{\rtf1\ansi\ansicpg1252
\deff0{\fonttbl{\f0\froman\fcharset0 Times New Roman;}{\f1\froman\fcharset0 Helvetica;}{\f2\froman\fcharset0 Arial;}{\f3\froman\fcharset0 unknown;}}
{\colortbl\red0\green0\blue0;\red255\green255\blue255;\red192\green192\blue192;}
{\stylesheet 
{\style\s1 \ql\fi0\li0\ri0\f2\fs32\b\cf0 heading 1;}
{\style\s2 \ql\fi0\li0\ri0\f2\fs28\b\i\cf0 heading 2;}
{\style\s3 \ql\fi0\li0\ri0\f2\fs26\b\cf0 heading 3;}
{\style\s0 \ql\fi0\li0\ri0\f2\fs24\cf0 Normal;}
}
{\*\listtable
}
{\*\listoverridetable
}
{\info}
\paperw11907\paperh16840\margl1440\margr1120\margt1720\margb1440
{\footer \pard\plain\s0\ql\fi0\li0\ri0\plain\f0 2026-04-13 01:29\par
}{\header \trowd
\trftsWidth3\trwWidth9347\trqc\trgaph10\trpaddl0\trpaddr0\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7630
\cellx7630\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1716
\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f0 Centralna Baza Orzecze\u324? S\u261?d\u243?w Administracyjnych
\cell\pard\plain\intbl\s0\qr\fi0\li0\ri0\plain\f0 Str \f3{\field{\*\fldinst PAGE}{\fldrslt  }}\f0  / \f3{\field{\*\fldinst NUMPAGES \\* Arabic}{\fldrslt 1 }}
\cell \trowd
\trftsWidth3\trwWidth9347\trqc\trgaph10\trpaddl0\trpaddr0\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7630
\cellx7630\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1716
\cellx9346\row
\pard}\pgwsxn11907\pghsxn16840
\marglsxn1440\margrsxn1120\margtsxn1720\margbsxn1440\pard\plain\s0\fi0\li0\ri0\plain\f1\fs24\b II SA/Wa 1404/23 - Wyrok\b0\par
\par\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Data orzeczenia\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 2024-02-27
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Data wp\u322?ywu\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 2023-07-14
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b S\u261?d\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Wojew\u243?dzki S\u261?d Administracyjny w Warszawie
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b S\u281?dziowie\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Andrzej Wieczorek
\par Izabela G\u322?owacka-Klimas /przewodnicz\u261?cy/
\par Piotr Borowiecki /sprawozdawca/
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Symbol z opisem\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 647  Sprawy zwi\u261?zane z ochron\u261? danych osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Has\u322?a tematyczne\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Ochrona danych osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Skar\u380?ony organ\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Generalny Inspektor Ochrony Danych Osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Tre\u347?\u263? wyniku\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Oddalono skarg\u281?
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Powo\u322?ane przepisy\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Dz.U. 2024 nr 0 poz 935; art. 151; Ustawa z dnia 30 sierpnia 2002 r. Prawo o post\u281?powaniu przed s\u261?dami administracyjnymi (t. j.)
\par Dz.U.UE.L 2016 nr 119 poz 1; art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. i), art. 83 ust. 1-3 i ust. 4 lit.a) w zw. z art. 24 ust. 1 art. 25 ust. 1 i art. 32 ust. 1 i 2 oraz art. 83 ust. 5 lit. a w zw. z art. 5 ust. 1 lit. f) i art. 5 ust 2; Rozporz\u261?dzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony os\u243?b fizycznych w zwi\u261?zku z  przetwarzaniem danych osobowych i w sprawie swobodnego przep\u322?ywu takich danych oraz uchylenia dyrektywy 95/46/WE
\par Dz.U. 2019 nr 0 poz 1781; art. 7, aty, 60, aty. 102 ust. 1 pkt 1 ust. 3 oraz art. 103; Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (t. j.)
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Sentencja\b0
\par\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs22 Wojew\u243?dzki S\u261?d Administracyjny w Warszawie w sk\u322?adzie nast\u281?puj\u261?cym: Przewodnicz\u261?cy S\u281?dzia WSA Izabela G\u322?owacka-Klimas, S\u281?dzia WSA Piotr Borowiecki (spr.), S\u281?dzia WSA Andrzej Wieczorek, , Protokolant starszy specjalista Aleksandra Weiher, , po rozpoznaniu na rozprawie w dniu 27 lutego 2024 r. sprawy ze skargi Burmistrza Miasta i Gminy W. na decyzj\u281? Prezesa Urz\u281?du Ochrony Danych Osobowych z dnia [...] maja 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skarg\u281?
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Uzasadnienie\b0
\par\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs22 Zaskar\u380?on\u261? decyzj\u261? z dnia [...] maja 2023 r., nr [...], Prezes Urz\u281?du Ochrony Danych Osobowych (dalej tak\u380?e: "Prezes UODO" lub "organ nadzorczy"), dzia\u322?aj\u261?c na podstawie art. 104 \u167? 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks post\u281?powania administracyjnego (tekst jednolity Dz. U. z 2022 r., poz. 2000 ze zm. - dalej: "k.p.a.") oraz art. 7 ust. 1, art. 60, art. 102 ust. 1 pkt 1 i ust. 3 oraz art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2019 r., poz. 1781 - dalej tak\u380?e: "u.o.d.o."), a tak\u380?e art. 57 ust. 1 lit. a i lit. h, art. 58 ust. 2 lit. i, art. 83 ust. 1 \u8211? 3 i ust. 4 lit. a w zwi\u261?zku z art. 24 ust. 1, art. 25 ust. 1 i art. 32 ust. 1 i 2 oraz art. 83 ust. 5 lit. a w zwi\u261?zku z art. 5 ust 1 lit. f i art. 5 ust. 2 rozporz\u261?dzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony os\u243?b fizycznych w zwi\u261?zku z przetwarzaniem danych osobowych i w sprawie swobodnego przep\u322?ywu takich danych oraz uchylenia dyrektywy 95/46/WE (og\u243?lne rozporz\u261?dzenie o ochronie danych) (Dz. Urz. UE L 119 z dnia 4 maja 2016 r., s. 1, Dz. Urz. UE L 127 z dnia 23 maja 2018 r., s. 2 oraz Dz. Urz. UE L 74 z 4 marca 2021, s. 35 - dalej tak\u380?e: "RODO"), po przeprowadzeniu wszcz\u281?tego z urz\u281?du post\u281?powania administracyjnego w sprawie naruszenia przepis\u243?w o ochronie danych osobowych przez Burmistrza Miasta i Gminy W. (dalej tak\u380?e: "skar\u380?\u261?cy Burmistrz", "skar\u380?\u261?cy administrator" lub "strona skar\u380?\u261?ca"), stwierdzaj\u261?c naruszenie przez Burmistrza Miasta i Gminy W. przepis\u243?w art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO, polegaj\u261?ce na niezastosowaniu przez Burmistrza Miasta i Gminy W. odpowiednich \u347?rodk\u243?w organizacyjnych zapewniaj\u261?cych stopie\u324? bezpiecze\u324?stwa odpowiadaj\u261?cy ryzyku przetwarzania danych, co skutkowa\u322?o nieuprawnionym wykonaniem kopii danych osobowych z komputera s\u322?u\u380?bowego na przeno\u347?ny no\u347?nik pami\u281?ci przez pracownika Urz\u281?du Miasta i Gminy W., na\u322?o\u380?y\u322? na Burmistrza Miasta i Gminy W. naruszenie przepis\u243?w art. 5 ust 1 lit. f, art. 5 ust. 2, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO administracyjn\u261? kar\u281? pieni\u281?\u380?n\u261? w kwocie 10 000 z\u322?otych (s\u322?ownie: dziesi\u281?\u263? tysi\u281?cy z\u322?otych).
\par 
\par Zaskar\u380?ona decyzja Prezesa UODO zosta\u322?a wydana w nast\u281?puj\u261?cym stanie faktycznym.
\par 
\par W dniu [...] maja 2022 r. Burmistrz Miasta i Gminy W. przes\u322?a\u322? Prezesowi Urz\u281?du Ochrony Danych Osobowych zg\u322?oszenie naruszenia ochrony danych osobowych, do kt\u243?rego dosz\u322?o w dniu [...] maja 2022 r. (zg\u322?oszenia uzupe\u322?niaj\u261?cego dokonano [...] maja 2022 r.).
\par 
\par Z informacji zawartej w powy\u380?szym zg\u322?oszeniu wynika\u322?o, \u380?e do naruszenia ochrony danych osobowych dosz\u322?o na skutek nieuprawnionego wykonania z komputera s\u322?u\u380?bowego na przeno\u347?ny no\u347?nik pami\u281?ci przez pracownika Urz\u281?du Miasta i Gminy W. kopii danych osobowych w zakresie: nazwiska i imiona, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, nr ewidencyjny PESEL, inne (informacje o rozliczeniach op\u322?at za czynsze, wod\u281?, \u347?cieki, energi\u281? elektryczn\u261?, najem lokali). W tre\u347?ci zg\u322?oszenia naruszenia ochrony danych osobowych z dnia [...] maja 2022 r. skar\u380?\u261?cy administrator wskaza\u322?, \u380?e "(...) w dniu [...] maja 2022 roku do Urz\u281?du Miasta i Gminy W. zosta\u322? przyniesiony pendrive z polecenia pracownika przebywaj\u261?cego na zwolnieniu lekarskim. Ze wst\u281?pnych informacji wiemy, \u380?e na no\u347?niku znajduj\u261? si\u281? dokumenty s\u322?u\u380?bowe zawieraj\u261?ce dane osobowe takie jak: umowy z osobami fizycznymi, umowy najmu, faktury, rozliczenia. No\u347?nik zosta\u322? dostarczony przez osob\u281? trzeci\u261?, nie b\u281?d\u261?c\u261? pracownikiem Urz\u281?du. Osoba ta nie posiada r\u243?wnie\u380? upowa\u380?nienia. Podejrzewamy, \u380?e pracownik przebywaj\u261?cy na zwolnieniu wykona\u322? nieautoryzowan\u261? i nieuprawnion\u261? kopi\u281? dokument\u243?w urz\u281?dowych na prywatny no\u347?nik danych (...)". W zg\u322?oszeniu uzupe\u322?niaj\u261?cym z dnia [...] maja 2022 r. Burmistrz Miasta i Gminy W. wskaza\u322? dodatkowo m.in., \u380?e "(...) Po zweryfikowaniu zawarto\u347?ci no\u347?nika zauwa\u380?ono, \u380?e znajduj\u261? si\u281? na nim pliki zawieraj\u261?ce wzory um\u243?w, umowy powierzenia przetwarzania danych osobowych, umowy u\u380?yczenia boisk, informacje o czynszach, dane niezb\u281?dne do dokonania nalicze\u324? za energi\u281? elektryczn\u261?, wod\u281?, \u347?cieki i czynsze, pisma do mieszka\u324?c\u243?w mieszka\u324? socjalnych i komunalnych, pisma o przyznanie lokalu i zestawienia lokali. Wi\u281?kszo\u347?\u263? dokument\u243?w stanowi jedynie wzory niezawieraj\u261?ce danych osobowych. Dane zawarte w dokumentach to imiona i nazwiska, adresy, kwoty faktury sporadycznie [w ilo\u347?ci do 10 os\u243?b] - numery PESEL oraz numery kont bankowych. Na no\u347?niku pojawiaj\u261? si\u281? dane osobowe oko\u322?o 250 os\u243?b fizycznych i firm. Dok\u322?adna liczba os\u243?b jest trudna do oszacowania z uwagi na fakt, i\u380? wiele nazwisk znajduj\u261?cych si\u281? w dokumentach jest powtarzanych, a na samym no\u347?niku przeanalizowano ponad ok. 2100 plik\u243?w (...) W toku post\u281?powania niemo\u380?liwy do ustalenia by\u322? fakt, czy do danych znajduj\u261?cych si\u281? na no\u347?niku dost\u281?p mia\u322?a jakakolwiek osoba nieuprawniona. Jednak maj\u261?c na uwadze sytuacj\u281?, w kt\u243?rej osoba trzecia przynosi no\u347?nik zawieraj\u261?cy dane bezpo\u347?rednio do Urz\u281?du na polecenie pracownika, nale\u380?y uzna\u263?, \u380?e taki dost\u281?p by\u322? mo\u380?liwy, co powoduje wysokie ryzyko naruszenia praw i wolno\u347?ci os\u243?b fizycznych w zwi\u261?zku z przetwarzaniem ich danych osobowych. W zwi\u261?zku z zaistnia\u322?\u261? sytuacj\u261? jednoznacznie stwierdzono, \u380?e dosz\u322?o do naruszenia przepis\u243?w o ochronie danych osobowych (...)".
\par 
\par W zwi\u261?zku z przed\u322?o\u380?onymi wyja\u347?nieniami Prezes UODO, dzia\u322?aj\u261?c na podstawie art. 58 ust. 1 lit. a) i e) RODO, zwr\u243?ci\u322? si\u281? do administratora m.in. o:
\par 
\par 1) przekazanie organowi nadzorczemu procedury dotycz\u261?cej u\u380?ytkowania przeno\u347?nych no\u347?nik\u243?w pami\u281?ci, funkcjonuj\u261?cej w Urz\u281?dzie Miasta i Gminy W.,
\par 
\par 2) udzielenia informacji, czy dane zosta\u322?y zgrane przez pracownika na no\u347?nik prywatny, czy s\u322?u\u380?bowy,
\par 
\par 3) udzielenia informacji, czy administrator stosuje szyfrowanie port\u243?w lub inne narz\u281?dzia uniemo\u380?liwiaj\u261?ce przenoszenie danych na nieautoryzowany no\u347?nik pami\u281?ci,
\par 
\par 4) udzielenia informacji, czy administrator przeprowadza\u322? szkolenia personelu w zakresie mo\u380?liwo\u347?ci wyst\u281?powania tego typu narusze\u324? ochrony danych osobowych.
\par 
\par W odpowiedzi na powy\u380?sze wezwanie organu nadzorczego, Burmistrz Miasta i Gminy W. w pi\u347?mie z dnia [...] maja 2022 r. wyja\u347?ni\u322?, \u380?e nie jest w stanie jednoznacznie stwierdzi\u263?, czy dane zosta\u322?y skopiowane przez pracownika na no\u347?nik prywatny, czy te\u380? s\u322?u\u380?bowy, poniewa\u380? "(...) pracownik nie zosta\u322? z\u322?apany w trakcie zgrywania danych. Jednak przy za\u322?o\u380?eniu, \u380?e dane zosta\u322?y zwr\u243?cone na tym samym no\u347?niku, na kt\u243?ry zosta\u322?y zgrane nale\u380?y za\u322?o\u380?y\u263?, \u380?e by\u322? to no\u347?nik prywatny (...)". Ponadto, Burmistrz Miasta i Gminy W. wyja\u347?ni\u322? tak\u380?e, \u380?e do dnia wyst\u261?pienia przedmiotowego naruszenia nie stosowa\u322? szyfrowania port\u243?w i innych narz\u281?dzi uniemo\u380?liwiaj\u261?cych przenoszenie danych na nieautoryzowany no\u347?nik. Skar\u380?\u261?cy administrator o\u347?wiadczy\u322? jednocze\u347?nie, \u380?e rozpocz\u261?\u322? wdra\u380?anie blokady port\u243?w USB wszystkich komputer\u243?w s\u322?u\u380?bowych, a tak\u380?e doda\u322?, \u380?e jest w trakcie poszukiwania odpowiedniego sytemu, kt\u243?ry uniemo\u380?liwi wykonywanie nieautoryzowanych kopii dokument\u243?w znajduj\u261?cych si\u281? na dyskach lokalnych stacji roboczych oraz na dyskach sieciowych. W odpowiedzi na pytanie, czy administrator przeprowadza\u322? szkolenia personelu w zakresie mo\u380?liwo\u347?ci wyst\u281?powania tego typu narusze\u324? ochrony danych osobowych, Burmistrz Miasta i Gminy W. wskaza\u322?, \u380?e przy zatrudnianiu nowych os\u243?b ka\u380?dorazowo przekazuje im do zapoznania dokumentacj\u281? z zakresu ochrony danych osobowych wzbogacon\u261? o szkolenie w formie samokszta\u322?cenia, przepisy prawa, przyk\u322?ady narusze\u324? przepis\u243?w przy przetwarzaniu danych osobowych, czy te\u380? instrukcj\u281? post\u281?powania w przypadku wyst\u261?pienia naruszenia przetwarzania danych osobowych. Ponadto, Burmistrz Miasta i Gminy W. wyja\u347?ni\u322?, \u380?e ka\u380?dy pracownik w dniu rozpocz\u281?cia pracy otrzymuje upowa\u380?nienie do przetwarzania danych osobowych, w ramach kt\u243?rego o\u347?wiadcza, \u380?e "(...) zapozna\u322? si\u281? z przepisami o ochronie danych osobowych oraz wprowadzon\u261? w siedzibie administratora (...)" oraz jednocze\u347?nie zobowi\u261?zuje si\u281? do przestrzegania ww. przepis\u243?w i dokumentacji oraz odpowiedniego zabezpieczenia i przetwarzania danych wraz z zachowaniem tajemnicy i poufno\u347?ci. Ponadto, Burmistrz o\u347?wiadczy\u322?, \u380?e szkolenie dla pracownik\u243?w organizowane by\u322?o w 2018 w trzech turach, za\u347? obecno\u347?\u263? na szkoleniu potwierdzona zosta\u322?a w\u322?asnor\u281?cznymi podpisami pracownik\u243?w. Burmistrz Miasta i Gminy W. do wyja\u347?nie\u324? za\u322?\u261?czy\u322? tak\u380?e "Procedur\u281? u\u380?ytkowania przeno\u347?nych no\u347?nik\u243?w pami\u281?ci".
\par 
\par Nast\u281?pnie, Prezes UODO w pi\u347?mie z dnia [...] maja 2022 r. zwr\u243?ci\u322? si\u281? m.in. o:
\par 
\par 1) udzielenie informacji, czy w szkoleniu uczestniczy\u322?a osoba winna naruszeniu, je\u347?li tak, to wni\u243?s\u322? o przedstawienie listy obecno\u347?ci wraz z planem szkolenia,
\par 
\par 2) wskazanie powod\u243?w, dla kt\u243?rych administrator przeprowadzi\u322? szkolenia dla swoich pracownik\u243?w jedynie w 2018 r.,
\par 
\par 3) przekazanie kserokopii o\u347?wiadczenia pracownika winnego wyst\u261?pienia naruszenia, \u380?e zapozna\u322? si\u281? z przepisami o ochronie danych osobowych oraz "dokumentacj\u261? RODO" wraz ze wskazaniem, czy ww. o\u347?wiadczenie obejmuje tak\u380?e procedur\u281? dotycz\u261?c\u261? u\u380?ytkowania przeno\u347?nych no\u347?nik\u243?w pami\u281?ci,
\par 
\par 4) udzielenie wyja\u347?nie\u324?, czy administrator przeprowadzi\u322? analiz\u281? ryzyka dla procesu przetwarzania danych osobowych obj\u281?tych przedmiotowym naruszeniem zar\u243?wno przed, jak i po jego wyst\u261?pieniu.
\par 
\par W odpowiedzi na powy\u380?sze wezwanie organu nadzorczego strona skar\u380?\u261?ca w pi\u347?mie z dnia [...] wrze\u347?nia 2022 r. wskaza\u322?a, \u380?e nie posiada pisemnego potwierdzenia, \u380?e osoba winna naruszeniu uczestniczy\u322?a w szkoleniu w 2018 r. Ponadto, skar\u380?\u261?cy Burmistrz o\u347?wiadczy\u322?, \u380?e odnalaz\u322? list\u281? obecno\u347?ci ze szkolenia organizowanego w 2018 r. zaznaczaj\u261?c, \u380?e zgodnie z posiadan\u261? wiedz\u261?, nie wszyscy pracownicy uczestnicz\u261?cy w szkoleniu z\u322?o\u380?yli podpis na li\u347?cie (podpisu nie z\u322?o\u380?y\u322?a m.in. osoba winna naruszenia). Strona skar\u380?\u261?ca wyja\u347?ni\u322?a jednocze\u347?nie, \u380?e nie przeprowadzi\u322?a analizy ryzyka dla procesu przetwarzania danych obj\u281?tych naruszeniem przed jego wyst\u261?pieniem. Strona skar\u380?\u261?ca wskaza\u322?a, \u380?e po wyst\u261?pieniu spornego naruszenia zosta\u322?a przeprowadzona og\u243?lna analiza ryzyka i ocena skutk\u243?w dla przetwarzania danych obj\u281?tych naruszeniem. W wyja\u347?nieniach skar\u380?\u261?cy Burmistrz zauwa\u380?y\u322? tak\u380?e, \u380?e wdro\u380?enie procedury dotycz\u261?cej u\u380?ytkowania przeno\u347?nych no\u347?nik\u243?w pami\u281?ci w Urz\u281?dzie Miasta i Gminy W. mia\u322?o miejsce [...] maja 2022 r.
\par 
\par W zwi\u261?zku ze z\u322?o\u380?onymi wyja\u347?nieniami, w dniu [...] wrze\u347?nia 2022 r. Prezes UODO wszcz\u261?\u322? z urz\u281?du post\u281?powanie administracyjne w zakresie mo\u380?liwo\u347?ci naruszenia przez Burmistrza Miasta i Gminy W., jako administratora danych, obowi\u261?zk\u243?w wynikaj\u261?cych z przepis\u243?w art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO, w zwi\u261?zku z naruszeniem ochrony danych osobowych, zg\u322?oszonym Prezesowi UODO w dniu [...] maja 2022 r. i zarejestrowanym pod numerem [...].
\par 
\par W odpowiedzi na wszcz\u281?cie post\u281?powania administracyjnego, w pi\u347?mie z dnia [...] wrze\u347?nia 2022 r. skar\u380?\u261?cy administrator podni\u243?s\u322?, \u380?e "(...) odnosz\u261?c si\u281? do dotychczas prowadzonego post\u281?powania Burmistrz Miasta i Gminy W. jako administrator danych pragnie wykaza\u263?, \u380?e przez ca\u322?y okres post\u281?powania wykazywa\u322? si\u281? dobr\u261? wol\u261? i ch\u281?ci\u261? wsp\u243?\u322?pracy w ramach naruszenia z Prezesem Urz\u281?du Ochrony Danych (...) Niezale\u380?nie od przekazanych dotychczas informacji odnosz\u261?cych si\u281? do zastosowanych \u347?rodk\u243?w maj\u261?cych na celu wyeliminowanie podobnych nieprawid\u322?owo\u347?ci w przysz\u322?o\u347?ci, administrator podj\u261?\u322? dodatkowe dzia\u322?ania maj\u261?ce na celu przeszkolenie wszystkich os\u243?b upowa\u380?nionych na terenie Urz\u281?du Miasta i Gminy W.. Szkolenia odb\u281?d\u261? si\u281? w dw\u243?ch terminach w pa\u378?dzierniku (...) W zwi\u261?zku z tym administrator pragnie wyrazi\u263? swoj\u261? gotowo\u347?\u263? do dalszego czynnego udzia\u322?u w tocz\u261?cym si\u281? post\u281?powaniu, wyrazi\u263? swoj\u261? skruch\u281? oraz jednocze\u347?nie prosi\u263?, aby Prezes Urz\u281?du Ochrony Danych wzi\u261?\u322? pod uwag\u281? okoliczno\u347?ci \u322?agodz\u261?ce przy wydawaniu decyzji w przedmiotowym post\u281?powaniu".
\par 
\par W dniu [...] stycznia 2023 r. skar\u380?\u261?cy Burmistrz przes\u322?a\u322? do organu nadzorczego dokument "Ocena skutk\u243?w oraz analiza zagro\u380?e\u324? przy przetwarzaniu danych obj\u281?tych naruszeniem", kt\u243?ry zosta\u322? wprowadzony w Urz\u281?dzie Miasta i Gminy W. w dniu [...] czerwca 2022 r.
\par 
\par W wyniku analizy zgromadzonego materia\u322?u dowodowego, Prezes UODO - dzia\u322?aj\u261?c na podstawie art. 104 \u167? 1 k.p.a. oraz art. 7 ust. 1, art. 60, art. 102 ust. 1 pkt 1 i ust. 3 oraz art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, a tak\u380?e art. 57 ust. 1 lit. a i lit. h, art. 58 ust. 2 lit. i, art. 83 ust. 1 \u8211? 3 i ust. 4 lit. a w zwi\u261?zku z art. 24 ust. 1, art. 25 ust. 1 i art. 32 ust. 1 i 2 oraz art. 83 ust. 5 lit. a w zwi\u261?zku z art. 5 ust 1 lit. f i art. 5 ust. 2 RODO - stwierdzi\u322? naruszenie przez Burmistrza Miasta i Gminy W. przepis\u243?w art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO, polegaj\u261?ce na niezastosowaniu przez Burmistrza Miasta i Gminy W. odpowiednich \u347?rodk\u243?w organizacyjnych zapewniaj\u261?cych stopie\u324? bezpiecze\u324?stwa odpowiadaj\u261?cy ryzyku przetwarzania danych, co skutkowa\u322?o nieuprawnionym wykonaniem kopii danych osobowych z komputera s\u322?u\u380?bowego na przeno\u347?ny no\u347?nik pami\u281?ci przez pracownika Urz\u281?du Miasta i Gminy W. i na\u322?o\u380?y\u322? na Burmistrza Miasta i Gminy W. naruszenie przepis\u243?w art. 5 ust 1 lit. f, art. 5 ust. 2, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO administracyjn\u261? kar\u281? pieni\u281?\u380?n\u261? w kwocie 10 000 z\u322?otych.
\par 
\par W uzasadnieniu decyzji Prezes UODO zauwa\u380?y\u322? na wst\u281?pie, \u380?e art. 5 RODO formu\u322?uje zasady dotycz\u261?ce przetwarzania danych osobowych, kt\u243?re musz\u261? by\u263? respektowane przez wszystkich administrator\u243?w, tj. podmioty, kt\u243?re samodzielnie lub wsp\u243?lnie z innymi ustalaj\u261? cele i sposoby przetwarzania danych osobowych.
\par 
\par Organ nadzorczy wskaza\u322?, \u380?e zgodnie z art. 5 ust. 1 lit. f) RODO, dane osobowe musz\u261? by\u263? przetwarzane w spos\u243?b zapewniaj\u261?cy odpowiednie bezpiecze\u324?stwo danych osobowych, w tym ochron\u281? przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkow\u261? utrat\u261?, zniszczeniem lub uszkodzeniem, za pomoc\u261? odpowiednich \u347?rodk\u243?w technicznych lub organizacyjnych ("poufno\u347?\u263? i integralno\u347?\u263?").
\par 
\par Powo\u322?uj\u261?c si\u281? z kolei na art. 5 ust. 2 RODO, organ nadzorczy podni\u243?s\u322?, \u380?e administrator jest odpowiedzialny za przestrzeganie przepis\u243?w ust. 1 i musi by\u263? w stanie wykaza\u263? ich przestrzeganie ("rozliczalno\u347?\u263?").
\par 
\par Ponadto, organ nadzorczy zauwa\u380?y\u322?, \u380?e konkretyzacj\u281? zasady poufno\u347?ci, o kt\u243?rej mowa w art. 5 ust. 1 lit. f) RODO, stanowi\u261? dalsze przepisy tego aktu prawnego.
\par 
\par Prezes UODO wskaza\u322?, \u380?e zgodnie z art. 24 ust. 1 RODO, uwzgl\u281?dniaj\u261?c charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych o r\u243?\u380?nym prawdopodobie\u324?stwie i wadze, administrator wdra\u380?a odpowiednie \u347?rodki techniczne i organizacyjne, aby przetwarzanie odbywa\u322?o si\u281? zgodnie z niniejszym rozporz\u261?dzeniem i aby m\u243?c to wykaza\u263?. \u346?rodki te s\u261? w razie potrzeby poddawane przegl\u261?dom i uaktualniane.
\par 
\par Powo\u322?uj\u261?c si\u281? na art. 25 ust. 1 RODO, Prezes UODO podni\u243?s\u322?, \u380?e uwzgl\u281?dniaj\u261?c stan wiedzy technicznej, koszt wdra\u380?ania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych o r\u243?\u380?nym prawdopodobie\u324?stwie wyst\u261?pienia i wadze wynikaj\u261?ce z przetwarzania, administrator - zar\u243?wno przy okre\u347?laniu sposob\u243?w przetwarzania, jak i w czasie samego przetwarzania - wdra\u380?a odpowiednie \u347?rodki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezb\u281?dnych zabezpiecze\u324?, tak by spe\u322?ni\u263? wymogi niniejszego rozporz\u261?dzenia oraz chroni\u263? prawa os\u243?b, kt\u243?rych dane dotycz\u261?.
\par 
\par Z kolei przywo\u322?uj\u261?c tre\u347?\u263? art. 32 ust. 1 RODO, organ nadzorczy stwierdzi\u322?, \u380?e administrator jest zobowi\u261?zany do zastosowania \u347?rodk\u243?w technicznych i organizacyjnych odpowiadaj\u261?cych ryzyku naruszenia praw i wolno\u347?ci os\u243?b fizycznych o r\u243?\u380?nym prawdopodobie\u324?stwie wyst\u261?pienia i wadze zagro\u380?enia. Organ nadzorczy zauwa\u380?y\u322?, \u380?e przepis ten precyzuje, i\u380? decyduj\u261?c o \u347?rodkach technicznych i organizacyjnych nale\u380?y wzi\u261?\u263? pod uwag\u281? stan wiedzy technicznej, koszt wdra\u380?ania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych o r\u243?\u380?nym prawdopodobie\u324?stwie wyst\u261?pienia i wadze. Prezes UODO wskaza\u322?, \u380?e z przytoczonego przepisu wynika, \u380?e ustalenie odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejno\u347?ci istotnym jest okre\u347?lenie poziomu ryzyka, jakie wi\u261?\u380?e si\u281? z przetwarzaniem danych osobowych uwzgl\u281?dniaj\u261?c przy tym kryteria wskazane w art. 32 ust. 1 RODO, a nast\u281?pnie nale\u380?y ustali\u263?, jakie \u347?rodki techniczne i organizacyjne b\u281?d\u261? odpowiednie, aby zapewni\u263? stopie\u324? bezpiecze\u324?stwa odpowiadaj\u261?cy temu ryzyku.
\par 
\par Ponadto, organ nadzorczy zauwa\u380?y\u322?, \u380?e w \u347?wietle art. 32 ust. 2 RODO, administrator oceniaj\u261?c, czy stopie\u324? bezpiecze\u324?stwa jest odpowiedni, uwzgl\u281?dnia w szczeg\u243?lno\u347?ci ryzyko wi\u261?\u380?\u261?ce si\u281? z przetwarzaniem, w szczeg\u243?lno\u347?ci wynikaj\u261?ce z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dost\u281?pu do danych osobowych przesy\u322?anych, przechowywanych lub w inny spos\u243?b przetwarzanych.
\par 
\par Organ nadzorczy podni\u243?s\u322? jednocze\u347?nie, \u380?e art. 24 ust. 1 RODO wskazuje, \u380?e charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych o r\u243?\u380?nym prawdopodobie\u324?stwie i wadze s\u261? czynnikami, kt\u243?re administrator ma obowi\u261?zek uwzgl\u281?dnia\u263? w procesie budowania systemu ochrony danych, r\u243?wnie\u380? w szczeg\u243?lno\u347?ci z punktu widzenia pozosta\u322?ych obowi\u261?zk\u243?w wskazanych w art. 25 ust. 1, art. 32 ust. 1 czy art. 32 ust. 2 rozporz\u261?dzenia 2016/679. Prezes UODO stwierdzi\u322?, \u380?e wskazane przepisy RODO uszczeg\u243?\u322?awiaj\u261? zasad\u281? poufno\u347?ci okre\u347?lon\u261? w art. 5 ust. 1 lit. f cyt. rozporz\u261?dzenia 2016/679, a przestrzeganie tej zasady jest konieczne dla prawid\u322?owej realizacji zasady rozliczalno\u347?ci wynikaj\u261?cej z art. 5 ust. 2 RODO.
\par 
\par Organ nadzorczy podkre\u347?li\u322?, \u380?e administrator dla prawid\u322?owej realizacji obowi\u261?zk\u243?w wynikaj\u261?cych z wy\u380?ej przywo\u322?anych przepis\u243?w RODO powinien w pierwszej kolejno\u347?ci przeprowadzi\u263? analiz\u281? ryzyka i na jej podstawie okre\u347?li\u263? i wdro\u380?y\u263? adekwatne \u347?rodki zapewniaj\u261?ce bezpiecze\u324?stwo w procesie przetwarzania danych osobowych.
\par 
\par Prezes UODO uzna\u322?, \u380?e w przypadku, gdy administrator przewidzia\u322? mo\u380?liwo\u347?\u263? u\u380?ywania przeno\u347?nych no\u347?nik\u243?w pami\u281?ci (np. pami\u281?ci USB), przedmiotowa analiza powinna wskazywa\u263? na ewentualne ryzyka wynikaj\u261?ce z mo\u380?liwo\u347?ci ich nieprawid\u322?owego u\u380?ycia, kt\u243?re mog\u322?o skutkowa\u263? nieuprawnionym skopiowaniem przez pracownika danych zapisanych na komputerze s\u322?u\u380?bowym na przeno\u347?ny no\u347?nik pami\u281?ci. W konsekwencji, organ nadzorczy wskaza\u322?, \u380?e przedmiotowa analiza powinna przewidywa\u263? w\u322?a\u347?ciwe \u347?rodki bezpiecze\u324?stwa w celu minimalizacji ryzyka wyst\u261?pienia naruszenia ochrony danych osobowych.
\par 
\par Prezes UODO zauwa\u380?y\u322?, \u380?e w realiach niniejszej sprawy uzna\u263? nale\u380?y, \u380?e skar\u380?\u261?cy Burmistrz, jako administrator danych, dopuszczaj\u261?c mo\u380?liwo\u347?\u263? u\u380?ywania przeno\u347?nych no\u347?nik\u243?w pami\u281?ci (np. pami\u281?ci USB), w szczeg\u243?lno\u347?ci je\u380?eli te no\u347?niki s\u261? w\u322?asno\u347?ci\u261? prywatn\u261?, w oparciu o w\u322?a\u347?ciwie przeprowadzon\u261? analiz\u281? ryzyka, winien zidentyfikowa\u263? zagro\u380?enia dla przetwarzanych danych osobowych z wykorzystaniem tego rodzaju sprz\u281?tu komputerowego, a nast\u281?pnie okre\u347?li\u263? oraz wdro\u380?y\u263? odpowiednie \u347?rodki techniczne i organizacyjne w celu zapewnienia bezpiecze\u324?stwa tych danych, a tak\u380?e regularnie sprawdza\u263? skuteczno\u347?\u263? tych \u347?rodk\u243?w, stosownie do wymog\u243?w wynikaj\u261?cych z art. 32 ust. 1 i 2 RODO. Ponadto, organ nadzorczy podni\u243?s\u322?, \u380?e obowi\u261?zek wdro\u380?enia odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych w celu nadania przetwarzaniu niezb\u281?dnych zabezpiecze\u324? z uwagi na przyj\u281?ty spos\u243?b przetwarzania danych osobowych wynika m.in. wprost z art. 25 ust. 1 RODO, kt\u243?ry to przepis nakazuje administratorowi danych uwzgl\u281?dnienie ochrony danych w szczeg\u243?lno\u347?ci w fazie projektowania, co oznacza, \u380?e skar\u380?\u261?cy Burmistrz, daj\u261?c mo\u380?liwo\u347?\u263? u\u380?ywania przeno\u347?nych no\u347?nik\u243?w pami\u281?ci (np. pami\u281?ci USB), powinien ju\u380? na tym etapie okre\u347?li\u263? (i wdro\u380?y\u263?) skuteczne \u347?rodki bezpiecze\u324?stwa.
\par 
\par Tymczasem, jak zauwa\u380?y\u322? organ nadzorczy, ze zgromadzonego materia\u322?u dowodowego wynika, \u380?e skar\u380?\u261?cy administrator nie przeprowadzi\u322? analizy ryzyka dla procesu przetwarzania danych obj\u281?tych naruszeniem przed wyst\u261?pieniem przedmiotowego naruszenia ochrony danych osobowych.
\par 
\par Organ nadzorczy podkre\u347?li\u322?, \u380?e zarz\u261?dzanie ryzykiem (przeprowadzenie analizy ryzyka i na tej podstawie wdro\u380?enie odpowiednich zabezpiecze\u324?) jest jednym z podstawowych element\u243?w systemu ochrony danych osobowych i ma charakter ci\u261?g\u322?ego procesu. W tej sytuacji, zdaniem organu nadzorczego, administrator winien w spos\u243?b okresowy weryfikowa\u263? zar\u243?wno adekwatno\u347?\u263?, jak i skuteczno\u347?\u263? zastosowanych zabezpiecze\u324?, stosownie do wymogu przewidzianego w art. 32 ust. 1 lit. d RODO. Prezes UODO wskaza\u322?, \u380?e administrator danych powinien zatem regularnie testowa\u263?, mierzy\u263? i ocenia\u263? skuteczno\u347?\u263? \u347?rodk\u243?w technicznych i organizacyjnych, maj\u261?cych zapewni\u263? bezpiecze\u324?stwo przetwarzania.
\par 
\par Prezes UODO uzna\u322?, \u380?e w przedmiotowej sprawie - wobec nieprzeprowadzenia przed wyst\u261?pieniem naruszenia ochrony danych osobowych analizy ryzyka dla operacji przetwarzania danych osobowych w zwi\u261?zku z wykorzystywaniem przez pracownik\u243?w Urz\u281?du Miasta i Gminy W. sprz\u281?tu komputerowego umo\u380?liwiaj\u261?cego pod\u322?\u261?czenie przeno\u347?nych no\u347?nik\u243?w danych (w szczeg\u243?lno\u347?ci pami\u281?ci USB), w tym prywatnych przeno\u347?nych no\u347?nik\u243?w danych, kt\u243?ra uwzgl\u281?dnia\u322?aby zagro\u380?enia zwi\u261?zane z nieuprawnionym skopiowaniem przez pracownika z komputera s\u322?u\u380?bowego na ten rodzaj no\u347?nika danych plik\u243?w zawieraj\u261?cych dane osobowe Burmistrz, jako administrator, nie monitorowa\u322? zar\u243?wno adekwatno\u347?ci, jak i skuteczno\u347?ci zastosowanych zabezpiecze\u324?, wbrew nie tylko obowi\u261?zkom wynikaj\u261?cym z art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO, ale tak\u380?e wbrew obowi\u261?zkom wynikaj\u261?cym z zasady rozliczalno\u347?ci, o kt\u243?rej mowa w art. 5 ust. 2 RODO.
\par 
\par Organ nadzorczy zauwa\u380?y\u322?, \u380?e w orzecznictwie podkre\u347?la si\u281?, \u380?e wprawdzie RODO nie przes\u261?dza o tym, jak administrator powinien realizowa\u263? obowi\u261?zki wynikaj\u261?ce z zasady rozliczalno\u347?ci zawartej w art. 5 ust. 2 tego rozporz\u261?dzenia, niemniej jednak wskazuje na konieczno\u347?\u263? rozliczania si\u281? z przestrzegania przepis\u243?w, raportowania ich realizacji oraz przedstawiania dowod\u243?w \u347?wiadcz\u261?cych o prawid\u322?owym wykonywaniu obowi\u261?zk\u243?w. W tej sytuacji, jak podni\u243?s\u322? organ nadzorczy, w judykaturze wskazuje si\u281?, \u380?e zasada rozliczalno\u347?ci zobowi\u261?zuje administrator\u243?w do demonstrowania podj\u281?cia wszelkich \u347?rodk\u243?w maj\u261?cych na celu zapewnienie zgodno\u347?ci z obowi\u261?zkiem ochrony danych osobowych. W \u347?wietle wspomnianej zasady, to administrator, a nie organ nadzorczy zajmuj\u261?cy si\u281? ochron\u261? danych osobowych, odpowiada za opracowanie, aktualizowanie i utrzymywanie wszystkich procedur oraz dokument\u243?w zwi\u261?zanych z ochron\u261? danych osobowych, a tak\u380?e za stworzenie mo\u380?liwo\u347?ci dowodowych wykazuj\u261?cych zgodno\u347?\u263? przetwarzania z przepisami (por. m.in. wyrok WSA w Warszawie z dnia 1 lutego 2022 r., sygn. II SA/Wa 2106/21, LEX nr 3392761, czy te\u380? wyrok WSA w Warszawie z dnia 10 lutego 2021 r., sygn. akt II SA/Wa 2378/20).
\par 
\par Maj\u261?c powy\u380?sze na wzgl\u281?dzie, Prezes UODO wskaza\u322?, \u380?e z okoliczno\u347?ci sprawy wynika, \u380?e skar\u380?\u261?cy Burmistrz przed wyst\u261?pieniem naruszenia ochrony danych osobowych nie dokona\u322? oceny ryzyka w zakresie mo\u380?liwo\u347?ci naruszenia zasady poufno\u347?ci danych osobowych (art. 5 ust. 1 lit. f RODO), wynikaj\u261?cego z zagro\u380?e\u324? zwi\u261?zanych z dopuszczeniem u\u380?ywania przeno\u347?nych no\u347?nik\u243?w danych przez pracownik\u243?w Urz\u281?du Miasta i Gminy W., w tym zagro\u380?e\u324? dotycz\u261?cych nieuprawnionego wykonania kopii plik\u243?w z komputera s\u322?u\u380?bowego na ten rodzaj no\u347?nika danych.
\par 
\par W konsekwencji, organ nadzorczy uzna\u322?, \u380?e Burmistrz Miasta i Gminy W. nie wykaza\u322? r\u243?wnie\u380? przestrzegania w tym zakresie zasady rozliczalno\u347?ci (art. 5 ust. 2 RODO.
\par 
\par Organ nadzorczy stwierdzi\u322?, \u380?e w toku przeprowadzonego post\u281?powania skar\u380?\u261?cy Burmistrz nie wykaza\u322?, aby komputery s\u322?u\u380?bowe wykorzystywane przez pracownik\u243?w Urz\u281?du Miasta i Gminy W. by\u322?y zabezpieczone przed mo\u380?liwo\u347?ci\u261? nieuprawnionego skopiowania z nich plik\u243?w zawieraj\u261?cych dane osobowe z wykorzystaniem przeno\u347?nych no\u347?nik\u243?w pami\u281?ci takich, jak np. pami\u281?\u263? USB. Organ nadzorczy wskaza\u322?, \u380?e przed wyst\u261?pieniem naruszenia strona skar\u380?\u261?ca nie stosowa\u322?a zabezpieczenia port\u243?w i innych narz\u281?dzi uniemo\u380?liwiaj\u261?cych przenoszenie danych na nieautoryzowany no\u347?nik danych.
\par 
\par W konsekwencji, Prezes UODO uzna\u322?, \u380?e skar\u380?\u261?cy administrator nie jest w stanie definitywnie stwierdzi\u263?, czy dane z komputera s\u322?u\u380?bowego znajduj\u261?cego si\u281? w jego siedzibie zosta\u322?y skopiowane na przeno\u347?ny no\u347?nik danych, kt\u243?ry by\u322? jego w\u322?asno\u347?ci\u261?, czy te\u380? no\u347?nik ten by\u322? w\u322?asno\u347?ci\u261? pracownika.
\par 
\par Organ nadzorczy uzna\u322?, \u380?e z uwagi na fakt nieprzeprowadzenia przez administratora analizy ryzyka przed wyst\u261?pieniem naruszenia ochrony danych osobowych, skar\u380?\u261?cy Burmistrz nie jest w stanie wykaza\u263?, czy przyj\u281?te rozwi\u261?zania rzeczywi\u347?cie zapewnia\u322?y odpowiednie bezpiecze\u324?stwo w przypadku przetwarzania danych osobowych w zwi\u261?zku z korzystaniem przez pracownik\u243?w Urz\u281?du Miasta i Gminy W. z przeno\u347?nych no\u347?nik\u243?w danych. Tymczasem, jak zauwa\u380?y\u322? organ nadzorczy, dob\u243?r tych \u347?rodk\u243?w powinien nast\u261?pi\u263? w wyniku prawid\u322?owo przeprowadzonej analizy ryzyka dla operacji przetwarzania danych osobowych, czego jednak skar\u380?\u261?cy administrator przed wyst\u261?pieniem naruszenia ochrony danych osobowych nie uczyni\u322?.
\par 
\par Prezes UODO stwierdzi\u322? zatem, \u380?e efektem wykazanego powy\u380?ej braku dzia\u322?ania Burmistrza Miasta i Gminy W. w tym zakresie by\u322?a materializacja zagro\u380?enia w postaci wykonania nieuprawnionej kopii dokument\u243?w zawieraj\u261?cych dane osobowe z komputera znajduj\u261?cego si\u281? w siedzibie administratora na przeno\u347?ny no\u347?nik danych (pami\u281?\u263? USB), nad kt\u243?rym skar\u380?\u261?cy administrator nie mia\u322? kontroli, co skutkowa\u322?o naruszeniem poufno\u347?ci danych osobowych przetwarzanych przez Burmistrza.
\par 
\par Organ nadzorczy podni\u243?s\u322?, \u380?e dopiero po stwierdzeniu naruszenia ochrony danych osobowych skar\u380?\u261?cy Burmistrz podj\u261?\u322? adekwatne dzia\u322?ania maj\u261?ce na celu unikni\u281?cie naruszenia ochrony danych osobowych w przysz\u322?o\u347?ci, kt\u243?rego mo\u380?liwo\u347?\u263? wyst\u261?pienia zwi\u261?zana jest z wykorzystywaniem przeno\u347?nych no\u347?nik\u243?w danych.
\par 
\par Organ nadzorczy zauwa\u380?y\u322?, \u380?e dopiero po zdarzeniu skar\u380?\u261?cy administrator przeprowadzi\u322? analiz\u281? ryzyka uwzgl\u281?dniaj\u261?c\u261? proces przetwarzania danych osobowych z wykorzystaniem m.in. przeno\u347?nych no\u347?nik\u243?w pami\u281?ci, a tak\u380?e podj\u261?\u322? dzia\u322?ania maj\u261?ce na celu wprowadzenie odpowiednich zabezpiecze\u324? w procesie przetwarzania danych osobowych maj\u261?cych na celu zwi\u281?kszenie poziomu bezpiecze\u324?stwa. Prezes UODO wskaza\u322? m.in., \u380?e strona skar\u380?\u261?ca przed\u322?o\u380?y\u322?a "Harmonogram prac niezb\u281?dnych w zwi\u261?zku z naruszeniem z dnia [...] maja 2022 r. w Urz\u281?dzie Miasta i Gminy W.", z kt\u243?rego wynika, i\u380? Burmistrz m.in. zaplanowa\u322? wprowadzenie \u347?rodk\u243?w uniemo\u380?liwiaj\u261?cych wykonywanie nieautoryzowanych kopii dokument\u243?w znajduj\u261?cych si\u281? na dyskach sieciowych i lokalnych stacjach roboczych. Ponadto, organ nadzorczy zauwa\u380?y\u322?, \u380?e strona skar\u380?\u261?ca wprowadzi\u322?a tak\u380?e blokad\u281? dost\u281?pu w sieci. Jednocze\u347?nie, organ nadzorczy podni\u243?s\u322?, \u380?e skar\u380?\u261?cy administrator w dniu [...] maja 2022 r. wprowadzi\u322? "Procedur\u281? u\u380?ytkowania przeno\u347?nych no\u347?nik\u243?w pami\u281?ci".
\par 
\par Organ nadzorczy uzna\u322? jednak, \u380?e z uwagi na fakt, i\u380? skar\u380?\u261?cy administrator podj\u261?\u322? wspomniane wy\u380?ej dzia\u322?ania dostosowuj\u261?ce operacje przetwarzania danych osobowych do przepis\u243?w RODO w celu zapewnienia odpowiedniego bezpiecze\u324?stwa przetwarzanych danych osobowych dopiero po wyst\u261?pieniu naruszenia ochrony danych osobowych, stwierdzi\u263? nale\u380?y, \u380?e nie zwalnia go to jednak z odpowiedzialno\u347?ci za naruszenie przepis\u243?w RODO wskazanych w decyzji.
\par 
\par W tej sytuacji, Prezes UODO stwierdzi\u322?, \u380?e wobec braku zastosowania przez skar\u380?\u261?cego administratora adekwatnych \u347?rodk\u243?w technicznych maj\u261?cych na celu zminimalizowanie ryzyka naruszenia bezpiecze\u324?stwa danych przetwarzanych z wykorzystaniem przeno\u347?nych no\u347?nik\u243?w danych (np. pami\u281?ci USB), w szczeg\u243?lno\u347?ci je\u380?eli no\u347?nik ten by\u322? w\u322?asno\u347?ci\u261? pracownika, stwierdzi\u263? nale\u380?y, \u380?e przed wyst\u261?pieniem naruszenia ochrony danych osobowych Burmistrz nie zapewni\u322? odpowiedniego poziomu zabezpieczenia danych przetwarzanych przy ich u\u380?yciu. Organ nadzorczy wskaza\u322?, \u380?e niewdro\u380?enie przez stron\u281? skar\u380?\u261?c\u261? odpowiednich \u347?rodk\u243?w technicznych w czasie przetwarzania danych osobowych, aby przetwarzanie to odbywa\u322?o si\u281? zgodnie z RODO, do czego Burmistrz by\u322? zobowi\u261?zany zgodnie z art. 24 ust. 1 i 25 ust. 1 RODO, jak r\u243?wnie\u380? niezastosowanie \u347?rodk\u243?w technicznych zapewniaj\u261?cych stopie\u324? bezpiecze\u324?stwa odpowiadaj\u261?cy ryzyku naruszenia praw lub wolno\u347?ci os\u243?b fizycznych poprzez zapewnienie zdolno\u347?ci do ci\u261?g\u322?ego zapewnienia poufno\u347?ci, integralno\u347?ci, dost\u281?pno\u347?ci i odporno\u347?ci system\u243?w i us\u322?ug przetwarzania, do czego zobowi\u261?zuje administratora danych art. 32 ust. 1 lit. b RODO, a tak\u380?e nieuwzgl\u281?dnienie ryzyka wi\u261?\u380?\u261?cego si\u281? z przetwarzaniem danych osobowych, o kt\u243?rym mowa w art. 32 ust. 2 RODO, dosz\u322?o w konsekwencji do naruszenia zasady poufno\u347?ci wyra\u380?onej w art. 5 ust. 1 lit. f RODO, kt\u243?rej ww. przepisy s\u261? uszczeg\u243?\u322?owieniem. Jednocze\u347?nie, organ nadzorczy uzna\u322?, \u380?e nast\u281?pstwem naruszenia przez skar\u380?\u261?cego administratora zasady poufno\u347?ci jest naruszenie zasady rozliczalno\u347?ci, o kt\u243?rej mowa w art. 5 ust. 2 RODO.
\par 
\par Maj\u261?c na uwadze ustalenia stanu faktycznego, Prezes Urz\u281?du Ochrony Danych Osobowych, korzystaj\u261?c z przys\u322?uguj\u261?cego mu uprawnienia okre\u347?lonego w przepisie art. 58 ust. 2 lit. i RODO, stwierdzi\u322?, \u380?e w rozpatrywanej sprawie zaistnia\u322?y przes\u322?anki uzasadniaj\u261?ce na\u322?o\u380?enie na Burmistrza Miasta i Gminy W. administracyjnej kary pieni\u281?\u380?nej na mocy art. 83 RODO.
\par 
\par Organ nadzorczy zauwa\u380?y\u322?, \u380?e w niniejszej sprawie administracyjna kara pieni\u281?\u380?na wobec Burmistrza na\u322?o\u380?ona zosta\u322?a za naruszenie art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO na podstawie art. 83 ust. 4 lit. a cyt. rozporz\u261?dzenia 2016/679, natomiast za naruszenie art. 5 ust. 1 lit. f i art. 5 ust. 2 RODO - na podstawie art. 83 ust. 5 lit. a tego rozporz\u261?dzenia.
\par 
\par Jednocze\u347?nie, Prezes UODO wskaza\u322?, \u380?e kara na\u322?o\u380?ona na Burmistrza \u322?\u261?cznie za naruszenie wszystkich powy\u380?szych przepis\u243?w - stosownie do przepisu art. 83 ust. 3 cyt. rozporz\u261?dzenia - nie przekracza wysoko\u347?ci kary za najpowa\u380?niejsze stwierdzone w niniejszej sprawie naruszenie, tj. naruszenie art. 5 ust. 1 lit. f i art. 5 ust. 2 RODO, kt\u243?re stosownie do art. 83 ust. 5 lit. a cyt. rozporz\u261?dzenia podlega administracyjnej karze pieni\u281?\u380?nej w wysoko\u347?ci do 20 000 000 EUR, a w przypadku przedsi\u281?biorstwa - w wysoko\u347?ci do 4% jego ca\u322?kowitego rocznego \u347?wiatowego obrotu z poprzedniego roku obrotowego.
\par 
\par Prezes UODO zauwa\u380?y\u322?, \u380?e decyduj\u261?c o na\u322?o\u380?eniu administracyjnej kary pieni\u281?\u380?nej - stosownie do tre\u347?ci art. 83 ust. 2 lit. a - k RODO - wzi\u261?\u322? pod uwag\u281? nast\u281?puj\u261?ce okoliczno\u347?ci sprawy, stanowi\u261?ce o konieczno\u347?ci zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wp\u322?ywaj\u261?ce obci\u261?\u380?aj\u261?ce na wymiar na\u322?o\u380?onej administracyjnej kary pieni\u281?\u380?nej:
\par 
\par 1) Charakter, wag\u281? i czas trwania naruszenia przy uwzgl\u281?dnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych os\u243?b, kt\u243?rych dane dotycz\u261?, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a RODO).
\par 
\par W zakresie tej przes\u322?anki, organ nadzorczy podni\u243?s\u322?, \u380?e stwierdzone w niniejszej sprawie naruszenie przepis\u243?w ochrony danych osobowych, kt\u243?rego skutkiem by\u322?a mo\u380?liwo\u347?\u263? uzyskania nieuprawnionego dost\u281?pu do przetwarzanych przez Burmistrza danych przez osob\u281? b\u261?d\u378? osoby nieuprawnione, a w konsekwencji mo\u380?liwo\u347?\u263? pozyskania danych osobowych os\u243?b, kt\u243?re by\u322?y zawarte dokumentach (zwi\u261?zanych z realizacj\u261? zada\u324? administracji publicznej) bezpodstawnie skopiowanych przez pracownika na przeno\u347?ny no\u347?nik pami\u281?ci, ma znaczn\u261? wag\u281? i powa\u380?ny charakter, stwarza bowiem wysokie ryzyko negatywnych skutk\u243?w prawnych dla dok\u322?adnie nieustalonej, potencjalnie du\u380?ej liczby os\u243?b (administrator wskaza\u322?, \u380?e naruszenie dotyczy\u322?o ok. 250 os\u243?b), do kt\u243?rych danych dost\u281?p mog\u322?a mie\u263? osoba b\u261?d\u378? osoby nieuprawnione.
\par 
\par 2) Nieumy\u347?lny charakter naruszenia (art. 83 ust. 2 lit. b RODO).
\par 
\par W tym elemencie oceny, organ nadzorczy uzna\u322?, \u380?e skar\u380?\u261?cy administrator by\u322? \u347?wiadomy, \u380?e w przypadku dopuszczenia przetwarzania danych osobowych z wykorzystaniem sprz\u281?tu komputerowego umo\u380?liwiaj\u261?cego pod\u322?\u261?czenie przeno\u347?nych no\u347?nik\u243?w danych (w szczeg\u243?lno\u347?ci pami\u281?ci USB), w tym prywatnych przeno\u347?nych no\u347?nik\u243?w danych, powinien przetwarza\u263? dane osobowe, w taki spos\u243?b, aby zapewni\u263? im odpowiednie bezpiecze\u324?stwo, w tym ochron\u281? przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, za pomoc\u261? odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych, a wiec w taki spos\u243?b, aby zapewni\u263? przestrzeganie zasady "integralno\u347?ci i poufno\u347?ci" wyra\u380?onej w art. 5 ust. 1 lit. f RODO. Prezes UODO stwierdzi\u322?, \u380?e Burmistrz m\u243?g\u322? przewidzie\u263?, \u380?e przyj\u281?te rozwi\u261?zania nie zapewni\u261? odpowiedniego stopnia bezpiecze\u324?stwa danych osobowych, co b\u281?dzie stanowi\u322?o naruszenie przepis\u243?w ochronie danych osobowych. Tym samym, organ nadzorczy uzna\u322?, \u380?e strona skar\u380?\u261?ca nieumy\u347?lnie naruszy\u322?a przepisy o ochronie danych osobowych - art. 5 ust. 1 li. f w zw. z art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 RODO i w konsekwencji r\u243?wnie\u380? art. 5 ust. 2 cyt. rozporz\u261?dzenia 2016/679. Bior\u261?c pod uwag\u281? dokonane ustalenia, organ nadzorczy stwierdzi\u322?, \u380?e skar\u380?\u261?cy administrator dopu\u347?ci\u322? si\u281? zaniedbania skutkuj\u261?cego wyst\u261?pieniem naruszenia dotycz\u261?cego poufno\u347?ci danych, co stanowi istotn\u261? okoliczno\u347?\u263? wp\u322?ywaj\u261?c\u261? obci\u261?\u380?aj\u261?co na wysoko\u347?\u263? kary administracyjnej.
\par 
\par 3) Kategorie danych osobowych, kt\u243?rych dotyczy\u322?o naruszenie (art. 83 ust. 2 lit. g RODO).
\par 
\par Dokonuj\u261?c analizy tej przes\u322?anki, organ nadzorczy wskaza\u322?, \u380?e dane osobowe znajduj\u261?ce si\u281? na przeno\u347?nym no\u347?niku pami\u281?ci nie nale\u380?a\u322?y wprawdzie do szczeg\u243?lnych kategorii danych osobowych, o kt\u243?rych mowa w art. 9 RODO, jednak\u380?e zauwa\u380?y\u322?, \u380?e ich zakres, tj. nazwiska i imiona, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, nr ewidencyjny PESEL, inne (informacje o rozliczeniach op\u322?at za czynsze, wod\u281?, \u347?cieki, energi\u281? elektryczn\u261?. najem lokali) wi\u261?\u380?e si\u281? z wysokim ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych dotkni\u281?tych naruszeniem.
\par 
\par Ustalaj\u261?c wysoko\u347?\u263? administracyjnej kary pieni\u281?\u380?nej, Prezes UODO uwzgl\u281?dni\u322? ponadto, jako okoliczno\u347?\u263? \u322?agodz\u261?c\u261?, maj\u261?c\u261? wp\u322?yw na obni\u380?enie wysoko\u347?ci wymierzonej kary, dobr\u261? wsp\u243?\u322?prac\u261? skar\u380?\u261?cego administratora z organem nadzorczym, kt\u243?r\u261? strona podj\u281?\u322?a w celu usuni\u281?cia naruszenia oraz z\u322?agodzenia jego ewentualnych negatywnych skutk\u243?w (art. 83 ust. 2 lit. f RODO). W tym miejscu organ nadzorczy wskaza\u322? m.in., \u380?e skar\u380?\u261?cy Burmistrz w pe\u322?nym zakresie zrealizowa\u322? zalecenia Prezesa UODO dotycz\u261?ce uzupe\u322?nienia zawiadomienia os\u243?b, kt\u243?rych dane dotycz\u261?, o zaistnia\u322?ym naruszeniu, a tak\u380?e podj\u261?\u322? r\u243?wnie\u380? konkretne i szybkie dzia\u322?ania, kt\u243?rych efektem by\u322?o usuni\u281?cie mo\u380?liwo\u347?ci ponownego wyst\u261?pienia naruszenia. W szczeg\u243?lno\u347?ci, organ nadzorczy zauwa\u380?y\u322?, \u380?e strona skar\u380?\u261?ca usun\u281?\u322?a podatno\u347?\u263? na naruszenie ochrony przetwarzanych danych osobowych, poprzez wprowadzenie ewidencjonowania przeno\u347?nych pami\u281?ci. Ponadto, organ nadzorczy podni\u243?s\u322?, \u380?e Burmistrz wprowadzi\u322? zakaz korzystania z prywatnych przeno\u347?nych no\u347?nik\u243?w pami\u281?ci przez pracownik\u243?w Urz\u281?du Miasta i Gminy W., a w szczeg\u243?lno\u347?ci zakaz dokonywania czynno\u347?ci polegaj\u261?cych na kopiowaniu, przegrywaniu plik\u243?w, montowaniu, demontowaniu urz\u261?dze\u324?, wgrywaniu, przegrywaniu oprogramowania oraz danych w celu przeniesienia lub skopiowania informacji ze sprz\u281?tu teleinformatycznego pracodawcy na no\u347?niki stanowi\u261?ce w\u322?asno\u347?\u263? u\u380?ytkownik\u243?w.
\par 
\par Ponadto, organ nadzorczy dokona\u322? w uzasadnieniu decyzji szczeg\u243?\u322?owej analizy pozosta\u322?ych wskazanych w art. 83 ust. 2 RODO okoliczno\u347?ci, kt\u243?re jednak - jak uzna\u322? organ nadzorczy - nie mia\u322?y wp\u322?ywu na fakt zastosowania wobec Burmistrza w niniejszej sprawie sankcji w postaci administracyjnej kary pieni\u281?\u380?nej, jak r\u243?wnie\u380? na jej wysoko\u347?\u263?.
\par 
\par W konsekwencji, uwzgl\u281?dniaj\u261?c wszystkie szczeg\u243?\u322?owo om\u243?wione w uzasadnieniu decyzji okoliczno\u347?ci, Prezes Urz\u281?du Ochrony Danych Osobowych uzna\u322?, \u380?e na\u322?o\u380?enie administracyjnej kary pieni\u281?\u380?nej na Burmistrza Miasta i Gminy W. jest konieczne i uzasadnione wag\u261?, charakterem oraz zakresem zarzucanych temu administratorowi narusze\u324?.
\par 
\par Organ nadzorczy stwierdzi\u322?, \u380?e zastosowanie wobec skar\u380?\u261?cego Burmistrza jakiegokolwiek innego \u347?rodka naprawczego przewidzianego w art. 58 ust. 2 RODO, w szczeg\u243?lno\u347?ci za\u347? poprzestanie na upomnieniu (art. 58 ust. 2 lit. b RODO), nie by\u322?oby proporcjonalne do stwierdzonych nieprawid\u322?owo\u347?ci w procesie przetwarzania danych osobowych oraz nie gwarantowa\u322?oby tego, \u380?e skar\u380?\u261?cy administrator w przysz\u322?o\u347?ci nie dopu\u347?ci si\u281? kolejnych zaniedba\u324?.
\par 
\par Uzasadniaj\u261?c wysoko\u347?\u263? wymierzonej stronie skar\u380?\u261?cej administracyjnej kary pieni\u281?\u380?nej, Prezes UODO wskaza\u322?, \u380?e w ustalonych okoliczno\u347?ciach niniejszej sprawy, tj. wobec stwierdzenia naruszenia kilku przepis\u243?w RODO - naruszenia zasady poufno\u347?ci danych, wyra\u380?onej w art. 5 ust. 1 lit. f RODO, a odzwierciedlonej w postaci obowi\u261?zk\u243?w okre\u347?lonych w art. 25 ust. 1, art. 32 ust. 1, art. 32 ust. 2 cyt. rozporz\u261?dzenia 2016/679, a w konsekwencji r\u243?wnie\u380? art. 5 ust. 2 RODO (zasady rozliczalno\u347?ci), a tak\u380?e z uwagi na fakt, i\u380? Burmistrz jest organem jednostki sektora finans\u243?w publicznych - zastosowanie znalaz\u322? przepis art. 102 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, z kt\u243?rego wynika ograniczenie wysoko\u347?ci (do 100.000 z\u322?) administracyjnej kary pieni\u281?\u380?nej, jaka mo\u380?e zosta\u263? na\u322?o\u380?ona na jednostk\u281? sektora finans\u243?w publicznych.
\par 
\par W tej sytuacji, Prezesa UODO uzna\u322?, \u380?e zastosowana administracyjna kara pieni\u281?\u380?na spe\u322?nia w ustalonych okoliczno\u347?ciach niniejszej sprawy funkcje, o kt\u243?rych mowa w art. 83 ust. 1 RODO, a wi\u281?c b\u281?dzie w tym indywidulanym przypadku skuteczna, proporcjonalna i odstraszaj\u261?ca.
\par 
\par Prezes UODO stwierdzi\u322? bowiem, \u380?e na\u322?o\u380?ona na Burmistrza kara b\u281?dzie skuteczna, albowiem doprowadzi do stanu, w kt\u243?rym podmiot ten stosowa\u322? b\u281?dzie takie \u347?rodki techniczne i organizacyjne, kt\u243?re zapewni\u261? przetwarzanym danym stopie\u324? bezpiecze\u324?stwa odpowiadaj\u261?cy ryzyku naruszenia praw i wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261? oraz wadze zagro\u380?e\u324? towarzysz\u261?cym procesom przetwarzania tych danych osobowych. Ponadto, organ nadzorczy uzna\u322?, \u380?e zastosowana administracyjna kara pieni\u281?\u380?na b\u281?dzie r\u243?wnie\u380? proporcjonalna do stwierdzonego naruszenia, w tym zw\u322?aszcza jego wagi, skutku, kr\u281?gu dotkni\u281?tych nim os\u243?b fizycznych oraz wysokiego ryzyka negatywnych konsekwencji, jakie w zwi\u261?zku z naruszeniem mog\u261? ponie\u347?\u263?. Jednocze\u347?nie, Prezes UODO stwierdzi\u322?, \u380?e na\u322?o\u380?ona na stron\u281? skar\u380?\u261?c\u261? administracyjna kara pieni\u281?\u380?na nie b\u281?dzie stanowi\u322?a nadmiernego dla niej obci\u261?\u380?enia, albowiem wysoko\u347?\u263? kary zosta\u322?a okre\u347?lona na takim poziomie, aby z jednej strony stanowi\u322?a adekwatn\u261? reakcj\u281? organu nadzorczego na stopie\u324? naruszenia obowi\u261?zk\u243?w przez skar\u380?\u261?cego Administratora, z drugiej jednak strony nie powodowa\u322?a sytuacji, w kt\u243?rej konieczno\u347?\u263? jej uiszczenia poci\u261?gnie za sob\u261? negatywne nast\u281?pstwa, w postaci istotnego pogorszenia sytuacji finansowej tego podmiotu.
\par 
\par Konkluduj\u261?c, Prezes UODO uzna\u322?, \u380?e administracyjna kara pieni\u281?\u380?na spe\u322?ni w tych konkretnych okoliczno\u347?ciach funkcj\u281? represyjn\u261?, jako \u380?e stanowi\u263? b\u281?dzie odpowied\u378? na naruszenie przez skar\u380?\u261?cego Burmistrza przepis\u243?w RODO, ale r\u243?wnie\u380? prewencyjn\u261?, bowiem przyczyni si\u281? do zapobiegania w przysz\u322?o\u347?ci naruszaniem obowi\u261?zk\u243?w przez administratora wynikaj\u261?cych z przepis\u243?w o ochronie danych osobowych.
\par 
\par Organ nadzorczy stwierdzi\u322?, \u380?e zastosowana kara pieni\u281?\u380?na spe\u322?nia w ustalonych okoliczno\u347?ciach niniejszej sprawy przes\u322?anki, o kt\u243?rych mowa w art. 83 ust. 1 RODO ze wzgl\u281?du na wag\u281? stwierdzonych narusze\u324? w kontek\u347?cie podstawowych wymog\u243?w i zasad cyt. rozporz\u261?dzenia 2016/679, a zw\u322?aszcza zasady poufno\u347?ci wyra\u380?onej w art. 5 ust. 1 lit. f RODO.
\par 
\par W pi\u347?mie z dnia [...] czerwca 2023 r. Burmistrz Miasta i Gminy W., reprezentowany przez adwokata, dzia\u322?aj\u261?c za po\u347?rednictwem organu nadzorczego, wni\u243?s\u322? do Wojew\u243?dzkiego S\u261?du Administracyjnego w Warszawie skarg\u281? na powy\u380?sz\u261? decyzj\u281? Prezesa Urz\u281?du Ochrony Danych Osobowych z dnia [...] maja 2023 r.
\par 
\par Wnosz\u261?c w petitum skargi o uchylenie w ca\u322?o\u347?ci zaskar\u380?onej decyzji Prezesa UODO, a tak\u380?e o zas\u261?dzenie od organu nadzorczego na rzecz strony skar\u380?\u261?cej zwrotu koszt\u243?w post\u281?powania wed\u322?ug norm przepisanych, w tym r\u243?wnie\u380? zwrotu koszt\u243?w zast\u281?pstwa procesowego, skar\u380?\u261?cy Burmistrz zarzuci\u322? organowi nadzorczemu:
\par 
\par 1) naruszenie art. 7 i art. 77 \u167? 1 k.p.a. w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych - poprzez nieprawid\u322?owe ustalenie stanu faktycznego sprawy w post\u281?powaniu wyja\u347?niaj\u261?cym, co skutkowa\u322?o b\u322?\u281?dnym przyj\u281?ciem, \u380?e przed zaistnieniem przedmiotowego incydentu polegaj\u261?cego na nieuprawnionym wykonaniu kopii danych osobowych z komputera s\u322?u\u380?bowego na przeno\u347?ny no\u347?nik pami\u281?ci przez pracownika Urz\u281?du Miasta i Gminy W., Burmistrz Miasta i Gminy W.:
\par 
\par 1.1. nie dope\u322?ni\u322? nale\u380?ycie obowi\u261?zku zabezpieczenia danych osobowych, gdy\u380? nie wdro\u380?y\u322? odpowiednich \u347?rodk\u243?w organizacyjnych i technicznych, w tym celu, aby przetwarzanie danych osobowych na komputerach s\u322?u\u380?bowych i na no\u347?nikach informatycznych odbywa\u322?o si\u281? zgodnie z powszechnie obowi\u261?zuj\u261?cymi przepisami prawa i stan ten utrzymywa\u322? si\u281? od dnia [...] maja 2018 r., podczas gdy skar\u380?\u261?cy administrator znacznie wcze\u347?niej przed zaistnieniem w/w incydentu wdro\u380?y\u322? takie \u347?rodki organizacyjne i analizowa\u322? mo\u380?liwo\u347?\u263? wdro\u380?enia \u347?rodk\u243?w technicznych - organ nadzorczy pomin\u261?\u322?, \u380?e w dacie zaistnienia spornego incydentu w Urz\u281?dzie Miasta i Gminy W. obowi\u261?zywa\u322? Regulamin Ochrony Danych Osobowych z dnia [...] lutego 2020 r., kt\u243?ry poza okre\u347?leniem szeregu fizycznych, technicznych i organizacyjnych zabezpiecze\u324? danych osobowych, wprost zabrania\u322? pracownikom wynoszenia na zewn\u261?trz Urz\u281?du wymiennych elektronicznych no\u347?nik\u243?w informacji z zapisanymi danymi osobowymi bez pisemnej zgody administratora,
\par 
\par 1.2. nie przeprowadzi\u322? przed wyst\u261?pieniem naruszenia danych osobowych analizy ryzyka przetwarzania danych osobowych na no\u347?nikach informatycznych, pomimo tego, \u380?e da\u322? mo\u380?liwo\u347?\u263? takiego przetwarzania danych osobowych, a stosownej analizy ryzyka Burmistrz dokona\u322? dopiero po zaistnieniu spornego incydentu, podczas gdy w rzeczywisto\u347?ci skar\u380?\u261?cy Burmistrz przeprowadzi\u322? tak\u261? analiz\u281? r\u243?wnie\u380? przed zaistnieniem incydentu - analiza zosta\u322?a dokonana w maju 2018 r., co wprost wynika z pkt. 8.2 dokumentu "Raport z audytu bezpiecze\u324?stwa informacji dla Urz\u281?du Miasta i Gminy W." z dnia [...] maja 2018 r.;
\par 
\par 2) naruszenie art. 10 \u167? 1 k.p.a. w zw. z art. 7 ust. 1 u.o.d.o. - poprzez nieprawid\u322?owe zawiadomienie strony skar\u380?\u261?cej o zako\u324?czeniu post\u281?powania wyja\u347?niaj\u261?cego przed wydaniem przedmiotowej decyzji, gdy tymczasem Burmistrz zasadnie oczekiwa\u322? od Prezesa UODO dor\u281?czenia mu stosownego zawiadomienia przed wydaniem zaskar\u380?onej decyzji, co pozwoli\u322?oby mu po zebraniu ca\u322?okszta\u322?tu materia\u322?u dowodowego przez Prezesa UODO z\u322?o\u380?y\u263? wniosek o jego uzupe\u322?nienie w postaci dokumentacji przed\u322?o\u380?onej wraz z niniejsz\u261? skarg\u261?.
\par 
\par Jednocze\u347?nie, powo\u322?uj\u261?c si\u281? na art. 106 \u167? 3 P.p.s.a., strona skar\u380?\u261?ca wnios\u322?a o przeprowadzenie uzupe\u322?niaj\u261?cych dowod\u243?w z za\u322?\u261?czonych do niniejszej skargi dokument\u243?w, tj.:
\par 
\par 1) zarz\u261?dzenia Burmistrza Miasta i Gminy W. Nr [...] z dnia [...] lutego 2020 r. w sprawie wprowadzenia Regulaminu Ochrony Danych Osobowych, za\u322?\u261?cznik\u243?w do Regulaminu, rejestru udost\u281?pnie\u324? oraz rejestru narusze\u324?,
\par 
\par 2) dokumentu "Raport z audytu bezpiecze\u324?stwa dla Urz\u281?du Miasta i Gminy W." z dnia [...] maja 2018 r.
\par 
\par - na okoliczno\u347?\u263? wskazane w tre\u347?ci zarzut\u243?w nr 1.1 i 1.2 petitum skargi oraz jej uzasadnienia.
\par 
\par W uzasadnieniu wniesionej skargi strona skar\u380?\u261?ca zauwa\u380?y\u322?a na wst\u281?pie, \u380?e przede wszystkim nie zgadza si\u281? z ustaleniami organu nadzorczego, jakoby od dnia [...] maja 2018 r., jako administrator danych osobowych, nie wdro\u380?y\u322?a w Urz\u281?dzie Miasta i Gminy W. odpowiednich \u347?rodk\u243?w organizacyjnych i technicznych, w tym celu, aby przetwarzanie danych osobowych na komputerach s\u322?u\u380?bowych i na no\u347?nikach informatycznych odbywa\u322?o si\u281? zgodnie z powszechnie obowi\u261?zuj\u261?cymi przepisami prawa. Strona skar\u380?\u261?ca nie godzi\u322?a si\u281? ponadto z zarzutem, i\u380? nie przeprowadzi\u322?a stosownej analizy ryzyka.
\par 
\par Tymczasem, jak zauwa\u380?y\u322? skar\u380?\u261?cy Burmistrz, obydwie te okoliczno\u347?ci mia\u322?y znaczny wp\u322?yw zar\u243?wno na ustalenie, czy zachodz\u261? podstawy do przypisania stronie skar\u380?\u261?cej odpowiedzialno\u347?ci za zaistnienie incydentu, kt\u243?ry zakwalifikowany zosta\u322? a limine jako wymagaj\u261?cy zg\u322?oszenia i wdro\u380?enia w\u322?a\u347?ciwej procedury - najpierw wewn\u281?trznej, a nast\u281?pnie zewn\u281?trznej w postaci zg\u322?oszenia go Prezesowi UODO. Ponadto, jak wskaza\u322?a strona skar\u380?\u261?ca, ka\u380?da z tych okoliczno\u347?ci mia\u322?a r\u243?wnie\u380? wp\u322?yw na wymiar administracyjnej kary pieni\u281?\u380?nej stosowanej w przypadku stwierdzenia naruszenia, w ramach analizy przes\u322?anek z art. 83 ust. 2 lit. a i b RODO. W konsekwencji, strona skar\u380?\u261?ca uzna\u322?a, \u380?e obydwie wspomniane wy\u380?ej okoliczno\u347?ci, pomimo, i\u380? zosta\u322?y b\u322?\u281?dnie ustalone, by\u322?y podstaw\u261? do wymierzenia stronie skar\u380?\u261?cej kary w znacznej wysoko\u347?ci 10 000 z\u322?.
\par 
\par Strona skar\u380?\u261?ca stwierdzi\u322?a, \u380?e - wbrew zarzutom organu nadzorczego - nie jest tak, \u380?e Burmistrz nie wdro\u380?y\u322? \u347?rodk\u243?w, kt\u243?re mia\u322?y przeciwdzia\u322?a\u263? sytuacjom naruszenia przepis\u243?w o ochronie danych osobowych. Skar\u380?\u261?cy Burmistrz zauwa\u380?y\u322? bowiem, \u380?e bezpo\u347?rednio przed wej\u347?ciem w \u380?ycie RODO zleci\u322? przeprowadzenie w Urz\u281?dzie Miasta i Gminy W. audytu bezpiecze\u324?stwa informacji, kt\u243?rym obj\u281?te by\u322?o r\u243?wnie\u380? przetwarzanie danych osobowych na no\u347?nikach informatycznych. Strona skar\u380?\u261?ca podnios\u322?a, i\u380? audyt ten wykaza\u322?, \u380?e zachodzi potrzeba wzmocnienia ochrony danych osobowych w tym zakresie. Pocz\u261?tkowo, jak wskaza\u322?a strona skar\u380?\u261?ca, analizowane by\u322?o wdro\u380?enie rozwi\u261?za\u324? informatycznych z najdalej id\u261?c\u261? blokad\u261? port\u243?w. Skar\u380?\u261?cy administrator wskaza\u322? jednak, \u380?e w praktyce utrudni\u322?oby to nadmiernie pracownikom wykonywanie obowi\u261?zk\u243?w s\u322?u\u380?bowych. Strona skar\u380?\u261?ca zauwa\u380?y\u322?a, \u380?e testowane by\u322?o r\u243?wnie\u380? wdro\u380?enie oprogramowania informatycznego zapewniaj\u261?cego cz\u281?\u347?ciow\u261? blokad\u281? port\u243?w, jednak i to rozwi\u261?zanie okaza\u322?o si\u281? niepraktyczne. Ostatecznie, jak podnios\u322?a strona skar\u380?\u261?ca, ze wzgl\u281?du na to, \u380?e potrzeba wyniesienia poza Urz\u261?d danych na no\u347?niku informatycznym zachodzi rzadko, Burmistrz zdecydowa\u322? o wdro\u380?eniu najdalej id\u261?cego \u347?rodka ochrony natury organizacyjnej w postaci zakazu wynoszenia danych m. in. na pendrive\u8217?ach poza siedzib\u281? Urz\u281?du bez uprzedniej pisemnej zgody Burmistrza. Wed\u322?ug strony skar\u380?\u261?cej, \u347?rodek ten d\u322?ugo okazywa\u322? si\u281? skuteczny. Niemniej, po zaistnieniu spornego incydentu skar\u380?\u261?cy Burmistrz wskaza\u322?, \u380?e zdecydowa\u322? si\u281? jednak na wprowadzenie zabezpiecze\u324? dalej id\u261?cych, o kt\u243?rych napisa\u322? Prezes UODO w uzasadnieniu zaskar\u380?onej decyzji. Ponadto, strona skar\u380?\u261?ca podnios\u322?a, \u380?e wobec pracownika, kt\u243?ry dopu\u347?ci\u322? si\u281? naruszenia, wyci\u261?gni\u281?to najdalej id\u261?ce konsekwencje pracownicze - zosta\u322?a z nim rozwi\u261?zana umowa o prac\u281? w trybie natychmiastowym.
\par 
\par Maj\u261?c na wzgl\u281?dzie powy\u380?sze, strona skar\u380?\u261?ca podkre\u347?li\u322?a, \u380?e - wbrew ustaleniom organu nadzorczego - wdro\u380?one przez Burmistrza w Urz\u281?dzie Miasta i Gminy W. procedury ochrony danych osobowych zadzia\u322?a\u322?y w prawid\u322?owy spos\u243?b, czego dowodem jest to, i\u380? poza jedynie spornym incydentem, do kt\u243?rego dosz\u322?o z wy\u322?\u261?cznej winy pracownika, nie stwierdzono jakichkolwiek innych narusze\u324?. Strona skar\u380?\u261?ca uzna\u322?a, \u380?e zadzia\u322?a\u322?y zar\u243?wno mechanizmy okre\u347?lone w ust. 9 pkt 1 i pkt 3 lit c Regulaminu Ochrony Danych Osobowych, a nast\u281?pnie procedury okre\u347?lone przepisami powszechnie obowi\u261?zuj\u261?cego prawa.
\par 
\par W tej sytuacji, strona skar\u380?\u261?ca stwierdzi\u322?a, \u380?e podstaw\u261? zar\u243?wno ustalenia odpowiedzialno\u347?ci Burmistrza, jak i wymiaru zastosowanej wobec niego administracyjnej kary pieni\u281?\u380?nej by\u322?o b\u322?\u281?dne przyj\u281?cie przez organ nadzorczy, \u380?e procedury zwi\u261?zane z ochron\u261? danych osobowych przetwarzanych na no\u347?nikach wymiennych w og\u243?le nie zosta\u322?y w Urz\u281?dzie Miasta i Gminy W. wdro\u380?one.
\par 
\par Bior\u261?c pod uwag\u281? wskazane wy\u380?ej okoliczno\u347?ci, strona skar\u380?\u261?ca uzna\u322?a, \u380?e zasadnym wydaje si\u281? zawarty w petitum skargi wniosek o uchylenie zaskar\u380?onej decyzji i przekazanie sprawy Prezesowi UODO do ponownego rozpatrzenia.
\par 
\par Niezale\u380?nie od powy\u380?ej wskazanych narusze\u324?, strona skar\u380?\u261?ca zarzuci\u322?a, \u380?e Prezes UODO dopu\u347?ci\u322? si\u281? r\u243?wnie\u380? naruszenia zasady czynnego udzia\u322?u strony w post\u281?powaniu.
\par 
\par Ot\u243?\u380?, strona skar\u380?\u261?ca zauwa\u380?y\u322?a, \u380?e po dor\u281?czeniu jej zawiadomienia o wszcz\u281?ciu post\u281?powania, nie zosta\u322?a ona zawiadomiona o zako\u324?czeniu post\u281?powania wyja\u347?niaj\u261?cego, co umo\u380?liwi\u322?oby jej zapoznanie si\u281? z ca\u322?ym materia\u322?em, w oparciu o kt\u243?ry wydana mia\u322?a zosta\u263? decyzja. W tej sytuacji, strona skar\u380?\u261?ca uzna\u322?a, \u380?e gdyby art. 10 \u167? 1 k.p.a. zosta\u322? przez Prezesa UODO prawid\u322?owo zastosowany, to strona skar\u380?\u261?ca mog\u322?aby z\u322?o\u380?y\u263? wniosek o przeprowadzenie dowodu z za\u322?\u261?czonych do niniejszej skargi dokument\u243?w jeszcze w post\u281?powaniu administracyjnym. W ocenie strony skar\u380?\u261?cej, mia\u322?a ona uzasadnione podstawy oczekiwa\u263? zawiadomienia o zako\u324?czeniu post\u281?powania wyja\u347?niaj\u261?cego, lecz z uwagi na naruszenie przez organ nadzorczy wspomnianej wy\u380?ej zasady, zosta\u322?a ona pozbawiona mo\u380?liwo\u347?ci obrony swoich praw, co w konsekwencji \u347?wiadczy o istotnym uchybieniu proceduralnym, kt\u243?re - zdaniem strony skar\u380?\u261?cej - skutkowa\u263? powinno uchyleniem spornej decyzji w ca\u322?o\u347?ci.
\par 
\par W odpowiedzi na skarg\u281? Prezes Urz\u281?du Ochrony Danych Osobowych wni\u243?s\u322? o jej odrzucenie wobec faktu, \u380?e nie zosta\u322?a ona podpisana przez stron\u281? skar\u380?\u261?c\u261?, a wi\u281?c nie spe\u322?nia wymogu okre\u347?lonego w art. 46 \u167? 1 pkt 4 P.p.s.a. Jednocze\u347?nie, w przypadku nieuwzgl\u281?dnienia powy\u380?szego wniosku przez S\u261?d, organ nadzorczy wni\u243?s\u322? o oddalenie skargi w ca\u322?o\u347?ci, podtrzymuj\u261?c swoje dotychczasowe stanowisko wyra\u380?one w uzasadnieniu zaskar\u380?onej decyzji.
\par 
\par Wojew\u243?dzki S\u261?d Administracyjny w Warszawie zwa\u380?y\u322?, co nast\u281?puje.
\par 
\par Zgodnie z art. 1 \u167? 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju s\u261?d\u243?w administracyjnych (tekst jednolity Dz. U. z 2022 r., poz. 2492 ze zm.), s\u261?dy administracyjne sprawuj\u261? wymiar sprawiedliwo\u347?ci przez kontrol\u281? dzia\u322?alno\u347?ci administracji publicznej, przy czym kontrola ta sprawowana jest pod wzgl\u281?dem zgodno\u347?ci z prawem, je\u380?eli ustawy nie stanowi\u261? inaczej.
\par 
\par W \u347?wietle powo\u322?anych przepis\u243?w cyt. ustawy, Wojew\u243?dzki S\u261?d Administracyjny w Warszawie, w zakresie swojej w\u322?a\u347?ciwo\u347?ci, ocenia zaskar\u380?on\u261? decyzj\u281? administracyjn\u261?, postanowienie, czy te\u380? inny akt lub czynno\u347?\u263? z zakresu administracji publicznej dotycz\u261?c\u261? uprawnie\u324? lub obowi\u261?zk\u243?w wynikaj\u261?cych z przepis\u243?w prawa, z punktu widzenia ich zgodno\u347?ci z prawem materialnym i przepisami post\u281?powania administracyjnego, wed\u322?ug stanu faktycznego i prawnego obowi\u261?zuj\u261?cego w dacie wydania tego aktu lub podj\u281?cia spornej czynno\u347?ci. Chodzi wi\u281?c o kontrol\u281? akt\u243?w lub czynno\u347?ci z zakresu administracji publicznej dokonywan\u261? wy\u322?\u261?cznie pod wzgl\u281?dem ich zgodno\u347?ci z prawem materialnym i przepisami procesowymi, nie za\u347? wed\u322?ug kryteri\u243?w s\u322?uszno\u347?ci, czy te\u380? zgodno\u347?ci z zasadami wsp\u243?\u322?\u380?ycia spo\u322?ecznego.
\par 
\par Ponadto, co wymaga podkre\u347?lenia, S\u261?d rozstrzyga w granicach danej sprawy, nie b\u281?d\u261?c jednak zwi\u261?zany zarzutami i wnioskami skargi oraz powo\u322?an\u261? podstaw\u261? prawn\u261? (vide: art. 134 \u167? 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o post\u281?powaniu przed s\u261?dami administracyjnymi - tekst jednolity Dz. U. z 2024 r., poz. 935 - dalej tak\u380?e: "P.p.s.a.").
\par 
\par Nale\u380?y jednocze\u347?nie wyra\u378?nie zaznaczy\u263?, \u380?e od dnia wej\u347?cia w \u380?ycie Traktatu Akcesyjnego z dnia 16 kwietnia 2003 r. (Dz. U. z 2004 r. Nr 90, poz. 864), na mocy kt\u243?rego Polska sta\u322?a si\u281? pa\u324?stwem cz\u322?onkowskim Unii Europejskiej, kontrola s\u261?du administracyjnego obejmuje r\u243?wnie\u380? zgodno\u347?\u263? rozstrzygni\u281?\u263? organ\u243?w administracji publicznej z prawem europejskim (prawem Unii Europejskiej), rozumianym, jako ca\u322?okszta\u322?t dorobku prawnego Unii Europejskiej (acquis communautaire), w tym zasad og\u243?lnych prawa europejskiego, interpretowanych oraz stosowanych w spos\u243?b jednolity na ca\u322?ym obszarze Unii Europejskiej.
\par 
\par W tej sytuacji, Wojew\u243?dzki S\u261?d Administracyjny w Warszawie, dokonuj\u261?c oceny legalno\u347?ci zaskar\u380?onej decyzji Prezesa Urz\u281?du Ochrony Danych Osobowych, zobowi\u261?zany by\u322? zbada\u263? jej zgodno\u347?\u263? przede wszystkim z przepisami prawa europejskiego, w tym w szczeg\u243?lno\u347?ci z regulacjami zawartymi w rozporz\u261?dzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony os\u243?b fizycznych w zwi\u261?zku z przetwarzaniem danych osobowych i w sprawie swobodnego przep\u322?ywu takich danych oraz uchylenia dyrektywy 95/46/WE (og\u243?lne rozporz\u261?dzenie o ochronie danych - zwane tak\u380?e: "RODO").
\par 
\par W ocenie Wojew\u243?dzkiego S\u261?du Administracyjnego w Warszawie, analizowana pod tym k\u261?tem skarga Burmistrza Miasta i Gminy W. nie zas\u322?uguje na uwzgl\u281?dnienie, albowiem zaskar\u380?ona decyzja Prezesa Urz\u281?du Ochrony Danych Osobowych z dnia [...] maja 2023 r. - nie narusza obowi\u261?zuj\u261?cych przepis\u243?w prawa.
\par 
\par S\u261?d uzna\u322?, \u380?e Prezes UODO, wydaj\u261?c sporn\u261? decyzj\u281? administracyjn\u261? z dnia [...] maja 2023 r., nie dopu\u347?ci\u322? si\u281? naruszenia zar\u243?wno wi\u261?\u380?\u261?cych Polsk\u281? przepis\u243?w prawa europejskiego, jak r\u243?wnie\u380? stosownych regulacji prawa krajowego, w stopniu mog\u261?cym mie\u263? jakikolwiek istotny wp\u322?yw na ko\u324?cowy wynik sprawy zako\u324?czonej wydaniem wspomnianej wy\u380?ej decyzji.
\par 
\par Przede wszystkim, stwierdzi\u263? nale\u380?y, \u380?e - wbrew zarzutom strony skar\u380?\u261?cej - Prezes UODO, wydaj\u261?c w dniu [...] maja 2023 r. sporne rozstrzygni\u281?cie, nie dopu\u347?ci\u322? si\u281? - mog\u261?cego mie\u263? jakikolwiek istotny wp\u322?yw na wynik sprawy - naruszenia przepis\u243?w procedury administracyjnej, a w szczeg\u243?lno\u347?ci art. 7 k.p.a., art. 77 \u167? 1 k.p.a., art. 80 k.p.a., a tak\u380?e art. 107 \u167? 3 k.p.a. w zwi\u261?zku z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, albowiem wyja\u347?ni\u322? wszystkie okoliczno\u347?ci istotne dla prawid\u322?owego i pe\u322?nego rozstrzygni\u281?cia sprawy, a tak\u380?e dokona\u322? w\u322?a\u347?ciwej oceny zebranego w sprawie materia\u322?u dowodowego, przeprowadzaj\u261?c jednocze\u347?nie ow\u261? ocen\u281? w kontek\u347?cie w\u322?a\u347?ciwie zastosowanych przepis\u243?w prawa materialnego.
\par 
\par Jednocze\u347?nie, S\u261?d uzna\u322?, \u380?e na podstawie prawid\u322?owo ustalonego stanu faktycznego organ nadzorczy zasadnie przyj\u261?\u322?, \u380?e skar\u380?\u261?cy Burmistrz, dopuszczaj\u261?c si\u281? szczeg\u243?\u322?owo opisanych w uzasadnieniu decyzji zaniedba\u324? w postaci niezastosowania odpowiednich \u347?rodk\u243?w organizacyjnych zapewniaj\u261?cych stopie\u324? bezpiecze\u324?stwa odpowiadaj\u261?cy ryzyku przetwarzania danych, naruszy\u322? wskazane w sentencji decyzji przepisy art. 5 ust. 1 lit. f oraz art. 5 ust. 2, a tak\u380?e art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO.
\par 
\par W tej sytuacji, S\u261?d stwierdzi\u322?, \u380?e w konsekwencji stwierdzonych istotnych narusze\u324? przepis\u243?w RODO, organ nadzorczy zasadnie na\u322?o\u380?y\u322? na stron\u281? skar\u380?\u261?c\u261? administracyjn\u261? kar\u261? pieni\u281?\u380?n\u261?, uzasadniaj\u261?c jednocze\u347?nie w spos\u243?b wszechstronny wszelkie przes\u322?anki (dyrektywy) wymiaru kary, kt\u243?re wzi\u261?\u322? pod uwag\u281? wydaj\u261?c sporne rozstrzygni\u281?cie.
\par 
\par Uzna\u263? nale\u380?y, \u380?e stosuj\u261?c w analizowanej sprawie powy\u380?sze uprawnienie naprawcze, Prezes UODO dzia\u322?a\u322? zgodnie z art. 58 ust. 2 lit. i w zwi\u261?zku z art. 83 RODO, albowiem s\u322?usznie przyj\u261?\u322?, i\u380? zastosowanie administracyjnej kary pieni\u281?\u380?nej jest w tej sprawie konieczne przy uwzgl\u281?dnieniu charakteru, wagi oraz czasu trwania naruszenia, a tak\u380?e innych istotnych okoliczno\u347?ci zwi\u261?zanych z zachowaniem skar\u380?\u261?cego administratora danych.
\par 
\par W dzia\u322?aniu Prezesa UODO, jako organu administracji publicznej wydaj\u261?cego sporn\u261? decyzj\u281?, S\u261?d nie dopatrzy\u322? si\u281? jakichkolwiek istotnych nieprawid\u322?owo\u347?ci, zar\u243?wno, gdy idzie o ustalenie stanu faktycznego sprawy, jak i o zastosowanie do jego oceny przepis\u243?w prawa materialnego.
\par 
\par Jednocze\u347?nie, S\u261?d stwierdzi\u322?, \u380?e w uzasadnieniu zaskar\u380?onej decyzji Prezesa UODO z dnia [...] maja 2023 r. wyja\u347?nione zosta\u322?y w spos\u243?b dostatecznie jasny i przekonywuj\u261?cy motywy jej podj\u281?cia, za\u347? przytoczona w tym zakresie argumentacja jest wyczerpuj\u261?ca i w pe\u322?ni odnosz\u261?ca si\u281? do stanowiska strony skar\u380?\u261?cej podniesionego w toku post\u281?powania wyja\u347?niaj\u261?cego.
\par 
\par W konsekwencji, zdaniem S\u261?du, stwierdzi\u263? nale\u380?y, i\u380? Prezes UODO, wydaj\u261?c zaskar\u380?on\u261? decyzj\u281? administracyjn\u261? - nie dopu\u347?ci\u322? si\u281? tym samym istotnego naruszenia zasady praworz\u261?dno\u347?ci wyra\u380?onej w przepisach art. 6 k.p.a. i art. 7 in principio k.p.a. oraz art. 7 Konstytucji RP.
\par 
\par Przechodz\u261?c do oceny zarzut\u243?w skargi, nale\u380?y zauwa\u380?y\u263? na wst\u281?pie, \u380?e S\u261?d nie zgodzi\u322? si\u281? przede wszystkim z postawionym przez stron\u281? skar\u380?\u261?c\u261? zarzutem zaniechania przez organ nadzorczy dokonania nale\u380?ytego wyja\u347?nienia stanu faktycznego sprawy i jednocze\u347?nie pobie\u380?nego przeprowadzenia post\u281?powania dowodowego w sprawie i tym samym zgromadzenia rzekomo niepe\u322?nego materia\u322?u dowodowego i przeprowadzenia jego dowolnej i subiektywnej oceny.
\par 
\par Ot\u243?\u380?, nale\u380?y wskaza\u263?, \u380?e nie ulega w\u261?tpliwo\u347?ci, i\u380? post\u281?powanie w sprawie naruszenia przepis\u243?w o ochronie danych jest jednym z post\u281?powa\u324? administracyjnych przed Prezesem Urz\u281?du Ochrony Danych Osobowych. O takim jego charakterze rozstrzyga art. 7 ust. 1 ustawy o ochronie danych osobowych, kt\u243?ry post\u281?powanie z rozdzia\u322?u 7 kwalifikuje jako administracyjne i przewiduje w sprawach w niej nieuregulowanych stosowanie do tego post\u281?powania Kodeksu post\u281?powania administracyjnego. Warto przy tym zauwa\u380?y\u263?, \u380?e ustawodawca w art. 7 ust. 1 cyt. ustawy nie przewiduje stosowania odpowiedniego, oznacza to zatem stosowanie przepis\u243?w og\u243?lnej procedury administracyjnej wprost, z modyfikacjami wynikaj\u261?cymi z regulacji ustawy o ochronie danych osobowych.
\par 
\par U\u380?yte w art. 60 u.o.d.o. okre\u347?lenie "naruszenie przepis\u243?w o ochronie danych osobowych" ma zakres szeroki i obejmuje naruszenia wszystkich przepis\u243?w o ochronie danych, zar\u243?wno zawartych w unijnym rozporz\u261?dzeniu, jak i w przepisach krajowych, kt\u243?re uzupe\u322?niaj\u261? lub modyfikuj\u261? regulacje unijne.
\par 
\par Zgodnie z art. 7 ust. 1 u.o.d.o., w sprawach nieuregulowanych w ustawie do post\u281?powa\u324? administracyjnych przed Prezesem Urz\u281?du Ochrony Danych Osobowych, o kt\u243?rych mowa w rozdziale 4-7 i 11 (a wi\u281?c r\u243?wnie\u380? w rozdziale 7 dotycz\u261?cym post\u281?powania w sprawie naruszenia przepis\u243?w o ochronie danych osobowych), stosuje si\u281? przepisy Kodeksu post\u281?powania administracyjnego.
\par 
\par Zdaniem S\u261?du, nie ulega zatem w\u261?tpliwo\u347?ci, \u380?e zwi\u261?zanie rygorami procedury administracyjnej oznacza, i\u380? Prezes UODO jest obowi\u261?zany m.in. do przestrzegania zasady pog\u322?\u281?biania zaufania obywateli do organ\u243?w praworz\u261?dnego pa\u324?stwa (art. 8 \u167? 1 k.p.a.). W tej sytuacji, organ nadzorczy, uwzgl\u281?dniaj\u261?c powy\u380?sz\u261? zasad\u281?, zobowi\u261?zany jest przede wszystkim dok\u322?adnie wyja\u347?ni\u263? okoliczno\u347?ci sprawy, konkretnie ustosunkowa\u263? si\u281? do \u380?\u261?da\u324? i twierdze\u324? strony skar\u380?\u261?cej oraz uwzgl\u281?dni\u263? w decyzji zar\u243?wno interes spo\u322?eczny, jak i s\u322?uszny interes strony skar\u380?\u261?cej. Organ nadzorczy jest ponadto obowi\u261?zany w spos\u243?b wyczerpuj\u261?cy zebra\u263? i oceni\u263? ca\u322?y materia\u322? dowodowy (art. 7, art. 77 \u167? 1 i art. 80 k.p.a.) oraz uzasadni\u263? swoje rozstrzygni\u281?cie wed\u322?ug wymaga\u324? okre\u347?lonych w przepisie art. 107 \u167? 3 k.p.a.
\par 
\par Maj\u261?c na wzgl\u281?dzie powy\u380?sze, S\u261?d uzna\u322?, \u380?e zebrany w sprawie materia\u322? dowodowy jest wyczerpuj\u261?cy i zosta\u322? poddany przez organ nadzorczy wszechstronnemu i wnikliwemu rozpatrzeniu, w wyniku czego dosz\u322?o do prawid\u322?owego ustalenia stanu faktycznego sprawy.
\par 
\par Prezes Urz\u281?du Ochrony Danych Osobowych, przeprowadzaj\u261?c wspomniane post\u281?powanie wyja\u347?niaj\u261?ce, dokona\u322? wszelkich niezb\u281?dnych ocen, przy uwzgl\u281?dnieniu ca\u322?okszta\u322?tu zgromadzonego w sprawie materia\u322?u dowodowego oraz w kontek\u347?cie odpowiednio zastosowanych przepis\u243?w prawa, w tym przede wszystkim przepis\u243?w RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.
\par 
\par Warto jednocze\u347?nie zauwa\u380?y\u263?, \u380?e Prezes UODO, przeprowadzaj\u261?c sporne post\u281?powanie wyja\u347?niaj\u261?ce wykorzysta\u322? wszelkie niezb\u281?dne instrumenty prawne, jakie dawa\u322?a mu ustawa o ochronie danych osobowych i uzasadniaj\u261?c swoje stanowisko w decyzji z dnia [...] maja 2023 r., w spos\u243?b klarowny przedstawi\u322? argumentacj\u281? dotycz\u261?c\u261? zasadno\u347?ci zastosowania wobec skar\u380?\u261?cego Burmistrza, jako administratora danych, uprawnienia naprawczego w postaci na\u322?o\u380?enia administracyjnej kary pieni\u281?\u380?nej.
\par 
\par S\u261?d uzna\u322? w tej sytuacji, \u380?e ca\u322?kowicie niezrozumia\u322?y jest zarzut strony skar\u380?\u261?cej, jakoby organ nadzorczy nie podj\u261?\u322? wszelkich mo\u380?liwych czynno\u347?ci niezb\u281?dnych do wyja\u347?nienia stanu faktycznego, pomimo, \u380?e - jak sugeruje strona skar\u380?\u261?ca - organ nadzorczy posiada\u322? wszelkie dane umo\u380?liwiaj\u261?ce z urz\u281?du podj\u281?cie takich czynno\u347?ci.
\par 
\par Nie ulega w\u261?tpliwo\u347?ci, \u380?e zasadniczym przedmiotem sporu pomi\u281?dzy skar\u380?\u261?cym Burmistrzem Miasta i Gminy W. a Prezesem UODO jest przede wszystkim ocena zasadno\u347?ci przyj\u281?cia przez organ nadzorczy, i\u380? skar\u380?\u261?cy administrator dopu\u347?ci\u322? si\u281? zarzucanych zaniedba\u324? organizacyjnych. Przede wszystkim, strona skar\u380?\u261?ca uzna\u322?a, \u380?e - wbrew twierdzeniom organu nadzorczego - b\u322?\u281?dnie przyj\u281?to, i\u380? przed zaistnieniem incydentu polegaj\u261?cego na nieuprawnionym wykonaniu kopii danych osobowych z komputera s\u322?u\u380?bowego na przeno\u347?ny no\u347?nik pami\u281?ci przez pracownika Urz\u281?du Miasta i Gminy W., skar\u380?\u261?cy administrator nie dope\u322?ni\u322? obowi\u261?zku nale\u380?ytego zabezpieczenia danych osobowych, nie wdra\u380?aj\u261?c odpowiednich \u347?rodk\u243?w organizacyjnych i technicznych. Jednocze\u347?nie, strona skar\u380?\u261?ca zarzuci\u322?a, \u380?e Prezes UODO wadliwie przyj\u261?\u322? w spornej decyzji, i\u380? Burmistrz Miasta i Gminy W. nie przeprowadzi\u322? przed wyst\u261?pieniem naruszenia danych osobowych analizy ryzyka przetwarzania danych osobowych na no\u347?nikach informatycznych, pomimo tego, \u380?e da\u322? mo\u380?liwo\u347?\u263? takiego przetwarzania danych osobowych, przyjmuj\u261?c w spos\u243?b nieuprawniony, \u380?e stosownej analizy ryzyka Burmistrz dokona\u322? dopiero po zaistnieniu wspomnianego incydentu.
\par 
\par W tym miejscu, wskaza\u263? trzeba, \u380?e zgodnie z przywo\u322?anym przez organ nadzorczy w zaskar\u380?onej decyzji przepisem art. 5 ust. 1 lit. f RODO, dane osobowe musz\u261? by\u263? przetwarzane w spos\u243?b zapewniaj\u261?cy odpowiednie bezpiecze\u324?stwo danych osobowych, w tym ochron\u281? przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkow\u261? utrat\u261?, zniszczeniem lub uszkodzeniem, za pomoc\u261? odpowiednich \u347?rodk\u243?w technicznych lub organizacyjnych ("poufno\u347?\u263? i integralno\u347?\u263?").
\par 
\par Z kolei przepis art. 5 ust. 2 RODO stanowi, \u380?e administrator jest odpowiedzialny za przestrzeganie przepis\u243?w ust. 1 i musi by\u263? w stanie wykaza\u263? ich przestrzeganie ("rozliczalno\u347?\u263?").
\par 
\par W doktrynie podkre\u347?la si\u281?, \u380?e uznanie, i\u380? kwestia dotycz\u261?ca zabezpieczenia danych nale\u380?y do og\u243?lnych zasad \u347?wiadczy o tym, \u380?e prawodawca unijny uznaje te zagadnienia za niezwykle wa\u380?ne i nakazuje traktowa\u263? je w spos\u243?b szczeg\u243?lny (por. m.in. P. Fajgielski, Komentarz do rozporz\u261?dzenia nr 2016/679 w sprawie ochrony os\u243?b fizycznych w zwi\u261?zku z przetwarzaniem danych osobowych i w sprawie swobodnego przep\u322?ywu takich danych oraz uchylenia dyrektywy 95/46/WE (og\u243?lne rozporz\u261?dzenie o ochronie danych) [w:] Og\u243?lne rozporz\u261?dzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Wolters Kluwer Polska 2022).
\par 
\par Przyjmuje si\u281?, \u380?e zapewnienie odpowiedniego bezpiecze\u324?stwa wymaga podj\u281?cia stosownych (proporcjonalnych) \u347?rodk\u243?w zabezpieczenia danych, przy czym warto oczywi\u347?cie podkre\u347?li\u263?, \u380?e nie musz\u261? to by\u263? \u347?rodki najlepsze z mo\u380?liwych (najdro\u380?sze, najbardziej zaawansowane technologicznie), powinny jednak by\u263? odpowiednie do zagro\u380?e\u324? i pozwala\u263? na zapewnienie skutecznej ochrony.
\par 
\par Termin "rozliczalno\u347?\u263?", u\u380?yty w art. 5 ust. 2 RODO, oznacza obowi\u261?zek przyj\u281?cia na siebie przez administratora danych odpowiedzialno\u347?ci za przestrzeganie zasad ochrony danych osobowych wskazanych w przepisie art. 5 ust. 1 RODO oraz zobowi\u261?zanie do wykazania przestrzegania tych przepis\u243?w.
\par 
\par Przyjmuje si\u281? w doktrynie, \u380?e je\u347?li chodzi o spos\u243?b wykazywania rozliczalno\u347?ci, to przede wszystkim elementem sk\u322?adaj\u261?cym si\u281? na ow\u261? "rozliczalno\u347?\u263?" jest mo\u380?liwo\u347?\u263? wykazania, \u380?e podmiot zobowi\u261?zany wykonuje na\u322?o\u380?one na niego obowi\u261?zki. Z tego wzgl\u281?du w art. 5 ust. 2 RODO zawarta zosta\u322?a og\u243?lna regu\u322?a wykazywania przez administratora danych przestrzegania przez siebie zasad przetwarzania danych osobowych (por. m.in. /w:/ Og\u243?lne rozporz\u261?dzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, pod red dr Paw\u322?a Litwi\u324?skiego, wyd. 1, Wydawnictwo C.H. Beck, Warszawa 2021, t. 25 komentarza do art. 5 RODO).
\par 
\par Warto jednocze\u347?nie podkre\u347?li\u263?, \u380?e wspomniana rozliczalno\u347?\u263?, czyli w szczeg\u243?lno\u347?ci obowi\u261?zek wykazania zgodno\u347?ci z przepisami prawa, sk\u322?ada si\u281? w opinii Grupy Roboczej Art. 29 (vide: Opinia z dnia 13 lipca 2010 r. nr 3/2010 w sprawie zasady rozliczalno\u347?ci (WP 173), dost\u281?pna na stronie www.giodo.gov.pl), z nast\u281?puj\u261?cych obowi\u261?zk\u243?w cz\u261?stkowych:
\par 
\par 1) obowi\u261?zek wdro\u380?enia \u347?rodk\u243?w (w tym wewn\u281?trznych procedur) gwarantuj\u261?cych przestrzeganie przepis\u243?w o ochronie danych w zwi\u261?zku z operacjami ich przetwarzania;
\par 
\par 2) obowi\u261?zek sporz\u261?dzenia dokumentacji, kt\u243?ra wskazuje osobom, kt\u243?rych dane dotycz\u261?, oraz organom nadzorczym, jakie \u347?rodki podj\u281?to, aby zapewni\u263? przestrzeganie przepis\u243?w o ochronie danych osobowych.
\par 
\par W tej sytuacji, przyj\u261?\u263? nale\u380?y, \u380?e rozliczalno\u347?\u263? powinna by\u263? wi\u281?c rozumiana jako pewna w\u322?a\u347?ciwo\u347?\u263? czynno\u347?ci przetwarzania, pozwalaj\u261?ca na dowodzenie zgodno\u347?ci z przepisami prawa operacji na danych osobowych, w szczeg\u243?lno\u347?ci za pomoc\u261? dokumentacji ochrony danych osobowych.
\par 
\par Warto w tym miejscu zauwa\u380?y\u263?, \u380?e w literaturze wskazano, \u380?e konsekwencj\u261? zasady rozliczalno\u347?ci jest to, \u380?e w razie sporu z osob\u261?, kt\u243?rej dane dotycz\u261?, albo z organem nadzorczym, administrator danych powinien by\u263? w stanie przedstawi\u263? dowody na to, \u380?e przestrzega przepis\u243?w o ochronie danych osobowych. Dowodami takimi mog\u261? by\u263? przede wszystkim dokumenty opisuj\u261?ce zasady przetwarzania i ochrony danych osobowych. Dodaje si\u281? przy tym, \u380?e pomimo braku wyra\u378?nego wymogu wynikaj\u261?cego z przepis\u243?w RODO zasadne i rekomendowane jest wi\u281?c prowadzenie dokumentacji przetwarzania danych osobowych (por. Og\u243?lne rozporz\u261?dzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, pod red dr Paw\u322?a Litwi\u324?skiego, wyd. 1, Wydawnictwo C.H. Beck, Warszawa 2021, t. 27 komentarza do art. 5 RODO). W tej sytuacji, skoro na\u322?o\u380?ono na administratora ci\u281?\u380?ar dowodowy w zakresie przestrzegania zasad przetwarzania danych, to zasadne wydaje si\u281? prowadzenie dokumentacji przetwarzania danych, obejmuj\u261?cej wskazanie dzia\u322?a\u324?, jakie zosta\u322?y podj\u281?te dla zapewnienia zgodno\u347?ci przetwarzania i ochrony danych z wymogami okre\u347?lonymi w rozporz\u261?dzeniu (np. przeprowadzonej analizy ryzyka i doboru odpowiednich zabezpiecze\u324?). Informacje pozwalaj\u261?ce wykaza\u263? przestrzeganie przepis\u243?w mog\u261? by\u263? zawarte np. w polityce bezpiecze\u324?stwa lub w innym dokumencie.
\par 
\par Nie ulega w\u261?tpliwo\u347?ci, \u380?e konkretyzacj\u281? zasady poufno\u347?ci, o kt\u243?rej mowa we wskazanym powy\u380?ej art. 5 ust. 1 lit. f RODO, odnajdujemy w dalszych - przywo\u322?anych w zaskar\u380?onej decyzji organu nadzorczego - przepisach cyt. aktu prawnego.
\par 
\par Zgodnie z art. 24 ust. 1 RODO, uwzgl\u281?dniaj\u261?c charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych o r\u243?\u380?nym prawdopodobie\u324?stwie i wadze, administrator wdra\u380?a odpowiednie \u347?rodki techniczne i organizacyjne, aby przetwarzanie odbywa\u322?o si\u281? zgodnie z niniejszym rozporz\u261?dzeniem i aby m\u243?c to wykaza\u263?. \u346?rodki te s\u261? w razie potrzeby poddawane przegl\u261?dom i uaktualniane.
\par 
\par Wdro\u380?enie odpowiednich zabezpiecze\u324? stanowi obowi\u261?zek b\u281?d\u261?cy przejawem realizacji og\u243?lnej zasady przetwarzania danych, jak\u261? jest wspomniana wy\u380?ej zasada integralno\u347?ci i poufno\u347?ci, okre\u347?lona w art. 5 ust. 1 lit. f RODO.
\par 
\par Nale\u380?y podnie\u347?\u263?, \u380?e art. 24 ust. 1 RODO nak\u322?ada na administratora obowi\u261?zek wdro\u380?enia odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych s\u322?u\u380?\u261?cych temu, aby przetwarzanie odbywa\u322?o si\u281? zgodnie z przepisami tego rozporz\u261?dzenia. Prawodawca europejski nakaza\u322? administratorowi wdro\u380?enie zabezpiecze\u324?, ustanawiaj\u261?c w tym zakresie regu\u322?\u281? proporcjonalno\u347?ci, co oznacza, \u380?e zabezpieczenia powinny by\u263? odpowiednie, a wi\u281?c nie chodzi tu o zabezpieczenia najlepsze z mo\u380?liwych (najnowsze, najdro\u380?sze, najbardziej zaawansowane technologicznie), a o takie \u347?rodki techniczne i organizacyjne, kt\u243?re s\u261? proporcjonalne.
\par 
\par Z przepisu art. 24 ust. 1 RODO wynika, \u380?e przy dokonywaniu oceny proporcjonalno\u347?ci zabezpiecze\u324? administrator powinien wzi\u261?\u263? pod uwag\u281? czynniki i okoliczno\u347?ci dotycz\u261?ce przetwarzania i ryzyko, jakie si\u281? z nim wi\u261?\u380?e. W przepisie tym wskazane zosta\u322?y nast\u281?puj\u261?ce elementy, kt\u243?re administrator powinien uwzgl\u281?dni\u263?: charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych o r\u243?\u380?nym prawdopodobie\u324?stwie i wadze. W praktyce oznacza to konieczno\u347?\u263? dostosowania wdra\u380?anych zabezpiecze\u324? m.in. do: rodzaju danych (czy s\u261? to dane "zwyk\u322?e", czy te\u380? szczeg\u243?lne kategorie danych), sposobu przetwarzania danych (m.in. czy dane s\u261? przetwarzane w wydzielonej sieci zamkni\u281?tej, czy przez og\u243?lnodost\u281?pn\u261? sie\u263? Internet) oraz ryzyka, jakie wi\u261?\u380?e si\u281? z przetwarzaniem.
\par 
\par Warto jednocze\u347?nie zauwa\u380?y\u263?, \u380?e pomocne przy dokonywaniu oceny mog\u261? by\u263? wskaz\u243?wki zawarte w motywie 75, a tak\u380?e w motywach 76 i 77 preambu\u322?y RODO.
\par 
\par W tym miejscu wskaza\u263? nale\u380?y, \u380?e wymogi odnosz\u261?ce si\u281? do zabezpieczenia danych (technicznych i organizacyjnych \u347?rodk\u243?w zabezpieczenia) s\u261? przedmiotem nieco bardziej szczeg\u243?\u322?owej regulacji zawartej w art. 32 RODO, kt\u243?ry to przepis stanowi powt\u243?rzenie zasadniczej tre\u347?ci art. 24 ust. 1 RODO, z doprecyzowaniem wymog\u243?w odnosz\u261?cych si\u281? do zabezpiecze\u324? (bezpiecze\u324?stwa) przetwarzania danych.
\par 
\par W doktrynie podnosi si\u281?, \u380?e zestawienie tre\u347?ci art. 24 ust. 1 z art. 32 RODO wskazuje na to, \u380?e przewidziane w art. 24 cyt. rozporz\u261?dzenia wymogi nie ograniczaj\u261? si\u281? jedynie do zabezpieczenia danych, ale obejmuj\u261? tak\u380?e inne dzia\u322?ania zmierzaj\u261?ce do zapewnienia zgodno\u347?ci przetwarzania danych z przepisami unijnego rozporz\u261?dzenia. Adresatem obowi\u261?zk\u243?w ustanowionych w art. 24 RODO jest administrator, natomiast obowi\u261?zki w zakresie zabezpieczenia, o kt\u243?rych mowa w art. 32, powinien spe\u322?nia\u263? nie tylko administrator, ale r\u243?wnie\u380? podmiot przetwarzaj\u261?cy dane na zlecenie administratora (por. P. Fajgielski, Komentarz do rozporz\u261?dzenia nr 2016/679 w sprawie ochrony os\u243?b fizycznych w zwi\u261?zku z przetwarzaniem danych osobowych i w sprawie swobodnego przep\u322?ywu takich danych oraz uchylenia dyrektywy 95/46/WE (og\u243?lne rozporz\u261?dzenie o ochronie danych) [w:] Og\u243?lne rozporz\u261?dzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Wolters Kluwer Polska 2022, t. 7 komentarza do art. 24 RODO).
\par 
\par Prawodawca we wskazanym przepisie art. 24 ust. 1 RODO ustanowi\u322? dodatkowe wymaganie skierowane do administratora, kt\u243?ry powinien by\u263? w stanie wykaza\u263? spe\u322?nienie wymog\u243?w dotycz\u261?cych zabezpieczenia danych i zgodno\u347?ci z przepisami rozporz\u261?dzenia. S\u322?u\u380?y\u263? temu mo\u380?e dokumentowanie przeprowadzonej analizy ryzyka i innych dzia\u322?a\u324? podj\u281?tych w celu zapewnienia zgodno\u347?ci z przepisami komentowanego rozporz\u261?dzenia. Taka konstrukcja nawi\u261?zuje do og\u243?lnego obowi\u261?zku rozliczalno\u347?ci, o kt\u243?rym mowa w przepisie art. 5 ust. 2 RODO, ustanawiaj\u261?cym zasady og\u243?lne przetwarzania danych.
\par 
\par Warto jednocze\u347?nie podkre\u347?li\u263? \u380?e wdro\u380?enie przez administratora \u347?rodk\u243?w technicznych i organizacyjnych nie jest dzia\u322?aniem jednorazowym, ale powinno przybra\u263? posta\u263? procesu, w ramach kt\u243?rego administrator dokonuje przegl\u261?du i w razie potrzeby uaktualnia przyj\u281?te wcze\u347?niej zabezpieczenia. Prawodawca unijny nie wskazuje terminu, w jakim powinien zosta\u263? przeprowadzony przegl\u261?d czy aktualizacja, pozostawiaj\u261?c w tym zakresie swobod\u281? administratorowi, kt\u243?ry w razie dostrze\u380?enia potrzeby powinien dokona\u263? przegl\u261?du i ewentualnego uaktualnienia.
\par 
\par Z kolei art. 25 ust. 1 RODO stanowi, \u380?e uwzgl\u281?dniaj\u261?c stan wiedzy technicznej, koszt wdra\u380?ania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych o r\u243?\u380?nym prawdopodobie\u324?stwie wyst\u261?pienia i wadze wynikaj\u261?ce z przetwarzania, administrator - zar\u243?wno przy okre\u347?laniu sposob\u243?w przetwarzania, jak i w czasie samego przetwarzania - wdra\u380?a odpowiednie \u347?rodki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezb\u281?dnych zabezpiecze\u324?, tak by spe\u322?ni\u263? wymogi niniejszego rozporz\u261?dzenia oraz chroni\u263? prawa os\u243?b, kt\u243?rych dane dotycz\u261?.
\par 
\par Przepis art. 25 ust. 1 RODO nak\u322?ada na administratora obowi\u261?zek wdro\u380?enia odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych (zabezpiecze\u324?) w celu skutecznej realizacji zasad ochrony danych. Warto podkre\u347?li\u263?, \u380?e prawodawca unijny podkre\u347?la potrzeb\u281? wdra\u380?ania zabezpiecze\u324? ju\u380? na etapie przygotowania rozwi\u261?za\u324? s\u322?u\u380?\u261?cych przetwarzaniu danych, jednak nie ogranicza omawianego obowi\u261?zku tylko do fazy projektowania (jak sugeruje skr\u243?towy tytu\u322? przepisu), ale rozci\u261?ga go tak\u380?e na dalsze etapy przetwarzania ("w czasie samego przetwarzania"). Oznacza to, \u380?e wdra\u380?anie zabezpiecze\u324? ma stanowi\u263? ci\u261?g\u322?y proces, a nie jednorazowe dzia\u322?anie administratora (por. P. Fajgielski, Komentarz do rozporz\u261?dzenia nr 2016/679 ..., t. 5 komentarza do art. 25 RODO).
\par 
\par Przepis ten nakazuje administratorowi uwzgl\u281?dni\u263? \u322?\u261?cznie nast\u281?puj\u261?ce czynniki:
\par 
\par 1) stan wiedzy technicznej;
\par 
\par 2) koszt wdra\u380?ania;
\par 
\par 3) charakter, zakres, kontekst i cele przetwarzania;
\par 
\par 4) ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych o r\u243?\u380?nym prawdopodobie\u324?stwie wyst\u261?pienia i wadze wynikaj\u261?ce z przetwarzania.
\par 
\par Konieczno\u347?\u263? uwzgl\u281?dnienia stanu wiedzy technicznej mo\u380?e by\u263? odczytywana jako potrzeba dostosowania zabezpiecze\u324? do typowych aktualnie stosowanych rozwi\u261?za\u324?. Nie oznacza to jednak wymogu stosowania rozwi\u261?za\u324? najnowszych, gdy\u380? rozwi\u261?zania te mog\u261? nie by\u263? powszechnie dost\u281?pne, poci\u261?ga\u263? za sob\u261? nadmierne koszty lub z innych wzgl\u281?d\u243?w by\u263? trudne do zastosowania przez administratora. Jednak uwzgl\u281?dnienie stanu wiedzy technicznej powinno sk\u322?ania\u263? administratora do rezygnacji z rozwi\u261?za\u324? przestarza\u322?ych, o niewielkiej skuteczno\u347?ci, czy te\u380? takich, co do kt\u243?rych wiadomo, \u380?e nie zapewniaj\u261? nale\u380?ytej ochrony danych.
\par 
\par Z kolei, potrzeba uwzgl\u281?dnienia koszt\u243?w wdra\u380?ania zabezpiecze\u324? oznacza, \u380?e administrator powinien dostosowa\u263? wdra\u380?ane \u347?rodki do potrzeb i mo\u380?liwo\u347?ci finansowych. Przepisy nie wymagaj\u261? zastosowania rozwi\u261?za\u324? najdro\u380?szych, a jedynie nakazuj\u261? administratorowi rozwa\u380?enie r\u243?\u380?nych mo\u380?liwo\u347?ci, uwzgl\u281?dniaj\u261?c aspekt koszt\u243?w.
\par 
\par Przy dokonywaniu oceny zasadno\u347?ci wdro\u380?enia okre\u347?lonych rozwi\u261?za\u324? administrator powinien natomiast uwzgl\u281?dni\u263? r\u243?wnie\u380? specyfik\u281? przetwarzania danych, jego charakter, zakres, kontekst i cele, poniewa\u380? z tej specyfiki wynika\u263? mo\u380?e potrzeba zapewnienia wzmo\u380?onej ochrony (m.in. w sytuacji, gdy przetwarzane s\u261? na du\u380?\u261? skal\u281? szczeg\u243?lne kategorie danych, np. przez szpital).
\par 
\par Ostatnim, szczeg\u243?lnie istotnym elementem podlegaj\u261?cym ocenie administratora, jest ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych o r\u243?\u380?nym prawdopodobie\u324?stwie wyst\u261?pienia i wadze wynikaj\u261?ce z przetwarzania. Ocena ryzyka jest niezwykle istotnym elementem, kt\u243?ry powinien zosta\u263? dokonany, a w praktyce wa\u380?ne jest tak\u380?e odpowiednie jego udokumentowanie.
\par 
\par Zdaniem S\u261?du, podkre\u347?li\u263? nale\u380?y bardzo wyra\u378?nie, \u380?e spe\u322?nienie wspomnianych wy\u380?ej wymaga\u324? ma umo\u380?liwi\u263? administratorowi skuteczn\u261? realizacj\u281? zasad ochrony danych oraz zapewnienie niezb\u281?dnych zabezpiecze\u324? przy przetwarzaniu danych. Formalnym celem omawianego obowi\u261?zku jest spe\u322?nienie wymog\u243?w rozporz\u261?dzenia, natomiast zasadniczym celem jest zapewnienie skutecznej ochrony praw os\u243?b, kt\u243?rych dane dotycz\u261?.
\par 
\par Ponadto, wskaza\u263? trzeba, \u380?e z tre\u347?ci przywo\u322?anego przez organ nadzorczy przepisu art. 32 ust. 1 RODO wynika, \u380?e uwzgl\u281?dniaj\u261?c stan wiedzy technicznej, koszt wdra\u380?ania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych o r\u243?\u380?nym prawdopodobie\u324?stwie wyst\u261?pienia i wadze, administrator i podmiot przetwarzaj\u261?cy wdra\u380?aj\u261? odpowiednie \u347?rodki techniczne i organizacyjne, aby zapewni\u263? stopie\u324? bezpiecze\u324?stwa odpowiadaj\u261?cy temu ryzyku, w tym mi\u281?dzy innymi w stosownym przypadku:
\par 
\par a) pseudonimizacj\u281? i szyfrowanie danych osobowych;
\par 
\par b) zdolno\u347?\u263? do ci\u261?g\u322?ego zapewnienia poufno\u347?ci, integralno\u347?ci, dost\u281?pno\u347?ci i odporno\u347?ci system\u243?w i us\u322?ug przetwarzania;
\par 
\par c) zdolno\u347?\u263? do szybkiego przywr\u243?cenia dost\u281?pno\u347?ci danych osobowych i dost\u281?pu do nich w razie incydentu fizycznego lub technicznego;
\par 
\par d) regularne testowanie, mierzenie i ocenianie skuteczno\u347?ci \u347?rodk\u243?w technicznych i organizacyjnych maj\u261?cych zapewni\u263? bezpiecze\u324?stwo przetwarzania.
\par 
\par Z kolei, art. 32 ust. 2 RODO stanowi, \u380?e oceniaj\u261?c, czy stopie\u324? bezpiecze\u324?stwa jest odpowiedni, uwzgl\u281?dnia si\u281? w szczeg\u243?lno\u347?ci ryzyko wi\u261?\u380?\u261?ce si\u281? z przetwarzaniem, w szczeg\u243?lno\u347?ci wynikaj\u261?ce z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dost\u281?pu do danych osobowych przesy\u322?anych, przechowywanych lub w inny spos\u243?b przetwarzanych.
\par 
\par Warto jednocze\u347?nie zauwa\u380?y\u263?, \u380?e w motywie 83 preambu\u322?y RODO wyja\u347?niono, i\u380? "w celu zachowania bezpiecze\u324?stwa i zapobiegania przetwarzaniu niezgodnemu z niniejszym rozporz\u261?dzeniem administrator lub podmiot przetwarzaj\u261?cy powinni oszacowa\u263? ryzyko w\u322?a\u347?ciwe dla przetwarzania oraz wdro\u380?y\u263? \u347?rodki - takie jak szyfrowanie - minimalizuj\u261?ce to ryzyko. \u346?rodki takie powinny zapewni\u263? odpowiedni poziom bezpiecze\u324?stwa, w tym poufno\u347?\u263?, oraz uwzgl\u281?dnia\u263? stan wiedzy technicznej oraz koszty ich wdro\u380?enia w stosunku do ryzyka i charakteru danych osobowych podlegaj\u261?cych ochronie. Oceniaj\u261?c ryzyko w zakresie bezpiecze\u324?stwa danych, nale\u380?y wzi\u261?\u263? pod uwag\u281? ryzyko zwi\u261?zane z przetwarzaniem danych osobowych - takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dost\u281?p do danych osobowych przesy\u322?anych, przechowywanych lub w inny spos\u243?b przetwarzanych - i mog\u261?ce w szczeg\u243?lno\u347?ci prowadzi\u263? do uszczerbku fizycznego, szk\u243?d maj\u261?tkowych lub niemaj\u261?tkowych".
\par 
\par Nie ulega w\u261?tpliwo\u347?ci, \u380?e bior\u261?c pod uwag\u281? zakres danych i okoliczno\u347?ci przetwarzania, nale\u380?y dokonywa\u263? oceny ryzyka, a wynik tego rodzaju oceny powinien mie\u263? istotne znaczenie przy doborze w\u322?a\u347?ciwych zabezpiecze\u324?. W ocenie S\u261?du, warto podkre\u347?li\u263?, \u380?e analiza ryzyka stanowi istotny element podej\u347?cia prawodawcy unijnego do kwestii zabezpieczenia i ochrony danych. W tej sytuacji, uzna\u263? nale\u380?y, \u380?e w zamierzeniu prawodawcy europejskiego podej\u347?cie oparte na ocenie ryzyka ma zast\u261?pi\u263? traktowanie obowi\u261?zk\u243?w administratora jako konieczno\u347?ci spe\u322?nienia wymog\u243?w formalnych bez wzgl\u281?du na to, czy zapewniaj\u261? one skuteczn\u261? ochron\u281?.
\par 
\par Nie spos\u243?b jednocze\u347?nie pomin\u261?\u263? tego, \u380?e wszystkie wskazane powy\u380?ej czynniki powinny by\u263? wzi\u281?te pod uwag\u281? \u322?\u261?cznie, a wi\u281?c administrator ani podmiot przetwarzaj\u261?cy nie powinni poprzesta\u263? na dokonaniu oceny jedynie wybranych czynnik\u243?w, kt\u243?re uznaj\u261? za istotne.
\par 
\par Nie ulega zatem w\u261?tpliwo\u347?ci, \u380?e wskazane w art. 32 ust. 1 RODO wymogi w zakresie funkcjonalno\u347?ci system\u243?w i us\u322?ug, kt\u243?re powinny by\u263? zapewnione, by zagwarantowa\u263? odpowiedni poziom bezpiecze\u324?stwa danych, stanowi\u261? przejaw realizacji og\u243?lnej zasady integralno\u347?ci i poufno\u347?ci, o kt\u243?rej mowa w art. 5 ust. 1 lit. f RODO.
\par 
\par Maj\u261?c na wzgl\u281?dzie wskazane powy\u380?ej zasady oraz zwi\u261?zane z nimi obowi\u261?zki na\u322?o\u380?one na administratora danych przez prawodawc\u281? unijnego, stwierdzi\u263? nale\u380?y, \u380?e Burmistrz Miasta i Gminy W., jako administrator, dopuszczaj\u261?c mo\u380?liwo\u347?\u263? u\u380?ywania przeno\u347?nych no\u347?nik\u243?w pami\u281?ci (np. pami\u281?ci USB), winien w oparciu o w\u322?a\u347?ciwie przeprowadzon\u261? analiz\u281? ryzyka dokona\u263? identyfikacji wszelkich mo\u380?liwych zagro\u380?e\u324? dla przetwarzanych danych osobowych z wykorzystaniem tego rodzaju sprz\u281?tu komputerowego, a nast\u281?pnie szczeg\u243?\u322?owo okre\u347?li\u263? oraz wdro\u380?y\u263? odpowiednie \u347?rodki techniczne i organizacyjne w celu zapewnienia bezpiecze\u324?stwa tych danych. Nast\u281?pnie, administrator powinien wykaza\u263?, \u380?e regularnie sprawdza\u322? skuteczno\u347?\u263? tych \u347?rodk\u243?w, albowiem z przepis\u243?w RODO wynika konieczno\u347?\u263? prowadzenia systematycznej weryfikacji ca\u322?ego systemu ochrony danych osobowych zar\u243?wno pod k\u261?tem adekwatno\u347?ci, jak i skuteczno\u347?ci wdro\u380?onych rozwi\u261?za\u324? organizacyjnych i technicznych.
\par 
\par Ponadto, uzna\u263? nale\u380?y, \u380?e skoro skar\u380?\u261?cy administrator da\u322? mo\u380?liwo\u347?\u263? u\u380?ywania w Urz\u281?dzie Miasta i Gminy W. przeno\u347?nych no\u347?nik\u243?w pami\u281?ci (np. pami\u281?ci USB), to - stosownie do wymog\u243?w wynikaj\u261?cych z om\u243?wionych powy\u380?ej przepis\u243?w RODO - zobowi\u261?zany by\u322? okre\u347?li\u263? ju\u380? na etapie projektowania skuteczne \u347?rodki bezpiecze\u324?stwa, a nast\u281?pnie wdro\u380?y\u263? odpowiednie \u347?rodki techniczne i organizacyjnych w celu nadania przetwarzaniu danych niezb\u281?dnych zabezpiecze\u324? z uwagi na przyj\u281?ty spos\u243?b przetwarzania danych osobowych.
\par 
\par Jednocze\u347?nie, podkre\u347?li\u263? nale\u380?y, \u380?e analiza ryzyka, do przeprowadzania kt\u243?rej bezwzgl\u281?dnie obowi\u261?zany by\u322? skar\u380?\u261?cy administrator danych, powinna zosta\u263? udokumentowana oraz uzasadniona na podstawie przede wszystkim okre\u347?lenia stanu faktycznego, istniej\u261?cego w momencie jej przeprowadzania. Nie bez znaczenia jest r\u243?wnie\u380? to, \u380?e skar\u380?\u261?cy administrator obowi\u261?zany by\u322? do regularnego sprawdzania skuteczno\u347?ci funkcjonowania zastosowanych zabezpiecze\u324?. Tak czy inaczej, nie ulega w\u261?tpliwo\u347?ci to, \u380?e aby analiza ryzyka zosta\u322?a w og\u243?le przeprowadzona w spos\u243?b w\u322?a\u347?ciwy, winny by\u263? przez administratora prawid\u322?owo zdefiniowane zagro\u380?enia, mog\u261?ce wyst\u261?pi\u263? w procesie przetwarzania danych.
\par 
\par Tymczasem, ze zgromadzonego w niniejszej sprawie materia\u322?u dowodowego wynika, \u380?e Burmistrz Miasta i Gminy W. nie przeprowadzi\u322? analizy ryzyka dla procesu przetwarzania danych obj\u281?tych naruszeniem przed wyst\u261?pieniem przedmiotowego naruszenia ochrony danych osobowych
\par 
\par S\u261?d uzna\u322?, \u380?e - wbrew zapewnieniom strony skar\u380?\u261?cej - Prezes UODO zasadnie przyj\u261?\u322? w zaskar\u380?onej decyzji, i\u380? w przedmiotowej sprawie - wobec nieprzeprowadzenia przed wyst\u261?pieniem naruszenia ochrony danych osobowych analizy ryzyka dla operacji przetwarzania danych osobowych w zwi\u261?zku z wykorzystywaniem przez pracownik\u243?w Urz\u281?du Miasta i Gminy W. sprz\u281?tu komputerowego umo\u380?liwiaj\u261?cego pod\u322?\u261?czenie przeno\u347?nych no\u347?nik\u243?w danych (w szczeg\u243?lno\u347?ci pami\u281?ci USB), w tym prywatnych przeno\u347?nych no\u347?nik\u243?w danych, kt\u243?ra uwzgl\u281?dnia\u322?aby zagro\u380?enia zwi\u261?zane z nieuprawnionym skopiowaniem przez pracownika z komputera s\u322?u\u380?bowego na ten rodzaj no\u347?nika danych plik\u243?w zawieraj\u261?cych dane osobowe - skar\u380?\u261?cy Burmistrz, b\u281?d\u261?c administratorem, nie monitorowa\u322? zar\u243?wno adekwatno\u347?ci, jak i skuteczno\u347?ci zastosowanych zabezpiecze\u324?, czym ewidentnie naruszy\u322? nie tylko obowi\u261?zki wynikaj\u261?ce z art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO, ale tak\u380?e zignorowa\u322? fundamentaln\u261? zasad\u281? rozliczalno\u347?ci, o kt\u243?rej mowa w art. 5 ust. 2 cyt. rozporz\u261?dzenia.
\par 
\par W konsekwencji, nale\u380?y zgodzi\u263? si\u281? z organem nadzorczym, \u380?e w toku przeprowadzonego post\u281?powania wyja\u347?niaj\u261?cego skar\u380?\u261?cy administrator nie wykaza\u322?, aby komputery s\u322?u\u380?bowe wykorzystywane przez pracownik\u243?w Urz\u281?du Miasta i Gminy W. by\u322?y zabezpieczone przed mo\u380?liwo\u347?ci\u261? nieuprawnionego skopiowania z nich plik\u243?w zawieraj\u261?cych dane osobowe z wykorzystaniem przeno\u347?nych no\u347?nik\u243?w pami\u281?ci takich jak np. pami\u281?\u263? USB. Nie ulega w\u261?tpliwo\u347?ci, \u380?e przed wyst\u261?pieniem naruszenia skar\u380?\u261?cy Burmistrz nie stosowa\u322? zabezpieczenia port\u243?w i innych narz\u281?dzi uniemo\u380?liwiaj\u261?cych przenoszenie danych na nieautoryzowany no\u347?nik danych. Co wi\u281?cej, zauwa\u380?y\u263? nale\u380?y, \u380?e w konsekwencji powy\u380?szych zaniedba\u324?, strona skar\u380?\u261?ca nie by\u322?a nawet w stanie definitywnie stwierdzi\u263?, czy dane z komputera s\u322?u\u380?bowego znajduj\u261?cego si\u281? w siedzibie Urz\u281?du Miasta i Gminy W. zosta\u322?y skopiowane na przeno\u347?ny no\u347?nik danych, kt\u243?ry by\u322? w\u322?asno\u347?ci\u261? tej jednostki samorz\u261?du terytorialnego, czy te\u380? no\u347?nik ten by\u322? w\u322?asno\u347?ci\u261? prywatna pracownika.
\par 
\par W tej sytuacji, pomimo, \u380?e w odniesieniu do przeno\u347?nych no\u347?nik\u243?w pami\u281?ci wykorzystywanych przez pracownik\u243?w Urz\u281?du Miasta i Gminy W., z uwagi na zagro\u380?enia z tym zwi\u261?zane, w celu przeciwdzia\u322?ania potencjalnym skutkom naruszenia i zapobie\u380?enia utracie poufno\u347?ci danych osobowych znajduj\u261?cych si\u281? na takim urz\u261?dzeniu, skar\u380?\u261?cy administrator zobowi\u261?zany by\u322? do stosowania skutecznych zabezpiecze\u324?, to uzna\u263? nale\u380?y, \u380?e z uwagi na fakt, i\u380? Burmistrz przed wyst\u261?pieniem naruszenia nie wprowadzi\u322? tego typu skutecznych zabezpiecze\u324?, dosz\u322?o tym samym do istotnego naruszenia obowi\u261?zk\u243?w na\u322?o\u380?onych przez przepisy RODO. Jednocze\u347?nie, z uwagi na fakt nieprzeprowadzenia przed wyst\u261?pieniem krytycznego zdarzenia przez skar\u380?\u261?cego administratora analizy ryzyka naruszenia ochrony danych osobowych, Burmistrz nie by\u322? w stanie wykaza\u263?, czy przyj\u281?te rozwi\u261?zania rzeczywi\u347?cie zapewnia\u322?y odpowiednie bezpiecze\u324?stwo w przypadku przetwarzania danych osobowych w zwi\u261?zku z korzystaniem przez pracownik\u243?w Urz\u281?du Miasta i Gminy W. z przeno\u347?nych no\u347?nik\u243?w danych.
\par 
\par Efektem wykazanego powy\u380?ej braku dzia\u322?ania Administratora w tym zakresie by\u322?a materializacja zagro\u380?enia w postaci wykonania nieuprawnionej kopii dokument\u243?w zawieraj\u261?cych dane osobowe z komputera znajduj\u261?cego si\u281? w siedzibie administratora na przeno\u347?ny no\u347?nik danych (pami\u281?\u263? USB), nad kt\u243?rym skar\u380?\u261?cy administrator nie mia\u322? kontroli, co skutkowa\u322?o naruszeniem zasady poufno\u347?ci danych osobowych przetwarzanych przez Burmistrza Miasta i Gminy W..
\par 
\par Ustosunkowuj\u261?c si\u281? w tym miejscu do zarzut\u243?w strony skar\u380?\u261?cej, nale\u380?y przede wszystkim stwierdzi\u263?, \u380?e - wbrew stanowisku skar\u380?\u261?cego Burmistrza przedstawionemu w skardze - Prezes UODO, wydaj\u261?c zaskar\u380?an\u261? decyzj\u281? z dnia [...] maja 2023 r., zasadnie przyj\u261?\u322?, \u380?e skar\u380?\u261?cy administrator nie przeprowadzi\u322? analizy ryzyka dla procesu przetwarzania danych osobowych obj\u281?tych przedmiotowym naruszeniem przed jego wyst\u261?pieniem.
\par 
\par Zdaniem S\u261?du, powy\u380?sze wynika wprost z materia\u322?u dowodowego zgromadzonego w niniejszej sprawie, kt\u243?ry zosta\u322? ustalony na podstawie wyja\u347?nie\u324? z\u322?o\u380?onych przez samego skar\u380?\u261?cego administratora, kt\u243?ry w odpowiedzi na precyzyjnie sformu\u322?owane pytanie Prezesa UODO zawarte w pi\u347?mie z dnia [...] maja 2022 r. wyra\u378?nie wskaza\u322?, \u380?e "(...) Administrator nie przeprowadzi\u322? analizy ryzyka dla procesu przetwarzania danych obj\u281?tych naruszeniem przed jego wyst\u261?pieniem. Po wyst\u261?pieniu naruszenia zosta\u322?a przeprowadzona og\u243?lna analiza ryzyka i ocena skutk\u243?w dla przetwarzania danych obj\u281?tych naruszeniem. Dow\u243?d stanowi za\u322?\u261?cznik nr 4 (...)" (vide: pismo skar\u380?\u261?cego Burmistrza z dnia [...] wrze\u347?nia 2022 r.).
\par 
\par W tej sytuacji, uzna\u263? nale\u380?y, \u380?e za\u322?\u261?czony przez stron\u281? skar\u380?\u261?ca do skargi dokument o nazwie "[...]" nie przedstawia warto\u347?ci dowodowej istotnej dla oceny rozstrzygni\u281?cia zawartego w zaskar\u380?onej decyzji. Nale\u380?y zgodzi\u263? si\u281? z organem nadzorczym, \u380?e nie spos\u243?b przyj\u261?\u263?, \u380?e powy\u380?szy dokument stanowi analiz\u281? ryzyka. Trudno r\u243?wnie\u380? zaakceptowa\u263? to, \u380?e Burmistrz w toku post\u281?powania administracyjnego zapomnia\u322?, \u380?e jest w posiadaniu dokumentu b\u281?d\u261?cego dla administratora podstaw\u261? budowy systemu bezpiecze\u324?stwa dla procesu przetwarzania danych osobowych, w szczeg\u243?lno\u347?ci w zakresie doboru \u347?rodk\u243?w technicznych i organizacyjnych zapewniaj\u261?cych stopie\u324? bezpiecze\u324?stwa odpowiadaj\u261?cy ryzyku przetwarzania danych. Warto jedynie na marginesie zauwa\u380?y\u263?, \u380?e wspomniany wy\u380?ej raport zosta\u322? sporz\u261?dzony w dniu [...] maja 2018 r., a zatem od daty jego sporz\u261?dzenia do dnia wyst\u261?pienia naruszenia up\u322?yn\u281?\u322?o prawie cztery lata, co - w \u347?wietle obowi\u261?zku zapewnienia ci\u261?g\u322?o\u347?ci monitorowania poziomu zagro\u380?e\u324? oraz zapewnienia rozliczalno\u347?ci w zakresie poziomu oraz adekwatno\u347?ci wprowadzonych zabezpiecze\u324? - stawia dodatkowo pod znakiem zapytania warto\u347?\u263? tego dokumentu. Nie mo\u380?na r\u243?wnie\u380? pomin\u261?\u263? tego, jak s\u322?usznie zauwa\u380?y\u322? w odpowiedzi na skarg\u281? Prezes UODO, \u380?e z informacji zawartej w omawianym raporcie wynika, \u380?e skar\u380?\u261?cy Burmistrz mia\u322? przeprowadzi\u263? analiz\u281? ryzyka w 2016 r. (tj. dwa lata przed rozpocz\u281?ciem stosowania przepis\u243?w RODO i sze\u347?\u263? lat przed wyst\u261?pieniem przedmiotowego naruszenia), co \u347?wiadczy o tym, \u380?e analiza ryzyka z 2016 r., o kt\u243?rej wspomina przed\u322?o\u380?ony raport z audytu bezpiecze\u324?stwa informacji, nie stanowi\u322?a dla skar\u380?\u261?cego administratora istotnego dokumentu dla budowy systemu bezpiecze\u324?stwa w procesie przetwarzania danych maj\u261?cego minimalizowa\u263? ryzyko naruszenia ochrony danych osobowych, do kt\u243?rego dosz\u322?o w dniu [...] maja 2022 r.
\par 
\par W tej sytuacji, uzna\u263? nale\u380?y, \u380?e za\u322?\u261?czony do skargi raport z audytu jest dokumentem zawieraj\u261?cym jedynie rekomendacj\u281? dla przeprowadzenia w\u322?a\u347?ciwej analizy ryzyka, kt\u243?rej ostatecznie skar\u380?\u261?cy Burmistrz w toku post\u281?powania administracyjnego Prezesowi UODO nie przedstawi\u322?.
\par 
\par Maj\u261?c na wzgl\u281?dzie powy\u380?sze, S\u261?d nie zgodzi\u322? si\u281? z zarzutem dotycz\u261?cym rzekomego niezebrania i nierozpatrzenia ca\u322?o\u347?ci materia\u322?u dowodowego w spos\u243?b wyczerpuj\u261?cy, skoro za\u322?\u261?czony przez skar\u380?\u261?cego administratora dopiero na etapie wniesienia skargi dokument o nazwie "[...]" z dnia [...] maja 2018 r., kt\u243?ry mia\u322?y by\u263? analiz\u261? ryzyka dokonan\u261? rzekomo przed naruszeniem ochrony danych osobowych, nie zosta\u322? dostarczony w toku post\u281?powania administracyjnego, pomimo wyra\u378?nego wezwania ze strony organu nadzorczego oraz jednoznacznego o\u347?wiadczenia Burmistrza, \u380?e analiza ryzyka nie zosta\u322?a przeprowadzona.
\par 
\par Odnosz\u261?c si\u281? z kolei do argument\u243?w strony skar\u380?\u261?cej wynikaj\u261?cych z przes\u322?anego wraz ze skarg\u261? "Regulaminu o ochronie danych osobowych", w kt\u243?rym znajduj\u261? si\u281? uregulowania dotycz\u261?ce u\u380?ytkowania przeno\u347?nych no\u347?nik\u243?w pami\u281?ci, wskaza\u263? nale\u380?y jedynie to, i\u380? samo przyj\u281?cie wewn\u281?trznego aktu prawnego zobowi\u261?zuj\u261?cego pracownik\u243?w do konkretnego sposobu post\u281?powania z przeno\u347?nymi no\u347?nikami pami\u281?ci, bez wcze\u347?niej przeprowadzonej w\u322?a\u347?ciwie analizy ryzyka oraz bez wprowadzenia skutecznych mechanizm\u243?w kontrolnych (maj\u261?cych na celu weryfikacj\u281? przestrzeganie przez pracownik\u243?w zasad post\u281?powania z przeno\u347?nymi no\u347?nikami pami\u281?ci) nie oznacza, \u380?e skar\u380?\u261?cy administrator wype\u322?ni\u322? obowi\u261?zki wynikaj\u261?ce z art. 32 ust. 1 i 2 RODO.
\par 
\par Warto jednocze\u347?nie podkre\u347?li\u263?, \u380?e skoro proces ochrony danych osobowych jest ci\u261?g\u322?y i nie ma charakteru epizodycznego, co oznacza, \u380?e nie sprowadza si\u281? jedynie do przyj\u281?cia formalnych rozwi\u261?za\u324? bez weryfikacji tego, czy przewidziane normy rzeczywi\u347?cie zosta\u322?y wdro\u380?one oraz bez regularnego sprawdzania przyj\u281?tych norm pod k\u261?tem aktualno\u347?ci i adekwatno\u347?ci wobec rozpoznanych zagro\u380?e\u324?, to nie spos\u243?b uzna\u263?, \u380?e z uwagi na raz przyj\u281?te regulacje wewn\u281?trzne strona skar\u380?\u261?ca zwolni\u322?a si\u281? z nale\u380?ytego wype\u322?nienia obowi\u261?zku zabezpieczenia danych osobowych poprzez wdro\u380?enie odpowiednich \u347?rodk\u243?w organizacyjnych i technicznych.
\par 
\par Zdaniem S\u261?du, nie ulega w\u261?tpliwo\u347?ci, \u380?e - wbrew zarzutom strony skar\u380?\u261?cej - organ nadzorczy wywi\u261?za\u322? si\u281? nale\u380?ycie ze wszelkich rygor\u243?w przewidzianych w procedurze administracyjnej, albowiem przeprowadzaj\u261?c sporne post\u281?powanie wyja\u347?niaj\u261?ce, dokona\u322? wszelkich ocen, przy uwzgl\u281?dnieniu ca\u322?okszta\u322?tu zgromadzonego w sprawie materia\u322?u dowodowego oraz w kontek\u347?cie odpowiednio zastosowanych przepis\u243?w prawa, w tym przede wszystkim przepis\u243?w art. 5 ust . 1 lit. f i ust. 2 RODO, a tak\u380?e art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 cyt. rozporz\u261?dzenia unijnego.
\par 
\par Warto jednocze\u347?nie zauwa\u380?y\u263?, \u380?e Prezes UODO, przeprowadzaj\u261?c sporne post\u281?powanie administracyjne, wykorzysta\u322? wszelkie niezb\u281?dne instrumenty prawne, jakie dawa\u322?y mu obowi\u261?zuj\u261?ce regulacje ustawowe i uzasadniaj\u261?c swoje stanowisko w decyzji z dnia [...] maja 2023 r., w spos\u243?b klarowny przedstawi\u322? argumentacj\u281? dotycz\u261?c\u261? zasadno\u347?ci na\u322?o\u380?enia administracyjnej kary pieni\u281?\u380?nej.
\par 
\par W konsekwencji, S\u261?d stwierdzi\u322?, \u380?e Prezes UODO zasadnie przyj\u261?\u322? w uzasadnieniu zaskar\u380?onej decyzji, \u380?e w przedmiotowej sprawie bezsprzecznie dosz\u322?o do naruszenia przez Burmistrza Miasta i Gminy W. norm prawnych wynikaj\u261?cej z przywo\u322?anych powy\u380?ej przepis\u243?w RODO.
\par 
\par Przede wszystkim, w ocenie S\u261?du, organ nadzorczy - ustalaj\u261?c zakres naruszenia - dokona\u322? tego z uwzgl\u281?dnieniem podstawowych cel\u243?w RODO, bior\u261?c pod uwag\u261? g\u322?\u243?wnie elementy szkodliwo\u347?ci o charakterze przedmiotowym, kt\u243?re dotycz\u261? rodzaju naruszonych obowi\u261?zk\u243?w, rodzaju naruszonych d\u243?br, intensywno\u347?ci naruszenia oraz warto\u347?ci spo\u322?ecznych i ekonomicznych, nast\u281?pstw czynu obj\u281?tego administracyjn\u261? kar\u261? pieni\u281?\u380?n\u261?. Jednocze\u347?nie, co warto podkre\u347?li\u263?, Prezes UODO wzi\u261?\u322? pod uwag\u281? r\u243?wnie\u380? okoliczno\u347?ci wp\u322?ywaj\u261?ce \u322?agodz\u261?co na wysoko\u347?\u263? na\u322?o\u380?onej kary.
\par 
\par Maj\u261?c na wzgl\u281?dzie powy\u380?sze, S\u261?d uzna\u322?, i\u380? organ nadzorczy w spos\u243?b prawid\u322?owy wykaza\u322? w uzasadnieniu zaskar\u380?onej decyzji, \u380?e na\u322?o\u380?enie administracyjnej kary pieni\u281?\u380?nej na skar\u380?\u261?cego Burmistrza by\u322?o konieczne z uwagi na naruszenie przez niego jednej z fundamentalnych zasad ochrony danych osobowych, o kt\u243?rej mowa w art. 5 ust. 1 lit. f RODO, a tak\u380?e z uwagi na niepodj\u281?cie szeregu istotnych dzia\u322?a\u324? wynikaj\u261?cych z tej zasady, a kt\u243?re zwi\u261?zane s\u261? z obowi\u261?zkami na\u322?o\u380?onymi na administratora danych, kt\u243?re zosta\u322?y sprecyzowane w art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 cyt. rozporz\u261?dzenia.
\par 
\par W tej sytuacji, w ocenie S\u261?du, przyj\u261?\u263? nale\u380?y, \u380?e z uwagi na przeprowadzenie wszechstronnej analizy zebranego w trakcie prowadzonego post\u281?powania materia\u322?u dowodowego, a tak\u380?e uwzgl\u281?dnienie dopuszczalnej wysoko\u347?ci administracyjnej kary pieni\u281?\u380?nej, okre\u347?lonej w art. 83 ust. 4 lit. a i ust. 5 lit. a RODO, Prezes UODO w spos\u243?b w\u322?a\u347?ciwy ustali\u322? wysoko\u347?\u263? kary pieni\u281?\u380?nej na\u322?o\u380?onej na stron\u281? skar\u380?\u261?c\u261? na kwot\u281? 10.000 (s\u322?ownie: dziesi\u281?ciu tysi\u281?cy) z\u322?otych.
\par 
\par Ponadto, S\u261?d uzna\u322?, \u380?e wysoko\u347?\u263? na\u322?o\u380?onej przez organ nadzorczy kary pieni\u281?\u380?nej jest nie tylko adekwatna do naruszenia stwierdzonego w trakcie spornego post\u281?powania, ale spe\u322?nia r\u243?wnie\u380? zamierzone funkcje kary, tj. funkcj\u281? represyjn\u261? i prewencyjn\u261?, co powinno w przysz\u322?o\u347?ci zapobiec podobnym naruszeniom.
\par 
\par Bior\u261?c powy\u380?sze pod uwag\u281?, Wojew\u243?dzki Sad Administracyjny w Warszawie - dzia\u322?aj\u261?c na podstawie art. 151 P.p.s.a. - orzek\u322?, jak w sentencji wyroku.[pic][pic]
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\pard}