Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Izabela Głowacka-Klimas, Sędzia WSA Piotr Borowiecki (spr.), Sędzia WSA Andrzej Wieczorek, , Protokolant starszy specjalista Aleksandra Weiher, , po rozpoznaniu na rozprawie w dniu 27 lutego 2024 r. sprawy ze skargi Burmistrza Miasta i Gminy W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] maja 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę

Zaskarżoną decyzją z dnia [...] maja 2023 r., nr [...], Prezes Urzędu Ochrony Danych Osobowych (dalej także: "Prezes UODO" lub "organ nadzorczy"), działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (tekst jednolity Dz. U. z 2022 r., poz. 2000 ze zm. - dalej: "k.p.a.") oraz art. 7 ust. 1, art. 60, art. 102 ust. 1 pkt 1 i ust. 3 oraz art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2019 r., poz. 1781 - dalej także: "u.o.d.o."), a także art. 57 ust. 1 lit. a i lit. h, art. 58 ust. 2 lit. i, art. 83 ust. 1 – 3 i ust. 4 lit. a w związku z art. 24 ust. 1, art. 25 ust. 1 i art. 32 ust. 1 i 2 oraz art. 83 ust. 5 lit. a w związku z art. 5 ust 1 lit. f i art. 5 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z dnia 4 maja 2016 r., s. 1, Dz. Urz. UE L 127 z dnia 23 maja 2018 r., s. 2 oraz Dz. Urz. UE L 74 z 4 marca 2021, s. 35 - dalej także: "RODO"), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez Burmistrza Miasta i Gminy W. (dalej także: "skarżący Burmistrz", "skarżący administrator" lub "strona skarżąca"), stwierdzając naruszenie przez Burmistrza Miasta i Gminy W. przepisów art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO, polegające na niezastosowaniu przez Burmistrza Miasta i Gminy W. odpowiednich środków organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych, co skutkowało nieuprawnionym wykonaniem kopii danych osobowych z komputera służbowego na przenośny nośnik pamięci przez pracownika Urzędu Miasta i Gminy W., nałożył na Burmistrza Miasta i Gminy W. naruszenie przepisów art. 5 ust 1 lit. f, art. 5 ust. 2, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO administracyjną karę pieniężną w kwocie 10 000 złotych (słownie: dziesięć tysięcy złotych).

Zaskarżona decyzja Prezesa UODO została wydana w następującym stanie faktycznym.

W dniu [...] maja 2022 r. Burmistrz Miasta i Gminy W. przesłał Prezesowi Urzędu Ochrony Danych Osobowych zgłoszenie naruszenia ochrony danych osobowych, do którego doszło w dniu [...] maja 2022 r. (zgłoszenia uzupełniającego dokonano [...] maja 2022 r.).

Z informacji zawartej w powyższym zgłoszeniu wynikało, że do naruszenia ochrony danych osobowych doszło na skutek nieuprawnionego wykonania z komputera służbowego na przenośny nośnik pamięci przez pracownika Urzędu Miasta i Gminy W. kopii danych osobowych w zakresie: nazwiska i imiona, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, nr ewidencyjny PESEL, inne (informacje o rozliczeniach opłat za czynsze, wodę, ścieki, energię elektryczną, najem lokali). W treści zgłoszenia naruszenia ochrony danych osobowych z dnia [...] maja 2022 r. skarżący administrator wskazał, że "(...) w dniu [...] maja 2022 roku do Urzędu Miasta i Gminy W. został przyniesiony pendrive z polecenia pracownika przebywającego na zwolnieniu lekarskim. Ze wstępnych informacji wiemy, że na nośniku znajdują się dokumenty służbowe zawierające dane osobowe takie jak: umowy z osobami fizycznymi, umowy najmu, faktury, rozliczenia. Nośnik został dostarczony przez osobę trzecią, nie będącą pracownikiem Urzędu. Osoba ta nie posiada również upoważnienia. Podejrzewamy, że pracownik przebywający na zwolnieniu wykonał nieautoryzowaną i nieuprawnioną kopię dokumentów urzędowych na prywatny nośnik danych (...)". W zgłoszeniu uzupełniającym z dnia [...] maja 2022 r. Burmistrz Miasta i Gminy W. wskazał dodatkowo m.in., że "(...) Po zweryfikowaniu zawartości nośnika zauważono, że znajdują się na nim pliki zawierające wzory umów, umowy powierzenia przetwarzania danych osobowych, umowy użyczenia boisk, informacje o czynszach, dane niezbędne do dokonania naliczeń za energię elektryczną, wodę, ścieki i czynsze, pisma do mieszkańców mieszkań socjalnych i komunalnych, pisma o przyznanie lokalu i zestawienia lokali. Większość dokumentów stanowi jedynie wzory niezawierające danych osobowych. Dane zawarte w dokumentach to imiona i nazwiska, adresy, kwoty faktury sporadycznie [w ilości do 10 osób] - numery PESEL oraz numery kont bankowych. Na nośniku pojawiają się dane osobowe około 250 osób fizycznych i firm. Dokładna liczba osób jest trudna do oszacowania z uwagi na fakt, iż wiele nazwisk znajdujących się w dokumentach jest powtarzanych, a na samym nośniku przeanalizowano ponad ok. 2100 plików (...) W toku postępowania niemożliwy do ustalenia był fakt, czy do danych znajdujących się na nośniku dostęp miała jakakolwiek osoba nieuprawniona. Jednak mając na uwadze sytuację, w której osoba trzecia przynosi nośnik zawierający dane bezpośrednio do Urzędu na polecenie pracownika, należy uznać, że taki dostęp był możliwy, co powoduje wysokie ryzyko naruszenia praw i wolności osób fizycznych w związku z przetwarzaniem ich danych osobowych. W związku z zaistniałą sytuacją jednoznacznie stwierdzono, że doszło do naruszenia przepisów o ochronie danych osobowych (...)".

W związku z przedłożonymi wyjaśnieniami Prezes UODO, działając na podstawie art. 58 ust. 1 lit. a) i e) RODO, zwrócił się do administratora m.in. o:

1) przekazanie organowi nadzorczemu procedury dotyczącej użytkowania przenośnych nośników pamięci, funkcjonującej w Urzędzie Miasta i Gminy W.,

2) udzielenia informacji, czy dane zostały zgrane przez pracownika na nośnik prywatny, czy służbowy,

3) udzielenia informacji, czy administrator stosuje szyfrowanie portów lub inne narzędzia uniemożliwiające przenoszenie danych na nieautoryzowany nośnik pamięci,

4) udzielenia informacji, czy administrator przeprowadzał szkolenia personelu w zakresie możliwości występowania tego typu naruszeń ochrony danych osobowych.

W odpowiedzi na powyższe wezwanie organu nadzorczego, Burmistrz Miasta i Gminy W. w piśmie z dnia [...] maja 2022 r. wyjaśnił, że nie jest w stanie jednoznacznie stwierdzić, czy dane zostały skopiowane przez pracownika na nośnik prywatny, czy też służbowy, ponieważ "(...) pracownik nie został złapany w trakcie zgrywania danych. Jednak przy założeniu, że dane zostały zwrócone na tym samym nośniku, na który zostały zgrane należy założyć, że był to nośnik prywatny (...)". Ponadto, Burmistrz Miasta i Gminy W. wyjaśnił także, że do dnia wystąpienia przedmiotowego naruszenia nie stosował szyfrowania portów i innych narzędzi uniemożliwiających przenoszenie danych na nieautoryzowany nośnik. Skarżący administrator oświadczył jednocześnie, że rozpoczął wdrażanie blokady portów USB wszystkich komputerów służbowych, a także dodał, że jest w trakcie poszukiwania odpowiedniego sytemu, który uniemożliwi wykonywanie nieautoryzowanych kopii dokumentów znajdujących się na dyskach lokalnych stacji roboczych oraz na dyskach sieciowych. W odpowiedzi na pytanie, czy administrator przeprowadzał szkolenia personelu w zakresie możliwości występowania tego typu naruszeń ochrony danych osobowych, Burmistrz Miasta i Gminy W. wskazał, że przy zatrudnianiu nowych osób każdorazowo przekazuje im do zapoznania dokumentację z zakresu ochrony danych osobowych wzbogaconą o szkolenie w formie samokształcenia, przepisy prawa, przykłady naruszeń przepisów przy przetwarzaniu danych osobowych, czy też instrukcję postępowania w przypadku wystąpienia naruszenia przetwarzania danych osobowych. Ponadto, Burmistrz Miasta i Gminy W. wyjaśnił, że każdy pracownik w dniu rozpoczęcia pracy otrzymuje upoważnienie do przetwarzania danych osobowych, w ramach którego oświadcza, że "(...) zapoznał się z przepisami o ochronie danych osobowych oraz wprowadzoną w siedzibie administratora (...)" oraz jednocześnie zobowiązuje się do przestrzegania ww. przepisów i dokumentacji oraz odpowiedniego zabezpieczenia i przetwarzania danych wraz z zachowaniem tajemnicy i poufności. Ponadto, Burmistrz oświadczył, że szkolenie dla pracowników organizowane było w 2018 w trzech turach, zaś obecność na szkoleniu potwierdzona została własnoręcznymi podpisami pracowników. Burmistrz Miasta i Gminy W. do wyjaśnień załączył także "Procedurę użytkowania przenośnych nośników pamięci".

Następnie, Prezes UODO w piśmie z dnia [...] maja 2022 r. zwrócił się m.in. o:

1) udzielenie informacji, czy w szkoleniu uczestniczyła osoba winna naruszeniu, jeśli tak, to wniósł o przedstawienie listy obecności wraz z planem szkolenia,

2) wskazanie powodów, dla których administrator przeprowadził szkolenia dla swoich pracowników jedynie w 2018 r.,

3) przekazanie kserokopii oświadczenia pracownika winnego wystąpienia naruszenia, że zapoznał się z przepisami o ochronie danych osobowych oraz "dokumentacją RODO" wraz ze wskazaniem, czy ww. oświadczenie obejmuje także procedurę dotyczącą użytkowania przenośnych nośników pamięci,

4) udzielenie wyjaśnień, czy administrator przeprowadził analizę ryzyka dla procesu przetwarzania danych osobowych objętych przedmiotowym naruszeniem zarówno przed, jak i po jego wystąpieniu.

W odpowiedzi na powyższe wezwanie organu nadzorczego strona skarżąca w piśmie z dnia [...] września 2022 r. wskazała, że nie posiada pisemnego potwierdzenia, że osoba winna naruszeniu uczestniczyła w szkoleniu w 2018 r. Ponadto, skarżący Burmistrz oświadczył, że odnalazł listę obecności ze szkolenia organizowanego w 2018 r. zaznaczając, że zgodnie z posiadaną wiedzą, nie wszyscy pracownicy uczestniczący w szkoleniu złożyli podpis na liście (podpisu nie złożyła m.in. osoba winna naruszenia). Strona skarżąca wyjaśniła jednocześnie, że nie przeprowadziła analizy ryzyka dla procesu przetwarzania danych objętych naruszeniem przed jego wystąpieniem. Strona skarżąca wskazała, że po wystąpieniu spornego naruszenia została przeprowadzona ogólna analiza ryzyka i ocena skutków dla przetwarzania danych objętych naruszeniem. W wyjaśnieniach skarżący Burmistrz zauważył także, że wdrożenie procedury dotyczącej użytkowania przenośnych nośników pamięci w Urzędzie Miasta i Gminy W. miało miejsce [...] maja 2022 r.

W związku ze złożonymi wyjaśnieniami, w dniu [...] września 2022 r. Prezes UODO wszczął z urzędu postępowanie administracyjne w zakresie możliwości naruszenia przez Burmistrza Miasta i Gminy W., jako administratora danych, obowiązków wynikających z przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO, w związku z naruszeniem ochrony danych osobowych, zgłoszonym Prezesowi UODO w dniu [...] maja 2022 r. i zarejestrowanym pod numerem [...].

W odpowiedzi na wszczęcie postępowania administracyjnego, w piśmie z dnia [...] września 2022 r. skarżący administrator podniósł, że "(...) odnosząc się do dotychczas prowadzonego postępowania Burmistrz Miasta i Gminy W. jako administrator danych pragnie wykazać, że przez cały okres postępowania wykazywał się dobrą wolą i chęcią współpracy w ramach naruszenia z Prezesem Urzędu Ochrony Danych (...) Niezależnie od przekazanych dotychczas informacji odnoszących się do zastosowanych środków mających na celu wyeliminowanie podobnych nieprawidłowości w przyszłości, administrator podjął dodatkowe działania mające na celu przeszkolenie wszystkich osób upoważnionych na terenie Urzędu Miasta i Gminy W.. Szkolenia odbędą się w dwóch terminach w październiku (...) W związku z tym administrator pragnie wyrazić swoją gotowość do dalszego czynnego udziału w toczącym się postępowaniu, wyrazić swoją skruchę oraz jednocześnie prosić, aby Prezes Urzędu Ochrony Danych wziął pod uwagę okoliczności łagodzące przy wydawaniu decyzji w przedmiotowym postępowaniu".

W dniu [...] stycznia 2023 r. skarżący Burmistrz przesłał do organu nadzorczego dokument "Ocena skutków oraz analiza zagrożeń przy przetwarzaniu danych objętych naruszeniem", który został wprowadzony w Urzędzie Miasta i Gminy W. w dniu [...] czerwca 2022 r.

W wyniku analizy zgromadzonego materiału dowodowego, Prezes UODO - działając na podstawie art. 104 § 1 k.p.a. oraz art. 7 ust. 1, art. 60, art. 102 ust. 1 pkt 1 i ust. 3 oraz art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, a także art. 57 ust. 1 lit. a i lit. h, art. 58 ust. 2 lit. i, art. 83 ust. 1 – 3 i ust. 4 lit. a w związku z art. 24 ust. 1, art. 25 ust. 1 i art. 32 ust. 1 i 2 oraz art. 83 ust. 5 lit. a w związku z art. 5 ust 1 lit. f i art. 5 ust. 2 RODO - stwierdził naruszenie przez Burmistrza Miasta i Gminy W. przepisów art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO, polegające na niezastosowaniu przez Burmistrza Miasta i Gminy W. odpowiednich środków organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych, co skutkowało nieuprawnionym wykonaniem kopii danych osobowych z komputera służbowego na przenośny nośnik pamięci przez pracownika Urzędu Miasta i Gminy W. i nałożył na Burmistrza Miasta i Gminy W. naruszenie przepisów art. 5 ust 1 lit. f, art. 5 ust. 2, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO administracyjną karę pieniężną w kwocie 10 000 złotych.

W uzasadnieniu decyzji Prezes UODO zauważył na wstępie, że art. 5 RODO formułuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych.

Organ nadzorczy wskazał, że zgodnie z art. 5 ust. 1 lit. f) RODO, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("poufność i integralność").

Powołując się z kolei na art. 5 ust. 2 RODO, organ nadzorczy podniósł, że administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie ("rozliczalność").

Ponadto, organ nadzorczy zauważył, że konkretyzację zasady poufności, o której mowa w art. 5 ust. 1 lit. f) RODO, stanowią dalsze przepisy tego aktu prawnego.

Prezes UODO wskazał, że zgodnie z art. 24 ust. 1 RODO, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

Powołując się na art. 25 ust. 1 RODO, Prezes UODO podniósł, że uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator - zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania - wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

Z kolei przywołując treść art. 32 ust. 1 RODO, organ nadzorczy stwierdził, że administrator jest zobowiązany do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Organ nadzorczy zauważył, że przepis ten precyzuje, iż decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Prezes UODO wskazał, że z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 RODO, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

Ponadto, organ nadzorczy zauważył, że w świetle art. 32 ust. 2 RODO, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Organ nadzorczy podniósł jednocześnie, że art. 24 ust. 1 RODO wskazuje, że charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze są czynnikami, które administrator ma obowiązek uwzględniać w procesie budowania systemu ochrony danych, również w szczególności z punktu widzenia pozostałych obowiązków wskazanych w art. 25 ust. 1, art. 32 ust. 1 czy art. 32 ust. 2 rozporządzenia 2016/679. Prezes UODO stwierdził, że wskazane przepisy RODO uszczegóławiają zasadę poufności określoną w art. 5 ust. 1 lit. f cyt. rozporządzenia 2016/679, a przestrzeganie tej zasady jest konieczne dla prawidłowej realizacji zasady rozliczalności wynikającej z art. 5 ust. 2 RODO.

Organ nadzorczy podkreślił, że administrator dla prawidłowej realizacji obowiązków wynikających z wyżej przywołanych przepisów RODO powinien w pierwszej kolejności przeprowadzić analizę ryzyka i na jej podstawie określić i wdrożyć adekwatne środki zapewniające bezpieczeństwo w procesie przetwarzania danych osobowych.

Prezes UODO uznał, że w przypadku, gdy administrator przewidział możliwość używania przenośnych nośników pamięci (np. pamięci USB), przedmiotowa analiza powinna wskazywać na ewentualne ryzyka wynikające z możliwości ich nieprawidłowego użycia, które mogło skutkować nieuprawnionym skopiowaniem przez pracownika danych zapisanych na komputerze służbowym na przenośny nośnik pamięci. W konsekwencji, organ nadzorczy wskazał, że przedmiotowa analiza powinna przewidywać właściwe środki bezpieczeństwa w celu minimalizacji ryzyka wystąpienia naruszenia ochrony danych osobowych.

Prezes UODO zauważył, że w realiach niniejszej sprawy uznać należy, że skarżący Burmistrz, jako administrator danych, dopuszczając możliwość używania przenośnych nośników pamięci (np. pamięci USB), w szczególności jeżeli te nośniki są własnością prywatną, w oparciu o właściwie przeprowadzoną analizę ryzyka, winien zidentyfikować zagrożenia dla przetwarzanych danych osobowych z wykorzystaniem tego rodzaju sprzętu komputerowego, a następnie określić oraz wdrożyć odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa tych danych, a także regularnie sprawdzać skuteczność tych środków, stosownie do wymogów wynikających z art. 32 ust. 1 i 2 RODO. Ponadto, organ nadzorczy podniósł, że obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w celu nadania przetwarzaniu niezbędnych zabezpieczeń z uwagi na przyjęty sposób przetwarzania danych osobowych wynika m.in. wprost z art. 25 ust. 1 RODO, który to przepis nakazuje administratorowi danych uwzględnienie ochrony danych w szczególności w fazie projektowania, co oznacza, że skarżący Burmistrz, dając możliwość używania przenośnych nośników pamięci (np. pamięci USB), powinien już na tym etapie określić (i wdrożyć) skuteczne środki bezpieczeństwa.

Tymczasem, jak zauważył organ nadzorczy, ze zgromadzonego materiału dowodowego wynika, że skarżący administrator nie przeprowadził analizy ryzyka dla procesu przetwarzania danych objętych naruszeniem przed wystąpieniem przedmiotowego naruszenia ochrony danych osobowych.

Organ nadzorczy podkreślił, że zarządzanie ryzykiem (przeprowadzenie analizy ryzyka i na tej podstawie wdrożenie odpowiednich zabezpieczeń) jest jednym z podstawowych elementów systemu ochrony danych osobowych i ma charakter ciągłego procesu. W tej sytuacji, zdaniem organu nadzorczego, administrator winien w sposób okresowy weryfikować zarówno adekwatność, jak i skuteczność zastosowanych zabezpieczeń, stosownie do wymogu przewidzianego w art. 32 ust. 1 lit. d RODO. Prezes UODO wskazał, że administrator danych powinien zatem regularnie testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania.

Prezes UODO uznał, że w przedmiotowej sprawie - wobec nieprzeprowadzenia przed wystąpieniem naruszenia ochrony danych osobowych analizy ryzyka dla operacji przetwarzania danych osobowych w związku z wykorzystywaniem przez pracowników Urzędu Miasta i Gminy W. sprzętu komputerowego umożliwiającego podłączenie przenośnych nośników danych (w szczególności pamięci USB), w tym prywatnych przenośnych nośników danych, która uwzględniałaby zagrożenia związane z nieuprawnionym skopiowaniem przez pracownika z komputera służbowego na ten rodzaj nośnika danych plików zawierających dane osobowe Burmistrz, jako administrator, nie monitorował zarówno adekwatności, jak i skuteczności zastosowanych zabezpieczeń, wbrew nie tylko obowiązkom wynikającym z art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO, ale także wbrew obowiązkom wynikającym z zasady rozliczalności, o której mowa w art. 5 ust. 2 RODO.

Organ nadzorczy zauważył, że w orzecznictwie podkreśla się, że wprawdzie RODO nie przesądza o tym, jak administrator powinien realizować obowiązki wynikające z zasady rozliczalności zawartej w art. 5 ust. 2 tego rozporządzenia, niemniej jednak wskazuje na konieczność rozliczania się z przestrzegania przepisów, raportowania ich realizacji oraz przedstawiania dowodów świadczących o prawidłowym wykonywaniu obowiązków. W tej sytuacji, jak podniósł organ nadzorczy, w judykaturze wskazuje się, że zasada rozliczalności zobowiązuje administratorów do demonstrowania podjęcia wszelkich środków mających na celu zapewnienie zgodności z obowiązkiem ochrony danych osobowych. W świetle wspomnianej zasady, to administrator, a nie organ nadzorczy zajmujący się ochroną danych osobowych, odpowiada za opracowanie, aktualizowanie i utrzymywanie wszystkich procedur oraz dokumentów związanych z ochroną danych osobowych, a także za stworzenie możliwości dowodowych wykazujących zgodność przetwarzania z przepisami (por. m.in. wyrok WSA w Warszawie z dnia 1 lutego 2022 r., sygn. II SA/Wa 2106/21, LEX nr 3392761, czy też wyrok WSA w Warszawie z dnia 10 lutego 2021 r., sygn. akt II SA/Wa 2378/20).

Mając powyższe na względzie, Prezes UODO wskazał, że z okoliczności sprawy wynika, że skarżący Burmistrz przed wystąpieniem naruszenia ochrony danych osobowych nie dokonał oceny ryzyka w zakresie możliwości naruszenia zasady poufności danych osobowych (art. 5 ust. 1 lit. f RODO), wynikającego z zagrożeń związanych z dopuszczeniem używania przenośnych nośników danych przez pracowników Urzędu Miasta i Gminy W., w tym zagrożeń dotyczących nieuprawnionego wykonania kopii plików z komputera służbowego na ten rodzaj nośnika danych.

W konsekwencji, organ nadzorczy uznał, że Burmistrz Miasta i Gminy W. nie wykazał również przestrzegania w tym zakresie zasady rozliczalności (art. 5 ust. 2 RODO.

Organ nadzorczy stwierdził, że w toku przeprowadzonego postępowania skarżący Burmistrz nie wykazał, aby komputery służbowe wykorzystywane przez pracowników Urzędu Miasta i Gminy W. były zabezpieczone przed możliwością nieuprawnionego skopiowania z nich plików zawierających dane osobowe z wykorzystaniem przenośnych nośników pamięci takich, jak np. pamięć USB. Organ nadzorczy wskazał, że przed wystąpieniem naruszenia strona skarżąca nie stosowała zabezpieczenia portów i innych narzędzi uniemożliwiających przenoszenie danych na nieautoryzowany nośnik danych.

W konsekwencji, Prezes UODO uznał, że skarżący administrator nie jest w stanie definitywnie stwierdzić, czy dane z komputera służbowego znajdującego się w jego siedzibie zostały skopiowane na przenośny nośnik danych, który był jego własnością, czy też nośnik ten był własnością pracownika.

Organ nadzorczy uznał, że z uwagi na fakt nieprzeprowadzenia przez administratora analizy ryzyka przed wystąpieniem naruszenia ochrony danych osobowych, skarżący Burmistrz nie jest w stanie wykazać, czy przyjęte rozwiązania rzeczywiście zapewniały odpowiednie bezpieczeństwo w przypadku przetwarzania danych osobowych w związku z korzystaniem przez pracowników Urzędu Miasta i Gminy W. z przenośnych nośników danych. Tymczasem, jak zauważył organ nadzorczy, dobór tych środków powinien nastąpić w wyniku prawidłowo przeprowadzonej analizy ryzyka dla operacji przetwarzania danych osobowych, czego jednak skarżący administrator przed wystąpieniem naruszenia ochrony danych osobowych nie uczynił.

Prezes UODO stwierdził zatem, że efektem wykazanego powyżej braku działania Burmistrza Miasta i Gminy W. w tym zakresie była materializacja zagrożenia w postaci wykonania nieuprawnionej kopii dokumentów zawierających dane osobowe z komputera znajdującego się w siedzibie administratora na przenośny nośnik danych (pamięć USB), nad którym skarżący administrator nie miał kontroli, co skutkowało naruszeniem poufności danych osobowych przetwarzanych przez Burmistrza.

Organ nadzorczy podniósł, że dopiero po stwierdzeniu naruszenia ochrony danych osobowych skarżący Burmistrz podjął adekwatne działania mające na celu uniknięcie naruszenia ochrony danych osobowych w przyszłości, którego możliwość wystąpienia związana jest z wykorzystywaniem przenośnych nośników danych.

Organ nadzorczy zauważył, że dopiero po zdarzeniu skarżący administrator przeprowadził analizę ryzyka uwzględniającą proces przetwarzania danych osobowych z wykorzystaniem m.in. przenośnych nośników pamięci, a także podjął działania mające na celu wprowadzenie odpowiednich zabezpieczeń w procesie przetwarzania danych osobowych mających na celu zwiększenie poziomu bezpieczeństwa. Prezes UODO wskazał m.in., że strona skarżąca przedłożyła "Harmonogram prac niezbędnych w związku z naruszeniem z dnia [...] maja 2022 r. w Urzędzie Miasta i Gminy W.", z którego wynika, iż Burmistrz m.in. zaplanował wprowadzenie środków uniemożliwiających wykonywanie nieautoryzowanych kopii dokumentów znajdujących się na dyskach sieciowych i lokalnych stacjach roboczych. Ponadto, organ nadzorczy zauważył, że strona skarżąca wprowadziła także blokadę dostępu w sieci. Jednocześnie, organ nadzorczy podniósł, że skarżący administrator w dniu [...] maja 2022 r. wprowadził "Procedurę użytkowania przenośnych nośników pamięci".

Organ nadzorczy uznał jednak, że z uwagi na fakt, iż skarżący administrator podjął wspomniane wyżej działania dostosowujące operacje przetwarzania danych osobowych do przepisów RODO w celu zapewnienia odpowiedniego bezpieczeństwa przetwarzanych danych osobowych dopiero po wystąpieniu naruszenia ochrony danych osobowych, stwierdzić należy, że nie zwalnia go to jednak z odpowiedzialności za naruszenie przepisów RODO wskazanych w decyzji.

W tej sytuacji, Prezes UODO stwierdził, że wobec braku zastosowania przez skarżącego administratora adekwatnych środków technicznych mających na celu zminimalizowanie ryzyka naruszenia bezpieczeństwa danych przetwarzanych z wykorzystaniem przenośnych nośników danych (np. pamięci USB), w szczególności jeżeli nośnik ten był własnością pracownika, stwierdzić należy, że przed wystąpieniem naruszenia ochrony danych osobowych Burmistrz nie zapewnił odpowiedniego poziomu zabezpieczenia danych przetwarzanych przy ich użyciu. Organ nadzorczy wskazał, że niewdrożenie przez stronę skarżącą odpowiednich środków technicznych w czasie przetwarzania danych osobowych, aby przetwarzanie to odbywało się zgodnie z RODO, do czego Burmistrz był zobowiązany zgodnie z art. 24 ust. 1 i 25 ust. 1 RODO, jak również niezastosowanie środków technicznych zapewniających stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych poprzez zapewnienie zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, do czego zobowiązuje administratora danych art. 32 ust. 1 lit. b RODO, a także nieuwzględnienie ryzyka wiążącego się z przetwarzaniem danych osobowych, o którym mowa w art. 32 ust. 2 RODO, doszło w konsekwencji do naruszenia zasady poufności wyrażonej w art. 5 ust. 1 lit. f RODO, której ww. przepisy są uszczegółowieniem. Jednocześnie, organ nadzorczy uznał, że następstwem naruszenia przez skarżącego administratora zasady poufności jest naruszenie zasady rozliczalności, o której mowa w art. 5 ust. 2 RODO.

Mając na uwadze ustalenia stanu faktycznego, Prezes Urzędu Ochrony Danych Osobowych, korzystając z przysługującego mu uprawnienia określonego w przepisie art. 58 ust. 2 lit. i RODO, stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Burmistrza Miasta i Gminy W. administracyjnej kary pieniężnej na mocy art. 83 RODO.

Organ nadzorczy zauważył, że w niniejszej sprawie administracyjna kara pieniężna wobec Burmistrza nałożona została za naruszenie art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO na podstawie art. 83 ust. 4 lit. a cyt. rozporządzenia 2016/679, natomiast za naruszenie art. 5 ust. 1 lit. f i art. 5 ust. 2 RODO - na podstawie art. 83 ust. 5 lit. a tego rozporządzenia.

Jednocześnie, Prezes UODO wskazał, że kara nałożona na Burmistrza łącznie za naruszenie wszystkich powyższych przepisów - stosownie do przepisu art. 83 ust. 3 cyt. rozporządzenia - nie przekracza wysokości kary za najpoważniejsze stwierdzone w niniejszej sprawie naruszenie, tj. naruszenie art. 5 ust. 1 lit. f i art. 5 ust. 2 RODO, które stosownie do art. 83 ust. 5 lit. a cyt. rozporządzenia podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Prezes UODO zauważył, że decydując o nałożeniu administracyjnej kary pieniężnej - stosownie do treści art. 83 ust. 2 lit. a - k RODO - wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążające na wymiar nałożonej administracyjnej kary pieniężnej:

1) Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a RODO).

W zakresie tej przesłanki, organ nadzorczy podniósł, że stwierdzone w niniejszej sprawie naruszenie przepisów ochrony danych osobowych, którego skutkiem była możliwość uzyskania nieuprawnionego dostępu do przetwarzanych przez Burmistrza danych przez osobę bądź osoby nieuprawnione, a w konsekwencji możliwość pozyskania danych osobowych osób, które były zawarte dokumentach (związanych z realizacją zadań administracji publicznej) bezpodstawnie skopiowanych przez pracownika na przenośny nośnik pamięci, ma znaczną wagę i poważny charakter, stwarza bowiem wysokie ryzyko negatywnych skutków prawnych dla dokładnie nieustalonej, potencjalnie dużej liczby osób (administrator wskazał, że naruszenie dotyczyło ok. 250 osób), do których danych dostęp mogła mieć osoba bądź osoby nieuprawnione.

2) Nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b RODO).

W tym elemencie oceny, organ nadzorczy uznał, że skarżący administrator był świadomy, że w przypadku dopuszczenia przetwarzania danych osobowych z wykorzystaniem sprzętu komputerowego umożliwiającego podłączenie przenośnych nośników danych (w szczególności pamięci USB), w tym prywatnych przenośnych nośników danych, powinien przetwarzać dane osobowe, w taki sposób, aby zapewnić im odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, za pomocą odpowiednich środków technicznych i organizacyjnych, a wiec w taki sposób, aby zapewnić przestrzeganie zasady "integralności i poufności" wyrażonej w art. 5 ust. 1 lit. f RODO. Prezes UODO stwierdził, że Burmistrz mógł przewidzieć, że przyjęte rozwiązania nie zapewnią odpowiedniego stopnia bezpieczeństwa danych osobowych, co będzie stanowiło naruszenie przepisów ochronie danych osobowych. Tym samym, organ nadzorczy uznał, że strona skarżąca nieumyślnie naruszyła przepisy o ochronie danych osobowych - art. 5 ust. 1 li. f w zw. z art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 RODO i w konsekwencji również art. 5 ust. 2 cyt. rozporządzenia 2016/679. Biorąc pod uwagę dokonane ustalenia, organ nadzorczy stwierdził, że skarżący administrator dopuścił się zaniedbania skutkującego wystąpieniem naruszenia dotyczącego poufności danych, co stanowi istotną okoliczność wpływającą obciążająco na wysokość kary administracyjnej.

3) Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g RODO).

Dokonując analizy tej przesłanki, organ nadzorczy wskazał, że dane osobowe znajdujące się na przenośnym nośniku pamięci nie należały wprawdzie do szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO, jednakże zauważył, że ich zakres, tj. nazwiska i imiona, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, nr ewidencyjny PESEL, inne (informacje o rozliczeniach opłat za czynsze, wodę, ścieki, energię elektryczną. najem lokali) wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem.

Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił ponadto, jako okoliczność łagodzącą, mającą wpływ na obniżenie wysokości wymierzonej kary, dobrą współpracą skarżącego administratora z organem nadzorczym, którą strona podjęła w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f RODO). W tym miejscu organ nadzorczy wskazał m.in., że skarżący Burmistrz w pełnym zakresie zrealizował zalecenia Prezesa UODO dotyczące uzupełnienia zawiadomienia osób, których dane dotyczą, o zaistniałym naruszeniu, a także podjął również konkretne i szybkie działania, których efektem było usunięcie możliwości ponownego wystąpienia naruszenia. W szczególności, organ nadzorczy zauważył, że strona skarżąca usunęła podatność na naruszenie ochrony przetwarzanych danych osobowych, poprzez wprowadzenie ewidencjonowania przenośnych pamięci. Ponadto, organ nadzorczy podniósł, że Burmistrz wprowadził zakaz korzystania z prywatnych przenośnych nośników pamięci przez pracowników Urzędu Miasta i Gminy W., a w szczególności zakaz dokonywania czynności polegających na kopiowaniu, przegrywaniu plików, montowaniu, demontowaniu urządzeń, wgrywaniu, przegrywaniu oprogramowania oraz danych w celu przeniesienia lub skopiowania informacji ze sprzętu teleinformatycznego pracodawcy na nośniki stanowiące własność użytkowników.

Ponadto, organ nadzorczy dokonał w uzasadnieniu decyzji szczegółowej analizy pozostałych wskazanych w art. 83 ust. 2 RODO okoliczności, które jednak - jak uznał organ nadzorczy - nie miały wpływu na fakt zastosowania wobec Burmistrza w niniejszej sprawie sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość.

W konsekwencji, uwzględniając wszystkie szczegółowo omówione w uzasadnieniu decyzji okoliczności, Prezes Urzędu Ochrony Danych Osobowych uznał, że nałożenie administracyjnej kary pieniężnej na Burmistrza Miasta i Gminy W. jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych temu administratorowi naruszeń.

Organ nadzorczy stwierdził, że zastosowanie wobec skarżącego Burmistrza jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 RODO, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b RODO), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że skarżący administrator w przyszłości nie dopuści się kolejnych zaniedbań.

Uzasadniając wysokość wymierzonej stronie skarżącej administracyjnej kary pieniężnej, Prezes UODO wskazał, że w ustalonych okolicznościach niniejszej sprawy, tj. wobec stwierdzenia naruszenia kilku przepisów RODO - naruszenia zasady poufności danych, wyrażonej w art. 5 ust. 1 lit. f RODO, a odzwierciedlonej w postaci obowiązków określonych w art. 25 ust. 1, art. 32 ust. 1, art. 32 ust. 2 cyt. rozporządzenia 2016/679, a w konsekwencji również art. 5 ust. 2 RODO (zasady rozliczalności), a także z uwagi na fakt, iż Burmistrz jest organem jednostki sektora finansów publicznych - zastosowanie znalazł przepis art. 102 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, z którego wynika ograniczenie wysokości (do 100.000 zł) administracyjnej kary pieniężnej, jaka może zostać nałożona na jednostkę sektora finansów publicznych.

W tej sytuacji, Prezesa UODO uznał, że zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 RODO, a więc będzie w tym indywidulanym przypadku skuteczna, proporcjonalna i odstraszająca.

Prezes UODO stwierdził bowiem, że nałożona na Burmistrza kara będzie skuteczna, albowiem doprowadzi do stanu, w którym podmiot ten stosował będzie takie środki techniczne i organizacyjne, które zapewnią przetwarzanym danym stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób, których dane dotyczą oraz wadze zagrożeń towarzyszącym procesom przetwarzania tych danych osobowych. Ponadto, organ nadzorczy uznał, że zastosowana administracyjna kara pieniężna będzie również proporcjonalna do stwierdzonego naruszenia, w tym zwłaszcza jego wagi, skutku, kręgu dotkniętych nim osób fizycznych oraz wysokiego ryzyka negatywnych konsekwencji, jakie w związku z naruszeniem mogą ponieść. Jednocześnie, Prezes UODO stwierdził, że nałożona na stronę skarżącą administracyjna kara pieniężna nie będzie stanowiła nadmiernego dla niej obciążenia, albowiem wysokość kary została określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków przez skarżącego Administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność jej uiszczenia pociągnie za sobą negatywne następstwa, w postaci istotnego pogorszenia sytuacji finansowej tego podmiotu.

Konkludując, Prezes UODO uznał, że administracyjna kara pieniężna spełni w tych konkretnych okolicznościach funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez skarżącego Burmistrza przepisów RODO, ale również prewencyjną, bowiem przyczyni się do zapobiegania w przyszłości naruszaniem obowiązków przez administratora wynikających z przepisów o ochronie danych osobowych.

Organ nadzorczy stwierdził, że zastosowana kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 RODO ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad cyt. rozporządzenia 2016/679, a zwłaszcza zasady poufności wyrażonej w art. 5 ust. 1 lit. f RODO.

W piśmie z dnia [...] czerwca 2023 r. Burmistrz Miasta i Gminy W., reprezentowany przez adwokata, działając za pośrednictwem organu nadzorczego, wniósł do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na powyższą decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] maja 2023 r.

Wnosząc w petitum skargi o uchylenie w całości zaskarżonej decyzji Prezesa UODO, a także o zasądzenie od organu nadzorczego na rzecz strony skarżącej zwrotu kosztów postępowania według norm przepisanych, w tym również zwrotu kosztów zastępstwa procesowego, skarżący Burmistrz zarzucił organowi nadzorczemu:

1) naruszenie art. 7 i art. 77 § 1 k.p.a. w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych - poprzez nieprawidłowe ustalenie stanu faktycznego sprawy w postępowaniu wyjaśniającym, co skutkowało błędnym przyjęciem, że przed zaistnieniem przedmiotowego incydentu polegającego na nieuprawnionym wykonaniu kopii danych osobowych z komputera służbowego na przenośny nośnik pamięci przez pracownika Urzędu Miasta i Gminy W., Burmistrz Miasta i Gminy W.:

1.1. nie dopełnił należycie obowiązku zabezpieczenia danych osobowych, gdyż nie wdrożył odpowiednich środków organizacyjnych i technicznych, w tym celu, aby przetwarzanie danych osobowych na komputerach służbowych i na nośnikach informatycznych odbywało się zgodnie z powszechnie obowiązującymi przepisami prawa i stan ten utrzymywał się od dnia [...] maja 2018 r., podczas gdy skarżący administrator znacznie wcześniej przed zaistnieniem w/w incydentu wdrożył takie środki organizacyjne i analizował możliwość wdrożenia środków technicznych - organ nadzorczy pominął, że w dacie zaistnienia spornego incydentu w Urzędzie Miasta i Gminy W. obowiązywał Regulamin Ochrony Danych Osobowych z dnia [...] lutego 2020 r., który poza określeniem szeregu fizycznych, technicznych i organizacyjnych zabezpieczeń danych osobowych, wprost zabraniał pracownikom wynoszenia na zewnątrz Urzędu wymiennych elektronicznych nośników informacji z zapisanymi danymi osobowymi bez pisemnej zgody administratora,

1.2. nie przeprowadził przed wystąpieniem naruszenia danych osobowych analizy ryzyka przetwarzania danych osobowych na nośnikach informatycznych, pomimo tego, że dał możliwość takiego przetwarzania danych osobowych, a stosownej analizy ryzyka Burmistrz dokonał dopiero po zaistnieniu spornego incydentu, podczas gdy w rzeczywistości skarżący Burmistrz przeprowadził taką analizę również przed zaistnieniem incydentu - analiza została dokonana w maju 2018 r., co wprost wynika z pkt. 8.2 dokumentu "Raport z audytu bezpieczeństwa informacji dla Urzędu Miasta i Gminy W." z dnia [...] maja 2018 r.;

2) naruszenie art. 10 § 1 k.p.a. w zw. z art. 7 ust. 1 u.o.d.o. - poprzez nieprawidłowe zawiadomienie strony skarżącej o zakończeniu postępowania wyjaśniającego przed wydaniem przedmiotowej decyzji, gdy tymczasem Burmistrz zasadnie oczekiwał od Prezesa UODO doręczenia mu stosownego zawiadomienia przed wydaniem zaskarżonej decyzji, co pozwoliłoby mu po zebraniu całokształtu materiału dowodowego przez Prezesa UODO złożyć wniosek o jego uzupełnienie w postaci dokumentacji przedłożonej wraz z niniejszą skargą.

Jednocześnie, powołując się na art. 106 § 3 P.p.s.a., strona skarżąca wniosła o przeprowadzenie uzupełniających dowodów z załączonych do niniejszej skargi dokumentów, tj.:

1) zarządzenia Burmistrza Miasta i Gminy W. Nr [...] z dnia [...] lutego 2020 r. w sprawie wprowadzenia Regulaminu Ochrony Danych Osobowych, załączników do Regulaminu, rejestru udostępnień oraz rejestru naruszeń,

2) dokumentu "Raport z audytu bezpieczeństwa dla Urzędu Miasta i Gminy W." z dnia [...] maja 2018 r.

- na okoliczność wskazane w treści zarzutów nr 1.1 i 1.2 petitum skargi oraz jej uzasadnienia.

W uzasadnieniu wniesionej skargi strona skarżąca zauważyła na wstępie, że przede wszystkim nie zgadza się z ustaleniami organu nadzorczego, jakoby od dnia [...] maja 2018 r., jako administrator danych osobowych, nie wdrożyła w Urzędzie Miasta i Gminy W. odpowiednich środków organizacyjnych i technicznych, w tym celu, aby przetwarzanie danych osobowych na komputerach służbowych i na nośnikach informatycznych odbywało się zgodnie z powszechnie obowiązującymi przepisami prawa. Strona skarżąca nie godziła się ponadto z zarzutem, iż nie przeprowadziła stosownej analizy ryzyka.

Tymczasem, jak zauważył skarżący Burmistrz, obydwie te okoliczności miały znaczny wpływ zarówno na ustalenie, czy zachodzą podstawy do przypisania stronie skarżącej odpowiedzialności za zaistnienie incydentu, który zakwalifikowany został a limine jako wymagający zgłoszenia i wdrożenia właściwej procedury - najpierw wewnętrznej, a następnie zewnętrznej w postaci zgłoszenia go Prezesowi UODO. Ponadto, jak wskazała strona skarżąca, każda z tych okoliczności miała również wpływ na wymiar administracyjnej kary pieniężnej stosowanej w przypadku stwierdzenia naruszenia, w ramach analizy przesłanek z art. 83 ust. 2 lit. a i b RODO. W konsekwencji, strona skarżąca uznała, że obydwie wspomniane wyżej okoliczności, pomimo, iż zostały błędnie ustalone, były podstawą do wymierzenia stronie skarżącej kary w znacznej wysokości 10 000 zł.

Strona skarżąca stwierdziła, że - wbrew zarzutom organu nadzorczego - nie jest tak, że Burmistrz nie wdrożył środków, które miały przeciwdziałać sytuacjom naruszenia przepisów o ochronie danych osobowych. Skarżący Burmistrz zauważył bowiem, że bezpośrednio przed wejściem w życie RODO zlecił przeprowadzenie w Urzędzie Miasta i Gminy W. audytu bezpieczeństwa informacji, którym objęte było również przetwarzanie danych osobowych na nośnikach informatycznych. Strona skarżąca podniosła, iż audyt ten wykazał, że zachodzi potrzeba wzmocnienia ochrony danych osobowych w tym zakresie. Początkowo, jak wskazała strona skarżąca, analizowane było wdrożenie rozwiązań informatycznych z najdalej idącą blokadą portów. Skarżący administrator wskazał jednak, że w praktyce utrudniłoby to nadmiernie pracownikom wykonywanie obowiązków służbowych. Strona skarżąca zauważyła, że testowane było również wdrożenie oprogramowania informatycznego zapewniającego częściową blokadę portów, jednak i to rozwiązanie okazało się niepraktyczne. Ostatecznie, jak podniosła strona skarżąca, ze względu na to, że potrzeba wyniesienia poza Urząd danych na nośniku informatycznym zachodzi rzadko, Burmistrz zdecydował o wdrożeniu najdalej idącego środka ochrony natury organizacyjnej w postaci zakazu wynoszenia danych m. in. na pendrive’ach poza siedzibę Urzędu bez uprzedniej pisemnej zgody Burmistrza. Według strony skarżącej, środek ten długo okazywał się skuteczny. Niemniej, po zaistnieniu spornego incydentu skarżący Burmistrz wskazał, że zdecydował się jednak na wprowadzenie zabezpieczeń dalej idących, o których napisał Prezes UODO w uzasadnieniu zaskarżonej decyzji. Ponadto, strona skarżąca podniosła, że wobec pracownika, który dopuścił się naruszenia, wyciągnięto najdalej idące konsekwencje pracownicze - została z nim rozwiązana umowa o pracę w trybie natychmiastowym.

Mając na względzie powyższe, strona skarżąca podkreśliła, że - wbrew ustaleniom organu nadzorczego - wdrożone przez Burmistrza w Urzędzie Miasta i Gminy W. procedury ochrony danych osobowych zadziałały w prawidłowy sposób, czego dowodem jest to, iż poza jedynie spornym incydentem, do którego doszło z wyłącznej winy pracownika, nie stwierdzono jakichkolwiek innych naruszeń. Strona skarżąca uznała, że zadziałały zarówno mechanizmy określone w ust. 9 pkt 1 i pkt 3 lit c Regulaminu Ochrony Danych Osobowych, a następnie procedury określone przepisami powszechnie obowiązującego prawa.

W tej sytuacji, strona skarżąca stwierdziła, że podstawą zarówno ustalenia odpowiedzialności Burmistrza, jak i wymiaru zastosowanej wobec niego administracyjnej kary pieniężnej było błędne przyjęcie przez organ nadzorczy, że procedury związane z ochroną danych osobowych przetwarzanych na nośnikach wymiennych w ogóle nie zostały w Urzędzie Miasta i Gminy W. wdrożone.

Biorąc pod uwagę wskazane wyżej okoliczności, strona skarżąca uznała, że zasadnym wydaje się zawarty w petitum skargi wniosek o uchylenie zaskarżonej decyzji i przekazanie sprawy Prezesowi UODO do ponownego rozpatrzenia.

Niezależnie od powyżej wskazanych naruszeń, strona skarżąca zarzuciła, że Prezes UODO dopuścił się również naruszenia zasady czynnego udziału strony w postępowaniu.

Otóż, strona skarżąca zauważyła, że po doręczeniu jej zawiadomienia o wszczęciu postępowania, nie została ona zawiadomiona o zakończeniu postępowania wyjaśniającego, co umożliwiłoby jej zapoznanie się z całym materiałem, w oparciu o który wydana miała zostać decyzja. W tej sytuacji, strona skarżąca uznała, że gdyby art. 10 § 1 k.p.a. został przez Prezesa UODO prawidłowo zastosowany, to strona skarżąca mogłaby złożyć wniosek o przeprowadzenie dowodu z załączonych do niniejszej skargi dokumentów jeszcze w postępowaniu administracyjnym. W ocenie strony skarżącej, miała ona uzasadnione podstawy oczekiwać zawiadomienia o zakończeniu postępowania wyjaśniającego, lecz z uwagi na naruszenie przez organ nadzorczy wspomnianej wyżej zasady, została ona pozbawiona możliwości obrony swoich praw, co w konsekwencji świadczy o istotnym uchybieniu proceduralnym, które - zdaniem strony skarżącej - skutkować powinno uchyleniem spornej decyzji w całości.

W odpowiedzi na skargę Prezes Urzędu Ochrony Danych Osobowych wniósł o jej odrzucenie wobec faktu, że nie została ona podpisana przez stronę skarżącą, a więc nie spełnia wymogu określonego w art. 46 § 1 pkt 4 P.p.s.a. Jednocześnie, w przypadku nieuwzględnienia powyższego wniosku przez Sąd, organ nadzorczy wniósł o oddalenie skargi w całości, podtrzymując swoje dotychczasowe stanowisko wyrażone w uzasadnieniu zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.

Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (tekst jednolity Dz. U. z 2022 r., poz. 2492 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.

W świetle powołanych przepisów cyt. ustawy, Wojewódzki Sąd Administracyjny w Warszawie, w zakresie swojej właściwości, ocenia zaskarżoną decyzję administracyjną, postanowienie, czy też inny akt lub czynność z zakresu administracji publicznej dotyczącą uprawnień lub obowiązków wynikających z przepisów prawa, z punktu widzenia ich zgodności z prawem materialnym i przepisami postępowania administracyjnego, według stanu faktycznego i prawnego obowiązującego w dacie wydania tego aktu lub podjęcia spornej czynności. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej dokonywaną wyłącznie pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności, czy też zgodności z zasadami współżycia społecznego.

Ponadto, co wymaga podkreślenia, Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (vide: art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi - tekst jednolity Dz. U. z 2024 r., poz. 935 - dalej także: "P.p.s.a.").

Należy jednocześnie wyraźnie zaznaczyć, że od dnia wejścia w życie Traktatu Akcesyjnego z dnia 16 kwietnia 2003 r. (Dz. U. z 2004 r. Nr 90, poz. 864), na mocy którego Polska stała się państwem członkowskim Unii Europejskiej, kontrola sądu administracyjnego obejmuje również zgodność rozstrzygnięć organów administracji publicznej z prawem europejskim (prawem Unii Europejskiej), rozumianym, jako całokształt dorobku prawnego Unii Europejskiej (acquis communautaire), w tym zasad ogólnych prawa europejskiego, interpretowanych oraz stosowanych w sposób jednolity na całym obszarze Unii Europejskiej.

W tej sytuacji, Wojewódzki Sąd Administracyjny w Warszawie, dokonując oceny legalności zaskarżonej decyzji Prezesa Urzędu Ochrony Danych Osobowych, zobowiązany był zbadać jej zgodność przede wszystkim z przepisami prawa europejskiego, w tym w szczególności z regulacjami zawartymi w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - zwane także: "RODO").

W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie, analizowana pod tym kątem skarga Burmistrza Miasta i Gminy W. nie zasługuje na uwzględnienie, albowiem zaskarżona decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] maja 2023 r. - nie narusza obowiązujących przepisów prawa.

Sąd uznał, że Prezes UODO, wydając sporną decyzję administracyjną z dnia [...] maja 2023 r., nie dopuścił się naruszenia zarówno wiążących Polskę przepisów prawa europejskiego, jak również stosownych regulacji prawa krajowego, w stopniu mogącym mieć jakikolwiek istotny wpływ na końcowy wynik sprawy zakończonej wydaniem wspomnianej wyżej decyzji.

Przede wszystkim, stwierdzić należy, że - wbrew zarzutom strony skarżącej - Prezes UODO, wydając w dniu [...] maja 2023 r. sporne rozstrzygnięcie, nie dopuścił się - mogącego mieć jakikolwiek istotny wpływ na wynik sprawy - naruszenia przepisów procedury administracyjnej, a w szczególności art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a., a także art. 107 § 3 k.p.a. w związku z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, albowiem wyjaśnił wszystkie okoliczności istotne dla prawidłowego i pełnego rozstrzygnięcia sprawy, a także dokonał właściwej oceny zebranego w sprawie materiału dowodowego, przeprowadzając jednocześnie ową ocenę w kontekście właściwie zastosowanych przepisów prawa materialnego.

Jednocześnie, Sąd uznał, że na podstawie prawidłowo ustalonego stanu faktycznego organ nadzorczy zasadnie przyjął, że skarżący Burmistrz, dopuszczając się szczegółowo opisanych w uzasadnieniu decyzji zaniedbań w postaci niezastosowania odpowiednich środków organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych, naruszył wskazane w sentencji decyzji przepisy art. 5 ust. 1 lit. f oraz art. 5 ust. 2, a także art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO.

W tej sytuacji, Sąd stwierdził, że w konsekwencji stwierdzonych istotnych naruszeń przepisów RODO, organ nadzorczy zasadnie nałożył na stronę skarżącą administracyjną karą pieniężną, uzasadniając jednocześnie w sposób wszechstronny wszelkie przesłanki (dyrektywy) wymiaru kary, które wziął pod uwagę wydając sporne rozstrzygnięcie.

Uznać należy, że stosując w analizowanej sprawie powyższe uprawnienie naprawcze, Prezes UODO działał zgodnie z art. 58 ust. 2 lit. i w związku z art. 83 RODO, albowiem słusznie przyjął, iż zastosowanie administracyjnej kary pieniężnej jest w tej sprawie konieczne przy uwzględnieniu charakteru, wagi oraz czasu trwania naruszenia, a także innych istotnych okoliczności związanych z zachowaniem skarżącego administratora danych.

W działaniu Prezesa UODO, jako organu administracji publicznej wydającego sporną decyzję, Sąd nie dopatrzył się jakichkolwiek istotnych nieprawidłowości, zarówno, gdy idzie o ustalenie stanu faktycznego sprawy, jak i o zastosowanie do jego oceny przepisów prawa materialnego.

Jednocześnie, Sąd stwierdził, że w uzasadnieniu zaskarżonej decyzji Prezesa UODO z dnia [...] maja 2023 r. wyjaśnione zostały w sposób dostatecznie jasny i przekonywujący motywy jej podjęcia, zaś przytoczona w tym zakresie argumentacja jest wyczerpująca i w pełni odnosząca się do stanowiska strony skarżącej podniesionego w toku postępowania wyjaśniającego.

W konsekwencji, zdaniem Sądu, stwierdzić należy, iż Prezes UODO, wydając zaskarżoną decyzję administracyjną - nie dopuścił się tym samym istotnego naruszenia zasady praworządności wyrażonej w przepisach art. 6 k.p.a. i art. 7 in principio k.p.a. oraz art. 7 Konstytucji RP.

Przechodząc do oceny zarzutów skargi, należy zauważyć na wstępie, że Sąd nie zgodził się przede wszystkim z postawionym przez stronę skarżącą zarzutem zaniechania przez organ nadzorczy dokonania należytego wyjaśnienia stanu faktycznego sprawy i jednocześnie pobieżnego przeprowadzenia postępowania dowodowego w sprawie i tym samym zgromadzenia rzekomo niepełnego materiału dowodowego i przeprowadzenia jego dowolnej i subiektywnej oceny.

Otóż, należy wskazać, że nie ulega wątpliwości, iż postępowanie w sprawie naruszenia przepisów o ochronie danych jest jednym z postępowań administracyjnych przed Prezesem Urzędu Ochrony Danych Osobowych. O takim jego charakterze rozstrzyga art. 7 ust. 1 ustawy o ochronie danych osobowych, który postępowanie z rozdziału 7 kwalifikuje jako administracyjne i przewiduje w sprawach w niej nieuregulowanych stosowanie do tego postępowania Kodeksu postępowania administracyjnego. Warto przy tym zauważyć, że ustawodawca w art. 7 ust. 1 cyt. ustawy nie przewiduje stosowania odpowiedniego, oznacza to zatem stosowanie przepisów ogólnej procedury administracyjnej wprost, z modyfikacjami wynikającymi z regulacji ustawy o ochronie danych osobowych.

Użyte w art. 60 u.o.d.o. określenie "naruszenie przepisów o ochronie danych osobowych" ma zakres szeroki i obejmuje naruszenia wszystkich przepisów o ochronie danych, zarówno zawartych w unijnym rozporządzeniu, jak i w przepisach krajowych, które uzupełniają lub modyfikują regulacje unijne.

Zgodnie z art. 7 ust. 1 u.o.d.o., w sprawach nieuregulowanych w ustawie do postępowań administracyjnych przed Prezesem Urzędu Ochrony Danych Osobowych, o których mowa w rozdziale 4-7 i 11 (a więc również w rozdziale 7 dotyczącym postępowania w sprawie naruszenia przepisów o ochronie danych osobowych), stosuje się przepisy Kodeksu postępowania administracyjnego.

Zdaniem Sądu, nie ulega zatem wątpliwości, że związanie rygorami procedury administracyjnej oznacza, iż Prezes UODO jest obowiązany m.in. do przestrzegania zasady pogłębiania zaufania obywateli do organów praworządnego państwa (art. 8 § 1 k.p.a.). W tej sytuacji, organ nadzorczy, uwzględniając powyższą zasadę, zobowiązany jest przede wszystkim dokładnie wyjaśnić okoliczności sprawy, konkretnie ustosunkować się do żądań i twierdzeń strony skarżącej oraz uwzględnić w decyzji zarówno interes społeczny, jak i słuszny interes strony skarżącej. Organ nadzorczy jest ponadto obowiązany w sposób wyczerpujący zebrać i ocenić cały materiał dowodowy (art. 7, art. 77 § 1 i art. 80 k.p.a.) oraz uzasadnić swoje rozstrzygnięcie według wymagań określonych w przepisie art. 107 § 3 k.p.a.

Mając na względzie powyższe, Sąd uznał, że zebrany w sprawie materiał dowodowy jest wyczerpujący i został poddany przez organ nadzorczy wszechstronnemu i wnikliwemu rozpatrzeniu, w wyniku czego doszło do prawidłowego ustalenia stanu faktycznego sprawy.

Prezes Urzędu Ochrony Danych Osobowych, przeprowadzając wspomniane postępowanie wyjaśniające, dokonał wszelkich niezbędnych ocen, przy uwzględnieniu całokształtu zgromadzonego w sprawie materiału dowodowego oraz w kontekście odpowiednio zastosowanych przepisów prawa, w tym przede wszystkim przepisów RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

Warto jednocześnie zauważyć, że Prezes UODO, przeprowadzając sporne postępowanie wyjaśniające wykorzystał wszelkie niezbędne instrumenty prawne, jakie dawała mu ustawa o ochronie danych osobowych i uzasadniając swoje stanowisko w decyzji z dnia [...] maja 2023 r., w sposób klarowny przedstawił argumentację dotyczącą zasadności zastosowania wobec skarżącego Burmistrza, jako administratora danych, uprawnienia naprawczego w postaci nałożenia administracyjnej kary pieniężnej.

Sąd uznał w tej sytuacji, że całkowicie niezrozumiały jest zarzut strony skarżącej, jakoby organ nadzorczy nie podjął wszelkich możliwych czynności niezbędnych do wyjaśnienia stanu faktycznego, pomimo, że - jak sugeruje strona skarżąca - organ nadzorczy posiadał wszelkie dane umożliwiające z urzędu podjęcie takich czynności.

Nie ulega wątpliwości, że zasadniczym przedmiotem sporu pomiędzy skarżącym Burmistrzem Miasta i Gminy W. a Prezesem UODO jest przede wszystkim ocena zasadności przyjęcia przez organ nadzorczy, iż skarżący administrator dopuścił się zarzucanych zaniedbań organizacyjnych. Przede wszystkim, strona skarżąca uznała, że - wbrew twierdzeniom organu nadzorczego - błędnie przyjęto, iż przed zaistnieniem incydentu polegającego na nieuprawnionym wykonaniu kopii danych osobowych z komputera służbowego na przenośny nośnik pamięci przez pracownika Urzędu Miasta i Gminy W., skarżący administrator nie dopełnił obowiązku należytego zabezpieczenia danych osobowych, nie wdrażając odpowiednich środków organizacyjnych i technicznych. Jednocześnie, strona skarżąca zarzuciła, że Prezes UODO wadliwie przyjął w spornej decyzji, iż Burmistrz Miasta i Gminy W. nie przeprowadził przed wystąpieniem naruszenia danych osobowych analizy ryzyka przetwarzania danych osobowych na nośnikach informatycznych, pomimo tego, że dał możliwość takiego przetwarzania danych osobowych, przyjmując w sposób nieuprawniony, że stosownej analizy ryzyka Burmistrz dokonał dopiero po zaistnieniu wspomnianego incydentu.

W tym miejscu, wskazać trzeba, że zgodnie z przywołanym przez organ nadzorczy w zaskarżonej decyzji przepisem art. 5 ust. 1 lit. f RODO, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("poufność i integralność").

Z kolei przepis art. 5 ust. 2 RODO stanowi, że administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie ("rozliczalność").

W doktrynie podkreśla się, że uznanie, iż kwestia dotycząca zabezpieczenia danych należy do ogólnych zasad świadczy o tym, że prawodawca unijny uznaje te zagadnienia za niezwykle ważne i nakazuje traktować je w sposób szczególny (por. m.in. P. Fajgielski, Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Wolters Kluwer Polska 2022).

Przyjmuje się, że zapewnienie odpowiedniego bezpieczeństwa wymaga podjęcia stosownych (proporcjonalnych) środków zabezpieczenia danych, przy czym warto oczywiście podkreślić, że nie muszą to być środki najlepsze z możliwych (najdroższe, najbardziej zaawansowane technologicznie), powinny jednak być odpowiednie do zagrożeń i pozwalać na zapewnienie skutecznej ochrony.

Termin "rozliczalność", użyty w art. 5 ust. 2 RODO, oznacza obowiązek przyjęcia na siebie przez administratora danych odpowiedzialności za przestrzeganie zasad ochrony danych osobowych wskazanych w przepisie art. 5 ust. 1 RODO oraz zobowiązanie do wykazania przestrzegania tych przepisów.

Przyjmuje się w doktrynie, że jeśli chodzi o sposób wykazywania rozliczalności, to przede wszystkim elementem składającym się na ową "rozliczalność" jest możliwość wykazania, że podmiot zobowiązany wykonuje nałożone na niego obowiązki. Z tego względu w art. 5 ust. 2 RODO zawarta została ogólna reguła wykazywania przez administratora danych przestrzegania przez siebie zasad przetwarzania danych osobowych (por. m.in. /w:/ Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, pod red dr Pawła Litwińskiego, wyd. 1, Wydawnictwo C.H. Beck, Warszawa 2021, t. 25 komentarza do art. 5 RODO).

Warto jednocześnie podkreślić, że wspomniana rozliczalność, czyli w szczególności obowiązek wykazania zgodności z przepisami prawa, składa się w opinii Grupy Roboczej Art. 29 (vide: Opinia z dnia 13 lipca 2010 r. nr 3/2010 w sprawie zasady rozliczalności (WP 173), dostępna na stronie www.giodo.gov.pl), z następujących obowiązków cząstkowych:

1) obowiązek wdrożenia środków (w tym wewnętrznych procedur) gwarantujących przestrzeganie przepisów o ochronie danych w związku z operacjami ich przetwarzania;

2) obowiązek sporządzenia dokumentacji, która wskazuje osobom, których dane dotyczą, oraz organom nadzorczym, jakie środki podjęto, aby zapewnić przestrzeganie przepisów o ochronie danych osobowych.

W tej sytuacji, przyjąć należy, że rozliczalność powinna być więc rozumiana jako pewna właściwość czynności przetwarzania, pozwalająca na dowodzenie zgodności z przepisami prawa operacji na danych osobowych, w szczególności za pomocą dokumentacji ochrony danych osobowych.

Warto w tym miejscu zauważyć, że w literaturze wskazano, że konsekwencją zasady rozliczalności jest to, że w razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym, administrator danych powinien być w stanie przedstawić dowody na to, że przestrzega przepisów o ochronie danych osobowych. Dowodami takimi mogą być przede wszystkim dokumenty opisujące zasady przetwarzania i ochrony danych osobowych. Dodaje się przy tym, że pomimo braku wyraźnego wymogu wynikającego z przepisów RODO zasadne i rekomendowane jest więc prowadzenie dokumentacji przetwarzania danych osobowych (por. Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, pod red dr Pawła Litwińskiego, wyd. 1, Wydawnictwo C.H. Beck, Warszawa 2021, t. 27 komentarza do art. 5 RODO). W tej sytuacji, skoro nałożono na administratora ciężar dowodowy w zakresie przestrzegania zasad przetwarzania danych, to zasadne wydaje się prowadzenie dokumentacji przetwarzania danych, obejmującej wskazanie działań, jakie zostały podjęte dla zapewnienia zgodności przetwarzania i ochrony danych z wymogami określonymi w rozporządzeniu (np. przeprowadzonej analizy ryzyka i doboru odpowiednich zabezpieczeń). Informacje pozwalające wykazać przestrzeganie przepisów mogą być zawarte np. w polityce bezpieczeństwa lub w innym dokumencie.

Nie ulega wątpliwości, że konkretyzację zasady poufności, o której mowa we wskazanym powyżej art. 5 ust. 1 lit. f RODO, odnajdujemy w dalszych - przywołanych w zaskarżonej decyzji organu nadzorczego - przepisach cyt. aktu prawnego.

Zgodnie z art. 24 ust. 1 RODO, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

Wdrożenie odpowiednich zabezpieczeń stanowi obowiązek będący przejawem realizacji ogólnej zasady przetwarzania danych, jaką jest wspomniana wyżej zasada integralności i poufności, określona w art. 5 ust. 1 lit. f RODO.

Należy podnieść, że art. 24 ust. 1 RODO nakłada na administratora obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych służących temu, aby przetwarzanie odbywało się zgodnie z przepisami tego rozporządzenia. Prawodawca europejski nakazał administratorowi wdrożenie zabezpieczeń, ustanawiając w tym zakresie regułę proporcjonalności, co oznacza, że zabezpieczenia powinny być odpowiednie, a więc nie chodzi tu o zabezpieczenia najlepsze z możliwych (najnowsze, najdroższe, najbardziej zaawansowane technologicznie), a o takie środki techniczne i organizacyjne, które są proporcjonalne.

Z przepisu art. 24 ust. 1 RODO wynika, że przy dokonywaniu oceny proporcjonalności zabezpieczeń administrator powinien wziąć pod uwagę czynniki i okoliczności dotyczące przetwarzania i ryzyko, jakie się z nim wiąże. W przepisie tym wskazane zostały następujące elementy, które administrator powinien uwzględnić: charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze. W praktyce oznacza to konieczność dostosowania wdrażanych zabezpieczeń m.in. do: rodzaju danych (czy są to dane "zwykłe", czy też szczególne kategorie danych), sposobu przetwarzania danych (m.in. czy dane są przetwarzane w wydzielonej sieci zamkniętej, czy przez ogólnodostępną sieć Internet) oraz ryzyka, jakie wiąże się z przetwarzaniem.

Warto jednocześnie zauważyć, że pomocne przy dokonywaniu oceny mogą być wskazówki zawarte w motywie 75, a także w motywach 76 i 77 preambuły RODO.

W tym miejscu wskazać należy, że wymogi odnoszące się do zabezpieczenia danych (technicznych i organizacyjnych środków zabezpieczenia) są przedmiotem nieco bardziej szczegółowej regulacji zawartej w art. 32 RODO, który to przepis stanowi powtórzenie zasadniczej treści art. 24 ust. 1 RODO, z doprecyzowaniem wymogów odnoszących się do zabezpieczeń (bezpieczeństwa) przetwarzania danych.

W doktrynie podnosi się, że zestawienie treści art. 24 ust. 1 z art. 32 RODO wskazuje na to, że przewidziane w art. 24 cyt. rozporządzenia wymogi nie ograniczają się jedynie do zabezpieczenia danych, ale obejmują także inne działania zmierzające do zapewnienia zgodności przetwarzania danych z przepisami unijnego rozporządzenia. Adresatem obowiązków ustanowionych w art. 24 RODO jest administrator, natomiast obowiązki w zakresie zabezpieczenia, o których mowa w art. 32, powinien spełniać nie tylko administrator, ale również podmiot przetwarzający dane na zlecenie administratora (por. P. Fajgielski, Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Wolters Kluwer Polska 2022, t. 7 komentarza do art. 24 RODO).

Prawodawca we wskazanym przepisie art. 24 ust. 1 RODO ustanowił dodatkowe wymaganie skierowane do administratora, który powinien być w stanie wykazać spełnienie wymogów dotyczących zabezpieczenia danych i zgodności z przepisami rozporządzenia. Służyć temu może dokumentowanie przeprowadzonej analizy ryzyka i innych działań podjętych w celu zapewnienia zgodności z przepisami komentowanego rozporządzenia. Taka konstrukcja nawiązuje do ogólnego obowiązku rozliczalności, o którym mowa w przepisie art. 5 ust. 2 RODO, ustanawiającym zasady ogólne przetwarzania danych.

Warto jednocześnie podkreślić że wdrożenie przez administratora środków technicznych i organizacyjnych nie jest działaniem jednorazowym, ale powinno przybrać postać procesu, w ramach którego administrator dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia. Prawodawca unijny nie wskazuje terminu, w jakim powinien zostać przeprowadzony przegląd czy aktualizacja, pozostawiając w tym zakresie swobodę administratorowi, który w razie dostrzeżenia potrzeby powinien dokonać przeglądu i ewentualnego uaktualnienia.

Z kolei art. 25 ust. 1 RODO stanowi, że uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator - zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania - wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

Przepis art. 25 ust. 1 RODO nakłada na administratora obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych (zabezpieczeń) w celu skutecznej realizacji zasad ochrony danych. Warto podkreślić, że prawodawca unijny podkreśla potrzebę wdrażania zabezpieczeń już na etapie przygotowania rozwiązań służących przetwarzaniu danych, jednak nie ogranicza omawianego obowiązku tylko do fazy projektowania (jak sugeruje skrótowy tytuł przepisu), ale rozciąga go także na dalsze etapy przetwarzania ("w czasie samego przetwarzania"). Oznacza to, że wdrażanie zabezpieczeń ma stanowić ciągły proces, a nie jednorazowe działanie administratora (por. P. Fajgielski, Komentarz do rozporządzenia nr 2016/679 ..., t. 5 komentarza do art. 25 RODO).

Przepis ten nakazuje administratorowi uwzględnić łącznie następujące czynniki:

1) stan wiedzy technicznej;

2) koszt wdrażania;

3) charakter, zakres, kontekst i cele przetwarzania;

4) ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania.

Konieczność uwzględnienia stanu wiedzy technicznej może być odczytywana jako potrzeba dostosowania zabezpieczeń do typowych aktualnie stosowanych rozwiązań. Nie oznacza to jednak wymogu stosowania rozwiązań najnowszych, gdyż rozwiązania te mogą nie być powszechnie dostępne, pociągać za sobą nadmierne koszty lub z innych względów być trudne do zastosowania przez administratora. Jednak uwzględnienie stanu wiedzy technicznej powinno skłaniać administratora do rezygnacji z rozwiązań przestarzałych, o niewielkiej skuteczności, czy też takich, co do których wiadomo, że nie zapewniają należytej ochrony danych.

Z kolei, potrzeba uwzględnienia kosztów wdrażania zabezpieczeń oznacza, że administrator powinien dostosować wdrażane środki do potrzeb i możliwości finansowych. Przepisy nie wymagają zastosowania rozwiązań najdroższych, a jedynie nakazują administratorowi rozważenie różnych możliwości, uwzględniając aspekt kosztów.

Przy dokonywaniu oceny zasadności wdrożenia określonych rozwiązań administrator powinien natomiast uwzględnić również specyfikę przetwarzania danych, jego charakter, zakres, kontekst i cele, ponieważ z tej specyfiki wynikać może potrzeba zapewnienia wzmożonej ochrony (m.in. w sytuacji, gdy przetwarzane są na dużą skalę szczególne kategorie danych, np. przez szpital).

Ostatnim, szczególnie istotnym elementem podlegającym ocenie administratora, jest ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania. Ocena ryzyka jest niezwykle istotnym elementem, który powinien zostać dokonany, a w praktyce ważne jest także odpowiednie jego udokumentowanie.

Zdaniem Sądu, podkreślić należy bardzo wyraźnie, że spełnienie wspomnianych wyżej wymagań ma umożliwić administratorowi skuteczną realizację zasad ochrony danych oraz zapewnienie niezbędnych zabezpieczeń przy przetwarzaniu danych. Formalnym celem omawianego obowiązku jest spełnienie wymogów rozporządzenia, natomiast zasadniczym celem jest zapewnienie skutecznej ochrony praw osób, których dane dotyczą.

Ponadto, wskazać trzeba, że z treści przywołanego przez organ nadzorczy przepisu art. 32 ust. 1 RODO wynika, że uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

a) pseudonimizację i szyfrowanie danych osobowych;

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Z kolei, art. 32 ust. 2 RODO stanowi, że oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Warto jednocześnie zauważyć, że w motywie 83 preambuły RODO wyjaśniono, iż "w celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z niniejszym rozporządzeniem administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki - takie jak szyfrowanie - minimalizujące to ryzyko. Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie. Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych - takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych - i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych".

Nie ulega wątpliwości, że biorąc pod uwagę zakres danych i okoliczności przetwarzania, należy dokonywać oceny ryzyka, a wynik tego rodzaju oceny powinien mieć istotne znaczenie przy doborze właściwych zabezpieczeń. W ocenie Sądu, warto podkreślić, że analiza ryzyka stanowi istotny element podejścia prawodawcy unijnego do kwestii zabezpieczenia i ochrony danych. W tej sytuacji, uznać należy, że w zamierzeniu prawodawcy europejskiego podejście oparte na ocenie ryzyka ma zastąpić traktowanie obowiązków administratora jako konieczności spełnienia wymogów formalnych bez względu na to, czy zapewniają one skuteczną ochronę.

Nie sposób jednocześnie pominąć tego, że wszystkie wskazane powyżej czynniki powinny być wzięte pod uwagę łącznie, a więc administrator ani podmiot przetwarzający nie powinni poprzestać na dokonaniu oceny jedynie wybranych czynników, które uznają za istotne.

Nie ulega zatem wątpliwości, że wskazane w art. 32 ust. 1 RODO wymogi w zakresie funkcjonalności systemów i usług, które powinny być zapewnione, by zagwarantować odpowiedni poziom bezpieczeństwa danych, stanowią przejaw realizacji ogólnej zasady integralności i poufności, o której mowa w art. 5 ust. 1 lit. f RODO.

Mając na względzie wskazane powyżej zasady oraz związane z nimi obowiązki nałożone na administratora danych przez prawodawcę unijnego, stwierdzić należy, że Burmistrz Miasta i Gminy W., jako administrator, dopuszczając możliwość używania przenośnych nośników pamięci (np. pamięci USB), winien w oparciu o właściwie przeprowadzoną analizę ryzyka dokonać identyfikacji wszelkich możliwych zagrożeń dla przetwarzanych danych osobowych z wykorzystaniem tego rodzaju sprzętu komputerowego, a następnie szczegółowo określić oraz wdrożyć odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa tych danych. Następnie, administrator powinien wykazać, że regularnie sprawdzał skuteczność tych środków, albowiem z przepisów RODO wynika konieczność prowadzenia systematycznej weryfikacji całego systemu ochrony danych osobowych zarówno pod kątem adekwatności, jak i skuteczności wdrożonych rozwiązań organizacyjnych i technicznych.

Ponadto, uznać należy, że skoro skarżący administrator dał możliwość używania w Urzędzie Miasta i Gminy W. przenośnych nośników pamięci (np. pamięci USB), to - stosownie do wymogów wynikających z omówionych powyżej przepisów RODO - zobowiązany był określić już na etapie projektowania skuteczne środki bezpieczeństwa, a następnie wdrożyć odpowiednie środki techniczne i organizacyjnych w celu nadania przetwarzaniu danych niezbędnych zabezpieczeń z uwagi na przyjęty sposób przetwarzania danych osobowych.

Jednocześnie, podkreślić należy, że analiza ryzyka, do przeprowadzania której bezwzględnie obowiązany był skarżący administrator danych, powinna zostać udokumentowana oraz uzasadniona na podstawie przede wszystkim określenia stanu faktycznego, istniejącego w momencie jej przeprowadzania. Nie bez znaczenia jest również to, że skarżący administrator obowiązany był do regularnego sprawdzania skuteczności funkcjonowania zastosowanych zabezpieczeń. Tak czy inaczej, nie ulega wątpliwości to, że aby analiza ryzyka została w ogóle przeprowadzona w sposób właściwy, winny być przez administratora prawidłowo zdefiniowane zagrożenia, mogące wystąpić w procesie przetwarzania danych.

Tymczasem, ze zgromadzonego w niniejszej sprawie materiału dowodowego wynika, że Burmistrz Miasta i Gminy W. nie przeprowadził analizy ryzyka dla procesu przetwarzania danych objętych naruszeniem przed wystąpieniem przedmiotowego naruszenia ochrony danych osobowych

Sąd uznał, że - wbrew zapewnieniom strony skarżącej - Prezes UODO zasadnie przyjął w zaskarżonej decyzji, iż w przedmiotowej sprawie - wobec nieprzeprowadzenia przed wystąpieniem naruszenia ochrony danych osobowych analizy ryzyka dla operacji przetwarzania danych osobowych w związku z wykorzystywaniem przez pracowników Urzędu Miasta i Gminy W. sprzętu komputerowego umożliwiającego podłączenie przenośnych nośników danych (w szczególności pamięci USB), w tym prywatnych przenośnych nośników danych, która uwzględniałaby zagrożenia związane z nieuprawnionym skopiowaniem przez pracownika z komputera służbowego na ten rodzaj nośnika danych plików zawierających dane osobowe - skarżący Burmistrz, będąc administratorem, nie monitorował zarówno adekwatności, jak i skuteczności zastosowanych zabezpieczeń, czym ewidentnie naruszył nie tylko obowiązki wynikające z art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO, ale także zignorował fundamentalną zasadę rozliczalności, o której mowa w art. 5 ust. 2 cyt. rozporządzenia.

W konsekwencji, należy zgodzić się z organem nadzorczym, że w toku przeprowadzonego postępowania wyjaśniającego skarżący administrator nie wykazał, aby komputery służbowe wykorzystywane przez pracowników Urzędu Miasta i Gminy W. były zabezpieczone przed możliwością nieuprawnionego skopiowania z nich plików zawierających dane osobowe z wykorzystaniem przenośnych nośników pamięci takich jak np. pamięć USB. Nie ulega wątpliwości, że przed wystąpieniem naruszenia skarżący Burmistrz nie stosował zabezpieczenia portów i innych narzędzi uniemożliwiających przenoszenie danych na nieautoryzowany nośnik danych. Co więcej, zauważyć należy, że w konsekwencji powyższych zaniedbań, strona skarżąca nie była nawet w stanie definitywnie stwierdzić, czy dane z komputera służbowego znajdującego się w siedzibie Urzędu Miasta i Gminy W. zostały skopiowane na przenośny nośnik danych, który był własnością tej jednostki samorządu terytorialnego, czy też nośnik ten był własnością prywatna pracownika.

W tej sytuacji, pomimo, że w odniesieniu do przenośnych nośników pamięci wykorzystywanych przez pracowników Urzędu Miasta i Gminy W., z uwagi na zagrożenia z tym związane, w celu przeciwdziałania potencjalnym skutkom naruszenia i zapobieżenia utracie poufności danych osobowych znajdujących się na takim urządzeniu, skarżący administrator zobowiązany był do stosowania skutecznych zabezpieczeń, to uznać należy, że z uwagi na fakt, iż Burmistrz przed wystąpieniem naruszenia nie wprowadził tego typu skutecznych zabezpieczeń, doszło tym samym do istotnego naruszenia obowiązków nałożonych przez przepisy RODO. Jednocześnie, z uwagi na fakt nieprzeprowadzenia przed wystąpieniem krytycznego zdarzenia przez skarżącego administratora analizy ryzyka naruszenia ochrony danych osobowych, Burmistrz nie był w stanie wykazać, czy przyjęte rozwiązania rzeczywiście zapewniały odpowiednie bezpieczeństwo w przypadku przetwarzania danych osobowych w związku z korzystaniem przez pracowników Urzędu Miasta i Gminy W. z przenośnych nośników danych.

Efektem wykazanego powyżej braku działania Administratora w tym zakresie była materializacja zagrożenia w postaci wykonania nieuprawnionej kopii dokumentów zawierających dane osobowe z komputera znajdującego się w siedzibie administratora na przenośny nośnik danych (pamięć USB), nad którym skarżący administrator nie miał kontroli, co skutkowało naruszeniem zasady poufności danych osobowych przetwarzanych przez Burmistrza Miasta i Gminy W..

Ustosunkowując się w tym miejscu do zarzutów strony skarżącej, należy przede wszystkim stwierdzić, że - wbrew stanowisku skarżącego Burmistrza przedstawionemu w skardze - Prezes UODO, wydając zaskarżaną decyzję z dnia [...] maja 2023 r., zasadnie przyjął, że skarżący administrator nie przeprowadził analizy ryzyka dla procesu przetwarzania danych osobowych objętych przedmiotowym naruszeniem przed jego wystąpieniem.

Zdaniem Sądu, powyższe wynika wprost z materiału dowodowego zgromadzonego w niniejszej sprawie, który został ustalony na podstawie wyjaśnień złożonych przez samego skarżącego administratora, który w odpowiedzi na precyzyjnie sformułowane pytanie Prezesa UODO zawarte w piśmie z dnia [...] maja 2022 r. wyraźnie wskazał, że "(...) Administrator nie przeprowadził analizy ryzyka dla procesu przetwarzania danych objętych naruszeniem przed jego wystąpieniem. Po wystąpieniu naruszenia została przeprowadzona ogólna analiza ryzyka i ocena skutków dla przetwarzania danych objętych naruszeniem. Dowód stanowi załącznik nr 4 (...)" (vide: pismo skarżącego Burmistrza z dnia [...] września 2022 r.).

W tej sytuacji, uznać należy, że załączony przez stronę skarżąca do skargi dokument o nazwie "[...]" nie przedstawia wartości dowodowej istotnej dla oceny rozstrzygnięcia zawartego w zaskarżonej decyzji. Należy zgodzić się z organem nadzorczym, że nie sposób przyjąć, że powyższy dokument stanowi analizę ryzyka. Trudno również zaakceptować to, że Burmistrz w toku postępowania administracyjnego zapomniał, że jest w posiadaniu dokumentu będącego dla administratora podstawą budowy systemu bezpieczeństwa dla procesu przetwarzania danych osobowych, w szczególności w zakresie doboru środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych. Warto jedynie na marginesie zauważyć, że wspomniany wyżej raport został sporządzony w dniu [...] maja 2018 r., a zatem od daty jego sporządzenia do dnia wystąpienia naruszenia upłynęło prawie cztery lata, co - w świetle obowiązku zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń - stawia dodatkowo pod znakiem zapytania wartość tego dokumentu. Nie można również pominąć tego, jak słusznie zauważył w odpowiedzi na skargę Prezes UODO, że z informacji zawartej w omawianym raporcie wynika, że skarżący Burmistrz miał przeprowadzić analizę ryzyka w 2016 r. (tj. dwa lata przed rozpoczęciem stosowania przepisów RODO i sześć lat przed wystąpieniem przedmiotowego naruszenia), co świadczy o tym, że analiza ryzyka z 2016 r., o której wspomina przedłożony raport z audytu bezpieczeństwa informacji, nie stanowiła dla skarżącego administratora istotnego dokumentu dla budowy systemu bezpieczeństwa w procesie przetwarzania danych mającego minimalizować ryzyko naruszenia ochrony danych osobowych, do którego doszło w dniu [...] maja 2022 r.

W tej sytuacji, uznać należy, że załączony do skargi raport z audytu jest dokumentem zawierającym jedynie rekomendację dla przeprowadzenia właściwej analizy ryzyka, której ostatecznie skarżący Burmistrz w toku postępowania administracyjnego Prezesowi UODO nie przedstawił.

Mając na względzie powyższe, Sąd nie zgodził się z zarzutem dotyczącym rzekomego niezebrania i nierozpatrzenia całości materiału dowodowego w sposób wyczerpujący, skoro załączony przez skarżącego administratora dopiero na etapie wniesienia skargi dokument o nazwie "[...]" z dnia [...] maja 2018 r., który miały być analizą ryzyka dokonaną rzekomo przed naruszeniem ochrony danych osobowych, nie został dostarczony w toku postępowania administracyjnego, pomimo wyraźnego wezwania ze strony organu nadzorczego oraz jednoznacznego oświadczenia Burmistrza, że analiza ryzyka nie została przeprowadzona.

Odnosząc się z kolei do argumentów strony skarżącej wynikających z przesłanego wraz ze skargą "Regulaminu o ochronie danych osobowych", w którym znajdują się uregulowania dotyczące użytkowania przenośnych nośników pamięci, wskazać należy jedynie to, iż samo przyjęcie wewnętrznego aktu prawnego zobowiązującego pracowników do konkretnego sposobu postępowania z przenośnymi nośnikami pamięci, bez wcześniej przeprowadzonej właściwie analizy ryzyka oraz bez wprowadzenia skutecznych mechanizmów kontrolnych (mających na celu weryfikację przestrzeganie przez pracowników zasad postępowania z przenośnymi nośnikami pamięci) nie oznacza, że skarżący administrator wypełnił obowiązki wynikające z art. 32 ust. 1 i 2 RODO.

Warto jednocześnie podkreślić, że skoro proces ochrony danych osobowych jest ciągły i nie ma charakteru epizodycznego, co oznacza, że nie sprowadza się jedynie do przyjęcia formalnych rozwiązań bez weryfikacji tego, czy przewidziane normy rzeczywiście zostały wdrożone oraz bez regularnego sprawdzania przyjętych norm pod kątem aktualności i adekwatności wobec rozpoznanych zagrożeń, to nie sposób uznać, że z uwagi na raz przyjęte regulacje wewnętrzne strona skarżąca zwolniła się z należytego wypełnienia obowiązku zabezpieczenia danych osobowych poprzez wdrożenie odpowiednich środków organizacyjnych i technicznych.

Zdaniem Sądu, nie ulega wątpliwości, że - wbrew zarzutom strony skarżącej - organ nadzorczy wywiązał się należycie ze wszelkich rygorów przewidzianych w procedurze administracyjnej, albowiem przeprowadzając sporne postępowanie wyjaśniające, dokonał wszelkich ocen, przy uwzględnieniu całokształtu zgromadzonego w sprawie materiału dowodowego oraz w kontekście odpowiednio zastosowanych przepisów prawa, w tym przede wszystkim przepisów art. 5 ust . 1 lit. f i ust. 2 RODO, a także art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 cyt. rozporządzenia unijnego.

Warto jednocześnie zauważyć, że Prezes UODO, przeprowadzając sporne postępowanie administracyjne, wykorzystał wszelkie niezbędne instrumenty prawne, jakie dawały mu obowiązujące regulacje ustawowe i uzasadniając swoje stanowisko w decyzji z dnia [...] maja 2023 r., w sposób klarowny przedstawił argumentację dotyczącą zasadności nałożenia administracyjnej kary pieniężnej.

W konsekwencji, Sąd stwierdził, że Prezes UODO zasadnie przyjął w uzasadnieniu zaskarżonej decyzji, że w przedmiotowej sprawie bezsprzecznie doszło do naruszenia przez Burmistrza Miasta i Gminy W. norm prawnych wynikającej z przywołanych powyżej przepisów RODO.

Przede wszystkim, w ocenie Sądu, organ nadzorczy - ustalając zakres naruszenia - dokonał tego z uwzględnieniem podstawowych celów RODO, biorąc pod uwagą głównie elementy szkodliwości o charakterze przedmiotowym, które dotyczą rodzaju naruszonych obowiązków, rodzaju naruszonych dóbr, intensywności naruszenia oraz wartości społecznych i ekonomicznych, następstw czynu objętego administracyjną karą pieniężną. Jednocześnie, co warto podkreślić, Prezes UODO wziął pod uwagę również okoliczności wpływające łagodząco na wysokość nałożonej kary.

Mając na względzie powyższe, Sąd uznał, iż organ nadzorczy w sposób prawidłowy wykazał w uzasadnieniu zaskarżonej decyzji, że nałożenie administracyjnej kary pieniężnej na skarżącego Burmistrza było konieczne z uwagi na naruszenie przez niego jednej z fundamentalnych zasad ochrony danych osobowych, o której mowa w art. 5 ust. 1 lit. f RODO, a także z uwagi na niepodjęcie szeregu istotnych działań wynikających z tej zasady, a które związane są z obowiązkami nałożonymi na administratora danych, które zostały sprecyzowane w art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 cyt. rozporządzenia.

W tej sytuacji, w ocenie Sądu, przyjąć należy, że z uwagi na przeprowadzenie wszechstronnej analizy zebranego w trakcie prowadzonego postępowania materiału dowodowego, a także uwzględnienie dopuszczalnej wysokości administracyjnej kary pieniężnej, określonej w art. 83 ust. 4 lit. a i ust. 5 lit. a RODO, Prezes UODO w sposób właściwy ustalił wysokość kary pieniężnej nałożonej na stronę skarżącą na kwotę 10.000 (słownie: dziesięciu tysięcy) złotych.

Ponadto, Sąd uznał, że wysokość nałożonej przez organ nadzorczy kary pieniężnej jest nie tylko adekwatna do naruszenia stwierdzonego w trakcie spornego postępowania, ale spełnia również zamierzone funkcje kary, tj. funkcję represyjną i prewencyjną, co powinno w przyszłości zapobiec podobnym naruszeniom.

Biorąc powyższe pod uwagę, Wojewódzki Sad Administracyjny w Warszawie - działając na podstawie art. 151 P.p.s.a. - orzekł, jak w sentencji wyroku.[pic][pic]