DKN.5112.14.2022
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572) oraz art. 7 ust. 1 i 2, art. 60, art. 90, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. i), art. 83 ust. 1–3 oraz art. 83 ust. 4 lit. a) w związku z art. 30 ust. 1, art. 35 ust. 1 i ust. 7 oraz art. 38 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwanego dalej „rozporządzeniem 2016/679”, po przeprowadzeniu postępowania administracyjnego wszczętego z urzędu w sprawie naruszenia przepisów o ochronie danych osobowych przez C. S.A. z siedzibą w D. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych
1) stwierdzając naruszenie przez C. S.A. z siedzibą w D. przy ul.(…) przepisu art. 38 ust. 3 rozporządzenia 2016/679, polegające na niezapewnieniu przez C. S.A., jako administratora, by inspektor ochrony danych podlegał bezpośrednio najwyższemu kierownictwu administratora oraz nie otrzymywał instrukcji dotyczących wykonywania swoich zadań,
nakłada na C. S.A. z siedzibą w D. przy ul. (…), administracyjną karę pieniężną w wysokości 261 918,00 zł (słownie: dwieście sześćdziesiąt jeden tysięcy dziewięćset osiemnaście złotych);
2) stwierdzając naruszenie przez C. S.A. z siedzibą w D. przy ul. (…) przepisów:
a) art. 30 ust. 1 rozporządzenia 2016/679, polegające na nieuwzględnieniu profilowania w opisie procesów (czynności) przetwarzania danych zawartych w prowadzonym przez C. S.A. rejestrze czynności przetwarzania danych;
b) art. 35 ust. 1 i ust. 7 rozporządzenia 2016/679, polegające na niedokonaniu oceny skutków dla ochrony danych osobowych w odniesieniu do czynności przetwarzania danych polegających na ich profilowaniu,
nakłada na C. S.A. z siedzibą w D. przy ul. (…), administracyjną karę pieniężną w wysokości 314 302,00 zł (słownie: trzysta czternaście tysięcy trzysta dwa złote).
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych, zwany dalej „Prezesem UODO”, na podstawie art. 78 ust. 1, art. 79 ust. 1 pkt 1 oraz art. 84 ust. 1 pkt 1-4 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej „ustawą”, w związku z art. 57 ust. 1 lit. a) i h) oraz art. 58 ust. 1 lit. b) i e) rozporządzenia 2016/679, w celu kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych, dokonał czynności kontrolnych w C. S.A. z siedzibą w D. przy ul. (…), zwanej dalej „C. S.A.” (sygn. akt: DKN (…)).
Prezes UODO przeprowadził w C. S.A. czynności kontrolne w dniach od (…) do (…) r. Zakresem kontroli objęto przetwarzanie przez C. S.A. danych osobowych klientów i potencjalnych klientów C. S.A. w związku z ich profilowaniem, poprzez ustalenie, między innymi:
1) Zakresu i rodzaju przetwarzanych danych osobowych.
2) Celu i czasu przetwarzania danych osobowych.
3) Czy w C. S.A. zostały opracowane procedury dotyczące profilowania.
4) Czy C. S.A. w celu oceny zdolności kredytowej i analizy ryzyka kredytowego podejmuje decyzje oparte na zautomatyzowanym przetwarzaniu, w tym profilowaniu, danych osobowych – również stanowiących tajemnicę bankową – pod warunkiem zapewnienia osobie, której dotyczy decyzja podejmowana w sposób zautomatyzowany, prawa do otrzymania stosownych wyjaśnień co do podstaw podjętej decyzji, do uzyskania interwencji ludzkiej w celu podjęcia ponownej decyzji oraz do wyrażenia własnego stanowiska, zgodnie z art. 105a ust. 1a ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2024 r. poz. 1646).
5) Czy C. S.A. wyznaczył inspektora ochrony danych (art. 37 rozporządzenia 2016/679).
6) Czy C. S.A. prowadzi rejestr czynności przetwarzania danych osobowych i czy uwzględnione są w nim czynności polegające na profilowaniu danych osobowych (art. 30 ust. 1 rozporządzenia 2016/679).
7) Czy C. S.A. dokonuje oceny skutków dla ochrony danych osobowych, o której mowa w art. 35 rozporządzenia 2016/679, w szczególności w odniesieniu do czynności przetwarzania danych polegających na ich profilowaniu.
8) Zasad działania systemów informatycznych wykorzystywanych do przetwarzania danych osobowych, a w szczególności ich profilowania.
Ustalony przez kontrolerów Urzędu Ochrony Danych Osobowych stan faktyczny opisano w protokole kontroli, który został podpisany przez osobę upoważnioną do reprezentowania C. S.A. W oparciu o materiał dowodowy zgromadzony w toku przeprowadzonej kontroli, Prezes UODO dokonał następujących ustaleń w zakresie stanu faktycznego:
I. Stan faktyczny.
1. C. S.A. przetwarza dane osobowe, w tym profiluje je, także w związku ze zautomatyzowanym podejmowaniem decyzji związanych z rozpatrywaniem wniosków kredytowych składanych przez potencjalnych klientów lub klientów C. S.A. oraz zawieraniem przez C. S.A. umów dotyczących świadczenia usług kredytowych. Profilowanie danych klientów i potencjalnych klientów C. S.A. odbywa się wyłącznie w celu określania ich zdolności kredytowej.
2.C. S.A. dokonuje także oceny ryzyka prania pieniędzy i stosowania środków bezpieczeństwa w systemie R.
3. C. S.A. przetwarza dane potencjalnych klientów i klientów w następującym zakresie: imię, nazwisko, adres zamieszkania i korespondencyjny, nr PESEL, data urodzenia, adres poczty elektronicznej, numer telefonu, oznaczenie kraju rezydencji podatkowej, stan cywilny, płeć, liczba posiadanych dzieci i daty ich urodzenia, seria i numer dokumentu tożsamości, źródło pochodzenia wartości majątkowych, obywatelstwo, dane adresowe pracodawcy klienta, dane o zobowiązaniach kredytowych. W zakresie danych uzyskanych w wyniku profilowania, C. S.A. przetwarza takie dane, jak: wynik scoringu, czyli ocena punktowa ryzyka kredytowego i kategoria ryzyka zdefiniowana przez C. S.A.
4. Na dzień kontroli Prezesa UODO funkcję inspektora ochrony danych (dalej: IOD) w C. S.A. pełnił Pan SJ. Wskazana osoba ww. funkcję pełniła od 24 czerwca 2020 r., na podstawie uchwały Zarządu C. S.A. nr (…)/(…). Pełniąc ww. funkcję, SJ nie podlegał bezpośrednio zarządowi C. S.A., stanowiącemu „najwyższe kierownictwo administratora” w rozumieniu art. 38 ust. 3 rozporządzenia 2016/679. Z treści umowy o pracę zawartej 14 września 2017 r. z C. S.A. przez pełniącego w czasie kontroli funkcję IOD SJ wynika bowiem, że był on zatrudniony najpierw na stanowisku (…) a następnie, na mocy aneksu nr (…) z 25 marca 2020 r., na stanowisku specjalisty ds. (…) w Zespole ds. (…), a następnie w Departamencie (…) C. S.A.
5. Z treści załączonego do ww. umowy o pracę opisu stanowiska pracy specjalisty ds. (…) w Departamencie (…) C. S.A. wynika, że pełniący funkcję IOD SJ, zatrudniony jednocześnie na stanowisku specjalisty ds. (…) w Zespole ds. (…) (później Departamentu (…)), „raportuje do” Dyrektora Departamentu (…), któremu podlega służbowo. W ocenie Prezesa UODO nie ulega wątpliwości, że obowiązek „raportowania”, uwzględniony w opisie stanowiska pracy SJ w Departamencie (…), potwierdza bezpośrednią podległość służbową SJ, pełniącego w C. S.A. w czasie kontroli funkcję IOD, Dyrektorowi ww. departamentu. Z powyższego wynika także, że SJ podlegał bezpośrednio Dyrektorowi Departamentu (…) także w zakresie pełnionej przez niego funkcji IOD, tym bardziej że Dyrektor ww. Departamentu, z uwagi na jego zadania, pełnił w C. S.A. obowiązki związane również z zarządzaniem (kreowaniem) procesami przetwarzania danych. W tej sytuacji, nie ulega wątpliwości, że przedmiotem „raportowania” przez SJ do Dyrektora Departamentu (…), były również kwestie immanentnie związane z procesami przetwarzania danych osobowych przez C. S.A.
6. Zgodnie z treścią § (…) C. S.A., to Dyrektor Departamentu (…) podlega bezpośrednio „najwyższemu kierownictwu administratora”, o którym mowa w art. 38 ust. 3 rozporządzenia 2016/679 (a więc w przypadku C. S.A. – zarządowi), nie zaś specjalista ds. (…), który służbowo, zgodnie z treścią ww. umowy o pracę oraz regulaminu organizacyjnego C. S.A., podlega bezpośrednio Dyrektorowi Departamentu (…). Ponadto, w myśl (…) C. S.A., do zakresu zadań Departamentu (…) należy, między innymi, tworzenie, aktualizacja oraz wdrażanie Polityki (…) C. S.A., (…) itp.
7. Z kolei w myśl § (…) Polityki (…) obowiązującej w C. S.A. na dzień kontroli Prezesa UODO, Pan SJ jako inspektor ochrony danych podlegał służbowo w organizacji C. S.A. bezpośrednio członkowi zarządu odpowiedzialnemu za obszar ochrony danych osobowych, tj. Pani PK, która pełniła na dzień kontroli funkcję członka zarządu odpowiedzialnego za (…).
8. Do zakresu podstawowych obowiązków SJ jako specjalisty do spraw (…) należało tworzenie i wdrażanie procedur i polityk dotyczących (…) w C. S.A., kontrola stosowania ww. procedur i polityk, a także określanie wymogów w zakresie (…) w systemach informatycznych C. S.A. oraz funkcjonujących procesów w C. S.A. w tym zakresie. Z kolei do zakresu najważniejszych obowiązków SJ jako inspektora ochrony danych należało prowadzenie szkoleń pracowników, udział w procesach legislacyjnych ze względu na kwestie ochrony danych osobowych, wspieranie wdrażania środków technicznych i organizacyjnych służących bezpieczeństwu danych osobowych, obsługa naruszeń ochrony danych osobowych, prowadzenie korespondencji zewnętrznej dotyczącej danych osobowych, w tym w zakresie realizacji praw osób, których dane dotyczą.
9. Zgodnie z treścią uchwały Zarządu C. S.A. nr (…)/(…) z 24 czerwca 2020 r. na zastępcę IOD został wyznaczony Pan KN, zatrudniony w czasie trwania kontroli na stanowisku Dyrektora Departamentu (…) na podstawie umowy o pracę z 15 marca 2021 r. wraz z aneksem nr (…) z 20 grudnia 2021 r. KN jako Dyrektor Departamentu (…) był przełożonym SJ w zakresie obowiązków wykonywanych przez niego w ramach zajmowanego stanowiska specjalisty do spraw (…) w ww. jednostce organizacyjnej C. S.A.
10. W C. S.A. prowadzony jest rejestr czynności przetwarzania, w którym wyszczególnione zostały: zbiór danych osobowych, czynność przetwarzania, forma przetwarzania danych, administrator danych osobowych, cele przetwarzania danych osobowych w zbiorze/ramach czynności przetwarzania, pola informacyjne/zakres danych, opis kategorii osób, których dane dotyczą, kategorie danych osobowych, źródło danych osobowych, podstawa prawna przetwarzania danych w zbiorze w ramach czynności przetwarzania, systemy informatyczne wykorzystywane do przetwarzania danych osobowych, przewidywany termin usunięcia lub przechowywania poszczególnych kategorii danych, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione (w tym odbiorców w państwach trzecich) oraz nazwa państwa trzeciego/dokumentacja odpowiednich zabezpieczeń. W ww. rejestrze na dzień kontroli nie były uwzględnione odrębnie czynności polegające na profilowaniu danych osobowych.
11. W C. S.A. została przeprowadzona ocena skutków dla ochrony danych dla procesu oceny kredytowej klientów wnioskujących o produkty kredytowe (kredyt samochodowy, karta kredytowa, linia kredytowa, pożyczka) oferowane przez C. S.A. dla klientów indywidualnych. W C. S.A. nie była dokonywana ocena skutków dla ochrony danych osobowych odrębnie w zakresie czynności przetwarzania danych polegających na ich profilowaniu.
W związku z powyższymi ustaleniami, Prezes UODO 4 sierpnia 2023 r. wszczął z urzędu postępowanie administracyjne w zakresie możliwości naruszenia przez C. S.A., jako administratora, obowiązków wynikających z przepisów art. 30 ust. 1, art. 35 ust. 1 i ust. 7 oraz art. 38 ust. 3 rozporządzenia 2016/679.
W odpowiedzi, C. S.A. pismem z 22 sierpnia 2023 r. ustosunkował się pisemnie do stwierdzonych naruszeń przepisów o ochronie danych osobowych, stanowiących przedmiot postępowania administracyjnego, wymienionych w zawiadomieniu o wszczęciu postępowania, wskazując, że, w jego opinii, SJ pełniący obowiązki IOD podlegał służbowo w organizacji C. S.A. bezpośrednio członkowi zarządu C. S.A. odpowiedzialnemu za obszar ochrony danych osobowych, tj. PK, która pełniła funkcję członka zarządu odpowiedzialnego za (…). C. S.A. wskazał, że usytuowanie stanowiska IOD w Departamencie (…) „ma jedynie wymiar administracyjny, tj. odnosi się wyłącznie do kwestii pracowniczych (np. akceptacja urlopów) oraz płacowych (ustalenie warunków finansowych)”. Ponadto C. S.A. wyjaśnił, że IOD jest podmiotem niezależnym w zakresie wykonywania swoich funkcji. Na dowód powyższego C. S.A. załączył do wyjaśnień wydruk wiadomości poczty elektronicznej przesyłanych pomiędzy IOD a członkiem zarządu C. S.A., dotyczącej akceptacji planu kontroli oraz sprawozdania za poprzedni rok z jego wykonania, która, w ocenie C. S.A., wskazuje na faktyczną podległość IOD bezpośrednio członkowi zarządu C. S.A. C. S.A. wskazał ponadto, że dla uniknięcia wątpliwości zainicjował proces zmiany zaszeregowania IOD w strukturach C. S.A., poprzez usytuowanie Inspektora Ochrony Danych bezpośrednio pod członkiem zarządu. Z kolei w piśmie z 29 listopada 2023 r. C. S.A. wyjaśnił, że zmienił treść regulaminu organizacyjnego oraz strukturę organizacyjną w taki sposób, iż stanowisko IOD zostało wyodrębnione w strukturze organizacyjnej C. S.A. C. S.A. wskazał, że po zmianach stanowisko IOD zostało organizacyjnie podporządkowane bezpośrednio członkowi zarządu C. S.A.
C. S.A. wskazał też w piśmie z 22 sierpnia 2023 r., że biorąc pod uwagę wyniki audytu z zakresu ochrony danych osobowych, wykonanego przez firmę zewnętrzną, jeszcze przed kontrolą przeprowadzoną przez organ nadzorczy w maju 2022 r., zaczął pracować nad zmianą sposobu ewidencjonowania czynności przetwarzania w rejestrze czynności przetwarzania z biznesowych procesów operacyjnych na poszczególne rodzaje czynności przetwarzania danych osobowych w C. S.A. C. S.A. stwierdził, że „obecnie obowiązujący (…) rejestr czynności przetwarzania opisuje poszczególne czynności przetwarzania dokonywane w C. S.A., w tym również profilowanie.” Ponadto, C. S.A. dołączył do wyjaśnień zawartych w piśmie z 22 sierpnia 2023 r. aktualnie obowiązujący rejestr czynności przetwarzania, w którego treści uwzględniona została czynność przetwarzania w postaci profilowania danych w ramach oceny zdolności kredytowej (scoringu) klientów C. S.A.
W piśmie z 22 sierpnia 2023 r. C. S.A. wyjaśnił także, że przekazana w toku kontroli ocena skutków planowanych operacji przetwarzania dotyczyła procesu oceny kredytowej, której nierozerwalnym elementem jest proces scoringu, czyli ocena klienta na podstawie określonych przez C. S.A. kryteriów. W ocenie C. S.A., ww. ocena „może być kwalifikowana jako profilowanie”, mimo, że opis funkcjonalny oceny zdolności kredytowej w ocenie skutków nie zawiera sformułowania „profilowanie”. C. S.A. podniósł, że wziął pod uwagę scoring i jego wynik jako czynnik podlegający ocenie skutków dla ochrony danych w procesie oceny kredytowej, tj. wewnętrzną dokumentację, procedurę (…) oraz procedurę „Polityka (…). Dodatkowo odniesiono się do „Procedury (…)”.
Jednocześnie C. S.A. wskazał w piśmie z 22 sierpnia 2023 r., że „wychodząc naprzeciw uwagom Prezesa UODO wskazanym w piśmie z 4 sierpnia 2023 r.”, C. S.A. uszczegółowił treść oceny skutków w zakresie operacji przetwarzania związanych z oceną zdolności kredytowej (w tym procesu scoringu), poprzez wyraźne wskazanie na czynność w formie profilowania. C. S.A. dołączył do pisma wydruk zmodyfikowanej treści opisu oceny skutków.
II. W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
II.1. Naruszenie art. 38 ust. 3 rozporządzenia 2016/679.
Zgodnie z art. 38 ust. 3 rozporządzenia 2016/679 administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.
W toku czynności kontrolnych ustalono, że C. S.A., wbrew dyspozycji art. 38 ust. 3 rozporządzenia 2016/679, nie zastosował środków organizacyjnych służących temu, żeby IOD bezpośrednio podlegał najwyższemu kierownictwu administratora oraz nie otrzymywał instrukcji dotyczących wykonywania swoich zadań. Ze zgromadzonego materiału dowodowego jednoznacznie wynika, że w dokumentacji wewnętrznej zawarł rozwiązania organizacyjne niespełniające wymogów określonych w powołanym wyżej przepisie rozporządzenia 2016/679 (umowa o pracę z 14 września 2017 r. wraz z aneksem, regulamin organizacyjny przed nowelizacją po kontroli Prezesa UODO).
Tak więc, z uwagi na okoliczność, iż inspektor ochrony danych był na dzień kontroli zatrudniony w Departamencie (…) C. S.A. jako specjalista ds. (…) i wykonywał polecenia bezpośredniego przełożonego, tj. Dyrektora ww. Departamentu, niebędącego osobą z „najwyższego kierownictwa administratora”, należy stwierdzić, że C. S.A. naruszył art. 38 ust. 3 rozporządzenia 2016/679. Naruszenie ww. przepisu wynika także z faktu, iż C. S.A. jako administrator, wobec stwierdzonego wyżej stanu faktycznego (opisanego w pkt 5-9), nie zapewnił, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Należy bowiem uznać, że pełna podległość służbowa inspektora ochrony danych wobec Dyrektora Departamentu (…) wyklucza możliwość zapewnienia, aby inspektor nie otrzymywał instrukcji dotyczących wykonywania jego zadań, tym bardziej że departament, w którym pracował, odpowiadał merytorycznie za kwestie będące także w spectrum obowiązków inspektora ochrony danych, tj. przede wszystkim za bezpieczeństwo informacji w C. S.A.. Biorąc powyższe pod uwagę, należy stwierdzić, że z logicznego punktu widzenia nie jest możliwe, aby inspektor ochrony danych, pracując w komórce organizacyjnej C. S.A. odpowiedzialnej za bezpieczeństwo informacji, a więc i danych osobowych, nie otrzymywał poleceń od kierownika tej komórki, także w zakresie merytorycznym obejmującym kwestie, za które odpowiada tenże inspektor. Z tego względu, wyjaśnienia C. S.A. o rzekomym faktycznym podleganiu IOD bezpośrednio członkowi zarządu C. S.A., poparte wysyłanymi sobie wzajemnie przez te osoby pojedynczymi wiadomościami poczty elektronicznej, jest nieprzekonywające.
Należy przy tym zauważyć, że uchwałą Zarządu C. S.A. nr (…)/(…) powołano do pełnienia funkcji zastępcy inspektora ochrony danych KN, zatrudnionego w dniu kontroli na stanowisku Dyrektora Departamentu (…) C. S.A. i będącego jednocześnie bezpośrednim przełożonym SJ, inspektora ochrony danych C. S.A., zatrudnionego w ww. departamencie jako specjalista ds. (…). Wyżej opisaną sytuację należy również ocenić jako naruszenie dyspozycji art. 38 ust. 3 rozporządzenia 2016/679, bowiem trudno uznać, iż inspektor ochrony danych C. S.A., w sytuacji gdy na jego zastępcę została wyznaczona osoba będąca jednocześnie jego bezpośrednim przełożonym, nie otrzymuje instrukcji dotyczących wykonywania zadań od Dyrektora Departamentu (…).
Wobec powyższego, raz jeszcze za niemiarodajne należy uznać wyjaśnienia C. S.A. w ww. zakresie, zawarte w piśmie z 4 sierpnia 2023 r. skierowanym do Prezesa UODO, w których C. S.A. powołał się m.in. na dołączoną do pisma korespondencję elektroniczną wskazującą, w jego opinii, na faktyczną niezależność IOD, pomimo formalnego jego zatrudnienia w organizacji C. S.A. jako podległego Dyrektorowi Departamentu (…). Odnosząc się do tych wyjaśnień C. S.A. stwierdzić należy, że ww. korespondencji nie można uznać za dowód na okoliczność podlegania przez IOD bezpośrednio najwyższemu kierownictwu C. S.A., skoro treść wszelkich dokumentów, począwszy od umów o pracę zawartych z C. S.A. przez SJ pełniącego na dzień kontroli funkcję IOD i KN, zatrudnionego na stanowisku Dyrektora Departamentu (…), a skończywszy na wewnętrznych procedurach C. S.A. i jego schemacie organizacyjnym, świadczy o podległości służbowej IOD osobie niebędącej członkiem zarządu C. S.A.. Stwierdzić zatem należy, że wyjaśnienia C. S.A. w ww. zakresie nie wnoszą nic nowego do sprawy i nie stanowią argumentu wobec zarzutu postawionego przez Prezesa UODO w zakresie niepodlegania przez IOD najwyższemu kierownictwu C. S.A.
Należy podkreślić, że powołanie SJ do pełnienia funkcji IOD w wyżej powołanych okolicznościach faktycznych, a przede wszystkim wobec faktu zatrudnienia go w Departamencie (…) i uczynienie go podwładnym dyrektora tej jednostki, stoi w sprzeczności z pisemnymi, pokontrolnymi wyjaśnieniami C. S.A., co do „faktycznej” niezależności IOD i podlegania wyłącznie zarządowi C. S.A. oraz treścią § (…) obowiązującej w C. S.A. na dzień kontroli Polityki (…), zgodnie z którą SJ jako IOD podlegał służbowo w organizacji C. S.A. bezpośrednio członkowi zarządu odpowiedzialnemu za obszar ochrony danych osobowych. Oznacza to, że Polityka (…), wobec wskazanych powyżej okoliczności i sposobu zatrudnienia IOD w C. S.A., nie została w tym zakresie wdrożona w C. S.A., przez co C. S.A. nie spełnił wymogów art. 38 ust. 3 rozporządzenia 2016/679.
C. S.A. przekonuje w swoich wyjaśnieniach, że SJ był podwładnym dyrektora Departamentu (…) jedynie „organizacyjnie”, ale w wykonywaniu obowiązków IOD „faktycznie” był podległy wyłącznie członkowi zarządu C. S.A. Ww. wyjaśnień C. S.A. nie można jednak uznać za miarodajne i rzeczowe. Przyjęta przez C. S.A. regulacja § (…) Polityki (…) nie może bowiem być jedynie deklaracją, która nie znajduje pokrycia w rzeczywistym stanie rzeczy, ustalonym w toku kontroli. Skoro zatem w ww. regulacji przyjęto zasadę, że IOD jest podległy bezpośrednio członkowi zarządu odpowiedzialnemu za sferę ochrony danych, to w ślad za taką deklaracją muszą być konsekwentnie wdrożone działania, które ją potwierdzają. Wskazane wyżej okoliczności zatrudnienia przez C. S.A. SJ, tj. zatrudnienie go w Departamencie (…) jako podwładnego dyrektora tej jednostki oraz powołanie tego ostatniego do pełnienia funkcji zastępcy SJ jako IOD, a także zakres merytoryczny zadań wykonywanych przez Departament (…), przeczą dyspozycji § (…) obowiązującej w C. S.A. Polityki (…), zgodnie z którą IOD podlega bezpośrednio członkowi zarządu.
Innymi słowy, nie może dochodzić do sytuacji, jak w przedmiotowej sprawie, że administrator, tj. C. S.A., wprowadza określone środki organizacyjne, takie np. jak polityka (…), w których deklaruje niezależność IOD w wykonywaniu jego obowiązków, w tym jego podległość wyłącznie i bezpośrednio najwyższemu kierownictwu (tj. w przedmiotowej sprawie zarządowi C. S.A.), a jednocześnie faktycznie stosuje rozwiązania organizacyjno-prawne, takie jak umowy o pracę wraz z określeniem w nich zakresu obowiązków, z których wynika, że stoją one w sprzeczności z postanowieniami polityki, a w konsekwencji z treścią art. 38 ust. 3 rozporządzenia 2016/679. Należy przypomnieć, że w przedmiotowej sprawie w sprzeczności z wymogami § (…) Polityki (…) oraz art. 38 ust. 3 rozporządzenia 2016/679 stoi treść umowy o pracę zawartej z SJ w dniu 14 września 2017 r., zgodnie z którą był on zatrudniony najpierw na stanowisku (…), następnie, na mocy aneksu nr (…) z 25 marca 2020 r. na stanowisku specjalisty ds. (…), a następnie – na dzień kontroli – w Departamencie (…) C. S.A. Z treści załączonego do ww. umowy o pracę opisu stanowiska pracy specjalisty ds. (…) w Departamencie (…) C. S.A. wynika zatem, że pełniący funkcję IOD SJ, zatrudniony jednocześnie na stanowisku specjalisty ds. (…) w Zespole ds. (…) (później Departamencie (…)), „raportuje do” Dyrektora Departamentu (…), któremu podlega służbowo. Powyższe określenie wskazuje, że ww. osoba była zobowiązana przekazywać Dyrektorowi Departamentowi (…) informacje o wykonywanych przez siebie zadaniach, także tych odnoszących się do wykonywanej przez niego funkcji inspektora ochrony danych. Z całokształtu obowiązków wykonywanych przez SJ oraz Dyrektora Departamentu (…) na dzień kontroli oraz zadań ww. departamentu wynika zatem jednoznacznie, że jego dyrektor był odpowiedzialny także za sferę procesów przetwarzania danych zachodzących w C. S.A. Powyższe zaś wiąże się z tym, że podległy służbowo Dyrektorowi Departamentu (…) SJ, pełniąc funkcję IOD, siłą rzeczy musiał mu podlegać także w zakresie pełnienia tejże funkcji. Taka sytuacja wyklucza całkowicie spełnienie wymogu podlegania IOD najwyższemu kierownictwu administratora, zgodnie z art. 38 ust. 3 rozporządzenia 2026/679.
Należy też zauważyć, że C. S.A., powołując SJ do pełnienia funkcji IOD i zatrudniając go zarazem na stanowisku specjalisty ds. (…) w Departamencie (…) jako podwładnego dyrektora tej jednostki oraz powołując ww. dyrektora do pełnienia funkcji zastępcy SJ jako IOD, nie przestrzegał postanowień obowiązującej u niego Polityki (…), do czego był zobowiązany w myśl art. 24 ust. 1 i ust. 2 rozporządzenia 2016/679, zgodnie z którym, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane (ust. 1). Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych (ust. 2).
Biorąc pod uwagę wszystkie wskazane wyżej okoliczności sprawy, a przede wszystkim formalną organizację pracy SJ (w tym przy pełnieniu obowiązków IOD), merytoryczny zakres jego obowiązków jako IOD i specjalisty ds. (…) w Departamencie (…) oraz zakres zadań Departamentu (…) C. S.A., a także odwołując się wreszcie do doświadczenia życiowego w podobnych sytuacjach, należy stwierdzić, że wyjaśnienia C. S.A., w których dowodzi on, iż faktycznie SJ w zakresie pełnienia obowiązków IOD podlegał bezpośrednio i wyłącznie członkowi zarządu, są nieprzekonywające i nie znajdują pokrycia w stwierdzonym stanie faktycznym. W tej sytuacji, postanowienia umowy o pracę zawartej z C. S.A. przez pełniącego na dzień kontroli funkcję IOD SJ, pozostawały w sprzeczności z treścią § (…) Polityki (…) i art. 38 ust. 3 rozporządzenia 2016/679, powodując, że był on zarówno formalnie, jak i faktycznie, bezpośrednio podległy osobie nienależącej do najwyższego kierownictwa C. S.A. (Dyrektorowi Departamentu (…)).
W związku z powyższym C. S.A. nie może tłumaczyć, że wyżej opisany stan jest zgodny z wymaganiami art. 38 ust. 3 rozporządzenia 2016/679 i § (…) Polityki (…), ponieważ, zdaniem C. S.A., jest to rozwiązanie „formalne”, a nie faktyczne. Prezes UODO nie może zatem przyjąć wyjaśnienia C. S.A. za wiarygodne, że dowodem na podleganie IOD najwyższemu kierownictwu C. S.A. jest deklaracja tego ostatniego jako administratora, że, co prawda, formalnie, m.in. na podstawie umowy o pracę, SJ podlegał służbowo Dyrektorowi Departamentu (…), ale faktycznie C. S.A. „nie korzystał” w pełni z formalnych postanowień tej umowy i de facto SJ jako IOD podlegał bezpośrednio i wyłącznie zarządowi C. S.A.. Sprzeczność postanowień umowy o pracę oraz przepisu art. 38 ust. 3 rozporządzenia 2016/679 oraz § (…) Polityki (…) C. S.A. przesądza o tym, że Prezes UODO musi uznać, iż C. S.A. nie zapewnił, aby IOD bezpośrednio podlegał najwyższemu kierownictwu C. S.A. jako administratora. Podległość służbowa C. S.A. wobec Dyrektora Departamentu (…), tj. jednostki wewnętrznej C. S.A., do której zadań należały także czynności odnoszące się do sfery bezpieczeństwa informacji w C. S.A., a więc i ochrony danych osobowych, jest równoznaczna także z tym, że SJ, wbrew wymogowi art. 38 ust. 3 rozporządzenia 2016/679, otrzymywał instrukcje dotyczące wykonywania zadań IOD od Dyrektora Departamentu (…). Ww. podległość, z natury stosunku pracy, w którym pracownik obowiązany jest wykonywać polecenia przełożonego, przesądza o otrzymywaniu przez SJ instrukcji mających znaczenie także dla sposobu pełnienia przez niego w C. S.A. funkcji IOD.
Na potwierdzenie powyższego wywodu należy odwołać się do treści Wytycznych Grupy Roboczej Art. 29 ds. Ochrony Danych dotyczących inspektorów ochrony danych („DPO”), zmienionych i przyjętych 5 kwietnia 2017 r. Zgodnie z treścią ww. dokumentu, „Administrator i podmiot przetwarzający są odpowiedzialni za przestrzeganie przepisów dotyczących ochrony danych i muszą być w stanie wykazać ich przestrzeganie. W sytuacji podjęcia przez administratora lub podmiot przetwarzający decyzji niezgodnej z przepisami RODO i zaleceniami DPO (tj. inspektora ochrony danych – przyp. Prezesa UODO), DPO powinien mieć możliwość jasnego przedstawienia swojej odrębnej opinii najwyższemu kierownictwu i osobom podejmującym decyzję. Artykuł 38(3) stanowi bowiem, iż <Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.> Ta bezpośrednia podległość zapewnia najwyższemu kierownictwu (np. członkom zarządu) wiedzę na temat porad i zaleceń DPO w ramach wypełniania przez DPO zadania informowania i doradzania administratorowi lub podmiotowi przetwarzającemu. Kolejnym przykładem bezpośredniej podległości jest sporządzanie dla najwyższego kierownictwa rocznego sprawozdania dotyczącego działań prowadzonych przez DPO.”[1]
II.2. Naruszenie art. 30 ust. 1 oraz art. 35 ust. 1 i ust. 7 rozporządzenia 2016/679.
1. W myśl art. 30 ust. 1 rozporządzenia 2016/679 każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się wszystkie następujące informacje: a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych; b) cele przetwarzania; c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych; d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych; e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń; f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych; g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.
Wobec powyższego, naruszenie przez C. S.A. przepisu art. 30 ust. 1 rozporządzenia 2016/679 wynika ze stwierdzonego w toku kontroli i postępowania faktu, że C. S.A. prowadzi, co prawda, ww. rejestr, jednak nie uwzględnia on w opisie procesów (czynności) przetwarzania danych związanych z ich profilowaniem. Fakt ten potwierdził C. S.A. w wyjaśnieniach udzielonych w toku kontroli, wskazując, że w rejestrze czynności przetwarzania ewidencjonuje produkty, a nie czynności, czy procesy na danych osobowych, zaś profilowanie jest elementem udzielania produktu kredytowego, uwzględnionego w rejestrze czynności przetwarzania. Podobne wyjaśnienia C. S.A. złożył w treści pisma z 4 sierpnia 2023 r., skierowanego po kontroli do Prezesa UODO.
Należy jednak podnieść, że profilowanie, określone w art. 4 pkt 4 rozporządzenia 2016/679, jest specyficzną formą zautomatyzowanego przetwarzania danych, w rezultacie którego dane osobowe – w przypadku C. S.A. – zostają wykorzystane do oceny sytuacji ekonomicznej osób fizycznych, tj. jego klientów. Należy zauważyć, że rejestr czynności przetwarzania jest dokumentem, który w przejrzysty, konkretny i wyczerpujący sposób ma opisywać procesy przetwarzania danych zachodzące u administratora. Brak ww. cech rejestru czynności przetwarzania czyni go nieefektywnym, a nawet bezużytecznym, zważywszy na fakt, że jego treść ma służyć między innymi organowi nadzorczemu, w razie jego kontroli, do niepozostawiającego wątpliwości pozyskania informacji w zakresie procesów przetwarzania faktycznie zachodzących u kontrolowanego administratora.
Wobec powyższego wskazać należy, że C. S.A. powinien był w prowadzonym przez niego rejestrze czynności przetwarzania uwzględnić również profilowanie jako specyficzną formę i zarazem istotny etap przetwarzania danych klientów w szeroko rozumianym procesie udzielania im kredytów. Opis czynności przetwarzania związanej z profilowaniem powinien być uwzględniony w rejestrze czynności przetwarzania ze względu na specyfikę profilowania przy przetwarzaniu danych, tj. korzystanie z zautomatyzowanych urządzeń (środków) technicznych oraz kreowanie nowych informacji o osobach fizycznych, w tym także takich, których udostępnienie mogłoby prowadzić do negatywnych dla nich skutków (jak np. stygmatyzacja, dyskryminacja związana z potencjalną dostępnością dla osób nieupoważnionych informacji o statusie majątkowym, tj. zdolności kredytowej klientów C. S.A.). To zaś z kolei ma istotne znaczenie ze względu na potencjalne ryzyko naruszenia praw lub wolności podmiotów danych.
Z wyżej wskazanych względów wyraźne wykazanie w treści rejestru czynności przetwarzania czynności polegającej na profilowaniu danych klientów C. S.A. służy bezpieczeństwu danych i jest konieczne dla zapewnienia przejrzystości i konkretności tego dokumentu. Wyżej wyrażony pogląd znajduje potwierdzenie także w literaturze przedmiotu. Jak wskazuje A. Mednis, „Należy zatem przyjąć, że czynności są wyodrębniane poprzez cele przetwarzania. Jednocześnie, zgodnie z wytycznymi GIODO, w przypadkach dużych różnic w pozostałych kryteriach wymienionych w art. 30 ust. 1 rodo, należy wyodrębniać czynności służące wprawdzie temu samemu celowi, ale różniące się ze względu na kategorie osób, których dotyczy przetwarzanie, kategorie danych oraz sposób przetwarzania. Ma to szczególne znaczenie w przypadku profilowania i podejmowania zautomatyzowanych decyzji. Wyjątkowy charakter obu działań i ich wyszczególnienie w rodo powodują, że powinny zostać wyodrębnione w rejestrze”[2].
W tej sytuacji, brak wyodrębnienia przez C. S.A. profilowania w treści rejestru czynności przetwarzania, stanowi naruszenie art. 30 ust. 1 rozporządzenia 2016/679.
2. Zgodnie z art. 35 ust. 1 rozporządzenia 2016/679, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę. Z kolei według art. 35 ust. 7 rozporządzenia 2016/679, ww. ocena zawiera co najmniej: a) systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora; b) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów; c) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, o którym mowa w ust. 1; oraz d) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.
Jak ustalono w toku kontroli, w C. S.A. nie była dokonywana ocena skutków dla ochrony danych osobowych w odniesieniu do czynności przetwarzania danych w formie profilowania.
Biorąc powyższe pod uwagę należy stwierdzić, że brak oceny skutków dla ochrony danych w związku z profilowaniem danych klientów przez C. S.A. stanowi naruszenie art. 35 ust. 1 i ust. 7 rozporządzenia 2016/679. Ponadto, ocena skutków planowanych operacji przetwarzania przez C. S.A. danych osobowych, przedłożona w toku kontroli nie spełnia wymogu zawartego w art. 35 ust. 7 lit. a) rozporządzenia 2016/679, tj. nie uwzględnia ona w systematycznym opisie planowanej operacji przetwarzania w formie profilowania danych celem określenia zdolności kredytowej klientów C. S.A..
Należy podnieść, że profilowanie jako forma przetwarzania danych wskazana w art. 4 pkt 4 rozporządzenia 2016/679, w szczególności w przypadku takich podmiotów jak C. S.A. i okoliczności przetwarzania danych, powinna być wyraźnie uwzględniona w treści oceny skutków z uwagi na wspomnianą wyżej specyfikę profilowania przy przetwarzaniu danych i związane z nim ryzyka, tj. korzystanie z zautomatyzowanych urządzeń (środków) technicznych oraz kreowanie nowych informacji o osobach fizycznych, w tym także takich, których udostępnienie mogłoby prowadzić do negatywnych dla nich skutków (stygmatyzacja, dyskryminacja związana z potencjalną dostępnością dla osób nieupoważnionych informacji o statusie majątkowym, tj. zdolności kredytowej klientów C. S.A.).
Z uwagi zatem na zagrożenia wiążące się z przetwarzaniem danych poprzez ich profilowanie oraz ryzyko naruszenia w związku z nim praw lub wolności podmiotów danych, wyraźne wykazanie profilowania w ramach dokonywanej analizy ryzyka oraz treści oceny skutków dla przetwarzania jest niezbędne dla zapewnienia bezpieczeństwa tych danych. Co prawda, jak wynika z materiału dowodowego zebranego w trakcie kontroli, C. S.A. nie wydaje w sposób zautomatyzowany decyzji dotyczących udzielenia kredytu, co, w świetle brzmienia art. 35 ust. 3 lit. a) rozporządzenia 2016/679 stanowiącego rozwinięcie regulacji art. 35 ust. 1, obligowałoby go explicite do sporządzenia względem czynności profilowania oceny skutków, należy jednak zauważyć, że katalog przypadków wskazanych w ww. przepisie, w których administrator ma obowiązek dokonania oceny skutków dla ochrony danych, nie jest zamknięty, przez co przepis ten nie wyklucza, że dokonanie przedmiotowej oceny jest obligatoryjne także w innych przypadkach.
Do ww. kwestii odniesiono się także na str. 8 Wytycznych Grupy Roboczej Art. 29 (WP251rev.01) dotyczących zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania dla celów rozporządzenia 2016/679, przyjętych 3 października 2017 r., ostatnio zmienionych i przyjętych 6 lutego 2018 r., poprzez stwierdzenie, że „Decyzje, które nie są wyłącznie zautomatyzowane także mogą obejmować profilowanie. Na przykład przed przyznaniem kredytu hipotecznego bank może wziąć pod uwagę wynik oceny zdolności kredytowej (scoring) pożyczkobiorcy, przy czym przed podjęciem jakiejkolwiek decyzji wobec danej osoby fizycznej następuje jeszcze interwencja człowieka.”
Ponadto, na str. 29 ww. Wytycznych, Grupa Robocza Art. 29 stwierdza, że „Art. 35 ust. 3 lit. a odnosi się do ocen obejmujących profilowanie i decyzji „opartych” na zautomatyzowanym przetwarzaniu, a nie „wyłącznie” na zautomatyzowanym przetwarzaniu. W opinii GR Art. 29 art. 35 ust. 3 lit. a będzie miał zastosowanie w przypadku podejmowania decyzji, w tym profilowania, które mają skutki prawne lub w podobny sposób istotnie wpływają na osobę, której dane dotyczą, które nie jest w pełni oparte na zautomatyzowanym przetwarzaniu, a także podejmowania decyzji opartego na zautomatyzowanym przetwarzaniu określonego w art. 22 ust. 1. (…) Administrator wciąż może przewidzieć „model” podejmowania decyzji w oparciu o profilowanie znacznie zwiększając poziom ludzkiej interwencji, tak aby model nie był już w pełni zautomatyzowanym procesem podejmowania decyzji, chociaż przetwarzanie nadal może stwarzać ryzyko dla podstawowych praw i wolności osób fizycznych. W takim przypadku administrator musi zapewnić, że jest w stanie zaradzić tym ryzykom i spełnić wymogi opisane w Rozdziale III niniejszych Wytycznych.”
W ocenie Prezesa UODO, profilowanie praktykowane przez C. S.A. jest przypadkiem, w którym, chociażby ze względu na dużą skalę tego działania, jego zakres, kontekst i cele, powinno być objęte oceną skutków dla ochrony danych. Jak wskazuje się w literaturze przedmiotu[3], „z powołanego przepisu (art. 35 ust. 3 rozporządzenia 2016/679 – przyp. Prezesa UODO) wynika obowiązek przeprowadzenia oceny, jeśli mamy do czynienia z sekwencją <profilowanie + zautomatyzowane decyzje>, nie oznacza to jednak, że samo profilowanie (a więc gdy jego efektem nie są zautomatyzowane decyzje) nie podlega ocenie. Podlega ocenie na zasadach ogólnych wyrażonych w art. 35 ust. 1 rodo, a więc jeśli etap 1. (tj. analiza ryzyka – przyp. Prezes UODO) potwierdzi wysokie prawdopodobieństwo naruszenia praw i wolności w wyniku planowanego profilowania. Operacje wymienione w art. 35 ust. 3 rodo należy traktować jako przykładowe. Potwierdzają to Wytyczne WP 248 (Grupy Roboczej Art. 29 – przyp. Prezes UODO): <Jak wskazuje wyrażenie „w szczególności” w zdaniu wprowadzającym w art. 35 ust. 3 RODO, wymienione przykłady nie stanowią wyczerpującego wykazu. Mogą występować operacje przetwarzania «wysokiego ryzyka», których nie uwzględniono w wykazie, lecz stwarzają równie wysokie ryzyko. Wspomniane operacje przetwarzania powinny również podlegać ocenom skutków dla ochrony danych>. Wśród kryteriów uznania ryzyka za wysokie wymienia się w Wytycznych WP 248 ocenę lub punktację, w tym profilowanie i prognozowanie w szczególności na podstawie <aspektów dotyczących efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą> (motywy 71 i 91 preambuły rodo). Grupa Robocza art. 29 podaje jako przykład instytucję finansową sprawdzającą swoich klientów w referencyjnej bazie danych kredytowych lub bazie danych w zakresie przeciwdziałania praniu pieniędzy i zwalczania finansowania terroryzmu lub w bazie danych zawierającej informacje o nadużyciach finansowych.”
Należy też pamiętać, że w Komunikacie Prezesa Urzędu Ochrony Danych Osobowych z 7 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony (M.P. z dnia 8 lipca 2019 r., poz. 666), wydanym na podstawie art. 54 ust. 1 pkt 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) w związku z art. 35 ust. 4 i ust. 6 rozporządzenia 2016/679, Prezes UODO wskazał, między innymi, jako operacje przetwarzania danych osobowych wymagające oceny skutków przetwarzania: ewaluację lub ocenę, w tym profilowanie i przewidywanie (analiza behawioralna) w celach wywołujących negatywne skutki prawne, fizyczne, finansowe lub inne niedogodności dla osób fizycznych, dokonywane przez „banki, inne instytucje finansowe upoważnione do udzielania kredytów, instytucje pożyczkowe w procesie oceny zdolności kredytowej”.
Wobec powyższego wskazać należy, że C. S.A., nie uwzględniwszy profilowania jako wyodrębnionej czynności w sporządzonej przez niego analizie ryzyka, a także ocenie skutków dla przetwarzania danych, naruszył art. 35 ust. 1 i ust. 7 rozporządzenia 2016/679.
Należy podnieść, że nie zasługuje na uwzględnienie wyjaśnienie C. S.A. zawarte w piśmie z 4 sierpnia 2023 r., że ocena skutków dokonana przez C. S.A. na dzień kontroli odnosi się również do profilowania, mimo że opis funkcjonalny oceny zdolności kredytowej w ocenie skutków nie zawiera sformułowania „profilowanie”. Z taką argumentacją C. S.A., w świetle powyższego wywodu, zawartego w uzasadnieniu niniejszej decyzji, nie sposób się zgodzić. Treść dokumentu zawierającego ocenę skutków dla czynności przetwarzania powinien być jasny i przejrzysty, zaś organ nadzorczy, dokonując czynności kontrolnych, nie powinien być zmuszony do „domyślania się”, jaka treść stoi za opisem ww. oceny. Specyfika procesu profilowania, w świetle powyższych uwag, Wytycznych WP 248 Grupy Roboczej Art. 29, komunikatu Prezesa UODO z 7 czerwca 2019 r. oraz powołanej literatury przedmiotu, stawia przed administratorem wymóg potraktowania tej formy przetwarzania w sposób wyraźny i konkretny przy formułowaniu związanych z nim ryzyk, a w rezultacie skutków dla przetwarzania. Stąd też, formułowanie ryzyk i skutków zbiorczo dla całego procesu usługowego, co do zasady, może być prawidłowe i zgodne z przepisami rozporządzenia 2016/679, jednak w przypadku występowania w nim operacji profilowania związanego z udzielaniem przez C. S.A. kredytów, ze względu na wyżej opisaną jej specyfikę, jest działaniem niezgodnym z art. 35 ust. 1 i ust. 7 rozporządzenia 2016/679, bowiem „rozmywa” się w ten sposób rzeczywiste ryzyka i skutki wiążące się z profilowaniem, kamuflując je niejako za ogólnym opisem usługi kredytowej.
III. Zachowania podlegające administracyjnym karom pieniężnym.
Postępowanie administracyjne prowadzone przez Prezesa UODO służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej w celu zastosowania uprawnień naprawczych określonych w art. 58 ust. 2 rozporządzenia 2016/679.
Zgodnie z art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy. Mając na uwadze stwierdzone naruszenia przepisów rozporządzenia 2016/679, Prezes UODO, korzystając z przysługującego mu uprawnienia określonego w ww. przepisie, stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę administracyjnej kary pieniężnej. Stosownie zaś do treści art. 83 ust. 2 rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)-h) oraz lit. j) rozporządzenia 2016/679.
Według art. 83 ust. 4 lit. a) rozporządzenia 2016/679 naruszenia przepisów kształtujących obowiązki administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25-39 oraz 42 i 43, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Należy przy tym nadmienić, że Prezes UODO, nakładając w niniejszej sprawie administracyjną karę pieniężną z tytułu naruszenia art. 30 ust. 1 oraz art. 35 ust. 1 i 7 rozporządzenia 2016/679 (bez związku z naruszeniem art. 38 ust. 3 rozporządzenia 2026/679), wziął pod uwagę także treść art. 83 ust. 3 rozporządzenia 2016/679, zgodnie z którym jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.
W związku ze stwierdzeniem w niniejszej sprawie naruszenia trzech przepisów rozporządzenia 2016/679 (art. 30 ust. 1, art. 35 ust. 1 i ust. 7, art. 38 ust. 3) Prezes UODO uprawniony jest do zastosowania jednego lub kilku środków naprawczych określonych w art. 58 ust. 2 rozporządzenia 2016/679. Wśród tych uprawnień organu nadzorczego znajduje się uprawnienie do zastosowania, oprócz lub zamiast innych środków, o których mowa w tym przepisie, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy. Okoliczności niniejszej sprawy, w szczególności powaga stwierdzonych naruszeń, o czym będzie mowa w dalszych części uzasadnienia, wskazują, że stosownym i koniecznym będzie skorzystanie z tego uprawnienia. Sankcją zaś, którą przewidział prawodawca za naruszenie przepisów kształtujących obowiązki administratora (w tym za naruszenie przepisów art. 30 ust. 1, art. 35 ust. 1 i ust. 7, art. 38 ust. 3 rozporządzenia 2016/679) jest – zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 – administracyjna kara pieniężna w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Ustalając konkretne sankcje za stwierdzone w niniejszej sprawie naruszenia Prezes UODO skorzystał ze wskazówek zawartych w Wytycznych EROD 04/2022 dotyczących obliczania administracyjnych kar pieniężnych na podstawie RODO (wersja 2.1) przyjętych 24 maja 2023 r., zwanych dalej „Wytycznymi 04/2022”. Pierwszym krokiem przyjętej tam metodyki obliczania administracyjnych kar pieniężnych jest „określenie operacji przetwarzania w danej sprawie i ocena zastosowania art. 83 ust. 3 RODO” (zob. ust. 17 Wytycznych 04/2022). Rozwijając tę wskazówkę w ust. 24 swoich wytycznych, EROD zaleca w pierwszej kolejności ustalić:
a) czy okoliczności wskazują na jedno zachowanie, czy też na wiele zachowań podlegających karze;
b) w przypadku jednego zachowania, czy zachowanie to stanowi jedno naruszenie czy większą liczbę naruszeń;
c) w przypadku jednego zachowania, które stanowi wiele naruszeń, czy przypisanie jednego naruszenia wyklucza przypisanie innego naruszenia, czy też należy je przypisać równolegle.
Wykładnię pojęcia „jedno zachowanie” zawiera natomiast – w nawiązaniu do art. 83 ust. 3 rozporządzenia 2016/679, w którym mowa jest o „tych samych lub powiązanych operacjach przetwarzania” – ust. 28 wytycznych EROD. Zgodnie z nim „[t]ermin «powiązane» odnosi się do zasady, zgodnie z którą jedno zachowanie może składać się z kilku części, które są realizowane na skutek jednego aktu woli i są kontekstowo (w szczególności jeśli chodzi o tożsamość osoby, której dane dotyczą, cel i charakter przetwarzania), przestrzennie i czasowo tak blisko powiązane, że z obiektywnego punktu widzenia można uznać je za jedno spójne zachowanie”.
Odnosząc przedstawione wyżej przepisy rozporządzenia 2016/679 oraz wskazówki zawarte w Wytycznych 04/2022 do okoliczności niniejszej sprawy Prezes UODO stwierdził, co następuje:
1. Prezes UODO uznał, że rozpatrywane w niniejszej sprawie działania C. S.A. dotyczące profilowania danych osobowych jego aktualnych i potencjalnych klientów (a w zasadzie zaniechanie podjęcia takich – wymaganych przepisami rozporządzenia 2016/679 – działań) stanowią „jedno spójne zachowanie” w rozumieniu przedstawionym przez EROD. Ww. zachowanie polega na: zaniechaniu dokonania oceny skutków operacji profilowania danych osobowych aktualnych i przyszłych klientów C. S.A. dla ochrony danych (stanowiącym naruszenie art. 35 ust. 1 i 7 rozporządzenia 2016/679) oraz nieuwzględnieniu tego rodzaju operacji przetwarzania w rejestrze czynności przetwarzania danych osobowych (stanowiącym naruszenie art. 30 ust. 1 rozporządzenia 2016/679). Oba te zaniechania C. S.A. są, w ocenie Prezesa UODO, efektem jednego aktu woli C. S.A. C. S.A. przyjął a priori – co wynika z tzw. „produktowego” ujęcia procesów przetwarzania w organizacji C. S.A. – że operacja profilowania jest jedynie jednym z elementów produktu kredytowego i jednym z rodzajów przetwarzania danych osobowych składających się na ten produkt (obok np. operacji pozyskiwania danych osobowych, udostępniania tych danych osobowych innym podmiotom w ramach systemu bankowego, wykorzystywania ich w celach marketingowych czy wreszcie ich usuwania). Co także istotne, C. S.A. – również a priori – uznał (skoro zrezygnował z dokonania odrębnej oceny skutków profilowania dla ochrony danych) – że ten rodzaj przetwarzania nie wyróżnia się spośród pozostałych rodzajów operacji przetwarzania składających się na produkt kredytowy poziomem ryzyka naruszenia praw lub wolności osób, których dane zostały poddane profilowaniu.
Na to, że operacje przetwarzania polegające na profilowaniu, a stanowiące przedmiot obu rozpatrywanych naruszeń przepisów rozporządzenia 2016/679 (art. 30 ust. 1 i art. 35 ust. 1 i 7), są tymi samymi operacjami w rozumieniu art. 83 ust. 3 rozporządzenia 2016/679, wskazuje – poza objęciem ich jednym aktem woli C. S.A. – również kontekst, w którym są dokonywane. Łączy je w ocenie Prezesa UODO:
a) cel przetwarzania – sporządzanie oceny zdolności kredytowej klientów lub potencjalnych klientów C. S.A., to jest ich zdolności do wywiązywania się z zobowiązań wobec C. S.A.;
b) charakter przetwarzania – pozyskiwanie danych osobowych od osoby, której dane dotyczą, z systemu bankowego oraz innych źródeł; następnie ich łączenie oraz dokonywanie na ich podstawie – w sposób niemal w całości automatyczny i pozostający poza kontrolą podmiotów danych – oceny ich zdolności kredytowej;
c) poziom ryzyka – wyższy niż w przypadku pozostałych operacji przetwarzania dokonywanych w ramach produktu kredytowego – co wynika z wskazanego wyżej charakteru operacji profilowania;
d) tożsamość osób, których dane są profilowane – przetwarzanie dotyczy wszystkich aktualnych i potencjalnych klientów korzystających z procedur (…) C. S.A.
Zważywszy więc, że: po pierwsze działania C. S.A. (jego zaniechania) związane z profilowaniem stanowią jedno spójne zachowanie (co wynika z objęcia ich jednym aktem woli oraz kontekstu przetwarzania objętego tym aktem woli), po drugie zaś, zachowanie to narusza dwa przepisy rozporządzenia 2016/679 (art. 30 ust. 1 i art. 35 ust. 1 i ust. 7), stwierdzić należy, że żadne z tych stwierdzonych naruszeń nie wyklucza przypisania C. S.A. drugiego z nich. W szczególności żadne z nich nie stanowi „typu kwalifikowanego” drugiego z tych naruszeń, nie jest „podrzędne” wobec drugiego i nie stanowi formy stadialnej drugiego naruszenia (przygotowania, usiłowania popełnienia) – zob. Podrozdział 3.1.1 Wytycznych 04/2022.
Powyższe wynika przede wszystkim z faktu, że inne są cele obu naruszonych przepisów i inny interes prawny, który one chronią. Przepis art. 35 ust. 1 rozporządzenia 2016/679 określa pierwszy – fundamentalny – krok do stworzenia przez administratora skutecznego, adekwatnego do poziomu występujących ryzyk, systemu ochrony danych osobowych. Ma na celu tym samym – przez zobowiązanie administratora do dokonania oceny skutków przetwarzania dla ochrony danych – zapewnienie wprost i bezpośrednio właściwej ochrony danych osobowych osób, których one dotyczą. Natomiast przepis art. 30 ust. 1 rozporządzenia 2016/679 nie odnosi się bezpośrednio do ochrony praw i interesów osób, których dane przetwarzane są przez administratora. Jego celem jest zapewnienie organowi nadzorczemu informacji potrzebnych mu do realizacji jednego z jego zadań – prawidłowej oceny ryzyk związanych z dokonywanymi przez administratora operacjami przetwarzania danych oraz oceny adekwatności wdrożonych przez niego środków bezpieczeństwa ochrony danych.
Powyższe pozwala więc przypisać C. S.A. oba naruszenia „równolegle” – żadne z nich nie wyklucza przypisania C. S.A. drugiego z nich. W tej sytuacji, znajdzie zastosowanie w stosunku do obu tych naruszeń przepis art. 83 ust. 3 rozporządzenia 2016/679.
2. Działania C. S.A. prowadzące do naruszenia art. 38 ust. 3 rozporządzenia 2016/679 nie stanowią jego jednego zachowania – wraz z rozpatrywanymi powyżej jego zaniechaniami prowadzącymi do naruszenia art. 30 ust. 1 oraz art. 35 ust. 1 i 7 rozporządzenia 2016/679. Świadczą o tym następujące okoliczności:
a) w przeciwieństwie do zachowania C. S.A. stanowiącego naruszenie art. 30 ust. 1 oraz art. 35 ust. 1 i 7 rozporządzenia 2016/679, jego zachowanie skutkujące naruszeniem art. 38 ust. 3 rozporządzenia 2016/679 nie polegało na zaniechaniu lecz na działaniu, tj. na podjęciu uchwały Zarządu C. S.A. z 24 czerwca 2020 r. o powołaniu na stanowisko IOD pracownika Departamentu (…) C. S.A. (bez zmiany jego usytuowania w strukturze C. S.A.);
b) w przeciwieństwie do zachowania C. S.A. związanego z profilowaniem, działania C. S.A. skutkujące naruszeniem art. 38 ust. 3 rozporządzenia 2016/679 nie dotyczyły bezpośrednio żadnych dokonywanych w C. S.A. operacji przetwarzania; co prawda naruszenie statusu IOD i jego niezależnej wobec administratora pozycji może pośrednio wpływać negatywnie na właściwe bezpieczeństwo przetwarzania danych oraz na właściwą ochronę praw, wolności i interesów osób, których dane są przetwarzane, lecz nie jest to wpływ bezpośredni i automatyczny;
c) decyzja C. S.A. o usytuowaniu IOD w jego strukturze była niezależna od aktu woli C. S.A. prowadzącego do naruszenia art. 30 ust. 1 oraz art. 35 ust. 1 i 7 rozporządzenia 2016/679; dotyczyła ona bowiem innego obszaru regulacji rozporządzenia 2016/679 (inny był cel i motywacja tego zachowania), podjęta też została ona w innym kontekście czasowym (czerwiec 2020 r., podczas gdy zaniechanie związane z operacjami profilowania miały miejsce już od stycznia 2019 r.).
W tym miejscu wskazać należy, że jedyną przyczyną, dla której naruszenie art. 38 ust. 3 rozporządzenia rozpatrywane jest – obok obu poprzednich – w jednym postępowaniu (i oceniane w jednej decyzji Prezesa UODO) jest okoliczność jego stwierdzenia w trakcie kontroli, której celem było – zgodnie z planem kontroli sektorowych Prezesa UODO na 2022 r. – zbadanie w podmiotach sektora bankowego „przetwarzania danych osobowych w zakresie profilowania danych osobowych klientów i potencjalnych klientów oraz sposób informowania osób ubiegających się o kredyt o dokonanej ocenie kredytowej”. Jak stanowią Wytyczne 04/2022, taka sytuacja wyklucza zastosowanie wynikającego z art. 83 ust. 3 rozporządzenia 2016/679 ograniczenia całkowitej wysokości orzekanej administracyjnej kary pieniężnej do (maksymalnej) wysokości kary za najpoważniejsze naruszenie (zob. ust. 45 Wytycznych 04/2022).
3. Podsumowując powyższe:
a) Prezes UODO stwierdził w niniejszej sprawie dwa dokonane przez C. S.A. – jednym zachowaniem – naruszenia przepisów rozporządzenia 2016/679 (art. 30 ust. 1 oraz art. 35 ust. 1 i 7). W stosunku do obu tych naruszeń zastosowany został przepis art. 83 ust. 3 rozporządzenia 2016/679, przy czym – w związku z tym, że oba naruszenia zagrożone są (in abstracto) taką samą karą wynikającą z art. 83 ust. 4 rozporządzenia 2016/679 (do 10 000 000 EUR lub do 2% rocznego obrotu) – obu tym naruszeniom należy przypisać taką samą powagę. Konsekwencją tego jest zaś niemożność orzeczenia – za oba te naruszenia – kary o wysokości wyższej niż maksymalna wysokość kary za jedno z nich (10 000 000 EUR – ze względu na konieczność przyjęcia w odniesieniu do C. S.A. tzw. „statycznego maksimum kary” – zob. pkt 5 na str. 38-39 uzasadnienia niniejszej decyzji).
b) odrębnym zachowaniem (nie dotyczącym tych samych operacji przetwarzania i nie powiązanym w żaden sposób z operacjami przetwarzania, których dotyczyły poprzednie dwa naruszenia) C. S.A. naruszył kolejny przepis rozporządzenia 2016/679 – art. 38 ust. 3. Ze względu na tę odrębność zachowania C. S.A., Prezes UODO nie rozpatrywał go łącznie z poprzednimi naruszeniami i nie uwzględnił wysokości orzeczonej za nie kary w całkowitej wysokości kary nałożonej na C. S.A. za naruszenie art. 30 ust. 1 oraz art. 35 ust. 1 i 7 rozporządzenia 2016/679). Przepis art. 83 ust. 3 rozporządzenia 2016/679 nie ma bowiem do tego naruszenia zastosowania – nie dotyczy ono bowiem w żaden sposób operacji przetwarzania stanowiących przedmiot naruszeń związanych z profilowaniem danych aktualnych i potencjalnych klientów C. S.A.
IV.1. Naruszenie art. 38 ust. 3 rozporządzenia 2016/679 – przesłanki wymiaru administracyjnej kary pieniężnej (art. 83 ust. 2 rozporządzenia 2016/679).
W związku z powyższym, decydując o nałożeniu administracyjnej kary pieniężnej z tytułu naruszenia przez C. S.A. art. 38 ust. 3 rozporządzenia 2016/679, Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:
a) charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a) rozporządzenia 2016/679) – charakter naruszenia jest okolicznością obciążającą C. S.A. z uwagi na fakt, że jako profesjonalny podmiot, którego istotną część prowadzonej działalności gospodarczej stanowi przetwarzanie na dużą skalę danych wiążące się ze stosunkowo wysokim ryzykiem naruszenia praw lub wolności podmiotów danych, obowiązany był dołożyć szczególnej staranności celem powierzenia obowiązków IOD w prawidłowy sposób.
Europejski prawodawca w treści art. 38 ust. 3 rozporządzenia 2016/679 dlatego zawarł obowiązek bezpośredniego podlegania IOD najwyższemu kierownictwu administratora, bowiem uznał, że ze względu na istotę i doniosłość tej funkcji dla bezpieczeństwa danych, jest ona znacząca i wymagająca pełnej niezależności merytorycznej oraz dalece posuniętej niezależności w hierarchii organizacyjnej administratora. C. S.A., zaniechawszy spełnienia ww. wymogu, wyraźnie osłabił bezpieczeństwo przetwarzanych danych i sprzeniewierzył się podstawowym obowiązkom administratora ustanowionym w przepisach rozporządzenia 2016/679.
Naruszenie przepisów, związane z wyznaczeniem IOD w sposób niezapewniający jego podległości bezpośrednio najwyższemu kierownictwu administratora oraz nieotrzymywania instrukcji dotyczących wykonywania zadań IOD (naruszenie art. 38 ust. 3 rozporządzenia 2016/679), ma znaczną wagę z uwagi na rodzaj przetwarzanych przez C. S.A. danych (np. dane dotyczące sytuacji finansowej osób, których dane dotyczą, nr PESEL, itp.), sposób przetwarzania (użycie systemów teleinformatycznych, profilowanie) oraz dużą skalę przetwarzania. Zapewnienie niezależności IOD w takiej instytucji, jaką jest C. S.A., zważywszy na powyższe okoliczności przetwarzania, tj. biorąc pod uwagę charakter, zakres i skalę przetwarzania danych przez C. S.A., przekłada się na bezpieczeństwo tych danych, a w rezultacie na prawa i wolności osób, których dane są przetwarzane, w tym sposób ich realizacji. Podkreślić również należy, że podległość IOD bezpośrednio najwyższemu kierownictwu administratora oraz nieotrzymywanie przez niego instrukcji co do wykonywania zadań służy zapewnieniu niezależności IOD, co ma być też gwarancją skutecznego i prawidłowego wykonywania przez niego przypisanych mu w art. 39 rozporządzenia 2016/679 zadań.
Dodatkowo, jak wynika z zebranego materiału dowodowego w toku przeprowadzonej wobec C. S.A. kontroli, naruszenie przepisów rozporządzenia 2016/679 dotyczących inspektora ochrony danych odbywało się w sposób ciągły i intencjonalny od dnia wyznaczenia przez C. S.A. SJ do pełnienia funkcji IOD, tj. od 24 czerwca 2020 r. (na podstawie uchwały Zarządu C. S.A. nr (…)/(…)), co najmniej do 22 sierpnia 2023 r. W pisemnych wyjaśnieniach C. S.A. datowanych na ww. dzień, poinformował on Prezesa UODO, że zmiany mające na celu usunięcie naruszenia dopiero zostały zainicjowane. Należy zatem stwierdzić, że naruszenie było długotrwałe, bowiem miało miejsce przez ponad 3 lata.
Na stwierdzone niniejszą decyzją naruszenie przepisu art. 38 ust. 3 rozporządzenia 2016/679 pozostaje bez wpływu kryterium liczby poszkodowanych osób, których dane dotyczą, oraz rozmiar poniesionej przez nich szkody, ponieważ w przedmiotowej sprawie nie stwierdzono osób poszkodowanych. Należy też zauważyć, że ww. naruszenie nie miało bezpośredniego związku z przetwarzaniem przez C. S.A. danych osobowych, tak więc do wyrządzenia szkód osobom fizycznym w przedmiotowej sprawie nie doszło i nie mogło dojść z uwagi na istotę tego naruszenia. Niemniej jednak z uwagi na charakter, wagę i czas trwania wyżej wskazanego naruszenia przepisów rozporządzenia 2016/679, przedmiotową przesłankę rozpatrywaną w sposób całościowy należy ocenić jako obciążającą.
b) umyślny charakter naruszenia przepisów rozporządzenia 2016/679 przez C. S.A. (art. 83 ust. 2 lit. b rozporządzenia 2016/679) – z materiału dowodowego zebranego w toku kontroli oraz z wyjaśnień C. S.A. zawartych w piśmie z 22 sierpnia 2023 r. wynika, że C. S.A. świadomie wyznaczył IOD w sposób niezapewniający jego podległości bezpośrednio najwyższemu kierownictwu administratora (naruszenie art. 38 ust. 3 rozporządzenia 2016/679). Działanie w ww. zakresie, z uwagi na treść umów o pracę zawartych z SJ oraz KN, nosiło znamiona umyślnego działania, tj. okoliczności sprawy wskazują, że C. S.A. miał świadomość ww. zaniechań oraz potencjalnych skutków z nich wynikających, wpływających na przestrzeganie art. 38 ust. 3 rozporządzenia 2016/679, jednak godził się na ich potencjalne wystąpienie. Należy zwrócić uwagę, że treść wszystkich ww. dokumentów wskazuje, że świadomość błędnej organizacji pracy IOD miał także C. S.A., przez co umyślny charakter naruszenia przepisów rozporządzenia 2016/679 nie budzi wątpliwości.
W Wytycznych EROD 04/2022 wskazano, że „umyślny lub nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b) RODO) należy oceniać z uwzględnieniem obiektywnych elementów zachowania zebranych w oparciu o okoliczności faktyczne sprawy.” EROD podkreśliła, że powszechnie uznaje się, iż ”wykazujące pogardę wobec przepisów prawa umyślne naruszenia są poważniejsze niż te nieumyślne”. W przypadku umyślnego naruszenia istnieje prawdopodobieństwo, że organ nadzorczy przypisze temu czynnikowi większą wagę.
c) stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 ze strony administratora (art. 83 ust. 2 lit. e rozporządzenia 2016/679) - przy podejmowaniu decyzji o nałożeniu i wysokości administracyjnej kary pieniężnej, organ nadzorczy zobowiązany jest do zwrócenia uwagi na wszelkie wcześniejsze naruszenia rozporządzenia 2016/679. EROD w Wytycznych 04/2022 wprost wskazuje: „Istnienie wcześniejszych naruszeń można uznać za czynnik obciążający przy obliczaniu wysokości kary pieniężnej. Waga przypisywana temu czynnikowi powinna być ustalana z uwzględnieniem charakteru i częstotliwości wcześniejszych naruszeń. Brak wcześniejszych naruszeń nie może jednak zostać uznany za okoliczność łagodzącą, ponieważ przestrzeganie przepisów [rozporządzenia 2016/679] stanowi normę”. I choć jak wskazują ww. wytyczne „większe znaczenie należy przypisać naruszeniom dotyczącym tego samego przedmiotu, ponieważ są one bliższe naruszeniu będącemu przedmiotem obecnego postępowania, w szczególności gdy administrator lub podmiot przetwarzający dopuścili się wcześniej tego samego naruszenia (powtarzające się naruszenia)” (pkt 88 wytycznych), to jednak „wszystkie wcześniejsze naruszenia mogą stanowić informację o ogólnym podejściu administratora lub podmiotu przetwarzającego do przestrzegania przepisów rozporządzenia 2016/679”.
Organ nadzorczy stwierdził już we wcześniej wydawanych decyzjach administracyjnych naruszenie przez C. S.A. następujących przepisów o ochronie danych osobowych:
1) w decyzji z 29 września 2022 r. (sygn. (…)) naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679, Prezes UODO udzielił C. S.A. upomnienia;
2) w decyzji z 8 maja 2023 r. (sygn. (…)) naruszenie przepisu art. 15 ust. 1 lit. c rozporządzenia 2016/679, Prezes UODO nakazał C. S.A. spełnienie obowiązku informacyjnego;
3) w decyzji z 9 maja 2023 r. (sygn. (…)) naruszenie przepisu art. 15 ust. 1 lit. a rozporządzenia 2016/679, Prezes UODO nakazał C. S.A. spełnienie obowiązku informacyjnego;
4) w decyzji z z 14 listopada 2022 r. (…)) naruszenie przepisu art. 15 ust. 1 lit. c oraz art. 12 ust. 3 rozporządzenia 2016/679, Prezes UODO nakazał C. S.A. spełnienie obowiązku informacyjnego i udzielił mu upomnienia;
5) w decyzji z 1 lutego 2024 r. (sygn. (…)) naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679, Prezes UODO udzielił C. S.A. upomnienia;
6) w decyzji z (…) r. (sygn. (…)) naruszenie przepisu art. 33 ust. 1 rozporządzenia 2016/679, Prezes UODO nałożył na C. S.A. administracyjną karę pieniężną w wysokości (…) złotych.
Wymienione powyżej wcześniejsze naruszenia wskazują na ogólnie lekceważące podejście C. S.A. do kwestii ochrony danych, a zastosowane uprzednio wobec niego w ww. sprawach środki naprawcze, w tym dwukrotnie w maju 2023 r. kiedy to Prezes UODO nakazał C. S.A. dostosowanie operacji przetwarzania danych osobowych do przepisów rozporządzenia 2016/679 wobec naruszenia art. 15 ust. 1 lit. c) rozporządzenia 2016/679 i art. 15 ust. 1 lit. a) rozporządzenia 2016/679, czy w związku z decyzjami udzielającymi upomnienia C. S.A. za naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679, jak miało to miejsce w sprawach o sygn. (…) oraz (…), w pełni uzasadniają wymierzenie w niniejszym postępowaniu sankcji finansowej, a także jej wymiar.
Nie bez znaczenia pozostaje fakt, że ostatnia decyzja za naruszenie przepisów rozporządzenia 2016/679, w której organ nadzorczy nałożył na C. S.A. administracyjną karę pieniężną, została wydana (…) r., a więc w stosunkowo nieodległym czasie poprzedzającym wydanie niniejszej decyzji. Powyższą okoliczność należy odnieść do treści Wytycznych 04/2022, zgodnie z którą „Należy uwzględnić moment, w którym miało miejsce wcześniejsze naruszenie, biorąc pod uwagę to, że im dłuższy jest czas pomiędzy tym naruszeniem a naruszeniem będącym przedmiotem obecnie trwającego postępowania, tym mniejsze jest znaczenie owego wcześniejszego naruszenia. W konsekwencji, im dawniej doszło do naruszenia, tym mniejsze znaczenie powinny mu przypisywać organy nadzorcze” (pkt 84 Wytycznych). Tak więc, powyższa okoliczność powinna mieć wpływ na ostateczną decyzję organu nadzorczego oraz wymiar nałożonej administracyjnej kary pieniężnej. Z uwagi na powyższe, w przedmiotowej sprawie należy uznać, że istnieją podstawy do traktowania przesłanki z art. 83 ust. 2 lit. e) rozporządzenia 2016/679 jako obciążającej.
Decydując o nałożeniu administracyjnej kary pieniężnej za naruszenie art. 38 ust. 3 rozporządzenia 2016/679, Prezes UODO wziął pod uwagę także następującą okoliczność sprawy, wpływającą łagodząco na wymiar nałożonej administracyjnej kary pieniężnej:
- stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679) – C. S.A. w toku kontroli udzielał kompletnych i konkretnych wyjaśnień w związku z jej przedmiotem oraz stwierdzonymi naruszeniami przepisów o ochronie danych osobowych. Ponadto, po kontroli Prezesa UODO, C. S.A. przedsięwziął działania i środki zmierzające do poprawy stanu przestrzegania przepisu art. 38 ust. 3 rozporządzenia 2016/679, w związku ze stwierdzonym jego naruszeniem w toku kontroli. Powyższe przejawiło się w wyodrębnieniu stanowiska IOD w strukturze organizacyjnej C. S.A. oraz zmianie treści Regulaminu organizacyjnego C. S.A. (pisemne wyjaśnienia C. S.A. z 29 listopada 2023 r.). Z powyższej przyczyny stopień współpracy C. S.A. z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków należy ocenić jako zadowalający, a przez to stanowi on czynnik łagodzący przy ustalaniu wysokości administracyjnej kary pieniężnej.
Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie przepisu art. 38 ust. 3 rozporządzenia 2016/679, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy niemające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej, tj.:
a) działania podjęte przez C. S.A. w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679) –z materiału dowodowego zebranego w toku kontroli oraz postępowania administracyjnego wynika, że działania (zaniechania) C. S.A. nie spowodowały poniesienia szkód przez osoby, których dane dotyczą;
b) stopień odpowiedzialności C. S.A. z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 rozporządzenia 2016/679 (art. 83 ust. 2 lit. d rozporządzenia 2016/679) – naruszenie przepisu art. 38 ust. 3 rozporządzenia 2016/679 nie ma związku ze stosowanymi przez C. S.A. środkami technicznymi i organizacyjnymi, o których mowa w art. 25 i 32 rozporządzenia 2016/679, zatem przesłanka wskazana w art. 83 ust. 2 lit. d) rozporządzenia 2016/679 nie ma w rozpatrywanym przypadku wpływu ani obciążającego ani łagodzącego na wymiar orzeczonej administracyjnej kary pieniężnej;
c) kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679) – ze względu na okoliczność, że naruszenie polegające na niezapewnieniu niezależności inspektora ochrony danych w strukturze organizacyjnej C. S.A. nie wiąże się bezpośrednio z naruszeniem ochrony jakichkolwiek danych osobowych (i ich kategorii), przesłanka ta ze swej istoty nie może mieć zastosowania do oceny tego naruszenia;
d) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie (art. 83 ust. 2 lit. h rozporządzenia 2016/679) – organ nadzorczy dowiedział się o naruszeniu przepisów rozporządzenia 2016/679 w wyniku przeprowadzenia czynności kontrolnych. Powyższy fakt należy ocenić jako neutralny dla rozstrzygnięcia decyzji;
e) jeżeli wobec administratora, którego sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków (art. 83 ust. 2 lit. i rozporządzenia 2016/679) – przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec C. S.A. w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym C. S.A. nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie organu nadzorczego, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia;
f) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 (art. 83 ust. 2 lit. j rozporządzenia 2016/679) – C. S.A. na dzień wydania decyzji nie stosował zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść C. S.A.. Na jego korzyść mogłaby być natomiast uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów, jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzania danych osobowych, jednak w przedmiotowej sprawie okoliczność taka nie wystąpiła;
g) osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679) – w toku kontroli nie stwierdzono wpływu naruszenia przepisów rozporządzenia 2016/679 na osiągnięcie przez C. S.A. korzyści finansowych lub uniknięcie straty. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej C. S.A. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Nieosiągnięcie zaś przez C. S.A. takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodząca dla C. S.A.. Interpretację tę potwierdza już samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia;
h) inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy (art. 83 ust. 2 lit. k rozporządzenia 2016/679) - Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.
IV.2. Naruszenie art. 38 ust. 3 rozporządzenia 2016/679 – ustalenie wysokości administracyjnej kary pieniężnej.
Koniecznym jest wskazanie, że ustalając wysokość administracyjnej kary pieniężnej z tytułu naruszenia art. 38 ust. 3 rozporządzenia 2016/679, Prezes UODO zastosował metodykę przyjętą przez EROD w Wytycznych 04/2022. Zgodnie z przedstawionymi w tym dokumencie wskazówkami:
1) Prezes UODO dokonał kategoryzacji stwierdzonego w niniejszej sprawie naruszenia przepisu rozporządzenia 2016/679 (vide Rozdział 4.1 Wytycznych 04/2022). Naruszenie przepisu art. 38 ust. 3 rozporządzenia 2016/679 należy – zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą o maksymalnej wysokości do 10 000 000 EUR lub do 2% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego. Należy zatem stwierdzić, że w świetle przyjętej przez europejskiego prawodawcę klasyfikacji naruszeń przepisów rozporządzenia 2016/679 oraz przewidzianych w związku z nimi kar, naruszenie art. 38 ust. 3 rozporządzenia 2016/679 należy do tych o mniejszej wadze.
2) Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie art. 38 ust. 3 rozporządzenia 2016/679 jako naruszenie o średnim poziomie powagi (vide Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które dotyczą strony przedmiotowej naruszeń (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszeń (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny lub nieumyślny charakter naruszeń (art. 83 ust. 2 lit. b) rozporządzenia 2016/679) oraz kategorie danych osobowych, których dotyczyły naruszenia (art. 83 ust. 2 lit. g) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej. Wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest średni. Konsekwencją powyższego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 10% do 20% maksymalnej wysokości kary możliwej do orzeczenia wobec C. S.A., to jest – zważywszy na limit określony w art. 83 ust. 4 rozporządzenia 2016/679 – od kwoty 1 000 000 EUR do kwoty 2 000 000 EUR (vide: Podrozdział 4.2.4 Wytycznych 04/2022). Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę 1 000 000,00 EUR (równowartość 4 365 300,00 PLN).
3) Prezes UODO dostosował kwotę wyjściową, odpowiadającą średniej powadze stwierdzonego naruszenia, do obrotu C. S.A. jako miernika jego wielkości i siły gospodarczej (vide Rozdział 4.3 Wytycznych 04/2022). Zgodnie z Wytycznymi 04/2022, w przypadku przedsiębiorstw, których roczny obrót, jak w przedmiotowej sprawie, wynosi od 50 do 100 mln EUR, organ nadzorczy może rozważyć dokonanie dalszych obliczeń wysokości kary na podstawie wartości mieszczącej się w przedziale od 8% do 20% kwoty wyjściowej. Zważywszy, że obrót (przychód) C. S.A. w ostatnim roku obrotowym (od 1 kwietnia 2023 r. do 31 marca 2024 r.) wyniósł 430 699 360,00- PLN, to jest 98 664 320,89 EUR (wg średniego kursu EUR z dnia 29 stycznia 2024 r.), Prezes UODO za stosowne uznał skorygowanie podlegającej obliczeniom kwoty kary do wartości odpowiadającej 20% kwoty wyjściowej, to jest do kwoty 200 000,00 EUR (równowartość 873 060,00- PLN).
4) Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (vide Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się – jak zakładają Wytyczne 04/2022 – do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej. Przesłanki, o których mowa w art. 83 ust. 2 lit. c), d), g), h), i), j), k) rozporządzenia 2016/679 – jak wskazano wyżej – nie miały wpływu, ani łagodzącego ani obciążającego, na ocenę naruszenia i w konsekwencji na wymiar kary. Ze względu na zaistnienie w sprawie jednej okoliczności łagodzącej (stopnia współpracy w celu usunięcia naruszenia) oraz jednej obciążającej (stosownych wcześniejszych naruszeń), Prezes UODO, oceniając ich łączny wpływ na ocenę naruszenia, uznał, że zasadnym będzie dalsze obniżenie kwoty kary ustalonej z uwzględnieniem obrotu C. S.A. (pkt 3 powyżej); adekwatnym do łącznego wpływu obu tych przesłanek na ocenę naruszenia będzie jej obniżenie do kwoty 120 000,00 EUR (równowartość 523 836,00 PLN). Prezes UODO podkreśla, że na ocenę tę najistotniejszy wpływ (łagodzący) miało usunięcie przez C. S.A. naruszenia przed wydaniem niniejszej decyzji; fakt ten należy podkreślić i docenić, bowiem celem niniejszego postępowania i stosowanych przez Prezesa UODO środków naprawczych jest w pierwszym rzędzie doprowadzenie procesów przetwarzania przez C. S.A. danych osobowych do stanu zgodnego z prawem.
5) Pomimo tego, że ustalona zgodnie z powyższymi zasadami kwota kary nie przekracza prawnie określonego maksimum kary Prezes UODO uznał, że wymaga ona dodatkowej korekty ze względu na zasadę proporcjonalności wymienioną w art. 83 ust. 1 rozporządzenia 2016/679 jako jedną z trzech dyrektyw wymiaru kary (vide Rozdział 7 Wytycznych 04/2022). Niewątpliwie kara pieniężna w wysokości stanowiącej równowartość 120 000,00 EUR byłaby karą skuteczną (przez swoją dolegliwość pozwoliłaby osiągnąć swój cel represyjny, którym jest ukaranie za bezprawne zachowanie) i odstraszającą (pozwalającą skutecznie zniechęcić zarówno C. S.A., jak i innych administratorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679). Kara taka byłaby jednak – w ocenie Prezesa UODO – karą nieproporcjonalną ze względu na swoją nadmierną dolegliwość. Zasada proporcjonalności wymaga bowiem m.in., by przyjęte przez organ nadzorczy środki nie wykraczały poza to, co odpowiednie i konieczne do realizacji uzasadnionych celów (vide pkt 137 i pkt 139 Wytycznych 04/2022). Innymi słowy: „Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku”[4]. Mając więc na uwadze wzgląd na proporcjonalność kary, Prezes UODO dokonał dalszego obniżenia wysokości kary z tytułu naruszenia art. 38 ust. 3 rozporządzenia 2016/679 – do 50% kwoty uzyskanej po uwzględnieniu okoliczności obciążających i łagodzących (vide pkt 4 powyżej), to jest do kwoty 60 000,00 EUR (równowartość kwoty 261 918,00 PLN). W jego ocenie takie określenie ostatecznej wysokości orzeczonej kary nie wpłynie na obniżenie jej skuteczności i odstraszającego charakteru. Kwota ta bowiem stanowi próg, powyżej którego dalsze zwiększanie wysokości kary nie będzie wiązało się ze wzrostem jej skuteczności i odstraszającego charakteru. Z drugiej natomiast strony obniżenie w większym stopniu wysokości kary mogłoby się odbyć kosztem jej skuteczności i odstraszającego charakteru, a także spójnego stosowania i egzekwowania rozporządzenia 2016/679 i zasady równego traktowania podmiotów na rynku wewnętrznym UE i EOG.
IV.3. Naruszenie art. 30 ust. 1 oraz art. 35 ust. 1 i ust. 7 rozporządzenia 2016/679 – przesłanki wymiaru administracyjnej kary pieniężnej (art. 83 ust. 2 rozporządzenia 2016/679).
Decydując z kolei o nałożeniu administracyjnej kary pieniężnej z tytułu naruszenia przez C. S.A. przepisów art. 30 ust. 1 oraz art. 35 ust. 1 i ust. 7 rozporządzenia 2016/679, Prezes UODO nałożył jedną karę z uwagi na fakt, że naruszenie obu ww. przepisów dotyczy tego samego zachowania C. S.A. jako administratora, związanego z jedną operacją przetwarzania danych, tj. z profilowaniem. Tak więc, Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:
a) charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679) – naruszenie przepisów związane z:
- nieuwzględnieniem operacji profilowania w opisie procesów (czynności) przetwarzania danych zawartym w prowadzonym przez C. S.A. rejestrze czynności przetwarzania danych (naruszenie art. 30 ust. 1 rozporządzenia 2016/679) oraz
- nieuwzględnieniem w ocenie skutków dla ochrony danych czynności przetwarzania danych polegających na ich profilowaniu (naruszenie art. 35 ust. 1 i ust. 7 rozporządzenia 2016/679),
ma znaczną wagę z uwagi na rodzaj przetwarzanych przez C. S.A. danych (np. dane dotyczące sytuacji finansowej osób, których dane dotyczą, nr PESEL, itp.), sposób przetwarzania (użycie systemów teleinformatycznych, profilowanie) oraz dużą skalę przetwarzania. Ponadto, charakter przetwarzania (profilowania) jest tym przypadku okolicznością obciążającą C. S.A. ze względu na okoliczność, że technika przetwarzania (automatyzacja, użycie systemów informatycznych) oraz specyficzne ryzyka dla podmiotów danych wynikające z zastosowania tej techniki, wymagają od administratora szczególnej odpowiedzialności i wyczulenia na kwestie ochrony przetwarzanych danych. Dodatkowo obciążającą okolicznością jest zarobkowy charakter przetwarzania, związany z osiąganiem przez C. S.A. zysku. Od podmiotu przetwarzającego dane w celu osiągnięcia korzyści gospodarczych, a więc dysponującego na ogół znacznymi środkami finansowymi i organizacyjnymi, wymagania w zakresie prawidłowego stosowania środków porządkujących i zabezpieczających przetwarzanie, o których mowa w rozporządzeniu 2016/679, są wyższe, z uwagi na większe możliwości techniczne, finansowe i operacyjne takiego podmiotu. Profilowanie cechuje zatem stosunkowo wysoki stopień redukcji udziału człowieka w tym procesie, co powoduje zwiększone ryzyko utraty nad nim kontroli wraz z ze wszystkimi tego konsekwencjami, jak np. przetwarzanie nadmiarowe, utrata poufności, integralności i dostępności danych. Należy pamiętać, że w procesie profilowania powstają zupełnie nowe dane osobowe, w stosunku do danych „wyjściowych”, na podstawie których zautomatyzowane systemy informatyczne (często przy udziale sztucznej inteligencji) dokonują oceny, np. zdolności kredytowej klientów banków.
Ww. dane dotyczą bardzo żywotnych, istotnych interesów życiowych podmiotów danych, przez co brak konkretnego uwzględnienia profilowania w rejestrze czynności przetwarzania oraz przy dokonywaniu oceny skutków, może wpłynąć na obniżenie bezpieczeństwa tych danych poprzez nienależyte uwzględnienie ww. operacji przy doborze środków technicznych i organizacyjnych mających to bezpieczeństwo zapewnić. W takich okolicznościach może dojść do sytuacji, że nawet sam administrator, tj. C. S.A., może nie mieć pełnej świadomości ryzyk związanych z dokonywaniem operacji profilowania, przez co może mieć problem z doborem właściwych środków organizacyjnych i technicznych służących bezpieczeństwu przetwarzania. Powyższe zaś, przekłada się bezpośrednio na wzrost poziomu ryzyka naruszenia praw lub wolności osób, których dane dotyczą (których dane są przetwarzane).
Nieprawidłowo sporządzony rejestr czynności przetwarzania (bez uwzględnienia operacji profilowania), a także nieprawidłowo sporządzona ocena skutków przetwarzania, obowiązywały w C. S.A. od 15 stycznia 2019 r., tj. od dnia akceptacji treści oceny skutków przez zarząd C. S.A., którą Prezes UODO przyjął za datę początkową obowiązywania ww. dokumentów, do sierpnia 2023 r. (pisemne wyjaśnienia C. S.A. z 22 sierpnia 2023 r. wraz z informacją o ich modyfikacji). Naruszenie art. 30 ust. 1 oraz art. 35 ust. 1 i ust. 7 rozporządzenia 2016/679 było więc długotrwałe, bowiem do chwili usunięcia trwało przez ok. 4,5 roku.
Na stwierdzone niniejszą decyzją naruszenie przepisów rozporządzenia 2016/679 pozostaje bez wpływu kryterium liczby poszkodowanych osób, których dane dotyczą, oraz rozmiar poniesionej przez nich szkody, ponieważ w przedmiotowej sprawie nie stwierdzono istnienia osób poszkodowanych. Niemniej jednak z uwagi na charakter, wagę i czas trwania wyżej wskazanego naruszenia, wskazaną przesłankę rozpatrywaną w sposób całościowy należy ocenić jako obciążającą.
b) nieumyślny charakter naruszenia przepisów rozporządzenia 2016/679 przez C. S.A. (art. 83 ust. 2 lit. b rozporządzenia 2016/679) - z materiału dowodowego zebranego w toku kontroli oraz z wyjaśnień C. S.A. zawartych w piśmie z 22 sierpnia 2023 r. wynika, że zaniechania C. S.A. w zakresie nieuwzględnienia profilowania w opisie procesów (czynności) przetwarzania danych zawartych w prowadzonym przez C. S.A. rejestrze czynności przetwarzania danych (naruszenie art. 30 ust. 1 rozporządzenia 2016/679) oraz nieuwzględnienia w ocenie skutków dla ochrony danych czynności przetwarzania danych polegających na ich profilowaniu (naruszenie art. 35 ust. 1 i ust. 7 rozporządzenia 2016/679), z uwagi na treść ww. dokumentów i metodologię ich tworzenia (tzw. produktowe ujęcie opisu procesów przetwarzania w rejestrze czynności oraz w ocenie skutków dla przetwarzania) wskazuje, że były one skutkiem nieumyślnego działania, związanego z brakiem świadomości obowiązku wyraźnego ujęcia w ich treści profilowania danych. Powyższe nie zmienia jednak faktu, że C. S.A. jako profesjonalny podmiot, którego istotnym elementem prowadzonej działalności gospodarczej jest przetwarzanie danych, powinien był mieć świadomość i wiedzę w ww. zakresie, a ww. naruszenie stanowiło niedbalstwo. Z tego względu nieumyślny charakter naruszenia art. 30 ust. 1 oraz art. 35 ust. 1 i ust. 7 rozporządzenia 2016/679 nie zwalnia C. S.A. z odpowiedzialności z ww. tytułu i działa również obciążająco przy określeniu wysokości administracyjnej kary pieniężnej.
c) kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679) – dane osobowe przetwarzane przez C. S.A. obejmują dość szeroki zakres kategorii danych. Należą do nich: imię, nazwisko, adres zamieszkania i korespondencyjny, nr PESEL, data urodzenia, adres poczty elektronicznej, numer telefonu, oznaczenie kraju rezydencji podatkowej, stan cywilny, płeć, liczba posiadanych dzieci i daty ich urodzenia, seria i numer dokumentu tożsamości, źródło pochodzenia wartości majątkowych, obywatelstwo, dane adresowe pracodawcy klienta oraz dane o zobowiązaniach kredytowych. Ponadto, w zakresie danych uzyskanych w wyniku profilowania C. S.A. przetwarza takie dane, jak: wynik scoringu, czyli ocena punktowa ryzyka kredytowego i kategoria ryzyka zdefiniowana przez C. S.A.
Należy też zwrócić uwagę na fakt, że wśród danych osobowych przetwarzanych przez C. S.A. jest również numer ewidencyjny PESEL. Mimo, że nie należy on do kategorii danych szczególnych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, należy podkreślić, że nieuprawnione ujawnienie numeru ewidencyjnego PESEL wraz z imieniem i nazwiskiem, które jednoznacznie identyfikują osobę fizyczną, w szczególności może realnie i negatywnie wpływać na ochronę praw lub wolności tej osoby. Jak bowiem wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 1 lipca 2022 r. (sygn. akt II SA/Wa 4143/21, Legalis nr 2760091), „[w] przypadku naruszenia takich danych, jak imię, nazwisko oraz nr PESEL, możliwa jest kradzież lub sfałszowanie tożsamości poprzez uzyskanie przez osoby trzecie, na szkodę osób, których dane naruszono, pożyczek w instytucjach pozabankowych bądź wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować negatywne konsekwencje związane z próbą przypisania osobom, których dane dotyczą, odpowiedzialności za dokonanie takiego oszustwa”. Jak wskazano z kolei w Wytycznych 04/2022 (str. 22), „Jeśli chodzi o wymóg uwzględnienia kategorii danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) RODO), w RODO wyraźnie wskazano rodzaje danych, które podlegają szczególnej ochronie, a tym samym bardziej rygorystycznej reakcji przy nakładaniu kar pieniężnych. Dotyczy to co najmniej rodzajów danych objętych art. 9 i 10 RODO oraz danych nieobjętych zakresem tych artykułów, których rozpowszechnianie natychmiast powoduje szkody lub dyskomfort osoby, której dane dotyczą (np. danych dotyczących lokalizacji, danych dotyczących komunikacji prywatnej, krajowych numerów identyfikacyjnych lub danych finansowych, takich jak zestawienia transakcji lub numery kart kredytowych). Ogólnie rzecz biorąc, im większej liczby takich kategorii danych dotyczy naruszenie lub im bardziej wrażliwe są dane, tym większą wagę organ nadzorczy może przypisać temu czynnikowi.”
Należy zatem uznać, że numer ewidencyjny PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający m.in. datę urodzenia oraz oznaczenie płci, a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, ochronie na gruncie art. 87 rozporządzenia 2016/679, jest daną o szczególnym charakterze i jako taka – wymaga równie szczególnej ochrony.
W przedmiotowej sprawie powyżej wskazane okoliczności są zatem obciążające dla rozstrzygnięcia i wymiaru kary z tego względu, że mają one związek z kwestią nieuwzględnienia przez C. S.A. operacji profilowania w rejestrze czynności przetwarzania oraz w ocenie skutków dla przetwarzania. Innymi słowy, kategorie przetwarzanych przez C. S.A. danych miały w tym przypadku wpływ na naruszenie przez C. S.A. przepisu art. 30 ust. 1 oraz art. 35 ust. 1 i ust. 7 rozporządzenia 2016/679 oraz na powagę tego naruszenia z tego względu, że w ramach operacji profilowania mają one istotne znaczenie dla szeroko rozumianego bezpieczeństwa danych i ryzyka naruszenia praw lub wolności podmiotów danych. Zatem, ww. kryterium w niniejszej sprawie należy uznać za obciążające dla rozstrzygnięcia decyzji i wysokości nałożonej na C. S.A. pieniężnej kary administracyjnej.
d) stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 ze strony administratora (art. 83 ust. 2 lit. e rozporządzenia 2016/679) – w zakresie ww. przesłanki należy odwołać się odpowiednio do argumentacji przedstawionej w pkt IV.1., w odniesieniu do zarzutu naruszenia art. 38 ust. 3 rozporządzenia 2016679.
Decydując o nałożeniu administracyjnej kary pieniężnej za naruszenie art. 30 ust. 1 i art. 35 ust. 1 i ust. 7 rozporządzenia 2016/679, Prezes UODO wziął pod uwagę następującą okoliczność sprawy, wpływającą łagodząco na wymiar nałożonej administracyjnej kary pieniężnej:
- stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679) – C. S.A. w toku kontroli udzielał kompletnych i konkretnych wyjaśnień, a nadto przedstawił w wyjaśnieniach pokontrolnych na piśmie najpierw plan działań naprawczych, a następnie ich wykonanie. C. S.A. przedstawił po kontroli Prezesa UODO zmodyfikowany rejestr czynności przetwarzania a także zmienioną treść sporządzonej oceny skutków przetwarzania. W obu ww. dokumentach uwzględniona została odrębnie i wyraźnie operacja przetwarzania danych w postaci profilowania. Powyższą okoliczność należy zatem uznać za łagodzącą w przedmiotowej sprawie.
Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie przepisu art. 38 ust. 3 rozporządzenia 2016/679, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy niemające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej, tj.:
a) działania podjęte przez C. S.A. w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679) –z materiału dowodowego zebranego w toku kontroli oraz postępowania administracyjnego wynika, że działania (zaniechania) C. S.A. stanowiące naruszenie przepisów art. 30 ust. 1 oraz art. 35 ust. 1 i ust. 7 rozporządzenia 2016/679, nie spowodowały poniesienia szkód przez osoby, których dane dotyczą;
b) stopień odpowiedzialności C. S.A. z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 rozporządzenia 2016/679 (art. 83 ust. 2 lit. d) – w zakresie ww. przesłanki należy odwołać się do argumentacji przedstawionej w pkt IV.1. powyżej, w odniesieniu do zarzutu naruszenia art. 38 ust. 3 rozporządzenia 2016/679
c) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie (art. 83 ust. 2 lit. h rozporządzenia 2016/679) – w zakresie ww. przesłanki należy odwołać się do argumentacji przedstawionej w pkt IV.1. powyżej, w odniesieniu do zarzutu naruszenia art. 38 ust. 3 rozporządzenia 2016/679.
d) jeżeli wobec administratora, którego sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków (art. 83 ust. 2 lit. i rozporządzenia 2016/679) – w zakresie ww. przesłanki należy odwołać się do argumentacji przedstawionej w pkt IV.1. powyżej, w odniesieniu do zarzutu naruszenia art. 38 ust. 3 rozporządzenia 2016/679.
e) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 (art. 83 ust. 2 lit. j rozporządzenia 2016/679) – w zakresie ww. przesłanki należy odwołać się do argumentacji przedstawionej w pkt IV.1. powyżej, w odniesieniu do zarzutu naruszenia art. 38 ust. 3 rozporządzenia 2016/679.
f) osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679) – w zakresie ww. przesłanki należy odwołać się do argumentacji przedstawionej w pkt IV.1. powyżej, w odniesieniu do zarzutu naruszenia art. 38 ust. 3 rozporządzenia 2016/679.
g) inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy [art. 83 ust. 2 lit. k) rozporządzenia 2016/679] – Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.
IV.4. Naruszenie art. 30 ust. 1 oraz art. 35 ust. 1 i ust. 7 rozporządzenia 2016/679 – ustalenie wysokości administracyjnej kary pieniężnej.
Koniecznym jest wskazanie, że ustalając wysokość administracyjnej kary pieniężnej z tytułu naruszenia art. 30 ust. 1 oraz art. 35 ust. 1 i ust. 7 rozporządzenia 2016/679, Prezes UODO zastosował metodykę przyjętą przez EROD w Wytycznych 04/2022. Zgodnie z przedstawionymi w tym dokumencie wskazówkami:
1) Prezes UODO dokonał kategoryzacji stwierdzonych w niniejszej sprawie naruszeń przepisów rozporządzenia 2016/679 (vide Rozdział 4.1 Wytycznych 04/2022). Naruszenia przepisów art. 30 ust. 1 oraz art. 35 ust. 1 i 7 rozporządzenia 2016/679 należą – zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą o maksymalnej wysokości do 10 000 000 EUR lub do 2% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego. Należy zatem stwierdzić, że w świetle przyjętej przez europejskiego prawodawcę klasyfikacji naruszeń przepisów rozporządzenia 2016/679 oraz przewidzianych w związku z nimi kar, naruszenie ww. przepisów rozporządzenia 2016/679 należy do tych o mniejszej wadze.
2) Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie art. 30 ust. 1 oraz art. 35 ust. 1 i ust. 7 rozporządzenia 2016/679 jako naruszenie o średnim poziomie powagi (vide Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które dotyczą strony przedmiotowej naruszeń (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszeń (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny lub nieumyślny charakter naruszeń (art. 83 ust. 2 lit. b) rozporządzenia 2016/679) oraz kategorie danych osobowych, których dotyczyły naruszenia (art. 83 ust. 2 lit. g) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej. Wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest średni. Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 10% do 20% maksymalnej wysokości kary możliwej do orzeczenia wobec C. S.A., to jest – zważywszy na limit określony w art. 83 ust. 4 rozporządzenia 2016/679 – od 1 000 000 EUR do kwoty 2 000 000 EUR (vide Podrozdział 4.2.4 Wytycznych 04/2022). Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę 1 200 000,00 EUR (równowartość 5 238 360,00 PLN).
3) Prezes UODO dostosował kwotę wyjściową, odpowiadającą średniej powadze stwierdzonego naruszenia, do obrotu C. S.A. jako miernika jej wielkości i siły gospodarczej (vide Rozdział 4.3 Wytycznych 04/2022). Zgodnie z Wytycznymi 04/2022, w przypadku przedsiębiorstw, których roczny obrót, jak w przedmiotowej sprawie, wynosi od 50 do 100 mln EUR, organ nadzorczy może rozważyć dokonanie dalszych obliczeń wysokości kary na podstawie wartości mieszczącej się w przedziale od 8% do 20% kwoty wyjściowej. Zważywszy, że obrót (przychód) C. S.A. w ostatnim roku obrotowym (od 1 kwietnia 2023 r. do 31 marca 2024 r.) wyniósł 430 699 360,00 PLN, to jest 98 664 320,89 EUR (wg średniego kursu EUR z dnia 29 stycznia 2024 r.), Prezes UODO za stosowne uznał skorygowanie podlegającej obliczeniom kwoty kary do wartości odpowiadającej 20% kwoty wyjściowej, to jest do kwoty 240 000,00 EUR (równowartość 1 047 672,00 PLN).
4) Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (vide Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się – jak zakładają Wytyczne 04/2022 – do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej. Przesłanki, o których mowa w art. 83 ust. 2 lit. c), d), h), i), j), k) rozporządzenia 2016/679 – jak wskazano wyżej – nie miały wpływu, ani łagodzącego ani obciążającego, na ocenę naruszenia i w konsekwencji na wymiar kary. Ze względu na zaistnienie w sprawie jednej okoliczności łagodzącej (stopnia współpracy w celu usunięcia naruszenia) oraz jednej obciążającej (stosownych wcześniejszych naruszeń) Prezes UODO, oceniając ich łączny wpływ na ocenę naruszenia, uznał, że zasadnym będzie dalsze obniżenie kwoty kary ustalonej z uwzględnieniem obrotu C. S.A. (pkt 3 powyżej); po uwzględnieniu łącznego wpływu obu ww. przesłanek na ocenę naruszenia, Prezes UODO uznał za właściwe jej obniżenie do kwoty 144 000,00 EUR (równowartość 628 603,20 PLN). Prezes UODO podkreśla, że na ocenę tę najistotniejszy wpływ (łagodzący) miało usunięcie przez C. S.A. naruszenia przed wydaniem niniejszej decyzji; fakt ten należy podkreślić i docenić, bowiem celem niniejszego postępowania i stosowanych przez Prezesa UODO środków naprawczych jest w pierwszym rzędzie doprowadzenie procesów przetwarzania przez C. S.A. danych osobowych do stanu zgodnego z prawem.
5) Prezes UODO stwierdził, że ustalona w przedstawiony wyżej sposób kwota administracyjnej kary pieniężnej z tytułu naruszenia art. 30 ust. 1 oraz art. 35 ust. 1 i ust. 7 rozporządzenia 2016/679 nie przekracza – stosownie do art. 83 ust. 3 rozporządzenia 2016/679 – prawnie określonej maksymalnej wysokości kary przewidzianej dla najpoważniejszego naruszenia (vide Rozdział 6 Wytycznych 04/2022). Oba naruszenia – art. 30 ust. 1 oraz art. 35 ust. 1 i ust. 7 rozporządzenia 2016/67 – zagrożone są taką samą karą, obu więc należy przypisać tę samą powagę. Jak wskazano powyżej, zagrożone są one administracyjną karą pieniężną w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Prezes UODO ustalił, że „dynamiczna kwota maksymalna” dla tego naruszenia i dla tego sprawcy naruszenia wyrażona w procencie (2%) jego obrotu, wyniosłaby 1 973 286,42 EUR, w związku z czym zastosować należy w niniejszej sprawie – jako wyższą – „statyczną kwotę maksymalną” wynoszącą dla rozpatrywanego naruszenia 10 000 000 EUR. Wskazana powyżej kwota 144 000 EUR w sposób oczywisty nie przekracza kwoty 10 000 000 EUR.
6) Pomimo tego, że ustalona zgodnie z powyższymi zasadami kwota kary nie przekracza prawnie określonego maksimum kary Prezes UODO uznał, że wymaga ona dodatkowej korekty ze względu na zasadę proporcjonalności wymienioną w art. 83 ust. 1 rozporządzenia 2016/679 jako jedną z trzech dyrektyw wymiaru kary (vide Rozdział 7 Wytycznych 04/2022). Niewątpliwie kara pieniężna w wysokości 144 000 EUR byłaby karą skuteczną (przez swoją dolegliwość pozwoliłaby osiągnąć swój cel represyjny, którym jest ukaranie za bezprawne zachowanie) i odstraszającą (pozwalającą skutecznie zniechęcić zarówno C. S.A., jak i innych administratorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679). Kara taka byłaby jednak – w ocenie Prezesa UODO – nieproporcjonalna ze względu na swoją nadmierną dolegliwość. Zasada proporcjonalności wymaga bowiem m.in., by przyjęte przez organ nadzorczy środki nie wykraczały poza to, co odpowiednie i konieczne do realizacji uzasadnionych celów (vide pkt 137 i pkt 139 Wytycznych 04/2022). Innymi słowy: „Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku”[5]. Mając więc na uwadze wzgląd na proporcjonalność kary, Prezes UODO dokonał dalszego obniżenia wysokości kary z tytułu naruszenia art. 30 ust. 1 oraz art. 35 ust. 1 i ust. 7 rozporządzenia 2016/679 – do 50% kwoty uzyskanej po uwzględnieniu okoliczności obciążających i łagodzących (vide pkt 4 powyżej), to jest do kwoty 72 000,00 EUR (równowartość kwoty 314 302,00 PLN). W ocenie Prezesa UODO, takie określenie ostatecznej wysokości orzeczonej kary nie wpłynie na obniżenie jej skuteczności i odstraszającego charakteru. Kwota ta bowiem stanowi próg, powyżej którego dalsze zwiększanie wysokości kary nie będzie wiązało się ze wzrostem jej skuteczności i odstraszającego charakteru. Z drugiej natomiast strony, obniżenie w większym stopniu wysokości kary mogłoby się odbyć kosztem jej skuteczności i odstraszającego charakteru, a także spójnego stosowania i egzekwowania rozporządzenia 2016/679 i zasady równego traktowania podmiotów na rynku wewnętrznym UE i EOG.
Decydując, czy nałożyć administracyjną karę pieniężną, a także ustalając jej wysokość, za najistotniejsze Prezes UODO uznał poważny charakter naruszenia przepisów rozporządzenia 2016/679, w tym przede wszystkim art. 30 ust. 1 oraz art. 35 ust. 1 i 7 rozporządzenia 2016/679, poprzez nieuwzględnienie profilowania w opisie procesów (czynności) przetwarzania danych zawartych w prowadzonym przez C. S.A. rejestrze czynności przetwarzania danych oraz niedokonanie oceny skutków dla ochrony danych osobowych w odniesieniu do czynności przetwarzania danych polegających na ich profilowaniu.
Wymóg prowadzenia rejestru czynności przetwarzania (art. 30 ust. 1 rozporządzenia 2016/679) oraz wymóg dokonania oceny skutków dla przetwarzania danych (art. 35 ust. 1 rozporządzenia 2016/679) sprowadza się do uwzględnienia w ww. działaniach i dokumentach rzeczywistych procesów (operacji) przetwarzania zachodzących u danego administratora. C. S.A., tworząc rejestr czynności przetwarzania oraz przeprowadzając ocenę skutków, „zaszył” operację profilowania w opisie innych procesów (np. związanych z udzielaniem kredytów). Działanie takie jest w wielu przypadkach dopuszczalne (tzw. produktowe podejście do treści rejestru i oceny ryzyka), jednak z uwagi na opisaną wyżej w treści decyzji specyfikę profilowania i związane z nim zagrożenia dla praw lub wolności podmiotów danych, działanie takie było w przedmiotowej sprawie niezgodne z ww. przepisami rozporządzenia 2016/679.
V. Podsumowanie.
Stosownie do art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz.1781), równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego. W 2024 r. średni kurs euro został ogłoszony przez Narodowy Bank Polski na dzień 29 stycznia 2024 r. w wysokości 1 EUR = 4,3653 PLN (https://nbp.pl/archiwum-kursow/tabela-nr-020-a-nbp-2024-z-dnia-2024-01-29/).
Mając powyższe na uwadze, Prezes UODO, na podstawie art. 83 ust. 3 i art. 83 ust. 4 lit. a) rozporządzenia 2016/679 w związku z art. 103 ustawy o ochronie danych osobowych, za naruszenia opisane w sentencji niniejszej decyzji, nałożył na C. S.A. – stosując średni kurs euro ogłoszony przez Narodowy Bank Polski z dnia 29 stycznia 2024 r. (1 EUR = 4,3653 PLN) – administracyjne kary pieniężne:
a) w kwocie 261 918 PLN (słownie: dwieście sześćdziesiąt jeden tysięcy dziewięćset osiemnaście złotych), co stanowi równowartość 60 000,00 EUR, z tytułu naruszenia art. 38 ust. 3 rozporządzenia 2016/679;
b) w kwocie 314 302 PLN (słownie: trzysta czternaście tysięcy trzysta dwa złote), co stanowi równowartość 72 000,00 EUR, z tytułu naruszenia art. 30 ust. 1 oraz art. 35 ust. 1 i 7 rozporządzenia 2016/679;
tj. w kwocie o łącznej wysokości 576 220 PLN (co stanowi równowartość 132 000 EUR).
W ocenie Prezesa Urzędu Ochrony Danych Osobowych, zastosowane administracyjne kary pieniężne w łącznej kwocie 576 220 PLN (słownie: pięćset siedemdziesiąt sześć tysięcy dwieście dwadzieścia złotych) spełniają w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. są w tym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające.
Należy uznać, że kary będą skuteczne, jeżeli ich nałożenie doprowadzi do tego, że C. S.A. będzie przetwarzać dane osobowe swoich klientów przy jednoczesnym spełnieniu wymogów uregulowanych przepisami, które C. S.A. naruszył, a nadto że będzie on w stanie wykazać przestrzeganie naruszonych przez niego wcześniej przepisów i zasad z nich wynikających.
Odnosząc się do wysokości wymierzonych C. S.A. administracyjnych kar pieniężnych Prezes UODO uznał, że są one proporcjonalne zarówno do wagi stwierdzonych w niniejszej sprawie naruszeń przepisów rozporządzenia 2016/679, jak i do sytuacji finansowej C. S.A. i nie będą stanowiły dla niego nadmiernego obciążenia. Z przesłanego Prezesowi UODO przez C. S.A. sprawozdania finansowego zawierającego też informację o wysokości osiągniętego dochodu (poniesionej straty) w okresie od 1 kwietnia 2023 r. do 31 marca 2024 r. wynika, że przychody z działalności C. S.A. w tym okresie wyniosły 430 699 360 złotych (słownie: czterysta trzydzieści milionów sześćset dziewięćdziesiąt dziewięć tysięcy trzysta sześćdziesiąt złotych), w związku z czym kwota nałożonych w niniejszej sprawie administracyjnych kar pieniężnych stanowi około 0,13% przychodów osiągniętych przez C. S.A. w okresie, za który C. S.A. przedstawił dane finansowe. Jednocześnie warto podkreślić, że:
1) kwota kary nałożonej z tytułu naruszenia art. 38 ust. 3 rozporządzenia 2016/679 (261 918,00 PLN) to jedynie ok. 0,6% maksymalnej wysokości kary, którą Prezes UODO mógł – stosując, zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, maksymalny próg 10 000 000 EUR (43 653 000,00 zł – zgodnie ze średnim kursem euro z dnia 29 stycznia 2024 r. – 4,3653 PLN) – nałożyć na C. S.A. za to naruszenie;
2) kwota kary nałożonej z tytułu naruszenia art. 30 ust. 1 oraz art. 35 ust. 1 i ust. 7 rozporządzenia 2016/679 (314 302,00 PLN) to jedynie ok. 0,72% maksymalnej wysokości kary, którą Prezes UODO mógł – stosując, zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, maksymalny próg 10 000 000 EUR (43 653 000,00 zł – zgodnie ze średnim kursem euro z dnia 29 stycznia 2024 r. – 4,3653 PLN) – nałożyć na C. S.A. za to naruszenie.
Odstraszający charakter nałożonych administracyjnych kar pieniężnych wiąże się z zapobieganiem naruszeniom przepisów rozporządzenia 2016/679 w przyszłości oraz przykładaniem większej wagi do realizacji zadań C. S.A. jako administratora danych. Kary mają odstraszać zarówno C. S.A. przed ponownym naruszeniem tych przepisów, jak i inne podmioty uczestniczące w przetwarzaniu danych. Nakładając niniejszą decyzją administracyjne kary pieniężne za naruszenie przepisów o ochronie danych osobowych, Prezes UODO wziął pod uwagę oba aspekty: po pierwsze – charakter represyjny (C. S.A. naruszył przepisy rozporządzenia 2016/679), po drugie – charakter prewencyjny (zarówno C. S.A., jak i inne podmioty uczestniczące w przetwarzaniu danych osobowych, będą z większą uwagą i należytą starannością realizować swoje obowiązki wynikające z rozporządzenia 2016/679). Innymi słowy, w ocenie Prezesa UODO, administracyjne kary pieniężne spełnią funkcję represyjną, jako że stanowić będą odpowiedź na naruszenie przez C. S.A. przepisów rozporządzenia 2016/679, ale i prewencyjną, jako że sam C. S.A. będzie skutecznie zniechęcony do naruszania w taki sposób przepisów ochrony danych osobowych w przyszłości.
Celem nałożonych kar jest zobligowanie C. S.A. do właściwego wykonywania obowiązków wynikających z rozporządzenia 2016/679, a w konsekwencji do prowadzenia procesów przetwarzania danych zgodnie z obowiązującymi przepisami prawa. Należy podkreślić, że kary będą skuteczne, jeżeli ich nałożenie doprowadzi do tego, że C. S.A. dostosuje swoje procesy przetwarzania danych do stanu zgodnego z prawem. Zastosowanie administracyjnych kar pieniężnych w niniejszym przypadku jest niezbędne zważywszy także na to, że C. S.A. zignorował obowiązek powołania IOD w sposób zapewniający jego bezpośrednie podleganie najwyższemu kierownictwu C. S.A. jako administratora, a także naruszył obowiązek prowadzenia rejestru czynności przetwarzania oraz dokonania oceny skutków dla przetwarzania w rzetelny i oddający przejrzyście istotę procesów przetwarzania danych sposób.
W ocenie Prezesa UODO zastosowane administracyjne kary pieniężne spełniają w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. są w tym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. W związku z powyższym wskazać należy, że administracyjne kary pieniężne w łącznej wysokości 576 220,00 PLN spełniają przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonego naruszenia przepisów rozporządzenia 2016/679.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
[1] Wytyczne Grupy Roboczej Art. 29 ds. Ochrony Danych dotyczących inspektorów ochrony danych („DPO”), zmienione i przyjęte w dniu 5 kwietnia 2017 r., s. 16.
[2] A. Mednis „Prawo ochrony danych osobowych wobec profilowania osób fizycznych”, Wyd. Presscom sp. z o.o., Wrocław 2019, s. 300-301.
[3] A. Mednis „Prawo ochrony danych osobowych wobec profilowania osób fizycznych”, Wyd. Presscom sp. z o.o., Wrocław 2019, s. 292.
[4] (P. Litwiński (red.), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. […]; Komentarz do art. 83 [w:] P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz).
[5] P. Litwiński (red.), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. […]; Komentarz do art. 83 [w:] P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz
Mirosław Wróblewski
2024-12-18
Wioletta Golańska
2025-01-17 14:26:23
Agnieszka Kaczor
2025-01-20 12:10:45