Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 7 września 2022 r.

brak umowy powierzenia przetwarzania

DKN.5131.29.2022

23/09/2022

Podstawą decyzji było powierzenie przetwarzania danych osobowych bez zawartej na piśmie umowy powierzenia oraz bez przeprowadzenia weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych zgodnie z RODO.


DECYZJA

DKN.5131.29.2022

 

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735, ze zm.), art. 7 ust. 1, art. 60 oraz art. 102 ust. 2 i ust. 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), dalej zwanej „uodo”, a także art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. i), art. 83 ust. 1 i 2 oraz art. 83 ust. 4 lit. a) w związku z art. 28 ust. 1, 3 i 9 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej zwanego: „rozporządzeniem 2016/679”, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przez Sułkowicki Ośrodek Kultury z siedzibą w Sułkowicach przy ul. 1 Maja 70 przepisów o ochronie danych osobowych, Prezes Urzędu Ochrony Danych Osobowych

 

stwierdzając naruszenie przez Sułkowicki Ośrodek Kultury z siedzibą w Sułkowicach przy  ul. 1 Maja 70, przepisów art. 28 ust. 1, 3 i 9 rozporządzenia 2016/679, polegające na powierzeniu Panu K. G. prowadzącemu działalność gospodarczą pod nazwą […] przetwarzania danych osobowych bez zawartej na piśmie umowy powierzenia oraz bez przeprowadzenia weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą, nakłada na Sułkowicki Ośrodek Kultury z siedzibą w Sułkowicach przy ul. 1 Maja 70 administracyjną karę pieniężną w kwocie 2.500 zł (słownie: dwa tysiące pięćset złotych).

 

 

Uzasadnienie

Do Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej Prezesem UODO, w dniu  […] maja 2020 r. wpłynęło zgłoszenie naruszenia ochrony danych osobowych dokonane przez Sułkowicki Ośrodek Kultury z siedzibą w Sułkowicach przy ul. 1 Maja70 (zwany dalej „SOK” lub „Administratorem”), zarejestrowane pod sygnaturą […], informujące o naruszeniu ochrony danych osobowych 30 osób - pracowników oraz byłych pracowników Administratora. SOK (zgodnie ze swym statutem stanowiącym załącznik do Uchwały Nr XII/72/2015 Rady Miejskiej w Sułkowicach z dnia 30 września 2015 r.), jest jednostką organizacyjną Gminy utworzoną w celu realizacji zadań własnych gminy o charakterze obowiązkowym z zakresu kultury.

 

W toku postępowania wyjaśniającego, przeprowadzonego w związku ze zgłoszonym naruszeniem ochrony danych osobowych, ustalono, że SOK powierzył przetwarzanie danych osobowych ww. osób Panu K. G. prowadzącemu działalność gospodarczą pod nazwą […] z miejscem wykonywania działalności w T. nr […], zwanemu dalej „[…]” lub „Podmiotem Przetwarzającym”, bez zawarcia pisemnej umowy powierzenia oraz bez przeprowadzenia weryfikacji podmiotu przetwarzającego, czy zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679  i chroniło prawa osób, których dane dotyczą. Jak ustalono, Administrator zlecił ww. podmiotowi: prowadzenie ksiąg rachunkowych, ewidencji i sporządzanie raportów (w obszarze finansów, podatków oraz ZUS), przetwarzanie danych osobowych z niezbędnymi załącznikami, przechowywanie dokumentacji (ewidencje VAT, ewidencja środków trwałych, deklaracje VAT) - tym samym powierzając mu przetwarzanie danych osobowych pracowników i byłych pracowników Administratora w postaci: imion i nazwisk, imion rodziców, dat urodzenia, numerów rachunków bankowych, adresów zamieszkania lub pobytu, numerów ewidencyjnych PESEL, adresów e-mail, danych dotyczących zarobków i/lub posiadanego majątku, nazwisk rodowych matki, serii i numerów dowodów osobistych, numerów telefonów, a także danych dotyczących zdrowia. Ponadto SOK  w pismach z dnia […] listopada i […] grudnia 2021 r. oraz […] kwietnia 2022 r. wyjaśnił, że „Nie zawarto z podmiotem przetwarzającym umowy powierzenia. Zwrócono się do podmiotu przetwarzającego z prośbą o informacje, wyjaśnienia i zwrot/udostepnienie danych przetwarzanych, lecz bezskutecznie”, „Z firmą […] nie były zawarte żadne umowy z SOK. (…) Wielce prawdopodobne jest, że Pani G. z upoważnienia ówczesnej Dyrektor takie czynności wykonywała za pomocą programu ZUS Płatnik poza siedzibą przenosząc bazę danych lub wytworzoną przez siebie nową bazę”, „(…) (administrator) nie posiada żadnych dokumentów potwierdzających rozpoczęcie i zakończenie współpracy z firmą […] (…)” oraz „(…) (administrator) nie posiada żadnych dokumentów potwierdzających weryfikację warunków współpracy z firmą […] (…)”.

 

W załączeniu do pisma z dnia […] listopada 2021 r. Administrator przedstawił pisma z dnia  […] czerwca 2020 r., skierowane m.in. do Dyrektora SOK w latach 2015 - 2019, p.o. Dyrektora SOK  w latach 2019 - 2020, głównej księgowej SOK w latach 2017 - 2019 (p. B. G.) oraz głównej księgowej SOK w latach 2019 - 2020 z prośbą o informację, „na jakiej podstawie prawnej i faktycznej firma ta [przyp.: […]] prowadziła dokumentację Ośrodka, czy została z tą firmą zawarta umowa cywilnoprawna, jaki był zakres tej umowy i co znajdowało się w zakresie obowiązków tejże firmy względem Sułkowickiego Ośrodka Kultury”. Administrator wskazał również w piśmie opatrzonym datą […] grudnia 2021 r., że próby uzyskania wyjaśnień od Pani B. G. (która została opisana jako przedstawiciel lub pracownik […]) były bezskuteczne.

Wobec powyższego, pismem z dnia […] maja 2022 r., Prezes UODO wszczął z urzędu wobec Administratora postępowanie administracyjne w sprawie naruszenia przez Sułkowicki Ośrodek Kultury, jako administratora danych, obowiązków wynikających z przepisów art. 28 ust. 1, 3 i 9 rozporządzenia 2016/679 (sygn. pisma […]).

Administrator nie ustosunkował się pisemnie do ww. zawiadomienia o wszczęciu postępowania administracyjnego.

 

Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes UODO zważył, co następuje.

 

Prezes UODO jest organem właściwym w sprawie ochrony danych osobowych (art. 34 ust. 1 uodo)  i organem nadzorczym w rozumieniu przepisów rozporządzenia 2016/679 (art. 34 ust. 2 uodo).

 

Stosownie do art. 57 ust. 1 rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie rozporządzenia 2016/679 (lit. a) oraz prowadzi postępowania w sprawie stosowania tego rozporządzenia  (lit. h). Instrumentem do realizacji zadań, o których mowa w art. 57 rozporządzenia 2016/679, są  w szczególności uprawnienia naprawcze nadane mocą art. 58 ust. 2 rozporządzenia 2016/679 - m.in. do zastosowania, oprócz lub zamiast środków, o których mowa w tym ustępie, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy (lit. i).

 

W myśl art. 28 ust. 1 rozporządzenia 2016/679, jeżeli przetwarzanie ma być dokonywane  w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych  i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Zgodnie z art. 28 ust. 3 rozporządzenia 2016/679, przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający  i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:

a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora - co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej  - chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
c) podejmuje wszelkie środki wymagane na mocy art. 32;
d) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa  w ust. 2 i 4;
e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;
f) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36;
g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
h) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

 

W związku z obowiązkiem określonym w akapicie pierwszym lit. h) podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.

 

Z kolei stosownie do art. 28 ust. 9 rozporządzenia 2016/679, umowa lub inny akt prawny,  o których mowa w ust. 3 i 4, mają formę pisemną, w tym formę elektroniczną.

 

Z zebranego materiału dowodowego wynika, że Sułkowicki Ośrodek Kultury, powierzając przetwarzanie danych osobowych pracowników, nie zawarł pisemnej umowy powierzenia  z podmiotem przetwarzającym te dane, którym był K. G. prowadzący działalność gospodarczą pod nazwą […] z miejscem wykonywania działalności w T. nr […], zawierającej elementy wskazane  w art. 28 ust. 3 rozporządzenia 2016/679. Oceniając ten stan rzeczy, należy zacząć od wyjaśnienia funkcji sprawowanej przez te dwa podmioty oraz ich wzajemnej relacji.

 

Zgodnie z art. 4 pkt 7 rozporządzenia 2016/679, „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych, a jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub  w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. Z kolei „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora (art. 4 pkt 8 rozporządzenia 2016/679).

 

Fakt, że w analizowanej sytuacji nie doszło do zawarcia umowy powierzenia przetwarzania danych osobowych w rozumieniu art. 28 ust. 3 rozporządzenia 2016/679 nie pozbawia Sułkowickiego Ośrodka Kultury, ani […], statusu odpowiednio: administratora oraz podmiotu przetwarzającego.  Z Wytycznych 07/2020 wynika bowiem, że „Pojęcia administratora (…) i podmiotu przetwarzającego są pojęciami funkcjonalnymi w tym sensie, że ich celem jest podział obowiązków zgodnie z rzeczywistymi rolami stron oraz pojęciami autonomicznymi w tym sensie, że powinno się je interpretować głównie zgodnie z prawem Unii o ochronie danych”. W przedmiotowej sprawie nie budzi wątpliwości, że Sułkowicki Ośrodek Kultury był administratorem przetwarzanych przez siebie danych osobowych byłych i obecnych pracowników. Odpowiedzialność za dobór podmiotu przetwarzającego należy przypisać SOK, jako że to administrator powierza przetwarzanie danych osobowych wybranej przez siebie osobie fizycznej lub prawnej - w Wytycznych 07/2020 (opisując, kto może być administratorem), wskazano, że „W praktyce jednak to zwykle organizacja jako taka,  a nie osoba fizyczna w organizacji (np. dyrektor generalny, pracownik lub członek zarządu), działa jako administrator w rozumieniu RODO”. Dlatego z punktu widzenia przedmiotu niniejszego postępowania pozostaje bez znaczenia to, która z osób wchodzących w skład organizacji (tj. SOK)  i dlaczego podjęła decyzję o nawiązaniu współpracy - choćby nieformalnej - z […].

 

Z uwagi na fakt, że zgodnie z art. 5 ust. 1 lit. a) i f) rozporządzenia 2016/679 dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”) oraz w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”), bardzo ważne z punktu widzenia administratora danych jest to, jakiemu podmiotowi powierza przetwarzanie tych danych.  Art. 5 ust. 2 rozporządzenia 2016/679 stanowi, że administrator ponosi odpowiedzialność za przetwarzanie danych osobowych zgodnie z tymi zasadami i musi być w stanie wykazać ich przestrzeganie („rozliczalność”) - dlatego tak istotne z jego punktu widzenia jest gruntowne zbadanie, jakiemu podmiotowi (i na jakiej podstawie) powierza przetwarzanie danych osobowych. Myśl tę wyraża wprost art. 28 ust. 1 rozporządzenia 2016/679, zgodnie z którym jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia  i chroniło prawa osób, których dane dotyczą. Z Wytycznych 07/2020 wynika nadto, że „Elementami, które należy wziąć pod uwagę, mogą być: wiedza fachowa podmiotu przetwarzającego (np. wiedza techniczna w zakresie środków bezpieczeństwa i naruszeń ochrony danych); wiarygodność podmiotu przetwarzającego; zasoby podmiotu przetwarzającego oraz stosowanie przez podmiot przetwarzający zatwierdzonego kodeksu postępowania lub mechanizmu certyfikacji”, że: „Reputacja podmiotu przetwarzającego na rynku może być również istotnym czynnikiem, który administratorzy powinni wziąć pod uwagę”, a także, że »Administrator jest (…) odpowiedzialny za ocenę adekwatności gwarancji udzielonych przez podmiot przetwarzający i powinien być w stanie udowodnić, że poważnie wziął pod uwagę wszystkie elementy przewidziane w RODO. Gwarancje „zapewniane” przez podmiot przetwarzający to te, które podmiot przetwarzający jest w stanie wykazać w sposób zadowalający administratora, ponieważ są to jedyne gwarancje, które administrator może skutecznie uwzględnić przy ocenie wypełniania swoich obowiązków. Często będzie to wymagało wymiany odpowiedniej dokumentacji (np. polityki prywatności, warunków świadczenia usług, rejestru czynności przetwarzania, polityki zarządzania dokumentacją, polityki bezpieczeństwa informacji, sprawozdań  z zewnętrznych audytów ochrony danych, uznanych międzynarodowych certyfikatów, takich jak normy ISO 27000). Ocena administratora, czy gwarancje są wystarczające, jest formą oceny ryzyka, która  w znacznym stopniu zależy od rodzaju przetwarzania powierzonego podmiotowi przetwarzającemu  i musi być dokonywana indywidualnie dla każdego przypadku, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania, a także zagrożeń dla praw i wolności osób fizycznych«. Tymczasem w przedmiotowej sprawie nic nie wskazuje na to, by administrator wziął pod uwagę te elementy.

 

Fakt opisany w piśmie opatrzonym przez Administratora datą […] grudnia 2021 r.,  iż przedstawicielem lub pracownikiem […] była (w okresie zaistnienia naruszenia) Pani B. G. - zatrudniona na stanowisku głównej księgowej w organizacji Administratora w latach 2017-2019 jest pozbawiony znaczenia z punktu widzenia oceny spełnienia przez Administratora obowiązków wynikających z art. 28 ust. 1 rozporządzenia 2016/679. Jakiekolwiek powiazania personalne nie stanowią bowiem w tym przypadku podstawy do rzetelnej oceny kompetencji Podmiotu Przetwarzającego. Jak bowiem wyżej przytoczono, w Wytycznych 07/2020 jasno wskazano, jakie elementy powinien wziąć pod uwagę administrator, dokonując oceny podmiotu przetwarzającego.

 

Dopiero po odpowiednio wnikliwym zbadaniu kompetencji i adekwatności wybranego podmiotu przetwarzającego (co stanowi - jak wyżej wskazano - również element oceny ryzyka związanego z przetwarzaniem danych osobowych), administrator może przystąpić do zawarcia stosownej umowy powierzenia.W Wytycznych 07/2020 podkreślono, że „Wszelkie przetwarzanie danych osobowych przez podmiot przetwarzający musi być uregulowane umową lub innym aktem prawnym na mocy prawa Unii lub państwa członkowskiego zawartym między administratorem  a podmiotem przetwarzającym, zgodnie z wymogami art. 28 ust. 3 RODO. Taki akt prawny ma formę pisemną, w tym formę elektroniczną (…). W związku z tym niepisanych umów (niezależnie od stopnia ich szczegółowości lub skuteczności) nie można uznać za wystarczające do spełnienia wymogów określonych w art. 28 RODO”.W Wytycznych 07/2020 wyraźnie wskazano równieżkonsekwencje braku zachowania odpowiedniej formy zawarcia umowy: „Ponieważ rozporządzenie ustanawia wyraźny obowiązek zawarcia umowy na piśmie, w przypadku gdy nie obowiązuje żaden inny odpowiedni akt prawny, jej brak stanowi naruszenie RODO” - przy czym zaznaczono również,  iż „(…) można uznać, że relacja administrator-podmiot przetwarzający nadal istnieje w przypadku braku pisemnej umowy o przetwarzaniu danych. Oznaczałoby to jednak naruszenie art. 28 ust. 3 RODO”.

 

Pomimo, iż art. 28 ust. 1 rozporządzenia 2016/679 wskazuje głównie na obowiązki administratora chcącego powierzyć przetwarzanie danych osobowych innemu podmiotowi, to  w Wytycznych 07/2020 zaznaczono, że „Zarówno administrator, jak i podmiot przetwarzający są odpowiedzialni za zapewnienie zawarcia umowy lub innego aktu prawnego regulującego przetwarzanie (…)”. Umowa jest bowiem czynnością prawną co najmniej dwustronną, a powaga czynności powierzenia przetwarzania danych osobowych wymaga zaangażowania wszystkich stron. Tymczasem na podstawie zgromadzonego w przedmiotowej sprawie materiału dowodowego nie sposób stwierdzić, by Administrator i Podmiot Przetwarzający dokonali choćby nieformalnych ustaleń, które obejmowały elementy wymienione w art. 28 ust. 3 rozporządzenia 2016/679.

 

Gdy już administrator dokona przemyślanego wyboru odpowiedniego podmiotu przetwarzającego, a następnie dojdzie do zawarcia umowy, nie należy zapominać, że obowiązki administratora w zakresie zapewnienia powierzenia przetwarzania danych osobowych podmiotowi spełniającemu wymogi wskazane w art. 28 ust. 1 rozporządzenia 2016/679, trwają co najmniej tak długo, jak okres powierzenia. Jak bowiem wskazano w ww. wytycznych »Obowiązek korzystania wyłącznie z usług podmiotów przetwarzających „zapewniających wystarczające gwarancje” zawarty w art. 28 ust. 1 RODO jest obowiązkiem ciągłym. Nie kończy się w momencie zawarcia umowy lub innego aktu prawnego przez administratora i podmiot przetwarzający. Administrator powinien raczej w odpowiednich odstępach czasu weryfikować gwarancje podmiotu przetwarzającego, w tym  w stosownych przypadkach przez audyty i inspekcje(…)«.

 

Jak wynika z powyższych rozważań, decyzja komu administrator miałby powierzyć przetwarzanie danych osobowych nie może być podejmowana bezpodstawnie. Konsekwencje podjęcia pochopnej decyzji, braku odpowiedniej formy czy treści umowy powierzenia,  lub zaniedbania obowiązku ciągłej weryfikacji przez administratora gwarancji, o których mowa  w art. 28 ust. 1 rozporządzenia 2016/679, mogą bowiem dotknąć bezpośrednio osób fizycznych, których dane osobowe zostały powierzone podmiotowi przetwarzającemu. Tymczasem, stosując przepisy rozporządzenia 2016/679, należy mieć na uwadze, że celem tego rozporządzenia (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły).  W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów - nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy podejmowaniu decyzji dotyczących powierzenia przetwarzania danych osobowych innym podmiotom - należy  w pierwszej kolejności brać pod uwagę te wartości. Ochronie tych praw służą konsekwentnie wymagania stawiane w art. 28 ust. 1, 3 i 9 rozporządzenia 2016/679, stąd ich naruszenie musi wiązać się z odpowiednią do konkretnych okoliczności reakcją organu nadzorczego.

 

W przedmiotowej sprawie nic nie wskazuje na to, by Administrator sprawdził, czy Podmiot Przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. SOK w piśmie opatrzonym datą […] kwietnia 2022 r. wskazał, że nie posiada żadnych dokumentów potwierdzających weryfikację warunków współpracy z […]. Bez znaczenia pozostaje również to, kto konkretnie podjął decyzję o powierzeniu przetwarzania tych danych, jako  że odpowiedzialność za dobór podmiotu przetwarzającego ponosi Administrator. Dlatego też, należy konsekwentnie przyjąć, iż Administrator nie spełnił wymogów określonych w art. 28 ust. 1 rozporządzenia 2016/679, co skutkuje naruszeniem przez niego tego przepisu.

 

Ze składanych przez Administratora wyjaśnień wynika, że (pomimo braku spełnienia obowiązków z art. 28 ust. 1 rozporządzenia 2016/679) doszło do faktycznego powierzenia przetwarzania danych […]. W zawiadomieniu skierowanym do osób, których danych dotyczyło naruszenie (którego dokonano zgodnie z art. 34 rozporządzenia 2016/679) SOK, opisując na czym polegało zaistniałe naruszenie, wskazał, że: „Powierzono prowadzenia ksiąg rachunkowych, ewidencji i sporządzanie raportów (w obszarze finansów, podatków oraz ZUS) zewnętrznemu podmiotowi. Powierzono przetwarzania danych osobowych bez zawarcia stosownej umowy powierzenia przetwarzania danych osobowych. Przechowywano dokumentację (ewidencje VAT, ewidencja środków trwałych, deklaracje VAT) przez zewnętrzny podmiot. Zaistniała możliwość naruszenia ochrony danych osobowych przez podmiot zewnętrzny lub pracowników (byłych lub obecnych). SOK nie jest w posiadaniu ani jednego dokumentu w żadnej możliwej formie dotyczącego rozliczeń z ZUS w okresie wrzesień 2017-grudzień 2018. Wiąże się to z całkowitym brakiem możliwości wykonywania czynności wynikających z wezwań ZUS do wyjaśnień nieprawidłowości sporządzonej dokumentacji, naliczania składek oraz ustalania zobowiązań publiczno-prawnych SOK jak również całkowitym brakiem możliwości udostępniania na żądanie inspektora ZUS dokumentów w formie papierowej. Wszystkie dokumenty (cała baza danych) za okres wrzesień 2017-grudzień 2018,  z uzyskanych informacji zapewnień, obsługiwana była poza siedzibą SOK oraz na prywatnym sprzęcie bez upoważnienia i odpowiedniego zabezpieczenia”. Nadto z wyjaśnień, których udzielił Administrator w piśmie opatrzonym datą […] listopada 2021 r., wynika wprost, że z Podmiotem Przetwarzającym nie zawarto umowy powierzenia, a zwrócenie się do niego z prośbą o informacje, wyjaśnienia i zwrot lub udostępnienie przetwarzanych danych okazało się bezskuteczne. Administrator dokonał w pewnym zakresie odtworzenia danych, do których utracił dostęp w wyniku powierzenia ich przetwarzania […] - w piśmie z dnia […] grudnia 2021 r. wskazał jednak, że możliwe do uzyskania były jedynie informacje z Zakładu Ubezpieczeń Społecznych.

 

Informacja, iż nie doszło do zawarcia umowy powierzenia została powtórzona przez Administratora w piśmie z dnia […] grudnia 2021 r., a w wyjaśnieniach opatrzonych datą […] kwietnia 2022 r. wskazał on dodatkowo, że nie posiada żadnych dokumentów potwierdzających rozpoczęcie i zakończenie współpracy z […]. Fakt, iż w przedmiotowej sprawie doszło do naruszenia obowiązku zawarcia umowy powierzenia w odpowiedniej formie (tj. obowiązku, o którym mowa  w art. 28 ust. 9 rozporządzenia 2016/679) oraz o odpowiedniej treści (którą określa art. 28 ust. 3 rozporządzenia 2016/679) jest więc bezsporny. Z przekazanej przez Administratora informacji,  że naruszenie dotyczyło danych za okres od września 2017 r. do grudnia 2018 r., można wnioskować, że współpraca SOK i Podmiotu Przetwarzającego mogła się najwcześniej zakończyć w dniu […] grudnia 2018 r. - natomiast najpóźniej mogła się ona zakończyć w dniu […] czerwca 2020 r., kiedy to Pan K. G. prowadzący działalność gospodarczą pod firmą […] zmarł (co wynika z informacji zamieszczonej w Centralnej Ewidencji i Informacji o Działalności Gospodarczej Rzeczypospolitej Polskiej). Z określoną w ten sposób datą zakończenia współpracy można również wiązać moment zakończenia naruszenia przepisów rozporządzenia 2016/679 - przy uwzględnieniu faktu, że dostępność danych została przywrócona jedynie częściowo. Z kolei to, kiedy ta współpraca mogła się rozpocząć, pozostaje niejasne. Ze względu na fakt, iż w wyniku przekazania Podmiotowi Przetwarzającemu danych, Administrator utracił dostępność danych wynikających z rozliczeń z ZUS z okresu od września 2017 roku do grudnia 2018 roku, można przyjąć, iż naruszenie przepisów rozporządzenia 2016/679 trwało od dnia […] maja 2018 r., kiedy rozpoczęto stosowanie przepisów tego rozporządzenia.

 

W przedmiotowej sprawie należy podkreślić, że jednym ze skutków niespełnienia przez Administratora obowiązków z art. 28 ust. 1, 3 i 9 rozporządzenia 2016/679 jest brak możliwości odzyskania dostępu do wszystkich powierzonych Podmiotowi Przetwarzającemu danych osobowych.

 

Mając na uwadze powyższe ustalenia, Prezes Urzędu Ochrony Danych Osobowych, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. i) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a)-h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 ust. 4 lit. a) rozporządzenia 2016/679, mając na względzie okoliczności ustalone w przedmiotowym postępowaniu stwierdził, iż w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Administratora administracyjnej kary pieniężnej.

 

Zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 - 39 oraz 42 i 43  podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

W niniejszej sprawie administracyjna kara pieniężna wobec SOK nałożona została za naruszenie art. 28 ust. 1, 3 i 9 rozporządzenia 2016/679 na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a) rozporządzenia 2016/679, przy jednoczesnym uwzględnieniu treści art. 102 ust. 2 uodo, z którego wynika, że Prezes UODO może nałożyć, w drodze decyzji, administracyjne kary pieniężne  w wysokości do 10 000 złotych na jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 13 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2022 r., poz. 1634, ze zm.) - tj. państwowe i samorządowe instytucje kultury. Z art. 102 ust. 3 uodo wynika ponadto,  że administracyjne kary pieniężne, o których mowa między innymi w ust. 2, Prezes UODO nakłada na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679.

Decydując o nałożeniu na Administratora administracyjnej kary pieniężnej Prezes UODO stosownie do treści art. 83 ust. 2 lit. a-k rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, wpływające obciążająco i mające wpływ na wymiar nałożonej kary finansowej:

1. Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679) - przy wymierzaniu kary istotne znaczenie miała okoliczność, że w przedmiotowej sprawie doszło do naruszenia przepisów rozporządzenia 2016/679 nakładających na administratora jedne z jego podstawowych  i kluczowych dla bezpieczeństwa przetwarzanych danych osobowych obowiązków: weryfikacji podmiotu przetwarzającego oraz zawarcia umowy powierzenia w odpowiedniej formie i o stosownej treści. Co więcej, konsekwencją naruszenia przepisów art. 28 ust. 1, 3 i 9 rozporządzenia 2016/679 było naruszenie poufności i dostępności danych trzydziestu byłych i obecnych pracowników Administratora. Naruszenie to godzi pośrednio w interesy pracowników, których dane SOK powinien chronić, a ponadto może wiązać się z negatywnymi konsekwencjami w świetle przepisów innych dziedzin prawa (prawa pracy, ubezpieczeń społecznych, czy przepisów dotyczących rachunkowości). Rozważając aspekt celu przetwarzania, należy zaznaczyć, że obsługa kadrowa umów o pracę wymaga szczególnej staranności, przy czym występuje tu nierównowaga pomiędzy SOK (pracodawcą) a podmiotami danych (pracownikami). Stwierdzone w niniejszej sprawie naruszenie ww. przepisów ma znaczną wagę i poważny charakter, również dlatego, iż może doprowadzić do szkód majątkowych lub niemajątkowych dla osoby, której dane zostały naruszone, a prawdopodobieństwa ich wystąpienia nie można wykluczyć. Ponadto należy wziąć pod uwagę ryzyko wynikające z szerokiego zakresu danych objętych naruszeniem. Podkreślić należy, że  w stosunku do osób, których dane zostały naruszone w dalszym ciągu istnieje ryzyko niezgodnego z prawem posłużenia się ich danymi osobowymi, albowiem nie wiadomo nic na temat środków organizacyjnych i technicznych stosowanych przez […] celem zapewnienia bezpieczeństwa przetwarzania powierzonych danych, a także nie doszło do zwrotu danych, do których Administrator utracił dostęp w wyniku przedmiotowego powierzenia. Osoby, których dotyczą dane powierzone z naruszeniem wymogów z art. 28 ust. 1 rozporządzenia 2016/679, mogą więc  w dalszym ciągu doznać szkody majątkowej, a już samo naruszenie poufności danych stanowi również szkodę niemajątkową (krzywdę). Podmiot danych może bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową. Ponadto przedmiotowe naruszenie wiąże się z utratą władztwa nad danymi, które są potencjalnie potrzebne jego podmiotom (np. danymi o nabytych prawach pracowniczych) - właściwa weryfikacja Podmiotu Przetwarzającego pozwala zmniejszyć ryzyko powierzenia danych podmiotowi, który może ich nie zwrócić.

Choć na podstawie zebranego w sprawie materiału dowodowego utrudnione pozostaje precyzyjne określenie czasu trwania naruszenia, to jednak przyjąć należy, że czas trwania naruszenia był relatywnie długi. Jak wyżej wykazano, za jego początkową datę należy przyjąć chwilę rozpoczęcia stosowania przepisów rozporządzenia 2016/679 (tj. […] maja 2018 r.). Naruszenie zakończyć się mogło najwcześniej z końcem grudnia 2018 r., a najpóźniej z chwilą śmierci Pana K. G. - Podmiotu Przetwarzającego ([…] czerwca 2020 r.) - przy uwzględnieniu faktu, iż SOK nadal nie odzyskał dostępności niektórych danych.

Oceniając przesłankę z art. 83 ust. 2 lit. a rozporządzenia 2016/679, która ma ogólnie obciążający wpływ na wymiar kary, należy również zauważyć, że Administrator prowadzi działalność non-profit, społecznie użyteczną, a samorządowe instytucje kultury zostały potraktowane przez ustawodawcę w sposób szczególny poprzez obniżenie w art. 102 ust. 2 uodo maksymalnego wymiaru administracyjnej kary pieniężnej do kwoty 10.000 zł. Zakres przetwarzania jest niewielki (lokalny) i dotyczy relatywnie małej liczby osób - stąd liczba osób poszkodowanych również jest niewielka. Nie stwierdzono ponadto wystąpienia szkód materialnych (nie wpłynęły też zgłoszenia szkód niematerialnych) - jak wyżej wskazano, w spawie tej jednak nadal istnieje ryzyko ich wystąpienia.

2. Umyślny lub nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679) - ze zgromadzonego w przedmiotowej sprawie materiału dowodowego nie wynika, aby udostępnienie danych osobowych […] bez odpowiedniej weryfikacji tego podmiotu oraz bez zawarcia umowy powierzenia w przewidzianej prawem formie i o odpowiedniej treści, nastąpiło w wyniku działań, które były ukierunkowane na naruszenie rozporządzenia 2016/679. Lecz fakt, że nie udowodniono celowego działania administratora (wiedzy i woli dokonania naruszenia) nie jest w tym przypadku równoznaczny z przyjęciem, że przesłanki tej nie powinno się ocenić jako obciążającej. Stopień niedbalstwa wykazanego przez Administratora przy powierzeniu Podmiotowi Przetwarzającemu przetwarzania danych osobowych pracowników SOK jest bowiem rażący - świadczy o braku przestrzegania podstawowych zasad ochrony danych osobowych wynikającym z niewiedzy lub  z lekceważenia przepisów rozporządzenia 2016/679.

3. Stopień odpowiedzialności Administratora z uwzględnieniem środków technicznych  i organizacyjnych wdrożonych na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679) - ustalenia dokonane przez Prezesa UODO pozwalają na stwierdzenie, że Administrator nie dopełnił obowiązków określonych w art. 28 ust. 1 rozporządzenia 2016/679 (dotyczących weryfikacji, czy Podmiot Przetwarzający zapewniał wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi tego rozporządzenia i chroniło prawa osób, których dane dotyczą), a ponadto nie zawarł umowy powierzenia w przewidzianej prawem formie (art. 28 ust. 9 rozporządzenia 2016/679) i o wskazanej w art. 28 ust. 3 rozporządzenia 2016/679 treści. W wyniku nieformalnego powierzenia przetwarzania danych osobowych doszło nie tylko do utraty ich poufności, lecz również do utraty ich dostępności (w pewnym zakresie), za co odpowiedzialność ponosi Administrator. Nie sposób również stwierdzić, że do powierzenia przetwarzania danych osobowych doszło w zgodzie  z wprowadzonymi przez Administratora środkami organizacyjnymi (procedurami lub regulaminami stanowiącymi o obowiązku weryfikacji podmiotu przetwarzającego i określającymi sposób zawierania umów dotyczących powierzania przetwarzania danych osobowych), które zapewniałyby przestrzeganie wymogów z art. 28 rozporządzenia 2016/679.

4. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679) - dane osobowe, których przetwarzanie zostało powierzone w sposób niespełniający wymogów z art. 28 ust. 1, 3 i 9 rozporządzenia 2016/679, mają szeroki zakres (imiona i nazwiska, imiona rodziców, daty urodzenia, numery rachunków bankowych, adresy zamieszkania lub pobytu, numery ewidencyjne PESEL, adresy e-mail, dane dotyczące zarobków i/lub posiadanego majątku, nazwiska rodowe matki, serie i numery dowodów osobistych, numery telefonów, a także dane szczególnej kategorii w rozumieniu art. 9 rozporządzenia 2016/679: dane dotyczące zdrowia), co wiąże się również z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem. Należy podkreślić, iż w szczególności nieuprawnione ujawnienie takiej kategorii danych jak numer PESEL (w połączeniu z imieniem i nazwiskiem), może realnie i negatywnie wpływać na ochronę praw lub wolności osób fizycznych. Numer PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający datę urodzenia, numer porządkowy, oznaczenie płci (oraz liczbę kontrolną), a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga.

Ustalając wysokość administracyjnej kary pieniężnej nałożonej na SOK, Prezes UODO uwzględnił jako okoliczności łagodzące następujące przesłanki:

1. Działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679) - SOK nie otrzymał informacji o powstaniu szkód majątkowych po stronie osób dotkniętych naruszeniem. Wskazać należy,  że bezpośrednio po ujawnieniu naruszenia ochrony danych osobowych, jeszcze przed wszczęciem postępowania administracyjnego, SOK podjął czynności zmierzające do wyjaśnienia okoliczności powierzenia przetwarzania danych […] oraz odzyskania dostępności utraconych danych osobowych. W decyzji jako okoliczność obciążającą wskazano, że osoby, których dane dotyczą, mogą w dalszym ciągu doznać szkody majątkowej, a już samo naruszenie poufności danych stanowi również szkodę niemajątkową (krzywdę), jednak podjęcie działań mających na celu odzyskanie dostępności danych należało ocenić jako okoliczność łagodzącą - są to bowiem działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą.

2. Stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 (art. 83 ust. 2 lit. e rozporządzenia 2016/679) - do chwili wydania niniejszej decyzji Prezes UODO nie stwierdził naruszeń przepisów rozporządzenia 2016/679 przez Administratora;

3. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679) - SOK samodzielnie podjął szereg działań, mających na celu m.in. odzyskanie dostępu do utraconych danych - a co za tym idzie: złagodzenie jego ewentualnych negatywnych skutków.

4. Wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679) -Prezes UODO nie stwierdził  w toku niniejszego postępowania, że dopuszczając się naruszenia podlegającego karze SOK osiągnął jakiekolwiek korzyści finansowe lub uniknął jakichkolwiek strat finansowych.

Na fakt zastosowania wobec Administratora w niniejszej sprawie przez Prezesa UODO sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały wpływu inne, wskazane w art. 83 ust. 2 rozporządzenia 2016/679 okoliczności, to jest:

1. Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679) - Prezes UODO stwierdził naruszenie przepisów rozporządzenia 2016/679 w wyniku zgłoszenia naruszenia ochrony danych osobowych dokonanego przez Administratora, jednakże  w związku z tym, że Administrator dokonując tego zgłoszenia realizował jedynie ciążący na nim obowiązek prawny, brak jest podstaw do uznania, że okoliczność ta stanowi dla niego okoliczność łagodzącą. Zgodnie z Wytycznymi w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 Wp. 253 „Organ nadzorczy może dowiedzieć się o naruszeniu w wyniku postępowania, skarg, artykułów w prasie, anonimowych wskazówek lub powiadomienia przez administratora danych. Zgodnie z rozporządzeniem administrator ma obowiązek zawiadomić organ nadzorczy o naruszeniu ochrony danych osobowych. Zwykłe dopełnienie tego obowiązku przez administratora nie może być interpretowane jako czynnik osłabiający/łagodzący”.

2. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679) - w niniejszej sprawie nie zastosowano wcześniej wobec SOK środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679.

3. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679) - Administrator nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679.

Uwzględniając wszystkie omówione wyżej okoliczności, Prezes Urzędu Ochrony Danych Osobowych uznał, iż nałożenie administracyjnej kary pieniężnej na Administratora jest konieczne  i uzasadnione wagą oraz charakterem i zakresem zarzucanego temu podmiotowi naruszenia przepisów rozporządzenia 2016/679. Stwierdzić należy, iż zastosowanie wobec SOK jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b) rozporządzenia 2016/679), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że ww. podmiot w przyszłości nie dopuści się podobnych jak w sprawie niniejszej zaniedbań.

W ocenie Prezesa UODO nałożona na Sułkowicki Ośrodek Kultury z siedzibą w Sułkowicach administracyjna kara pieniężna w wysokości 2.500,- zł (słownie: dwa tysiące pięćset złotych), spełnia  w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna  i odstraszająca. W tym miejscu wskazać również należy na treść art. 102 ust. 2 uodo, z którego wynika ograniczenie wysokości (do 10 000 zł) kary, jaka może zostać nałożona na jednostkę sektora finansów publicznych, o której mowa w art. 9 pkt 13 wcześniej przywołanej ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych.

W ocenie Prezesa UODO nałożona na Administratora kara jest proporcjonalna do powagi naruszenia w kontekście podstawowego celu rozporządzenia 2016/679 - ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych.

Jednocześnie w ocenie Prezesa UODO kara w tej wysokości będzie skuteczna (osiągnie cel jakim jest ukaranie Administratora za poważne naruszenie o poważnych skutkach) i odstraszająca na przyszłość (spowoduje, że Administrator celem uniknięcia kolejnych sankcji zwróci należytą uwagę na przetwarzanie danych osobowych za pośrednictwem i przy pomocy Podmiotu Przetwarzającego).

Podsumowując powyższe w ocenie Prezesa UODO orzeczona w niniejszej sprawie administracyjna kara pieniężna spełnia w świetle całokształtu indywidualnych okoliczności sprawy przesłanki (funkcje kary), o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, ze względu na wagę stwierdzonego naruszenia w kontekście podstawowych wymogów i zasad rozporządzenia 2016/679.

Mając powyższe na uwadze Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak  w sentencji niniejszej decyzji.

 

Źródło: https://www.uodo.gov.pl/decyzje/DKN.5131.29.2022

 

Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 19 stycznia 2023 r.
Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 19 stycznia 2023 r.
Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 2 listopada 2022 r.
Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 2 listopada 2022 r.
Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 6 lipca 2022 r.
Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 6 lipca 2022 r.