO, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

Należy uznać, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że [...] stosował będzie takie środki techniczne i organizacyjne, które zapewnią przetwarzanym danym odpowiedni stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób oraz wadze zagrożeń towarzyszącym procesom przetwarzania tych danych osobowych.

Organ nadzorczy w wyniku dokonanej oceny uznał, że zastosowanie administracyjnej kary pieniężnej w niniejszym przypadku jest niezbędne zważywszy także na to, że [...] będąc świadomym istnienia naruszenia, nie sprawdził, czy faktycznie firma sprawująca nadzór nad stroną internetową dokonała usunięcia danych, tym samym nie zastosował odpowiednich środków technicznych i organizacyjnych, w celu trwałego usunięcia naruszenia. Wobec powyższego za czynnik obciążający [...] należy uznać zaniedbanie w procesie usuwania naruszenia.

Zdaniem Sądu zastosowana kara pieniężna jest proporcjonalna do stwierdzonego naruszenia, szczególnie ze względu na wagę naruszenia, kategorie danych osobowych, których dotyczyło naruszenie (numer PESEL oraz adres zamieszkania udostępnione w połączeniu z imieniem i nazwiskiem), liczbę podmiotów danych objętych naruszeniem (585 osób fizycznych) i czas trwania naruszenia (lipiec 2018- styczeń 2019).

Odstraszający charakter kary pieniężnej wiąże się z zapobieganiem popełniania naruszeń w przyszłości. Kara ma przede wszystkim odstraszać [...] przed ponownym naruszeniem, ale też ma wywierać prewencją ogólna. Nakładając niniejszą decyzją karę pieniężną za naruszenie przepisów o ochronie danych osobowych Prezes UODO zasadnie wziął pod uwagę oba aspekty: po pierwsze - charakter represyjny, [...] naruszył przepisy RODO, po drugie - charakter prewencyjny, zarówno [...] jak i inni administratorzy będą skutecznie zniechęceni do naruszania w przyszłości prawa ochrony danych osobowych.

Celem nałożonej kary jest doprowadzenie do właściwego wykonywania przez [...] obowiązków przewidzianych w art. 5 ust. 1 lit. f, art. 32 ust. 1 lit. b i art. 32 ust. 2 RODO, a w konsekwencji do prowadzenia procesów przetwarzania danych zgodnie z obowiązującymi przepisami.

Odnosząc się zaś do zarzutu strony skarżącej, że organ nadzorczy nie uzasadnił okoliczności niezastosowania innego środka naprawczego względem [...] z katalogu wymienionego w art. 58 ust. 2 lit. a-h oraz lit. j RODO, zamiast administracyjnej kary pieniężnej należy wskazać, że zgodnie z art. 58 ust. 2 lit. i RODO, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 RODO, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia, zależnie od okoliczności konkretnej sprawy. Organ nie ma zatem obowiązku uzasadnienia dlaczego nie zastosował innego środka naprawczego. Ma natomiast obowiązek uzasadnienia nałożenia administracyjnej kary finansowej, co w zaskarżonej decyzji uczynił wskazując przesłanki, na jakich się oparł biorąc pod uwagę charakter, wagę i czas trwania naruszenia i okoliczności łagodzące wymiar tej kary. W przedmiotowej sprawie organ uznał, że charakter, waga i czas naruszenia kwalifikuje się do nałożenia kary finansowej. W uzasadnieniu zaskarżonej decyzji Prezes UODO wskazał na podstawie art. 83 ust. 2 lit. a – k RODO jakie okoliczności znał za te, które wpływają na zaostrzenie kary i te, które przemawiają za złagodzeniem wymiaru kary oraz wypowiedział się co do nieumyślności kary (ust. 3), o czy szerzej w części historycznej uzasadnienia wyroku. Nie można więc organowi orzekającemu w sprawie skutecznie postawić zarzutu dowolności podjętego rozstrzygnięcia.

Także cytowane przez stronę skarżącą orzeczenie organu nadzorczego z dnia [...] kwietnia 2019 r. nr [...] w przedmiocie odstąpienia od wymierzenia administracyjnej kary pieniężnej nie może stanowić podstawy do zanegowania stanowiska zawartego w treści zaskarżonej decyzji. Należy bowiem wskazać, że przedmiotem ww. rozstrzygnięcia z dnia [...] kwietnia 2019 r. było udostępnienie danych jednej osoby, w zakresie imienia, nazwiska i adresu zamieszkania wąskiemu kręgowi osób trzecich, natomiast podmiot, który dopuścił się naruszenia działał bez świadomości naruszenia przepisów o ochronie danych osobowych. Tym samym naruszenie opisane w postępowaniu zakończonym decyzją z dnia [...] kwietnia 2019 r. ma znacznie mniejszą wagę aniżeli naruszenie jakiego dopuścił się[...] pod względem ilości osób, których dane zostały ujawnione, zakresu ujawnionych danych oraz świadomości podmiotu, który dopuścił się naruszenia.

Podkreślenia wymaga, iż stosownie do treści art. 83 ust. 2 RODO, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a-h oraz lit. j RODO.

Zgodnie z art. 83 ust. 1 RODO określającym ogólne warunki nakładania administracyjnych kar pieniężnych - każdy organ nadzorczy zapewnia, by stosowane na mocy niniejszego artykułu za naruszenia niniejszego rozporządzenia administracyjne kary pieniężne, o których mowa w ust. 4, 5 i 6, były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Stosownie zaś do art. 83 ust. 2 lit. d RODO, organ decydując, czy nałożyć administracyjną karę pieniężną oraz ustalając jej wysokość, zwraca w każdym indywidualnym przypadku należytą uwagę na stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych na mocy art. 25 i 32 RODO. W myśl art. 83 ust. 2 lit. k RODO, organ decydując, czy nałożyć administracyjną karę pieniężną oraz ustalając jej wysokość, zwraca w każdym indywidualnym przypadku należytą uwagę na wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty. W decyzji organ wziął pod uwagę wszystkie te czynniki i je uzasadnił.

W związku z powyższym należy stwierdzić, że w treści zaskarżonej decyzji orzekając o nałożeniu administracyjnej kary pieniężnej organ nadzorczy przez pryzmat przesłanek wymienionych w art. 83 ust. 1, ust. 2 i ust. 5 lit. a RODO, wskazał dlaczego zasadnym w przedmiotowej sprawie było zastosowanie właśnie takiego środka oddziaływania względem [...]. Należy też zwrócić uwagę, na fakt, że Prezes UODO przed wszczęciem postępowania zakończonego zaskarżonym rozstrzygnięciem, w celu wyeliminowania powyższych nieprawidłowości w procesie przetwarzania danych osobowych, pismem z dnia [...] sierpnia 2018 r., wystąpił do [...] na podstawie art. 52 ust. 1 ustawy o ochronie danych osobowych, o podjęcie działań mających na celu zawiadomienie osób, których dane dotyczą, o naruszeniu ich danych, w tym przekazanie zaleceń odnośnie zminimalizowania potencjalnych negatywnych skutków zaistniałego naruszenia oraz o wyeliminowaniu podobnych nieprawidłowości w przyszłości. Z uwagi jednak na nieskuteczne działania [...] co do usunięcia zgłoszonego naruszenia, w sposób prawidłowy zostało to usankcjonowane administracyjną karą pieniężną.

Zarzut podniesiony w skardze, że organ nie sprecyzował w jaki sposób określił wysokość administracyjnej kary pieniężnej np. poprzez wskazanie wyjściowej wysokości kary jest niezasadny. Przesłanki nałożenia administracyjnej kary pieniężnej określa bowiem art. 83 RODO. Wysokość nałożonej kary pieniężnej jest wypadkową uwzględnia przesłanek określonych w art. 83 ust. 2 i 3 RODO, w tym okoliczności, że [...] nie przetwarza danych osobowych w celkach zarobkowych, nie prowadzi działalności gospodarczej oraz analizy rocznego sprawozdania finansowego za 2017 r.

Z tych wszystkich względów, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (t. j. Dz. U. z 2019 r. poz. 2325), orzekł jak w sentencji.