Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Izabela Głowacka-Klimas (spr.), Sędzia WSA Ewa Radziszewska-Krupa, Asesor WSA Mateusz Rogala, Protokolant referent Joanna Mazur po rozpoznaniu na rozprawie w dniu 16 października 2025 r. sprawy ze skargi Szpitala [...] Sp. z o.o. w restrukturyzacji na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] listopada 2024 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę

Prezes Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO, organ) decyzją z [...] listopada 2024r. działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572, dalej: "k.p.a.") w związku z art. 7, art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. e) i lit. i), art. 83 ust. 1 i 2, art. 83 ust. 4 lit. a) w związku z art. 33 ust. 1 oraz 34 ust. 1,2 i 4 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej: rozporządzenie 2016/679, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez Szpital [...] Sp. z o.o. w restrukturyzacji (ul. [...], [...], dalej: "Szpital", "Administrator", "Skarżący"),

1. Stwierdził naruszenie przez Szpital [...] Sp. z o.o. w restrukturyzacji (ul. [...], [...]) przepisów:

a) art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia;

b) art. 34 ust. 1 i 2 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osoby, której dane dotyczą oraz nieprzekazaniu tej osobie, w ramach skierowanego do niej zawiadomienia, adekwatnego opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków,

2. Nałożył na Szpital [...] Sp. z o.o. w restrukturyzacji (ul. [...], [...]) administracyjną karę pieniężną w wysokości 29 684,04 zł (słownie: dwadzieścia dziewięć tysięcy sześćset osiemdziesiąt cztery złote cztery grosze),

3. Nakazał Szpitalowi [...] Sp. z o.o. w restrukturyzacji (ul. [...], [...]) zawiadomienie - w terminie 3 dni od dnia doręczenia niniejszej decyzji - osoby, której dane zostały ujawnione w związku z przekazaniem dotyczącej jej dokumentacji medycznej nieuprawnionej osobie, o naruszeniu ochrony danych osobowych w celu przekazania jej informacji wymaganych zgodnie z art. 34 ust. 2 w związku z art. 33 ust. 3 lit. d) rozporządzenia 2016/679, tj. opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia 9 naruszeniu - w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

Do wydania przedmiotowej decyzji doszło w następującym stanie faktycznym i prawnym:

Do Prezesa Urzędu Ochrony Danych Osobowych, 7 listopada 2022 r. wpłynęła informacja od Rzecznika Praw Pacjenta dotycząca możliwości wystąpienia naruszenia ochrony danych osobowych w Szpitalu [...] Sp. z o.o. w restrukturyzacji. Z ww. pisma oraz załączników do niego wynikało, że dokumentacja medyczna w postaci Przedoperacyjnej Ankiety Anestezjologicznej wydana pacjentce oddziału położniczo - ginekologicznego wraz z jej dokumentacją medyczną zawierała dane osobowe, tj. imię, nazwisko, datę urodzenia, numer PESEL oraz dane dotyczące zdrowia, innej pacjentki Administratora.

Prezes UODO przeprowadził postępowanie wyjaśniające w sprawie możliwości wystąpienia w Szpitalu naruszenia ochrony danych osobowych (zarejestrowane pod sygn. [...] ), a następnie [...] marca 2024 roku wszczął z urzędu postępowanie administracyjne w zakresie naruszenia przez Szpital, jako administratora danych, obowiązków wynikających z przepisów art. 33 ust. 1 oraz 34 ust. 1 i 2 rozporządzenia 2016/679.

Prezes UODO, po otrzymaniu informacji o możliwości wystąpienia naruszenia ochrony danych osobowych w Szpitalu, pismami z [...] i [...] listopada 2022 r. zwrócił się do Administratora o wyjaśnienie, czy w związku z omyłkowym wydaniem dokumentu w postaci Przedoperacyjnej Ankiety Anestezjologicznej osobie nieuprawnionej została dokonana analiza pod kątem wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych osobowych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osoby, której dane dotyczą.

W odpowiedzi na wezwanie Prezesa UODO, Administrator pismem z [...] grudnia 2022 r. wskazał, że ze względu na brak zgłoszenia pomyłki przy wydawaniu dokumentacji w momencie jej wystąpienia nie miał możliwości jednoznacznego zidentyfikowania incydentu. Ponadto wskazano, że Dział Statystyki Szpitala został zobowiązany do sprawdzenia historii choroby osoby, której dane dotyczą, pod kątem nieprawidłowości w wystawieniu dokumentacji, jednak stwierdzono, iż wszystkie dokumenty zgodne są ze standardem i zawierają poprawną ankietę anestezjologiczną. W ww. piśmie Administrator wskazał także, że zawiadomił osobę, której dane dotyczą, o naruszeniu ochrony jej danych osobowych oraz wdrożył środki zaradcze poprzez odbycie rozmowy z kierownikiem oddziału oraz pracownikami medycznymi, jak również ustalił termin szkolenia "Postępowanie w przypadku naruszenia i ochrony danych osobowych".

[...] lutego 2023 r. Prezes UODO skierował do Administratora pismo, w którym wezwał go do przedstawienia wyników analizy ryzyka, na podstawie której stwierdzono brak wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych oraz treści informacji przekazanej osobie, której dane dotyczą. Pismem z [...] lutego 2023 r. Szpital przekazał informacje dotyczące przeprowadzonej analizy ryzyka oraz przedstawił treść zawiadomienia skierowanego do osoby, której dane dotyczą.

Administrator zgłosił naruszenie ochrony danych osobowych dopiero w chwili otrzymania od Prezesa UODO zawiadomienia o wszczęciu postępowania, tj. [...] marca 2024 r., tym samym nie dochował terminu 72 godzin na zgłoszenie naruszenia ochrony danych osobowych. W ramach ww. zgłoszenia Szpital przekazał m.in. informację o tym, że zawiadomił o naruszeniu ochrony danych osobę, której dane dotyczą, oraz załączył treść tego zawiadomienia. Zawiadomienie nie zawierało informacji wymaganych zgodnie z art. 34 ust. 2 w związku z art. 33 ust. 3 lit. d) rozporządzenia 2016/679, tj. opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

W uzasadnieniu wskazanej na wstępie decyzji, organ wyjaśnił, że zgodnie z art. 4 pkt 12 rozporządzenia 2016/679, naruszenie ochrony danych osobowych jest naruszeniem bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Art. 33 ust. 1 i 3 rozporządzenia 2016/679 stanowi, że w przypadku naruszenia ochrony danych osobowych, administrator, bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej: a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) zawierać imię, nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celi zminimalizowania jego ewentualnych negatywnych skutków.

Z kolei na podstawie art. 34 ust. 1 rozporządzenia 20016/679, w sytuacji, gdy "istnieje możliwość wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić o naruszeniu osobę, której dane dotyczą. Art. 34 ust. 2 rozporządzenia stanowi, że prawidłowe zawiadomienie powinno:

1. jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych;

2. zawierać przynajmniej informacje i środki, o których mowa w art. 33 ust 3 lit. b), c) i d) rozporządzenia 2016/679, tj.:

a) imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

b) opis możliwych konsekwencji naruszenia ochrony danych osobowych;

c) opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

Analiza powyższych przepisów wskazuje na to, że w zależności od tego, z jakim poziomem ryzyka naruszenia praw lub wolności osób fizycznych administrator ma do czynienia, inaczej kształtują się jego obowiązki w stosunku do organu nadzorczego, a także osób, których dane dotyczą. Jeżeli w wyniku analizy ryzyka administrator stwierdził, że prawdopodobieństwo zaistnienia ryzyka naruszenia praw lub wolności osób fizycznych jest małe, nie jest on zobligowany do zgłoszenia naruszenia Prezesowi Urzędu Ochrony Danych Osobowych. Wskazane naruszenie musi jedynie wpisać do wewnętrznej ewidencji naruszeń. W przypadku stwierdzenia ryzyka naruszenia praw lub wolności osób fizycznych, obowiązkiem administratora jest zgłoszenie naruszenia ochrony danych Prezesowi UODO, jak również umieszczenie wpisu w wewnętrznej ewidencji naruszeń. Wystąpienie wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, oprócz wpisu w ewidencji naruszeń, wymaga od administratora podjęcia odpowiednich działań zarówno wobec organu nadzorczego (zgłoszenie naruszenia ochrony danych osobowych), ale także również wobec osób, których dane dotyczą. Zatem, w przypadku naruszeń ochrony danych osobowych, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, rozporządzenie 2016/679 wprowadza dodatkowy obowiązek niezwłocznego zawiadomienia podmiotu danych przez administratora, chyba że ten podjął działania prewencyjne przed zaistnieniem naruszenia albo działania zaradcze po wystąpieniu naruszenia (art. 34 ust 3 rozporządzenia 2026/679).

Należy podkreślić, że oceny ryzyka naruszenia praw lub wolności osoby fizycznej powinno się dokonać przez pryzmat osoby zagrożonej, a nie interesów administratora. Jest to szczególnie ważne, ponieważ w oparciu o zawiadomienie o naruszeniu ochrony danych osobowych osoba fizyczna może sama dokonać oceny, czy w jej opinii incydent bezpieczeństwa może powodować dla niej negatywne konsekwencje i podjąć odpowiednie działania zaradcze. Również w oparciu o informacje przekazane przez administratora dotyczące opisu charakteru naruszenia i zastosowanych lub proponowanych środków w celu zaradzenia naruszeniu, osoba fizyczna może dokonać oceny, czy po zaistniałym naruszeniu administrator danych nadal daje rękojmię należytego przetwarzania jej danych osobowych w sposób zapewniający ich bezpieczeństwo. Brak zawiadomienia o naruszeniu ochrony danych osobowych osoby fizycznej w przypadku wystąpienia wysokiego ryzyka naruszenia jej praw lub wolności pozbawia ją nie tylko możliwości odpowiedniej reakcji na naruszenie, ale również możliwości dokonania samodzielnej oceny naruszenia, które przecież dotyczy jej danych osobowych i może powodować dla niej poważne konsekwencje.

Brak zgłoszenia naruszenia ochrony danych osobowych pozbawia organ nadzorczy możliwości odpowiedniej reakcji na naruszenie, które polega nie tylko na ocenie ryzyka naruszenia praw lub wolności osoby fizycznej, ale również w szczególności na weryfikacji, czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą, jak również, czy zastosował odpowiednie środki bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia.

Natomiast brak zgłoszenia naruszenia ochrony danych osobowych j pozbawia organ nadzorczy możliwości odpowiedniej reakcji na naruszenie, które polega nie tylko na ocenie ryzyka naruszenia praw lub wolności osoby fizycznej, ale również w szczególności na weryfikacji, czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą, jak również, czy zastosował odpowiednie środki bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia.

Zgłaszanie naruszeń ochrony danych osobowych przez administratorów stanowi zatem skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Zgłaszając naruszenie organowi nadzorczemu, administratorzy informują Prezesa UODO, czy w ich ocenie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, oraz - jeśli takie ryzyko wystąpiło - to czy przekazali stosowne informacje osobom fizycznym, na które naruszenie wywiera wpływ. W uzasadnionych przypadkach mogą również przekazać informację, że powiadomienie w ich ocenie nie jest konieczne ze względu na spełnienie warunków określonych w art. 34 ust. 3 lit. a) i b) rozporządzenia 2016/679. Prezes UODO dokonuje weryfikacji oceny dokonanej przez administratora i może - jeżeli administrator nie zawiadomił osób, których dane dotyczą - zażądać od niego takiego zawiadomienia. Zgłoszenia naruszenia ochrony danych osobowych pozwalają organowi nadzorczemu na właściwą reakcję mogącą ograniczyć skutki takich naruszeń, bowiem administrator ma obowiązek podjęcia skutecznych działań zapewniających ochronę osobom fizycznym i ich danym osobowym, które z jednej strony pozwolą na kontrolę skuteczności dotychczasowych rozwiązań, a z drugiej na ocenę modyfikacji i usprawnień służących zapobieżeniu nieprawidłowościom analogicznym do objętych naruszeniem. Natomiast zawiadomienie osób fizycznych o naruszeniu zapewnia możliwość przekazania tym osobom informacji na temat ryzyka związanego z naruszeniem oraz wskazania działań, jakie osoby te mogą podjąć, aby uchronić się przed potencjalnymi negatywnymi skutkami naruszenia (umożliwia to osobie fizycznej dokonanie samodzielnej oceny naruszenia w kontekście możliwości materializacji negatywnych konsekwencji dla takiej osoby i podjęcia decyzji o zastosowaniu lub braku zastosowania działań zaradczych).

Jak wynika z powyższych rozważań, administrator niezwłocznie pod uzyskaniu informacji o naruszeniu ochrony danych osobowych zobowiązany jest przeprowadzić ocenę ryzyka związanego z tym naruszeniem, dla praw lub wolności osób fizycznych, których to naruszenie dotyczy. Ocena ryzyka powinna stanowić podstawę dla decyzji administratora prowadzącej do podjęcia dalszych działań w celu realizacji obowiązków wynikających z art. 33 ust. 1 oraz 34 ust. 1 i 2 rozporządzenia 2016/679.

W przedmiotowej sprawie Administrator przekazując ocenę ryzyka naruszenia praw lub wolności osób fizycznych w związku z zaistniałym naruszeniem ochrony danych osobowych wskazał, że w jego ocenie ryzyko wystąpienia niedogodności związanych z ujawnieniem danych osobowych pacjentki osobie nieuprawnionej jest niskie, a jego istnienie nie wymaga dalszego postępowania. Podstawę do przyjęcia takiego stopnia ryzyka stanowił m.in. fakt, iż "[...] wskazane skutki w kontekście urzeczywistniania się analizowanego ryzyka nie wystąpiły i nie wystąpią". Ponadto, w piśmie z [...] stycznia 2023 r. Administrator wskazał, że "W sytuacji, gdybyśmy wiedzieli o zdarzeniu w 2021 roku, tj. w trakcie pobytu obu Pań w jednym pokoju, możliwość udowodnienia personelowi medycznemu pomyłki w zakresie ankiet anestezjologicznych byłaby dużo większa, a tym samym ocena ryzyka byłaby średnia".

Szpital co prawda poinformował o naruszeniu ochrony danych osobowych osobę, której dane dotyczą, przekazując jej treść zawiadomienia, jednak z uwagi na brak dokonania w tym zakresie stosownego zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO w przewidzianym przepisami prawa terminie (72 godziny od stwierdzenia naruszenia), pozbawił organ nadzorczy możliwości podjęcia właściwej reakcji na to naruszenie, a co za tym idzie możliwości przeprowadzenia stosownej analizy treści zawiadomienia, skierowanego do tej osoby, pod kątem wypełnienia przez Administratora obowiązków wynikających z ar 34 ust. 2 w związku z art. 33 ust. 3 rozporządzenia 2016/679 i udzielenia ww. osobie kompletnych informacji w kwestii możliwych konsekwencji naruszenia, jak również środków, jakie ta osoba może podjąć, aby uchronić się przed potencjalnymi skutkami naruszenia.

Według kryteriów określonych przez EROD w Wytycznych 9/2022 przedstawiona przez Administratora ocena ryzyka nie została podparta jakimikolwiek rozważaniami odnoszącymi się do ciężaru możliwych skutków naruszenia. Administrator nie wziął pod uwagę chociażby tego, że wśród kategorii naruszonych danych osobowych znalazły się dane dotyczące zdrowia, które zaliczane są do szczególnych kategorii danych osobowych i jako takie winny podlegać szczególnej ochronie ze strony administratorów. Co za tym idzie, ujawnienie danych osobowych zaliczających się do tej kategorii niesie za sobą wysokie ryzyko naruszenia praw lub wolności osób, których dotyczą. Ponadto, z zebranego materiału dowodowego wynika, że dane osobowe pacjentki do chwili obecnej mogą pozostawać w posiadaniu osoby nieuprawnionej.

Podkreślić również należy, że informacja o stanie zdrowia wraz z pozostałymi danymi osobowymi ujawnionymi osobie nieuprawnionej, tj. imieniem, nazwiskiem, datą urodzenia oraz numerem ewidencyjnym PESEL, niewątpliwie pozwala na identyfikację osoby, której dane dotyczą, zwłaszcza biorąc pod uwagę fakt, że, jak podkreślił Administrator, obydwie Panie ulokowane zostały w jednym pokoju.

Jak wskazują Wytyczne 9/2022, naruszenie ochrony danych osobowych może potencjalnie wywołać szereg negatywnych skutków dla osób fizycznych, których dane są przedmiotem naruszenia. Wśród możliwych skutków naruszenia EROD wymienia: uszczerbek fizyczny, szkody materialne lub niemajątkowe. Jako przykłady takich szkód wymienione są m.in.: dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, straty finansowe, naruszenie dobrego imienia, naruszenie poufności danych osobowych oraz znaczna szkoda gospodarcza lub społeczna.

W niniejszej sprawie nie ulega wątpliwości, że z uwagi na zakres danych objętych przedmiotowym naruszeniem ochrony danych osobowych, w tym numer ewidencyjny PESEL wraz z imieniem i nazwiskiem oraz danymi dotyczącymi zdrowia, istnieje wysokie prawdopodobieństwo wystąpienia wymienionych powyżej szkód.

W analizie ryzyka na dzień [...] grudnia 2022 r., przedstawionej w piśmie z [...] lutego 2023 r., administrator określił ryzyko "w zakresie normy". Ponadto zaznaczył, jak już powyżej wskazano, że "Wskazane skutki w kontekście urzeczywistniania się analizowanego zagrożenia nie wystąpiły i nie wystąpią". W związku z powyższym podkreślenia wymaga fakt, że negatywne skutki związane z naruszeniem ochrony danych osobowych nie muszą się zmaterializować dla powstania po stronie administratora obowiązku zgłoszenia naruszenia ochrony danych osobowych oraz zawiadomienia o tym naruszeniu osoby, której dane dotyczą. Oznacza to, że Administrator nie może uzależniać wykonania obowiązków wynikających z art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679 od wystąpienia szkód po stronie osób fizycznych, których dotyczy naruszenie ochrony danych osobowych. Jak stwierdził WSA w Warszawie w wyroku z 22 września 2021 r. wydanym w sprawie o sygn. akt II SA/Wa 791/21: "Podkreślić należy, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować. W treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych" (przy czym Sąd ten podobnie orzekł w wyrokach z 1 lipca 2022 r., sygn. akt II SA/Wa 4143/21, z 31 sierpnia 2022 r., sygn. akt II SA/Wa 2993/21, z 15 listopada 2022 r., sygn. akt II SA/Wa 546/22 oraz z 26 kwietnia 2023 r" sygn. akt II SA/Wa 1272/22).

Jak wskazują Wytyczne 9/2022, gdy administrator dowie się o naruszeniu podlegającym obowiązkowi zgłoszenia należy je zgłosić bez zbędnej zwłoki, nie później niż w ciągu 72 godzin. Ponadto, te same wytyczne wskazują, że w razie wątpliwości Administrator powinien z daleko idącej ostrożności powiadomić organ nadzorczy o naruszeniu ochrony danych osobowych. Powyższe wskazuje zatem na to, że skoro Administrator zdecydował się zawiadomić osobę, której dane dotyczą, o naruszeniu ochrony jej danych osobowych, przewidując, że naruszenie to może wiązać się z wysokim ryzykiem dla praw lub wolności osób fizycznych, to niewątpliwie zobowiązany był także do zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO, co uczynił dopiero po wszczęciu przez Prezesa UODO postępowania administracyjnego w sprawie.

Jak wynika bowiem z art. 33 ust. 1 rozporządzenia 2016/679, w przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

W kontekście powyższych wyjaśnień, Szpital zdaje się zapominać, że stosując przepisy rozporządzenia 2016/679 należy mieć na uwadze cel tego rozporządzenia (wyrażony w art. 1 ust. 2), którym jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych. Z kolei ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości, np. co do wykonania obowiązków przez administratorów - w tym również w sytuacji, gdy doszło do naruszenia ochrony danych osobowych - należy w pierwszej kolejności brać pod uwagę te wartości.

Uzyskanie przez organ nadzorczy pełnych, wymaganych w art. 33 ust. 3 rozporządzenia 2016/679, informacji o określonym naruszeniu ochrony danych osobowych pozwala mu na właściwą ocenę takiego naruszenia i odpowiednią reakcję, polegającą np. na zażądaniu od administratora powiadomienia osób, których dane dotyczą, w sytuacji, gdy jest to konieczne, a administrator nie uczynił tego z własnej inicjatywy. Brak odpowiedniej i szybkiej reakcji na naruszenia ochrony danych osobowych zwiększa ryzyko urzeczywistnienia się związanych z nimi szkód.

Warto podkreślić, że dokonując oceny pod kątem ryzyka naruszenia praw lub wolności osób fizycznych, od której uzależnione jest m.in. dokonanie zgłoszenia naruszenia ochrony danych osobowych, należy łącznie uwzględnić czynnik prawdopodobieństwa i wagę potencjalnych negatywnych skutków. Wysoki poziom któregokolwiek z tych czynników ma wpływ na wysokość ogólnej oceny, od której uzależnione jest wypełnienie m.in. obowiązku określonego w art. 33 ust 1 rozporządzenia 2016/679. Mając na uwadze, że ze względu na zakres ujawnionych danych osobowych w analizowanym przypadku wystąpiła możliwość zmaterializowania się poważnych negatywnych konsekwencji dla osoby, której dane dotyczą (jak wyżej wykazano), to wagę potencjalnego wpływu na prawa lub wolności osoby fizycznej należy uznać za wysoką. Jednocześnie prawdopodobieństwo wystąpienia wysokiego ryzyka w następstwie przedmiotowego naruszenia nie jest małe i nie zostało wyeliminowane. Tym samym stwierdzić należy, że w związku z przedmiotowym naruszeniem wystąpiło wysokie ryzyko naruszenia praw lub wolności osoby fizycznej, której dane dotyczą, co w konsekwencji determinuje obowiązek dokonania zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu.

Szpital kilkukrotnie otrzymał od organu nadzorczego informacje o tym, że dokumentacja medyczna zawierająca dane osobowe w zakresie imienia, nazwiska, daty urodzenia, numeru PESEL oraz danych dotyczących zdrowia znalazła się w posiadaniu innej pacjentki Administratora. Pierwszą informację o możliwym wystąpieniu naruszenia ochrony danych osobowych Szpital otrzymał wraz z pismem Prezesa UODO z [...] listopada 2022 r. Wówczas Administrator wskazał na otrzymanie zbyt małej ilości informacji umożliwiających identyfikację zdarzenia. W związku z powyższym Administratorowi przekazane zostały dodatkowe informacje dotyczące zdarzenia. Pomimo tego, pismem z dnia [...] grudnia 2022r. Administrator poinformował, że w dalszym ciągu nie jest możliwe wykrycie przez niego zdarzenia, jednocześnie jednak wskazał, iż poinformował osobę, której dane dotyczą, o naruszeniu ochrony jej danych osobowych.

Postępowanie Administratora wskazuje zatem na niekonsekwencję, gdyż z jednej strony poinformował on organ nadzorczy o braku możliwości zidentyfikowania zdarzenia, co uniemożliwiło mu zgłoszenie naruszenia ochrony danych osobowych, natomiast z drugiej strony zdecydował się zawiadomić osobę, której dane dotyczą, o naruszeniu ochrony jej danych osobowych przekazując jej pewne informacje dotyczące zaistniałego naruszenia ochrony danych osobowych.

Tymczasem dopiero po otrzymaniu zawiadomienia o wszczęciu postępowania administracyjnego w sprawie, tj. po 16 miesiącach od momentu przekazania Szpitalowi wszelkich informacji pozwalających mu na stwierdzenie naruszenia ochrony danych osobowych, Administrator zdecydował się na realizację ciążącego na nim obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu.

Administrator zatem w sposób znaczny przekroczył zakreślony w art. 33 ust. 1 rozporządzenia 2016/679 termin na jego dopełnienie (72 godziny od stwierdzenia). Przez ten czas stan faktyczny przedstawiony Administratorowi w ww. pismach organu nie uległ zmianie. W formularzu zgłoszenia naruszenia z [...] marca 2024 r. Administrator wskazał jednak, iż przeprowadził ponowną analizę ryzyka, która wykazała istnienie wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Co więcej, w ww. formularzu, w pkt 3A, Szpital podał, że naruszenie ochrony danych osobowych stwierdził [...] listopada 2022 r., tj. niecały tydzień od otrzymania [...] listopada 2022 r. pisma Prezesa UODO w tej sprawie.

Podsumowując powyższe należy stwierdzić, że w przedmiotowym przypadku występuje wysokie ryzyko naruszenia praw lub wolności osoby objętej przedmiotowym naruszeniem ochrony danych osobowych, co z kolei skutkowało powstaniem po stronie Szpitala obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w terminie 72 godzin od jego stwierdzenia, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, a także zawiadomienia tej osoby o naruszeniu ochrony jej danych osobowych, zgodnie z art. 34 ust 1 rozporządzenia 2016/679, w którym muszą się znaleźć wszystkie informacje określone w art. 34 ust. 2 rozporządzenia 2016/679.

W przedmiotowej sprawie nie ma podstaw do stwierdzenia, by Administrator z jakichkolwiek przyczyn zwolniony był z obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w terminie określonym w art. 33 ust. 1 rozporządzenia 2016/679 oraz obowiązku zawiadomienia o nim osoby, której dotyczą dane objęte tym naruszeniem (zgodnie z art. 34 ust. 1 tego rozporządzenia).

W niniejszej sprawie naruszenie ochrony danych osobowych dotyczyło bowiem, co należy ponownie podkreślić, danych w zakresie: imię, nazwisko, numer ewidencyjny PESEL oraz dane dotyczące zdrowia, które to dane udostępnione zostały osobie nieuprawnionej. W ocenie organu nadzorczego nie istnieje więc uzasadnienie dla niewykonania przez Szpital obowiązku wynikającego z art. 33 ust. 1 rozporządzenia 2016/679 w terminie zakreślonym w tym przepisie. W przedstawionych okolicznościach niedopuszczalne jest zatem tak znaczne opóźnienie w zgłoszeniu naruszenia ochrony danych osobowych organowi nadzorczemu.

[...] stycznia 2023 r. Administrator przekazał organowi nadzorczemu informację o zawiadomieniu osoby, której dane dotyczą, a następnie pismem z 24 lutego 2023 r. przekazał treść tego zawiadomienia (data przekazania zawiadomienia ww. osobie: 24 lutego 2023 r.). Zawiadomienie odnosiło się do wcześniejszej rozmowy telefonicznej Administratora z tą osobą, w której Inspektor Ochrony Danych Szpitala przekazał osobie, której dane dotyczą, informację o wystąpieniu naruszenia ochrony jej danych osobowych.

Następnie, wraz ze zgłoszeniem naruszenia ochrony danych osobowych dokonanym 27 marca 2024 r. (w treści którego Szpital wskazał, że ww. naruszenie stwierdził [...] listopada 2022 r.), Administrator ponownie przekazał osobie, której dane dotyczą, informację dotyczącą naruszenia ochrony jej danych osobowych. Treść przekazanego podmiotowi danych zawiadomienia nie zawiera jednak wszystkich informacji wymaganych stosownie do art. 34 ust. 2 w związku z art. 33 ust. 3 rozporządzenia 2016/679, tj. opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym w stosownych przypadkach - środków w celu zminimalizowania jego negatywnych skutków, uwzględniającego wszystkie naruszone kategorie danych osobowych, tj. dane dotyczące zdrowia.

Dane dotyczące zdrowia, zgodnie z rozporządzeniem 2016/679, należą do szczególnych kategorii danych osobowych i jako takie podlegają szczególnym zasadom przetwarzania oraz powinny podlegać szczególnej ochronie ze strony ich administratorów, a w sytuacji wystąpienia naruszenia ochrony danych osobowych powodują powstanie wysokiego ryzyka naruszenia praw lub wolności osoby fizycznej, co obliguje administratora do zawiadomienia takiej osoby o konsekwencjach, jakie mogą wystąpić w związku z naruszeniem tej kategorii danych oraz środkach, jakie może ona podjąć w celu zminimalizowania negatywnych skutków naruszenia.

Niezależnie powyższego podkreślić należy, że zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony jej danych osobowych, stosownie do art. 34 ust. 1 rozporządzenia 2016/679, powinno nastąpić niezwłocznie. Trudno przyjąć, że przekazanie ww. osobie zawiadomień (choć niepełnych) [...] lutego 2023 r., a następnie [...] marca 2024 r. nastąpiło niezwłocznie, skoro zdarzenie miało miejsce w 2021 r., a pierwsze informacje pozwalające na stwierdzenie naruszenia ochrony danych osobowych Szpital otrzymał od Prezesa UODO pismem z [...] listopada 2022 r. Oznacza to w konsekwencji naruszenie przez Administratora ww. przepisu rozporządzenia 2016/679.

Uzasadniając nałożenie kary pieniężnej organ wskazał, że zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11,25-39 oraz 42 i 43 podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. W niniejszej sprawie administracyjna kara pieniężna wobec Administratora nałożona została za naruszenie art. 33 ust. 1 oraz 34 ust. 1 i 2 rozporządzenia 2016/679 na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a) rozporządzenia 2016/679.

Organ wskazał również na kilka czynników uzasadniających nałożenie kary na Szpital [...] sp. z o.o. w restrukturyzacji. Jako pierwsze wymienił powody obciążające Skarżącego i wskazujące na bezpośrednie wymierzenie mu kary pieniężnej:

1. niezgłoszeniu Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia) oraz art. 34 ust. 1 i 2 rozporządzenia 2016/679 (polegające na nieprzekazaniu tej osobie, w ramach skierowanego do niej zawiadomienia, adekwatnego opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków). Podkreślić również należy, że w związku z przekazaniem osobie nieuprawnionej Karty Ankiety Anestezjologicznej pacjentki Szpitala doszło do bezprawnego ujawnienia informacji objętych tajemnicą lekarską, co dodatkowo zwiększa powagę naruszenia i wskazuje na możliwość wystąpienia negatywnych skutków zdarzenia dla osoby, której dane dotyczą.

2. Umyślny charakter naruszenia przez Szpital [...] art. 83 ust. 2 lit.b rozporządzenia 2016/679. Administrator podjął świadomą, popartą analizą ryzyka z [...] grudnia 2022 r., decyzję, by nie zawiadamiać o naruszeniu ochrony danych osobowych Prezesa UODO w terminie [...] godzin od jego stwierdzenia oraz osoby, której dane dotyczą, bez zbędnej zwłoki.

3. Brak podjętych działań dotyczących przekazania osobie, której dane dotyczą pełnej informacji dotyczącej naruszenia ochrony jej danych osobowych co pozbawiło tę osobę wiedzy o rzeczywistym stopniu ryzyka, jak również odebrało jej możliwość samodzielnej oceny skutków naruszenia ochrony jej danych, a co za tym idzie utrudniono jej podjęcie prawidłowych działań, zmierzających do zapobieżenia skutkom tego naruszenia. – naruszenie art. 83 ust. 2 lit. c rozporządzenia 2016/679

4. Dane osobowe znajdujące się na dokumencie Ankiety Anestezjologicznej pacjentki, która nieprawidłowo została wydana nieupoważnionej osobie, których dotyczy naruszenie przepisów rozporządzenia 2016/679, obejmują dane w zakresie imienia, nazwiska, numeru ewidencyjnego PESEL oraz dane dotyczące zdrowia. Charakter działalności prowadzonej przez Administratora wymaga od niego bowiem przetwarzania danych osobowych podlegających szczególnej ochronie na gruncie art. 9 ust. 1 rozporządzenia 2016/679. – art. 83 ust. 2 lit. g rozporządzenia 2016/679

Prezes PUODO wziął pod uwagę również czynniki wpływające łagodząco na wymiar nałożonej kary pieniężnej:

1. Przesłanka wskazana w art. 83 ust 2 lit. d) rozporządzenia 2016/679 nie ma wpływu ani obciążającego ani łagodzącego na wymiar orzeczonej administracyjnej kary pieniężnej. Nie ma ona znaczenia w ocenie naruszenia przez Szpital przepisów art. 33 ust. 1 oraz art. 34 ust. 1 i 2 rozporządzenia 2016/679.

2. Brak wcześniejszych naruszeń w związku z przetwarzaniem danych osobowych

3. Sposób w jaki Prezes PUODO dowiedział się o naruszeniu – poprzez zawiadomienie złożone przez Rzecznika Praw Pacjenta

4. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).

5. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).

6. Brak uzyskania przez szpital jakichkolwiek korzyści majątkowych w związku z naruszeniem danych osobowych.

7. Brak innych okoliczności mających wpływ na wysokość kary

Podsumowując nałożona na Szpital [...] sp. z o.o. kara pieniężna w kwocie 290684,04 zł jest zdaniem Prezesa PUODO wystarczająca i doprowadzi do tego, że Szpital będzie wywiązywał się ze swoich obowiązków.

Na powyższą decyzję skargę do Wojewódzkiego Sądu Administracyjnego złożył Szpital [...] sp. z .o. o. w restrukturyzacji.

Zaskarżonej decyzji zarzucił:

1) art. 33 ust 1 rozporządzenia 2016/679 poprzez błędną interpretację polegającą na uznaniu, że w sytuacji, gdy organ nadzorczy posiada wiedzę o naruszeniu ochrony danych osobowych i sam przekazuje informację administratorowi danych w tym zakresie, poprzez wezwanie go do złożenia wyjaśnień, to administrator danych mimo to jest zobowiązany do zgłoszenia naruszenia do organu nadzorczego.

2) art. 34 ust 1 i 2 w zw. z art. 33 ust 3 lit c i d rozporządzenia 2016/679 poprzez błędną interpretację polegającą na uznaniu, iż opis możliwych konsekwencji naruszenia ochrony danych osobowych zawiadomieniu osoby, której dane dotyczą, musi wskazywać na wszelkie możliwe konsekwencje naruszenia, podczas gdy z treści art. 33 ust 3 lit c rozporządzenia RODO to nie wynika.

Wniósł o :

uchylenie zaskarżonej decyzji w całości,

zasądzenie kosztów postępowania administracyjnego według norm przepisanych.

W uzasadnieniu skargi wskazał, że nie zgadza się z ustaleniami poczynionymi przez Prezesa PUODO. Przepis art. 33 ust 1 rozporządzenia RODO, w przypadku naruszenia ochrony danych, nakłada na administratora danych obowiązek niezwłocznego, w miarę możliwości w ciągu 72 godzin od stwierdzenia naruszenia, powiadomienia organu nadzorczego. W przedmiotowej sprawie, organ nadzorczy, zanim wystąpił do administratora, posiadał taką wiedzę. W ocenie Skarżącego, z art. 33 ust 1 rozporządzenia RODO, nie wynika, aby w sytuacji gdy organ nadzorczy posiada już wiedzę o naruszeniu, bezwzględnie aktualizował się obowiązek notyfikacyjny, gdyż w doktrynie wskazuje się, iż notyfikacja nie ma charakteru bezwzględnego. Naruszenie poufności danych nastąpiło w październiku 2021 roku. Organ nadzorczy powziął informację oraz dokument objęty naruszeniem poufności danych w listopadzie 2022 roku, a następnie również w listopadzie 2022 roku został powiadomiony administrator danych. W listopadzie 2022 roku również została powiadomiona przez administratora danych osoba, której dane dotyczą - początkowo w rozmowie telefonicznej a następnie listownie.

Administrator danych nie zgadza się, ze stwierdzeniem, że ponowne zawiadomienie z dnia [...] marca 2024 roku osoby, której dane dotyczą nie było adekwatne. Opis możliwych konsekwencji naruszenia ochrony danych osobowych w zawiadomieniu osoby, której dane dotyczą, musi wskazywać na możliwe konsekwencje naruszenia. Z treści art. 33 ust 3 lit c rozporządzenia RODO nie wynika, że muszą to być wszelkie możliwe konsekwencje. Wraz z rozwojem techniki zmienia i rozszerza się katalog zagrożeń i przewidzenie wszelkich możliwych zagrożeń jakie mogą nastąpić nie jest możliwe.

W odpowiedzi na skargę Prezes PUODO wniósł o oddalenie skargi w całości.

Wojewódzki Sąd Administracyjny zważył, co następuje.

Skarga nie zasługuje na uwzględnienie.

Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (tekst jednolity Dz. U. z 2024 r., poz. 1267 t.j.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.

W świetle powołanych przepisów cyt. ustawy, Wojewódzki Sąd Administracyjny w Warszawie, w zakresie swojej właściwości, ocenia zaskarżoną decyzję administracyjną, postanowienie, czy też inny akt lub czynność z zakresu administracji publicznej dotyczącą uprawnień lub obowiązków wynikających z przepisów prawa, a także bezczynność lub przewlekłe prowadzenie postępowania przez organ z punktu widzenia ich zgodności z prawem materialnym i przepisami postępowania administracyjnego, według stanu faktycznego i prawnego obowiązującego w dacie wydania tego aktu lub podjęcia spornej czynności, zaś w przypadku skargi na bezczynność lub przewlekłe prowadzenie postępowania - według stanu obowiązującego na dzień orzekania przez Sąd. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej bądź też braku działania organu administracji dokonywaną wyłącznie pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności, czy też zgodności z zasadami współżycia społecznego.

Ponadto, co wymaga podkreślenia, Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (vide: art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi - tekst jednolity Dz. U. z 2024 r., poz. 935 ze zm., dalej także: "p.p.s.a.").

Należy jednocześnie wyraźnie zaznaczyć, że od dnia wejścia w życie Traktatu Akcesyjnego z dnia 16 kwietnia 2003 r. (Dz. U. z 2004 r. Nr 90, poz. 864), na mocy którego Polska stała się państwem członkowskim Unii Europejskiej, kontrola sądu administracyjnego obejmuje również zgodność rozstrzygnięć organów administracji publicznej z prawem europejskim (prawem Unii Europejskiej), rozumianym, jako całokształt dorobku prawnego Unii Europejskiej (acquis communautaire), w tym zasad ogólnych prawa europejskiego, interpretowanych oraz stosowanych w sposób jednolity na całym obszarze Unii Europejskiej.

W tej sytuacji, Wojewódzki Sąd Administracyjny w Warszawie, dokonując oceny legalności działania Prezesa Urzędu Ochrony Danych Osobowych w niniejszej sprawie, zobowiązany był zbadać zgodność owego działania (czy też braku działania) nie tylko z normami prawa krajowego, ale również - a właściwie przede wszystkim - z przepisami prawa europejskiego, w tym w szczególności z regulacjami zawartymi w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z dnia 4 maja 2016 r., str. 1 ze zmianą ogłoszoną w Dz. Urz. UE L 127 z dnia 23 maja 2018 r., str. 2 - zwane dalej także: "RODO").

Przedmiotem kontroli Sądu w rozpoznawanej sprawie jest decyzja Prezesa Urzędu Ochrony Danych Osobowych nakładająca na Szpital [...] sp. z o.o. w restrukturyzacji administracyjną karę pieniężną w wysokości 29 684,04 zł. Sąd ponadto zbadał czy doszło do naruszenia przepisów art. 33 ust. 1 i art. 34 ust. 1 i 2 RODO.

Podstawa materialnoprawną zaskarżonej decyzji był art. 84 ust. 4 lit. a) RODO. Zgodnie z tym art. naruszenia przepisów dotyczących kwestii obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8,11,25-39 oraz 42 i 43 podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10.000.000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Aby ustalić czy wymierzona kara pieniężna na podstawie tego przepisu w rozpoznawanej sprawie była adekwatna, należało w sposób niebudzący wątpliwości ustalić czy Szpital nie wykonał obowiązków określonych w art. 33 ust. 1 i art. 34 ust. 1 ww. rozporządzenia. Powyższe ustalenia spoczywały na Prezesie PUODO, który zdaniem Sądu ustalił stan faktyczny by można było dokonać prawidłowej oceny dokonanych przez niego ustaleń.

Jak stanowi art. 33 ust. 1 rozporządzenia 2016/679, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

Zaś jak stanowi art. 34 ust. 1 jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą o takim naruszeniu. Jak stanowi ust. 2 ww. artykułu, zawiadomienie, o którym mowa w ust. 1 niniejszego artykułu, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d).

Jak zatem wynika z powyżej przytoczonych przepisów, to na administratorze danych spoczywa obowiązek jak najszybszego zawiadomienia organu nadzorczego w zależności od stopnia ryzyka naruszenia praw lub wolności osób fizycznych. Podkreślić jednak należy, że jeżeli po dokonaniu przez administratora danych oceny analizy stopnia ryzyka dojdzie on do uzasadnionego przekonania, że wystąpienie ryzyka jest mało prawdopodobne jest on zwolniony z obowiązku zgłoszenia organowi naruszenia. Jeżeli zaś uzna, że zaistniałe ryzyko jest wysokie, będzie on zobowiązany zawiadomić o naruszeniu osobę, której dane dotyczą.

Nałożona na Szpital kara pieniężna jest konsekwencją niedopełnienia obowiązków wynikających z art. 33 ust. 1 oraz art. 34 ust. 1 i 2 RODO.

Należy zaznaczyć, że bezspornym jest fakt, że zgłoszenia naruszenia danych osobowych dokonała osoba trzecia tj. Rzecznik Praw Pacjenta. Bezspornym pozostaje również to, że Szpital dokonał zgłoszenia do Prezesa PUODO powyższego faktu dopiero po 16 miesiącach od momentu powzięcia informacji o prowadzeniu przez Organ postępowania w tym zakresie. Bezsporny jest również fakt, że w wyniku pomyłki pracowników Szpitala zostały ujawnione dane dotyczące zdrowia (dane szczególnie wrażliwe) jednej z pacjentek Szpitala, osobie trzeciej.

Szpital co prawda zawiadomił osobę, której dane osobowe zostały naruszone jednak nie zrobił tego niezwłocznie jak wymagają tego przywołany powyżej art. 34 RODO. Szpital oceniając ryzyko naruszenia danych osobowych w kontekście praw lub wolności osoby fizycznej, ocenił jako "w zakresie normy". Poglądu tego nie można podzielić. Zdaniem Sądu, pogląd ten jest lekceważący w stosunku do stopnia wrażliwości ujawnionych danych osobowych, jakimi są dane dotyczące zdrowia. Wobec powyższych ustaleń obowiązek zgłoszenia tego faktu powinien był nastąpić w terminie 72 godzin od wykrycia zaistniałego zdarzenia.

Sąd zgadza się z poglądem wyrażonym przez Organ, że dane te zaliczają się do danych osobowych szczególnej kategorii oraz, że istnieje wysokie ryzyko naruszenia praw lub wolności osób, których dane te dotyczą. Ujawnione bowiem zostały takie dane jak: imię, nazwisko, PESEL, data urodzenia oraz dane dotyczące zdrowia innej pacjentki.

W zaistniałym przypadku osoba trzecia, która weszła w posiadanie tak szczególnych danych osobowych jednej z pacjentek Szpitala, mogła z wielką swobodą zapoznać się z historią choroby pacjentki, której dane zostały udostępnione, jak również z metodami leczenia, czy takimi danymi jak imię nazwisko, data urodzenia, PESEL. W tym momencie osoba, której dane osobowe zostały udostępnione straciła kontrolę nad swoimi danymi osobowymi, a tym samym doznała naruszenia jej prawa do ochrony danych osobowych.

Tożsamy pogląd wyrażony został także w doktrynie: "W toku dokonywania oceny, czy występują ryzyka ich naruszenia, administrator powinien brać pod uwagę wszelkie możliwe szkody, jak i krzywdy, które mogą wynikać z danego zdarzenia dla osób fizycznych. Mogą one w szczególności polegać na utracie kontroli nad własnymi danymi osobowymi, negatywnych konsekwencjach wizerunkowych, możliwości zawierania przez inną osobę umów z wykorzystaniem danych osobowych innej osoby fizycznej, stratach finansowych czy wreszcie negatywnym odbiorze społecznym, który może być konsekwencją upublicznienia niektórych danych osobowych. Do zaistnienia ryzyka nie jest przy tym konieczne, by ostatecznie doszło do wystąpienia szkody lub krzywdy wynikających z danego naruszenia ochrony danych osobowych" (Komentarz RODO ogólne rozporządzenie o ochronie danych osobowych, red. Edyta Bielak-Jomaa, Dominik Lubasz, Wolters Kluwer, Warszawa 2018).

Odnosząc się do wymierzenia Szpitalowi [...] sp. z o.o. w restrukturyzacji kary pieniężnej, należy wskazać, że doszło do ujawnienia danych szczególnie wrażliwych co skutkuje wysokim naruszenie praw lub wolności osoby, których dane dotyczą.

Jak wskazuje Europejska Rada Ochrony Danych – EROD, z wysokim ryzykiem naruszenia praw i wolności osoby fizycznej możemy mówić gdy zostaną ujawnione m.in. informacje dotyczące stanu zdrowia danej osoby lub jej sytuacji rodzinnej (por. wytyczne 9/2022 pkt. 106 i 107). Ocena ryzyka musi uwzględniać stopień wrażliwości danych i możliwości ich użycia w sposób wyrządzający znaczną szkodę majątkową i niemajątkową.

W niniejszej sprawie, Organ w sposób szczegółowy wykazał, że ujawnienie danych dotyczących zdrowia jednej z pacjentek Szpitala osobie trzeciej w pełni wypełnia definicję wysokiego ryzyka zapisanego w EROD jak również wskazuje na brak niezwłocznej reakcji Szpitala na ujawnienie powyższych danych.

Wobec czego, Szpital nie wywiązał się z ciążącego na nim z mocy art. 33 ust. 1 oraz 34 ust. 1 i 2 RODO, obowiązku zawiadomienia Prezesa PUODO oraz niezwłocznym poinformowaniu osoby której dane zostały ujawnione o zaistniałym zdarzeniu.

Orzeczona zatem wobec Szpitala kara pieniężna jest adekwatna do popełnionego czynu. Wymiar kary został określony na podstawie przesłanek wymienionych przez Organ w treści uzasadnienia decyzji. Należy wskazać, że kara wymierzona Szpitalowi [...] sp. z o.o. w restrukturyzacji mieści się w granicach określonych w art. 84 ust. 2 RODO.

Biorąc wszystkie powyższe okoliczności pod uwagę Wojewódzki Sąd administracyjny w Warszawie, na podstawie art. 151 p.p.s.a. orzekł jak w sentencji.