DKN.5131.53.2021
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023 r., poz. 775, ze zm.), zwanej dalej: „KPA”, art. 7 ust. 1 oraz art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), a także art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. e) oraz i), art. 83 ust. 1 i 2, art. 83 ust. 4 lit. a) w związku z art. 33 ust. 1 oraz art. 34 ust. 1, 2 i 4 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str.2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej „rozporządzeniem 2016/679”, po przeprowadzeniu postępowania administracyjnego wszczętego z urzędu w sprawie naruszenia przepisów o ochronie danych osobowych przez Pana B.W. prowadzącego działalność gospodarczą pod firmą: B. (…), Prezes Urzędu Ochrony Danych Osobowych,
1) stwierdza naruszenie przez Pana B.W. prowadzącego działalność gospodarczą pod firmą: B. (…) przepisów:
a) art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia oraz
b) art. 34 ust. 1 i 2 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą, w sposób zgodny z wymogami art. 34 ust. 2 rozporządzenia 2016/679,
2) nakłada na przez Pana B.W. prowadzącego działalność gospodarczą pod firmą: B. (…) administracyjną karę pieniężną w wysokości 9.903,60 PLN (słownie: dziewięć tysięcy dziewięćset trzy złote sześćdziesiąt groszy),
3) nakazuje przez Pana B.W. prowadzącego działalność gospodarczą pod firmą: B. (…) zawiadomienie - w terminie 3 dni od dnia doręczenia niniejszej decyzji - wyszczególnionych w tej decyzji trzech osób, których dane w postaci numeru PESEL zostały ujawnione w wyniku przedmiotowego nieuprawnionego udostępnienia, o naruszeniu ochrony ich danych osobowych w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, tj.:
a) opisu charakteru naruszenia ochrony danych osobowych;
b) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
c) opisu możliwych konsekwencji naruszenia ochrony danych osobowych;
d) opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
Uzasadnienie
W dniu 13 września 2021 r. do Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej również „Prezesem UODO” lub „organem nadzorczym”, wpłynęła informacja o naruszeniu ochrony danych osobowych pochodząca od podmiotu trzeciego. Zgodnie z przekazaną informacją naruszenie polegało na wysłaniu w dniu (...) sierpnia 2021 r. do nieuprawnionego adresata wiadomości e-mail zawierającej niezabezpieczoną hasłem bazę danych (zwaną dalej „Bazą”) - pełną listę uczestników Konferencji „(…)” zaplanowanej na dzień (...) września 2021 r. w N. Jak wskazano, wysyłki tej wiadomości dokonano od podmiotu zwanego dalej również „Administratorem”: Pana B.W. prowadzącego działalność gospodarczą pod firmą: B. (…). W Bazie tej, jak wynikało z informacji przekazanej przez podmiot trzeci, znajdowały się dane (...) osób w zakresie ich: imion, nazwisk, adresów e-mail, numerów telefonu, miejsc zatrudnienia, stanowisk, statusów płatności za udział w konferencji oraz danych dotyczących zdrowia (informacje o byciu zaszczepionym lub nie).
W związku z uzyskaniem wyżej wskazanych informacji organ nadzorczy zwrócił się do Administratora o stosowne wyjaśnienia dotyczące ww. zdarzenia. Jednak ustalenie stanu faktycznego we współpracy z Administratorem okazało się długotrwałe i trudne, nie tylko z uwagi na nieterminowość udzielania przez niego informacji. Na pewnym etapie zaistniała nawet konieczność zwrócenia się przez Prezesa UODO do inspektora ochrony danych (dalej: „IOD”) wyznaczonego przez nieuprawnionego odbiorcę przedmiotowej wiadomości e-mail zawierającej Bazę celem pełnego wyjaśnienia okoliczności zaistniałego naruszenia. Informacje przekazane przez ten ostatni podmiot oraz przekazane przezeń materiały (w tym m.in.: zrzut ekranu ujawniający nadawcę i odbiorcę wiadomości e-mail zawierającej Bazę, a także plik zawierający Bazę, którym to dowodom Prezes UODO dał wiarę w zakresie danych z nich wynikających) wraz z pozostałymi wyjaśnieniami udzielonymi przez Administratora (które bywały sprzeczne z dowodami i informacjami przekazanymi przez IOD wyznaczonego przez nieuprawnionego odbiorcę i w tym zakresie zostały uznane za niewiarygodne) pozwoliły na ustalenie następującego przebiegu zdarzeń:
- w dniu (...) sierpnia 2021 r. (…) X. Z., podpisana jako (…), wysłała wiadomość e-mail z adresu: (…), na adres: (…);
- Domena: (…) należy do Y. sp. z o.o. z siedzibą w P. (dalej również: „Spółka”), do której wysłano przedmiotową wiadomość, a adres ten był wykorzystywany przez Pana B.W. w okresie, w jakim współpracował z tą Spółką (tj. do I kwartału 2021 r., kiedy to nastąpiło rozwiązanie umowy łączącej oba te - następczo skonfliktowane - podmioty);
- w stopce przesłanej wiadomości wskazano adresy stron internetowych: (…) oraz (…), a także logo: (…) oraz (…), które to serwisy prowadzi i pełni funkcję administratora danych Pan B.W. prowadzący działalność gospodarczą pod nazwą B. z siedzibą pod adresem: ul. (…);
- ww. wiadomość e-mail nie zawierała treści, a jedynie niezabezpieczony przed odczytaniem przez osobę nieuprawnioną załącznik, w którym znajdowała się Baza;
- dane osobowe znajdujące się w (...) wierszach tej Bazy niekiedy się powtarzają, więc faktyczna liczba osób dotkniętych naruszeniem jest mniejsza (naruszenie dotyczyło danych osobowych (...) osób);
- kategorie danych osobowych zawartych w Bazie różniły się w przypadku poszczególnych ich podmiotów. Znajdowały się tam dane ww. osób w zakresie: imion, nazwisk, danych podmiotów gospodarczych, z którymi te osoby były powiązane zawodowo oraz sprawowanych przez nie funkcji, adresów e-mail, numerów telefonu oraz numerów NIP (przy czym w przypadku trzech osób zamiast numerów NIP wpisano ich numery ewidencyjne PESEL). Ponadto w Bazie znalazły się dane dotyczące zdrowia niektórych osób (informacje o byciu zaszczepionym lub nie), a także informacje (choć również nie w każdym przypadku) o ilości biletów, ich rodzaju (nocleg), liczbie osób korzystających z noclegu, fakturze proforma oraz statusie płatności za udział w konferencji;
- część danych znajdujących się w Bazie (nieznaczna, bo dotycząca jedynie (...) osób i w różnym zakresie niedotyczącym w żadnym przypadku numeru ewidencyjnego PESEL) znana była uprzednio Spółce; część tych danych jest również możliwa do odnalezienia w Internecie, co zostało wykazane przez Administratora (w zakresie niepokrywającym się w żadnym razie z całością danych znajdujących się w Bazie);
- Spółka poinformowała o zaistniałym zdarzeniu osoby, których dane znajdowały się w Bazie - informacja ta nie zawierała elementów wymaganych zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, a Administrator nie wykazał, by w przypadku osób, których numery ewidencyjne PESEL znalazły się w Bazie, elementy te zawierała informacja przekazana przezeń telefonicznie.
Jak już wyżej wskazano, uzyskiwanie informacji od Administratora było utrudnione, a składane przez niego wyjaśnienia nie były spójne. Aby wykazać prawidłowość ustalania przez organ nadzorczy stanu faktycznego (oraz zobrazować trudności powodowane przez postawę Administratora), poniżej opisano jego przebieg. Opis ten pozwala również wyjaśnić, na jakiej podstawie Prezes UODO ustalił stan faktyczny sprawy - tj. w jakiej części i którym oświadczeniom (Administratora oraz IOD wyznaczonego przez Spółkę będącą nieuprawnionym odbiorcą wiadomości e-mail) dał wiarę, a którym (i z jakich powodów) organ nadzorczy odmówił wiarygodności.
Po uzyskaniu informacji o wysłaniu do nieuprawnionego odbiorcy wiadomości e-mail zawierającej Bazę, w dniu 24 września 2021 r. organ nadzorczy skierował do Administratora wezwanie do wyjaśnień, w którym wskazał m.in. obowiązki wynikające z art. 33 ust. 1 i 3 rozporządzenia 2016/679 oraz zwrócił się na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679 o udzielenie informacji, czy w związku z ww. sytuacją dokonana została analiza incydentu pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych osobowych, skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie. W piśmie tym wskazano również Administratorowi, w jaki sposób może dokonać zgłoszenia naruszenia.
W odpowiedzi na powyższe, Administrator pismem, które wpłynęło do tutejszego Urzędu w dniu 11 października 2021 r., wyjaśnił, że m.in.: „(…) nie zaszła konieczność zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych oraz osób, których dotyczy naruszenie” oraz że do tego udostępnienia doszło w wyniku niezamierzonej wysyłki wiadomości e-mail na adres, do którego osoba nieuprawniona miała dostęp [cyt.: „(…) adres na jaki udostępniono jest adresem spółki Y. sp. z o.o. z którą miałem zawartą (rozwiązaną na początku bieżącego roku) umowę o charakterze cywilnoprawnym”]. Organ nadzorczy pismem z dnia 12 października 2021 r. wskazał (nawiązując do treści ww. pisma Administratora), że w przedmiotowej sytuacji bez znaczenia pozostają podnoszone przez Administratora argumenty, iż: „(…) to ta spółka była jedynym administratorem konta (adresu e-mail). Nigdy nie odpowiadałem za istnienie tego adresu, jego prowadzenie czy konfigurację”, „(…) współpracę z ww. spółką zakończyłem na początku bieżącego roku i od tego czasu nie używam tego adresu e-mail” oraz że „Gdyby zatem doszło do prawidłowego i koniecznego usunięcia adresu, to wiadomość zawierająca dane osobowe w ogóle nie dotarła by na wskazany adres, bo wiadomość skierowana na błędny adres po prostu by została odrzucona przez serwer pocztowy”. Organ nadzorczy w odpowiedzi na argumenty podnoszone przez Administratora, zwrócił mu również uwagę, że w przypadku, gdy administrator danych osobowych udostępnia je osobie nieuprawnionej - nawet jeśli taka „sytuacja była jednokrotną, incydentalną” - musi on dokonać analizy tego zdarzenia w kontekście art. 4 pkt 12 rozporządzenia 2016/679 - zgodnie z tym przepisem „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Prezes UODO wskazał, że do takiego naruszenia w wyżej opisanej sytuacji niewątpliwie doszło, stąd nieuzasadnione wydaje się stwierdzenie Administratora, iż: „(…) brak podstaw do podejmowania przeze mnie dalszych czynności”. Za tym brakiem podstaw nie przemawia w szczególności podnoszony przez Administratora argument, że: „(…) do udostępnienia danych osobowych w istocie doszło przede wszystkim w wyniku zaniechania spółki Y. sp. z o.o. w usunięcie nieaktualnego adresu z swojego serwera (okoliczność ta stanowi swego rodzaju praprzyczynę)”. Organ nadzorczy wyjaśnił również Administratorowi w ww. piśmie, że przyczyną wystąpienia naruszenia w przedmiotowej sprawie jest wysłanie przez niego na niewłaściwy adres e-mail wiadomości zawierającej dane osobowe. Z uwagi na fakt, że Administrator potwierdził fakt udostępnienia danych osobowych podmiotowi nieuprawnionemu, Prezes UODO - udzieliwszy Administratorowi powyższych wyjaśnień - zwrócił się również w piśmie z dnia 12 października 2021 r. na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679 o udzielenie informacji, czy w związku z ww. sytuacją dokonana została ponowna analiza incydentu pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych osobowych, skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie, a ponadto przypomniał Administratorowi treść art. 33 ust. 1 rozporządzenia 2016/679.
W odpowiedzi na powyższe wezwanie Administrator wskazał m.in., że: „(…) przeprowadzona ponownie analiza wskazuje, że jednak zachodzi konieczność zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych oraz osób, których dotyczy naruszenie. Niemniej, uznaję, że jest mało prawdopodobne, by przedmiotowe naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, z przyczyn wskazanych już w poprzednim piśmie. Wskazuję w szczególności bowiem, że dane osób nie zawierały szczególnie wrażliwych danych jak numer PESEL czy numery rachunków bankowych, numery dowodów osobistych. Jest to o tyle istotne, że to ujawnienie takich danych, jak numer ewidencyjny PESEL wraz z imieniem i nazwiskiem oraz informacjami o stanie finansowym / majątkowym może zostać wykorzystane lub powodować np. ograniczenie możliwości korzystania z praw obywatelskich i usług kierowanych do ogółu obywateli (np. głosowania w ramach budżetu obywatelskiego, internetowej rejestracji wizyt w urzędach itp.); osoby trzecie mogą podjąć próbę uzyskania pożyczek w instytucjach pozabankowych z użyciem danych osoby dotkniętej naruszeniem, np. przez internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości; osoby trzecie mogą podjąć próbę uzyskania dostępu do systemów obsługujących udzielanie świadczeń medycznych i uzyskać wgląd do danych o stanie zdrowia osoby dotkniętej naruszeniem, ponieważ czasem dostęp do systemów rejestracji pacjenta można uzyskać potwierdzając swoją tożsamość za pomocą numeru PESEL; osoby trzecie mogą podjąć próbę zawarcia na szkodę osoby dotkniętej naruszeniem umów cywilnoprawnych”. Ponadto Administrator wskazał, że: „(…) z uwagi na zaistniałą sytuację zleciłem podmiotowi zewnętrznemu wykonanie analizy bezpieczeństwa danych pod kątem ochrony danych osobowych” i załączył kopię faktury VAT potwierdzającą wykonaną usługę.
Wobec braku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, w dniu 16 listopada 2021 r. Prezes UODO wszczął z urzędu wobec Administratora postępowanie administracyjne (sygnatura pisma: DKN.5131.53.2021.(…)). Ponadto, w zawiadomieniu o wszczęciu postępowania administracyjnego (doręczonym Administratorowi w dniu 25 listopada 2021 r.) organ nadzorczy zwrócił się do niego na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679 (w związku z dotychczas przekazanymi przezeń informacjami) o złożenie w terminie 7 dni od dnia otrzymania pisma wyjaśnień, które pozwolą przyjąć, że jest mało prawdopodobne, by zdarzenie dotyczące (...) osób i polegające na wysłaniu nieuprawnionemu odbiorcy wiadomości e-mail zawierającej ich dane osobowe w postaci: imion, nazwisk, adresów e-mail, numerów telefonów, miejsc zatrudnienia, stanowisk, statusu płatności za udział w konferencji oraz danych dotyczących zdrowia (informacje o byciu zaszczepionym lub nie) skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
W odpowiedzi na powyższe zawiadomienie o wszczęciu postępowania administracyjnego, Administrator pismem datowanym na dzień 2 grudnia 2021 r., które zostało nadane do tutejszego Urzędu dopiero w dniu 6 grudnia 2021 r., poinformował m.in., że: „(…) okoliczności sprawy podawane przeze mnie wskazują, że jest mało prawdopodobne by zdarzenie będące przedmiotem wszczętego postępowania administracyjnego skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Wskazane (...) osób zostało powiadomionych o zdarzeniu i żadna z nich nie uznała, że zaistniało ryzyko naruszenia jej praw lub wolności. Wszystkie wskazane osoby upubliczniają swoje imiona nazwiska, adresy e-mail, numery telefonów, miejsca zatrudnienia, stanowiska, gdyż taką obrały drogę zawodową. Kwestia statusu płatności czy bycia zaszczepionym nie stanowi okoliczności istotnych, okoliczności te są pozbawione rzeczywistego znaczenia prawnego, w szczególności z uwagi na fakt, że kwestia bycia zaszczepionym opiera się jedynie na deklaracji, której prawdziwości nie można zweryfikować miernikami obiektywnymi”.
W związku z powyższymi wyjaśnieniami, w dniu 14 stycznia 2022 r. wezwano Administratora w terminie 7 dni od dnia doręczenia pisma m.in. do wyjaśnienia, czy wszystkie dane wszystkich ww. (...) osób (w zakresie: imienia, nazwiska, adresu e-mail, telefonu, miejsca zatrudnienia, stanowiska, tj. danych znajdujących się w wiadomości e-mail wysłanej do nieuprawnionego odbiorcy), są danymi publicznie dostępnymi, a jeśli tak, to gdzie są one udostępniane i z jakich powodów. Wezwanie to zostało doręczone w dniu 27 stycznia 2022 r.
Administrator w odpowiedzi (która została opatrzona datą 14 lutego 2022 r., a nadana do tutejszego Urzędu dopiero w dniu 21 lutego 2022 r.) wyjaśnił, że: „Wszystkie osoby, których dane zostały wskazane w wiadomości e-mail zawodowo związane są z szeroko rozumianymi branżami hotelarską i gastronomiczną, w tym cateringową. Ich dane umożliwiające udział w konferencji (jedyne dane, które zostały zawarte w wiadomości e-mail) są albo ogólnodostępne w sieci internet albo też są możliwe do uzyskania po skontaktowaniu się nawet nie tyle [z] tą osobą, ale często nawet po skontaktowaniu się z podmiotem z którym jest zawodowo dana osoba związana, np. z odpowiednim hotelem, restauracją czy np. spółką zajmującą się działalnością cateringową”. Ponadto Administrator wniósł o: »(...) przeprowadzenie (…) stosownego postępowania dowodowego (dowodu) (…) poprzez wpisanie jako frazę wyszukiwania pojedynczych adresów e-mail celem ukazania, że adresy te są lub były (na dzień przesłania spornej wiadomości e-mail) dostępne powszechnie (wyszukanie frazy z adresem e-mail doprowadzi do uzyskania wyniku w postaci strony internetowej zawierającej pozostałe dane przyporządkowane do tego adresu, jak imię i nazwisko czy nazwa „firmy” - spółki z branży hotelarskiej i gastronomicznej«. Administrator wniósł również o przeprowadzenie dowodu z Centralnej Ewidencji i Informacji o Działalności Gospodarczej oraz Rejestru Przedsiębiorców Krajowego Rejestru Sądowego.
Pismem z dnia 7 marca 2022 r. Prezes UODO (ustosunkowując się do treści ww. odpowiedzi administratora) wskazał, że Administrator nie udzielił odpowiedzi na wszystkie zadane mu pytania, a także że organ nadzorczy nie posiada adresów e-mail (...) osób, których danych dotyczy przedmiotowe naruszenie (na tym etapie organ nadzorczy nie dysponował żadnymi danymi osobowymi znajdującymi się w Bazie, co uniemożliwiało wyszukiwanie poszczególnych danych w Internecie czy jakichkolwiek rejestrach). Ponadto organ nadzorczy zaznaczył, że zgodnie z dotychczasowymi ustaleniami, wiadomość e-mail wysłana do nieuprawnionego odbiorcy, zawierała dane dotyczące imienia, nazwiska, adresu e-mail, telefonu, miejsca zatrudnienia, stanowiska, statusu płatności za udział w konferencji oraz danych dotyczących zdrowia (informacje o byciu zaszczepionym lub nie), a nie tylko adresu e-mail, imienia i nazwiska oraz nazwy firmy. Z uwagi na powyższe, działając na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679, Prezes UODO zwrócił się ponownie o złożenie (wcześniej nie udzielonych) wyjaśnień w terminie 7 dni od dnia doręczenia tego pisma, a ponadto o wskazanie adresów stron internetowych (linków do stron), na których znajdują się dane przyporządkowane do (...) adresów e-mail osób dotkniętych przedmiotowym naruszeniem ochrony danych osobowych lub zrzutów ekranu z widocznymi danymi tych 91 osób znajdującymi się na tych stronach (z widocznymi adresami tych stron). Wezwanie to zostało doręczone w dniu 18 marca 2022 r.
Pismem, które wpłynęło do tutejszego Urzędu w dniu 11 kwietnia 2022 r. (a które wysłano w dniu 5 kwietnia 2022 r.), Administrator wyjaśnił, że: „wszystkie dane wszystkich dziewięćdziesięciu jeden osób są lub ówcześnie były (tj. w czasie gdy doszło do przesłania danych) danymi publicznie dostępnymi; udostępniane są w Centralnej Ewidencji i informacji o Działalności Gospodarczej, Krajowym Rejestrze Sądowym (włącznie z aktami rejestrowymi)”. W piśmie tym Administrator poinformował dodatkowo o skierowaniu przeciwko niemu pozwu przez Spółkę będącą nieuprawnionym odbiorcą danych oraz o tym, że sam również skierował pozew do sądu przeciwko tej Spółce. Natomiast w zakresie wskazania stron internetowych, na których znajdują się przedmiotowe dane przyporządkowane do (...) osób, Administrator wniósł o: „(…) przedłużenie terminu do udzielenia odpowiedzi o kolejne 14 dni, gdyż zgromadzenie niezbędnych danych wymaga znacznej ilości czasu (…)”, jednak do Urzędu nie wpłynęła żadna dodatkowa korespondencja w tym zakresie aż do dnia 18 lipca 2022 r., kiedy to Administrator udzielił odpowiedzi w reakcji na wezwanie do wyjaśnień przesłane mu przez Prezesa UODO w dniu 8 lipca 2022 r. Wyjaśnienia te (nadane dnia 14 lipca 2022 r.) zawierały zrzuty ekranu, na których widoczne były pewne kategorie danych osobowych nieco ponad (...) osób (w przypadku których widoczne były ich imiona, nazwiska, adresy e-mail, numery telefonów czy fakt sprawowania przez nich określonych funkcji w różnych podmiotach - lecz nie w każdym z tych przypadków zakres upublicznionych danych obejmował wszystkie te kategorie). Na przesłanych zrzutach ekranów nie były widoczne dane dotyczące bycia zaszczepionym lub nie przez żadną z osób.
Ze względu na rozbieżność w liczbie osób, których danych dotyczyło zaistniałe naruszenie oraz brak możliwości weryfikacji, czy zrzuty ekranu faktycznie uwidaczniają dane osób dotkniętych naruszeniem ochrony danych osobowych, zwrócono się do IOD wyznaczonego przez Spółkę, która stała się nieuprawnionym odbiorcą wiadomości e-mail zawierającej Bazę, o udostępnienie treści tej wiadomości wraz z załącznikiem zawierającym przedmiotowe dane osobowe. Po jej otrzymaniu, organ nadzorczy stwierdził, że dane zawarte w (...) wierszach tabeli niekiedy się powtarzają, więc faktyczna liczba osób dotkniętych naruszeniem jest mniejsza (naruszenie dotyczyło danych osobowych (...) osób). Kategorie danych osobowych zawartych w Bazie różniły się w przypadku poszczególnych ich podmiotów. Znajdowały się tam dane ww. osób w zakresie: imion, nazwisk, danych podmiotów gospodarczych, z którymi te osoby były powiązane zawodowo oraz sprawowanych przez nie funkcji, adresów e-mail, numerów telefonu oraz numerów NIP (przy czym w przypadku trzech osób zamiast numerów NIP wpisano ich numery ewidencyjne PESEL). Ponadto w Bazie znalazły się dane dotyczące zdrowia niektórych osób (informacje o byciu zaszczepionym lub nie), a także informacje (choć również nie w każdym przypadku) o ilości biletów, ich rodzaju (nocleg), liczbie osób korzystających z noclegu, proformie oraz statusie płatności za udział w konferencji. Z informacji przekazanych przez IOD Spółki będącej nieuprawnionym odbiorcą ww. danych wynikało również, że przedmiotową wiadomość e-mail wysłała z adresu e-mail (…) (…) X. Z. (podpisana jako (…)). Wysyłka nastąpiła na adres e-mail: (…), przy czym domena: (…) należy do Spółki (nieuprawnionego odbiorcy).
Ze względu m.in. na ww. rozbieżności, zwrócono się do Administratora w dniu 17 marca 2023 r. o udzielenie wyjaśnień w terminie 7 dni od otrzymania wezwania. Korespondencji zawierającej pierwsze wezwanie Administrator nie odebrał. Drugie wezwanie przesłane w dniu 21 kwietnia 2023 r. zostało odebrane w dniu 9 maja 2023 r. Administrator najpierw zwrócił się o przedłużenie terminu na udzielenie odpowiedzi na wezwanie do dnia 23 maja 2023 r., a po uzyskaniu informacji o jego wydłużeniu przez organ nadzorczy zgodnie z wnioskiem, udzielił odpowiedzi przesyłając pismo dopiero w dniu 1 czerwca 2023 r. (czyli ponownie z przekroczeniem wyznaczonego terminu).
W ww. wyjaśnieniach z 1 czerwca 2023 r. Administrator poinformował, że żaden fragment jego pisma z dnia 14 lipca 2022 r. (zawierającego zrzuty ekranu) nie wskazuje by dotyczyło ono jedynie części danych osobowych znajdujących się w Bazie i teza, jakoby tak było, jest błędna. Nadto Administrator wskazał, że miejscem opublikowania numerów ewidencyjnych PESEL znajdujących się w Bazie jest Krajowy Rejestr Sądowy a także, że funkcję rejestru naruszeń ochrony danych osobowych w zakresie wpisu dotyczącego przedmiotowego naruszenia pełnią u niego pisma wymieniane z organem nadzorczym (nie rejestruje bowiem naruszeń w szczególny sposób).
Z uwagi na fakt, że Prezes UODO pozyskał od IOD Spółki będącej nieuprawnionym odbiorcą Bazy informację, że przedmiotowa wiadomość e-mail nie została wysłana osobiście przez Pana B.W., Administrator w ww. wezwaniu do wyjaśnień, które odebrane zostało 9 maja 2023 r., został zapytany również o to, jaką funkcję w procesie przetwarzania danych osobowych zawartych w udostępnionej Bazie sprawuje osoba, która wysłała ww. wiadomość e-mail w dniu (...) sierpnia 2021 roku. Organ nadzorczy prosił również, by przy okazji składania przez Administratora wyjaśnień w tym zakresie, wskazał z jakich przyczyn udzielając w dniu 14 lutego 2022 roku odpowiedzi Prezesowi UODO na wezwanie do wyjaśnień (obejmujące m.in. pytanie „czy wiadomość e-mail, która zawierała przedmiotowe dane osobowe, została wysłana przez Pana osobiście do osoby nieuprawnionej, czy też wysłał ją Pana pracownik albo inna osoba”) Administrator oświadczył, że „Nie zatrudniam pracowników, którzy mogliby wejść w posiadanie tych danych; wszelkie czynności w tym zakresie wykonuję i wykonywałem samodzielnie”. Administrator w odpowiedzi nadanej w dniu 1 czerwca 2023 r. wskazał, że skoro nie zatrudnia nikogo, to nikt inny nie mógł wysłać przedmiotowej wiadomości e-mail i jej nie wysłał.
W ww. wezwaniu do wyjaśnień odebranym ostatecznie przez Administratora w dniu 9 maja 2023 r. organ nadzorczy wezwał Pana B.W. m.in. do wyjaśnienia, czy nieuprawniony odbiorca danych objętych Bazą był w posiadaniu wszystkich tych danych przed ich otrzymaniem poprzez wiadomość e-mail przesłaną w dniu (...) sierpnia 2021 r. Wątpliwości w tym zakresie wywoływało m.in. to, że Administrator wskazywał w piśmie z dnia 14 lutego 2022 r. (cyt.): „Co więcej, adresy te zebrałem samodzielnie i tak też je gromadziłem i przetwarzałem”. Administrator wyjaśnił w tym zakresie, że »(…) byłem pracownikiem „nieuprawnionego odbiorcy” i w ramach moich obowiązków zawodowych zebrałem samodzielnie, gromadziłem i przetwarzałem dane objęte bazą. Informacje zawarte w e-mailu z (...) sierpnia 2021 r. nie zawierały żadnych innych danych niż dane zebrane, gdy byłem pracownikiem „nieuprawnionego odbiorcy” i z tej przyczyny wiem, że „nieuprawniony odbiorca” był w posiadaniu tych danych« (na fakt, że nieuprawniony odbiorca był wcześniej w posiadaniu tych danych i je przetwarzał Administrator wskazywał też w piśmie, które wpłynęło do Prezesa UODO w dniu 17 listopada 2022 r.). W związku ze złożeniem takiego oświadczenia przez Administratora, zwrócono się do IOD Spółki będącej nieuprawnionym odbiorcą wiadomości e-mail zawierającej dane osobowe, których dotyczy przedmiotowe naruszenie, o przekazanie dodatkowych informacji - tj. czy przed otrzymaniem ww. wiadomości e-mail Spółka posiadała wszystkie dane zawarte w tej Bazie. IOD podmiotu, który stał się nieuprawnionym odbiorcą danych osobowych, poinformował Prezesa UODO, że Spółka nie posiadała i nie posiada znaczącej większości danych zawartych w przesłanej Bazie - w swoich bazach danych stwierdziła posiadanie danych zaledwie (...) osób lub podmiotów, ale wyłącznie w zakresie ich: imienia i nazwiska, firmy, adresu e-mail, numeru telefonu oraz numeru NIP (przy czym zakres posiadanych danych w przypadku tych (...) osób nie zawsze obejmował wszystkie te kategorie).
Administrator w swoim piśmie nadanym w dniu 1 czerwca 2023 r. m.in. domagał się wyjaśnień z jakich przyczyn „(…) Prezes UODO w ogóle rozważa, że wiadomość została wysłana przez inną osobę, skoro ja takiego oświadczenia nie składałem” oraz odwołuje się do faktu, że w swoich wcześniejszych wyjaśnieniach nie zawarł nic, z czego można byłoby wyciągnąć wniosek, że przesłane przezeń zrzuty ekranu dotyczyły jedynie części danych znajdujących się w Bazie. W odpowiedzi na to (przesłanej najpierw w dniu 21 czerwca 2023 r., a następnie przesłanej ponownie w dniu 21 lipca 2023 r. z uwagi na niepodjęcie przez Administratora poprzedniej korespondencji w terminie), organ nadzorczy wskazał wyraźnie, że treść tej Bazy „znana jest obecnie również Prezesowi UODO”, a następnie ponownie zażądał wyjaśnień. Administrator najwyraźniej pominął tę informację i ponownie złożył wyjaśnienia (pismem, które wpłynęło do tutejszego Urzędu w dniu 14 sierpnia 2023 r.) świadczące o założeniu, iż Prezes UODO nie jest w posiadaniu przesłanej w dniu (...) sierpnia 2021 r. wiadomości zawierającej Bazę.
Administrator w ww. wyjaśnieniach wskazał najpierw, że: »Absolutnie błędnym, wręcz niezrozumiałym, jest stwierdzenie (…) zgodnie z którym wiadomość e-mail została nadana przez (…) X. Z.. Niezrozumiałymi są podstawy tej informacji (dlaczego Prezes UODO uważa, że e-mail wysłała „X. Z."), szczególnie, że nigdy wcześniej te informacje nie pojawiały się w pismach Prezesa UODO. Jak wielokrotnie już wyjaśniałem (np. pisma z kwietnia 2022 r., listopada 2022 r.), e-mail z (...) sierpnia został wysłany przeze mnie na mój inny nieaktualny adres e-mail. Gdyby spółka (…) Y. sp. z o.o. usunęła mój nieaktualny adres po zakończeniu współpracy, to e-mail w ogóle by do tej spółki (w ramach współpracy z którą dane zostały zgromadzone) nie dotarł«. Następnie, udzielając odpowiedzi na pytanie z jakich przyczyn skierowane przez niego w dniu 14 lipca 2022 r. pismo (zawierające zrzuty ekranu) odnosi się tylko do części danych osobowych, które znalazły się w Bazie, odpowiedział, że teza o tym, że pismo z lipca 2022 r. odnosi się jedynie do części danych osobowych, które znalazły się w Bazie, jest błędna. Wyjaśnił również, że: »„X. Z.” nie sprawuje jakiejkolwiek funkcji w procesie przetwarzania danych osobowych zawartych w Bazie. Wręcz niezrozumiałym są, co wyżej już podnosiłem, na jakich podstawach Prezes UODO dokonuje ustaleń istnienia osoby o takich danych. Wcześniejsze wyjaśnienia były odmienne niż obecne twierdzenia Prezesa UODO, ale nie były odmienne od moich twierdzeń; zawsze twierdziłem, że e-mail został wysłany przeze mnie „do siebie”, jak wyżej wskazałem«.
Administrator w wezwaniu do wyjaśnień z dnia 21 lipca 2023 r. został również ponownie poproszony przez Prezesa UODO o wskazanie miejsca opublikowania numerów ewidencyjnych PESEL znajdujących się w Bazie - poprzez wskazanie konkretnego numeru Krajowego Rejestru Sądowego pod jakim zarejestrowano właściwy podmiot lub podmioty - przy czym organ nadzorczy poprosił go, by udzielając wyjaśnień w tym zakresie, uwzględnił fakt, że numery ewidencyjne PESEL zostały przypisane w Bazie do konkretnych osób i wystąpiły wraz z innymi ich danymi. Administrator udzielił w tym zakresie następującej odpowiedzi: „Jak wskazywałem już w piśmie z maja br., nikt nie może zasłaniać się nieznajomością wpisów w Krajowym Rejestrze Sądowym. Art. 15 ust. 1 ustawy z 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym stanowi, że Od dnia ogłoszenia w Monitorze Sądowym i Gospodarczym nikt nie może zasłaniać się nieznajomością ogłoszonych wpisów. Nawet np. podpisując akt notarialny nie ma potrzeby przynoszenia wydruku z KRS. Tak więc, to UODO, szczególnie w kontekście podstawowych zasad postępowania administracyjnego, winien w tym zakresie przeprowadzić odpowiednie ustalenia. Niezrozumiała jest dla mnie natomiast druga część tego zapytania, tzn. nie rozumiem dlaczego i jak mam uwzględnić fakt, że numery PESEL zostały przypisane w Bazie do konkretnych osób i występowały z innymi osobami”.
Jedno z zadanych przez Prezesa UODO w dniu 21 lipca 2023 r. pytań dotyczyło również tego, czy nieuprawniony odbiorca danych objętych Bazą był również w posiadaniu danych dotyczących faktu bycia zaszczepionym lub nie przez osoby, których dane znalazły się w Bazie (przy czym organ nadzorczy poprosił Administratora o potwierdzenie, że informacje te odnosiły się do szczepień przeciwko COVID-19). Administrator odpowiadając na to pytanie wskazał, że: »Nie rozumiem jakiego podmiotu dotyczy określenie „nieuprawniony odbiorca”. E-mail został wysłany na adres, którego serwer jest i był w posiadaniu spółki (…), a ja z adresu pocztowego pod tym serwerem już nie korzystałem z uwagi na zakończenie współpracy (jak już wcześniej wyjaśniałem, gdyby (…) usunęło adres e-mail, to by do przesłania e-maila nie doszło). Jeżeli podjęcie „nieuprawniony odbiorca” dotyczy mnie, to bytem uprawniony; jeżeli spółki (…), to tego nie wiem, należałoby skierować zapytanie do tego podmiotu. Nie wiem czy informacje te odnosiły się do szczepień przeciwko COVID-19, bo tych konkretnych danych (dotyczących szczepień) ja nie gromadziłem”.
Nadto w wyjaśnieniach, które wpłynęły do tutejszego urzędu w dniu 14 sierpnia 2023 r. Administrator podkreślił także m.in., że jest przedsiębiorcą prowadzącym jednoosobową działalność gospodarczą, nikogo nie zatrudnia ani nie zatrudniał, a także, że żadna z osób, których dotyczy Baza, nie zgłosiła żadnych roszczeń czy żądań.
Ze względu na zakres danych faktycznie udostępnionych nieuprawnionemu odbiorcy obejmujący w trzech przypadkach również numer ewidencyjny PESEL, a także ze względu na wyjaśnienia Administratora dotyczące zawiadamiania o zaistniałym naruszeniu ochrony danych osób, których dane znajdowały się w Bazie (m.in. zawarte w piśmie opatrzonym datą 2 października 2023 r.), w dniu 4 października 2023 r. wysłano do Administratora zawiadomienie o rozszerzeniu prowadzonego postępowania administracyjnego o możliwość naruszenia przez niego, jako administratora danych, obowiązków wynikających z przepisów art. 34 ust. 1 i 2 rozporządzenia 2016/679. We wcześniejszych pismach Administrator wskazał bowiem, że nie zaistniała konieczność zawiadomienia o naruszeniu ochrony danych osobowych osób nim dotkniętych (vide: wyjaśnienia zawarte m.in. w piśmie, które wpłynęło do tutejszego Urzędu w dniu 11 października 2021 r.). Następnie Administrator wskazał (w wyjaśnieniach, które wpłynęły do organu nadzorczego w dniu 11 kwietnia 2022 r.), że wszystkie (...) osób zostało powiadomione o zaistnieniu naruszenia - nieuprawniony odbiorca przesłał bowiem wiadomość e-mail do tych osób. Administrator załączył do tych wyjaśnień tę informację przekazaną przez nieuprawnionego odbiorcę. Zapoznanie się z treścią tej wiadomości pozwoliło Prezesowi UODO stwierdzić, iż nie spełnia ona wymagań z art. 34 ust. 1 i 2 rozporządzenia 2016/679 nie tylko dlatego, że nie została przesłana przez administratora danych będących przedmiotem naruszenia, ale również ze względu na brak wymaganych ww. przepisem elementów. Ponadto, w ww. wyjaśnieniach odebranych przez organ w dniu 11 kwietnia 2022 r. Administrator wskazał, że z każdą z osób, której dane znajdowały się w Bazie kontaktował się telefonicznie - w tym, by przeprosić za zaistniałe zdarzenie. Niestety, niejasnym przy tym pozostaje, czy skontaktował się ze wszystkimi osobami faktycznie dotkniętymi tym naruszeniem, czy tylko z tymi osobami, których dane widoczne są na zrzutach ekranu przekazanych organowi nadzorczemu (pismem, które wpłynęło w dniu 18 lipca 2022 r.), jako że podnosił, iż naruszenie dotyczyło tylko tych około (...) osób. Administrator w piśmie opatrzonym datą 2 października 2023 r. wyjaśnił, że: „(…) telefonicznie każda z tych osób uzyskała informację o tym, że jej dane w postaci imienia, nazwiska, adresu, ewentualnie o byciu albo nie zaszczepionym, oraz inne charakterystyczne dla każdej z osób, zostały przesłane na mój stary adres e-mail, to jest adres do którego nie mam już dostępu i który jest administrowany przez spółkę (…). Zdecydowałem się na taką formę, bo znam te osoby i zgodnie z wcześniejszymi rozmowami taka forma kontaktu umożliwiała najszybszy sposób dotarcia do nich, tzn. powzięcia przez te osoby wiedzy o tym fakcie. Zgodnie z moimi rozmowami z tymi osobami, korzystają one z poczty elektronicznej, ale z uwagi na obowiązki zawodowe nie są w stanie zapoznawać się z dokładną treścią wiadomości na bieżąco, podczas, gdy telefony odbierają niemal zawsze, poza szczególnymi przypadkami”. Z uwagi na treść tych wyjaśnień i fakt, że Administrator nie uznawał konieczności dokonywania tych zawiadomień, nie sposób stwierdzić, by były one zgodne z wymogami art. 34 ust. 1 i 2 rozporządzenia 2016/679 (a także z wymogami z art. 12 ww. rozporządzenia - w zakresie ich formy). W piśmie z 2 października 2023 r. Administrator złożył również wnioski dowodowe, które dla porządku zostaną omówione poniżej wraz z wnioskami złożonymi we wcześniejszym piśmie.
Odnosząc się do wskazanych przez Administratora w piśmie, które wpłynęło do tutejszego Urzędu w dniu 22 lutego 2022 r., wniosków dowodowych, tj.:
1) przeprowadzenia dowodu »(…) na okoliczność, że w postaci wyszukania w internecie, a więc w powszechnie udostępnianych danych, poprzez wpisanie jako frazę wyszukiwania pojedynczych adresów e-mail celem ukazania, że adresy te są lub były (na dzień przesłania spornej wiadomości e-mail) dostępne powszechnie (wyszukanie frazy z adresem e-mail doprowadzi do uzyskania wyniku w postaci strony internetowej zawierającej pozostałe dane przyporządkowane do tego adresu, jak imię i nazwisko czy nazwa „firmy” - spółki z branży hotelarskiej i gastronomicznej«;
2) przeprowadzenie dowodu z „rejestrów” z uwagi na to, że: „W przypadku (…) imion, nazwisk do których przyporządkowano numer NIP, a nawet adres przedsiębiorcy, to i tak dane te wynikają z publicznodostępnych rejestrów - Centralnej Ewidencji i Informacji Działalności Gospodarczej. W przypadku osób pełniących funkcję w zarządach osób prawnych czy prokurentów takim rejestrem jest z kolei Rejestr Przedsiębiorców Krajowego Rejestru Sądowego”, a także do wskazanych przez Administratora w piśmie z dnia 2 października 2023 r., wniosków dowodowych sformułowanych następująco:
3) „(…) Prezes UODO jest w posiadaniu danych umożliwiających skierowanie do wszystkich dziewięćdziesięciu jeden osób wezwań by ustalić żądane przez siebie informacje, w tym objęte wezwaniem z 14 września 2023 r. [przyp.: wskazanie, jakie informacje zostały przez Administratora telefonicznie przekazane osobom, których numery ewidencyjne PESEL znalazły się w Bazie] i to to wnoszę”;
4) „(…) by usprawnić postępowanie i by odpowiedzieć na wszelkie możliwe wątpliwości Prezesa UODO, na podstawie art. 86 KPA, wnoszę o przesłuchanie mnie w charakterze strony. Zgodnie z tym przepisem, Jeżeli po wyczerpaniu środków dowodowych lub z powodu ich braku pozostały niewyjaśnione fakty istotne dla rozstrzygnięcia sprawy, organ administracji publicznej dla ich wyjaśnienia może przesłuchać stronę”, uznać należy je za nie mające znaczenia dla prawidłowego ustalenia stanu faktycznego.
Zgodnie z art. 78 § 1 KPA, organ prowadzący postępowanie obowiązany jest uwzględnić żądanie dowodowe strony, jeżeli przedmiotem dowodu jest okoliczność mająca znaczenie dla sprawy. W doktrynie przyjmuje się, że ocena tego, czy przedmiotem dowodu jest okoliczność mająca znaczenie dla sprawy, czy nie, należy do organu, a nie do strony. Oznacza to, że organ prowadzący postępowanie nie jest związany żądaniami dowodowymi strony. Organ jest natomiast związany w tej mierze przepisami prawa materialnego, stanowiącymi podstawę rozstrzygnięcia[1]. Zatem to do organu będzie należało rozstrzygniecie, czy dopuścić dany dowód, czy też nie. Nie ulega wątpliwości, iż organ powinien najpierw rozważyć, czy dana okoliczność, dla której powołany został przez stronę środek dowodowy, wymaga udowodnienia.
Zgodnie z wyrokiem Naczelnego Sądu Administracyjnego z 4 sierpnia 2017 r. (sygn. I OSK 1607/16, LEX nr 2345355), w każdym postępowaniu organ ma obowiązek zgromadzenia dowodów mających znaczenie dla rozstrzygnięcia danej sprawy i poczynienia na tej podstawie niezbędnych ustaleń faktycznych. O tym, jakie ustalenia faktyczne są konieczne dla załatwienia sprawy, decydują jednak prawidłowo wyłożone przepisy prawa materialnego, a nie subiektywne przekonanie strony. Żaden organ prowadzący postępowanie nie ma obowiązku przeprowadzenia wszystkich dowodów wnioskowanych przez stronę. Wskazywanych przez nią środków dowodowych nie można pominąć tylko wtedy, gdy nie zostały wyjaśnione sporne fakty mające znaczenie dla rozstrzygnięcia sprawy. Powoduje to, że tylko nieustalenie okoliczności mających znaczenie dla sprawy można uznawać za naruszenie reguł procedowania, które mogłoby mieć wpływ na treść ustaleń faktycznych, a w konsekwencji na treść orzeczenia kończącego postępowanie w danej sprawie. Przewidziane w art. 78 KPA uprawnienie strony podlega ograniczeniom ze względu na celowość i szybkość postępowania. Organ może nie uwzględnić żądania przeprowadzenia dowodu, jeżeli ma to na celu przewleczenie sprawy (wyrok NSA z 29 listopada 2016 r., sygn. II GSK 3322/15, LEX nr 2230883).
Prezes UODO uznał wnioski dowodowe wskazane przez Administratora za niemające znaczenia dla sprawy, gdyż w jego ocenie zgromadzony w sprawie materiał dowodowy jest wystarczający do jej rozstrzygnięcia, a organ nie ma obowiązku uwzględniania wszystkich wniosków strony.
Dane znajdujące się w Bazie, które były zarazem dostępne w Internecie, zostały przekazane Prezesowi UODO przez Administratora pismem z dnia 14 lipca 2022 r. (na etapie wniosków składanych przez Administratora w piśmie z dnia 22 lutego 2022 r. organ nadzorczy nie posiadał danych znajdujących się w Bazie). Stąd należy zakładać, że Administrator wezwany ponownie przez Prezesa UODO w dniu 8 lipca 2022 r. na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679 do wskazania adresów stron internetowych (linków do stron), na których znajdują się dane przyporządkowane do (...) adresów e-mail osób dotkniętych przedmiotowym naruszeniem lub zrzutów ekranu z widocznymi danymi tych dziewięćdziesięciu jeden osób znajdującymi się na tych stronach (z widocznymi adresami tych stron), przedstawił w dniu 14 lipca 2022 r. wszystkie znalezione przez siebie, dostępne w Internecie, dane (przy czym zrealizował działanie, o które wcześniej wnosił). Jednak, jak już wcześniej stwierdzono w uzasadnieniu niniejszej decyzji, przedstawione przez Administratora dane widoczne na zrzutach ekranów nie pokrywają się ze wszystkimi danymi zamieszczonymi w Bazie. Ponadto zarówno w Internecie, jak i we wskazanych przez Administratora rejestrach (o których mowa w pkt 2 powyżej) nie znajdą się informacje pokrywające się z danymi zamieszczonymi w Bazie w zakresie np. bycia zaszczepionym lub nie przez daną osobę.
Odnosząc się następnie do dwóch pozostałych wniosków (zawartych w piśmie z dnia 2 października 2023 r.), należy zauważyć, że Administrator złożył wyjaśnienia w zakresie treści przekazanych przez siebie zawiadomień o naruszeniu ochrony danych osobowych „z ostrożności” (w tym samym piśmie z dnia 2 października 2023 r.), toteż kierowanie wezwań do osób wskazanych w Bazie doprowadziłoby do jedynie do zbędnego przedłużania postępowania. Natomiast odnosząc się do wniosku o przesłuchanie Administratora w charakterze strony (o którym mowa w pkt 4 powyżej), to na tym etapie postępowania administracyjnego organ nadzorczy nie stwierdził istnienia wątpliwości, które rozwiać miałyby zeznania złożone przez Administratora, a ponadto uznał, że zgromadzony materiał dowodowy wystarcza do wydania decyzji administracyjnej (o czym zawiadomił Administratora pismem z dnia 21 listopada 2023 r.)
Mając zatem na uwadze powyższe, należy uznać, że zgłoszone przez Administratora wnioski dowodowe w zakresie, o jakim mowa w pkt 1-4 powyżej, dotycząokoliczności nie mających znaczenia dla sprawy, a tym samym ich realizacja byłaby bezcelowa.
Administrator skorzystał w dniu 8 grudnia 2023 r. ze swojego uprawnienia do zapoznania się z aktami sprawy, w których znajdował się m.in. zrzut ekranu, na którym widoczny był nadawca oraz odbiorca wiadomości e-mail zawierającej Bazę, a także plik Bazy (które to dane zostały udostępnione organowi nadzorczemu przez IOD Spółki będącej nieuprawnionym odbiorcą tej wiadomości). Następnie w dniu 15 grudnia 2023 r. przesłał pismo zawierające podsumowanie jego stanowiska w sprawie. Administrator nie zaprzeczył w nim informacjom widocznym na ww. zrzucie ekranu, czy zawartym w pliku Bazy. Podniósł w nim jednak ponownie, że to zaniechanie spółki Y. sp. z o.o. z siedzibą w P. w zakresie usunięcia adresu e-mail wykorzystywanego przez Administratora w czasie, gdy współpracował z tą spółką (tj. do końca marca 2021 r.) „(…) doprowadziło do tego, że w ogóle możliwym było dotarcie wiadomości e-mail na nieuprawniony adres”. Nadto podkreślił, że żadna z osób dotkniętych naruszeniem „nie zgłosiła się do postępowania” ani nie zgłosiła jakichkolwiek roszczeń, co zdaniem Administratora dowodzi także tego, że „dane te nie były przez te osoby chronione przed upublicznieniem, a więc należy te dane uznać za publicznie dostępne, skoro żadna z tych osób nie oczekuje ich ochrony”. Administrator wskazał również, że jego sytuacja majątkowa nie uległa zmianie - prowadzona przez niego działalność (…).
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył co następuje:
Zgodnie z art. 4 pkt 12 rozporządzenia 2016/679 „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Art. 33 ust. 1 i 3 rozporządzenia 2016/679 stanowi, że w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu właściwemu zgodnie zart. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgłoszenie, o którym mowa w ust. 1 musi, co najmniej: a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Z kolei art. 34 ust. 1 rozporządzenia 2016/679 wskazuje, że w sytuacji możliwości wystąpienia wysokiego ryzyka dla praw lub wolności osób fizycznych wynikających z naruszenia ochrony danych osobowych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o naruszeniu. Zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, prawidłowe zawiadomienie powinno:
1) jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych;
2) zawierać przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d) rozporządzenia 2016/679, tj.:
a) imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
b) opis możliwych konsekwencji naruszenia ochrony danych osobowych;
c) opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
Z analizy ww. przepisów wynika zatem, że w zależności od tego, z jakim poziomem ryzyka naruszenia praw lub wolności osób fizycznych administrator ma do czynienia, inaczej kształtują się jego obowiązki w stosunku do organu nadzorczego, a także osób, których dane dotyczą. Jeżeli w wyniku analizy administrator stwierdził, że prawdopodobieństwo zaistnienia ryzyka naruszenia praw lub wolności osób fizycznych jest małe, nie jest on zobligowany do zgłoszenia naruszenia Prezesowi Urzędu Ochrony Danych Osobowych. Wskazane naruszenie musi jedynie wpisać do wewnętrznej ewidencji naruszeń. W przypadku stwierdzenia ryzyka naruszenia praw lub wolności osób fizycznych, obowiązkiem administratora jest zgłoszenie naruszenia ochrony danych Prezesowi UODO, jak również umieszczenie wpisu w wewnętrznej ewidencji naruszeń. Wystąpienie wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, oprócz wpisu w ewidencji naruszeń, wymaga od administratora podjęcia odpowiednich działań, zarówno wobec organu nadzorczego (zgłoszenie naruszenia ochrony danych), ale również wobec osób, których dane dotyczą. W przypadku naruszeń ochrony danych osobowych, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, rozporządzenie 2016/679 wprowadza bowiem dodatkowy obowiązek niezwłocznego zawiadomienia podmiotu danych przez administratora, chyba że ten podjął działania prewencyjne przed zaistnieniem naruszenia albo działania zaradcze po wystąpieniu naruszenia (art. 34 ust. 3 rozporządzenie 2016/679).
Jak wynika z powyższego, w przypadku wykrycia przez administratora naruszenia ochrony danych osobowych, w pierwszej kolejności konieczne jest dokonanie analizy pod kątem wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. Administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu, jeśli w wyniku przeprowadzonego badania okaże się, że istnieje co najwyżej małe prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. Należy jednak mieć na względzie fakt, iż organ nadzorczy będzie mógł zwrócić się do administratora o uzasadnienie decyzji o niezgłaszaniu naruszenia, w związku z tym wnioski z przeprowadzonej analizy należy odnotować w wewnętrznej ewidencji naruszeń. Fakt, że Administrator wezwany pismem z dnia 21 kwietnia 2023 r. do przekazania organowi nadzorczemu kopii rejestru naruszeń w zakresie, w jakim obejmuje on wpis dotyczący naruszenia ochrony danych osobowych polegającego na udostępnieniu Bazy nieuprawnionemu odbiorcy, wyjaśnił, że nie rejestruje naruszeń w szczególny sposób, każe się zastanowić nad kompetencjami Administratora do przetwarzania danych osobowych oraz znajomością podstawowych jego zasad (w szczególności art. 5 ust. 2 rozporządzenia 2016/679). W tym miejscu warto również przypomnieć, że w Wytycznych 9/2022[2], znajdują się rekomendacje Europejskiej Rady Ochrony Danych (dalej: „EROD”) dotyczące wymogu zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu.
Zgłaszanie naruszeń ochrony danych osobowych przez administratorów stanowi skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Zgłaszając naruszenie organowi nadzorczemu, administratorzy informują Prezesa UODO, czy w ich ocenie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą oraz - jeśli takie ryzyko wystąpiło - to czy przekazali stosowne informacje osobom fizycznym, na które naruszenie wywiera wpływ. W uzasadnionych przypadkach mogą również przekazać informację, że zawiadomienie w ich ocenie nie jest konieczne ze względu na spełnienie warunków określonych w art. 34 ust. 3 lit. a) i b) rozporządzenia 2016/679. Brak zgłoszenia naruszenia ochrony danych osobowych pozbawia organ nadzorczy możliwości odpowiedniej reakcji na naruszenie mogącej ograniczyć jego skutki. Reakcja ta polega nie tylko na ocenie ryzyka naruszenia dla praw lub wolności osoby fizycznej (wobec których organ nadzorczy może od administratora zażądać wykonania obowiązku z art. 34 ust. 1 rozporządzenia 2016/679), ale również w szczególności na weryfikacji, czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą, jak również, czy zastosował odpowiednie środki bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia. Administrator ma bowiem obowiązek podjęcia skutecznych działań zapewniających ochronę osobom fizycznym i ich danym osobowym, które z jednej strony pozwolą na kontrolę skuteczności dotychczasowych rozwiązań, a z drugiej ocenę modyfikacji i usprawnień służących zapobieżeniu nieprawidłowościom analogicznym do objętych naruszeniem.
Z kolei zawiadomienie osób fizycznych o naruszeniu zapewnia możliwość przekazania tym osobom informacji na temat ryzyka związanego z naruszeniem oraz wskazania działań, jakie osoby te mogą podjąć, aby uchronić się przed potencjalnymi negatywnymi skutkami naruszenia. Umożliwia to osobie fizycznej dokonanie samodzielnej oceny naruszenia w kontekście możliwości materializacji negatywnych konsekwencji dla takiej osoby i podjęcia decyzji o zastosowaniu lub braku zastosowania działań zaradczych. Również w oparciu o informacje przekazane przez administratora dotyczące opisu charakteru naruszenia i zastosowanych lub proponowanych środkach w celu zaradzenia naruszeniu, osoba fizyczna może dokonać oceny, czy po zaistniałym naruszeniu administrator danych nadal daje rękojmię należytego przetwarzania jej danych osobowych w sposób zapewniający ich bezpieczeństwo.Brak zawiadomienia o naruszeniu osoby fizycznej w przypadku wystąpienia wysokiego ryzyka naruszenia jej praw lub wolności pozbawia ją nie tylko możliwości odpowiedniej reakcji na naruszenie, ale również możliwości dokonania samodzielnej oceny naruszenia, które przecież dotyczy jej danych osobowych i może powodować doniosłe konsekwencje dla niej.
Ze względu na wciąż pojawiające się błędy administratorów, należy podkreślić w tym miejscu dodatkowo dwie kwestie. Po pierwsze to, że obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu oraz zawiadomienia osoby fizycznej o naruszeniu jej danych osobowych nie jest uzależniony od materializacji negatywnych konsekwencji dla takiej osoby, ale od samej możliwości wystąpienia takiego ryzyka. Po drugie zaś, że oceny naruszenia - przeprowadzonej przez administratora pod kątem ryzyka naruszenia praw lub wolności osób fizycznych i niezbędnej do stwierdzenia, czy doszło do naruszenia ochrony danych skutkującego koniecznością zgłoszenia naruszenia Prezesowi UODO (art. 33 ust. 1 i 3 rozporządzenia 2016/679) oraz zawiadomienia osób, których dotyczy naruszenie (art. 34 ust. 1 i 2 rozporządzenia 2016/679) - powinno się dokonać przez pryzmat osoby zagrożonej, a nie interesów administratora.
W przedmiotowej sprawie Administrator nie wykazał, by ww. ocena ryzyka została prawidłowo dokonana - w reakcji na dwukrotne wezwanie do przedstawienia takiej oceny, przekazał jedynie informację o tym, że w jego ocenie jest mało prawdopodobne, by przedmiotowe naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, przy czym wskazał, że „dane osób nie zawierały szczególnie wrażliwych danych jak numer PESEL czy numery rachunków bankowych, numery dowodów osobistych” (co w przypadku trzech osób, których numery ewidencyjne PESEL znalazły się w Bazie pozostaje argumentem całkowicie chybionym).
Poddając ocenie wyżej przytoczone stanowisko Administratora, należy na wstępie ponownie wskazać, że zakres danych ujawnionych nieuprawnionemu odbiorcy nie był identyczny w przypadku każdej z (...) osób (zwanych dalej również „Podmiotami Danych), których dane znalazły się w Bazie. Fakt ten skutkuje wystąpieniem różnych poziomów ryzyka naruszenia praw lub wolności tych osób. W Bazie, jak wcześniej wskazano, znajdowały się dane osobowe w zakresie (nie zawsze takim samym): imion, nazwisk, danych podmiotów gospodarczych, z którymi Podmioty Danych były powiązane zawodowo oraz sprawowanych przez nie funkcji, adresów e-mail, numerów telefonu oraz numerów NIP. W Bazie znalazły się dane dotyczące zdrowia niektórych osób (informacje o byciu zaszczepionym lub nie), a także informacje (choć również nie w każdym przypadku) o ilości biletów, ich rodzaju (nocleg), liczbie osób korzystających z noclegu, proformie oraz statusie płatności za udział w konferencji. Osoby, których zakres ujawnionych danych osobowych nie przekraczał powyżej wskazanego nazywane będą „Osobami z grupy A”. Natomiast trzy osoby, w których przypadku zamiast numerów NIP wpisano w Bazie numery ewidencyjne PESEL, nazywane będą w dalszej części niniejszej decyzji „Osobami z grupy B”.
Następnie, dokonując oceny ww. stanowiska Administratora, należy zaznaczyć, że pomiędzy sytuacjami, w których istnieje małe prawdopodobieństwo by naruszenie ochrony danych osobowych skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych (co zwykle uzasadnia brak obowiązku informacyjnego z art. 33 ust. 1 rozporządzenia 2016/679) a sytuacjami, gdy istnieje wysokie ryzyko naruszenia praw lub wolności osób fizycznych (gdy - poza obowiązkiem z art. 33 ust. 1 rozporządzenia 2016/679 - najczęściej pojawia się dodatkowy obowiązek z art. 34 ust. 1 tego rozporządzenia), pozostają przypadki „pośrednie”, których istnienia nie sposób pominąć. W takich przypadkach samo odnotowanie naruszenia w ewidencji naruszeń administratora pozostaje zwykle niewystarczające. Podkreślić w tym miejscu należy, że „małe prawdopodobieństwo” zaistnienia skutku w postaci naruszenia praw lub wolności osoby, której dane dotyczą, powinno być utożsamiane z sytuacją, w której oceniający posiada przesłanki pozwalające na stwierdzenie, że skutek ten nie urzeczywistni się w ogóle - a zatem wtedy, gdy mówimy o „braku ryzyka”. Warto zauważyć, że w polskiej wersji rozporządzenia 2016/679 użyto sformułowania „mało prawdopodobne”, zaś w angielskiej - terminu „unlikely”. Wyraz ten ma silniejsze znaczenie niż nasz rodzimy odpowiednik i służy do określenia czegoś, co jest raczej nieprawdopodobne, wątpliwie lub niemal niemożliwe. Warto również odwołać się w tym miejscu do Wytycznych 9/2022 - zwłaszcza do działu II tych Wytycznych dotyczącego art. 33 rozporządzenia 2016/679 oraz wynikającego z niego obowiązku zawiadomienia organu nadzorczego. W rozdziale D tego działu EROD omówiła warunki, w których powiadomienie takie nie jest wymagane - wnikliwe przeanalizowanie treści tego rozdziału pozwala stwierdzić, że EROD stoi na stanowisku, że wyjątek z art. 33 ust. 1 rozporządzenia 2016/679 (tj. przypadek, gdy nie powstaje obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu ze względu na małe prawdopodobieństwo wystąpienia naruszenia praw lub wolności osób fizycznych) należy rozumieć wąsko - inaczej mówiąc: jako wyjątek, który znajdzie zastosowanie w sytuacjach, gdy to prawdopodobieństwo jest w sposób oczywisty małe. Art. 33 ust. 1 rozporządzenia 2016/679 nie zawiera listy przypadków, w których dokonanie zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu jest obowiązkiem administratorów. Jest to zabieg celowy, pozwalający tym podmiotom na podjęcie przemyślanej decyzji w kwestii ostatecznej oceny potencjalnych skutków takiego naruszenia. Ta swoboda pozwala na zachowanie niezbędnej elastyczności - nie sposób bowiem z góry przewidzieć wszystkich możliwych przypadków naruszeń ochrony danych osobowych, a tym bardziej wszystkich przypadków, w których prawdopodobieństwo, iż będą one skutkowały ryzykiem naruszenia praw lub wolności osób fizycznych jest większe niż małe. Ten brak „automatyzmu” wynikający z braku katalogu zamkniętego przypadków, w których obowiązek informacyjny z art. 33 ust. 1 rozporządzenia 2016/679 się aktywuje, skutkuje jednak czasem błędami po stronie administratorów. Dlatego dokonana w oparciu o jakąkolwiek metodologię ocena ryzyka powinna zostać przez administratora zweryfikowana z uwzględnieniem ogólnych zasad dokonywania tej oceny. Stosując przepisy rozporządzenia 2016/679 należy mieć bowiem na uwadze, że celem tego rozporządzenia (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów - również w sytuacji, gdy doszło do naruszenia ochrony danych osobowych - należy w pierwszej kolejności brać pod uwagę te wartości. Ponadto dokonując oceny ryzyka naruszenia praw lub wolności osób fizycznych administrator powinien dokonywać oceny z odpowiednim krytycyzmem oraz racjonalizmem (czego w przedmiotowej sprawie, w ocenie organu nadzorczego, Administrator nie uczynił).
W analizowanym stanie faktycznym należy wziąć pod uwagę, że w związku z zaistnieniem naruszenia ochrony danych osobowych, nie wystąpiły czynniki obniżające poziom prawdopodobieństwa negatywnych skutków, takie jak: ograniczona możliwość identyfikacji (zarówno w przypadku Osób z grupy A jak i Osób z grupy B ujawniony zakres danych pozwalał na jednoznaczną ich identyfikację), stwierdzenie, że dane osobowe są publicznie dostępne (vide: wyjaśnienia Administratora z dnia 14 lipca 2022 r., w których zakres danych widocznych na zrzutach ekranów załączonych do wyjaśnień nie pokrywał się z wszystkimi ujawnionymi w Bazie), czy uznanie niewłaściwego odbiorcy za osobę „zaufaną”. Odnosząc się do tego ostatniego czynnika, należy podkreślić, że ujawnienie danych zawartych w Bazie nastąpiło w szczególnym kontekście: wiadomość e-mail ją zawierająca została bowiem skierowana do nieuprawnionego odbiorcy będącego w konflikcie (następczo: sądowym) z Administratorem, czego nie można uznać za indyferentne przy dokonywaniu oceny ryzyka naruszenia praw lub wolności osób fizycznych wiążącego się z zaistniałym naruszeniem poufności danych. Jakkolwiek postawa wykazana przez nieuprawnionego odbiorcę w działaniach przed organem nadzorczym wskazywała na wysoki stopień praworządności i dbałość o interesy Podmiotów Danych, tak Administrator nie mógł w tej sytuacji zakładać od razu, że jego konflikt z nieuprawnionym odbiorcą nie ma wpływu na ocenę ryzyka wiążącego się z zaistniałym naruszeniem ochrony danych osobowych.
Wobec powyższego należy uznać, że nic nie przemawia za przyjęciem, że jest mało prawdopodobne, by zaistniałe naruszenie ochrony danych osobowych skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Takie stanowisko organ nadzorczy uznał za uzasadnione w stosunku do Osób z grupy A. Tym bardziej trudno jest racjonalnie przyjąć takie małe prawdopodobieństwo w przypadku naruszenia ochrony danych osobowych Osób z grupy B. Prezes UODO, dokonując oceny ryzyka naruszenia praw lub wolności osób fizycznych w przedmiotowej sprawie, stwierdził wręcz, że naruszenie poufności danych, jakie wystąpiło w związku z naruszeniem ochrony danych osobowych polegającym na udostępnieniu podmiotowi nieuprawnionemu m.in. numerów ewidencyjnych PESEL wraz z imieniem i nazwiskiem oraz pozostałymi danymi Osób z grupy B, powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych. W tym miejscu należy dla porządku wyjaśnić, że ze względu na brak określenia w Bazie rodzaju szczepień, w przedmiotowej sprawie nie przyjęto, iż ujawnienie tych danych wiąże się z wysokim ryzykiem naruszenia ochrony praw lub wolności właściwych Podmiotów Danych. Jak wynika z Wytycznych 9/2022, ryzyko to istnieje w przypadku, gdy naruszenie może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone (przy czym przykłady takich szkód obejmują dyskryminację, kradzież lub sfałszowanie tożsamości, straty finansowe i naruszenie dobrego imienia). Nie ulega wątpliwości, że przywołane w wytycznych przykłady szkód, z uwagi na zakres danych objęty niniejszym naruszeniem ochrony danych osobowych, w tym numer ewidencyjny PESEL wraz z imieniem i nazwiskiem i pozostałymi danymi, mogą wystąpić w omawianym przypadku.
Rozwijając powyższe stwierdzenie należy przede wszystkim podkreślić, że zaistniałe naruszenie ochrony danych osobowych w przypadku Osób z grupy B dotyczyło numeru ewidencyjnego PESEL, czyli jedenastocyfrowego symbolu numerycznego, jednoznacznie identyfikującego osobę fizyczną, zawierającego m.in.: datę urodzenia oraz oznaczenie płci, a więc ściśle powiązanego ze sferą prywatną osoby fizycznej oraz podlegającego również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679 - będącego daną o szczególnym charakterze i takiej szczególnej ochrony wymagającego. Ponadto należy wziąć pod uwagę, że w wyniku zaistniałego naruszenia ochrony danych osobowych doszło do udostępnienia osobie nieuprawnionej tego numeru ewidencyjnego wraz z imieniem i nazwiskiem oraz pozostałymi danymi Osób z grupy B zawartymi w Bazie, które to zestawienie danych bywa wystarczające do „podszycia się” pod podmiot tych danych i zaciągnięcia w imieniu i na szkodę takiego podmiotu np. zobowiązań pieniężnych (vide: https://www.bik.pl/poradnik-bik/wyludzenie-kredytu-tak-dzialaja-oszusci - gdzie opisano przypadek, w którym: „Tylko imię, nazwisko i numer PESEL wystarczyły oszustom, by wyłudzić kilkanaście kredytów w sumie na dziesiątki tysięcy złotych. Nic więcej się nie zgadzało: ani numer dowodu osobistego, ani adres zamieszkania”).
Należy zaznaczyć, że zdaniem Prezesa UODO, konsekwentnie od wielu lat podnoszonym, numer PESEL jest unikalnym identyfikatorem osoby, zawierającym w sobie wiele informacji na temat danej osoby, a jego ujawnienie osobie niepowołanej może rodzić szereg konsekwencji dla takiej osoby.
Warto w tym miejscu wskazać na Wytyczne Europejskiej Rady Ochrony Danych 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych przyjętych w dniu 14 grudnia 2021 r., wersja 2.0 (dalej „Wytyczne EROD 01/2021”), a konkretnie przykład numer 14, odnoszący się do sytuacji „wysłania pocztą przez pomyłkę wysoce poufnych danych osobowych”. We wspomnianym przypadku doszło do ujawnienia numeru ubezpieczenia społecznego, będącego odpowiednikiem stosowanego w Polsce numeru PESEL. W omawianym przypadku EROD nie miała wątpliwości, że ujawnione dane w zakresie: imię i nazwisko, adres e-mail, adres pocztowy, numer ubezpieczenia społecznego, wskazują na wysokie ryzyko naruszenia praw lub wolności osób fizycznych („zaangażowanie ich [osób poszkodowanych] numeru ubezpieczenia społecznego, a także innych, bardziej podstawowych danych osobowych, dodatkowo zwiększa ryzyko, które można określić jako wysokie”). EROD dostrzega wagę krajowych numerów identyfikacyjnych (w tym przypadku numeru PESEL), podkreślając jednocześnie, że tego typu naruszenie ochrony danych osobowych, a więc obejmujące swym zakresem dane w postaci: imienia i nazwiska, adresu e-mail, adresu korespondencyjnego oraz numeru ubezpieczenia społecznego, wymaga realizacji działań, tj.: zgłaszania organowi nadzorczemu oraz zawiadomienia o naruszeniu osób, których dane dotyczą.
Z raportu infoDOK (który przygotowywany jest w ramach prowadzenia społecznej Kampanii Informacyjnej Systemu DOKUMENTY ZASTRZEŻONE, organizowanej przez Związek Banków Polskich i niektóre banki, pod patronatem Ministerstwa Spraw Wewnętrznych i we współpracy m.in. z Policją oraz Federacją Konsumentów)[3] wynika, że w I kwartale 2023 r. odnotowano 2 288 prób wyłudzeń kredytów (w tym jednego na kwotę 2,6 mln złotych). Z kolei w II kwartale 2023 r. łączna kwota udaremnionych prób wyłudzeń kredytów wyniosła 50,3 mln zł, a w III kwartale 2023 r.: 104,1 mln zł (w tym jednego na kwotę 6 mln zł).
Ponadto, jak wynika z orzecznictwa, wyroki w sprawach wyłudzeń kredytów nie są rzadkością i są wydawane przez polskie sądy w podobnych sprawach od dawna - dla potwierdzenia można podać choćby nawet wyrok Sądu Rejonowego w Łęczycy z dnia 27 lipca 2016 r. (sygn. akt I C 566/15), w którym oszuści biorący pożyczkę na cudze dane posłużyli się numerem PESEL, zmyślonym adresem oraz niewłaściwym numerem dowodu (nieważnym).W uzasadnieniu ww. wyroku Sąd stwierdził, że: „Przeprowadzone postępowanie dowodowe oraz analiza dokumentów, załączonych przez stronę powodową, skutkuje tym, iż można jednoznacznie stwierdzić, że w rozpoznawanej sprawie pozwana nie była stroną umowy pożyczki, zawartej w dniu 5 maja 2014 r. Wprawdzie przy jej zawarciu posłużono numerem PESEL pozwanej J. R., lecz wskazane miejsce zamieszkania nie odpowiada miejscu zamieszkania pozwanej. Pozwana J. R. nigdy nie mieszkała w W. Kwota pożyczki została przelana na konto, którego posiadaczem nie była pozwana. W dacie zawarcia umowy pożyczki dowód osobisty nr (...) utracił ważność z dniem 15 marca 2014 r. Nie jest zgodny także numer telefonu komórkowego, wskazany na umowie pożyczki i jej załącznikach z faktycznymi numerami telefonów, jakimi posługiwała się i posługuje pozwana”.
Podobnych wątpliwości (że ujawnienie numeru PESEL wraz z innymi danymi osobowymi może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych) nie miał również Wojewódzki Sąd Administracyjny w Warszawie, który w wyroku z dnia 22 września 2021 r., sygn. akt II SA/Wa 791/21, stwierdził, że „Nie ulega wątpliwości, że przywołane w wytycznych przykłady szkód mogą wystąpić w przypadku osób, których dane osobowe - w niektórych przypadkach łącznie z numerem ewidencyjnym Pesel lub serią i nr dowodu osobistego - zostały utrwalone na udostępnionych nagraniach. Nie bez znaczenia dla takiej oceny jest możliwość łatwej w oparciu o ujawnione dane identyfikacji osób, których dane zostały objęte naruszeniem”. Dalej Sąd w przywołanym orzeczeniu wskazał, że „Dane zostały bowiem udostępnione nieuprawnionym osobom, co oznacza, że nastąpiło naruszenie bezpieczeństwa prowadzące do nieuprawnionego ujawnienia danych osobowych, a zakres tych danych obejmujących w niektórych przypadkach również numer ewidencyjny PESEL lub serię i nr dowodu osobistego przesądza o tym, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych”. Rozważając powyższe kwestie należy przywołać również stanowisko Wojewódzkiego Sądu Administracyjnego w Warszawie wyrażone w wyroku z dnia 1 lipca 2022 r. wydanym w sprawie o sygn. II SA/Wa 4143/21. W uzasadnieniu tego wyroku Sąd stwierdził, iż: „Należy zgodzić się z Prezesem UODO, że utrata poufności numeru PESEL w połączeniu z danymi osobowymi, takimi jak: imię i nazwisko, adres zameldowania, numery rachunków bankowych oraz numer identyfikacyjny nadawany klientom Banku - numer CIF, wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. W przypadku naruszenia takich danych, jak imię, nazwisko oraz numer PESEL, możliwa jest bowiem kradzież lub sfałszowanie tożsamości skutkująca negatywnymi konsekwencjami dla osób, których dane dotyczą. Dlatego też Bank w przedmiotowej sprawie powinien był bez zbędnej zwłoki, stosownie do art. 34 ust. 1 RODO, zawiadomić osoby, których dane dotyczą, o naruszeniu ochrony danych osobowych, tak aby umożliwić im podjęcie niezbędnych działań zapobiegawczych”. Wskazać również należy na wyrok z dnia 31 sierpnia 2022 r., sygn. akt II SA/Wa 2993/21, w którym Wojewódzki Sąd Administracyjny w Warszawie podkreślił, że „(…) organ trafnie przyjął, iż wystąpiło wysokie ryzyko naruszenia praw i wolności osób objętych przedmiotowym naruszeniem z uwagi na możliwość łatwej, w oparciu o ujawnione dane, identyfikacji osób, których dane zostały objęte naruszeniem. Dane te bowiem to imię i nazwisko, adres do korespondencji, numer telefonu, numer PESEL osób posiadających polskie obywatelstwo. W tej sytuacji administrator zobowiązany był do zawiadomienia bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu”. Podobnie wypowiedział się Wojewódzki Sąd Administracyjny w Warszawie w wyrokach z dnia 15 listopada 2022 r., sygn. akt II SA/Wa 546/22 oraz 21 czerwca 2023 r., sygn. akt II SA/Wa 150/23.
Jak już wcześniej sygnalizowano w uzasadnieniu niniejszej decyzji, trzeba również mieć na uwadze, że wykonanie przez Administratora jego obowiązku wnikającego z art. 34 ust. 1 rozporządzenia 2016/679 nie może być uzależniane od zaistnienia naruszenia praw lub wolności osób fizycznych, których danych dotyczy naruszenie ochrony danych osobowych. Zaznaczyć dla porządku należy, że podobnie jest w przypadku obowiązku wynikającego z art. 33 ust. 1 rozporządzenia 2016/679 - jak stwierdził Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 22 września 2021 r. wydanym w sprawie o sygn. II SA/Wa 791/21: „Podkreślić należy, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować. W treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” (przy czym Sąd ten podobnie orzekł we wcześniej przywoływanym wyroku z dnia 1 lipca 2022 r. wydanym w sprawie o sygn. akt II SA/Wa 4143/21 oraz w wyrokach z dnia 31 sierpnia 2022 r., sygn. akt II SA/Wa 2993/21, z dnia 15 listopada 2022 r., sygn. akt II SA/Wa 546/22 i z dnia 26 kwietnia 2023 r., sygn. akt II SA/Wa 1272/22).
Jak wynika z Wytycznych 9/2022, podczas oceny ryzyka, które może powstać w wyniku naruszenia, administrator powinien łącznie uwzględnić wagę potencjalnego wpływu na prawa lub wolności osób fizycznych i prawdopodobieństwo jego wystąpienia - oczywiście ryzyko wzrasta, gdy konsekwencje naruszenia są poważniejsze, jak również wtedy, gdy wzrasta prawdopodobieństwo ich wystąpienia (przy czym w przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna). Wysoki poziom któregokolwiek z tych czynników ma wpływ na wysokość ogólnej oceny, od której uzależnione jest wypełnienie obowiązków określonych w art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679. Mając na uwadze, że ze względu na zakres ujawnionych danych osobowych Osób z grupy B w analizowanym przypadku wystąpiła możliwość zmaterializowania się doniosłych negatywnych konsekwencji dla tych osób, których dane dotyczą (jak wyżej wykazano), to wagę potencjalnego wpływu na prawa lub wolności tych osób należy uznać za wysoką. Jednocześnie prawdopodobieństwo wystąpienia wysokiego ryzyka w następstwie przedmiotowego naruszenia nie jest małe i nie zostało wyeliminowane. Tym samym stwierdzić należy, że w związku z przedmiotowym naruszeniem w przypadku Osób z grupy B (w przypadku których doszło do ujawnienia specyficznego zakresu danych - (...) osoby) wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, co w konsekwencji determinuje obowiązek nie tylko dokonania zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu (tak jak ma to miejsce w odniesieniu do Osób z grupy A), ale również zawiadomienia o naruszeniu tych trzech konkretnych Podmiotów Danych.
Podsumowując: w okolicznościach badanego przypadku nie można rozsądnie twierdzić, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności Podmiotów Danych znajdujących się w Bazie (zarówno Osób z grupy A jak i B), co z kolei skutkuje powstaniem po stronie Administratora obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 33 ust. 3 rozporządzenia 2016/679. Co więcej, w przypadku Osób z grupy B występuje wysokie ryzyko naruszenia praw lub wolności, co implikuje obowiązek zawiadomienia o zaistniałym naruszeniu ochrony danych osobowych tych (...) Podmiotów Danych zgodnie z art. 34 ust. 1 rozporządzenia 2016/679 (w którym muszą się znaleźć informacje określone w art. 34 ust. 2 rozporządzenia 2016/679). W przedmiotowej sytuacji nie ma podstaw do stwierdzenia, by Administrator z jakichkolwiek przyczyn zwolniony był z obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu zgodnie z art. 33 ust. 1 rozporządzenia 2016/679 oraz z obowiązku zawiadomienia o nim Osób z grupy B (zgodnie z art. 34 ust. 1 tego rozporządzenia).
Ze względu na fakt, że Administrator po zaistnieniu przedmiotowego naruszenia ochrony danych osobowych nie wskazywał na zmiany w procedurze przetwarzania danych osobowych, do których wprowadzenia skłoniłoby go to naruszenie (poza zleceniem podmiotowi zewnętrznemu wykonania analizy bezpieczeństwa danych), należy przy podsumowaniu niniejszego uzasadnienia wskazać, iż dopuszczając możliwość wykorzystania do komunikacji pocztę elektroniczną Administrator powinien mieć świadomość ryzyk związanych np. z omyłkowym wysłaniem wiadomości zawierającej dane osobowe do niewłaściwego adresata. Istnienie tych ryzyk, w sytuacji braku działań Administratora danych mających na celu ich minimalizację poprzez wdrożenie odpowiednich środków organizacyjnych i technicznych, jak np. zabezpieczanie hasłem przesyłanych w ten sposób dokumentów, prowadzi wprost do powstania ryzyka naruszenia praw lub wolności osób fizycznych, których dane takim kanałem komunikacji są przesyłane.
Odnosząc się na koniec do obowiązku Administratora określonego w art. 34 ust. 2 rozporządzenia 2016/679, Prezes UODO stwierdził, iż Administrator (biorąc pod uwagę charakter naruszenia oraz kategorie danych, które uległy naruszeniu) powinien wskazać osobom, których dane dotyczą, najbardziej prawdopodobne, negatywne konsekwencje naruszenia ich danych osobowych. Z całą pewnością w przypadku naruszenia takich danych, jak imię, nazwisko oraz numer ewidencyjny PESEL, należy wskazać przede wszystkim na możliwą kradzież lub sfałszowanie tożsamości poprzez uzyskanie przez osoby trzecie, na szkodę osoby, której dane naruszono, pożyczek w instytucjach pozabankowych bądź wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować negatywne konsekwencje związane z próbą przypisania osobie, której dane dotyczą, odpowiedzialności za dokonanie takiego oszustwa. Opis możliwych konsekwencji powinien bowiem odzwierciedlać ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić jej podjęcie niezbędnych działań zapobiegawczych.
W tym miejscu, należy zaznaczyć, że zgodnie z art. 34 ust. 4 rozporządzenia 2016/679, jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy - biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko - może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3. Z kolei z treści art. 58 ust. 2 lit. e) rozporządzenia 2016/679 wynika, że każdemu organowi nadzorczemu przysługuje uprawnienie naprawcze w postaci nakazania administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych.
Podsumowując kompleksowo powyższą argumentację organu nadzorczego, należy stwierdzić, że Administrator - pomimo zaktualizowania się w okolicznościach analizowanego przypadku jego obowiązków - nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w wykonaniu obowiązku z art. 33 ust. 1 rozporządzenia 2016/679 oraz nie zawiadomił bez zbędnej zwłoki Osób z grupy B o naruszeniu ochrony ich danych, zgodnie z art. 34 ust. 1 i 2 rozporządzenia 2016/679, co oznacza naruszenie przez Administratora tych przepisów.
Zgodnie z art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 rozporządzenia 2016/679, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy. Prezes UODO stwierdza, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Administratora administracyjnej kary pieniężnej w oparciu o art. 83 ust. 4 lit. a) rozporządzenia 2016/679 stanowiący m.in., że naruszenie obowiązków administratora, o których mowa w art. 33 i 34 rozporządzenia 2016/679, podlega administracyjnej karze pieniężnej w wysokości do 10 000 000 EURO, a w przypadku przedsiębiorstwa - w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Stosownie do treści art. 83 ust. 2 rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a) - h) oraz lit. j) rozporządzenia 2016/679. Decydując o nałożeniu na Administratora administracyjnej kary pieniężnej Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:
1) Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody [art. 83 ust. 2 lit. a) rozporządzenia 2016/679];
W niniejszej sprawie stwierdzono naruszenie przepisu art. 33 ust. 1 rozporządzenia 2016/679 (polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia) oraz art. 34 ust. 1 i 2 rozporządzenia 2016/679 (polegające na braku prawidłowego zawiadomienia o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki, Osób z grupy B, których dane dotyczą). Związane są one ze zdarzeniem polegającym na udostępnieniu nieuprawnionemu odbiorcy niezabezpieczonej Bazy zawierającej dane osobowe (...) osób. Kategorie danych osobowych zawartych w Bazie różniły się w przypadku poszczególnych ich podmiotów - w przypadku (...) osób doszło również do ujawnienia ich numerów ewidencyjnych PESEL. Powyższe sprawia, że w przypadku tych trzech osób (Osób z grupy B) ma ono znaczną wagę i poważny charakter, ponieważ zdarzenie to może doprowadzić do szkód majątkowych lub niemajątkowych dla osoby, której dane zostały naruszone, a prawdopodobieństwo ich wystąpienia jest wysokie. W niniejszej sprawie naruszenie ochrony danych osobowych dotyczyło relatywnie dużej grupy osób. Za okoliczność obciążającą Prezes UODO uznaje długi czas trwania naruszenia przez Administratora przepisów rozporządzenia 2016/679. Od powzięcia przezeń informacji o naruszeniu ochrony danych osobowych do dnia wydania niniejszej decyzji upłynęły ponad dwa lata, w trakcie których ryzyko naruszenia praw lub wolności osób dotkniętych naruszeniem (zwłaszcza Osób z grupy B) mogło się zrealizować, a czemu osoby te nie mogły przeciwdziałać ze względu na brak prawidłowego wywiązania się przez Administratora z obowiązku zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO oraz z obowiązku powiadomienia o nim właściwych osób.
2) Umyślny charakter naruszenia [art. 83 ust. 2 lit. b) rozporządzenia 2016/679];
Zgodnie z Wytycznymi Grupy Roboczej Art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 WP253 (przyjętymi w dniu 3 października 2017 r., zatwierdzonymi przez EROD w dniu 25 maja 2018 r.), umyślność „obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego”. Administrator podjął świadomą decyzję, by nie zgłosić naruszenia ochrony danych osobowych Prezesowi UODO ani nie zawiadomić o nim prawidłowo Osób z grupy B. Nie ulega wątpliwości, że Administrator, przetwarzając dane osobowe na relatywnie dużą skalę, musi mieć wiedzę w zakresie ochrony danych osobowych, obejmującą wiedzę o konsekwencjach stwierdzenia naruszenia ochrony danych osobowych skutkującego m.in. wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Będąc tego świadomym, Administrator podjął jednak decyzję o rezygnacji z dokonania zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO i prawidłowego powiadomienia o nim Osób z grupy B, pomimo faktu, że Prezes UODO w pierwszej kolejności informował Go o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych (tj. o treści art. 33 ust. 1 i 3 rozporządzenia 2016/679), a także wezwał go do wyjaśnień dotyczących analizy ryzyka naruszenia praw lub wolności osób fizycznych niezbędnej do oceny, czy doszło do naruszenia ochrony danych osobowych skutkującego koniecznością zawiadomienia Prezesa UODO i osób nim dotkniętych. Samo wszczęcie przez Prezesa UODO niniejszego postępowania w przedmiocie obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu (a następnie również w przedmiocie zawiadomienia o naruszeniu w wykonaniu obowiązku z art. 34 rozporządzenia 2016/679), powinno nasunąć Administratorowi co najmniej wątpliwości co do słuszności przyjętego przez niego stanowiska.
3) Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków [art. 83 ust. 2 lit. f) rozporządzenia 2016/679].
W niniejszej sprawie Prezes UODO uznał za niezadowalającą współpracę z nim ze strony Administratora. Ocena ta dotyczy Jego reakcji na pisma Prezesa UODO informujące o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych, czy wreszcie wobec wszczęcia postępowania administracyjnego w przedmiocie obowiązku zgłoszenia naruszenia ochrony danych osobowych (rozszerzonego następnie o możliwość naruszenia obowiązku z art. 34 ust. 1 i 2 rozporządzenia 2016/679). Właściwe w ocenie Prezesa UODO działania (zgłoszenie naruszenia Prezesowi UODO i prawidłowe zawiadomienie o nim Osób z grupy B) nie zostały podjęte przez Administratora nawet po wszczęciu (czy rozszerzeniu) przez Prezesa UODO postępowania administracyjnego w sprawie. Również terminowość udzielania wyjaśnień przez Administratora świadczyła o jego nieprawidłowej współpracy z organem nadzorczym - podobnie jak sprzeczności i niejasności ich dotyczące, które nie ułatwiały ustalenia stanu faktycznego w przedmiotowej sprawie (np. Administrator wskazywał, że sam gromadził dane osobowe znajdujące się w Bazie, a także sam sobie w tym zakresie zaprzeczał twierdząc, że nie gromadził danych dotyczących bycia zaszczepionym lub nie).
4) Kategorie danych osobowych, których dotyczyło naruszenie [art. 83 ust. 2 lit. g) rozporządzenia 2016/679].
W Bazie znajdowały dane osób fizycznych w zakresie: imion, nazwisk, danych podmiotów gospodarczych, z którymi te osoby były powiązane zawodowo oraz sprawowanych przez nie funkcji, adresów e-mail, numerów telefonu oraz numerów NIP (przy czym w przypadku (...) osób zamiast numerów NIP wpisano ich numery ewidencyjne PESEL). Ponadto, w Bazie znalazły się dane dotyczące zdrowia niektórych osób (informacje o byciu zaszczepionym lub nie), a także informacje (choć również nie w każdym przypadku) o ilości biletów, ich rodzaju (nocleg), liczbie osób korzystających z noclegu, proformie oraz statusie płatności za udział w konferencji.
W przypadku danych dotyczących bycia zaszczepionym lub nie, należy zaznaczyć, że z uwagi na charakter tych informacji, pomimo ich zakwalifikowania jako szczególne kategorie danych osobowych, o których mowa w art. 9 rozporządzenia 2016/679, ich naruszenie w przedmiotowym przypadku nie niesie ze sobą wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Dane osobowe udostępnione osobie nieuprawnionej nie stanowią w tym przypadku danych dotyczących wyroków skazujących i czynów zabronionych, o których mowa w art. 10 rozporządzenia 2016/679. Jednakże fakt, iż w udostępnionej nieuprawnionemu odbiorcy Bazie zawarto szeroki zakres danych (wskazany m.in. powyżej), wiąże się z ryzykiem naruszenia praw lub wolności osób fizycznych - a w przypadku trzech Osób z grupy B nawet z wysokim ryzykiem. Numer PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający datę urodzenia, czy oznaczenie płci, ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga. Nie ma innej, tak konkretnej danej, która by w sposób jednoznaczny identyfikowała osobę fizyczną. Nie bez powodu numer PESEL służy jako dana identyfikująca każdą osobę i jest powszechnie używany w kontaktach z różnymi instytucjami oraz w obiegu prawnym. Numer PESEL wraz z imieniem i nazwiskiem w sposób jednoznaczny identyfikuje osobę fizyczną, w sposób pozwalający przypisać negatywne skutki naruszenia (np. kradzież tożsamości, wyłudzenie pożyczki) tej konkretnej osobie.
Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił również okoliczności łagodzące, mające wpływ na ostateczny wymiar kary - w ramach wzięcia pod uwagę przesłanki z art. 83 ust. 2 lit. k) rozporządzenia 2016/679 dotyczącej innych obciążających lub łagodzących czynników mających zastosowanie do okoliczności sprawy. Prezes UODO - wszechstronnie rozpatrując sprawę - odnotował bowiem również inne niż opisane powyżej (obciążające) oraz poniżej (neutralne) okoliczności mogące mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej. Administrator przekazał osobom dotkniętym naruszeniem w pewnym zakresie informację na temat zaistniałego zdarzenia (telefonicznie - jak wyjaśnił - przepraszając za zaistniałe zajście). Takie działanie Administratora zasługuje na dostrzeżenie i akceptację, pomimo że nie wyklucza ewentualnych negatywnych dla Podmiotów Danych konsekwencji ich wykorzystania. Prezes UODO wziął również pod uwagę, iż Administrator zlecił podmiotowi zewnętrznemu wykonanie analizy bezpieczeństwa danych pod kątem ochrony danych osobowych.
Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej:
1) Działania podjęte przez Administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą [art. 83 ust. 2 lit. c) rozporządzenia 2016/679];
W kontekście tej przesłanki znaczenie ma cel, jakiemu ma służyć działanie Administratora, czyli zminimalizowanie szkody poniesionej przez osoby, których dane dotyczą. Prezes UODO nie odnotował w niniejszym przypadku tego typu działań Administratora. Samo przekazanie osobom, których dotyczą ujawnione dane, informacji telefonicznej o zdarzeniu nie może być w przedmiotowej sprawie uznane za działanie w celu zminimalizowania szkody poniesionej przez te osoby - zostało jednak wzięte pod uwagę przy rozważaniach dotyczących przesłanki z art. 83 ust. 2 lit. k) rozporządzenia 2016/679.
2) Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 [art. 83 ust. 2 lit. d) rozporządzenia 2016/679];
Ze względu na charakter naruszenia stwierdzonego w niniejszej sprawie (niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych oraz brak prawidłowego zawiadomienia o naruszeniu ochrony danych osobowych Osób z grupy B) - które to naruszenie w swej istocie nie wiąże się ze stosowanymi przez administratora środkami technicznymi i organizacyjnymi - należy przyjąć, iż przesłanka wskazana w art. 83 ust. 2 lit. d) rozporządzenia 2016/679 nie ma w rozpatrywanym przypadku wpływu ani obciążającego ani łagodzącego na wymiar orzeczonej administracyjnej kary pieniężnej. Nie ma ona znaczenia w ocenie naruszenia przez Administratora przepisów art. 33 ust. 1 oraz art. 34 ust. 1 i 2 rozporządzenia 2016/679.
3) Stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 ze strony administratora [art. 83 ust. 2 lit. e) rozporządzenia 2016/679];
Prezes UODO nie stwierdził jakichkolwiek, dokonanych przez Administratora, wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. A ponieważ taki stan (przestrzeganie przepisów o ochronie danych osobowych) jest stanem naturalnym, wynikającym z ciążących na Administratorze obowiązków prawnych, nie może mieć on również wpływu łagodzącego na dokonaną przez Prezesa UODO ocenę naruszenia.
4) Sposób w jaki organ nadzorczy dowiedział się o naruszeniu [art. 83 ust. 2 lit. h) rozporządzenia 2016/679];
O zaistnieniu przedmiotowego naruszenia przepisu art. 33 ust. 1 i art. 34 ust. 1 i 2 rozporządzenia 2016/679 związanego ze zdarzeniem polegającym na udostępnieniu przez Administratora Bazy zawierającej dane osobowe nieuprawnionemu odbiorcy, Prezes UODO został poinformowany przez osobę trzecią. Brak zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych oraz prawidłowego zawiadomienia o nim Osób z grupy B jest jedynym przedmiotem niniejszego postępowania i w okolicznościach rozważanego stanu faktycznego organ nadzorczy przyjął, że przesłanki tej nie potraktuje jako okoliczności obciążającej.
5) Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 [art. 83 ust. 2 lit. i) rozporządzenia 2016/679];
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
6) Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 [art. 83 ust. 2 lit. j) rozporządzenia 2016/679];
Administrator nie stosuje instrumentów, o których mowa w art. 40 i art. 42 rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak - jak stanowią przepisy rozporządzenia 2016/679 - obowiązkowe dla administratorów i podmiotów przetwarzających, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na korzyść Administratora natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.
7) Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty [art. 83 ust. 2 lit. k) rozporządzenia 2016/679];
Prezes UODO nie stwierdził, żeby Administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Administratora. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez Administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla Administratora. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” - zaistniałe po stronie podmiotu dokonującego naruszenia.
W ocenie Prezesa UODO zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.
Należy podkreślić, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Administrator, profesjonalnie i na relatywnie dużą skalę przetwarzający dane osobowe, w przyszłości będzie wywiązywał się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie zgłaszania naruszenia ochrony danych osobowych Prezesowi UODO oraz zawiadamiania o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie.
W ocenie Prezesa UODO administracyjna kara pieniężna spełni funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Administratora przepisów rozporządzenia 2016/679. Będzie również spełniać funkcję prewencyjną; w ocenie Prezesa UODO wskaże bowiem zarówno Administratorowi, jak i innym administratorom danych, na naganność lekceważenia obowiązków administratorów związanych z zaistnieniem naruszenia ochrony danych osobowych, a mających na celu przecież zapobieżenie jego negatywnym i często dotkliwym dla osób, których naruszenie dotyczy, skutkom, a także usunięcie tych skutków lub przynajmniej ograniczenie.
Stosownie do treści art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), zwanej dalej „uodo”, równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.
Mając powyższe na uwadze, Prezes UODO, na podstawie art. 83 ust. 4 lit. a) w związku z art. 103 uodo, za naruszenie opisane w sentencji niniejszej decyzji, nałożył na Administratora - stosując średni kurs euro z dnia 30 stycznia 2023 r. (1 EUR = 4,7160 PLN) - administracyjną karę pieniężną w kwocie 9.903,60 PLN (co stanowi równowartość 2.100,- EUR).
W ocenie Prezesa UODO, zastosowana kara pieniężna w wysokości 9.903,60 PLN (słownie: dziewięć tysięcy dziewięćset trzy złote sześćdziesiąt groszy), spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonego naruszenia w kontekście podstawowego celu rozporządzenia 2016/679 - ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych. Odnosząc się do wysokości wymierzonej Administratorowi administracyjnej kary pieniężnej, Prezes UODO uznał, iż jest ona proporcjonalna do sytuacji finansowej Administratora i nie będzie stanowiła dla niego nadmiernego obciążenia. Z przedstawionego przez Administratora sprawozdania finansowego wynika, że wartość sprzedanych towarów i usług w 2022 r. wyniosła (…) zł w związku z czym kwota nałożonej w niniejszej sprawie administracyjnej kary pieniężnej stanowi ok. (…)% ww. wartości sprzedanych towarów i usług z ww. roku obrotowego. Jednocześnie warto podkreślić, że kwota nałożonej kary 9.903,60 PLN to jedynie 0,021 % maksymalnej wysokości kary, którą Prezes UODO mógł - stosując zgodnie z art. 83 ust. 4 rozporządzenia 2016/679 statyczne maksimum kary (tj. 10.000.000,- euro) - nałożyć na Administratora za stwierdzone w niniejszej sprawie naruszenia.
Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność uiszczenia kary finansowej pociągnie za sobą negatywne następstwa, w postaci znaczącej redukcji zatrudnienia bądź istotnego spadku obrotów Administratora. Zdaniem Prezesa UODO, Administrator powinien i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
[1]B. Adamiak, [w] B. Adamiak, J. Borkowski, Kodeks postępowania administracyjnego. Komentarz, Warszawa 2004, s. 371.
[2] Wytyczne Europejskiej Rady Ochrony Danych w sprawie zgłaszania naruszeń ochrony danych osobowych zgodnie z RODO, wersja 2.0, dalej zwane Wytycznymi 9/2022
[3] https://www.zbp.pl/raporty-i-publikacje/raporty-cykliczne/raport-infodok