Decyzja

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572) w związku z art. 7, art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. e) i lit. i), art. 83 ust. 1 i 2, art. 83 ust. 4 lit. a) w związku z art. 33 ust. 1 oraz 34 ust. 1, 2 i 4 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej: rozporządzenie 2016/679, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez X. ul.(…), Prezes Urzędu Ochrony Danych Osobowych,

1.Stwierdzając naruszenie przez X. ul.(…) przepisów:
a)  art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia;
b)  art. 34 ust. 1 i 2 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osoby, której dane dotyczą oraz nieprzekazaniu tej osobie, w ramach skierowanego do niej zawiadomienia, adekwatnego opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków,

2. Nakłada na X. ul. (…) administracyjną karę pieniężną w wysokości 29 684,04 zł (słownie: dwadzieścia dziewięć tysięcy sześćset osiemdziesiąt cztery złote cztery grosze),

3. Nakazuje X. ul. (…) zawiadomienie – w terminie 3 dni od dnia doręczenia niniejszej decyzji – osoby, której dane zostały ujawnione w związku z przekazaniem dotyczącej jej dokumentacji medycznej nieuprawnionej osobie, o naruszeniu ochrony danych osobowych w celu przekazania jej informacji wymaganych zgodnie z art. 34 ust. 2 w związku z art. 33 ust. 3 lit. d) rozporządzenia 2016/679, tj. opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

Uzasadnienie

Do Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej również „Prezesem UODO” lub „organem nadzorczym”, 7 listopada 2022 r. wpłynęła informacja od (…) dotycząca możliwości wystąpienia naruszenia ochrony danych osobowych w X. ul. (…), zwanym dalej również „Szpitalem” lub „Administratorem”. Z ww. pisma oraz załączników do niego wynikało, że dokumentacja medyczna w postaci Przedoperacyjnej Ankiety Anestezjologicznej wydana pacjentce oddziału położniczo - ginekologicznego wraz z jej dokumentacją medyczną zawierała dane osobowe, tj. imię, nazwisko, datę urodzenia, numer PESEL oraz dane dotyczące zdrowia, innej pacjentki Administratora.

Prezes UODO przeprowadził postępowanie wyjaśniające w sprawie możliwości wystąpienia w Szpitalu naruszenia ochrony danych osobowych (zarejestrowane pod sygn. (…)), a następnie 5 marca 2024 roku wszczął z urzędu postępowanie administracyjne w zakresie naruszenia przez Szpital, jako administratora danych, obowiązków wynikających z przepisów art. 33 ust. 1 oraz 34 ust. 1 i 2 rozporządzenia 2016/679.

Prezes UODO, w wyniku przeprowadzonego postępowania wyjaśniającego oraz postępowania administracyjnego ustalił następujący stan faktyczny.

I. Prezes UODO, po otrzymaniu informacji o możliwości wystąpienia naruszenia ochrony danych osobowych w Szpitalu, pismami z 15 i 25 listopada 2022 r. zwrócił się do Administratora o wyjaśnienie, czy w związku z omyłkowym wydaniem dokumentu w postaci Przedoperacyjnej Ankiety Anestezjologicznej osobie nieuprawnionej została dokonana analiza pod kątem wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych osobowych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osoby, której dane dotyczą.

II. W odpowiedzi na wezwanie Prezesa UODO, Administrator pismem z 5 grudnia 2022 r. wskazał, że ze względu na brak zgłoszenia pomyłki przy wydawaniu dokumentacji w momencie jej wystąpienia nie miał możliwości jednoznacznego zidentyfikowania incydentu. Ponadto wskazano, że Dział (…) został zobowiązany do sprawdzenia historii choroby osoby, której dane dotyczą, pod kątem nieprawidłowości w wystawieniu dokumentacji, jednak stwierdzono, iż wszystkie dokumenty zgodne są ze standardem i zawierają poprawną ankietę anestezjologiczną. W ww. piśmie Administrator wskazał także, że zawiadomił osobę, której dane dotyczą, o naruszeniu ochrony jej danych osobowych oraz wdrożył środki zaradcze poprzez odbycie rozmowy z kierownikiem oddziału oraz pracownikami medycznymi, jak również ustalił termin szkolenia „Postępowanie w przypadku naruszenia i ochrony danych osobowych”.

III. 14 lutego 2023 r. Prezes UODO skierował do Administratora pismo, w którym wezwał go do przedstawienia wyników analizy ryzyka, na podstawie której stwierdzono brak wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych oraz treści informacji przekazanej osobie, której dane dotyczą. Pismem z 24 lutego 2023 r. Szpital przekazał informacje dotyczące przeprowadzonej analizy ryzyka oraz przedstawił treść zawiadomienia skierowanego do osoby, której dane dotyczą.

IV. Administrator zgłosił naruszenie ochrony danych osobowych dopiero w chwili otrzymania od Prezesa UODO zawiadomienia o wszczęciu postępowania, tj. 27 marca 2024 r., tym samym nie dochowując terminu 72 godzin na zgłoszenie naruszenia ochrony danych osobowych. W ramach ww. zgłoszenia Szpital przekazał m.in. informację o tym, że zawiadomił o naruszeniu ochrony danych osobę, której dane dotyczą, oraz załączył treść tego zawiadomienia. Zawiadomienie nie zawierało informacji wymaganych zgodnie z art. 34 ust. 2 w związku z art. 33 ust. 3 lit. d) rozporządzenia 2016/679, tj. opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

I. Naruszenie art. 33 ust. 1 oraz art. 34 ust. 1 i 2 rozporządzenia 2016/679.
Zgodnie z art. 4 pkt 12 rozporządzenia 2016/679, naruszenie ochrony danych osobowych jest naruszeniem bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Art. 33 ust. 1 i 3 rozporządzenia 2016/679 stanowi, że w przypadku naruszenia ochrony danych osobowych, administrator, bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej: a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) zawierać imię, nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celi zminimalizowania jego ewentualnych negatywnych skutków.

Z kolei na podstawie art. 34 ust. 1 rozporządzenia 20016/679, w sytuacji, gdy istnieje możliwość wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić o naruszeniu osobę, której dane dotyczą. Art. 34 ust. 2 rozporządzenia stanowi, że prawidłowe zawiadomienie powinno:
1) jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych;
2) zawierać przynajmniej informacje i środki, o których mowa w art. 33 ust 3 lit. b), c) i d) rozporządzenia 2016/679, tj.:
a) imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
b) opis możliwych konsekwencji naruszenia ochrony danych osobowych;
c) opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

Analiza powyższych przepisów wskazuje na to, że w zależności od tego, z jakim poziomem ryzyka naruszenia praw lub wolności osób fizycznych administrator ma do czynienia, inaczej kształtują się jego obowiązki w stosunku do organu nadzorczego, a także osób, których dane dotyczą. Jeżeli w wyniku analizy ryzyka administrator stwierdził, że prawdopodobieństwo zaistnienia ryzyka naruszenia praw lub wolności osób fizycznych jest małe, nie jest on zobligowany do zgłoszenia naruszenia Prezesowi Urzędu Ochrony Danych Osobowych. Wskazane naruszenie musi jedynie wpisać do wewnętrznej ewidencji naruszeń. W przypadku stwierdzenia ryzyka naruszenia praw lub wolności osób fizycznych, obowiązkiem administratora jest zgłoszenie naruszenia ochrony danych Prezesowi UODO, jak również umieszczenie wpisu w wewnętrznej ewidencji naruszeń. Wystąpienie wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, oprócz wpisu w ewidencji naruszeń, wymaga od administratora podjęcia odpowiednich działań zarówno wobec organu nadzorczego (zgłoszenie naruszenia ochrony danych osobowych), ale także również wobec osób, których dane dotyczą. Zatem, w przypadku naruszeń ochrony danych osobowych, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, rozporządzenie 2016/679 wprowadza dodatkowy obowiązek niezwłocznego zawiadomienia podmiotu danych przez administratora, chyba że ten podjął działania prewencyjne przed zaistnieniem naruszenia albo działania zaradcze po wystąpieniu naruszenia (art. 34 ust 3 rozporządzenia 2026/679).

Z powyższych rozważań wynika, że w przypadku wykrycia przez administratora naruszenia ochrony danych osobowych, w pierwszej kolejności niezbędne jest dokonanie analizy pod kątem wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. Administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu, jeśli przeprowadzona analiza wykaże, że istnieje najwyżej małe prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. Należy jednak mieć na względzie fakt, że organ nadzorczy będzie mógł zwrócić się do administratora o uzasadnienie decyzji o niezgłaszaniu naruszenia, w związku z tym wnioski z przeprowadzonej analizy należy odnotować w wewnętrznej ewidencji naruszeń. Warto zaznaczyć, że w Wytycznych Europejskiej Rady Ochrony Danych (EROD) nr 9/2022[1] przyjętych 28 marca 2023 r., zwanych dalej Wytycznymi 9/2022, znajdują się rekomendacje dotyczące zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu.

W Wytycznych 9/2022 EROD wskazując czynniki, które należy wziąć pod uwagę przy ocenie ryzyka, odsyła do motywów 75 i 76 rozporządzenia 2016/679, które sugerują, że administrator powinien uwzględnić zarówno prawdopodobieństwo wystąpienia, jak i powagę zagrożenia praw lub wolności osoby, której dane dotyczą. W przypadku naruszenia ochrony danych osobowych administrator powinien skupić swoją uwagę na wynikającym z faktu naruszenia ryzyku wpływu naruszenia na osobę fizyczną. Zatem, oceniając ryzyko dla osoby fizycznej powstałe w wyniku naruszenia ochrony danych osobowych, administrator powinien wziąć pod uwagę konkretne okoliczności naruszenia, w tym dotkliwość potencjalnego wpływu oraz prawdopodobieństwo jego wystąpienia. W związku z powyższym, przy ocenie ryzyka, EROD zaleca uwzględnienie takich kryteriów, jak: rodzaj naruszenia, charakter, wrażliwość i ilość danych osobowych, a także łatwość identyfikacji, ponieważ mogą one mieć wpływ na poziom ryzyka dla osób fizycznych. Ryzyko naruszenia praw lub wolności osoby fizycznej zgodnie z Wytycznymi 9/2022 będzie większe, gdy konsekwencje naruszenia są poważniejsze, jak również wtedy, gdy wzrasta prawdopodobieństwo ich wystąpienia. Wytyczne wskazują, aby w przypadku jakichkolwiek wątpliwości administrator zgłosił naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna.

Należy podkreślić, że oceny ryzyka naruszenia praw lub wolności osoby fizycznej powinno się dokonać przez pryzmat osoby zagrożonej, a nie interesów administratora. Jest to szczególnie ważne, ponieważ w oparciu o zawiadomienie o naruszeniu ochrony danych osobowych osoba fizyczna może sama dokonać oceny, czy w jej opinii incydent bezpieczeństwa może powodować dla niej negatywne konsekwencje i podjąć odpowiednie działania zaradcze. Również w oparciu o informacje przekazane przez administratora dotyczące opisu charakteru naruszenia i zastosowanych lub proponowanych środków w celu zaradzenia naruszeniu, osoba fizyczna może dokonać oceny, czy po zaistniałym naruszeniu administrator danych nadal daje rękojmię należytego przetwarzania jej danych osobowych w sposób zapewniający ich bezpieczeństwo. Brak zawiadomienia o naruszeniu ochrony danych osobowych osoby fizycznej w przypadku wystąpienia wysokiego ryzyka naruszenia jej praw lub wolności pozbawia ją nie tylko możliwości odpowiedniej reakcji na naruszenie, ale również możliwości dokonania samodzielnej oceny naruszenia, które przecież dotyczy jej danych osobowych i może powodować dla niej poważne konsekwencje. Natomiast brak zgłoszenia naruszenia ochrony danych osobowych pozbawia organ nadzorczy możliwości odpowiedniej reakcji na naruszenie, które polega nie tylko na ocenie ryzyka naruszenia praw lub wolności osoby fizycznej, ale również w szczególności na weryfikacji, czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą, jak również, czy zastosował odpowiednie środki bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia.

Zgłaszanie naruszeń ochrony danych osobowych przez administratorów stanowi zatem skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Zgłaszając naruszenie organowi nadzorczemu, administratorzy informują Prezesa UODO, czy w ich ocenie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, oraz – jeśli takie ryzyko wystąpiło – to czy przekazali stosowne informacje osobom fizycznym, na które naruszenie wywiera wpływ. W uzasadnionych przypadkach mogą również przekazać informację, że powiadomienie w ich ocenie nie jest konieczne ze względu na spełnienie warunków określonych w art. 34 ust. 3 lit. a) i b) rozporządzenia 2016/679. Prezes UODO dokonuje weryfikacji oceny dokonanej przez administratora i może – jeżeli administrator nie zawiadomił osób, których dane dotyczą – zażądać od niego takiego zawiadomienia. Zgłoszenia naruszenia ochrony danych osobowych pozwalają organowi nadzorczemu na właściwą reakcję mogącą ograniczyć skutki takich naruszeń, bowiem administrator ma obowiązek podjęcia skutecznych działań zapewniających ochronę osobom fizycznym i ich danym osobowym, które z jednej strony pozwolą na kontrolę skuteczności dotychczasowych rozwiązań, a z drugiej na ocenę modyfikacji i usprawnień służących zapobieżeniu nieprawidłowościom analogicznym do objętych naruszeniem. Natomiast zawiadomienie osób fizycznych o naruszeniu zapewnia możliwość przekazania tym osobom informacji na temat ryzyka związanego z naruszeniem oraz wskazania działań, jakie osoby te mogą podjąć, aby uchronić się przed potencjalnymi negatywnymi skutkami naruszenia (umożliwia to osobie fizycznej dokonanie samodzielnej oceny naruszenia w kontekście możliwości materializacji negatywnych konsekwencji dla takiej osoby i podjęcia decyzji o zastosowaniu lub braku zastosowania działań zaradczych).

Jak wynika z powyższych rozważań, administrator niezwłocznie pod uzyskaniu informacji o naruszeniu ochrony danych osobowych zobowiązany jest przeprowadzić ocenę ryzyka związanego z tym naruszeniem, dla praw lub wolności osób fizycznych, których to naruszenie dotyczy. Ocena ryzyka powinna stanowić podstawę dla decyzji administratora prowadzącej do podjęcia dalszych działań w celu realizacji obowiązków wynikających z art. 33 ust. 1 oraz 34 ust. 1 i 2 rozporządzenia 2016/679.

W przedmiotowej sprawie Administrator przekazując ocenę ryzyka naruszenia praw lub wolności osób fizycznych w związku z zaistniałym naruszeniem ochrony danych osobowych wskazał, że w jego ocenie ryzyko wystąpienia niedogodności związanych z ujawnieniem danych osobowych pacjentki osobie nieuprawnionej jest niskie, a jego istnienie nie wymaga dalszego postępowania. Podstawę do przyjęcia takiego stopnia ryzyka stanowił m.in. fakt, iż „[…] wskazane skutki w kontekście urzeczywistniania się analizowanego ryzyka nie wystąpiły i nie wystąpią”. Ponadto, w piśmie z 12 stycznia 2023 r. Administrator wskazał, że „W sytuacji, gdybyśmy wiedzieli o zdarzeniu w 2021 roku, tj. w trakcie pobytu obu Pań w jednym pokoju, możliwość udowodnienia personelowi medycznemu pomyłki w zakresie ankiet anestezjologicznych byłaby dużo większa, a tym samym ocena ryzyka byłaby średnia”.

Szpital co prawda poinformował o naruszeniu ochrony danych osobowych osobę, której dane dotyczą, przekazując jej treść zawiadomienia, jednak z uwagi na brak dokonania w tym zakresie stosownego zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO w przewidzianym przepisami prawa terminie (72 godziny od stwierdzenia naruszenia), pozbawił organ nadzorczy możliwości podjęcia właściwej reakcji na to naruszenie, a co za tym idzie możliwości przeprowadzenia stosownej analizy treści zawiadomienia, skierowanego do tej osoby, pod kątem wypełnienia przez Administratora obowiązków wynikających z ar 34 ust. 2 w związku z art. 33 ust. 3 rozporządzenia 2016/679 i udzielenia ww. osobie kompletnych informacji w kwestii możliwych konsekwencji naruszenia, jak również środków, jakie ta osoba może podjąć, aby uchronić się przed potencjalnymi skutkami naruszenia.

Należy bowiem pamiętać, że przypadkowe ujawnienie danych osobowych nawet jednej zidentyfikowanej osobie może prowadzić do zwiększenia skali naruszenia i tym samym powstania ryzyka naruszenia praw lub wolności osoby, której dane dotyczą.

W kontekście ww. kryteriów oceny ryzyka proponowanych przez EROD w Wytycznych 9/2022, tj. rodzaj naruszenia, charakter, wrażliwość i ilość danych osobowych, a także łatwość identyfikacji, przedstawiona przez administratora ocena ryzyka nie została podparta jakimikolwiek rozważaniami odnoszącymi się do ciężaru możliwych skutków naruszenia. Administrator nie wziął pod uwagę chociażby tego, że wśród kategorii naruszonych danych osobowych znalazły się dane dotyczące zdrowia, które zaliczane są do szczególnych kategorii danych osobowych i jako takie winny podlegać szczególnej ochronie ze strony administratorów. Co za tym idzie, ujawnienie danych osobowych zaliczających się do tej kategorii niesie za sobą wysokie ryzyko naruszenia praw lub wolności osób, których dotyczą.

Podkreślić również należy, że informacja o stanie zdrowia wraz z pozostałymi danymi osobowymi ujawnionymi osobie nieuprawnionej, tj. imieniem, nazwiskiem, datą urodzenia oraz numerem ewidencyjnym PESEL, niewątpliwie pozwala na identyfikację osoby, której dane dotyczą, zwłaszcza biorąc pod uwagę fakt, że, jak podkreślił Administrator, obydwie Panie ulokowane zostały w jednym pokoju.

Ponadto, z zebranego materiału dowodowego wynika, że dane osobowe pacjentki do chwili obecnej mogą pozostawać w posiadaniu osoby nieuprawnionej. Oznacza to, że ryzyko naruszenia praw lub wolności pacjentki nie zostało zniwelowane. Jak wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 21 stycznia 2022 r., sygn. akt II SA/Wa 1353/21 „(…) nie ma bowiem pewności, że przed tymi czynnościami osoba ta nie wykonała np. kserokopii lub też nie utrwaliła danych osobowych zawartych w treści dokumentu w inny sposób, np. poprzez ich spisanie”. Zatem trudne do zrozumienia dla Prezesa UODO jest powyżej ww. twierdzenie Administratora, gdzie wskazuje, że gdyby wiedział o naruszeniu ochrony danych osobowych wcześniej, to ryzyko z nim związane byłoby wyższe, podczas gdy Administrator do chwili zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu nie podjął żadnych czynności zmierzających do zminimalizowania ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, w tym nie zawiadomił w prawidłowy sposób tej osoby o możliwych skutkach tego naruszenia oraz nie wskazał możliwych środków, jakie ta osoba może podjąć w celu zabezpieczenia swoich danych przed nieuprawnionym ich wykorzystaniem.

Jak wskazują Wytyczne 9/2022, naruszenie ochrony danych osobowych może potencjalnie wywołać szereg negatywnych skutków dla osób fizycznych, których dane są przedmiotem naruszenia. Wśród możliwych skutków naruszenia EROD wymienia: uszczerbek fizyczny, szkody materialne lub niemajątkowe. Jako przykłady takich szkód wymienione są m.in.: dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, straty finansowe, naruszenie dobrego imienia, naruszenie poufności danych osobowych oraz znaczna szkoda gospodarcza lub społeczna. W niniejszej sprawie nie ulega wątpliwości, że z uwagi na zakres danych objętych przedmiotowym naruszeniem ochrony danych osobowych, w tym numer ewidencyjny PESEL wraz z imieniem i nazwiskiem oraz danymi dotyczącymi zdrowia, istnieje wysokie prawdopodobieństwo wystąpienia wymienionych powyżej szkód.

Podkreślić także należy, że pomimo czasu dzielącego fakt zaistnienia naruszenia ochrony danych osobowych od powzięcia przez Szpital informacji o zdarzeniu, ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, nie może być niwelowane tym, że do chwili obecnej Administrator nie ma wiedzy o zmaterializowaniu się możliwych negatywnych konsekwencji naruszenia ochrony danych osobowych. W analizie ryzyka na dzień 29 grudnia 2022 r., przedstawionej w piśmie z 24 lutego 2023 r., administrator określił ryzyko „w zakresie normy”. Ponadto zaznaczył, jak już powyżej wskazano, że „Wskazane skutki w kontekście urzeczywistniania się analizowanego zagrożenia nie wystąpiły i nie wystąpią”. W związku z powyższym podkreślenia wymaga fakt, że negatywne skutki związane z naruszeniem ochrony danych osobowych nie muszą się zmaterializować dla powstania po stronie administratora obowiązku zgłoszenia naruszenia ochrony danych osobowych oraz zawiadomienia o tym naruszeniu osoby, której dane dotyczą. Oznacza to, że Administrator nie może uzależniać wykonania obowiązków wynikających z art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679 od wystąpienia szkód po stronie osób fizycznych, których dotyczy naruszenie ochrony danych osobowych. Jak stwierdził WSA w Warszawie w wyroku z 22 września 2021 r. wydanym w sprawie o sygn. akt II SA/Wa 791/21: „Podkreślić należy, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować. W treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” (przy czym Sąd ten podobnie orzekł w wyrokach z 1 lipca 2022 r., sygn. akt II SA/Wa 4143/21, z 31 sierpnia 2022 r., sygn. akt II SA/Wa 2993/21, z 15 listopada 2022 r., sygn. akt II SA/Wa 546/22 oraz z 26 kwietnia 2023 r., sygn. akt II SA/Wa 1272/22).

Jak wskazują Wytyczne 9/2022, gdy administrator dowie się o naruszeniu podlegającym obowiązkowi zgłoszenia należy je zgłosić bez zbędnej zwłoki, nie później niż w ciągu 72 godzin. Ponadto, te same wytyczne wskazują, że w razie wątpliwości Administrator powinien z daleko idącej ostrożności powiadomić organ nadzorczy o naruszeniu ochrony danych osobowych. Powyższe wskazuje zatem na to, że skoro Administrator zdecydował się zawiadomić osobę, której dane dotyczą, o naruszeniu ochrony jej danych osobowych, przewidując, że naruszenie to może wiązać się z wysokim ryzykiem dla praw lub wolności osób fizycznych, to niewątpliwie zobowiązany był także do zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO, co uczynił dopiero po wszczęciu przez Prezesa UODO postępowania administracyjnego w sprawie. Jak wynika bowiem z art. 33 ust. 1 rozporządzenia 2016/679, w przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

W kontekście powyższych wyjaśnień, Szpital zdaje się zapominać, że stosując przepisy rozporządzenia 2016/679 należy mieć na uwadze cel tego rozporządzenia (wyrażony w art. 1 ust. 2), którym jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych. Z kolei ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości, np. co do wykonania obowiązków przez administratorów –  w tym również w sytuacji, gdy doszło do naruszenia ochrony danych osobowych – należy w pierwszej kolejności brać pod uwagę te wartości.

Uzyskanie przez organ nadzorczy pełnych, wymaganych w art. 33 ust. 3 rozporządzenia 2016/679, informacji o określonym naruszeniu ochrony danych osobowych pozwala mu na właściwą ocenę takiego naruszenia i odpowiednią reakcję, polegającą np. na zażądaniu od administratora powiadomienia osób, których dane dotyczą, w sytuacji, gdy jest to konieczne, a administrator nie uczynił tego z własnej inicjatywy. Brak odpowiedniej i szybkiej reakcji na naruszenia ochrony danych osobowych zwiększa ryzyko urzeczywistnienia się związanych z nimi szkód.

Warto podkreślić, że dokonując oceny pod kątem ryzyka naruszenia praw lub wolności osób fizycznych, od której uzależnione jest m.in. dokonanie zgłoszenia naruszenia ochrony danych osobowych, należy łącznie uwzględnić czynnik prawdopodobieństwa i wagę potencjalnych negatywnych skutków. Wysoki poziom któregokolwiek z tych czynników ma wpływ na wysokość ogólnej oceny, od której uzależnione jest wypełnienie m.in. obowiązku określonego w art. 33 ust 1 rozporządzenia 2016/679. Mając na uwadze, że ze względu na zakres ujawnionych danych osobowych w analizowanym przypadku wystąpiła możliwość zmaterializowania się poważnych negatywnych konsekwencji dla osoby, której dane dotyczą (jak wyżej wykazano), to wagę potencjalnego wpływu na prawa lub wolności osoby fizycznej należy uznać za wysoką. Jednocześnie prawdopodobieństwo wystąpienia wysokiego ryzyka w następstwie przedmiotowego naruszenia nie jest małe i nie zostało wyeliminowane. Tym samym stwierdzić należy, że w związku z przedmiotowym naruszeniem wystąpiło wysokie ryzyko naruszenia praw lub wolności osoby fizycznej, której dane dotyczą, co w konsekwencji determinuje obowiązek dokonania zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu.

Szpital kilkukrotnie otrzymał od organu nadzorczego informacje o tym, że dokumentacja medyczna zawierająca dane osobowe w zakresie imienia, nazwiska, daty urodzenia, numeru PESEL oraz danych dotyczących zdrowia znalazła się w posiadaniu innej pacjentki Administratora. Pierwszą informację o możliwym wystąpieniu naruszenia ochrony danych osobowych Szpital otrzymał wraz z pismem Prezesa UODO z 15 listopada 2022 r. Wówczas Administrator wskazał na otrzymanie zbyt małej ilości informacji umożliwiających identyfikację zdarzenia. W związku z powyższym Administratorowi przekazane zostały dodatkowe informacje dotyczące zdarzenia. Pomimo tego, pismem z 5 grudnia 2022 r. Administrator poinformował, że w dalszym ciągu nie jest możliwe wykrycie przez niego zdarzenia, jednocześnie jednak wskazał, iż poinformował osobę, której dane dotyczą, o naruszeniu ochrony jej danych osobowych. Postępowanie Administratora wskazuje zatem na niekonsekwencję, gdyż z jednej strony poinformował on organ nadzorczy o braku możliwości zidentyfikowania zdarzenia, co uniemożliwiło mu zgłoszenie naruszenia ochrony danych osobowych, natomiast z drugiej strony zdecydował się zawiadomić osobę, której dane dotyczą, o naruszeniu ochrony jej danych osobowych przekazując jej pewne informacje dotyczące zaistniałego naruszenia ochrony danych osobowych.

19 grudnia 2022 r. Prezes UODO przekazał Administratorowi Ankietę anestezjologiczną, która została wydana osobie nieuprawnionej, a która została załączona do korespondencji inicjującej czynności wyjaśniające. Nawet wówczas Administrator nie zdecydował się jednak na zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu, uzasadniając swoje stanowisko przeprowadzoną analizą zdarzenia. Z przedstawionej analizy wynikało, że teoretycznie mogło dojść do naruszenia ochrony danych osobowych, jednak możliwość udowodnienia wystąpienia zdarzenia skutkującego naruszeniem ochrony danych osobowych jest niska, a osoba, której dane dotyczą, może mieć istotne niedogodności, które są możliwe do przezwyciężenia. Według Administratora, na dzień składania wyjaśnień (tj. 12 stycznia 2023 r.) ryzyko naruszenia praw lub wolności osób fizycznych było niskie, ze względu na fakt, że do zdarzenia doszło ponad rok wcześniej, a zagrożenie nie zmaterializowało się w przeszłości. Z powyższym nie sposób się jednak zgodzić. Na podstawie bowiem przekazanych Administratorowi przez organ nadzorczy informacji miał on pełną możliwość ustalenia co się wydarzyło, w tym możliwość identyfikacji osoby, której dane zostały ujawnione osobie nieuprawnionej. W konsekwencji, dysponował wystarczającymi informacjami do stwierdzenia wystąpienia naruszenia ochrony danych osobowych, oceny poziomu ryzyka naruszenia praw lub wolności tej osoby i prawidłowego wykonania spoczywających na nim obowiązków z art. 33 ust. 1 oraz art. 34 ust. 1 i 2 rozporządzenia 2016/679.

Tymczasem dopiero po otrzymaniu zawiadomienia o wszczęciu postępowania administracyjnego w sprawie, tj. po 16 miesiącach od momentu przekazania Szpitalowi wszelkich informacji pozwalających mu na stwierdzenie naruszenia ochrony danych osobowych, Administrator zdecydował się na realizację ciążącego na nim obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu. Tym samym Administrator w sposób znaczny przekroczył zakreślony w art. 33 ust. 1 rozporządzenia 2016/679 termin na jego dopełnienie (72 godziny od stwierdzenia). Przez ten czas stan faktyczny przedstawiony Administratorowi w ww. pismach organu nie uległ zmianie. W formularzu zgłoszenia naruszenia z 27 marca 2024 r. Administrator wskazał jednak, iż przeprowadził ponowną analizę ryzyka, która wykazała istnienie wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Co więcej, w ww. formularzu, w pkt 3A, Szpital podał, że naruszenie ochrony danych osobowych stwierdził 24 listopada 2022 r., tj. niecały tydzień od otrzymania 18 listopada 2022 r. pisma Prezesa UODO w tej sprawie.

Nie do przyjęcia jest zatem stanowisko Szpitala zawarte w piśmie z 24 lutego 2023 r., że „Gdyby sytuacja miała miejsce obecnie i natychmiastowo zostałby powiadomiony Inspektor Ochrony Danych Osobowych oraz Administrator podmiotu, to ocena ryzyka zostałaby zupełnie inaczej obliczona. Przyjmujemy, że natychmiast zostałby powiadomiony Prezes Urzędu Danych Osobowych a ryzyko zostałoby ocenione jako nieakceptowane, ponieważ nie moglibyśmy przewidzieć co stanie się z danymi osobowymi i medycznymi, które w niepowołany sposób trafiłyby to osoby nieupoważnionej do przetwarzania danych osobowych i danych medycznych”, skoro po 16 miesiącach od stwierdzenia naruszenia ochrony danych osobowych Administrator w ponownej analizie ryzyka stwierdza wystąpienie wysokiego ryzyka naruszenia praw lub wolności osób fizycznych i powiadamia o zdarzeniu Prezesa UODO. Świadczy to bowiem o braku konsekwencji Administratora wobec prowadzonych działań dotyczących ochrony danych osobowych oraz niejednolitej ocenie podobnych zdarzeń, które de facto prowadzą do tych samych konsekwencji dla osoby, której dane dotyczą.

Jednocześnie dziwi fakt, że pomimo początkowego braku stwierdzenia ryzyka skutkującego koniecznością zawiadomienia organu nadzorczego o naruszeniu ochrony danych osobowych, Administrator zdecydował się zawiadomić osobę, której dane dotyczą oraz wdrożyć środki zaradcze, mające zapobiec ponownemu wystąpieniu tego typu naruszenia w przyszłości. Powyższe wskazuje na świadome niezgłoszenie organowi nadzorczemu naruszenia ochrony danych osobowych, w którym wystąpiło wysokie ryzyko naruszenia praw lub wolności osoby fizycznej.

Podsumowując powyższe należy stwierdzić, że w przedmiotowym przypadku występuje wysokie ryzyko naruszenia praw lub wolności osoby objętej przedmiotowym naruszeniem ochrony danych osobowych, co z kolei skutkowało powstaniem po stronie Szpitala obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w terminie 72 godzin od jego stwierdzenia, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, a także zawiadomienia tej osoby o naruszeniu ochrony jej danych osobowych, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć wszystkie informacje określone w art. 34 ust. 2 rozporządzenia 2016/679.

 Należy też stwierdzić, że w przedmiotowej sprawie nie ma podstaw do stwierdzenia, by Administrator z jakichkolwiek przyczyn zwolniony był z obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w terminie określonym w art. 33 ust. 1 rozporządzenia 2016/679 oraz obowiązku zawiadomienia o nim osoby, której dotyczą dane objęte tym naruszeniem (zgodnie z art. 34 ust. 1 tego rozporządzenia). W okolicznościach badanego przypadku nie można rozsądnie twierdzić, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osoby, której dane dotyczą. Naruszenie ochrony danych osobowych dotyczyło bowiem, co należy ponownie podkreślić, danych w zakresie: imię, nazwisko, numer ewidencyjny PESEL oraz dane dotyczące zdrowia, które to dane udostępnione zostały osobie nieuprawnionej. W ocenie organu nadzorczego nie istnieje więc uzasadnienie dla niewykonania przez Szpital obowiązku wynikającego z art. 33 ust. 1 rozporządzenia 2016/679 w terminie zakreślonym w tym przepisie. W przedstawionych okolicznościach niedopuszczalne jest zatem tak znaczne opóźnienie w zgłoszeniu naruszenia ochrony danych osobowych organowi nadzorczemu.

W sytuacji, gdy na skutek naruszenia ochrony danych osobowych występuje wysokie ryzyko naruszenia praw lub wolności osób fizycznych administrator zobowiązany jest wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy, jak również osoby, których dane dotyczą. Administrator powinien zrealizować przedmiotowy obowiązek możliwie najszybciej.

12 stycznia 2023 r. Administrator przekazał organowi nadzorczemu informację o zawiadomieniu osoby, której dane dotyczą, a następnie pismem z 24 lutego 2023 r. przekazał treść tego zawiadomienia (data przekazania zawiadomienia ww. osobie: 24 lutego 2023 r.). Zawiadomienie odnosiło się do wcześniejszej rozmowy telefonicznej Administratora z tą osobą, w której Inspektor Ochrony Danych Szpitala przekazał osobie, której dane dotyczą, informację o wystąpieniu naruszenia ochrony jej danych osobowych. W treści zawiadomienia Administrator zapewnił osobę, której dane dotyczą, iż ryzyko naruszenia jej praw lub wolności jest niskie, a zagrożenie powstania nieprzyjemności związanych z naruszeniem ochrony danych osobowych nie wystąpi bądź możliwość jego wystąpienia jest znikoma. Ponadto, Administrator przedstawił ww. osobie opis czynności przeprowadzonych przez Szpital w związku z zaistniałym naruszeniem ochrony danych osobowych, nie wskazując przy tym żadnych możliwych dla tej osoby konsekwencji naruszenia ochrony jej danych osobowych, jak również środków zaradczych, które ta osoba może podjąć, w celu zminimalizowania skutków naruszenia ochrony danych.

Następnie, wraz ze zgłoszeniem naruszenia ochrony danych osobowych dokonanym 27 marca 2024 r. (w treści którego Szpital wskazał, że ww. naruszenie stwierdził 24 listopada 2022 r.), Administrator ponownie przekazał osobie, której dane dotyczą, informację dotyczącą naruszenia ochrony jej danych osobowych. Treść przekazanego podmiotowi danych zawiadomienia nie zawiera jednak wszystkich informacji wymaganych stosownie do art. 34 ust. 2 w związku z art. 33 ust. 3 rozporządzenia 2016/679, tj. opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym w stosownych przypadkach – środków w celu zminimalizowania jego negatywnych skutków, uwzględniającego wszystkie naruszone kategorie danych osobowych, tj. dane dotyczące zdrowia.

Należy zatem w tym miejscu ponownie podkreślić, że dane dotyczące zdrowia, zgodnie z rozporządzeniem 2016/679, należą do szczególnych kategorii danych osobowych i jako takie podlegają szczególnym zasadom przetwarzania oraz powinny podlegać szczególnej ochronie ze strony ich administratorów, a w sytuacji wystąpienia naruszenia ochrony danych osobowych powodują powstanie wysokiego ryzyka naruszenia praw lub wolności osoby fizycznej, co obliguje administratora do zawiadomienia takiej osoby o konsekwencjach, jakie mogą wystąpić w związku z naruszeniem tej kategorii danych oraz środkach, jakie może ona podjąć w celu zminimalizowania negatywnych skutków naruszenia. Brak wskazania działań, które może samodzielnie podjąć taka osoba w celu zaradzenia naruszeniu oraz zminimalizowania jego ewentualnych skutków, odnoszących się do wszystkich danych ujawnionych osobie nieuprawnionej w wyniku naruszenia ochrony danych osobowych, może utrudniać podmiotowi danych podjęcie właściwej decyzji odnośnie do właściwego zabezpieczenia swoich danych przed nieuprawnionym ich wykorzystaniem. EROD w ww. wytycznych wskazuje, że głównym celem powiadomienia osób fizycznych jest dostarczenie konkretnych informacji o krokach, które powinny one podjąć, aby ochronić się przed negatywnymi konsekwencjami naruszenia ochrony ich danych osobowych. Podkreślenia wymaga, iż proponowane osobie, której dane dotyczą, środki w celu zaradzenia naruszeniu, w tym środki w celu zminimalizowania jego negatywnych skutków, powinny korelować z przedstawionymi tej osobie możliwymi negatywnymi konsekwencjami naruszenia ochrony danych osobowych. Nie jest wystarczające zatem wskazanie w treści zawiadomienia o naruszeniu ochrony danych osobowych, aby „poinformować Szpital niezwłocznie po uzyskaniu informacji o nieuprawnionym wykorzystaniu Pani danych”, gdyż uniemożliwia to podmiotowi danych rzeczywiste zapobieżenie negatywnym skutkom naruszenia danych dotyczących zdrowia, w związku ze wskazanym przez Szpital skutkiem w postaci dyskryminacji tej osoby. Tym samym Administrator nie przekazał osobie, której dane dotyczą, wszystkich wymaganych informacji, stosownie do art. 34 ust. 2 w związku z art. 33 ust. 3 lit. d) rozporządzenia 2016/679.

Niezależnie powyższego podkreślić należy, że zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony jej danych osobowych, stosownie do art. 34 ust. 1 rozporządzenia 2016/679, powinno nastąpić niezwłocznie. Trudno przyjąć, że przekazanie ww. osobie zawiadomień (choć niepełnych) 24 lutego 2023 r., a następnie 27 marca 2024 r. nastąpiło niezwłocznie, skoro zdarzenie miało miejsce w 2021 r., a pierwsze informacje pozwalające na stwierdzenie naruszenia ochrony danych osobowych Szpital otrzymał od Prezesa UODO pismem z 15 listopada 2022 r. Oznacza to w konsekwencji naruszenie przez Administratora ww. przepisu rozporządzenia 2016/679.

Stosując przepisy rozporządzenia 2016/679 należy mieć na uwadze cel tego rozporządzenia (wyrażony w art. 1 ust. 2), którym jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych. Z kolei ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów - w tym również w sytuacji, gdy doszło do naruszenia ochrony danych osobowych - należy w pierwszej kolejności brać pod uwagę te wartości.

Art. 34 ust. 1 i 2 rozporządzenia 2016/679 ma na celu nie tylko zapewnienie możliwie najskuteczniejszej ochrony podstawowych praw lub wolności podmiotów danych, ale także realizację zasady przejrzystości, która wynika z art. 5 ust. 1 lit. a) rozporządzenia 2016/679 (por. Witold Chomiczewski [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. red. E. Bielak – Jomaa,  D. Lubasz, Warszawa 2018). Właściwe wywiązanie się z obowiązku określonego w art. 34 rozporządzenia 2016/679 ma zapewnić osobom, których dane dotyczą, szybką i przejrzystą informację o naruszeniu ochrony ich danych osobowych wraz z opisem możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków, które mogą one podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków. Postępując zgodnie z prawem i wykazując dbałość o interesy osób, których dane dotyczą, administrator powinien był bez zbędnej zwłoki zapewnić osobie, której dane dotyczą, możliwość jak najlepszej ochrony danych osobowych. Dla osiągnięcia tego celu niezbędne jest przynajmniej wskazanie tych informacji, które wymienione są w art. 34 ust. 2 rozporządzenia 2016/679, z którego to obowiązku administrator nie wywiązał się. Administrator podejmując zatem decyzję o niezgłaszaniu naruszenia ochrony danych osobowych do organu nadzorczego w terminie określonym w art. 33 ust. 1 rozporządzenia 2016/679, jak i o niezawiadomieniu bez zbędnej zwłoki osoby, której dane dotyczą, a następnie nie przekazując jej wszystkich wymaganych informacji, w praktyce pozbawił tę osobę rzetelnej informacji o naruszeniu ochrony danych osobowych i możliwości przeciwdziałania potencjalnym szkodom.

W konsekwencji należy stwierdzić, że Administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w terminie określonym w  art. 33 ust. 1 rozporządzenia 2016/679, tj. w terminie 72 godzin od chwili stwierdzenia naruszenia ochrony danych oraz nie zawiadomił niezwłocznie w prawidłowy sposób osoby, której dane dotyczą, o naruszeniu ochrony jej danych osobowych, zgodnie z art. 34 ust. 1 i 2 rozporządzenia 2016/679, co oznacza naruszenie przez Administratora tych przepisów.

Zgodnie z art. 34 ust. 4 rozporządzenia 2016/679, jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3. Wobec powyższego Prezes UODO, działając na podstawie art. 58 ust. 2 lit. e) rozporządzenia 2016/679 nakazał Administratorowi zawiadomienie osoby objętej naruszeniem ochrony danych osobowych w zakresie oraz w terminie określonym w sentencji niniejszej decyzji.

II. Uzasadnienie nałożenia i ustalenia wysokości administracyjnej kary pieniężnej.
Biorąc pod uwagę powyższe ustalenia oraz stwierdzone naruszenia przepisów rozporządzenia 2016/679, Prezes UODO, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. i) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a)-h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 ust. 4 lit. a) i ust. 5 lit. a) rozporządzenia 2016/679, mając na względzie okoliczności ustalone w przedmiotowym postępowaniu stwierdził, iż w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Administratora administracyjnej kary pieniężnej.

Zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25-39 oraz 42 i 43 podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

W niniejszej sprawie administracyjna kara pieniężna wobec Administratora nałożona została za naruszenie art. 33 ust. 1 oraz 34 ust. 1 i 2 rozporządzenia 2016/679 na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a) rozporządzenia 2016/679.

Decydując o nałożeniu administracyjnej kary pieniężnej Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:

1. Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
W niniejszej sprawie stwierdzono naruszenie przepisu art. 33 ust. 1 rozporządzenia 2016/679 (polegające na niezgłoszeniu Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia) oraz art. 34 ust. 1 i 2 rozporządzenia 2016/679 (polegające na nieprzekazaniu tej osobie, w ramach skierowanego do niej zawiadomienia, adekwatnego opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków). Związane są one ze zdarzeniem polegającym na ujawnieniu danych osobowych jednej pacjentki Szpitala w postaci imienia, nazwiska, numeru ewidencyjnego PESEL oraz danych dotyczących zdrowia w wyniku przekazania Karty Ankiety Anestezjologicznej nieuprawnionej osobie. Zdarzenie to ma znaczną wagę i poważny charakter, ponieważ może doprowadzić do szkód majątkowych lub niemajątkowych dla osoby, której dane zostały naruszone, a prawdopodobieństwo ich wystąpienia jest wysokie.

Podkreślić również należy, że w związku z przekazaniem osobie nieuprawnionej Karty Ankiety Anestezjologicznej pacjentki Szpitala doszło do bezprawnego ujawnienia informacji objętych tajemnicą lekarską, co dodatkowo zwiększa powagę naruszenia i wskazuje na możliwość wystąpienia negatywnych skutków zdarzenia dla osoby, której dane dotyczą.

Pomimo, że w niniejszej sprawie brak jest dowodów, aby osoba, do której danych dostęp uzyskała osoba nieuprawniona, doznała szkody majątkowej, to już samo naruszenie poufności jej danych stanowi dla niej szkodę niemajątkową (krzywdę). Osoba fizyczna, której dane pozyskano w sposób nieuprawniony, może bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, dyskryminacją, czy wreszcie przed stratą finansową. Jak wskazał Sąd Okręgowy w Warszawie w wyroku z 6 sierpnia 2020 r., sygn. akt XXV C 2596/19, obawa, a więc utrata bezpieczeństwa stanowi realną szkodę niemajątkową wiążącą się z obowiązkiem jej naprawienia. Z kolei Trybunał Sprawiedliwości UE w orzeczeniu z 14 grudnia 2023 r. w sprawie Natsionalna agentsia za prihodite (C-340/21) podkreślił, że „Art. 82 ust. 1 RODO należy interpretować w ten sposób, że obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić „szkodę niemajątkową” w rozumieniu tego przepisu”.

Za okoliczność obciążającą Prezes UODO uznaje także długi czas trwania naruszenia przez Szpital przepisów rozporządzenia 2016/679. Przyjąć należy, że naruszenie wskazanych wyżej przepisów rozporządzenia 2016/679 rozpoczęło się  18 listopada 2022 r. (tj. w momencie, gdy Szpital odebrał korespondencję skierowaną do niego przez Prezesa UODO, uzyskując tym samym informację o wystąpieniu naruszenia ochrony danych osobowych). Naruszenie art. 33 ust. 1 rozporządzenia 2016/679 zakończyło się 27 marca 2024 r. wraz z dokonaniem zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu. Natomiast naruszenie art. 34 ust. 1 i 2 rozporządzenia 2016/679 trwa nadal, gdyż osoba objęta naruszeniem ochrony danych osobowych nadal nie otrzymała pełnej i prawidłowej informacji odnośnie do tego naruszenia.

W niniejszej sprawie naruszenie przepisów rozporządzenia 2016/679 dotyczyło danych osobowych tylko jednej osoby. Taką liczbę osób dotkniętych naruszeniem, szczególnie wobec faktu, że Szpital – w związku ze skalą i zakresem swojej działalności – przetwarza dane osobowe bardzo dużej liczby osób, należy uznać za niewielką, co przemawia na korzyść Administratora, lecz nie zmieniło to jednak całościowej oceny, tj. uznania w analizowanej sprawie przesłanki z art. 83 ust. 2 lit. a) rozporządzenia 2016/679 za obciążającą.

2. Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
Zgodnie z Wytycznymi Grupy Roboczej Art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 (dalej jako Wytyczne WP253), potwierdzonymi Wytycznymi 04/2022 w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO (dalej jako Wytyczne 04/2022[2]), umyślność „obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego”. Administrator podjął świadomą, popartą analizą ryzyka z 29 grudnia 2022 r., decyzję, by nie zawiadamiać o naruszeniu ochrony danych osobowych Prezesa UODO w terminie 72 godzin od jego stwierdzenia oraz osoby, której dane dotyczą, bez zbędnej zwłoki. Nie ulega wątpliwości, że Administrator, przetwarzając dane osobowe szczególnej kategorii, jakimi są dane dotyczące zdrowia, powinien mieć wiedzę w zakresie ochrony danych osobowych, obejmującą konsekwencję stwierdzenia naruszenia ochrony danych osobowych skutkującego wysokim ryzykiem naruszenia praw lub wolności osób fizycznych (a wiedzy tej wymagać można nie tylko od Administratora lecz również od powołanego przez niego inspektora ochrony danych). Będąc tego świadomym, Administrator podjął jednak decyzję o niewykonaniu swoich obowiązków określonych w art. 33 ust. 1 oraz art. 34 ust. 1 i 2 rozporządzenia 2016/679.

3. Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).
Administrator nie przekazując osobie, której dane dotyczą, pełnej informacji dotyczącej naruszenia ochrony jej danych osobowych pozbawił ją wiedzy o rzeczywistym stopniu ryzyka, co odbiera jej możliwość samodzielnej oceny skutków naruszenia ochrony jej danych, a co za tym idzie utrudnił podjęcie prawidłowych działań, zmierzających do zapobieżenia skutkom tego naruszenia. Ponownie należy wskazać, iż dane dotyczące zdrowia stanowią szczególną kategorię danych osobowych i jako takie powinny podlegać szczególnej ochronie, a co za tym idzie, skutki naruszenia ochrony tej kategorii danych mogą być szczególnie dotkliwe. Co prawda, na uznanie zasługuje fakt, że Administrator zdecydował się zawiadomić osobę, której dane dotyczą, o naruszeniu ochrony jej danych osobowych, jednak nie przekazał jej pełnej informacji dotyczącej środków bezpieczeństwa, które ta osoba może samodzielnie podjąć w celu zapobieżenia wykorzystaniu jej danych osobowych w postaci danych dotyczących zdrowia.

4. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Dane osobowe znajdujące się na dokumencie Ankiety Anestezjologicznej pacjentki, która nieprawidłowo została wydana nieupoważnionej osobie, których dotyczy naruszenie przepisów rozporządzenia 2016/679, obejmują dane w zakresie imienia, nazwiska, numeru ewidencyjnego PESEL oraz dane dotyczące zdrowia. Charakter działalności prowadzonej przez Administratora wymaga od niego bowiem przetwarzania danych osobowych podlegających szczególnej ochronie na gruncie art. 9 ust. 1 rozporządzenia 2016/679.

Należy również zwrócić uwagę, że na Ankiecie Anestezjologicznej, znajduje się numer PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie  identyfikujący osobę fizyczną, zawierający datę urodzenia, numer porządkowy, oznaczenie płci oraz liczbę kontrolną, a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga. Nie ma innej, tak konkretnej danej, która by w sposób jednoznaczny identyfikowała osobę fizyczną. Nie bez powodu numer PESEL służy jako dana identyfikująca każdą osobę i jest powszechnie używany w kontaktach z różnymi instytucjami oraz w obiegu prawnym. Numer PESEL wraz z imieniem i nazwiskiem w sposób jednoznaczny identyfikuje osobę fizyczną, w sposób pozwalający przypisać negatywne skutki naruszenia (np. kradzież tożsamości, wyłudzenie pożyczek) tej konkretnej osobie.

W tym kontekście warto przywołać wytyczne EROD 04/2022, w których to wskazano: „Jeśli chodzi o wymóg uwzględnienia kategorii danych osobowych, których dotyczyło naruszenie (art. 83 ust 2 lit. g) [rozporządzenia 2016/679] w [rozporządzeniu 2016/679] wyraźnie wskazano rodzaje danych, które podlegają szczególnej ochronie, a tym samym bardziej rygorystycznej reakcji przy nakładaniu kar pieniężnych. Dotyczy to co najmniej rodzajów danych objętych art. 9 i 10 [rozporządzenia 2016/679] oraz danych nieobjętych zakresem tych artykułów, których rozpowszechnianie natychmiast powoduje szkody  lub dyskomfort osoby, której dane dotyczą (np. danych dotyczących lokalizacji, danych dotyczących komunikacji prywatnej, krajowych numerów identyfikacyjnych lub danych finansowych, takich jak zestawienia transakcji lub numery kart kredytowych). Ogólnie rzecz biorąc, im większej liczby takich kategorii danych dotyczy naruszenie lub im bardziej wrażliwe są dane, tym większą wagę organ nadzorczy może przypisać takiemu czynnikowi. Znaczenie ma również ilość danych dotyczących każdej osoby, której dane dotyczą, wzrasta skala naruszenia prawa do prywatności i ochrony danych osobowych”.

Warto jeszcze raz wskazać na kształtujące się w tym zakresie orzecznictwo, gdzie dla przykładu w wyroku z 15 listopada 2022 r. o sygn. akt II SA/Wa 546/22 Wojewódzki Sąd Administracyjny w Warszawie wskazał: „Oczywistym też było, że organ określając wymiar kary musiał uwzględnić fakt, że naruszenie dotyczyło danych o wielkiej wrażliwości (m.in. PESEL, adres, dane o stanie zdrowia)”. Pogląd ten podzielony został także przez ww. Sąd w wyroku z dnia 21 czerwca 2023 r. w sprawie o sygn. akt II SA/Wa 150/23, gdzie WSA w Warszawie wskazał: „Reasumując Sąd stoi na stanowisku, ze ujawnienie numeru PESEL, wskazuje na wysokie ryzyko naruszenia praw lub wolności osób fizycznych”.

Decydując o nałożeniu administracyjnej kary pieniężnej Prezes UODO wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające łagodząco na wymiar nałożonej administracyjnej kary pieniężnej:

1. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust 2 lit. f rozporządzenia 206/679).
Administrator dokonał zgłoszenia naruszenia ochrony danych osobowych wskutek wszczęcia przez Prezesa UODO postępowania administracyjnego w niniejszej sprawie i choć zgłoszenie to stanowiło swoistą odpowiedź na wystąpienie organu nadzorczego, to stanowi to przejaw właściwej reakcji na kierowane do Szpitala pisma, a wobec tego okoliczność tę należy zakwalifikować jako łagodzącą. Jednocześnie Prezes UODO dostrzega podjęte przez Administratora działania zmierzające do poinformowania osoby, której dane dotyczą, o naruszeniu ochrony jej danych osobowych, i chociaż zawiadomienie skierowane do osoby nie przekazuje tej osobie wszystkich, wymaganych przepisami rozporządzenia 2016/679 informacji (tj. opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków odnoszących się do kategorii danych osobowych w postaci danych dotyczących zdrowia), to jako okoliczność łagodzącą należy przyjąć podjęcie przez Szpital działań w tym zakresie.

Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.

1. Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
Ze względu na charakter naruszenia przepisów rozporządzenia 2016/679 stwierdzonego w niniejszej sprawie (niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po jego stwierdzeniu) oraz brak prawidłowego zawiadomienia osoby, której dane dotyczą, z uwagi na nieprzekazanie jej wszystkich wymaganych zgodnie z treścią art. 34 ust. 2 rozporządzenia 2016/679 informacji (niewskazanie jej opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym w stosownych przypadkach – środków w celu zminimalizowania jego negatywnych skutków, uwzględniającego wszystkie naruszone kategorie danych osobowych, tj. danych dotyczących zdrowia) – które to naruszenia w swej istocie nie wiążą się ze stosowanymi przez administratora środkami technicznymi i organizacyjnymi – należy przyjąć, iż przesłanka wskazana w art. 83 ust 2 lit. d) rozporządzenia 2016/679 nie ma wpływu ani obciążającego ani łagodzącego na wymiar orzeczonej administracyjnej kary pieniężnej. Nie ma ona znaczenia w ocenie naruszenia przez Szpital przepisów art. 33 ust. 1 oraz art. 34 ust. 1 i 2 rozporządzenia 2016/679.

2. Wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust. 2 lit. e rozporządzenia 2016/679).
Prezes UODO nie stwierdził stosownych wcześniejszych naruszeń rozporządzenia 2016/679 przez X., w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej, jednakże do obowiązków każdego administratora należy przestrzeganie przepisów prawa (w tym przepisów dotyczących ochrony danych osobowych), w związku z czym brak wcześniejszych podobnych naruszeń ochrony danych osobowych nie może zostać uznany za okoliczność łagodzącą przy wymierzaniu sankcji.

3. Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).
O zaistnieniu naruszenia art. 33 ust. 1 oraz art. 34 ust. 1 i 2 rozporządzenia 2016/679 związanego z wydaniem osobie nieuprawnionej Karty Ankiety Anestezjologicznej innej pacjentki, Prezes UODO został poinformowany przez (…), które przekazało informację uzyskaną od osoby trzeciej posiadającej dostęp do tych danych. Brak zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych w terminie 72 godzin od jego stwierdzenia oraz brak niezwłocznego zawiadomienia osoby, której dane dotyczą, i przekazania jej opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków jest jednak przedmiotem niniejszego postępowania i w okolicznościach rozważanego stanu faktycznego organ nadzorczy przyjął, że przesłanki tej nie potraktuje jako okoliczności obciążającej.

4. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował w wobec administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.

5. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).
Szpital nie poinformował, czy stosuje zatwierdzone kodeksy postępowania lub zatwierdzone mechanizmy certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak - jak stanowią przepisy rozporządzenia 2016/679 - obowiązkowe dla administratorów i podmiotów przetwarzających w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na korzyść Administratora natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.

6. Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO nie stwierdził, żeby administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej administratora. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla Administratora. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.

7. Inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.

Na koniec koniecznym jest wskazanie, że ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej Prezes UODO zastosował metodykę przyjętą przez EROD w Wytycznych 04/2022. Zgodnie z przedstawionymi w tym dokumencie wskazówkami:

1. Prezes UODO dokonał kategoryzacji stwierdzonego w niniejszej sprawie naruszenia przepisów rozporządzenia 2016/679 (vide Rozdział 4.1 Wytycznych 04/2022). Stwierdzone w niniejszej sprawie naruszenie art. 33 ust. 1 oraz art. 34 ust. 1 i 2 rozporządzenia 2016/679 należy – zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą niższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 10 000 000 EUR lub do 2% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Zostało więc ono in abstracto (w oderwaniu od indywidualnych okoliczności konkretnej sprawy) uznane przez prawodawcę unijnego za mniej poważne niż naruszenia wskazane w art. 83 ust. 5 rozporządzenia 2016/679).

2. Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o niskim poziomie powagi (vide Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które tyczą się strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny lub nieumyślny charakter naruszenia (art. 83 ust 2 lit. b) rozporządzenia 2016/679) oraz kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej. W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi również in concreto jest niski (w skali powagi naruszeń przedstawionej w pkt 60 Wytycznych 04/2022). Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 0 do 10% maksymalnej wysokości karymożliwej do orzeczenia wobec Szpitala. Zważywszy, że przepis art. 83 ust. 4 rozporządzenia 2016/679 zobowiązuje Prezesa UODO do przyjęcia, jako maksymalnej wysokości za naruszenia wskazane w tym przepisie, kwoty 10 000 000 EUR lub – o ile wartość ta jest wyższa niż 10 000 000 EUR – kwoty stanowiącej 2% obrotu z poprzedniego roku obrotowego, Prezes UODO stwierdza, że zastosowanie w niniejszej sprawie ma tzw. statyczna maksymalna kwota kary – 10 000 000 EUR. Zastosowanie bowiem 2-procentowego wskaźnika przyłożonego do obrotu Szpitala za rok obrotowy zakończony dnia 31 grudnia 2023 r. ((…) EUR, to jest równowartość (…) zł wg średniego kursu EUR z dnia 29 stycznia 2024 r.) daje kwotę (…) EUR - niższą niż statyczne maksimum kary, o którym mowa w art. 83 ust. 4 rozporządzenia 2016/679. Mając do dyspozycji przedział od 0 do 10 000 000 EUR, Prezes UODO przyjął, jako adekwatną i uzasadnioną okolicznościami sprawy, kwotę wyjściową do obliczenia wysokości kary wynoszącą 200 000 EUR (stanowiącą 2% statycznej maksymalnej wysokości kary).

3. Prezes UODO dostosował kwotę wyjściową odpowiadającą niskiej powadze stwierdzonego naruszenia do obrotu Szpitala jako miernika jego wielkości i siły gospodarczej(vide Rozdział 4.3 Wytycznych 04/2022). Zgodnie z wytycznymi 04/2022, w przypadku przedsiębiorstw, których roczny obrót wynosi między 10 a 50 mln EUR, organ nadzorczy może rozważyć dokonanie dalszych obliczeń wysokości kary na podstawie wartości mieszczącej się w przedziale od 1,5 do 10% kwoty wyjściowej. Zważywszy, że obrót Szpitala w ostatnim roku sprawozdawczym (kończącym się 31 grudnia 2023 r.) wyniósł (…) zł, to jest (…) EUR (wg. średniego kursu EUR z dnia 29 stycznia 2024 r.), Prezes UODO za stosowne uznał skorygowanie podlegającej obliczeniom kwoty kary do wartości odpowiadającej 4% kwoty wyjściowej, to jest do kwoty 8 000  EUR (równowartość  34922,40 zł).

4. Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (vide Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się – jak zakładają Wytyczne 04/2022 – do jego strony podmiotowej, to jest do samego podmiotu będącego sprawcą naruszenia przepisów rozporządzenia 2016/679 oraz do jego zachowania przed tym naruszeniem, w jego trakcie i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej. Prezes UODO uznał, że okolicznościami łagodzącymi w niniejszej sprawie jest stopień współpracy Szpitala z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679). Obciążająco na wymiar kary wpływają natomiast działania podjęte przez Szpital w celu zminimalizowania szkody poniesionej przez osobę, której dane dotyczą (art. 83 ust. 2 lit. c) rozporządzenia 2016/679. Pozostałe przesłanki (z art. 83 ust. 2 lit. d), e), h), i), j) i k) rozporządzenia 2016/679) – jak wskazano wyżej – nie miały wpływu ani łagodzącego ani obciążającego na ocenę naruszenia przepisów rozporządzenia 2016/679 i w konsekwencji na wymiar kary. Ze względu na zaistnienie w sprawie powyższych okoliczności łagodzących i obciążających Prezes UODO uznał zmniejszenie wysokości kary ustalonej powyżej; adekwatnym do ocenianego łącznie wpływu wyżej wskazanych przesłanej na ocenę naruszenia jest w ocenie Prezesa UODO zmniejszenie kwoty do 6800 EUR (równowartość 29684,04 zł).

5. Prezes UODO uznał, że wysokość ww. kary nie wymaga dodatkowej korekty ze względu na zasadę proporcjonalności wymienioną w art. 83 ust. 1 rozporządzenia 2016/679 będącą jedną z trzech dyrektyw wymiaru kary (vide Rozdział 7 Wytycznych 04/2022). Kara pieniężna w wysokości 6800 EUR będzie karą skuteczną (przez swoją dolegliwość pozwoli osiągnąć swój cel represyjny, którym jest ukaranie za bezprawne zachowanie) i odstraszającą (pozwalającą skutecznie zniechęcić zarówno Szpital, jak i innych administratorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679). Zasada proporcjonalności wymaga m.in., by przyjęte przez organ nadzorczy środki nie wykraczały poza to, co odpowiednie i konieczne do realizacji uzasadnionych celów (vide pkt 137 i pkt 139 Wytycznych 04/2022). Innymi słowy: „Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku” (P. Litwiński (red.), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. […]; Komentarz do art. 83 [w:] P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz). Kwota 6800,- EUR (równowartość 29 684,04 zł) stanowi próg, powyżej którego dalsze zwiększanie wysokości kary nie będzie wiązało się ze wzrostem jej skuteczności i odstraszającego charakteru. Z drugiej natomiast strony obniżenie w większym stopniu wysokości kary mogłoby się odbyć kosztem jej skuteczności i odstraszającego charakteru, a także spójnego stosowania i egzekwowania rozporządzenia 2016/679 i zasady równego traktowania podmiotów na rynku wewnętrznym UE i EOG.

W ocenie Prezesa UODO zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust 1 rozporządzenia 2016/679, tzn. Jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

Należy podkreślić, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Szpital w przyszłości będzie wywiązywał się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie zgłaszania naruszenia ochrony danych osobowych Prezesowi UODO.

W ocenie Prezesa UODO administracyjna kara pieniężna spełni również funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Szpital przepisów rozporządzenia 2016/679. Będzie także spełniać funkcję prewencyjną. W ocenie Prezesa UODO wskaże bowiem zarówno Szpitalowi, jak i innym administratorom, na naganność lekceważenia obowiązków administratorów związanych z zaistnieniem naruszenia ochrony danych osobowych, a mających na celu przecież zapobieżenie jego negatywnym i często dotkliwym dla osób, których naruszenie dotyczy, skutkom, a także usunięcie tych skutków lub przynajmniej ograniczenie.

Stosownie do treści art. 103 ustawy z dnia 10 maja 2018 r, o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej „uodo”, równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku, gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.

Mając na uwadze powyższe, Prezes UODO na podstawie art. 83 ust. 4 lit. a) w związku z art. 103 uodo, za naruszenie opisane w sentencji niniejszej decyzji, nałożył na Szpital – stosując średni kurs euro z dnia 29 stycznia 2024 r. (1EUR = 4,3653 PLN) – administracyjną karę pieniężną w kwocie 29 684,04 PLN (co stanowi równowartość 6 800 EUR).

W ocenie Prezesa UODO, zastosowana kara pieniężna w wysokości 29 684,04 PLN (słownie: dwadzieścia dziewięć tysięcy sześćset osiemdziesiąt cztery złote cztery grosze), spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonego naruszenia w kontekście podstawowego celu rozporządzenia 2016/679 – ochrony podstawowych praw i wonności osób fizycznych, w szczególności prawa do ochrony danych osobowych. Odnosząc się do wysokości wymierzonej Szpitalowi administracyjnej kary pieniężnej, Prezes UODO uznał, że jest ona proporcjonalna do sytuacji finansowej Administratora i nie będzie stanowiła dla niego nadmiernego obciążenia.

Z przedstawionego przez Administratora sprawozdania finansowego wynika, że łączne przychody Szpitala za rok obrotowy zakończony dnia 31 grudnia 2023 r. wyniosły (…) PLN, w związku z czym kwota nałożonej w niniejszej sprawie administracyjnej kary pieniężnej stanowi ok. (…)% ww. kwoty wpływów. Jednocześnie warto podkreślić, że kwota nałożonej kary 29 684,04 PLN to jedynie 0,07% maksymalnej kary, której Prezes UODO mógł – stosując zgodnie z art. 83 ust. 4 rozporządzenia 2016/679 statyczne maksimum kary (tj. 10.000.000,- euro) – nałożyć na Szpital za stwierdzone w niniejszej sprawie naruszenie przepisów rozporządzenia 2016/679.

Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność uiszczenia kary finansowej pociągnie za sobą negatywne następstwa, w postaci znaczącej redukcji zatrudnienia bądź istotnego spadku obrotów Szpitala. Zdaniem Prezesa UODO, Szpital powinien i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, o czym świadczy chociażby sprawozdanie finansowe Szpitala, przesłane do Prezesa UODO 8 kwietnia 2024 r. Co więcej, organ nadzorczy miarkując wysokość kary wziął pod uwagę sytuację finansową Administratora na dzień wydania niniejszej decyzji administracyjnej, tzn. fakt, że w okresie od (…) do chwili obecnej w Szpitalu toczy się (…).

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.