Decyzja

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572), art. 7 ust. 1 i 2, art. 9, art. 10, art. 60 oraz art. 102 ust. 1 pkt 1 i ust. 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), a także art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. d) oraz lit. i), art. 83 ust. 1-3 oraz art. 83 ust. 4 lit. a) w związku z art. 37 ust. 1 lit. a) oraz ust. 7 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz.

Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej rozporządzeniem 2016/679, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez X, ul. (…), Prezes Urzędu Ochrony Danych Osobowych

stwierdzając naruszenie przez X, ul. (….), przepisów art. 37 ust. 1 lit. a) i art. 37 ust. 7 rozporządzenia 2016/679, polegające na niewyznaczeniu inspektora ochrony danych, a w konsekwencji braku publikacji danych kontaktowych inspektora ochrony danych i braku zawiadomienia o tych danych organu nadzorczego,

1)  nakłada na X, ul. (…), administracyjną karę pieniężną w wysokości 25 000,- PLN (słownie: dwadzieścia pięć tysięcy złotych).

Uzasadnienie

13 lutego 2024 r. Urząd Ochrony Danych Osobowych uzyskał informację dotyczącą „(...) sposobu przestrzegania ustawy o ochronie danych osobowych w Y przy ul. (…) (...)”. Z treści przekazanej przez osobę fizyczną wiadomości wynikało m.in., że wskazany w niej „(...) Urząd nie posiada inspektora Ochrony Danych (...)”. Sprawa odnosząca się do wskazanych powyżej nieprawidłowości została zarejestrowana przez tutejszy Urząd pod sygn. DKN.5101.57.2024.

Prezes Urzędu Ochrony Danych Osobowych, zwany dalej Prezesem UODO lub organem nadzorczym, na podstawie uzyskanego sygnału o możliwości naruszenia przepisów o ochronie danych osobowych zwrócił się 15 lutego 2024 r., w trybie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679, do X, zwanego dalej Z lub Administratorem, o wyjaśnienie, czy przedstawiona w zawiadomieniu skierowanym do organu nadzorczego sytuacja istotnie znajduje potwierdzenie w rzeczywistości, a w szczególności, czy w strukturze Administratora wyznaczony został inspektor ochrony danych.

W odpowiedzi udzielonej organowi nadzorczemu 21 lutego 2024 r. Administrator zaprzeczył, jakoby nieprawidłowości w zakresie realizowanych przez niego procesów przetwarzania danych osobowych kiedykolwiek miały miejsce.

Odnosząc się zaś szczegółowo do kwestii wyznaczenia w swojej organizacji inspektora ochrony danych, Z podniósł argumentację, zgodnie z którą„(…) Inspektorem Ochrony Danych Osobowych była p. AB, która od dnia (…) przebywała na zwolnieniu lekarskim. Stosunek pracy z tym pracownikiem ustał dnia (…). Wszystkie obowiązki pracownicze zostały przejęte przez p. CD, zgodnie z przyjętym i podpisanym zakresem obowiązków.”

W związku z otrzymaną odpowiedzią Prezes UODO pismem z 29 lutego 2024 r. zwrócił się do Administratora o poinformowanie, czy, a w przypadku udzielenia odpowiedzi pozytywnej, kiedy i w jaki sposób zawiadomił on organ nadzorczy o powołaniu, zmianie lub odwołaniu inspektora ochrony danych.

W replice datowanej na 5 marca 2024 r. Administrator wskazał, że „(...) [d]otychczas Inspektorem Ochrony Danych Osobowych w Y była p. AB. W momencie nastania jej dłuższej absencji spowodowanej problemami zdrowotnymi przekazała wszystkie obowiązki p. CD. (...)”. Przyznał on ponadto, że „(...) Niestety nastąpiło niedopatrzenie i nie zgłoszono tego drogą korespondencyjną do UODO. W międzyczasie X borykał się z zawirowaniami kadrowymi i problemami wynikającymi ze zmianą siedziby i długotrwałą przeprowadzką. Na dzień dzisiejszy zostanie dokonane skuteczne zgłoszenie nowego Inspektora Ochrony Danych Osobowych oraz zastępcy.” W ślad za powyższą deklaracją, Administrator przesłał Prezesowi UODO w dacie 5 marca 2024 r. następujące zawiadomienia:
1)   o wyznaczeniu Pani EF do pełnienia funkcji inspektora ochrony danych (dalej jako IOD) w Y ((…)),
2)   o odwołaniu Pani ABz pełnienia funkcji IOD w ww. podmiocie,
3)   o wyznaczeniu Pana GH do pełnienia funkcji zastępcy IOD w
ww. podmiocie.

Przekazanie ww. informacji, wskazujących na możliwość naruszenia przez Administratora obowiązku wynikającego z art. 37 ust. 7 rozporządzenia 2016/679 w okresie od początku stosowania w polskim porządku prawnym rozporządzenia 2016/679, tj. od 25 maja 2018 r. do 5 marca 2024 r., stanowiło – w ocenie Prezesa UODO – wystarczającą przesłankę do wszczęcia z urzędu postępowania administracyjnego, o czym organ zawiadomił Administratora pismem z 11 marca 2024 r., dokonując jednocześnie rejestracji tego postępowania pod sygn. DKN.5131.7.2024. Niezależnie od powyższego, Prezes UODO zobowiązał Administratora do przedstawienia dowodów na wyznaczenie przez niego w swojej strukturze IOD w okresie od 25 maja 2018 r.

W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego w przedmiotowej sprawie datowanej na 18 marca 2024 r. (znak: (…)) Administrator oświadczył, że „(.) [j]ako kierownik jednostki i Administrator Danych Osobowych w Y w 2018 roku upoważniłem pracownika p. AB do podjęcia się roli Inspektora Ochrony Danych Osobowych w Y. Zostałem poinformowany, że dokonano wszelkich formalności związanych z tą czynnością służbową. AB przeszła stosowne szkolenia w tym kierunku i jako zakładowa kadrowa sporządzała dokumenty związane z zatrudnianiem pracowników, gdzie umieszczała swoje dane jako Inspektora Ochrony Danych Osobowych. Wobec powyższych uważam, że dokonano niezbędnych formalności w Urzędzie Ochrony Danych Osobowych”. Do powyższego oświadczenia dołączona została kserokopia akt personalnych ww. osoby w postaci: wystawionego 2 czerwca 2018 r. przez podmiot zewnętrzny „Zaświadczenia (…)”, klauzuli informacyjnej o przetwarzaniu danych osobowych oraz nadanego przez Administratora 25 maja 2018 r. „Upoważnienia (…)”. Administrator ujawnił również treść zarządzenia nr (…) z 25 maja 2018 r. „(…)”.

W związku z dotychczas udzielonymi wyjaśnieniami w przedmiotowej sprawie, Prezes UODO pismem z 29 marca 2024 r. zwrócił się do Administratora o przekazanie dowodów, np. w postaci umowy o pracę, treści wewnętrznego zarządzenia lub wskazania zakresu obowiązków pracowniczych, uprawdopodobniających przywołaną w piśmie z 18 marca 2024 r. (prezentata Urzędu Ochrony Danych Osobowych: 21 marca

2024 r., znak: (…)) okoliczność dokonania przez Administratora upoważnienia p. AB „(...) do podjęcia się roli Inspektora Ochrony Danych Osobowych w Y.”, jak również wskazujących na dokonanie w sposób sformalizowany przez Administratora wyznaczenia do pełnienia funkcji IOD p. CD, której - zgodnie z pismem datowanym na 5 marca 2024 r. (znak: (…)) - p. AB „(...) przekazała wszystkie obowiązki (...)”.

W odpowiedzi z 4 kwietnia 2024 r. Administrator zamieścił kopię akt pracowniczych odnoszących się do osoby Pani AB, gdzie obok przywołanych powyżej dokumentów znalazły się dodatkowo umowy o pracę zawarte pomiędzy Administratorem a Panią AB odpowiednio 1 kwietnia 1999 r. oraz 2 września 2019 r., a także określający podstawowe obowiązki pracownicze wydany przez Administratora 2 marca 1999 r. względem ww. osoby „Przydział (…)”. Podobny dokument opatrzony datą 26 czerwca 2023 r. i oznaczony jako „Zakres (…)” zaadresowany został przez Administratora do Pani CD, która własnoręcznym podpisem złożonym w dacie 3 lipca 2023 r. wyraziła aprobatę dla zawartych w nim postanowień. Analiza przedstawionej przez Administratora w powyższym zakresie dokumentacji pracowniczej, dotyczącej Pani AB oraz Pani CD, wykazała, iż nie zawierała ona wyznaczenia wymienionych osób do pełnienia funkcji IOD.

Mając na uwadze treść dotychczas złożonych przez Administratora w toku niniejszego postępowania wyjaśnień, Prezes UODO zważył, że zachodzi uzasadniona konieczność jego rozszerzenia o możliwość naruszenia przez Administratora obowiązków wynikających z przepisu art. 37 ust. 1 lit. a) rozporządzenia 2016/679, o czym strona, stosownie do art. 61 § 1 i 4 ustawy Kodeks postępowania administracyjnego (dalej: Kpa), została przez organ nadzorczy zawiadomiona na podstawie pisma z 12 kwietnia 2024 r.

Jednocześnie, pismem datowanym na 28 sierpnia 2024 r. organ nadzorczy zwrócił się do Z o przekazanie dowodów, np. w postaci umowy o pracę, treści wewnętrznego zarządzenia lub przedstawienia zakresu obowiązków pracowniczych, wskazujących na dokonanie w sposób sformalizowany wyznaczenia do pełnienia funkcji IOD p. EF, stosownie do złożonego przez niego 5 marca 2024 r. zawiadomienia. Nadto, Prezes UODO, wezwał do wskazania przyczyn nieprzedstawienia przez Administratora dowodów w powyższym zakresie na wyznaczenie przez niego w swojej strukturze IOD (a więc również p. EF) w okresie od początku stosowania w polskim porządku prawnym rozporządzenia 2016/679, tj. od 25 maja 2018 r, o podanie których organ nadzorczy zwrócił się do Administratora w dacie 11 marca 2024 r.

W odpowiedzi datowanej na 5 września 2024 r. Administrator przedstawił treść

„Zarządzenia (…)” w sprawie m.in. wyznaczenia Pani EF „(…) do pełnienia funkcji inspektora ochrony danych osobowych (IOD) w Y.” Niezależnie od powyższego, Z poinformował, że w toku postępowania przedstawił „(…) wszystkie dokumenty (…) dotyczące powołania na stanowisko IOD Pani AB od 2018 roku (załączniki do pism z dnia 18.03.2024 r i 04.04.2024 r.)”. Administrator nie wskazał jednak – wbrew wezwaniu Prezesa UODO z 28 sierpnia 2024 r. – przyczyn niedostarczenia dowodów na wyznaczenie przez niego w swojej strukturze IOD (a więc również p. EF) w okresie od początku stosowania w polskim porządku prawnym rozporządzenia 2016/679, o podanie których organ nadzorczy zwrócił się do niego jeszcze w dacie 11 marca 2024 r.

W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w niniejszej sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Zgodnie z art. 34 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (zwanej dalej: uodo), Prezes UODO jest organem właściwym w sprawie ochrony danych i organem nadzorczym w rozumieniu rozporządzenia 2016/679. Stosownie do art. 57 ust. 1 lit. a) i h) rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia; prowadzi postępowania w sprawie naruszenia niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego.

Natomiast na podstawie art. 4 pkt 7 rozporządzenia 2016/679, administratorem jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

Stosownie do art. 37 ust. 1 lit. a) rozporządzenia 2016/679, administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości.

Z kolei na gruncie art. 37 ust. 7 rozporządzenia 2016/679 administrator lub podmiot przetwarzający publikują dane kontaktowe inspektora ochrony danych i zawiadamiają o nich organ nadzorczy.

W świetle powyższego wskazać zatem należy, że unijny ustawodawca wprowadził w odniesieniu do wszystkich organów i podmiotów publicznych bezwzględny obowiązek wyznaczenia IOD, nie precyzując jednakże pojęcia organu lub podmiotu publicznego, które byłyby adresatami normy wymienionego przepisu prawa. Zgodnie więc z postulatem Grupy Roboczej Art. 29 zawartym w Wytycznych WP 243 dotyczących inspektorów ochrony danych (dalej jako Wytyczne WP 243), by właściwe definiowanie ww. pojęcia znalazło swoje odzwierciedlenie na gruncie prawa krajowego, polski ustawodawca w unormowaniu art. 9 uodo zawarł zamknięty katalog organów i podmiotów publicznych obowiązanych do wyznaczenia IOD, o których mowa w art. 37 ust. 1 lit. a) rozporządzenia 2016/679. I tak, przez organy i podmioty publiczne obowiązane do wyznaczenia IOD na gruncie wspomnianego przepisu uodo, rozumie się: jednostki sektora finansów publicznych, instytuty badawcze oraz Narodowy Bank Polski.

Natomiast w próbie wskazania podmiotów publicznych objętych zakresem stosowania art. 37 ust. 1 lit. a) rozporządzenia 2016/679 trzeba skorzystać ze wskazówki interpretacyjnej zamieszczonej w art. 9 pkt 1-14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2023 r. poz. 1270; dalej jako u. f. p.), zgodnie z którą do sektora finansów publicznych zalicza się: organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały, jednostki samorządu terytorialnego oraz ich związki, związki metropolitalne, jednostki budżetowe, samorządowe zakłady budżetowe, agencje wykonawcze, instytucje gospodarki budżetowej, państwowe fundusze celowe, Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasę Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego, Narodowy Fundusz Zdrowia, samodzielne publiczne zakłady opieki zdrowotnej, uczelnie publiczne, Polską Akademię Nauk i tworzone przez nią jednostki organizacyjne, państwowe i samorządowe instytucje kultury oraz inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego.

Na podstawie dotychczasowych ustaleń uznać zatem należy, że X, będący organem administracji publicznej, realizujący swe kompetencje (…) w ramach powiatowej administracji zespolonej, jest podmiotem mieszczącym się w zakresie zastosowania obowiązku z art. 37 ust. 1 lit. a) rozporządzenia 2016/679. Dla wzmocnienia zaprezentowanej argumentacji warto w tym miejscu dodać, że stosownie do (…), odpowiadając przy tym za organizację wewnętrzną i szczegółowy zakres zadań wymienionej jednostki budżetowej, a więc w stosunku do której również można wywieść obowiązek posiadania w swojej strukturze IOD. Przenosząc powyższe rozważania na grunt przepisów o ochronie danych osobowych, uznać należy, że w tak zarysowanych okolicznościach zobowiązanym do dochowania należytej staranności przy wyznaczeniu IOD będzie stojący na czele jednostki finansowanej z budżetu państwa organ administracji publicznej, który ustala cele i sposoby przetwarzania danych osobowych w jej strukturze.

Tymczasem, odnosząc powyższe ustalenia do utrwalonego w toku niniejszego postępowania stanu faktycznego, wskazać należy, że w szczególności przedstawiona przez X dokumentacja nie wykazuje, aby „(...) [j]ako kierownik jednostki i Administrator Danych Osobowych w Y w 2018 roku (...)” upoważnił on „(...) pracownika p. AB do podjęcia się roli Inspektora Ochrony Danych Osobowych w Y”. W ocenie Prezesa UODO, do środków dowodowych, którymi powinien był posłużyć się Administrator w celu wykazania właściwego wyznaczenia w swojej strukturze IOD, należy w szczególności zaliczyć: wewnętrzne zarządzenie, uchwałę, powierzenie obowiązków, czy też umowę o pracę zawartą z wyznaczoną do pełnienia funkcji IOD osobą, czego Administrator nie uczynił. W próbie wykazania przed organem nadzorczym należytego wypełnienia ciążącego na nim obowiązku, o którym mowa w art. 37 ust. 1 lit. a) rozporządzenia 2016/679, w piśmie datowanym na 18 marca 2024 r. ujawnił on treść dokumentacji, która w jego ocenie ma stanowić o dokonaniu przez niego „(...) niezbędnych formalności w Urzędzie Ochrony Danych Osobowych.” Niestety, z ww. względów, zarówno załączonej przez niego kopii akt personalnych, dotyczących osoby p. AB w postaci: wystawionego 2 czerwca 2018 r. przez podmiot zewnętrzny „Zaświadczenia (…)”, klauzuli informacyjnej o przetwarzaniu danych osobowych oraz nadanego przez Administratora 25 maja 2018 r. „Upoważnienia (…)”, jak i zarządzeniu nr (…) z 25 maja 2018 r. „(…)”, nie sposób przypisać mocy dowodowej w kształcie, w jakim życzyłby sobie tego Administrator. Podnoszone przez niego środki dowodowe nie zawierają bowiem żadnych zapisów formalnoprawnych, które odnosiłyby się do problematyki prowadzonego przez Prezesa UODO postępowania. Przywoływana zaś przez Administratora klauzula informacyjna o przetwarzaniu przez niego danych osobowych p. AB, czy też wspomniane zarządzenie nr (…), z uwagi na pojawiające się w nich sformułowania mogące pośrednio świadczyć, że funkcję IOD w strukturze Administratora sprawuje ww. osoba, nie mogą wszak stanowić, że do formalnego, innymi słowy skutecznego, wyznaczenia p. AB do pełnienia tej funkcji istotnie doszło. W ocenie Prezesa UODO, te dwa wymienione akty o charakterze wewnętrznym postrzegać trzeba w ujawnionym stanie faktycznym co najwyżej jako pewną wskazówkę interpretacyjną, odnoszącą się do usytuowania p. AB w strukturze organizacyjnej Administratora i z tego względu nie mogą one być w żadnym wypadku oceniane przez pryzmat skuteczności dokonania przez niego wyznaczenia tej osoby do pełnienia funkcji IOD. Pragnąc bowiem wykazać się skutecznością takiego wyznaczenia przed organem nadzorczym, Administrator powinien dążyć by ad probationem akt prawny bądź umowa z osobą, która ma sprawować funkcję IOD posiadały nie tylko formę pisemną, ale w sposób nie budzący wątpliwości wskazywały na wyznaczenie do pełnienia funkcji IOD konkretnej osoby, wraz z precyzyjnym przypisaniem jej zakresu obowiązków zgodnie z przepisami art. 38 i art. 39 rozporządzenia 2016/679. Ustanowienie wewnętrznej polityki bezpieczeństwa dla procesów przetwarzania danych osobowych, czy wypełnienie przez administratora obowiązku informacyjnego, o którym mowa w art. 13 rozporządzenia 2016/679, względem zatrudnionego w jego organizacji IOD, stanowiące w normalnym toku czynności logiczne następstwo formalnego wyznaczenia danej osoby do pełnienia funkcji IOD, nie będą ze swej natury posiadać wymienionej funkcji.

Z przyczyn określonych powyżej, za taką umowę nie może być – w ocenie Prezesa UODO – uznana umowa o pracę zawarta między Administratorem a p. AB w dacie 2 września 2019 r., ponieważ jej treść nie odnosi się w najmniejszym nawet stopniu do ewentualności pełnienia przez tę osobę funkcji IOD w organizacji Administratora (o umowie o pracę zawartej pomiędzy ww. stronami 1 kwietnia 1999 r., a więc na długo przed rozpoczęciem obowiązywania w polskim porządku prawnym rozporządzenia 2016/679, nie wspominając). Podobne uwagi, z oczywistych względów, odnieść również należy do kwestii określającego podstawowe obowiązki pracownicze p. AB, „Przydziału (…)” wydanego przez Administratora względem ww. osoby 2 marca 1999 r. Co istotne, nakreślony powyżej stan naruszenia prawa, wynikający z braku możliwości wykazania przez Administratora skutecznego wyznaczenia p. AB do pełnienia funkcji IOD nie uległ nigdy konwalidacji. Przytaczana przez Administratora okoliczność, wskazująca na fakt, że „(...) AB (...) jako zakładowa kadrowa sporządzała dokumenty związane z zatrudnianiem pracowników, gdzie umieszczała swoje dane jako Inspektora Ochrony Danych Osobowych (...)” nie może bowiem - w świetle unormowania art. 37 ust. 1 lit. a) rozporządzenia 2016/679 - uzasadniać wyrażanego przez Administratora przekonania, że „(...) [w]obec powyższych uważam, że dokonano niezbędnych formalności w Urzędzie Ochrony Danych Osobowych.”

W konkluzji wskazać należy, że poczynione w toku niniejszego postępowania ustalenia faktyczne nie mogą stanowić o należytym wypełnieniu przez Administratora ciążącego na nim na gruncie art. 37 ust. 1 lit. a) rozporządzenia 2016/679 obowiązku, co jednocześnie daje asumpt do odrzucenia stawianej przez niego w datowanym na dzień 5 marca 2024 r. piśmie tezy o tym, że „(...) [d]otychczas Inspektorem Ochrony Danych Osobowych w Y była p. AB.”, skoro - jak wykazano - skuteczne wyznaczenie przez Administratora ww. osoby do pełnienia funkcji IOD nigdy nie miało miejsca. W tak ustalonych okolicznościach nie może zatem dziwić brak dokonania przez Administratora notyfikacji Prezesowi UODO, zgodnie z art. 37 ust. 7 rozporządzenia 2016/679, faktu wyznaczenia p. AB do pełnienia funkcji IOD. Powyższe uchybienie stanowi zatem – w ocenie Prezesa UODO – swoiste potwierdzenie nieskuteczności wyznaczenia przez Administratora konkretnej osoby do pełnienia funkcji IOD. Powinno być zatem rozpatrywane w kontekście niedopełnienia przez Administratora obowiązku wyznaczenia w swojej organizacji IOD od początku stosowania w polskim porządku prawnym przepisów rozporządzenia 2016/679.

Do podobnych wniosków prowadzi zresztą dalsza analiza złożonych przez Administratora wyjaśnień. W odpowiedzi udzielonej organowi nadzorczemu 21 lutego 2024 r., odnosząc się do kwestii wyznaczenia w swojej organizacji inspektora ochrony danych, podniósł on argumentację, zgodnie z którą „(...) Inspektorem Ochrony Danych Osobowych była p. AB, która od dnia (…) przebywała na zwolnieniu lekarskim. Stosunek pracy z tym pracownikiem ustał dnia (…). Wszystkie obowiązki pracownicze zostały przejęte przez p. CD, zgodnie z przyjętym i podpisanym zakresem obowiązków.”. Jednocześnie, w późniejszym, opatrzonym datą 4 kwietnia 2024 r. piśmie, Administrator przekazał treść określającego podstawowe obowiązki pracownicze i datowanego na 26 czerwca 2023 r. „Zakresu (…)” Pani CD, która własnoręcznym podpisem złożonym w dacie 3 lipca 2023 r. wyraziła aprobatę dla zawartych w nim postanowień. Tymczasem, przedstawiona przez Administratora chronologia wydarzeń prowadzi do konkluzji, w której – z uwagi na wyraźnie zarysowany odstęp czasu między dniem zakończenia stosunku pracy z p. AB, a datą zaakceptowania obowiązków pracowniczych przez p. CD – żadne przejęcie obowiązków poprzedniczki w zakresie sprawowania funkcji IOD nie mogło mieć miejsca (i to przy założeniu, że do skutecznego powołania p. AB do pełnienia funkcji IOD w ogóle doszło, co jak wykazano nigdy nie miało miejsca). O niedopełnieniu przez Administratora obowiązku wyznaczenia w swojej organizacji IOD świadczy równie dobitnie analiza treści „Zakresu (…)” Pani CD, który w pkt (…) stanowi o zastępstwie „(...) pracownika nieobecnego zgodnie z ustnym poleceniem X”. Zatem, również na tej podstawie p. CD nie mogłaby być postrzegana jako osoba wyznaczona przez Administratora do pełnienia funkcji IOD, albowiem - jak wykazano powyżej - wyznaczenie jej do sprawowania tej funkcji wyłącznie na podstawie ustnego polecenia Administratora nie stanowiłoby o jego skuteczności i dalej o należytym wypełnieniu przez niego określonego w art. 37 ust. 1 lit. a) rozporządzenia 2016/679 obowiązku. Niestety, również pozostałe postanowienia wspomnianego dokumentu nie dostarczają żadnych przesłanek, które choćby pośrednio wskazywać by mogły, że p. CD została przez Administratora wyznaczona do sprawowania funkcji IOD w jego organizacji.

W tych warunkach, wskazać należy, że stan naruszenia przepisu art. 37 ust. 1 lit. a) rozporządzenia 2016/679 trwał do daty 4 marca 2024 r., kiedy to Z wyznaczył „Zarządzeniem (…)” p. EF do pełnienia funkcji IOD. Z kolei naruszenie przez Administratora przepisu art. 37 ust. 7 rozporządzenia 2016/679 ustało 5 marca 2024 r., kiedy zawiadomił on o tym fakcie Prezesa UODO. Niemniej naruszenie wspomnianego przepisu w części dotyczącej obowiązku publikacji danych kontaktowych IOD jest niestety przez Administratora kontynuowane, co ponad wszelką wątpliwość wykazuje analiza treści zawartych w jego witrynie internetowej (vide: (…)).

Konkludując, przedstawione powyżej ustalenia faktyczne prowadzą zatem do postawienia uzasadnionego wniosku o niespełnieniu przez Administratora obowiązku skutecznego wyznaczenia w swojej organizacji IOD oraz zawiadomienia o nich organu nadzorczego w szerokim horyzoncie czasowym, bo od daty 25 maja 2018 r. do – odpowiednio – 4 i 5 marca 2024 r. Stosowna zaś publikacja danych kontaktowych IOD nie została przez Administratora do chwili obecnej dokonana.

Mając powyższe na uwadze, Prezes UODO nie mógł postąpić inaczej, jak wystosować względem Administratora – stosownie do treści art. 58 ust. 2 lit. d) rozporządzenia 2016/679 – nakaz dostosowania operacji przetwarzania do przepisów rozporządzenia 2016/679, poprzez dokonanie przez Z publikacji danych IOD.

W świetle zaprezentowanej powyżej argumentacji podkreślenia jednocześnie wymaga fakt, że w przedmiotowej sprawie nie zaszły żadne wyjątkowe okoliczności, które w jakikolwiek sposób usprawiedliwiałyby poważne uchybienia Administratora w aspekcie stosowania się przez niego do przepisów art. 37 ust. 1 lit. a) oraz art. 37 ust. 7 rozporządzenia 2016/679. Za takową przesłankę nie można wszak uznać sytuacji, w której „(...) Y borykał się z zawirowaniami kadrowymi i problemami wynikającymi ze zmianą siedziby i długotrwałą przeprowadzką” albo okoliczności związanej z żywionym przez Administratora przekonaniem, „(…) że wszystkie formalności związane z powołaniem (…) [p. AB – dod. wł.] na IOD zostały dopełnione”. Przyjęcie tej argumentacji umniejszałoby niewątpliwie rolę, jaką do odegrania w systemie ochrony danych osobowych mają właściwie umocowani do pełnienia swych zadań inspektorzy ochrony danych. Mając zatem na względzie potrzebę zachowania przez ten system odpowiedniego poziomu skuteczności, tym bardziej należy odwołać się do - wciąż zachowującego aktualność - wyroku Naczelnego Sądu Administracyjnego z 4 marca 2002 r. (sygn. akt II SA 3144/01), stanowiącego, że „żadne względy natury organizacyjno-finansowej nie powinny być traktowane jako podstawy do sprzecznego z prawem przetwarzania danych osobowych”.

Oceniając okoliczności przedmiotowego naruszenia przepisów rozporządzenia 2016/679, należy podkreślić, że stosując przepisy rozporządzenia 2016/679 należy mieć na uwadze, że celem tego rozporządzenia (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły).

Gwarantem zaś wspomnianych praw przynależnych osobom fizycznym pozostaje w ramach wykonywanych zadań (określonych w art. 39 rozporządzenia 2016/679), korzystający ze szczególnego statusu w systemie ochrony danych osobowych (na podstawie art. 38 rozporządzenia 2016/679), inspektor ochrony danych.

Mając na uwadze powyższe ustalenia, Prezes Urzędu Ochrony Danych Osobowych, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. i) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a)-h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 ust. 4 lit. a) i ust. 5 lit. a) rozporządzenia 2016/679, mając na względzie okoliczności ustalone w przedmiotowym postępowaniu stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na X przy ul. (…)administracyjnej kary pieniężnej.

Zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 - 39 oraz 42 i 43 podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Natomiast stosownie do art. 102 ust. 1 pkt 1 uodo, Prezes UODO może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 000 złotych, na jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1-12 i 14 u. f. p. Z jest podmiotem, którego dotyczy ten limit kar. Administracyjne kary pieniężne, o których mowa w ust. 1 i 2 ww. przepisu prawa, Prezes UODO nakłada na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679 (art. 102 ust. 3 uodo).

Z kolei art. 83 ust. 3 rozporządzenia 2016/679 stanowi, że jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.

Decydując o nałożeniu na Z administracyjnej kary pieniężnej Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a)-k) rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, wpływające obciążająco i mające wpływ na wymiar nałożonej administracyjnej kary pieniężnej:

1. Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a) rozporządzenia 2016/679).
Przy wymierzaniu administracyjnej kary pieniężnej istotne znaczenie miała okoliczność naruszenia przez Administratora przepisów rozporządzenia 2016/679, nakładających na niego, jako podmiot określony w art. 9 uodo w związku z art. 9 u. f. p., bezwzględny obowiązek w zakresie wyznaczenia w swojej strukturze inspektora ochrony danych oraz w ślad za tym publikacji jego danych kontaktowych, a także zawiadomienia o nich organu nadzorczego. W próbie zaś odpowiedniego określenia wagi tak zarysowanego naruszenia przez Administratora przepisów art. 37 ust. 1 lit. a) oraz art. 37 ust. 7 rozporządzenia 2016/679 należy odwołać się do wykładni celowościowej przepisów tego aktu prawnego. Tak przeprowadzona analiza prowadzi w konsekwencji do uznania ponad wszelką wątpliwość, że podstawowym interesem, którego skuteczną ochronę zapewnić ma system ochrony danych osobowych, stanowi prawo osób fizycznych do prywatności w zakresie przetwarzania ich danych osobowych. Oczywistym jest, że miarą efektywności tego systemu powinna być natomiast – w głównej mierze – taka realizacja przez administratorów zachodzących w ich obszarach procesów przetwarzania danych osobowych, która byłaby jak najbardziej zgodna z przepisami o ochronie danych osobowych. Zgodnie zaś z podejściem opartym na ryzyku, wdrożenie przez administratorów rozwiązań sprzyjających zapewnieniu adekwatnego poziomu ochrony zachodzących w ich strukturach procesów przetwarzania wymaga stosowania przez nich podejścia proaktywnego, czyli takiego, w którym wybierane przez nich rozwiązania dostosowane są nie tylko do charakteru ich organizacji, ale też do charakteru, zakresu, kontekstu i celów zachodzących w ich strukturze procesów przetwarzania danych osobowych. Co więcej, na administratorach spoczywa obowiązek odpowiedniego wykazania przed organem nadzorczym właściwym do spraw ochrony danych osobowych faktu przeprowadzania identyfikacji ryzyka związanego z prowadzonym przetwarzaniem danych osobowych, dokonywania jego oceny pod kątem źródła, charakteru, prawdopodobieństwa i wagi zagrożenia oraz wdrożenia na tej kanwie organizacyjnych i technicznych środków mitygujących ryzyko wystąpienia naruszenia ochrony danych osobowych. W zadaniach tych, szczególnie administratora będącego organem lub podmiotem publicznym, wspierać powinien zgodnie z wolą unijnego ustawodawcy, pełniący funkcję monitorująco-doradczą inspektor ochrony danych. W nawiązaniu do Wytycznych WP 243: „Poza ułatwianiem przestrzegania obowiązujących przepisów poprzez wdrażanie narzędzi rozliczalności (np. usprawnianie procesu przeprowadzania ocen skutków dla ochrony danych i przeprowadzanie lub ułatwianie przeprowadzania audytów) DPO pełnią funkcję pośredników między odpowiednimi zainteresowanymi stronami (np. organami nadzorczymi, osobami, których dane dotyczą, i oddziałami w ramach danej organizacji).” Tym samym, wykazanym Administratorowi uchybieniom, dotyczącym niespełnienia przez niego ciążących na nim w sposób bezwzględny obowiązków, o których mowa w art. 37 ust. 1 lit. a) oraz art. 37 ust. 7 rozporządzenia 2016/679, przypisać należy znaczną wagę i poważny charakter. Dzieje się tak nie tylko z uwagi na fakt, że Administrator, jako organ publiczny, tym bardziej zobowiązany jest do respektowania obowiązujących go norm prawnych. Przypisane mu w opisanym kształcie naruszenia przepisów 2016/679 należy - w ocenie Prezesa UODO - rozpatrywać w ujęciu szerszym, a więc również w kontekście naruszenia przez Administratora obowiązku ochrony praw lub wolności osób, których dane dotyczą. Ich konsekwencje wykraczają zatem dalej niż wynika to z ich formalnoprawnego charakteru. Okoliczność niewyznaczenia przez Administratora IOD niejednokrotnie może bowiem utrudniać, a nawet uniemożliwiać realizację przysługujących osobom fizycznym praw, co nakazuje traktować stwierdzone w niniejszej sprawie naruszenie, jako godzące w system ochrony danych osobowych. Przytoczona argumentacja, dotycząca systemowego oddziaływania leżącego po stronie Administratora naruszenia przepisów rozporządzenia 2016/679 w zakreślonym na str. 10 horyzoncie czasowym, doznaje wzmocnienia w zestawieniu z pkt 53 wyroku C-131/12 z 13 maja 2014 r. w sprawie Google Spain, w którym TSUE słusznie zauważył, że „(...) zapewnieniu ochrony podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do prywatności w zakresie przetwarzania danych osobowych, w odniesieniu do tego wyrażenia nie można przyjmować wykładni zawężającej.” Odnosząc powyższą tezę do okoliczności przedmiotowej sprawy, należy wskazać, że IOD powinien wspierać Administratora we wszystkich czynnościach, w których z uwagi na charakter podejmowanych działań jest to konieczne1. Realizowanie zatem przez Administratora w okresie od 28 maja 2018 r. do 4 marca 2024 r. procesów przetwarzania danych osobowych z pominięciem w nich roli IOD (do wyznaczenia którego był zobowiązany), wyklucza możliwość przyjęcia, że stworzył on w tym czasie warunki skutecznego egzekwowania przez osoby fizyczne przysługujących im praw.

W tym kontekście powaga stwierdzonych w toku niniejszego postępowania i będących udziałem Administratora naruszeń ww. przepisów rozporządzenia 2016/679 wzrasta jeszcze wyraźniej w zestawieniu z treścią art. 38 ust. 4 rozporządzenia 2016/679. Przepis ten bowiem statuuje niezwykle istotną z perspektywy osób, których dane dotyczą, funkcję IOD w postaci pełnienia dla podmiotów danych punktu kontaktowego we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy rozporządzenia 2016/679. Tymczasem, Administrator, powstrzymując się aż do daty 4 marca 2024 r. od skutecznego wyłonienia w swojej organizacji IOD naruszył w obszarze swojej kognicji to przysługujące szerokiemu kręgowi osób fizycznych uprawnienie. Do grupy tej należy bowiem zaliczyć nie tylko pracowników Y, ale wszystkie osoby, co do których Administrator kiedykolwiek występował we władczej pozycji organu administracji publicznej, realizującego ustawowo przypisane mu kompetencje. Wskazać zatem należy, że w tak zakreślonym kontekście przetwarzania, osobom tym towarzyszyć mógł jednak stan obawy związany z niemożnością skutecznego egzekwowania ich praw w zakresie sprawowania kontroli nad własnymi danymi osobowymi, tym bardziej, że przecież Administrator, z powodu własnych uchybień w zakresie art. 37 ust. 1 lit. a) i art. 37 ust. 7 rozporządzenia 2016/679, nie był w stanie przekazać tym osobom pełnego i wiarygodnego zestawu przysługujących im na gruncie art. 13 ust. 2 lit. b) rozporządzenia 2016/679 informacji o przetwarzaniu ich danych osobowych. Zaprezentowanej argumentacji nie umniejsza przy tym fakt zamieszczenia przez niego w treści zarządzenia nr (…) z 25 maja 2018 r. „(…)” informacji o następującym kształcie: „Inspektor Ochrony Danych AB”, albowiem – jak wykazano na wcześniejszych kartach uzasadnienia niniejszej decyzji – ta krótka wzmianka nie może stanowić w żadnej mierze przesłanki skutecznego wyznaczenia danej osoby do pełnienia funkcji IOD. W tych warunkach, logiczną pozostaje konstatacja o napotykaniu przez osoby, których podpisy poświadczające fakt zapoznania się z treścią rzeczonego dokumentu utrwalone zostały w materiale dowodowym, co najmniej poważnych ograniczeń w zakresie realizacji przez nie przysługującego im prawa do informacji o przetwarzaniu ich danych osobowych, w czasie, gdy - wedle opinii Administratora - funkcję IOD sprawować miała p. AB. Z tych samych względów, w odniesieniu do pozostałych kategorii podmiotów danych, w tym zwłaszcza klientów Z trudno dostrzec, aby realizacja ich przedmiotowego uprawnienia była we wskazanym okresie w ogóle możliwa, skoro Administrator nie przedstawił żadnych dowodów potwierdzających fakt podania danych kontaktowych p. AB do publicznej wiadomości, a nawet gdyby takową informację udostępnił, to i tak okoliczność ta – wobec braku skuteczności wyznaczenia ww. osoby do pełnienia funkcji IOD w organizacji Administratora – nie miałaby pozytywnego przełożenia na sferę prywatności tych podmiotów danych. Jednocześnie, zauważyć należy, że zgromadzony w ramach niniejszego postępowania materiał dowodowy nie wykazuje, aby podobna wzmianka co do osoby p. CD znalazła kiedykolwiek miejsce w przedstawionej przez Administratora dokumentacji. Pozwala to z kolei - w ocenie Prezesa UODO - na przyjęcie uzasadnionego wniosku, że nawet ta wąska - w porównaniu ze skalą procesów przetwarzania realizowanych przez Administratora - grupa zatrudnionych w jego organizacji osób, pozbawiona została przez niego, w szerokim horyzoncie czasowym, tj. gdy funkcję IOD w Y sprawować miała jakoby p. CD, dostępu do – stanowiącej wszak istotną składową rozumianego szeroko prawa do prywatności – rzetelnej informacji o przetwarzaniu danych ich dotyczących.

Niewątpliwie, przypisane Administratorowi uchybienie w zakresie obowiązku wyznaczenia IOD może w opisanych okolicznościach niniejszej sprawy stwarzać zatem ryzyko wystąpienia szkód o charakterze materialnym lub niematerialnym w dobrach osób, których dane poddane zostały przez niego procesom przetwarzania. Powyższa konstatacja nakazuje więc ponownie rozpatrywać naruszenie obowiązku określonego w art. 37 ust. 1 lit. a) rozporządzenia 2016/679 w ujęciu szerszym, tj. przez pryzmat realnego egzekwowania przez podmioty danych przysługujących im praw. W celu prawidłowego określenia wagi stwierdzonych w toku tego postępowania naruszeń przepisów ww. rozporządzenia, nie sposób więc pominąć niezwykle istotnej z perspektywy osób fizycznych kwestii związanej z ich sprawczością w odniesieniu do danych poddawanych przez Administratora operacjom przetwarzania. Wskazać należy, że – w ocenie Prezesa UODO – owa skuteczność działania tych osób w zakresie korzystania z przysługujących im praw mogła napotykać, w okresie od 28 maja 2018 r. do 4 marca 2024 r., co najmniej na poważne ograniczenia. W tym kontekście nie sposób nie wziąć pod uwagę sposobu, w jaki Prezes UODO powziął informację w związku z zachodzącymi w organizacji Administratora nieprawidłowościami. Pochodziła ona bowiem od osoby zainteresowanej przestrzeganiem „(...) ustawy o ochronie danych osobowych w Y przy ul. (…) (...)”. Fakt, że wskazała ona, że Y „(...) nie posiada Inspektora Ochrony Danych (…)”, pozwala z kolei wyciągnąć wniosek o towarzyszącej przynajmniej tej osobie niepewności co do stworzonych przez Administratora warunków dla ochrony praw lub wolności osób, których dane dotyczą. Powinnością każdego administratora powinno być zaś ułatwianie osobom, których dane dotyczą, wykonywania przysługujących im praw, co w warunkach przedmiotowej sprawy stało się udziałem - wspierającego Z – IOD dopiero w dacie 4 marca 2024 r.

Jednocześnie, charakter realizowanych przez będącego organem administracji Z procesów przetwarzania danych osobowych stanowi czynnik zwiększający dodatkowo wagę stwierdzonych uchybień. Immanentną cechą tych procesów pozostaje bowiem nierównowaga zachodząca między osobami, których dane dotyczą, a występującym w pozycji władczej Administratorem - organem publicznym (podobnej nierówności stron można dopatrywać się w przypadku przetwarzania przez Administratora danych osobowych jego pracowników). Odnosząc się z kolei do Wytycznych EROD 04/2022 dotyczących obliczania administracyjnych kar pieniężnych na podstawie RODO, dalej jako Wytyczne 04/2022, „(…) Organ nadzorczy może ponadto przypisać większą wagę temu czynnikowi w przypadku wyraźnej nierównowagi między osobami, których dane dotyczą, a administratorem (…)”.

Niezależnie od powyższego, szczególnego uwypuklenia domaga się również fakt długiego czasu trwania naruszenia przepisów będących przedmiotem zainteresowania Prezesa UODO w ramach prowadzonego przez niego postępowania. Zauważyć bowiem trzeba, że stan naruszenia przepisu art. 37 ust. 1 lit. a) rozporządzenia 2016/679 rozpoczął się 25 maja 2018 r., tj. w dniu rozpoczęcia stosowania przepisów rozporządzenia 2016/679, i utrzymywał się do daty 4 marca 2024 r., kiedy to nastąpiło skuteczne wyznaczenie przez Administratora p. EF do pełnienia funkcji IOD. Z kolei trwające od 25 maja 2018 r. niedopełnienie przez Z określonego na gruncie art. 37 ust. 7 rozporządzenia 2016/679 obowiązku poinformowania organu nadzorczego o danych kontaktowych IOD ustało w dacie 5 marca 2024 r., z chwilą dokonania przez Z stosownego zawiadomienia.

Niemniej, uchybienie wymienionego przepisu w części dotyczącej obowiązku publikacji danych kontaktowych IOD jest przez Administratora – wobec braku dowodów świadczących odmiennie – kontynuowane. Tym samym, trzeba zauważyć, że prawo każdej z osób, której dane pozostawały objęte procesami przetwarzania realizowanymi przez Administratora, do szeroko rozumianej prywatności ocenianej z perspektywy sprawowania kontroli nad własnymi danymi osobowymi i korzystania z przysługujących na gruncie art. 38 ust. 4 rozporządzenia 2016/679 uprawnień, było w zakreślonym przedziale czasu poddawane przez Administratora ograniczeniom, a jednocześnie stan ten do chwili obecnej nie uległ całkowitej konwalidacji.

Tak zastany stan rzeczy, stojący w opozycji do wszechstronnego i skutecznego egzekwowania prawa do prywatności, dotyka - co gorsze - potencjalnie szerokich kategorii osób fizycznych. Co więcej, wykazanym Administratorowi naruszeniom przepisów rozporządzenia 2016/679 przypisać należy systemowy charakter nie tylko z uwagi na fakt, iż mogą one, za Wytycznymi 04/2022, „(...) mieć wpływ, nawet w różnym czasie, na dodatkowe osoby, których dane dotyczą, które nie złożyły skarg lub zawiadomień do organu nadzorczego.” Do rozpatrywania leżących po stronie Z uchybień w ujęciu systemowym skłania również kontekst realizowanych przez niego, jako organu administracji publicznej działającego w obszarze swojej kognicji, procesów przetwarzania danych osób fizycznych, będących zarówno jego pracownikami, jak i klientami.

2. Umyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679).
Administrator, jako organ publiczny, powinien nie tylko gwarantować znajomość przepisów prawa, ale również respektować obowiązujące go w sposób bezwzględny normy prawne, w tym te z zakresu ochrony danych osobowych. Tymczasem, szczegółowa analiza utrwalonego w toku niniejszego postępowania materiału dowodowego dostarcza aż nadto przykładów potwierdzających pełną świadomość Administratora co do ciążących na nim na gruncie art. 37 ust. 1 lit. a) i art. 37 ust. 7 rozporządzenia 2016/679 obowiązków, niedopełnienia których się dopuścił. Świadczy o tym niezbicie fakt zamieszczenia w aktach personalnych dotyczących p. AB oraz w treści zarządzenia nr (…) z 25 maja 2018 r. „(…)” pozbawionych - wobec dowodów świadczących odmiennie - mocy prawnej wzmianek, określających tę osobę, jako wyznaczoną do pełnienia funkcji IOD w organizacji Administratora. Podobne uwagi odnieść można rzecz jasna względem podnoszonej przez Administratora argumentacji o faktycznym wypełnianiu zadań IOD przez ww. osobę, jak również w odniesieniu do ujawnionej przez niego treści „Zakresu (…)” Pani CD, która w jego ocenie miała sprawować zastępstwo p. AB w pełnieniu funkcji IOD. Co więcej, podniesiona argumentacja, przesądzająca o umyślnym naruszeniu przez Administratora ciążących na nim obowiązków, doznaje jeszcze wzmocnienia w zestawieniu z faktem, że wyznaczona „Zarządzeniem (…)” do pełnienia funkcji IOD p. EF, zgodnie z treścią złożonego Prezesowi UODO 5 marca 2024 r. zawiadomienia, zastąpiła na tym stanowisku nie p. CD, a p. AB, która - jak wykazano - nigdy nie została do sprawowania powyższej funkcji przez Z skutecznie wyznaczona. W ocenie organu nadzorczego, przytoczone okoliczności, w sposób czytelny wykazujące niespójność składanych przez Administratora wyjaśnień, dają asumpt do postawienia tezy o świadomym uchylaniu się przez Z od spoczywających na nim określonych ww. przepisami rozporządzenia 2016/679 obowiązków, skoro w istocie żadna ze wskazanych osób nie mogła w jego organizacji przed datą 4 marca 2024 r. skutecznie pełnić funkcji IOD. W konsekwencji wskazać należy, że niezastosowanie się przez Administratora do norm art. 37 ust. 1 lit. a) i art. 37 ust. 7 rozporządzenia 2016/679, zarówno przed ustaniem stosunku pracy z p. AB, jak i po dacie „(...) (…) (...)”, kiedy stosunek ten uległ zakończeniu i nie nastąpiło skuteczne wyznaczenie do pełnienia roli IOD p. CD oraz świadoma kontynuacja tego stanu rzeczy (co domyślnie Administrator potwierdził 5 marca 2024 r. w zawiadomieniu o odwołaniu p. AB z pełnienia funkcji IOD do chwili skutecznego wyznaczenia 4 marca 2024 r. p. EF do pełnienia funkcji IOD oraz zawiadomienia dnia następnego o tym fakcie Prezesa UODO przemawia - zdaniem Prezesa UODO - za umyślnym charakterem naruszenia ww. przepisów rozporządzenia 2016/679. Jednocześnie, podkreślić należy, iż Administrator, pomimo świadomości spoczywającego na nim stosownie do art. 37 ust. 7 rozporządzenia 2016/679 obowiązku, w dalszym ciągu nie dokonał publikacji danych kontaktowych IOD.

3. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679).
W niniejszej sprawie Prezes UODO uznał za niezadowalającą współpracę z nim ze strony Z Ocena ta dotyczy przede wszystkim spóźnionej reakcji Administratora na skierowane do niego w dacie 11 marca 2024 r. wezwanie do przedstawienia dowodów na wyznaczenie w jego strukturze IOD w okresie od 25 maja 2018 r. Pomimo precyzyjnie sformułowanego przez Prezesa UODO żądania, treść Zarządzenia nr (…) w sprawie wyznaczenia do pełnienia funkcji IOD przez p. EF została przez Administratora przedstawiona dopiero w dacie 5 września 2024 r., co wiązało się zresztą z koniecznością ponownego wystąpienia 28 sierpnia 2024 r. przez organ nadzorczy o ujawnienie przez Z dowodów w powyższym zakresie. Administrator nie wskazał jednak – wbrew wezwaniu Prezesa UODO - przyczyn niedostarczenia ich w terminie zakreślonym pierwotnie przez organ nadzorczy.

Przekazanie przez Administratora z istotnym opóźnieniem - mających istotne znaczenie dla prowadzonego postępowania i będących w jego posiadaniu od 4 marca 2024 r. – informacji, w sposób negatywny oddziaływało z kolei na możliwość wszechstronnego rozpatrzenia przez organ nadzorczy wszystkich okoliczności przedmiotowej sprawy. Brak woli pełnej współpracy w tym zakresie ze strony Z uwidoczniony również został w składanych przez niego wyjaśnieniach. Nie sposób bowiem nie zauważyć, iż Administrator od początku w sposób konsekwentny trwał przy swojej tezie o skutecznym wyznaczeniu do pełnienia funkcji IOD p. AB oraz p. CD (co jak wykazano nie znalazło potwierdzenia w zgromadzonym materiale dowodowym), tylko po to, by ostatecznie dostarczyć dowodów na niespójność podnoszonej argumentacji. W przesłanym 5 marca 2024 r. zawiadomieniu o odwołaniu p. AB z funkcji IOD potwierdził on bowiem domyślnie, że p. CD nigdy tej funkcji sprawować w jego organizacji nie mogła. Mając przy tym na uwadze fakt, że – jak zostało to ustalone – p. AB również owej funkcji w sposób skuteczny w organizacji Administratora nigdy nie pełniła, pozwala to w konsekwencji na postawienie wniosku, iż udział Administratora w niniejszym postępowaniu nie tylko nie sprzyjał dokonywaniu przez organ nadzorczy kluczowych dla tego postępowania ustaleń.

Za okoliczność obciążającą Administratora należy również uznać fakt, iż w jego witrynie internetowej (vide: (...)) wciąż nie widnieje żadna informacja o tym, komu w Y funkcja IOD została przez Administratora powierzona. To przesądza jednocześnie o nieusunięciu naruszenia art. 37 ust. 7 rozporządzenia 2016/679 w części dotyczącej dokonania publikacji danych kontaktowych IOD, pomimo wszczęcia z urzędu przez Prezesa UODO postępowania administracyjnego w przedmiotowej sprawie.

Ustalając wysokość administracyjnej kary pieniężnej dla Administratora, Prezes UODO nie znalazł podstaw do uwzględnienia okoliczności łagodzących, mających wpływ na ostateczny wymiar kary. Wszystkie przesłanki wymienione w art. 83 ust. 2 lit. a) - j) rozporządzenia 2016/679 w ocenie organu nadzorczego stanowią albo przesłanki obciążające albo jedynie neutralne. Również stosując przesłankę wymienioną w art. 83 ust. 2 lit. k) rozporządzenia 2016/679 (nakazującą wzięcie pod uwagę wszelkich innych obciążających lub łagodzących czynników mających zastosowanie do okoliczności sprawy) nie znaleziono żadnych okoliczności łagodzących, a jedynie neutralne (co zostało odnotowane poniżej w pkt 8 i 9).

Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.

1. Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c) rozporządzenia 2016/679).
W przedmiotowej sprawie Prezes UODO poddał ocenie wywiązywanie się przez Administratora z ciążących na nim na gruncie przepisów art. 37 ust. 1 lit. a) oraz art. 37 ust. 7 rozporządzenia 2016/679 obowiązków. Przypisane zaś Z naruszenia ww. przepisów prawa mają charakter formalny i jako takie pozostają oderwane od kwestii szkód o charakterze materialnych lub niematerialnym, jakie mogły stać się udziałem osób, których dane dotyczą. Fakt, że nie wystąpiły okoliczności, w których Administrator miałby podejmować aktywność w celu zminimalizowania szkód poniesionych przez te osoby, sprawia, że niniejsza przesłanka nie może zostać potraktowana jako element oceny stwierdzonych w toku niniejszego postępowania naruszeń przepisów rozporządzenia 2016/679.

2. Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d) rozporządzenia 2016/679).
W toku niniejszego postępowania organ nadzorczy poddał pod rozwagę kwestie związane z oceną działań Administratora jedynie w kontekście należytego spełnienia przez niego obowiązków, o których mowa w art. 37 ust. 1 lit. a) oraz art. 37 ust. 7 rozporządzenia 2016/679. Prezes UODO nie badał zatem okoliczności związanych z wywiązywaniem się przez Z z innych nałożonych na niego przepisami rozporządzenia 2016/679 obowiązków, w tym tych określonych na gruncie art. 25 i 32 tego aktu prawnego. Z tego też powodu ewentualny brak odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 25 i 32 rozporządzenia 2016/679, jako nie należący do istoty sprawy, a więc i pozbawiony przymiotu obciążającego lub łagodzącego, nie może zostać uznany za czynnik mogący dodatkowo wpłynąć na ocenę stwierdzonych w toku niniejszego postępowania naruszeń przepisów rozporządzenia 2016/679 i wymiar nałożonej na Administratora kary pieniężnej.

3. Wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e) rozporządzenia 2016/679).
Prezes UODO nie stwierdził leżących po stronie Administratora jakichkolwiek wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. Obowiązkiem każdego administratora jest przestrzeganie przepisów prawa, a zatem brak wcześniejszych naruszeń nie może być również okolicznością łagodzącą przy wymierzaniu sankcji.

4. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679).
Naruszenie przez Administratora przepisów art. 37 ust. 1 lit. a) i art. 37 ust. 7 rozporządzenia 2016/679 dotyczyło niespełnienia ciążącego na nim obowiązku o charakterze bezwzględnym w zakresie skutecznego wyznaczenia w swojej organizacji IOD oraz dokonania na tej podstawie publikacji jego danych kontaktowych, a także zawiadomienia o nich organu nadzorczego. Tym samym, nie odnosi się ono ze swej istoty do kwestii naruszenia bezpieczeństwa przetwarzanych przez Administratora danych osobowych i ich kategorii w rozumieniu art. 4 pkt 12 rozporządzenia 2016/679, co w konsekwencji mogłoby mieć wymiar obciążający lub łagodzący w zakresie oceny stwierdzonego naruszenia.

5. Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator zgłosił naruszenie (art. 83 ust. 2 lit. h) rozporządzenia 2016/679).
Prezes UODO dowiedział się o nieprawidłowościach w procesach przetwarzania danych osobowych realizowanych przez Administratora w toku postępowania wyjaśniającego, zainicjowanego wskutek zgłoszenia dotyczącego „(...) sposobu przestrzegania ustawy o ochronie danych osobowych w Y przy ul. (…) (...)”. Jednocześnie, EROD wskazuje w Wytycznych 04/2022, że „sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, może stanowić istotną okoliczność obciążającą albo łagodzącą. Przy ocenie tego aspektu szczególną wagę można przypisać kwestii, czy administrator lub podmiot przetwarzający powiadomił o naruszeniu organ nadzorczy z własnej inicjatywy, a jeśli tak, to w jakim zakresie, zanim organ nadzorczy został poinformowany o naruszeniu w drodze - na przykład - skargi lub postępowania. (...) W przypadku gdy organ nadzorczy dowiedział się o naruszeniu na przykład w wyniku skargi lub w toku postępowania, co do zasady element ten należy uznać również za okoliczność neutralną. Organ nadzorczy może uznać ten fakt za okoliczność łagodzącą, jeżeli administrator lub podmiot przetwarzający zgłosili naruszenie z własnej inicjatywy, zanim organ nadzorczy dowiedział się o danej sprawie.”

6. Jeżeli wobec administratora, którego sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 - przestrzeganie tych środków (art. 83 ust. 2 lit. i) rozporządzenia 2016/679).
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym nie miał on obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie organu nadzorczego, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.

7. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na moc art. 42 (art. 83 ust. 2 lit. j) rozporządzenia 2016/679).
Administrator nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na jego korzyść mogłaby być natomiast uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów, jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzania danych osobowych.

8. Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięcie straty (art. 83 ust. 2 lit. k) rozporządzenia 2016/679).
Prezes UODO nie stwierdził, aby w związku z naruszeniem Administrator odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Administratora. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Nieosiągnięcie zaś przez Administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być dla Administratora łagodząca. Interpretację tę potwierdza już samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” - zaistniałe po stronie podmiotu dokonującego naruszenia.

9. Inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy (art. 83 ust. 2 lit. k) rozporządzenia 2016/679).
Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.

W niniejszej sprawie administracyjna kara pieniężna wobec Z nałożona została za naruszenie art. 37 ust. 1 lit. a) oraz art. 37 ust. 7 rozporządzenia 2016/679 na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a) rozporządzenia 2016/679. Jednocześnie, kara w wysokości 25 000 PLN nałożona na Administratora łącznie za naruszenie wszystkich powyższych przepisów - stosownie do przepisu art. 83 ust. 4 lit. a) rozporządzenia 2016/679 podlega administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, nie przekraczając przy tym limitu kar określonego w art. 102 ust. 1 pkt 1 uodo.

Uwzględniając wszystkie omówione wyżej okoliczności, Prezes Urzędu Ochrony Danych Osobowych uznał, że nałożenie administracyjnej kary pieniężnej na Z jest konieczne i uzasadnione wagą oraz charakterem i zakresem zarzucanych temu podmiotowi naruszeń przepisów rozporządzenia 2016/679. Stwierdzić należy, iż zastosowanie wobec tego podmiotu jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b) rozporządzenia 2016/679), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że ww. podmiot w przyszłości nie dopuści się podobnych, co w sprawie niniejszej zaniedbań.

W ocenie Prezesa UODO nałożona na Z administracyjna kara pieniężna w wysokości 25 000,- PLN (słownie: dwadzieścia pięć tysięcy złotych), spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

W ocenie Prezesa UODO nałożona na Z kara jest proporcjonalna zarówno do wagi naruszenia (skutkującego naruszeniem bezwzględnie ciążącego na Administratorze obowiązku, o którym mowa w art. 37 ust. 1 lit. a) rozporządzenia 2016/679, skutkującym również niespełnieniem przez niego wymogów określonych w art. 37 ust. 7 rozporządzenia 2016/679), jak i do wielkości tego administratora. Jednocześnie, Prezes UODO wskazuje, że nałożona na Z administracyjna kara pieniężna spełnia w szczególności kryterium proporcjonalności kary w rozumieniu wypracowanym w orzecznictwie TSUE (na gruncie prawa konkurencji i w stosunku do decyzji Komisji Europejskiej, ale mającym zdaniem Prezesa UODO ogólniejsze zastosowanie): „[...] zasada proporcjonalności wymaga, aby akty wydawane przez instytucje Unii nie przekraczały granic tego, co jest stosowne i konieczne do realizacji uzasadnionych celów, którym służą dane przepisy, przy czym tam, gdzie istnieje możliwość wyboru spośród większej liczby odpowiednich rozwiązań, należy stosować najmniej dotkliwe, a wynikające z tego niedogodności nie mogą być nadmierne w stosunku do zamierzonych celów [...] (zob. wyrok z 12 grudnia 2012 r., Electrabel / Komisja, T-332/09, EU:T:2012:672, pkt 279 i przytoczone tam orzecznictwo)” (zob. wyrok z 26 października 2017 r. w sprawie T-704/14 Marine Harvest ASA przeciwko KE, ust. 580).