drukuj    zapisz    Powrót do listy

647 Sprawy związane z ochroną danych osobowych, , Generalny Inspektor Ochrony Danych Osobowych, Uchylono zaskarżoną decyzję, II SA/Wa 567/22 - Wyrok WSA w Warszawie z 2022-10-10, Centralna Baza Orzeczeń Naczelnego (NSA) i Wojewódzkich (WSA) Sądów Administracyjnych, Orzecznictwo NSA i WSA

II SA/Wa 567/22 - Wyrok WSA w Warszawie

Data orzeczenia
2022-10-10 orzeczenie nieprawomocne
Data wpływu
2022-03-30
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Góraj /przewodniczący sprawozdawca/
Arkadiusz Koziarski
Izabela Głowacka-Klimas
Symbol z opisem
647 Sprawy związane z ochroną danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżoną decyzję
Sentencja

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Góraj (spr.), Sędzia WSA Izabela Głowacka–Klimas, Asesor WSA Arkadiusz Koziarski, Protokolant referent-stażysta Maria Pawlik po rozpoznaniu na rozprawie w dniu 10 października 2022 r. sprawy ze skargi A. Sp. z o.o. z siedzibą w [...] oraz [...] S.A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] stycznia 2022 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz A. Sp. z o.o. z siedzibą w [...] kwotę 680 (słownie: sześćset osiemdziesiąt) złotych tytułem zwrotu kosztów postępowania; 3. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz B. S.A. z siedzibą w [...] kwotę 680 (słownie: sześćset osiemdziesiąt) złotych tytułem zwrotu kosztów postępowania

Uzasadnienie

Prezes Urzędu Ochrony Danych Osobowych (dalej: "Prezes UODO", "organ"), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez [...] Spółka Akcyjna z siedzibą w [...] (dalej: "[...]") oraz [...] Sp. z o.o. z siedzibą w [...] (dalej: "[...]") decyzją z [...] stycznia 2022 r. - w punkcie 1 – stwierdził naruszenie przez [...] art. 5 ust. 1 lit. f), art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej: "RODO", polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, skutkującym naruszeniem ich poufności, oraz na braku weryfikacji [...], czy zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą i nałożył na [...], za naruszenie art. 5 ust. 1 lit. f) art. 25 ust. 1, art. 28 ust. 1 oraz art. 32 ust. 1 i 2 RODO, administracyjną karę pieniężną w wysokości 4 911 732 PLN (słownie: cztery miliony dziewięćset jedenaście tysięcy siedemset trzydzieści dwa PLN), - w punkcie 2 - stwierdził naruszenie przez [...] art. 32 ust. 1 i 2 oraz art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) i f) RODO, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, w tym zapewnienie ich poufności i nałożył na [...] administracyjną karę pieniężną w wysokości 250 135 PLN (słownie: dwieście pięćdziesiąt tysięcy sto trzydzieści pięć PLN), - w punkcie 3 - w pozostałym zakresie postępowanie umorzył.

W uzasadnieniu organ wyjaśnił, że [...] prowadzi działalność gospodarczą w zakresie obrotu energią elektryczną i paliwem gazowym, w tym w zakresie sprzedaży energii elektrycznej oraz gazu odbiorcom końcowym, zarówno z sektora biznesowego, jak i gospodarstwom domowym. W ramach prowadzonej działalności gospodarczej [...] współpracuje z [...] . [...] świadczy na rzecz [...] usługę prowadzenia

archiwum, w tym archiwum cyfrowego. Strony związane są umową powierzenia przetwarzania danych osobowych z [...] maja 2018 r. oraz umową przechowywania (archiwum dokumentów) wraz z usługami towarzyszącymi z [...] lutego 2016 r. z późniejszymi aneksami.

[...] kwietnia 2020 r. [...] zgłosiła Prezesowi UODO naruszenie ochrony danych osobowych wskazując, że doszło do "skopiowania danych" klientów [...], a zdarzenie jest związane z faktem wprowadzenia zmiany w środowisku teleinformatycznym dla usługi [...] (systemu spełniającego rolę archiwum cyfrowego dokumentów i informacji na temat klientów, pochodzących z procesu przetwarzania nośników papierowych na elektroniczne) w celu zwiększenia wydajności działania całości repozytorium.

Zmiana dokonywana była przez [...], tj. [...], w następstwie zgłoszenia do niego przez [...] faktu powolnego działania usługi [...], której [...] była dostawcą. Zmiana polegała na utworzeniu i instalacji dodatkowej bazy danych klientów [...] (która następnie została skopiowana przez nieuprawnione podmioty), działającej w oparciu o rozwiązanie [...] (oprogramowanie komputerowe służące do wyszukiwania informacji, aplikacji można użyć do zbierania i analizy logów, zbierania, łączenia i analizy danych dostępnych publicznie, pełnotekstowego wyszukiwania tekstu, zbierania i analizy danych z pomiarów, wizualizacji danych). Naruszenie poufności dotyczyło nowoutworzonej bazy danych zawierającej informacje o klientach [...] w zakresie: imię i nazwisko, adres zamieszkania lub pobytu, nr PESEL, rodzaj, seria i numer dokumentu tożsamości, adres e-mail, numer telefonu, numer i adres punktu poboru oraz dane dotyczące umowy (np. data i nr umowy, rodzaj paliwa, nr licznika), określonej przez [...] w zgłoszeniu jako "dodatkowa, wtórna, pomocnicza bazy metadanych o nazwie "[...]". W zgłoszeniu wskazano, że naruszenie dotyczyło danych osobowych 137 314 osób klientów [...]. [...] zrezygnował z powiadomienia osób, których dane dotyczą, o naruszeniu ochrony danych osobowych, gdyż w jego ocenie nie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych. [...] kwietnia 2020 r. [...] przesłała do wiadomości Prezesa UODO zawiadomienie o możliwości popełnienia przestępstwa, które zostało złożone przez [...] w Prokuraturze Okręgowej w [...]. W uzasadnieniu zawiadomienia [...] wskazała na możliwość popełnienia czynu zabronionego określonego w art. 267 ustawy z dnia 6 czerwca 1997 r. kodeks kamy (Dz. U. z 2020 r. poz. 144 ze zm.), tj. uzyskania bezprawnego dostępu do informacji w związku z nieuprawnionym skopiowaniem bazy danych klientów. W związku z faktem, że [...] nie zawiadomiła o naruszeniu osób, których dotyczyło naruszenie, zaś w ocenie Prezesa UODO z uwagi na szeroki zakres ujawnionych danych klientów [...] wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Prezes UODO [...] kwietnia 2020 r. skierował do [...] wystąpienie, w którym zwrócił się o podjęcie stosownych działań mających na celu: niezwłoczne zawiadomienie osób, których dane dotyczą, o naruszeniu ich danych osobowych, przekazanie tym osobom zaleceń odnośnie zminimalizowania potencjalnych negatywnych skutków zaistniałego naruszenia, wyeliminowanie podobnych nieprawidłowości w przyszłości. Odpowiedź na ww. wystąpienie Prezesa UODO przesłana została przez [...] pismem z [...] maja 2020 r. [...] poinformował organ nadzorczy o zawiadomieniu osób, których dotyczyło naruszenie, przedstawiając jednocześnie treść komunikacji przesyłanej do klientów przed otrzymaniem wystąpienia organu nadzorczego, jak również treść uzupełnionego zawiadomienia o naruszeniu przesłanego do klientów w związku z wystąpieniem organu.

Wszczynając postępowanie administracyjne Prezes UODO wezwał [...] do wskazania m.in. ostatecznych kategorii danych osobowych i kategorii osób, których dane dotyczą oraz wskazania szczegółowego, w tym technicznego, opisu naruszenia. Prezes UODO wezwał [...] również do wskazania, czy i jakie [...] oraz [...]

przyjęły środki zabezpieczenia technicznego i organizacyjnego zgodnie z art. 24 RODO (polityki ochrony danych), art. 25 RODO (uwzględnianie ochrony danych w fazie projektowania oraz domyślną ochronę danych) oraz art. 32 RODO, jak również wskazania czy, a jeśli tak, to kiedy i w jaki sposób [...] oraz [...] dokonywały regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych, których naruszenie dotyczy.

W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego pismem z [...] maja 2020 r. [...] przesłał dodatkowe wyjaśnienia, w których wskazał m.in. że: kategorie danych, których dotyczy naruszenie, wskazane w zgłoszeniu obejmują: imię i nazwisko, adres zamieszkania lub pobytu, nr PESEL, rodzaj, serię i numer dokumentu tożsamości, adres email, numer telefonu, numer i adres punktu poboru oraz dane dotyczące umowy (np. data i nr umowy, rodzaj paliwa, nr licznika). Zgodnie z wyjaśnieniami [...], powyższy zakres danych wynika ze struktury bazy, której dotyczyło naruszenie. Jednocześnie [...] oświadczył, że nie wszystkie pola zawierały wartości (były wypełniane). Tak więc, dla jednej osoby dane osobowe zawarte

w bazie mogą być ograniczone do imienia i nazwiska, numeru umowy oraz nr PESEL, a dla innej obejmować wszystkie ww. kategorie danych osobowych. Do wykrycia podatności, która doprowadziła do nieuprawnionego dostępu do dodatkowej bazy danych utworzonej w oparciu o rozwiązanie [...], doszło po przekazaniu przez dwóch niezależnych internautów informacji, iż posiadają oni dostęp do bazy klientów [...]. Do naruszenia doszło w wyniku działania [...] realizującego na rzecz [...] usługę [...] , tj. [...]. [...] wyjaśnił, że w momencie zidentyfikowania systemu, którego dane były narażone, poinformowała dostawcę usługi (tj. [...]), który od razu wyłączył system oraz zablokował dostępy. Opisując, w jaki sposób doszło do naruszenia, [...] wskazał m.in., że związane to było z faktem wprowadzenia zmiany programistycznej w środowisku informatycznym dla usługi [...]. Zmiana polegała na dodaniu do środowiska [...] dodatkowego komputera (serwera bazodanowego) dla bazy danych działającej w oparciu o rozwiązanie [...] w celu poprawienia wydajności wyszukiwania dokumentów. Miało to zdecydowanie skrócić czas, w którym informacje z systemu [...] są dostępne dla użytkownika końcowego. [...] wskazała, że rozwiązanie takie znacznie przyśpiesza wyszukiwanie dokumentów i jest popularnym rozwiązaniem w tego typu usługach. Wprowadzone modyfikacje i sposób ich wprowadzenia nie zostały skonsultowane z nią przez [...]. W swych wyjaśnieniach [...] wskazał, że współpracuje z [...] na podstawie umowy przechowywania (archiwum dokumentów) wraz z usługami towarzyszącymi zawartej w 2016 roku (z późniejszymi aneksami) oraz umowy powierzenia przetwarzania danych osobowych zawartej 14 maja 2018 r., gdzie określono wymogi w zakresie bezpieczeństwa danych osobowych, które ma zastosować [...], m.in. pseudonimizację i szyfrowanie danych osobowych. Według oceny [...] wymogi te nie zostały spełnione przez [...] w przypadku wdrożonej modyfikacji w usłudze [...]. W związku z wyjaśnieniami złożonymi przez [...] w odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego, pismem z 25 maja 2020 r. Prezes UODO zwrócił się do [...] o przedstawienie dodatkowych informacji i wskazanie m.in. czy, a jeśli tak, to kiedy i jakie postępowania weryfikacyjne [...], pod kątem spełnienia przez niego wymogów RODO, przeprowadziła przed zawarciem umowy powierzenia przetwarzania danych z tym podmiotem oraz czy poza planowaną kontrolą wszystkich podmiotów przetwarzających, czy realizowała prawo kontroli, o którym mowa w art. 28 ust. 3 lit. h) RODO, pod kątem zapewnienia przez [...] środków wymaganych na mocy art. 32 RODO. Prezes UODO zwrócił się również o wyjaśnienie, jak w ocenie [...] powinna zostać przeprowadzona modyfikacja mająca na celu przyspieszenie wyszukiwania dokumentów w systemie [...]. W odpowiedzi, pismem z [...] czerwca 2020 r. [...] wyjaśnił, że przed zawarciem umowy powierzenia przetwarzania danych osobowych nie przeprowadził dodatkowej weryfikacji [...]. Wskazał, że współpracuje z [...] od wielu łat i dotychczas nie dochodziło do incydentów bezpieczeństwa. Dodatkowo [...] jest liderem rynkowym w dziedzinie świadczonych usług i reprezentuje wysoki standard w zakresie archiwizacji i digitalizacji.

[...] uznał za wystarczające podpisanie umowy powierzenia przetwarzania danych osobowych wraz z ustaleniami wskazanymi w Załączniku. [...] wskazał również, że dotychczas nie realizował jeszcze prawa kontroli, o którym mowa w art. 28 ust. 3 lit. h) RODO, pod kątem zapewnienia przez [...] środków wymaganych na mocy

art. 32 RODO. Po stwierdzeniu naruszenia bezpieczeństwa danych osobowych, [...] maja 2020 r., [...] wysłał do [...] wcześniej przygotowaną ankietę dla [...] stanowiącą pierwszy element procesu weryfikacji podmiotów przetwarzających. [...] przedstawił także wyjaśnienia, jak powinien wyglądać proces wdrożenia przez [...] zmian w systemie mających na celu usprawnienie działania usługi [...]. [...] wskazał, że w jego ocenie zastosowanie konkretnego rozwiązania mającego na celu przyspieszenie wyszukiwania dokumentacji w systemie [...] powinno zostać poprzedzone analizą uwzględniającą zarówno korzyści, jak i potencjalne zagrożenia wynikające z konkretnego, zaplanowanego rozwiązania. Analizując potencjalne zagrożenia, dostawca usługi powinien przeprowadzić analizę ryzyka wdrożenia takiego rozwiązania i przygotować szczegółowy plan zabezpieczenia wykonywanych operacji. [...] wskazał, że nie otrzymał wyników analizy ryzyka oraz alternatywnych rozwiązań do wyboru. Jednostronną decyzję o zastosowaniu wdrażanego rozwiązania podjął sam [...], a ponadto nie przedstawił on żadnej szczegółowej analizy uzasadniającej wybrane rozwiązanie techniczne. [...] podniósł także, że w dotychczasowej praktyce wprowadzania przez [...] zmian w systemach [...], zmiany takie wprowadzane były według wcześniej ustalonego planu prac, przetestowane przez [...] na środowisku testowym i dopiero następnie wdrożone produkcyjnie. [...] przedstawił również kopię procedur wdrożonych w [...], na które powoływał się w odpowiedzi z [...] maja 2020 r., tj. "Politykę bezpieczeństwa", "Instrukcję zarządzania systemami informatycznymi", "Analizę zagrożeń i ryzyk naruszenia ochrony danych osobowych w [...]" oraz "Zasady przetwarzania danych osobowych". Przedstawione zostało również zestawienie przeglądów wewnętrznych wykonanych przez [...] i zewnętrznych, wykonanych w [...] przez jego kontrahentów innych niż [...], które stanowi załącznik nr 5 do pisma [...] z [...] czerwca 2020 r. oraz raporty z dwóch ostatnich przeglądów bezpieczeństwa i ochrony danych osobowych wykonanych przez [...] przed wystąpieniem naruszenia, które stanowią załącznik nr 6 do ww. pisma [...].

Pismem z [...] czerwca 2020 r. Prezes UODO zwrócił się do [...] o złożenie kolejnych wyjaśnień m.in. w zakresie wskazania, od kiedy [...] współpracuje z [...] oraz wskazania, czy (a jeśli tak, to kiedy i jakiej treści) [...], od momentu zawarcia umowy z [...], w ramach pkt 3,4,3 umowy powierzenia przetwarzania danych z [...] maja 2018 r. (załącznik nr 7 do odpowiedzi na wszczęcie postępowania administracyjnego z 13 maja 2020 r.), kierował powiadomienia do [...] o wszelkich zmianach, które mogą mieć wpływ na ochronę lub bezpieczeństwo danych w odniesieniu do danych osobowych przetwarzanych przez [...] . Ponadto, Prezes UODO zwrócił się o przesłanie dodatkowych informacji mających na celu potwierdzenie zarówno liczby, jak i skuteczności dokonanego przez [...] zawiadomienia o naruszeniu osób, których dane dotyczyły. Pismem z [...] czerwca 2020 r. [...] złożył dodatkowe wyjaśnienia dotyczące ustalenia sposobu i liczby osób zawiadomionych o naruszeniu ich danych osobowych. Ponadto [...] przedstawił treść korespondencji z [...] kwietnia 2020 r., w której została zgłoszona potrzeba dokonania zmian w systemie [...] w związku z jego powolnym działaniem. [...] wskazał w swych wyjaśnieniach również, że potrzeba dokonania zmian zgłaszana była [...] wielokrotnie wcześniej, w związku z wolnym działaniem systemu [...]. [...] wskazał również, że w załączniku nr 2 "Utrzymanie Archiwum Cyfrowego" do umowy przechowywania wraz z usługami towarzyszącym z [...] lutego 2016 r., w punkcie 1.3., opisano procedurę wdrażania zmian w systemie. W opisywanym przypadku wspomniana procedura nie została przez [...] zastosowana. [...] nie przedstawił [...] koncepcji zmian ani projektów funkcjonalnych i technicznych. Zgodnie z oświadczeniem [...], gdyby otrzymał odpowiednio wcześnie wytyczne od [...], to istniałaby możliwość zareagowania na potencjalne zagrożenie związane z wykorzystaniem konkretnego rozwiązania mającego rozwiązać problem z powolnym działaniem systemu [...]. W związku z faktem, że z dotychczasowych ustaleń dokonanych w toku postępowania wynikało, że w proces przetwarzania danych osobowych objętych naruszeniem ochrony danych osobowych, zgłoszonym przez [...], zaangażowana jest również [...], Prezes UODO uznał, że postępowanie dotyczy również obowiązków [...] jako [...], któremu [...] powierzył przetwarzanie danych osobowych osób, których dotyczyło naruszenie. Pismem z [...] lipca 2020 r. Prezes UODO zawiadomił [...] o uznaniu go za stronę postępowania, zgodnie z art. 28 k.p.a. wskazując jednocześnie, że postępowanie dotyczy możliwości naruszenia także art. 28 ust. 1 i 3 RODO. Prezes UODO, na podstawie art. 58 ust. 1 lit. a) i e) RODO wezwał [...] do złożenia wyjaśnień i wskazania m.in.: kto, kiedy i jakie czynności podjął w celu wdrożenia zmian w systemie informatycznym [...] (instalacja rozwiązania [...]) w odpowiedzi na sygnalizowane przez [...] problemy dotyczące wydajności tego systemu. Jakie procedury przyjął [...] dotyczące wprowadzania zmian w systemach informatycznych dostarczanych [...] danych w odpowiedzi na sygnalizowane przez nich zapotrzebowanie. Czy [...] podjął działania weryfikacyjne pod kątem bezpieczeństwa środowiska informatycznego, które zostało poddane modyfikacji, jeśli tak, to jakie to były działania i kiedy zostały podjęte, a jeśli nie, to dlaczego. Wskazania, czy, a jeśli tak, to kiedy i w jaki sposób [...] dokonywał regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych, których naruszenie dotyczy, a w szczególności, czy i jakie środki techniczne i organizacyjne zaplanował [...] dla procesu modyfikacji systemu informatycznego [...] oraz czy dokonał oceny skuteczności tych środków. W odpowiedzi z [...] sierpnia 2020 r. [...] wskazał, że działania podjęte zostały w związku ze zgłoszeniem [...] dotyczącym konieczności rozwiązania słabej wydajności repozytorium [...] powodującej wydłużony czas obsługi operacyjnej klientów [...]. Zgodnie z wyjaśnieniami [...], po przeprowadzeniu wewnętrznej analizy zgłoszenia powstała rekomendacja wraz z propozycją rozwiązania problemu wydajności [...], która została przekazana do [...] w celu akceptacji. Po otrzymaniu akceptacji ze strony [...] Dział [...] rozpoczął realizację zmian. Pierwszym etapem realizacji zmian na rzecz [...] było utworzenie i skonfigurowanie nowego wirtualnego serwera oraz zainstalowanie na nim oprogramowania [...]. Jak wskazano w wyjaśnieniach z [...] sierpnia 2020 r., zadanie to przekazane zostało osobie o odpowiednich kwalifikacjach, a jednym

z technicznych aspektów realizacji zadania było ustanowienie bezpiecznej komunikacji nowego serwera z pozostałymi elementami teleinformatycznymi całego środowiska [...] w taki sposób, aby transmisja/dostęp do danych posiadała tylko odpowiednia aplikacja. Zgodnie z wyjaśnieniami [...], po utworzeniu i skonfigurowaniu serwera oraz zainstalowaniu na nim oprogramowania [...] przystąpiono do realizacji kolejnego zadania w ramach wdrożenia zmiany dla [...], tj. rozpoczęto zasilanie danymi klientów [...] nowoutworzonej bazy działającej w oparciu o rozwiązanie [...] . [...] kwietnia 2020 r. [...] otrzymał informację mailową od Kierownika Działu [...] [...] o przetestowaniu nowej funkcjonalności oraz możliwości do konania finalnej walidacji przed uruchomieniem produkcyjnym ww. zmian.

W odpowiedzi na pytanie, jakie zostały przyjęte procedury dotyczące wprowadzania zmian w systemach informatycznych dostarczanych [...] danych w odpowiedzi na sygnalizowane przez nich zapotrzebowanie, [...] wskazał, że podstawowym, a tym samym obowiązującym, dokumentem regulującym obszary IT jest

"Instrukcja zarządzania systemami informatycznymi". Natomiast jeśli chodzi wprowadzanie zmian w systemach [...] poszczególne Działy Pionu IT są zobowiązane do ewidencjonowania wszelkich zmian wprowadzanych w systemach w wewnętrznych systemach wspomagania zarządzania projektami i ich kontroli. Główne narzędzia to: a) zarządzanie projektem oraz zmianą [...], b) system dokumentowania (baza wiedzy) [...], c) system zarządzania repozytorium [...]. W wyżej wymienionych systemach rejestrowane są zadania do wykonania, które następnie są przydzielane do realizacji przez konkretnych inżynierów zatrudnionych przez [...]. Dostęp do systemów oraz serwerów, na których te systemy pracują,

odbywa się na ogólnych zasadach ujętych w "Instrukcji zarządzania systemami informatycznymi". Wyjaśniając, czy podjęte zostały działania weryfikacyjne pod kątem bezpieczeństwa środowiska informatycznego, które zostało poddane modyfikacji, [...] wskazał, że wdrażana zmiana dla [...] była na etapie kończenia testów – przed finalną walidacją przez [...], a tym samym przed wdrożeniem na produkcję oraz finalnym wdrożeniem zabezpieczeń systemowych i nowej bazy danych utworzonej w oparciu o rozwiązanie [...]. Etap wdrożenia produkcyjnego i zakończenie wdrożenia zabezpieczeń był planowany na okres [...] kwietnia 2020 r. Na moment stwierdzenia naruszenia ochrony danych osobowych klientów [...], na podstawie informacji przekazanej przez [...] [...] kwietnia 2020 r., zmiany mające na celu usprawnienie działania systemu [...] były jeszcze w trakcie wdrażania (tj. realizacji etapu synchronizacji podsystemu opartego o rozwiązanie [...] z aktualnym środowiskiem [...]), tym samym prace wykonywane przez [...] nie były w pełni zakończone - trwał proces testów i zasilania nowoutworzonej bazy danymi. Pismem z [...] kwietnia 2021 r. [...] wskazał m.in., że [...] nie konsultował z [...] wdrożenia zmian w oprogramowaniu. [...] podniósł ponadto, że [...] zgłosił problem w działaniu oprogramowania [...] i oczekiwał jego rozwiązania. [...] znając techniczną przyczynę przystąpił do rozwiązania problemu, a [...] nie "konsultowało w tym przypadku technicznego sposobu i detali zmian w oprogramowaniu".

Pismami z [...] lipca 2021 r. [...] i [...] zostały poinformowane, że postępowanie zostało rozszerzone o możliwość naruszenia przez [...], jako administratora danych, obowiązków wynikających z przepisów art. 28 ust, 1 i art. 28 ust. 3 RODO. Pismem z 30 września 2021 r. [...] uzupełnił przedstawione wcześniej materiały o dodatkowe wyjaśnienia, zgodnie z którymi zlecił podmiotowi zewnętrznemu analizę "incydentu"’ oraz przedstawienie rekomendacji w celu zminimalizowania ryzyka powtórnego wystąpienia incydentu o podobnym charakterze. Zgodnie z wyjaśnieniami [...] przedstawionymi w ww. piśmie z [...] września 2021 r., na podstawie przedstawionych rekomendacji dokonano modyfikacji zarówno w infrastrukturze technicznej, jak i wprowadzono dodatkowe elementy akceptacji i potwierdzania prowadzonych "prac modernizacyjnych w środowisku produkcyjnym aplikacji". Do pisma

dołączono również raport z monitoringu wycieku danych prowadzonego za okres od [...] czerwca 2020 r. do [...] sierpnia 2020 r., zgodnie z którym w sieci Internet oraz [...] nie pojawiły się dane dotyczące klientów [...], których poufność została naruszona w wyniku zdarzenia z [...] kwietnia 2020 r.

Wyżej przytoczone stanowiska stron postępowania - jak można się domyślać organ potraktował jako ustalony stan faktyczny, gdyż po stwierdzeniu - "w tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego" - Prezes UODO przeszedł do etapu rozważań. Rozpoczął je od przywołania przepisów RODO. Dalej wskazał, że podstawowym środkiem bezpieczeństwa mającym na celu ochronę przed nieuprawnionym dostępem do danych osobowych jest ustanowienie odpowiednich zabezpieczeń baz danych i systemów informatycznych wykorzystywanych do przetwarzania danych osobowych. Zapewnienie dostępu uprawnionym użytkownikom i zapobieganie nieuprawnionemu dostępowi do systemów i usług to jeden z wzorcowych elementów bezpieczeństwa, na który wskazuje m.in. norma 11 PN-EN ISO/IEC 27001:2017-06. Jak wynika z art. 32 ust. 1 RODO, jednym z czynników, jakie należy brać pod uwagę przy doborze właściwych środków technicznych i organizacyjnych, jest stan wiedzy technicznej, który powinno się oceniać z uwzględnieniem warunków rynkowych, w szczególności dostępności i akceptowalności rynkowej danego rozwiązania technicznego. Wskazówek konkretyzujących w tym przedmiocie dostarczają obowiązujące standardy i normy, w szczególności normy ISO, które ulegają również ciągłym przeglądom i zmianom warunkowanym postępem technologicznym. Zgodnie z normą PN-EN ISO/IEC 27002:2017-06 zaleca się unikania stosowania danych zawierających dane identyfikujące osobę lub inne poufne dane w charakterze danych testowych. Jeżeli

dane identyfikujące osobę są wykorzystywane podczas testów, zaleca się ochronienie wszystkich wrażliwych szczegółów i kontekstu poprzez ich usunięcie lub modyfikację. Ww. norma dopuszcza możliwość wykorzystania danych rzeczywistych do celów testowych, niemniej dane te powinny podlegać szczególnej ochronie. Przede wszystkim w przypadku gdy do celów testowych wykorzystywane są dane rzeczywiste, w testowanych aplikacjach powinny być zastosowane takie same procedury kontroli dostępu, jak te stosowane w systemach produkcyjnych. Prezes UODO stwierdził, że zarówno zatem RODO, jak i dobre praktyki określone w normach ISO, wskazują administratorom i podmiotom przetwarzającym możliwe rozwiązania, jakie mogą być zastosowane przez nich w trakcie dokonywania zmian w systemach informatycznych, w

których przetwarzane są dane osobowe. Podkreślono, że pseudonimizacja danych jest skutecznym środkiem bezpieczeństwa w celu zapewnienia poufności danych. Osoba nieuprawniona, która weszła w posiadanie poddanych pseudonimizacji danych np. w wyniku wystąpienia naruszenia ochrony danych osobowych, nie jest w stanie bowiem ich przypisać do konkretnej osoby bez dysponowania dodatkowymi informacjami o tej osobie. Z tego rozwiązania ani [...] ani [...] jednak nie skorzystali decydując się, w ramach wprowadzania zmian w usłudze [...], na zasilenie nowoutworzonej bazy opartej o rozwiązanie [...] rzeczywistymi danymi osobowymi klientów [...], co w połączeniu z brakiem zastosowania innych skutecznych zabezpieczeń, doprowadziło do wystąpienia naruszenia ochrony danych osobowych, w wyniku którego doszło do naruszenia poufności danych ponad 95 tys. osób.

Organ przywołał też normę [...], zgodnie z którą funkcje bezpieczeństwa należy testować w czasie prac rozwojowych. W stanie faktycznym przedmiotowej sprawy [...] otrzymał zgłoszenie nieprawidłowego (powolnego) działania systemu [...]. W związku z ww. zgłoszeniem rozpoczął pracę nad wdrożeniem zmian. Powierzył utworzenie nowego serwera działającego w oparciu o rozwiązanie [...] jednej osobie, a następnie rozpoczęła zasilanie bazy danych rzeczywistymi danymi klientów [...]. Pomimo tego, że nowoutworzona baza danych zasilona została rzeczywistymi danymi osobowymi, na etapie prac rozwojowych [...] nie przetestował funkcji bezpieczeństwa, co w konsekwencji doprowadziło do naruszenia poufności danych osobowych ponad 95 tysięcy klientów [...], w przypadku których, z uwagi na zakres ujawnionych danych, ryzyko naruszenia praw lub wolności osób fizycznych w związku z naruszeniem

ochrony danych osobowych było wysokie. Wyjaśniając w toku postępowania, jakie funkcjonują procedury dotyczące wprowadzania zmian w systemach informatycznych dostarczanych [...] danych w odpowiedzi na sygnalizowane przez nich zapotrzebowanie, [...] wskazał, że posiada określone polityki oraz procedury dotyczące działań w ramach wprowadzania zmian w systemach informatycznych, zaś podstawowym dokumentami w tym zakresie są: "Instrukcja zarządzania systemami informatycznymi", "Polityka bezpieczeństwa", "Zasady bezpiecznego funkcjonowania systemów IT" oraz "Zasady realizacji praw podmiotów danych osobowych". W przypadku zmian w systemach, zgodnie z wyjaśnieniami [...], poszczególne działy pionu IT są zobowiązane do ewidencjonowania wszelkich zmian wprowadzanych w systemach w wewnętrznych systemach wspomagania zarządzania projektami i ich kontroli. Główne narzędzia to: a) system zarządzania projektem oraz zmianą [...], b) system dokumentowania (baza wiedzy) [...], c) system zarządzania repozytorium [...]. Zlecenie na rzecz [...] zostało zgłoszone w systemie [...], na dowód czego [...] przedstawił odpowiednie wydruki z tego systemu. Analiza organu "Instrukcji zarządzania systemami informatycznymi", jak i "Polityki bezpieczeństwa" wykazała, że dokumenty te nie zawierają jednak szczegółowych zapisów dotyczących sposobu dokonywania zmian w systemach informatycznych służących do przetwarzania danych osobowych, np. konieczności utworzenia środowiska testowego, czy odpowiedniego zabezpieczenia rzeczywistych danych klientów [...], w przypadku ich wykorzystania do testowania wprowadzanych zmian, czy też zasad kontroli poprawności realizacji poszczególnych etapów projektu. Natomiast przedstawione wydruki z systemu [...] są w rzeczywistości zleceniami wykonania poszczególnych czynności. Na ich podstawie niemożliwe jest potwierdzenie, że wdrażane zmiany realizowane były według określonych z góry zasad zapewniających bezpieczeństwo danych osobowych.

W ocenie Prezesa UODO, ewidencjonowanie realizowanych na rzecz kontrahentów [...] prac w wewnętrznych systemach wspomagania zarządzania projektami nie może być uznane za wystarczający środek zapewniający

bezpieczeństwo przetwarzania danych osobowych, gdyż poszczególne etapy realizacji zmian nie są wystarczająco udokumentowane. Prowadzić to może do dowolności

wyboru stosowanych rozwiązań, czy, jak w przedmiotowej sprawie, nie zdefiniowania wszystkich wymaganych zabezpieczeń, co w konsekwencji doprowadziło do naruszenia ochrony danych osobowych. W treści powoływanej przez [...] "Polityki bezpieczeństwa" wskazano jednak, że jako wymagania uzupełniające zastosowanie mają opracowania normatywne: [...] - Technika informatyczna – Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji informatyczna — Techniki bezpieczeństwa". W związku z powyższym, w przypadku braku szczegółowych zapisów w wewnętrznych procedurach [...] dotyczących sposobu przeprowadzania zmian w systemach informatycznych, zmiany te dokonywane powinny być zgodnie z dobrymi praktykami określonymi w ww. normach ISO, co, jak zostało wyżej wykazane, nie zostało przeprowadzone w przypadku dokonywania zmian w systemie [...], prowadząc w konsekwencji do umożliwienia nieuprawnionym podmiotom pobrania danych osobowych, których administratorem jest [...]. W stanie faktycznym przedmiotowej sprawy do naruszenia ochrony danych osobowych (wycieku danych) doszło według organu w wyniku błędu jednego pracownika [...] posiadającego według niego odpowiednie kwalifikacje do wykonania tego zadania, który konfigurując nowy serwer działający w oparciu o rozwiązanie [...], nie uruchomił reguł firewall, w konsekwencji czego nie został zapewniony bezpieczny kanał komunikacji pomiędzy serwerami środowiska [...], wykorzystywanymi do przetwarzania danych osobowych. W ocenie Prezesa UODO zastosowane przez [...] środki techniczne i organizacyjne jedynie w bardzo ograniczonym stopniu odpowiadały wymogom określonym w art. 32 ust. 1 i 2 RODO. Poszczególne etapy realizacji zmian dla zgłoszonego przez [...] problemu z wydajnością usługi [...] nie odbywały się na podstawie ściśle określonych procedur. W trakcie procesu dokonywania zmian w systemie użyte zostały rzeczywiste dane osobowe klientów [...], a skuteczność zastosowanych zabezpieczeń nie została zweryfikowana przed przekazaniem do [...] zmian w ww. systemie mających rozwiązać problem z jego wydajnością. Funkcje bezpieczeństwa nie były bowiem testowane w trakcie prowadzonych w tym celu prac. Naruszając w ww. zakresie obowiązki wynikające z art. 32 ust. 1 i 2 RODO oraz działając niezgodnie z ww. normami ISO, [...] działał jednocześnie wbrew postanowieniom własnej "Polityki bezpieczeństwa", która do tych norm się odwołuje. [...] działał również wbrew umowie powierzenia przetwarzania danych osobowych, w której zobowiązał się m.in. do wdrożenia pseudonimizacji danych. Określając bowiem środki bezpieczeństwa, jakie zastosuje w celu ochrony danych osobowych, [...] pominął wynikający z ww. przepisu RODO obowiązek uwzględnienia przy ich określaniu stanu wiedzy technicznej czyli stosowania rozwiązań uznawanych obecnie za skuteczne, natomiast niestosowania rozwiązań przestarzałych, ocenianych powszechnie jako niezapewniające bezpieczeństwa. Aktualne standardy bezpieczeństwa wyznaczają m.in. normy ISO. W konsekwencji organ uznał, że [...] nie zastosował odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych klientów [...], w szczególności wobec użycia rzeczywistych danych ww. osób na potrzeby dokonania zmian w systemie [...] bez poddania ich pseudonimizacji i wbrew zasadom wynikającym z norm ISO, do których w swojej wewnętrznej dokumentacji dotyczącej ochrony danych osobowych się odwołuje. [...] nie realizując wymogów określonych przepisami art. 32 ust. 1 i 2 RODO nie podejmował jednocześnie działań wynikających z art. 28 ust. 3 lit. c) i f) RODO. Z materiału zebranego w toku przeprowadzonego postępowania administracyjnego wynika, iż [...] rozpoczął swoje działania w wyniku zgłoszenia [...] dotyczącego powolnego działania archiwum cyfrowego. Po przeprowadzeniu wewnętrznej analizy zwiększenia wydajności działania systemu zlecił utworzenie nowego serwera dla bazy danych działającej w oparciu o rozwiązanie [...] dla [...]. Po utworzeniu wskazanego rozwiązania nie zweryfikował, czy wykonana została odpowiednia konfiguracja reguł firewall (FW), co miało zapewnić zabezpieczenie transmisji danych nowego serwera z pozostałymi elementami teleinformatycznymi całego środowiska [...] wykorzystywanego do przetwarzania danych osobowych. Następnie zasilił rzeczywistymi danymi osobowymi klientów [...] nowoutworzoną bazę danych. W związku z tym, że realizowana dla [...] zmiana była w trakcie wdrożenia, nie wszystkie stosowane przez [...] zabezpieczenia mające na celu zapewnienie bezpieczeństwa przewarzania danych zostały zaimplementowane na moment zdarzenia powodującego naruszenie ochrony danych osobowych. Nie ulega zatem według organu wątpliwości, że [...] nie dochował należytej staranności w swoim postępowaniu w tym zakresie, co w konsekwencji świadczy o tym, że realizując zlecenie na rzecz [...] nie podejmował wszelkich środków wymaganych na mocy art. 32 RODO oraz nie pomógł [...] wywiązać się z obowiązku określonego w tym przepisie. [...] w ramach stosowanych środków bezpieczeństwa wskazał na łączącą go z [...] umowę przechowywania wraz z usługami towarzyszącym z [...] lutego 2016 r., gdzie zgodnie z jego wyjaśnieniami, w załączniku nr 2 "Utrzymanie Archiwum Cyfrowego" do ww. umowy, w punkcie 1.3., opisano procedurę wdrażania zmian w systemie. Jednocześnie [...] podniósł, że w przedmiotowej sprawie procedura nie została przez [...] zastosowana. [...] nie przedstawił [...] koncepcji zmian ani projektów funkcjonalnych i technicznych. Organ wskazał, że zgodnie z powoływanym przez [...] pkt 1.3 załącznika nr 2 do umowy, opracowanie ww. dokumentacji dotyczącej zmian w systemach wykonywane jest przez [...] na życzenie [...]. [...] jednak nie przedstawił dokumentacji, z której wynikałoby, że wymagał od [...] przedstawienia takiej dokumentacji w związku z wprowadzanymi zmianami w usłudze [...], w wyniku których doszło do naruszenia ochrony danych osobowych. [...] wskazała dodatkowo, że praktyka obszaru IT [...] (oparta o [...] dla IT), dla wprowadzanych wdrożeń zakłada konieczność zaangażowania w takie konsultacje także inżyniera systemowego aplikacji, który propozycje akceptuje w ramach swoich uprawnień albo kieruje do sprawdzenia do odpowiednich wewnętrznych służb IT. [...] wskazał, że przynajmniej dla zabezpieczenia interesów [...] i [...] powinno się zatwierdzić plan prac, przedstawiony w ramach wdrożenia, a następnie postępować według niego doprowadzając do zatwierdzenia testów akceptacyjnych. Dopiero po ich zatwierdzeniu przez inżyniera systemowego, jakakolwiek modyfikacja może być wprowadzana produkcyjnie, a tym samym udostępniona dla pracowników [...]. Zdaniem Prezesa UODO [...] fpomimo posiadanych procedur oraz posiadanej wiedzy, jak zgodnie z powszechnie stosowanymi praktykami powinno przebiegać wdrożenie zmian w systemach informatycznych, na żadnym etapie

wdrożenia nie prowadził nadzoru nad tym, czy wdrożenie faktycznie przebiega zgodnie z powszechnie obowiązującymi standardami, umową powierzenia przetwarzania danych osobowych czy też umową przechowywania (archiwum dokumentów) wraz z usługami towarzyszącymi. Z przedstawionej dokumentacji wynika, że [...] 3 kwietnia 2020 r. zgłosił do [...] potrzebę poprawienia działania archiwum cyfrowego [...]. Po otrzymaniu [...] kwietnia 2020 r. informacji o wdrożeniu nowego rozwiązania [...] poinformował, że aktualnie system działa prawidłowo, a ewentualne uwagi zostaną przekazane do [...] po "dłuższym testowaniu". Odpowiadając na zapytanie Prezesa UODO dotyczące regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych, których naruszenie dotyczy, [...] wskazał, że "mając na względzie przyczynę i charakter incydentu, zdaniem [...], regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych, nie zapobiegłoby naruszeniu, które miało miejsce i było wynikiem wdrożenia jednorazowej modyfikacji". Prezes UODO podkreślił, że z art. 32 ust. 1 lit. d) RODO wynika obowiązek regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Dokonywanie przeglądów i aktualizacja wdrożonych rozwiązań są także wymogiem sformułowanym wprost w art. 24 ust. 1 RODO, a także wynikającym z art. 25 ust. 1 RODO, kreującego obowiązek zapewnienia ochrony prywatności w fazie projektowania (privacy by design) i nakładającego na [...] zobowiązanie do wdrożenia odpowiednich środków technicznych zarówno w fazie określania sposobów przetwarzania, jak i w fazie samego przetwarzania. Wdrożenie przez [...] środków technicznych i organizacyjnych nie jest działaniem jednorazowym, ale powinno przybrać postać procesu, w ramach którego [...] dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia. W konsekwencji, organ nie zgodził się ze stwierdzeniem [...], że testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych, nie zapobiegłoby naruszeniu w tym przypadku, ponieważ takiej ocenie powinny podlegać nie tylko środki techniczne, ale również organizacyjne, czyli wdrożone przez [...] procedury dotyczące przetwarzania danych osobowych, w tym procedury dokonywania zmian w systemach informatycznych wykorzystywanych do przetwarzania danych osobowych. Regularna ocena ww. procedury, stosownie do wymogu wynikającego z art. 32 ust. 1 lit. d) RODO, pozwoliłaby [...] na weryfikację, czy taka procedura jest skuteczna, tzn. czy zapewnia, że podejmowane są właściwe działania w celu zapewnienia ochrony danych osobowych w trakcie procesu dokonywania zmian w systemie informatycznym, czy jest w ogóle przestrzegana przez osoby odpowiedzialne za przeprowadzenie tych zmian, a także wychwycić ewentualne w niej braki. W stanie faktycznym przedmiotowej sprawy, w ocenie Prezesa UODO, weryfikacja przez [...] sposobu realizacji przez [...] zmian mających na celu usprawnienie działania systemu przetwarzającego dane osobowe ([...]), zgodnie z przyjętą przez [...] procedurą, znacząco obniżyłoby ryzyko uzyskania dostępu przez osoby nieuprawnione do danych przetwarzanych w tym systemie, a tym samym zminimalizowałoby ryzyko naruszenia praw lub wolności osób fizycznych, których dane są przez [...] przetwarzane, gdyż do naruszenia ochrony danych osobowych doszło w wyniku prostego błędu polegającego na niezastosowaniu podstawowego środka bezpieczeństwa, jakim jest ustanowienie reguł firewall dla zapewnienia bezpiecznej komunikacji, co powinno zostać przetestowane i wykryte w toku procesu wdrażania zmian w systemie informatycznym przetwarzającym dane osobowe. Zastosowanie się przez [...] do tej procedury pozwoliłoby mu niewątpliwie także stwierdzić, że w procesie dokonywania zmian w systemie [...] użyte zostały przez [...] rzeczywiste dane osobowe klientów [...] (bez poddania ich pseudonimizacji), co wobec niezastosowania innych skutecznych środków bezpieczeństwa, o czym wyżej mowa, oznaczać może wysokie ryzyko naruszenia praw lub wolności tych osób w przypadku wystąpienia naruszenia ochrony danych osobowych (które w rzeczywistości miało miejsce). Efektem powyższego był brak działań [...] w celu zapewnienia bezpieczeństwa danych osobowych swoich klientów, do czego był zobowiązany zgodnie z przepisami RODO. jako administrator tych danych. W ocenie organu z realizacji tych obowiązków nie zwalnia [...] fakt korzystania z usług [...]. Obowiązki w tym zakresie spoczywają bowiem przede wszystkim na administratorze danych. Analizując działania w tym zakresie. Prezes UODO wysnuł wniosek, że ważniejsze było dla niego jak najszybsze zwiększenie wydajności systemu [...], niż zapewnienie odpowiedniego poziomu bezpieczeństwa danych osobowych przetwarzanych przy użyciu tego systemu. Podkreślił, że [...] w toku postępowania wskazał, iż w dotychczasowej praktyce wprowadzania przez [...] zmian w systemach [...], zmiany takie wprowadzane były według wcześniej ustalonego planu prac, przetestowane przez [...] na środowisku testowym i dopiero następnie wdrożone produkcyjnie. W łączącej strony umowie przechowywania wraz z usługami towarzyszącym z [...] lutego 2016 r. [...] zapewnił sobie również możliwość żądania w trakcie dokonywania zmian w systemach informatycznych, przedstawienia przez [...] koncepcji tych zmian oraz projektów funkcjonalnych i technicznych. W przypadku dokonywania zmian w systemie, które doprowadziły do naruszenia będącego przedmiotem postępowania, [...] poprzestał jednak tylko na zgłoszeniu [...] potrzeby dokonania modyfikacji, nie żądając jednocześnie przedstawienia jakichkolwiek projektów tych zmian ani nie podejmując jakichkolwiek działań w zakresie zweryfikowania, czy w procesie dokonywania zmian w systemie zapewnione zostało bezpieczeństwo przetwarzania danych osobowych swoich klientów.

W ocenie Prezesa UODO zebrany w sprawie materiał również potwierdza, że przed wszczęciem postępowania administracyjnego [...] nie przeprowadzał w podmiocie przetwarzającym audytów, w tym inspekcji, w celu sprawdzenia, czy [...] w sposób prawidłowy realizuje swoje obowiązki wynikające z RODO. Możliwość przeprowadzenia takich audytów, w tym inspekcji, wynika z art. 28 ust. 3 lit. h) RODO. Zdaniem organu przepis ten daje administratorowi pewne narzędzia, z których korzystanie może zapewnić, że proces przetwarzania danych podlegających powierzeniu będzie zgodny z przepisami RODO, a [...] uniknie odpowiedzialności za ich naruszenie. Zdaniem Prezesa UODO przeprowadzanie przez [...] w [...] audytów, w tym inspekcji, należy traktować jako jeden z istotniejszych środków bezpieczeństwa, jakie powinien zastosować [...] w celu prawidłowego wywiązania się ze swoich obowiązków wynikających z art. 32 ust. 1 RODO. [...] powinien bowiem w czasie korzystania przez niego z usług [...] dysponować wiedzą, czy i w jaki sposób podmiot, któremu powierzył przetwarzanie danych osobowych, spełnia wymogi określone w RODO. Takich środków bezpieczeństwa [...] jednak nie zastosował, co w konsekwencji przyczyniło się do wystąpienia naruszenia ochrony danych osobowych. Co więcej, stosowanie ww. środków jest powiązane z obowiązkiem [...] wynikającym z art. 28 ust. 1 RODO, co oznacza, iż jego wykonanie ma także potwierdzić, czy [...] w dalszym ciągu daje gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Brak realizacji audytów, w tym inspekcji, w [...] oznacza również naruszenie przepisu art. 25 ust. 1 RODO. Przepis ten obliguje do wdrażania odpowiednich środków technicznych i organizacyjnych, nie tylko przy określaniu sposobów przetwarzania, ale także w czasie samego przetwarzania. Ciągłość wpisana w analizowany obowiązek może więc w praktyce przejawiać się m.in. w konieczności zapewnienia regularnego monitoringu zastosowanych zabezpieczeń oraz prowadzenia stałego nadzoru nad podmiotem przetwarzającym poprzez np. audyty i inspekcje, o których mowa w art. 28 ust. 3 lit. h) RODO.

W ocenie Prezesa UODO zastosowane przez [...] środki techniczne i organizacyjne jedynie w bardzo ograniczonym stopniu odpowiadały wymogom określonym w art. 32 RODO, w związku z faktem, że [...] nie egzekwował od [...] realizacji postanowień łączących ich umów, nie stosował się do własnej praktyki wdrażania zmian w środowisku IT opartej o wewnętrzne regulacje oraz nie weryfikowała [...] w zakresie prowadzonych działań mających na celu usprawnienie funkcjonowania usługi [...].

W ocenie Prezesa UODO, zarówno [...], jak i [...], nie wdrożyli odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych znajdujących się w systemie informatycznym podlegającemu modyfikacjom, co stanowi naruszenie art. 32 ust. 1 i 2 RODO. Obowiązki w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z RODO oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak aby spełniać wymogi RODO, zostały nałożone na administratora danych (i tylko na administratora danych) przepisami art. 24 ust. 1 i art. 25 ust. 1 RODO. Wobec braku zastosowania przez [...] adekwatnych środków bezpieczeństwa. Prezes UODO uznał, iż [...] naruszył także i te przepisy

RODO. Konsekwencją zaś ich naruszenia jest konieczność stwierdzenia, że naruszona

została również zasada poufności wyrażona w art. 5 ust. 1 lit. f) RODO. Prezes UODO podkreślił, że prawidłowe i skuteczne zabezpieczenie danych podniesione zostało w RODO do rangi ogólnej zasady, co świadczy o tym, że kwestia zapewnienia poufności danych powinna być traktowana w sposób szczególny i priorytetowy przez administratora danych. Zarówno [...], jak i [...], nie wdrożyli odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych, co doprowadziło do naruszenia przez [...] ich poufności w związku z wystąpieniem naruszenia ochrony danych osobowych, czyli naruszenia zasady, o której mowa w art. 5 ust. 1 lit. f) RODO.

W przedmiotowej sprawie [...] wskazał, że przed zawarciem umowy powierzenia przetwarzania danych nie przeprowadził weryfikacji [...]. [...] współpracuje bowiem z [...] od wielu lat i dotychczas nie dochodziło do incydentów bezpieczeństwa. Dodatkowo, jak wskazał [...], [...] jest liderem rynkowym w dziedzinie świadczonych usług i reprezentuje wysoki standard w zakresie archiwizacji i digitalizacji. [...] uznał wobec powyższego za wystarczające podpisanie umowy powierzenia przetwarzania danych osobowych wraz z ustaleniami wskazanymi w załączniku do tej umowy.

Przed wszczęciem przedmiotowego postępowania administracyjnego [...] nie realizował również prawa kontroli, o którym mowa w art. 28 ust. 3 lit. h) RODO, pod kątem zapewnienia przez [...] środków wymaganych na mocy art. 32 RODO. Dopiero po stwierdzeniu naruszenia bezpieczeństwa danych osobowych i po wszczęciu powstępowania administracyjnego w przedmiotowej sprawie [...] wysłał do [...] ankietę dla podmiotu przetwarzającego stanowiącą pierwszy element procesu weryfikacji podmiotów przetwarzających.

Zdaniem Prezesa UODO skoro przetwarzanie ma być dokonywane w imieniu [...], to zgodnie z brzmieniem art. 28 ust. 1 RODO, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Długotrwała współpraca stron, nie poparta okresowym, systematycznym przeprowadzaniem audytów bądź inspekcji nie gwarantuje, iż podmiot przetwarzający zrealizuje w sposób prawidłowy zadania wymagane przepisami prawa oraz wynikające z zawartej umowy powierzenia. Dotychczasowa, pozytywnie oceniana, współpraca stanowić może jedynie punkt wyjścia przy dokonywaniu weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Wymóg określony art. 28 ust. 1 RODO bezwzględnie obowiązuje bowiem każdego administratora danych, który w ramach prowadzonej działalności korzysta z zasobów lub usług podmiotu przetwarzającego podczas przetwarzania danych osobowych. Samo podpisanie umowy powierzenia przetwarzania danych osobowych bez dokonania odpowiedniej oceny podmiotu przetwarzającego nie może być uznane jako realizacja obowiązku przeprowadzenia postępowania weryfikującego podmiot przetwarzający pod kątem spełnienia przez niego wymogów RODO. Z obowiązku przeprowadzenia takiej oceny nie zwalnia również fakt wieloletniej współpracy i korzystania z usług danego podmiotu przetwarzającego przed 25 maja 2018 r., tj. przed rozpoczęciem stosowania RODO.

W przedmiotowej sprawie [...] takiej weryfikacji nie przeprowadził, poprzestał jedynie na pozytywnej ocenie [...], będącej efektem dotychczasowej współpracy, podczas której, jak wyjaśnił, nie dochodziło do incydentów bezpieczeństwa. Konsekwencją braku dokonania tej oceny było naruszenie przez [...] wymogu określonego w art. 28 ust. 1 RODO.

Mając na uwadze powyższe ustalenia. Prezes UODO stwierdził, iż w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na [...] oraz [...] administracyjnych kar pieniężnych.

W niniejszej sprawie administracyjna kara pieniężna wobec [...] nałożona została za naruszenie art. 25 ust. 1, art. 28 ust. 1, art. 32 ust. 1 i 2 RODO na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a) RODO, natomiast za naruszenie art. 5 ust. 1 lit. f) RODO - na podstawie art. 83 ust. 5 lit. a) tego rozporządzenia. Jednocześnie kara w wysokości stanowiącej równowartość 1 080 tys. EURO nałożona na [...] łącznie za naruszenie wszystkich powyższych przepisów - stosownie do przepisu art. 83 ust. 3 RODO - nie przekracza wysokości kary za najpoważniejsze stwierdzone w niniejszej sprawie naruszenie, tj. naruszenie art. 5 ust. 1 lit. f) RODO, które stosownie do art. 83 ust. 5 lit. a) RODO podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EURO, a w przypadku przedsiębiorstwa - w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Administracyjna kara pieniężna nałożona na [...] za naruszenie art. 32 ust. 1 i 2 RODO została wymierzona na podstawie art. 83 ust. 4 lit. a) RODO.

Ustalając wysokość administracyjnej kary pieniężnej nałożonej na [...], Prezes UODO uwzględnił zarówno okoliczności obciążające i mające wpływ na wymiar nałożonej kary finansowej, jak i okoliczność łagodzące.

Do przesłanek obciążających organ zaliczył:

1. zgodnie z art. 83 ust. 2 lit. a RODO charakter i wagę naruszenia, podkreślając w szczególności, że naruszenie poufności danych dotyczyło ponad 95 tys. klientów [...]. W ocenie Prezesa UODO stwierdzone w niniejszej sprawie naruszenie ochrony danych osobowych, polegające na umożliwieniu osobom nieuprawnionym dostępu do danych osobowych, ma znaczną wagę i poważny charakter, ponieważ może doprowadzić do szkód majątkowych lub niemajątkowych dla osoby, której dane zostały naruszone, a prawdopodobieństwo ich wystąpienia jest wysokie. Ponadto Prezes UODO wziął pod uwagę ryzyko wynikające z szerokiego zakresu danych objętych naruszeniem, dużej liczby podmiotów danych, a także dużą skalę i profesjonalny charakter przetwarzania danych. Podkreślił, że w stosunku do osób, których dane zostały naruszone w dalszym ciągu istnieje wysokie ryzyko niezgodnego z prawem posłużenia się ich danymi osobowymi, albowiem nieznany jest cel, dla którego osoby nieuprawnione podjęły działania skutkujące wystąpieniem przedmiotowego naruszenia ochrony danych osobowych. Osoby, których dane dotyczą, mogą więc w dalszym ciągu doznać szkody majątkowej, a już samo naruszenie poufności danych stanowi również szkodę niemajątkową (krzywdę). Podmiot danych może bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową.

2. zgodnie z art. 83 ust. 2 lit. d RODO, stopień odpowiedzialności [...] (jako administratora) z uwzględnieniem wdrożonych środków technicznych i organizacyjnych, podkreślając w szczególności, że [...] pomimo zawartej umowy z [...], przyjęcia odpowiednich wewnętrznych regulacji oraz wiedzy w zakresie sposobu realizacji zmian w systemach informatycznych, nie realizował swoich obowiązków w zakresie nadzoru nad podmiotem przetwarzającym w trakcie realizacji zmian w systemie informatycznym wykorzystywanym do przetwarzania danych osobowych, co w konsekwencji prowadziło

do swobody w działaniu przez [...], tj. dokonywania wdrożenia zmian w systemie informatycznym bez uprzedniego odpowiedniego przetestowania zastosowanych zabezpieczeń oraz zasilenia rzeczywistymi danymi osobowymi klientów [...] dodatkowej bazy danych, w fazie testowej wdrażanego rozwiązania. Brak jakiegokolwiek nadzoru nad procesem wdrażania zmian w systemie informatycznym, w którym przetwarzane były dane osobowe, skutkuje wysokim stopniem odpowiedzialności [...] za naruszenie poufności danych osobowych.

3. zgodnie z art. 83 ust. 2 lit. e RODO wcześniejsze naruszenia przepisów RODO wskazując, że stwierdzone zostały wcześniejsze naruszenia przepisów RODO przez [...] w zakresie art. 6 RODO, (sygn. sprawy: [...]; data wydania decyzji: [...] grudnia 2020 r., sygn. sprawy: [...]; data wydania decyzji: [...] grudnia 2020 r., sygn. sprawy: [...]; data wydania decyzji: [...] grudnia 2020 r., sygn. sprawy: [...]; data wydania decyzji: [...] grudnia 2020 r., sygn. sprawy: [...]; data wydania decyzji: [...] grudnia 2020 r., sygn. sprawy: [...]; data wydania decyzji: [...] grudnia 2020 r., sygn. sprawy: [...]; data wydania decyzji: [...] grudnia 2020 r. ) - w tych przypadkach Prezes UODO udzielił [...] upomnienia. W Wytycznych [...] Art. 29 wskazuje, iż to kryterium ma na celu ocenę dotychczasowego przebiegu działalności podmiotu dopuszczającego się naruszenia, w związku z czym "Organy nadzorcze powinny wziąć pod uwagę fakt, że zakres takiej oceny może być dość szeroki, gdyż każdy rodzaj naruszenia rozporządzenia, nawet jeśli jest inny niż ten, który jest obecnie badany przez organ nadzorczy, może być "istotny" dla oceny, ponieważ mógłby wskazywać na ogólny poziom niewystarczającej wiedzy lub lekceważenie zasad ochrony danych".

4. zgodnie z art. 83 ust. 2 lit. g rozporządzenia 2016/679, kategorie danych osobowych, których dotyczyło naruszenie, podkreślając w szczególności, że dane osobowe, do których dostęp uzyskała nieznana i nieuprawniona osoba trzecia, nie należą wprawdzie do szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO,

jednakże ich szeroki zakres, tj. imię i nazwisko, adres zamieszkania lub pobytu, nr PESEL, rodzaj, seria i numer dokumentu tożsamości, adres e-mail, numer telefonu oraz numer i adres punktu poboru oraz dane dotyczące umowy (np. data i nr umowy, rodzaj paliwa, nr licznika) wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem. Zdaniem Prezesa UODO nieuprawnione ujawnienie takiej kategorii danych jak nr PESEL (w połączeniu z imieniem i nazwiskiem), może realnie i negatywnie wpływać na ochronę praw lub wolności osób fizycznych. Nr PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający datę urodzenia, numer porządkowy, oznaczenie płci oraz liczbę kontrolną, a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 RODO, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga.

Ustalając wysokość administracyjnej kary pieniężnej nałożonej na [...], Prezes UODO uwzględnił jako okoliczności łagodzące:

1. zgodnie z art. 83 ust. 2 lit. a RODO czas trwania naruszenia wskazując, że za okoliczność łagodzącą organ uznał czas trwania naruszenia przepisów RODO. Organ podkreślił, że nowoutworzona baza zasilona rzeczywistymi danymi klientów [...] pozostawała niezabezpieczona przed dostępem osób nieuprawnionych od [...] do [...] kwietnia 2020 r., tj. przez 5 dni.

2. zgodnie z art. 83 ust. 2 lit. b RODO nieumyślny charakter naruszenia wskazując, że nie stwierdził w niniejszej sprawie celowych działań [...] prowadzących do stanu naruszenia przepisów RODO.

3. zgodnie z art. 83 ust. 2 lit. c RODO działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą wskazując, że w niniejszej sprawie nie stwierdził powstania szkód majątkowych po stronie osób dotkniętych naruszeniem. Wskazał również, że bezpośrednio po ujawnieniu naruszenia ochrony danych osobowych, jeszcze przed wszczęciem postępowania administracyjnego, [...] podjął czynności, w wyniku których szybko ustalono powód wystąpienia naruszenia i zabezpieczono dane przed kolejnymi naruszeniami, tj. przed pobraniem ich przez kolejne nieuprawnione podmioty. W decyzji jako okoliczność obciążającą wskazano, że osoby, których dane dotyczą, mogą w dalszym ciągu doznać szkody majątkowej, a już samo naruszenie poufności danych stanowi również szkodę niemajątkową (krzywdę), jednak podjęcie szybkich działań mających na celu zabezpieczenie danych przed pobraniem ich przez inne nieuprawnione podmioty organ ocenił jako okoliczność łagodzącą, ponieważ zawężenie kręgu podmiotów mogących w sposób nieuprawniony pobrać dane klientów [...] to działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą.

4. zgodnie z art. 83 ust. 2 lit. f RODO stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków wskazując, że w toku postępowania, [...] skierował do osób, których dane dotyczą, zawiadomienia o naruszeniu ich danych osobowych, zawierające wszystkie wymagane zgodnie z art. 34 ust. 2 RODO informacje.

5. zgodnie z art. 83 ust. 2 lit. k RODO wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem, korzyści finansowe lub uniknięto straty wskazując,

że nie stwierdził w toku niniejszego postępowania, że [...], dopuszczając się naruszenia podlegającego karze, osiągnął jakiekolwiek korzyści finansowe lub uniknął jakichkolwiek strat finansowych. W toku postępowania [...] przedstawił szerokie wyjaśnienia dokładnie wskazujące, na jakim etapie procesu wdrażania zmian w systemie informatycznym doszło do błędu, w wyniku którego nastąpiło naruszenie ochrony danych osobowych.

Jednocześnie Prezes UODO stwierdził, że na zastosowanie wobec [...] w niniejszej sprawie sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały wpływu inne, wskazane w art. 83 ust. 2 RODO okoliczności, to jest:

1. stosownie do art. 83 ust 2 lit. h RODO sposób w jaki organ dowiedział się o naruszeniu wskazując, że stwierdził naruszenie w wyniku zgłoszenia naruszenia ochrony danych osobowych dokonanego przez [...], jednakże w związku z tym, że [...] dokonując tego zgłoszenia realizował jedynie ciążący na nim obowiązek prawny, brak jest podstaw do uznania, że okoliczność ta stanowi dla niego okoliczność łagodzącą.

2. zgodnie z art. 83 ust. 2 lit. i RODO przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 RODO wskazując, że w niniejszej sprawie nie zastosowano wcześniej wobec [...] środków, o których mowa w art. 58 ust. 2 RODO.

3. zgodnie z art. 83 ust. 2 lit. j RODO stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 RODO lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 RODO wskazując, że [...] nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia [...].

Decydując o nałożeniu na [...] administracyjnej kary pieniężnej Prezes UODO - wziął pod uwagę następujące okoliczności obciążające i mające wpływ na wymiar nałożonej kary finansowej:

1. zgodnie z art. 83 ust. 2 lit. a RODO charakter i wagę naruszenia podkreślając w szczególności, że naruszenie przepisów RODO, nakładających na Podmiot [...] obowiązki w zakresie zastosowania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzanym danym osobowym, miało wpływ na naruszenie poufności danych ponad 95 tys. klientów [...]. Naruszenie wynikało z niezastosowania przez [...] podstawowych zasad bezpieczeństwa polegających na niezabezpieczeniu danych osobowych przed dostępem osób nieuprawnionych. [...] świadcząc profesjonalne usługi m.in. w zakresie

dostarczania systemów informatycznych oraz posiadając odpowiednią wiedzę w tym zakresie nie zastosował zasad bezpieczeństwa, zasilając rzeczywistymi danymi klientów [...] niezabezpieczoną przed dostępem osób nieuprawnionych bazę danych. W ocenie Prezesa UODO stwierdzone w niniejszej sprawie naruszenie ochrony danych osobowych, polegające na umożliwieniu osobom nieuprawnionym dostępu do danych osobowych, w wyniku czego doszło do pobrania bazy danych klientów [...] ma znaczną wagę i poważny charakter, ponieważ może doprowadzić do szkód majątkowych lub niemajątkowych dla osoby, której dane zostały naruszone, a prawdopodobieństwo ich wystąpienia jest wysokie. Ponadto organ zwrócił uwagę na ryzyko wynikające z szerokiego zakresu danych objętych naruszeniem, dużej liczby podmiotów danych, a także dużą skalę i profesjonalny charakter przetwarzania danych.

Podkreślił, że w stosunku do osób, których dane zostały naruszone w dalszym ciągu istnieje wysokie ryzyko niezgodnego z prawem posłużenia się ich danymi osobowymi, albowiem nieznany jest cel, dla którego osoby nieuprawnione podjęły działania skutkujące wystąpieniem przedmiotowego naruszenia ochrony danych osobowych. Osoby, których dane dotyczą, mogą więc w dalszym ciągu doznać szkody majątkowej, a już samo naruszenie poufności danych stanowi również szkodę niemajątkową (krzywdę). Podmiot danych może bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową.

2. zgodnie z art. 83 ust. 2 lit. d RODO stopień odpowiedzialności z uwzględnieniem wdrożonych środków technicznych i organizacyjnych podkreślając w szczególności, że [...] pomimo przyjęcia odpowiednich wewnętrznych regulacji, nie realizował swoich obowiązków w zakresie wdrażania zmian w systemach informatycznych, co w konsekwencji doprowadziło do dokonywania wdrożenia zmian w systemie informatycznym bez uprzedniego przetestowania zastosowanych zabezpieczeń, zasilenia rzeczywistymi danymi osobowymi klientów [...] dodatkowej bazy danych, w fazie testowej wdrażanego rozwiązania. Zdaniem organu [...] ponosi bezpośrednią odpowiedzialność za naruszenie, a tak rażące zaniedbanie w procesie przetwarzania danych osobowych, co w przypadku profesjonalnego podmiotu musi stanowić okoliczność obciążającą.

3. zgodnie z art. 83 ust. 2 lit. g RODO Kategorie danych osobowych, których dotyczyło naruszenie podkreślając w szczególności, że dane osobowe, do których dostęp uzyskała nieznana i nieuprawniona osoba trzecia, nie należą wprawdzie do szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO, jednakże ich szeroki zakres tj. imię i nazwisko, adres zamieszkania lub pobytu, nr PESEL, rodzaj, seria i numer dokumentu tożsamości, adres e-mail, numer telefonu oraz numer i adres punktu poboru oraz dane dotyczące umowy (np. data i nr umowy, rodzaj paliwa, nr licznika) wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem.

Ustalając wysokość administracyjnej kary pieniężnej nałożonej na [...], Prezes UODO uwzględnił jako okoliczność łagodzące następujące przesłanki:

1. Zgodnie z art. 83 ust. 2 lit. a RODO czas trwania naruszenia wskazując, że za okoliczność łagodzącą uznał czas trwania naruszenia RODO. Z informacji uzyskanych przez organ nadzorczy w toku prowadzonego postępowania administracyjnego wynika, że nowoutworzona baza zasilana rzeczywistymi danymi klientów pozostawała niezabezpieczona przed dostępem osób nieuprawnionych od [...] do [...] kwietnia 2020 r., tj. przez [...] dni.

2. Zgodnie z art. 83 ust. 2 lit. b RODO nieumyślny charakter naruszenia wskazując, że nie stwierdził w niniejszej sprawie celowych działań [...] prowadzących do stanu naruszenia przepisów RODO.

3. Zgodnie z art. 83 ust. 2 lit. c RODO działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą wskazując, że w niniejszej sprawie [...] nie stwierdził powstania szkód materialnych po stronie osób dotkniętych naruszeniem i że bezpośrednio po ujawnieniu naruszenia ochrony danych osobowych, jeszcze przed wszczęciem postępowania administracyjnego, [...] podjął czynności, w wyniku których szybko ustalono powód wystąpienia naruszenia i zabezpieczono dane przed kolejnymi naruszeniami tj. przed pobraniem ich przez kolejne nieuprawnione podmioty. W decyzji jako okoliczność obciążającą wskazano, że osoby, których dane dotyczą, mogą w dalszym ciągu doznać szkody majątkowej, a już samo naruszenie poufności danych stanowi również szkodę niemajątkową (krzywdę), jednak podjęcie szybkich działań mających na celu zabezpieczenie danych przed pobraniem ich przez inne nieuprawnione podmioty należało ocenić jako okoliczność łagodzącą, ponieważ w ocenie Prezesa UODO zawężenie kręgu podmiotów mogących w sposób nieuprawniony pobrać dane klientów [...] należy uznać jako działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą.

4. Zgodnie z art. 83 ust. 2 lit. e RODO Stosowane wcześniejsze naruszenia przepisów ROD wskazując, że nie stwierdzono w [...] stosownych wcześniejszych naruszeń RODO.

5. Zgodnie z art. 83 ust. 2 lit. k RODO wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty wskazując, że nie stwierdził w toku niniejszego postępowania, że dopuszczając się naruszenia podlegającego karze [...] osiągnął jakiekolwiek korzyści finansowe lub uniknął jakichkolwiek strat finansowych. Ponadto bezpośrednio po ujawnieniu naruszenia ochrony danych osobowych [...] podjął czynności, w wyniku których szybko ustalono powód wystąpienia naruszenia i zabezpieczono dane przed kolejnymi naruszeniami. W toku postępowania [...] przedstawił szerokie wyjaśnienia dokładnie wskazujące, na jakim etapie procesu wdrażania zmian w systemie informatycznym doszło do błędu, w wyniku którego nastąpiło naruszenie ochrony danych osobowych.

Jednocześnie Prezes UODO wyjaśnił, że na zastosowanie administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały wpływu inne, wskazane w art. 83 ust. 2 RODO, to jest:

1. stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f RODO) wskazując, że w toku postępowania [...] nie podejmował dodatkowych czynności w związku z wystąpieniami organu. Natomiast przed wszczęciem postępowania podjęte zostały przez [...] samodzielne, spontaniczne działania mające na celu usunięcie naruszenia. Działania te miały jednakże charakter autonomiczny; Prezes UODO nie może ich potraktować jako podjęte we współpracy z organem nadzorczym i nie może ocenić w związku z tym "stopnia" tej współpracy. Działania te zostały jednak uwzględnione powyżej jako okoliczność łagodząca określona w art. 83 ust. 2 lit. c RODO.

2. sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h RODO) wskazując, że stwierdził naruszenie w wyniku zgłoszenia naruszenia ochrony danych osobowych dokonanego przez [...]. Jednakże [...] dokonując tego zgłoszenia realizował jedynie ciążący na nim obowiązek prawny, brak jest podstaw do uznania, że okoliczność ta stanowi okoliczność łagodzącą dla [...].

3. przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 RODO (art. 83 ust. 2 lit. i RODO) wskazując, że w niniejszej sprawie nie zastosowano wcześniej wobec [...] środków, o których mowa w art. 58 ust. 2 RODO.

4. stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 RODO lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 RODO (art. 83 ust. 2 lit. j RODO) wskazując, że [...] nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach RODO.

Prezes UODO stwierdził, że dokonane przez niego ustalenia pozwalają na stwierdzenie, że [...], pomimo zawartej umowy z [...], przyjęcia odpowiednich wewnętrznych regulacji oraz wiedzy w zakresie sposobu realizacji zmian w systemach informatycznych, nie realizował swoich obowiązków w zakresie nadzoru nad podmiotem przetwarzającym w trakcie realizacji zmian w systemie informatycznym wykorzystywanym do przetwarzania danych osobowych, co w konsekwencji prowadziło do swobody w działaniu przez [...], tj. dokonywania wdrożenia zmian w systemie informatycznym bez uprzedniego odpowiedniego przetestowania zastosowanych zabezpieczeń oraz zasilenia rzeczywistymi danymi osobowymi klientów [...] dodatkowej bazy danych, w fazie testowej wdrażanego rozwiązania. Brak jakiegokolwiek nadzoru nad procesem wdrażania zmian w systemie informatycznym, w którym przetwarzane były dane osobowe, skutkuje wysokim stopniem odpowiedzialności [...] za naruszenie poufności danych osobowych.

Uwzględniając wszystkie omówione wyżej okoliczności, Prezes UODO uznał, iż nałożenie administracyjnej kary pieniężnej na [...] i [...] jest konieczne i uzasadnione wagą oraz charakterem i zakresem zarzucanych tym podmiotom naruszeń przepisów RODO. Stwierdził, iż zastosowanie wobec tych podmiotów jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 RODO, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b) RODO), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że ww. podmioty w przyszłości nie dopuszczą się podobnych, co w sprawie niniejszej zaniedbań.

Prezes UODO stwierdził, że nałożona na [...] i [...] administracyjna kara pieniężna spełnia w szczególności kryterium proporcjonalności kary w rozumieniu wypracowanym w orzecznictwie TSUE (na gruncie prawa konkurencji i w stosunku do decyzji Komisji Europejskiej)

Podsumowując powyższe w ocenie Prezesa UODO obie orzeczone w niniejszej sprawie administracyjne kary pieniężne spełniają w świetle całokształtu indywidualnych okoliczności sprawy przesłanki (funkcje kar), o których mowa w art. 83 ust. 1 RODO, ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad RODO.

Jednocześnie na podstawie zgromadzonego w toku postępowania materiału dowodowego Prezes UODO stwierdził, że nie doszło do naruszenia pozostałych, stanowiących przedmiot niniejszego postępowania przepisów RODO.

Ponadto organ wyjaśnił, że w zakresie możliwości naruszenia art. 34 ust. 1 RODO postępowanie stało się bezprzedmiotowe ze względu na to, że [...] w toku postępowania skierował do osób, których dane dotyczą, zawiadomienia o naruszeniu ich danych osobowych, zawierające wszystkie wymagane zgodnie z art. 34 ust. 2 RODO informacje. W związku z powyższym, w ocenie organu postępowanie należało umorzyć w zakresie możliwości naruszenia przez [...] art. 34 ust. 1 RODO.

Na powyższą decyzję skargę do Wojewódzkiego Sądu Administracyjnego

Warszawie wnieśli [...] i [...].

[...]zarzucił naruszenie:

1. art. 83 ust. 1 i 2 RODO, art. 83 ust. 4 lit. a) RODO poprzez niewłaściwą wykładnię i niewłaściwe zastosowanie, polegające na niedocenieniu przy wymierzeniu kary pieniężnej okoliczności łagodzących i przecenieniu okoliczności obciążających;

2. art. 83 ust. 1 i 2 RODO, art. 83 ust. 4 lit. a) RODO poprzez niewłaściwą wykładnię i niewłaściwe zastosowanie polegające na niedostatecznej indywidualizacji wymiaru kary pieniężnej i nie odstąpienie od jej wymierzenia;

3. art. 83 ust. 1 i 2 RODO, art. 83 ust. 4 lit. a) RODO poprzez niewłaściwą wykładnię i niewłaściwe zastosowanie polegające wymierzeniu kary pieniężnej w kwocie 250.135,00 PLN, co jest kwotą rażąco wygórowaną, zamiast odstąpienie od jej wymierzenia;

4. naruszenie art. 83 ust. 1 i 2 RODO, art. 83 ust. 4 lit. a) RODO poprzez niewłaściwą wykładnię i niewłaściwe zastosowanie polegające wymierzeniu kary pieniężnej w kwocie 250.135,00 PLN poprzez niewzięcie pod uwagę, że do wypłynięcia danych doszło wskutek działań przestępczych osoby trzeciej, że Skarżący jest w istocie podmiotem pokrzywdzonym przestępstwem.

Podnosząc powyższe zarzuty wniósł o uchylenie zaskarżonej decyzji w zaskarżonym zakresie i przekazanie sprawy do ponownego rozpoznania oraz zasądzenie kosztów postępowania, w tym kosztów zastępstwa procesowego według

norm przepisanych.

[...] zarzucił:

I. naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj.:

1. art. 6, 7, 8 § 1 i 2, art. 77 § 1, art. 80 oraz art. 107 § 3 ustawy z dnia 14 czerwca 1960r.

- Kodeks postępowania administracyjnego (t. j. Dz. U. z 2021 r. poz. 735 ze zm., dalej:

"K.p.a.") w zw. z art. 7 ust. 1 UODO, polegające na niezastosowaniu zasad ogólnych postępowania administracyjnego: praworządności, prawdy obiektywnej i pogłębiania zaufania do władzy publicznej oraz przekroczeniu granic swobodnej oceny dowodów, a w konsekwencji:

a. błędne przyjęcie przez Prezesa UODO, że [...] jako administrator danych nie prowadził nadzoru nad zmianami w systemie informatycznym elektronicznego archiwum oraz że "ważniejsze było dla niego jak najszybsze zwiększenie wydajności systemu [...], niż zapewnienie odpowiedniego poziomu bezpieczeństwa danych osobowych przetwarzanych przy użyciu tego sytemu", podczas gdy [...] zgłosił do [...] potrzebę wprowadzenia prostego usprawnienia informatycznego (w związku z powolnym działaniem archiwum cyfrowego), które nie wymagało operacji na danych osobowych; [...] nie informował [...] o sposobie realizacji otrzymanego zlecenia (w tym nie informował o potrzebie dokonania w ramach zlecenia operacji na danych osobowych), a następnie jednostronnie i bez uzgodnienia z [...] implementował określone modyfikacje, używając przy tym prawdziwych danych osobowych, zamiast danych testowych;

b. błędne przyjęcie przez Organ, że w przedmiotowej sprawie doszło do "wycieku danych", podczas gdy w rozpatrywanej sprawie pojawiła się jedynie krótkotrwała możliwość uzyskania dostępu do danych osobowych przez osoby nieuprawnione;

c. błędne przyjęcie przez Organ, że nieznany jest cel, dla którego osoby nieuprawnione podjęły działania skutkujące wystąpieniem naruszenia ochrony danych osobowych, podczas gdy dostęp do danych miała osoba zajmująca się wykrywaniem i zgłaszaniem do zagrożonych firm potencjalnych wycieków dotyczących danych osobowych, która poinformowała [...] o podatności bazy danych w ramach tzw. "odpowiedzialnego ujawnienia";

2. nieprawidłowe ustalenie faktów, w zakresie w jakim mowa o rezygnacji przez [...]

z powiadomienia osób, których dane zostały objęte naruszeniem na podstawie art. 34 RODO, podczas gdy [...] podjęła z własnej inicjatywy i prowadziła stosowną komunikacje już od dnia [...] kwietnia 2020 r. - na swojej stronie internetowej, drogą telefoniczną oraz pocztą elektroniczną i tradycyjną;

3. odstąpienie przez Organ od utrwalonej praktyki rozstrzygania spraw w zbliżonym stanie faktycznym i tożsamym stanie prawnym, poprzez orzeczenie nieproporcjonalnie

wysokiej i dotkliwej kary pieniężnej;

II. naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj.

1. art. 7, art. 77 § 1, art. 80 oraz art. 107 § 3 K.p.a., polegające - w odniesieniu do spełnienia przez Stronę Skarżącą wymogów administratora w zakresie ochrony i bezpieczeństwa danych osobowych - na braku wszechstronnej oraz merytorycznej

oceny zgromadzonego materiału dowodowego, przede wszystkim w zakresie okoliczności mających wpływ na spełnienie przez Stronę Skarżącą przesłanki z art. 24 ust. 1 RODO oraz z art. 32 ust. 1 RODO, podczas gdy ocena materiału dowodowego spełniająca wymogi art. 80 K.p.a. powinna doprowadzić Organ do ustalenia, że [...] należycie wdrożyła środki techniczne i organizacyjne służące ochronie przetwarzanych danych osobowych;

2. art. 7, art. 77 § 1, art. 80 oraz art. 107 § 3 KPA, polegające na niedostatecznie dokładnym wyjaśnieniu stanu faktycznego sprawy oraz wadliwej ocenie zebranego w sprawie materiału dowodowego poprzez bezzasadne przyjęcie, że;

a. Strona Skarżąca nie przeprowadziła należytej weryfikacji podmiotu przetwarzającego,

podczas gdy Stronę Skarżącą i Uczestnika postępowania łączyła wieloletnia bezproblemowa współpraca, Uczestnik postępowania posiada renomę i ugruntowaną pozycję na rynku, strony łączyła umowa precyzyjnie określająca procedurę wprowadzania zmian w systemie elektronicznego archiwum oraz umowa powierzenia przetwarzania spełniająca wymogi RODO, a Uczestnik postępowania przyjął dokumenty i polityki w zakresie bezpieczeństwa informacji i ochrony danych osobowych;

b. nieprzeprowadzenie przez Stronę Skarżącą audytów lub inspekcji przyczyniło się do wystąpienia naruszenia ochrony danych osobowych, podczas gdy do naruszenia doszło poprzez błąd należycie wykwalifikowanego pracownika podmiotu przetwarzającego, czyli błąd jednostkowy, który nastąpiłby niezależnie od przeprowadzania audytów czy

inspekcji;

II. naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj.:

1. art. 5 ust. 1 lit. f) RODO oraz art., 24 ust. 1 RODO, art. 25 ust. 1 RODO oraz art. 32 ust. 1 i 2 RODO - w zw. z art. 5 ust. 1 lit f) RODO poprzez ich błędną wykładnię - polegającą

na przypisaniu obowiązków wynikających z tych przepisów Stronie Skarżącej, podczas gdy w przypadku powierzenia przetwarzania danych osobowych, obowiązki wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia ochrony i bezpieczeństwa danych, odpowiadających ryzyku naruszenia praw lub wolności osób fizycznych, spoczywają na podmiocie przetwarzającym, zawodowo zajmującym się świadczeniem usług danego rodzaju - skutkującą nieuzasadnionym przyjęciem:

2. że to [...] jako administrator danych odpowiadała za zastosowanie środków technicznych w procesie implementacji rozwiązań informatycznych, których

nieprawidłowe uruchomienie doprowadziło do naruszenia ochrony danych, podczas gdy

odpowiedzialność w tym zakresie ciąży wyłącznie na Uczestniku postępowania;

3. istnienia związku przyczynowego pomiędzy błędem pracownika podmiotu przetwarzającego będącym przyczyną naruszenia, a zarzucanym Stronie Skarżącej naruszeniem obowiązków administratora wynikających z RODO, podczas gdy taki związek nie istnieje;

4. art. 28 ust. 1 RODO w zw. z art. 5 ust. 1 lit f) RODO poprzez błędną wykładnię

wymogów co do sposobu realizacji obowiązku korzystania wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą, skutkującą nieuzasadnionym przyjęciem, że jedynym właściwym sposobem realizacji tych wymogów jest przeprowadzenie w podmiocie przetwarzającym audytów i inspekcji, podczas gdy z przepisów RODO nie wynika konieczność przeprowadzenia zorganizowanego postępowania weryfikacyjnego podmiotu przetwarzającego, a wystarczające gwarancje, o których mowa w art. 28 ust. 1 RODO mogą wynikać m.in. z wieloletniej harmonijnej współpracy, która nie była naznaczona jakimikolwiek incydentami bezpieczeństwa;

5. art. 28 ust. 3 lit. c) i f) RODO poprzez ich niezastosowanie, skutkujące nieuwzględnieniem, że obowiązek ustanowienia odpowiednich zabezpieczeń danych osobowych jest samodzielnym obowiązkiem podmiotu przetwarzającego, a także, że podmiot przetwarzający - uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36 RODO, czego Uczestnik postępowania w niniejszej sprawie nie uczynił;

6. naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj. art.

83 ust. 1 RODO poprzez błędną wykładnię pojęcia "proporcjonalności kary", skutkującą przyjęciem, że kara skuteczna i odstraszająca jest jednocześnie proporcjonalna, podczas gdy nałożona na [...] kara - przez to, że nie jest karą niezbędną, odpowiednią, współmierną, a także przekracza próg dolegliwości - nie może być

uznana za karę proporcjonalną;

7. art. 83 ust. 2 lit. a), d), e), g) RODO poprzez ich niezastosowanie i jedynie pozorne wzięcie pod uwagę okoliczności łagodzących wymienionych w Decyzji, bez rzeczywistej

oceny ich wpływu na wysokość kary nałożonej na [...];

8. art. 83 ust. 4 lit. a) i art. 83 ust. 5 lit. a) RODO oraz art. 83 ust. 8 RODO poprzez ich

niewłaściwe zastosowanie, skutkujące ustaleniem wysokości administracyjnej kary

pieniężnej w sposób całkowicie arbitralny i niemożliwy do weryfikacji w postępowaniu

sądowoadministracyjnym, a tym samym pozbawienie Skarżącej "skutecznego sądowego środka ochrony prawnej" w rozumieniu art. 83 ust. 8 RODO;

9. naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj. art.

83 ust. 3 RODO w zw. z art. 83 ust. 1 i 2 oraz art. 83 ust. 4 lit. a) i art. 83 ust. 5 lit. a) RODO poprzez ich błędną wykładnię i niewłaściwe zastosowanie, a to:

10. ustalenie "najpoważniejszego naruszenia" w rozumieniu art. 83 ust. 3 RODO wyłącznie w oparciu o porównanie określonych w przepisach prawa maksymalnych poziomów administracyjnych kar pieniężnych za dane naruszenie (art. 83 ust. 4 lit. a) i art. 84 ust.

5 lit. a) RODO), bez uwzględnienia okoliczności "każdego indywidualnego przypadku" w rozumieniu art. 83 ust. 1 i ust. 2 RODO;

11. ustalenie "całkowitej wysokości administracyjnej kary pieniężnej" w odniesieniu do Skarżącej bez ustalenia wysokości kar pieniężnych za każde stwierdzone w Decyzji naruszenie.

Mając na uwadze powyższe zarzuty, na podstawie art. 145 5 1 pkt 1) lit, a i c PPSA wniósł o uchylenie decyzji w zaskarżonej części i zasądzenie kosztów postępowania, w tym kosztów zastępstwa prawnego, według norm przepisanych.

Jednocześnie na podstawie art. 106 § 3 PPSA wniósł o przeprowadzenie dowodów uzupełniających z dokumentów w postaci:

1) Raportu [...] z [...] lutego 2022 r. z poszukiwania śladów wycieku danych pt. "[...]"

2) Pełnej treści Raportu [...] z [...] lipca 2020 r. z analizy [...];

3) Wydruku informacji o usługach, wdrożonych innowacjach oraz nagrodach zawarte na

stronie internetowej Uczestnika postępowania [...]

4) Wydruku rekomendacji klientów [...] Sp. z o. o. ze strony [...]

5) Wydruku profilu zawodowego [...] ([...]);

6) Wydruku profilu zawodowego [...] na ([...]);

7) Zestawienia strat i utraconych korzyści [...] na skutek naruszenia.

- na okoliczność charakteru i wagi naruszenia oraz braku negatywnych skutków dla osób fizycznych, których dotyczy naruszenie oraz okoliczności wskazane w odniesieniu do każdego z tych dowodów poniżej w treści skargi.

W odpowiedzi na skargi Prezes DODO wniósł o ich oddalenie.

W piśmie procesowym [...] w całości podtrzymał stanowisko przedstawione w skardze i jednocześnie zakwestionował słuszność argumentacji przedstawionej przez organ w odpowiedzi na skargę.

Dodatkowo, oprócz zarzutów sformułowanych w skardze [...] wskazał także na naruszenie w zaskarżonej decyzji przepisów postępowania, mających istotny wpływ na wynik sprawy tj. art. 84 §1 ustawy z dnia 14 czerwca 1960 r. K.p.a. w związku z art. 75 §1 oraz art. 77 §1 K.p.a., polegające na tym, że organ nie powołał biegłego, pomimo tego, że w sprawie były wymagane wiadomości specjalne w zakresie dokonywania zmian w systemach informatycznych, których to wiadomości organ nie posiadał, co doprowadziło do błędnego przyjęcia, że [...] mogła i powinna dokonać szczegółowej kontroli technicznej zmian wprowadzanych przez [...] w systemie [...], a co w konsekwencji doprowadziło do przyjęcia odpowiedzialności [...] oraz wymierzenie jej kary administracyjnej.

Z uwagi na fakt, że sprawy wywołane obydwoma powyższymi skargami pozostawały ze sobą w związku. Sąd zarządził ich połączenie do wspólnego rozpoznania i rozstrzygnięcia w trybie art.111 par.2 P.p.s.a. pod sygnaturą akt II SA/Wa

567/22.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.

Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (tj.: Dz. U. z 2021 r., poz. 137) w zw. z art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (tj.: Dz. U. z 2022 r., poz. 329 ze zm.- dalej: "P.p.s.a."), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. W ramach owej kontroli sąd administracyjny nie przejmuje sprawy administracyjnej do jej końcowego załatwienia, lecz ocenia, nie będąc przy tym związany granicami skargi, czy przy wydawaniu zaskarżonego aktu nie naruszono reguł postępowania administracyjnego i czy prawidłowo zastosowano prawo materialne.

Sąd uwzględniając skargę na decyzję lub postanowienie uchyla decyzję lub postanowienie w całości albo w części, jeżeli stwierdzi naruszenie prawa materialnego, które miało wpływ na wynik sprawy, naruszenie prawa dające podstawę do wznowienia postępowania administracyjnego, bądź inne naruszenie przepisów postępowania, jeżeli mogło ono mieć istotny wpływ na wynik sprawy (art. 145 § 1 pkt 1 P.p.s.a.).

Jednocześnie, stosownie do art. 134 § 1 P.p.s.a. rozstrzygając daną sprawę sąd, co zasady, nie jest związany zarzutami i wnioskami skargi, może zastosować przewidziane ustawą środki w celu usunięcia naruszenia prawa w stosunku do aktów

lub czynności wydanych lub podjętych we wszystkich postępowaniach prowadzonych w

granicach sprawy, której dotyczy skarga, jeżeli jest to niezbędne dla końcowego jej załatwienia (art. 135 ustawy P.p.s.a.).

Natomiast w razie nieuwzględnienia skargi, sąd skargę oddala odpowiednio w całości albo w części (art. 151 P.p.s.a.).

Dokonując kontroli w ramach tak zakreślonej kognicji sądów administracyjnych. Sąd stwierdził, że zaskarżona decyzja' podlega uchyleniu albowiem organ nie wyjaśnił wszystkich istotnych dla prawidłowego rozstrzygnięcia okoliczności, co miało wpływ na wynik sprawy.

Przechodząc do istoty sprawy, to w jej realiach faktycznych sprowadzała się ona do oceny tego, czy skarżona decyzja administracyjna została wydana po uprzednim przeprowadzeniu postępowania administracyjnego, w sposób odpowiadający wymogom

określonym w ustawie Kodeks postępowania administracyjnego. Przypomnieć należy, że organy administracji publicznej w świetle wymogów procedury administracyjnej działają na podstawie przepisów prawa (art. 6 K.p.a.), praworządnie (art. 7 K.p.a.) oraz prowadzą postępowanie w sposób budzący zaufanie jego uczestników do władzy publicznej (art. 8 ust. 1 K.p.a.). Obowiązkiem organów administracji wynikającym z zawartej w art. 7 K.p.a. zasady prawdy obiektywnej, jest dokładne wyjaśnienie stanu faktycznego sprawy. Obowiązek ten jest realizowany dzięki nakazowi wyczerpującego zebrania i rozpatrzenia przez organy całego materiału dowodowego. Jako dowolne należy traktować ustalenia faktyczne znajdujące wprawdzie potwierdzenie w materiale dowodowym, ale niekompletnym, czy nie w pełni rozpatrzonym. Zarzut dowolności wykluczają dopiero ustalenia dokonane w całokształcie ocenionego materiału dowodowego - art. 80 K.p.a., zgromadzonego i zbadanego w sposób wyczerpujący - art. 77 § 1 K.p.a., a więc przy podjęciu wszelkich czynności niezbędnych dla dokładnego wyjaśnienia stanu faktycznego jako warunku niezbędnego wydania decyzji o przekonującej treści - art. 7 i art. 11 K.p.a. Ponadto, materiał dowodowy zebrany w sprawie powinien być kompletny, tj. dotyczący wszystkich okoliczności faktycznych, które mają znaczenie z punktu widzenia norm prawa materialnego. Obowiązkiem organów administracji jest również wyjaśnienie stronom zasadności przesłanek, którymi

kierują się przy załatwianiu sprawy (art. 11 K.p.a.). Wskazane zasady postępowania administracyjnego, w tym i zasadę przekonywania wyrażoną w art. 11 K.p.a., organ realizuje m.in. poprzez prawidłowe, a więc zgodne z art. 107 § 3 K.p.a. uzasadnienie decyzji administracyjnej, załatwiającej daną sprawę administracyjną. Uzasadnienie faktyczne powinno w szczególności zawierać wskazanie faktów, które organ uznał za

udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, zaś uzasadnienie prawne - wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa.

Podkreślić należy, że uzasadnienie decyzji, stanowi integralną część decyzji administracyjnej. Sporządzenie go więc w sposób istotnie wadliwy, uniemożliwia zapoznanie się z motywami rozstrzygnięcia. Z treści art. 11 K.p.a. wprost wynika, że organ administracji obowiązany jest do wyjaśnienia stronie zasadności przesłanek, którymi kierował się przy załatwieniu sprawy. Zasada przekonywania nie zostanie zrealizowana, gdy organ nie odniesie się i nie wyjaśni okoliczności istotnych dla danej sprawy lub wypowie się co do nich w sposób niejasny czy niepełny.

Zdaniem tut. Sądu, uzasadnienie zaskarżonej decyzji (mimo jego objętości) nie odpowiada wymaganiom art. 107 § 3 K.p.a. Przede wszystkim nie wynika z niego to, aby organ ustalił w ogóle stan faktyczny sprawy. Prezes PUODO konstruując uzasadnienie decyzji, ograniczył się wyłącznie do przywołania oświadczeń stron, złożonych w trakcie trwania postępowania administracyjnego (i to oświadczeń nie zawsze zbieżnych ze sobą). Nie dokonał jednakże żadnej oceny wiarygodności owych oświadczeń. Pominął milczeniem to, w jakiej części (i którym wyjaśnieniom-której strony) dał wiarę. Nie sprecyzował też tego, jakim wyjaśnieniom i z jakich powodów odmówił wiarygodności.

Powyższych zaniechań nie konwaliduje fakt przywołania wszystkich wyjaśnień stron postępowania. Wyjaśnienia te, stanowią wyłącznie materiał dowodowy sprawy, który następnie powinien zostać poddany analizie przez organ. Z cenionego przez organ materiału dowodowego sprawy, wyłonić dopiero powinien się stan faktyczny, jaki został przyjęty za podstawę rozstrzygnięcia.

Powyższe uchybienie organu, polegające na braku ustalenia stanu faktycznego sprawy powoduje, iż Sąd został pozbawiony możliwości oceny nie tylko poprawności analizy materiału dowodowego przez organ, ale również prawidłowości samego rozstrzygnięcia. Stąd wypowiadanie się na obecnym etapie postępowania w zakresie meritum sprawy, jawiło się jako przedwczesne a wręcz niemożliwe.

Na marginesie niejako dodać należało, iż przedmiotem kontroli Sądu jest decyzja Prezesa UODO z 19 stycznia 2022 r. stwierdzająca naruszenie przez [...] art. 24 ust. 1 art. 25 ust. 1, art. 28 ust. 1 oraz art. 32 ust. 1 i 2 RODO, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających

bezpieczeństwo danych osobowych skutkującym naruszeniem ich poufności, oraz na braku weryfikacji [...], czy zapewnia wystarczające gwarancje wdrożenia

odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą oraz nałożenie na [...] , za naruszenie art. 5 ust. 1 lit. f) art. 25 ust. 1, art. 28 ust. 1 oraz art. 32 ust. 1 i 2 RODO, administracyjną karę pieniężną w wysokości 4 911 732 PLN (słownie: cztery

miliony dziewięćset jedenaście tysięcy siedemset trzydzieści dwa PLN), oraz stwierdzająca naruszenie przez [...] art. 32 ust. 1 i 2 oraz art. 32 ust. 1 i 2 w związku z

art. 28 ust. 3 lit. c) i f) RODO, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, w tym zapewnienie ich poufności i nakładająca na [...] administracyjną karę pieniężną w

wysokości 250 135 PLN (słownie: dwieście pięćdziesiąt tysięcy sto trzydzieści pięć PLN).

Zarówno z uzasadnienia zaskarżonej decyzji, jak też z jej sentencji wynika, że zarzucane [...] i [...] przez organ naruszenia, stanowiące podstawę do nałożenia kary pieniężnej, zostały przypisane [...] w ramach współpracy z [...].

W związku z powyższym, - jak słusznie wskazuje [...] – podstawowym obowiązkiem organu było wyjaśnienie tego, czy [...] jako administrator danych, istotnie nie prowadził nadzoru nad zmianami w systemie informatycznym elektronicznego archiwum oraz czy w przedmiotowej sprawie doszło do "wycieku danych", czy też w rozpatrywanej sprawie pojawiła się jedynie krótkotrwała możliwość uzyskania dostępu do danych osobowych przez osoby nieuprawnione.

W ocenie Sądu, takich ustaleń faktycznych w sprawie zabrakło. Organ nie przeprowadził żadnych własnych badań skutków naruszenia, skupiając się jedynie na ocenie oświadczeń i dokumentacji [...] oraz [...]. Brak jest w sprawie jasnego i

przekonującego wyjaśniania kwestii kompletności zgromadzonego w sprawie materiału dowodowego. Z rozważań organu można wysnuć wniosek, że Prezes UODO, bez potwierdzających ocen w tym zakresie w ramach toczących się innych postępowań, w wyniku dokonania ekspertyz technicznych, czy nawet wobec przeczących temu raportów KPMG przedstawionych przez [...], przyjął, że do "wycieku danych" doszło. Powyższe oznacza, że organ nie zrealizował obowiązku ustalenia prawdy obiektywnej, wobec czego swym postępowaniem naruszył art. 7 K.p.a.

Reasumując, niewykonanie wskazanych powyżej obowiązków stanowi naruszenie prawa procesowego w stopniu mającym istotny wpływ na wynik sprawy, a to z kolei skutkuje koniecznością uchylenia wadliwego w tym zakresie rozstrzygnięcia organu. Jedynie przeprowadzenie postępowania w sposób odpowiadający wymogom określonym w powyższych przepisach, wyjaśnienie w sposób jasny przesłanek

określonego sposobu rozpatrzenia twierdzeń strony skarżącej oraz prawidłowe sporządzenie uzasadnienia podjętego rozstrzygnięcia, w ramach którego organ odniesie się do całego zgromadzonego w sprawie materiału dowodowego, wskaże na fakty, które organ uznał za udowodnione, dowody, na których się oparł oraz przyczyny, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej – stanowi o możliwości kwalifikacji działania organu w postępowaniu administracyjnym jako opartego na przepisach prawa, praworządnego, przekonywującego i budzącego zaufanie uczestników postępowania do władzy publicznej.

Ponownie rozpoznając sprawę, organ będzie więc zobligowany do usunięcia powyższych braków.

W tym stanie rzeczy, z uwagi na wyszczególnione powyżej nieprawidłowości organu w zakresie ustalenia stanu faktycznego sprawy, zgromadzenia i oceny materiału dowodowego sprawy, wyjaśnienia motywów rozstrzygnięcia i odniesienia się do zarzutów, twierdzeń i dowodów skarżącej, Sąd uznał za konieczne uchylenie zaskarżonej decyzji jako istotnie naruszającej art. 7, art. 77 § 1 i art. 80 K.p.a. w zw. z art. 8, art. 11 i art. 107 § 3 K.p.a.

Mając na uwadze powyższe Sąd, uznając że zaskarżona decyzja Prezesa UODO wydana została z naruszeniem przepisów postępowania w stopniu mogącym mieć istotny wpływ na wynik sprawy, na podstawie art. 145 § 1 pkt 1 lit c w zw. z lit. a orzekło jej uchyleniu. W ponownie prowadzonym postępowaniu organ uzupełni materiał dowodowy m.in. o ustalenia tego, co było technicznie możliwe do wykonania po stronie administratora danych (tj. [...]), a także jak wyglądają standardy i praktyki w zakresie wykonywania zmian w systemach informatycznych i ustali czy [...] należycie wdrożył środki techniczne i organizacyjne służące ochronie przetwarzania danych osobowych, czy w przedmiotowej sprawie doszło do wycieku danych, czy nieprzeprowadzenie przez [...] audytów lub inspekcji przyczyniło się do wystąpienia naruszeni danych osobowych. Następnie zebrany materiał dowodowy podda analizie i ustali stan faktyczny sprawy.

Po przeprowadzeniu wyczerpującego postępowania wyjaśniającego, organy dokonają kwalifikacji ewentualnie stwierdzonych nieprawidłowości, według właściwego reżimu prawnego, co znajdzie wyraz w uzasadnieniu podjętego rozstrzygnięcia, sporządzonego zgodnie z wymogami określonymi w art. 107 § 3 K.p.a., w którym wskażą w szczególności fakty, które organy uznały za udowodnione, konkretne dowody, na których się oparły wraz z ich oceną i omówieniem, oraz przyczyny, z powodu których innym dowodom odmówiły wiarygodności i mocy dowodowej.

O kosztach postępowania orzeczono na podstawie art. 200 i art. 205 § 1 P.p.s.a.



Powered by SoftProdukt