Decyzja

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2022 r., poz. 2000) oraz art. 210a ust. 1 pkt 2 i 3 w zw. z art. 174a ust. 1 i 3 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2022 r., poz. 1648, dalej zwanej: „Prawem telekomunikacyjnym”) w zw. z art. 2 ust. 1 i 2 oraz art. 3 ust. 1, 3 i 4 rozporządzenia Komisji (UE) Nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej (Dz.Urz.UE.L.2013.173.2, dalej zwanego: „rozporządzeniem 611/2013”), a także art. 209 ust. 1a i art. 210 ust. 2 w zw. z art. 210a ust. 2 Prawa telekomunikacyjnego, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w przedmiocie naruszenia przez P4 Sp. z o.o. z siedzibą  w Warszawie przy ul. Wynalazek 1 przepisów Prawa telekomunikacyjnego, Prezes Urzędu Ochrony Danych Osobowych,

stwierdzając naruszenie przez P4 Sp. z o.o. z siedzibą w Warszawie przepisów art. 174a ust. 1 i 3 Prawa telekomunikacyjnego w zw. z art. 2 ust. 1 i 2 oraz art. 3 ust. 1, 3 i 4 rozporządzenia 611/2013, polegające na niezawiadomieniu Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu danych osobowych w terminie 24 godzin od wykrycia naruszenia danych osobowych oraz braku niezwłocznego powiadomienia o naruszeniu danych osobowych abonenta, którego dotyczyło naruszenie, nakłada na P4 Sp. z o.o. z siedzibą w Warszawie karę pieniężną w wysokości 250.000 PLN (słownie: dwieście pięćdziesiąt tysięcy złotych).

Uzasadnienie

Do Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej ,,Prezesem UODO”, dnia […] lutego 2022 r. wpłynęła informacja od Pana J. G., zwanego dalej ,,osobą trzecią”, przekazana pocztą elektroniczną z adresu e-mail: […], który oświadczył, że: ,,W dniu dzisiejszym otrzymałem maila z umową Play. Nie jestem klientem Play, umowa dotyczy innej osoby o tym samym nazwisku. Na umowie są wszystkie dane tej osoby łącznie z PESEL i nr dowodu”. Do ww. informacji osoba trzecia załączyła wiadomość elektroniczną otrzymaną od P4 Sp. z o.o., ul. Wynalazek 1, 02-677 Warszawa (zwanej dalej „Spółką” lub „Administratorem”), z której wynikało, że: „Zgodnie z życzeniem przesyłamy Pani/Panu/Państwu zestaw dokumentów do zamówienia nr […]”.

W związku z powyższą informacją, pismem z dnia […] lutego 2022 r., Prezes UODO zwrócił się do Spółki o udzielenie informacji na temat naruszenia danych osobowych z lutego 2022 r., polegającego na umożliwieniu nieuprawnionej osobie trzeciej wglądu do „(…) zestaw[u] dokumentów do zamówienia nr […]” oraz o przedstawienie oceny pod kątem obowiązku zgłoszenia naruszenia organowi nadzorczemu oraz zawiadomienia osoby, której dane dotyczą.

Z odpowiedzi, której Spółka udzieliła pismem z dnia […] marca 2022 r. […], wynika w szczególności, że:

1. Zamówienie numer […] dotyczy Pana J. G. (dalej: „Klient”). Klient w dniu […] lutego 2022 r. w Punkcie Obsługi Sprzedaży (dalej: „POS”) zawarł ze Spółką umowę o świadczenie usług telekomunikacyjnych numer […] dla numeru telefonu +48 […] (dalej: „Umowa”).
2. Oprócz danych niezbędnych do zawarcia umowy Klient wskazał również numer kontaktowy oraz adres e-mail do kontaktu: […].
3. Podczas procesu zawarcia Umowy wygenerowana została wiadomość e-mail zawierająca kopię Umowy wraz z załącznikami (Regulaminy i Cenniki). Wiadomość wysłana została na adres wskazany przez Klienta na Umowie.
4. W dniu […] lutego 2022 r. Klient wrócił do POS z informacją, iż adres wskazany na Umowie jest błędny i poprosił o jego usunięcie. Klient nie wskazał innego adresu e-mail do kontaktu. Spółka odnotowała ten fakt w zgłoszeniu numer […].
5. Spółka, po otrzymaniu wezwania od Prezesa UODO, skontaktowała się z pracownikiem POS, w którym doszło do zawarcia umowy z Klientem, z prośbą o wyjaśnienie przebiegu zdarzenia.
6. Spółka ustaliła, że gdy osoba zawierająca umowę poda adres e-mail do kontaktu podczas procesu podpisania umowy z wydrukiem dokumentów (do podpisania), to automatycznie generuje się wysyłka kopii dokumentów na wskazany adres e-mail. Można nie realizować wysyłki oznaczając specjalne pole w systemie sprzedażowym. Pracownik POS nie odznaczył tego pola i dlatego też e-mail z kopiami dokumentów został wysłany do Klienta.
7. Kopia Umowy wysłana została na adres zapisany w Umowie, podpisanej uprzednio przez Klienta. Podpisanie dokumentu jest sygnałem dla Administratora, że Spółka wysyłając wiadomość e-mail na adres wskazany w Umowie (nawet błędny) kontaktuje się z osobą, której dane dotyczą (na podstawie podpisanego dokumentu i potwierdzenia danych), nie zaś z inną osobą.
8. Spółka podziela stanowisko Prezesa UODO wyrażone w decyzji dotyczącej sprawy ZSPR.440.1090.2019 „[…] Każda osoba może dowolnie wskazać swój adres e-mail, gdyż to ona ponosi konsekwencje nieodebrania korespondencji kierowanej pod ten adres. Spółka nie ma zaś możliwości weryfikacji prawdziwości danych w zakresie adresu e-mail podanych przez klienta i kierując korespondencję pod inny, niż wskazany przez osobę zainteresowaną adres e-mail, zaniechałaby należytej staranności w kontaktach z tą osobą, co uniemożliwiałoby skuteczne doręczenie jej korespondencji tym kanałem kontaktu.[…]”.
9. Do dnia […] marca 2022 r. Spółka nie odnotowała informacji od Klienta o błędnej wysyłce i tym samym ujawnieniu jego danych osobowych osobie nieupoważnionej. Spółka nie odnotowała również sygnału od osoby trzeciej o ewentualnym, nieuprawnionym dostępie do danych osobowych Klienta w wyniku błędnej wysyłki. „W związku z powyższym Spółka nie ma podstaw do traktowania przedmiotowego zdarzenia jako naruszenia (…) danych osobowych”.

Podsumowując powyższe, ustalono, że pomimo:

- uzyskania w dniu […] lutego 2022 r. informacji od Klienta (J. G.) o błędnym wskazaniu przez niego w Umowie zawartej ze Spółką w dniu […] lutego 2022 r. adresu e-mail, na który została przesłana Umowa zawierająca dane osobowe, tj.: imię i nazwisko, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail (nieprawidłowy), serię i numer dowodu osobistego, numer telefonu (przy czym prośba o jego usunięcie została przez Spółkę odnotowana w zgłoszeniu numer xxxxxxxxx),

- otrzymania wezwania do złożenia wyjaśnień z dnia […] lutego 2022 r., w którym Prezes UODO wezwał Spółkę do udzielenia informacji na temat naruszenia danych z lutego 2022 r., polegającego na umożliwieniu nieuprawnionej osobie trzeciej wglądu do zestawu dokumentów do zamówienia nr [xxxxxxxxxx] oraz przedstawienia oceny tego zdarzenia pod kątem obowiązku zgłoszenia naruszenia organowi nadzorczemu oraz zawiadomienia osoby, której dane dotyczą,

Spółka stwierdziła, że nie ma podstaw do traktowania przedmiotowego zdarzenia jako naruszenia danych osobowych, dlatego też nie zgłosiła ww. naruszenia do Prezesa UODO oraz nie powiadomiła o nim Klienta (abonenta) zgodnie z art. 174a ust. 1 i 3 Prawa telekomunikacyjnego w związku odpowiednio: z art. 2 ust. 1 i 2 oraz art. 3 ust. 1, 3 i 4 rozporządzenia 611/2013.

Wobec braku zawiadomienia Prezesa UODO o naruszeniu danych osobowych oraz braku powiadomienia o nim Klienta (abonenta), którego dotyczyło naruszenie, w dniu […] kwietnia 2022 r. Prezes UODO wszczął wobec Spółki postępowanie administracyjne w tym przedmiocie (sygn. pisma: DKN.5131.18.2022).

Po otrzymaniu przez Spółkę zawiadomienia o wszczęciu postępowania administracyjnego, w dniu […] kwietnia 2022 r. pełnomocnik Spółki stawił się w Urzędzie Ochrony Danych Osobowych w celu dokonania wglądu w akta sprawy, a następnie w dniu […] kwietnia 2022 r. (co wynika ze wskazanego przez Administratora Urzędowego Poświadczenia Przedłożenia) Spółka przesłała do Prezesa UODO zgłoszenie naruszenia danych osobowych […] wraz z treścią listownego powiadomienia abonenta z dnia […] kwietnia 2022 r. o naruszeniu jego danych osobowych.

W przekazanym zgłoszeniu Spółka wskazała, m.in. że: ,,W dniu […] lutego 2022 r. P4 została poinformowana przez Prezesa Urzędu Ochrony Danych Osobowych (dalej: PUODO lub Urząd) o zdarzeniu związanym z przetwarzaniem danych osobowych podmiotu danych (pismo DKN [...]). W związku ze zdarzeniem P4 podjęła działania i czynności wyjaśniające, z których wynika, że:
a) w dniu […] lutego 2022 r. w Punkcie Obsługi Sprzedaży Partnera (dalej: POS) podmiot danych podpisał umowę o świadczenie usług telekomunikacyjnych (dalej: Umowa);
b) na Umowie został wskazany adres e-mail do kontaktu, który nie został przez podmiot danych w żaden sposób zakwestionowany przed jej podpisaniem, a podpisując Umowę podmiot danych potwierdził poprawność danych zawartych w Umowie (w tym adresu e-mail do kontaktu);
c) na wskazany adres e-mail została wysłana wiadomość zawierająca Umowę wraz załącznikami, pomimo, iż podmiot danych podpisał umowę w wersji papierowej w POS;
d) w dniu […] lutego 2022 r. podmiot danych zgłosił w POS, że adres wskazany na Umowie jest błędny i poprosił o jego usunięcie. Podmiot danych nie wskazał innego adresu e-mail do kontaktu;
e) w dniu […] lutego 2022 r. P4 otrzymała wezwanie PUODO do udzielenia wyjaśnień w sprawie powziętych przez Urząd informacji o naruszeniu (…) danych osobowych, polegającego na umożliwieniu nieuprawnionej osobie trzeciej wglądu do „[…] zestaw dokumentów do zamówienia numer [xxxxxxxxxx]”;
f)  P4 przeanalizowała sprawę i wysłała do PUODO odpowiedź w dniu […] marca 2022 r, opisując wynik analizy zdarzenia oraz mechanizm, w oparciu o który wysyłka wiadomości e-mail do podmiotu danych została wygenerowana. P4 wskazała również w piśmie powód niezakwalifikowania zdarzenia jako naruszenie (…) danych osobowych podmiotu danych;
g) w dniu […] kwietnia 2022 r. P4 otrzymała zawiadomienie od PUODO o wszczęciu postępowania (pismo DKN.5131.18.2922);
h) w dniu […] kwietnia 2022 r. Inspektor Ochrony Danych P4 (dalej: IOD) stawił się w Urzędzie w celu przeglądu akt sprawy.

Po pozyskaniu w wyniku przeglądu akt sprawy dodatkowych informacji (w szczególności treści zgłoszenia przekazanego do PUODO przez osobę trzecią, której Spółka wcześniej nie znała) oraz ponownej analizie zgromadzonego w sprawie materiału, w dniu […] kwietnia 2022 r. IOD stwierdził naruszenie (…) danych osobowych podmiotu danych”.

Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył co następuje:

Art. 174a ust. 2 i 4 Prawa telekomunikacyjnego wskazuje, że przez naruszenie danych osobowych rozumie się przypadkowe lub bezprawne zniszczenie, utratę, zmianę, nieuprawnione ujawnienie lub dostęp do danych osobowych przetwarzanych przez przedsiębiorcę telekomunikacyjnego w związku ze świadczeniem publicznie dostępnych usług telekomunikacyjnych, a przez naruszenie danych osobowych, które może wywrzeć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, rozumie się takie naruszenie, które w szczególności może skutkować nieuprawnionym posługiwaniem się danymi osobowymi, szkodą majątkową, naruszeniem dóbr osobistych, ujawnieniem tajemnicy bankowej lub innej ustawowo chronionej tajemnicy zawodowej.

Zgodnie z art. 174a ust. 1 Prawa telekomunikacyjnego dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia Prezesa UODO o naruszeniu danych osobowych w terminie i na zasadach określonych w rozporządzeniu 611/2013. Stosownie zaś do art. 2 ust. 1 i 2 rozporządzenia 611/2013, dostawca powiadamia właściwy organ krajowy o wszystkich przypadkach naruszenia danych osobowych, a powiadomienie o takim przypadku nastąpić ma nie później niż 24 godziny po wykryciu naruszenia danych osobowych, jeśli jest to wykonalne. W powiadomieniu skierowanym do właściwego organu krajowego dostawca zawiera informacje określone w załączniku I do rozporządzenia 611/2013. Uznaje się, że doszło do wykrycia naruszenia danych osobowych, gdy dostawca uzyskał wystarczającą wiedzę o zaistnieniu zdarzenia naruszającego ochronę, które doprowadziło do naruszenia danych osobowych, w celu przekazania zasadne powiadomienia zgodnie z wymogami niniejszego powiadomienia.

Z kolei art. 174a ust. 3 Prawa telekomunikacyjnego, stanowi, że w przypadku gdy naruszenie danych osobowych może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, dostawca publicznie dostępnych usług telekomunikacyjnych niezwłocznie zawiadamia o takim naruszeniu również abonenta lub użytkownika końcowego na zasadach określonych w rozporządzeniu 611/2013, z zastrzeżeniem ust. 5. Art. 3 ust. 1, 3 i 4 rozporządzenia 611/2013 stanowi z kolei, iż jeśli istnieje prawdopodobieństwo, że naruszenie danych osobowych wywoła niekorzystne skutki dla danych osobowych lub prywatności abonenta lub osoby fizycznej, dostawca, oprócz powiadomienia, o którym mowa w art. 2, powiadamia również o naruszeniu tego abonenta lub tę osobę fizyczną, a powiadomienie abonenta lub osoby fizycznej następuje bez zbędnej zwłoki po wykryciu naruszenia danych osobowych, jak określono w art. 2 ust. 2 akapit trzeci. Powyższe nie jest zależne od powiadomienia o naruszeniu danych osobowych skierowanego do właściwego organu krajowego, o którym mowa w art. 2. W powiadomieniu skierowanym do abonenta lub osoby fizycznej dostawca zawiera informacje określone w załączniku II do rozporządzenia 611/2013. Powiadomienie skierowane do abonenta lub osoby fizycznej sformułowane jest w sposób jasny i łatwo zrozumiały, a dostawca nie wykorzystuje powiadomienia jako okazji do promowania lub reklamowania nowych lub dodatkowych usług. W motywie 12 preambuły rozporządzenia 611/2013 wyjaśniono, że przy ocenie, czy naruszenie danych osobowych może pociągnąć za sobą niekorzystne skutki dla danych osobowych lub prywatności abonenta lub osoby fizycznej, należy w szczególności uwzględnić charakter i treść przedmiotowych danych osobowych, zwłaszcza w przypadku, gdy dane dotyczą informacji finansowych, takich jak informacje związane z kartą kredytową i rachunkiem bankowym; szczególne kategorie danych, o których mowa w art. 8 ust. 1 dyrektywy 95/46/WE; oraz niektóre dane szczególnie związane ze świadczeniem usług telefonicznych lub internetowych, np. dane dotyczące poczty elektronicznej, dane dotyczące lokalizacji, internetowe pliki rejestru, rejestry przeszukiwanych stron internetowych i wykazy wykonanych usług telekomunikacyjnych. Kwestie te uregulowano bardziej precyzyjnie w art. 3 
ust. 2 rozporządzenia 611/2013, który zostanie przytoczony w dalszej części uzasadnienia niniejszej decyzji.

W przedmiotowej sprawie doszło do naruszenia danych osobowych polegającego na udostępnieniu osobie trzeciej przez Spółkę poprzez wiadomość e-mail danych abonenta zawartych  w Umowie. W takiej sytuacji znajdują zastosowanie przepisy art. 174a ust. 1 Prawa telekomunikacyjnego w związku z art. 2 ust. 1 i 2 rozporządzenia 611/2013, zgodnie z którymi Spółka powinna była powiadomić Prezesa UODO o zaistniałym naruszeniu danych osobowych nie później niż 24 godziny po jego wykryciu (przy czym należy podkreślić, że zgodnie z art. 2 ust. 1 ww. rozporządzenia obowiązek zawiadomienia organu nadzorczego dotyczy każdego wykrytego naruszenia danych osobowych).

Co więcej, naruszenie to (prowadzące do przypadkowego, nieuprawnionego ujawnienia osobie trzeciej danych osobowych przetwarzanych przez przedsiębiorcę telekomunikacyjnego w związku ze świadczeniem publicznie dostępnych usług telekomunikacyjnych), może wywrzeć niekorzystny wpływ na prawa abonenta, w szczególności może skutkować nieuprawnionym posługiwaniem się danymi osobowymi, szkodą majątkową, naruszeniem dóbr osobistych - w związku z czym, Spółka powinna była po wykryciu naruszenia bez zbędnej zwłoki powiadomić o nim również Klienta, aby umożliwić mu podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia (art. 174a ust. 3 Prawa telekomunikacyjnego w związku z art. 3 ust. 1, 3 i 4 rozporządzenia 611/2013).

Wyżej wymienione przepisy precyzyjnie wskazują termin, w którym dostawcy publicznie dostępnych usług telekomunikacyjnych (którym jest również Spółka) są zobowiązani zawiadamiać właściwy organ krajowy (Prezesa UODO) o naruszeniu danych osobowych (nie później niż 24 godziny po jego wykryciu), a także wskazują, że powiadomienie abonenta o zaistniałym naruszeniu powinno nastąpić bez zbędnej zwłoki po jego wykryciu. Podstawową kwestią wymagającą wyjaśnienia w przedmiotowej sprawie jest więc to, kiedy - zgodnie z zasadami logiki i przepisami prawa - Spółka powinna była wykryć naruszenie.

Jak już wyżej wskazano, uznaje się, że doszło do wykrycia naruszenia danych osobowych, gdy dostawca uzyskał wystarczającą wiedzę o zaistnieniu zdarzenia naruszającego ochronę, które doprowadziło do naruszenia danych osobowych, w celu przekazania powiadomienia zgodnie z wymogami wynikającymi z właściwych przepisów. W przedmiotowej sprawie, Spółka uzyskała informacje, które po ich przeanalizowaniu pozwoliłyby na wykrycie naruszenia danych osobowych aż dwukrotnie:

1) po raz pierwszy, w dniu […] lutego 2022 r., kiedy to Klient (J. G.) wrócił do POS z informacją, iż adres e-mail wskazany przez niego podczas procesu podpisania Umowy jest błędny i poprosił o jego usunięcie, co zostało przez Spółkę odnotowane w zgłoszeniu numer xxxxxxxxx; analiza uzyskanej od Klienta informacji o błędnym adresie e-mail w zestawieniu z wiedzą o tym, że podanie przez osobę zawierającą umowę ze Spółką adresu e-mail do kontaktu podczas procesu podpisania umowy z wydrukiem dokumentów (do podpisania) powoduje automatyczne generowanie kopii dokumentów do wysyłki na podany adres, pozwalała Spółce na wykrycie naruszenia;

2) po raz drugi, w dniu […] lutego 2022 r., kiedy to Spółka odebrała wezwanie do złożenia wyjaśnień z dnia […] lutego 2022 r., w którym Prezes UODO wezwał Spółkę do udzielenia informacji na temat naruszenia danych z lutego 2022 r., polegającego na umożliwieniu nieuprawnionej osobie trzeciej wglądu do zestawu dokumentów do zamówienia nr [xxxxxxxxxx] oraz przedstawienia oceny pod kątem obowiązku zgłoszenia naruszenia organowi nadzorczemu oraz zawiadomienia osoby, której dane dotyczą, co - zwłaszcza w połączeniu z ww. wcześniej uzyskanymi na ten temat przez Spółkę informacjami - powinno było skutkować wykryciem naruszenia.

Zdaniem Prezesa UODO już uzyskanie w dniu […] lutego 2022 r. informacji wskazanych w pkt 1 (tj. o błędnie wskazanym przez Klienta adresie e-mail wraz z wiedzą o obowiązującej procedurze wysyłki dokumentów w formie elektronicznej) było wystarczające do wykrycia naruszenia danych osobowych (przy czym, nawet gdyby wiązać ten moment z chwilą uzyskania informacji wskazanych w ww. pkt 2, nie ma to żadnego wpływu na konieczność wymierzenia kary w niniejszej sprawie, jako że czas trwania naruszenia jest w każdym z tych przypadków długi). Tymczasem Spółka zawiadomiła Prezesa UODO o naruszeniu danych osobowych dopiero w dniu […] kwietnia 2022 r. - po wszczęciu postępowania administracyjnego w przedmiotowej sprawie (o którym została poinformowana pismem z dnia […] kwietnia 2022 r.) i po dokonaniu wglądu w akta sprawy - z jej wyjaśnień zawartych w rubryce 4A formularza zgłoszenia naruszenia danych osobowych wynika, że do stwierdzenia naruszenia doszło w dniu […] kwietnia 2022 r.: „[p]o pozyskaniu w wyniku przeglądu akt sprawy dodatkowych informacji (w szczególności treści zgłoszenia przekazanego do PUODO przez osobę trzecią, której Spółka wcześniej nie znała) oraz ponownej analizie zgromadzonego w sprawie materiału (…)”. Analiza treści pisma skierowanego przez osobę trzecią do Prezesa UODO pozwala jednak stwierdzić, że nie zawiera ona żadnych dodatkowych informacji istotnych dla możliwości wykrycia naruszenia danych osobowych przez Spółkę dysponującą już wówczas informacjami, o których mowa w pkt 1 i 2 powyżej. W piśmie tym (które wpłynęło w formie wiadomości e-mail) osoba trzecia wskazała, że »W dniu dzisiejszym otrzymałem maila z umową Play. Nie jestem klientem Play, umowa dotyczy innej osoby o tym samym nazwisku. Na umowie są wszystkie dane tej osoby łącznie z PESEL i nr dowodu. Co najgorsze Play nie udostępnia żadnej prostej możliwości zgłoszenia tego faktu - wysyła wiadomość z adresu no-reply na który nie da się odpisać. A mimo to w stopce umieszcza "prośbę" aby "Przypadkowy i/lub omyłkowy odbiorca tej wiadomości niezwłocznie powiadomił nadawcę" - mimo, że odpisanie na tego maila jest fizycznie niemożliwe. Z kolei "ostrzeżenie", że wiadomość może zawierać tajemnice przedsiębiorstwa, bez zająknięcia się o tym, że może też zawierać tajemnice klientów jest zwyczajnie żenująca w kontekście tej sytuacji «.

Do powyższego załączono również wiadomość e-mail, która trafiła do tej osoby od Spółki.

Spółka nie przeprowadziła po uzyskaniu informacji, o której mowa w pkt 1 powyżej, analizy, która skutkowałaby prawidłowym rezultatem, tj. wykryciem naruszenia danych osobowych. Nie dokonała tego również po uzyskaniu informacji, o której mowa w ww. pkt 2. W rezultacie tych zaniechań Administrator nie tylko nie zawiadomił Prezesa UODO o naruszeniu danych osobowych w terminie wynikającym z art. 2 ust. 2 rozporządzenia 611/2013, ale nie spełnił również bez zbędnej zwłoki obowiązku powiadomienia Klienta o naruszeniu, aby umożliwić mu podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia (art. 174a ust. 3 Prawa telekomunikacyjnego w związku z art. 3 ust. 1, 3 i 4 rozporządzenia 611/2013), pomimo że w przedmiotowej sprawie istnieje prawdopodobieństwo, że naruszenie danych osobowych wywoła niekorzystne skutki dla danych osobowych lub prywatności abonenta. Prawdopodobieństwo to (zgodnie z art. 3 ust. 2 rozporządzenia 611/2013) ocenia się, biorąc pod uwagę w szczególności następujące okoliczności:

a) charakter i treść odnośnych danych osobowych, zwłaszcza jeśli dane te związane są z informacjami finansowymi, szczególnymi kategoriami danych, o których mowa w art. 8 ust. 1 dyrektywy 95/46/WE, danymi dotyczącymi poczty elektronicznej, danymi dotyczącymi lokalizacji, internetowymi plikami rejestru, rejestrami przeszukiwanych stron internetowych i wykazami wykonanych usług telekomunikacyjnych;
b) prawdopodobne konsekwencje naruszenia danych osobowych dla danego abonenta lub osoby fizycznej, szczególnie jeżeli naruszenie mogłoby skutkować kradzieżą lub sfałszowaniem tożsamości, uszkodzeniem ciała, cierpieniem psychicznym, upokorzeniem lub naruszeniem dobrego imienia; oraz
c) okoliczności, w jakich doszło do naruszenia danych osobowych, w szczególności to, gdzie skradziono dane oraz kiedy dostawca dowiedział się, że dane są w posiadaniu nieupoważnionej strony trzeciej.

W przedmiotowej sprawie naruszenie dotyczyło danych osobowych Klienta zawartych w Umowie, tj. jego: imienia i nazwiska, adresu zamieszkania lub pobytu, numeru ewidencyjnego PESEL, serii i numeru dowodu osobistego, a także numeru telefonu. Należy podkreślić, iż w szczególności nieuprawnione ujawnienie takiej kategorii danych jak numer PESEL (w połączeniu z imieniem i nazwiskiem), może realnie i negatywnie wpływać na ochronę praw lub wolności osób fizycznych (vide: https://www.bik.pl/poradnik-bik/wyludzenie-kredytu-tak-dzialaja-oszusci - gdzie opisano przypadek, w którym: „Tylko imię, nazwisko i numer PESEL wystarczyły oszustom, by wyłudzić kilkanaście kredytów w sumie na dziesiątki tysięcy złotych. Nic więcej się nie zgadzało: ani numer dowodu osobistego, ani adres zamieszkania”). Numer PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający datę urodzenia, numer porządkowy, oznaczenie płci (oraz liczbę kontrolną), a więc ściśle powiązany ze sferą prywatną osoby fizycznej, jest daną o szczególnym charakterze i wymaga szczególnej ochrony. Nie bez znaczenia dla oceny prawdopodobieństwa, że naruszenie danych osobowych wywoła niekorzystne skutki dla danych osobowych lub prywatności abonenta, jest również możliwość łatwej (w oparciu o ujawnione dane) identyfikacji osoby, której dane zostały objęte naruszeniem. Ujawnienie danych Klienta w ww. zakresie może w ocenie Prezesa UODO skutkować niektórymi z konsekwencji wskazanych w lit. b) powyżej (np. kradzieżą tożsamości czy naruszeniem dobrego imienia). Oceniając natomiast okoliczności wskazane w lit. c) powyżej, należy jedynie dodatkowo zaznaczyć, iż naruszenie danych osobowych może mieć miejsce również wtedy, gdy za zaistnienie jego przyczyn Administrator nie ponosi winy (np. w sytuacji błędu popełnionego przez podmiot danych).

Stosownie do art. 3 ust. 6 zdanie pierwsze rozporządzenia 611/2013, dostawca powiadamia abonenta lub osobę fizyczną o naruszeniu danych osobowych, używając środków komunikacji zapewniających szybkie dotarcie informacji i odpowiednio zabezpieczonych. Administrator powinien zrealizować przedmiotowy obowiązek bez zbędnej zwłoki (art. 3 ust. 3 ww. rozporządzania) - tymczasem Spółka poinformowała abonenta dopiero w dniu […] kwietnia 2022 r. Celem tego przepisu jest umożliwienie osobie, której danych dotyczyło naruszenie, podjęcia adekwatnych kroków w celu zabezpieczenia swoich interesów (co Spółka jako administrator powinna swojemu Klientowi umożliwić, nawet jeśli nie ponosi winy za zaistnienie naruszenia danych osobowych).

Rozważając znaczenie okoliczności, iż do naruszenia danych osobowych doszło w wyniku błędu Klienta (który przekazał w punkcie POS nieprawidłowy adres e-mail), dla oceny, czy w niniejszej sprawie Administrator powinien był spełnić obowiązek zawiadomienia Prezesa UODO o tym naruszeniu i powiadomienia o nim również Klienta, nie wolno zapominać, że skutkiem wysyłki wiadomości e-mail na ten nieprawidłowo podany adres jest udostępnienie szerokiego zakresu danych osobowych Klienta osobie trzeciej (naruszenie poufności danych). Bezprzedmiotowe jest tu powoływanie się przez Spółkę w piśmie z dnia […] marca 2022 r. na fragment wydanej przez Prezesa UODO decyzji (cyt.): »Spółka podziela stanowisko PUODO wyrażone w decyzji dotyczącej sprawy ZSPR.440.1090.2019 „[…] Każda osoba może dowolnie wskazać swój adres e-mail, gdyż to ona ponosi konsekwencje nieodebrania korespondencji kierowanej pod ten adres. Spółka nie ma zaś możliwości weryfikacji prawdziwości danych w zakresie adresu e-mail podanych przez klienta i kierując korespondencję pod inny, niż wskazany przez osobę zainteresowaną adres e-mail, zaniechałaby należytej staranności w kontaktach z tą osobą, co uniemożliwiałoby skuteczne doręczenie jej korespondencji tym kanałem kontaktu.[…]”«. Po pierwsze, faktem jest, że Administrator nie uzyskawszy wiedzy, iż podany przez klienta adres e-mail jest nieprawidłowy, nie ma podstaw by nie kierować na ten adres korespondencji. Jeśli jednak Spółka poweźmie informację o tym, że podany przez klienta adres, na który wysłała dokument zawierający dane osobowe, mógł być błędny, powinna dokonać stosownej analizy w celu wykrycia naruszenia danych osobowych. Podkreślić także należy, że w niniejszej sprawie fakt udostępnienia danych Klienta zawartych w Umowie osobie nieuprawnionej jest bezsporny. Okoliczność, iż adres e-mail został nieprawidłowo podany przez samego Klienta nie niweluje skutków błędnej wysyłki wiadomości, tj. zaistnienia naruszenia danych osobowych. Spółka powinna była więc zgłosić przedmiotowe naruszenie Prezesowi UODO nie później niż 24 godziny od jego wykrycia, a Klienta powiadomić o nim bez zbędnej zwłoki, jako że istniało prawdopodobieństwo, że wywoła ono niekorzystne skutki dla danych osobowych lub prywatności Klienta.

Dodatkowo należy tylko zauważyć, że w powyższym kontekście zupełnie niezrozumiała jest argumentacja Spółki zawarta w ww. piśmie, iż: ,,[…] do dnia […] marca 2022 r. nie odnotowała informacji od Klienta o błędnej wysyłce i tym samym ujawnieniu jego danych osobowych osobie nieupoważnionej. Spółka nie odnotowała również sygnału od osoby trzeciej o ewentualnym, nieuprawnionym dostępie do danych osobowych Klienta w wyniku błędnej wysyłki. W związku z powyższym Spółka nie ma podstaw do traktowania przedmiotowego zdarzenia jako naruszenia (…) danych osobowych”. Odnosząc się do argumentu dotyczącego braku informacji pochodzącej od nieuprawnionego odbiorcy, należy jedynie wskazać, że Administrator wysyłając w wiadomości elektronicznej osobie nieuprawnionej, umowę o świadczenie usług telekomunikacyjnych Klienta, nie wskazał tej osobie odpowiednich procedur umożliwiających poinformowanie Spółki o zaistniałym zdarzeniu. Osoba trzecia wskazała Prezesowi UODO w wiadomości z […] lutego 2022 r., że: »Co najgorsze Play nie udostępnia żadnej prostej możliwości zgłoszenia tego faktu - wysyła wiadomość z adresu no-reply na który nie da się odpisać. A mimo to w stopce umieszcza „prośbę” aby „Przypadkowy i/lub omyłkowy odbiorca tej wiadomości niezwłocznie powiadomił nadawcę” - mimo, że odpisanie na tego maila jest fizycznie niemożliwe«. Dodatkowo, Spółka zamieściła w wiadomości elektronicznej do osoby nieuprawnionej informację, że: „Przypadkowy i/lub omyłkowy odbiorca tej wiadomości proszony jest o niezwłoczne powiadomienie nadawcy, i usunięcie jej z systemu”. Okoliczności te wskazują na konieczność wprowadzenia przez Spółkę odpowiednich zmian organizacyjnych lub technicznych, które umożliwiałyby dokonywanie zgłoszeń przez przypadkowych odbiorców wiadomości nadawanych przez Administratora. Zwiększałoby to szanse na wykrywanie naruszeń danych osobowych i spełnianie przez Spółkę obowiązków z nimi związanych.

Jako że nie ma możliwości eliminacji ryzyka, w sytuacji gdy osoby zawierające z Administratorem umowy o świadczenie usług telekomunikacyjnych podadzą błędny adres e-mail (którego to ryzyka Spółka powinna mieć świadomość dopuszczając możliwość wykorzystania do komunikacji z klientem poczty elektronicznej), uzasadnione byłoby wprowadzenie przez Spółkę dodatkowych środków technicznych i organizacyjnych zmniejszających lub eliminujących ryzyko naruszenia danych osobowych w sytuacji wysyłki dokumentów na taki adres (np. zabezpieczenie przesyłanego pliku hasłem dostępowym podawanym klientowi innym kanałem komunikacji, czy wprowadzenie podwójnej weryfikacji adresu e-mail). Konieczność tę (oraz to, że dotychczas stosowane środki nie działały w sposób prawidłowy) wydaje się dostrzegać również Spółka, która w rubryce 9B formularza zgłoszenia naruszenia danych osobowych jako środki bezpieczeństwa zastosowane lub proponowane w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia wskazała: „Weryfikacja oraz ewentualna modyfikacja mechanizmu i zasad wysyłki wiadomości  e-mail zawierających dokumenty z danymi klientów”. Dotychczasowy sposób przetwarzania danych osobowych przez Spółkę w zakresie w jakim wystąpiło naruszenie generuje bowiem ryzyko ponownego wystąpienia takich naruszeń.

Spółka niejednokrotnie informowała Prezesa UODO, że przykłada ogromną wagę do starannej realizacji obowiązku regulacyjnego jakim jest zgłaszanie naruszeń danych osobowych. Wprowadziła nowe środki techniczne i organizacyjne, tj. rozpoczęła wysyłkę do Prezesa UODO zgłoszeń o naruszeniach w formie elektronicznej, za pośrednictwem platformy ePUAP (narzędzie, które umożliwiło szybkie zgłoszenie naruszenia do organu nadzorczego). W tym jednak przypadku nie spełniła w terminach wynikających z właściwych przepisów swoich obowiązków związanych z zawiadomieniem organu nadzorczego o naruszeniu oraz powiadomieniem o nim Klienta. Biorąc pod uwagę skalę zgłaszanych przez Spółkę naruszeń, powinna rosnąć świadomość wagi ochrony danych osobowych - procesu wymagającego zaangażowania, czasu, pracy ludzi i poświęconych środków.

Podsumowując ustalenia dokonane w niniejszej sprawie przez Prezesa UODO, należy stwierdzić, że Spółka nie zawiadomiła Prezesa UODO o naruszeniu danych osobowych w terminie określonym w art. 174a ust. 1 Prawa telekomunikacyjnego w związku z art. 2 ust. 1 i 2 rozporządzenia 611/2013, a także nie powiadomiła abonenta o naruszeniu bez zbędnej zwłoki po jego wykryciu, stosownie do art. 174a ust. 3 Prawa telekomunikacyjnego w związku z art. 3 ust. 1, 3 i 4 rozporządzenia 611/2013. Nadrzędnym celem każdego zawiadomienia organu nadzorczego o naruszeniu jest ochrona praw lub wolności osób fizycznych - tymczasem Administrator, po uzyskaniu informacji o podaniu przez Klienta błędnego adresu e-mail oraz po otrzymaniu wezwania do złożenia wyjaśnień skierowanego do niego w dniu […] lutego 2022 r. przez Prezesa UODO, nie zawiadomił o naruszeniu organu nadzorczego oraz nie poinformował o nim osoby, której dane dotyczą (we właściwych terminach). Tym samym pozbawił w praktyce tę osobę, przekazanej bez zbędnej zwłoki, rzetelnej informacji o naruszeniu i możliwości przeciwdziałania potencjalnym jego skutkom.

Dokonując ww. podsumowania, należy również zaznaczyć, że zaistniałe naruszenie wiąże się także z naruszeniem ochrony podstawowych praw i wolności, w szczególności prawa do prywatności i poufności, w odniesieniu do przetwarzania danych osobowych w sektorze łączności elektronicznej, co wyraźnie podnosi wagę naruszenia i uzasadnia jego surowszą karę.

Stosownie do art. 210a ust. 1 pkt 2 i 3 Prawa telekomunikacyjnego, kto nie wypełnia obowiązku informacyjnego: względem Prezesa UODO, o którym mowa w art. 174a ust. 1 lub względem abonenta lub użytkownika końcowego, o którym mowa w art. 174a ust. 3, podlega karze pieniężnej nakładanej przez Prezesa UODO w wysokości do 3% przychodu ukaranego podmiotu osiągniętego w poprzednim roku kalendarzowym. W myśl art. 210a ust. 2 Prawa telekomunikacyjnego, do kar nakładanych na podstawie ust. 1 tego przepisu stosuje się odpowiednio przepisy art. 209 ust. 1a-3 oraz art. 210 Prawa telekomunikacyjnego. Uprawnienia Prezesa UKE określone w tych przepisach przysługują Prezesowi UODO. Zgodnie natomiast z art. 209 ust. 1a Prawa telekomunikacyjnego, stosowanym na podstawie art. 210a ust. 2 tej ustawy do kar pieniężnych nakładanych przez Prezesa UODO, kara, o której mowa w ust. 1 i 1¹ tego przepisu, może zostać nałożona także w przypadku, gdy podmiot zaprzestał naruszania prawa lub naprawił wyrządzoną szkodę, jeżeli Prezes UKE (a w przypadku naruszeń danych osobowych - Prezes UODO) uzna, że przemawiają za tym czas trwania, zakres lub skutki naruszenia. W niniejszej sprawie Spółka, dokonując w dniu […] kwietnia 2022 r. zgłoszenia Prezesowi UODO naruszenia danych osobowych Klienta i spełniając w tym samym dniu obowiązek informacyjny względem Klienta, niewątpliwie zaprzestała naruszania prawa. Usunęła stan naruszenia polegający na niezawiadomieniu Prezesa UODO - w terminie 24 godzin po wykryciu naruszenia - oraz Klienta - niezwłocznie po jego wykryciu - o naruszeniu danych osobowych Klienta. Jednakże zakres naruszenia, czas jego trwania oraz jego skutki uzasadniają - w ocenie Prezesa UODO - konieczność nałożenia na Spółkę kary pieniężnej, która ma spełnić w odniesieniu do Spółki funkcję represyjną, prewencyjną oraz dyscyplinującą ją do przestrzegania przepisów prawa w zakresie ochrony danych osobowych, a w stosunku do innych podmiotów również funkcję prewencyjną - polegającą na zniechęceniu ich do dokonywania tego typu naruszeń w przyszłości.

Odnosząc się do czasu trwania naruszenia, jego zakresu i skutków uzasadniających konieczność nałożenia na Spółkę w niniejszej sprawie kary pieniężnej, o których to przesłankach mowa jest w art. 209 ust. 1a Prawa telekomunikacyjnego, Prezes UODO stwierdza co następuje:

Czas trwania naruszenia.
W ocenie Prezesa UODO za koniecznością nałożenia w niniejszej sprawie na Spółkę kary pieniężnej przemawia czas trwania naruszenia. Zdaniem Prezesa UODO już w dniu […] lutego 2022 r., to jest w dacie uzyskania od Klienta informacji o błędnie wskazanym przez niego adresie e-mail, Spółka wykryła (a co najmniej powinna była wykryć zakładając odpowiedni poziom staranności wymaganej dla działalności nierozerwalnie związanej z przetwarzaniem danych osobowych i w połączeniu z wiedzą o obowiązującej procedurze wysyłki dokumentów potwierdzających zawarcie umowy na wskazany przez klienta adres e-mail) naruszenie danych osobowych Klienta. Między datą wykrycia naruszenia ([…] lutego 2022 r.) a datą zawiadomienia zarówno Prezesa UODO, jak i Klienta, o naruszeniu danych osobowych ([…] kwietnia 2022 r.) upłynęły prawie dwa miesiące, w trakcie których możliwe było bezprawne użycie danych osobowych Klienta w celach naruszających jego prawa i interesy. Nawet zakładając, że Spółka wykryła naruszenie danych osobowych swojego Klienta dopiero w dniu […] lutego, to jest w dacie otrzymania wezwania Prezesa UODO do udzielenia informacji na temat naruszenia danych osobowych stanowiącego przedmiot niniejszej sprawy, to okres ten jest - w ocenie Prezesa UODO - również długi - wystarczający do bezprawnego użycia danych osobowych Klienta. W okresie tym Klient nie był w stanie, nie wiedząc o fakcie naruszenia jego danych osobowych, podjąć żadnych kroków mających na celu ochronę swoich praw i interesów. Również Prezes UODO nie mógł podjąć w tym okresie i w tym samym celu żadnych działań. Warte podkreślenia w ocenie Prezesa UODO jest również to, że zawiadomienie Prezesa UODO i samego Klienta o naruszeniu ochrony jego danych, miało miejsce nie w wyniku prawidłowego działania obowiązujących w Spółce procedur, ale dopiero na skutek wszczęcia przez Prezesa UODO postępowania w tej sprawie i po otrzymaniu wezwania Prezesa UODO z […] lutego 2022 r. do złożenia wyjaśnień w sprawie.

Zakres naruszenia.
O naruszeniu danych osobowych stanowiącym przedmiot niniejszej sprawy (to jest o udostępnieniu osobie trzeciej danych osobowych przetwarzanych przez Spółkę działającą jako administrator tychże danych), Prezes UODO nie został poinformowany w terminie zgodnie z przewidzianą procedurą określoną w art. 174a ust. 1 Prawa telekomunikacyjnego w zw. z art. 2 ust. 1 i 2 rozporządzenia 611/2013. Fakt braku terminowego zawiadomienia Prezesa UODO o naruszeniu danych osobowych przez Administratora pomimo istnienia takiego obowiązku - w sytuacji dwukrotnego uzyskania informacji pozwalających na wykrycie naruszenia danych osobowych - należy uznać za okoliczność obciążającą (zwłaszcza, że posiadane przez Spółkę już na dzień […] lutego 2022 r. informacje były wystarczające do wykrycia przez nią zaistniałego naruszenia danych osobowych).

Administrator każdorazowo powinien dochowywać należytej staranności przy przetwarzaniu danych osobowych swoich abonentów (tym bardziej z uwagi na konieczność ochrony tajemnicy telekomunikacyjnej). Ich ujawnienie w tak szerokim zakresie, jak w przedmiotowej sprawie, wiąże się dodatkowo z prawdopodobieństwem, że naruszenie to wywoła niekorzystne skutki dla danych osobowych lub prywatności abonenta - niesie bowiem za sobą potencjalne ryzyko posłużenia się tymi danymi przez osoby nieuprawnione, w następstwie czego osoby te mogą działać na szkodę majątkową i niemajątkową osoby, której dotyczą dane objęte naruszeniem.

W wyniku nieprawidłowo przeprowadzonych czynności wyjaśniających, w efekcie których Spółka nie zakwalifikowała zaistniałego zdarzenia jako naruszenia danych osobowych, początkowo nie tylko nie zawiadomiono o naruszeniu danych osobowych Prezesa UODO, ale również nie powiadomiono o nim abonenta. Stało się tak - jak należy powtórzyć: pomimo dwukrotnego otrzymania przez Administratora informacji, które powinny były być przyczynkiem do dokonania analizy przedmiotowego zdarzenia (w tym również prawdopodobieństwa, że wywoła ono niekorzystne skutki dla danych osobowych lub prywatności Klienta).

Dane osobowe, do których dostęp uzyskała osoba trzecia, a których dotyczyło zgłoszone przez Administratora w dniu […] kwietnia 2022 r. naruszenie danych osobowych, mają szeroki zakres (imię i nazwisko, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, seria i numer dowodu osobistego oraz numer telefonu). W tej sytuacji istnieje prawdopodobieństwo, że naruszenie danych osobowych może mieć niekorzystne skutki dla danych osobowych lub prywatności abonenta - ich ujawnienie może skutkować np. kradzieżą lub sfałszowaniem tożsamości lub naruszeniem dobrego imienia (o których mowa w art. 3 ust. 2 lit. b rozporządzenia 611/2013). Spółka powinna była więc powiadomić Klienta o naruszeniu poufności jego danych osobowych bez zbędnej zwłoki po wykryciu naruszenia danych osobowych (art. 3 ust. 1 i 3 rozporządzenia 611/2013).

Obowiązek powiadomienia abonenta o zaistniałym naruszeniu danych osobowych jest niezależny od obowiązku zawiadomienia o nim Prezesa UODO, a łączne niespełnienie obu tych obowiązków musi być oceniane surowiej.

Zgodnie z ugruntowanym stanowiskiem doktryny wypracowanym na gruncie ustawy-Prawo telekomunikacyjne: „zakres naruszenia należy ustalać z uwzględnieniem podstawowych celów ustawy, biorąc pod uwagą głównie elementy szkodliwości o charakterze przedmiotowym. Dotyczą one rodzaju naruszonych obowiązków, rodzaju naruszonych dóbr, intensywności naruszenia oraz wartości społecznych i ekonomicznych, następstw czynu objętego karą finansową, wysokości spowodowanej szkody, sposobu działania” (S. Piątek, Prawo telekomunikacyjne. Komentarz, Komentarz do art. 210 ust. 2, Warszawa 2019, wyd. 4, Legalis). Do podstawowych celów ustawy,
o których mowa powyżej, zaliczyć należy zapewnienie użytkownikom maksymalnych korzyści w zakresie różnorodności, ceny i jakości usług telekomunikacyjnych (art. 1 ust. 2 pkt 4 Prawa telekomunikacyjnego). W ocenie Prezesa UODO sformułowanie „maksymalne korzyści w zakresie […] jakości usług telekomunikacyjnych” obejmuje jak najwyższy poziom ochrony danych osobowych użytkowników (osób korzystających z publicznie dostępnej usługi telekomunikacyjnej lub żądających świadczenia takiej usługi). Powyższe stanowisko potwierdza sformułowanie jednego z celów polityki regulacyjnej prowadzonej przez organy właściwe w sprawach telekomunikacji, jakim jest przyczynianie się do zapewnienia wysokiego poziomu ochrony danych osobowych (art. 189 ust. 2 pkt 3 lit. c Prawa telekomunikacyjnego).

W niniejszej sprawie stwierdzono ponad wszelką wątpliwość naruszenie przepisów o ochronie danych osobowych - przepisów chroniących dobro o wysokiej wartości społecznej (stanowiące element konstytucyjnego prawa do prywatności) i ekonomicznej (wykorzystanie którego może wiązać się uzyskaniem dużych korzyści majątkowych). Naruszenie dotyczyło obowiązku Spółki wobec Prezesa UODO, a także wobec osoby, której dane dotyczą. W ocenie Prezesa UODO naruszenie to obniża wysoki (optymalny w określonych okolicznościach) poziom ochrony danych osobowych klientów Administratora. Opóźnia ono bowiem reakcję Prezesa UODO na zaistniałe
naruszenia, która może zapobiec ewentualnym negatywnym konsekwencjom dla osoby, której dane dotyczą, lub przynajmniej je ograniczyć. Takie naruszenie, nie będące jednorazowym wypadkiem (o czym mowa poniżej - w punkcie dotyczącym dotychczasowej działalności podmiotu), zasługuje na negatywną ocenę, której wyrazem jest nałożenie na Spółkę w niniejszej sprawie kary pieniężnej.

Skutki naruszenia.
W niniejszej sprawie Prezes UODO nie stwierdził powstania po stronie Klienta żadnych szkód materialnych będących skutkami naruszenia jego danych osobowych. Podkreślić jednak należy, że konsekwencją tego naruszenia była pozbawienie Klienta możliwości zareagowania na naruszenie jego danych osobowych, a Prezesa UODO - możliwości podjęcia działań mających na celu usunięcie tego naruszenia i jego ewentualnych negatywnych następstw. Trwające prawie dwa miesiące opóźnienie w realizacji ciążących na Spółce obowiązków informacyjnych stwarzało - niezależnie od tego czy w niniejszej sprawie miało to miejsce - ryzyko wykorzystania przez osobę nieuprawnioną danych osobowych Klienta, któremu to wykorzystaniu Klient nie mógłby zapobiec czy też na nie adekwatnie zareagować. Taka utrata przez Klienta kontroli nad swoimi danymi osobowymi, której to utracie Spółka mogła zapobiec spełniając we właściwych terminach określone Prawem telekomunikacyjnym obowiązki z zakresu ochrony danych osobowych, stoi niewątpliwie w sprzeczności z przywołanym już wyżej celem tej ustawy, którym jest m.in. „zapewnienie użytkownikom maksymalnej korzyści w zakresie […] jakości usług telekomunikacyjnych”. Z tego też powodu skutki naruszenia przemawiają za negatywną oceną działania Spółki podejmowanego w reakcji na naruszenie danych osobowych Klienta. Wyrazem tej oceny jest zaś sankcja w postaci kary pieniężnej nałożonej niniejszą decyzją.

Podsumowując rozważania dotyczące zastosowania w niniejszej sprawie przepisu art. 209 ust. 1a Prawa telekomunikacyjnego, stwierdzić należy, że w niniejszej sprawie zaistniały przesłanki uzasadniające konieczność nałożenia na Spółkę kary pieniężnej za naruszenie obowiązków informacyjnych względem Prezesa UODO (art. 210a ust. 1 pkt 2 Prawa telekomunikacyjnego) oraz względem Klienta (art. 210a ust. 1 pkt 3 Prawa telekomunikacyjnego). Pomimo zaprzestania przez Spółkę naruszania prawa, przemawiają za tym w ocenie Prezesa UODO zarówno czas trwania naruszenia, jak i jego zakres oraz skutki. Natomiast ustalając wysokość kary pieniężnej nałożonej
w niniejszej sprawie Prezes UODO uwzględnił - zgodnie z wymogiem określonym w art. 210 ust. 2 Prawa telekomunikacyjnego stosowanym na podstawie art. 210a ust. 2 tej ustawy do kar pieniężnych nakładanych przez Prezesa UODO - zakres naruszenia, dotychczasową działalność Spółki oraz jej możliwości finansowe.

Zakres naruszenia.
W związku z tym, że zakres naruszenia jest zarówno przesłanką uzasadniającą konieczność nałożenia w sprawie kary pieniężnej, jak i okolicznością wpływającą na jej wysokość, należy w tym miejscu odesłać do wyżej przedstawionej oceny tej okoliczności jako przesłanki uzasadniającej konieczność nałożenia na Spółkę kary pieniężnej. Ocena ta jest jednocześnie podstawą ustalenia przez Prezesa UODO wysokości orzeczonej wobec Spółki kary pieniężnej - jest okolicznością obciążająco wpływającą na jej wysokość. W tym miejscu należy jedynie stwierdzić, że Prezes UODO zauważa również okoliczności wpływające łagodząco na wysokość nałożonej kary, a to:

a) nieumyślność naruszenia: opóźnienie w procedurze zawiadamiania Prezesa UODO oraz abonenta o naruszeniu danych osobowych nie wynika z istniejącego po stronie Spółki zamiaru ich niedokonania w terminie, lecz z niewłaściwego zorganizowania procedury w tym zakresie,
b) okoliczność, że w trakcie niniejszego postępowania w przedmiocie nałożenia na Spółkę kary pieniężnej, Spółka dokonała zawiadamiania Prezesa UODO o naruszeniu danych osobowych oraz powiadomiła o nim abonenta (choć z opóźnieniem),
c) naruszenie danych osobowych dotyczyło tylko jednej osoby, która błędnie podała swój adres e-mail, na który następnie wysłano jej dane (o którym to zdarzeniu Spółka nie poinformowała w terminie ani tej osoby ani organu nadzorczego).

Przedstawione wyżej okoliczności wpływają łagodząco na wymiar nałożonej na Spółkę kary pieniężnej; nie uzasadniają jednak odstąpienia od jej orzeczenia. Zakres naruszenia, to jest całokształt rozważonych przez Prezesa UODO okoliczności związanych z naruszeniem przez Spółkę ciążących na niej obowiązków informacyjnych, przemawia za nałożeniem na Spółkę w niniejszej sprawie kary pieniężnej i uzasadnia jej wysokość adekwatną w ocenie Prezesa UODO do stwierdzonego naruszenia.

Dotychczasowa działalność podmiotu.
Należy w tym miejscu podkreślić, iż Prezes UODO prowadził już wcześniej postępowanie administracyjne wobec Spółki (opisane dalej w niniejszym punkcie) w przedmiocie niezawiadamiania organu nadzorczego o naruszeniach danych osobowych w terminie 24 godzin od ich wykrycia (w związku z którym Spółka wprowadziła zmiany w sposobie wysyłki zawiadomień). Przedmiotowe naruszenie, nie będące jak wskazano jednorazowym wypadkiem, zasługuje na negatywną ocenę, której wyrazem jest nałożenie na Spółkę kary w niniejszej sprawie.

Mająca wpływ na wymiar kary przesłanka „dotychczasowej działalności” podmiotu podlegającego karze stanowi dyrektywę służącą zindywidualizowaniu wymiaru kary ze względu na ocenę działalności tego podmiotu w przeszłości, co ma w szczególności wskazać na to, czy naruszenie jest zdarzeniem incydentalnym i niewynikającym z polityki działalności tego podmiotu (co nie wiązałoby się z dużym ryzykiem dla wielkiej ilości klientów Spółki - nie musiałoby więc stanowić okoliczności dla Spółki  obciążającej), czy też naruszanie obowiązujących przepisów (w niniejszej sprawie przepisów o ochronie danych osobowych) wpisane jest niejako w politykę podmiotu i wkalkulowane w jej rachunek zysków i strat (co należałoby uznać za okoliczność obciążającą). Ocena dotychczasowej działalności podmiotu obejmuje szeroki zakres szczegółowych okoliczności, takich jak: wykonywanie przez ten podmiot obowiązków ustawowych, dokonane przez niego naruszenia prawa, wcześniej nałożone kary lub inne sankcje administracyjne, czy dotychczasową współpracę z Prezesem UODO w ramach wykonywania przez niego jego zadań.

Rozpatrywane w ramach niniejszego postępowania administracyjnego zawiadomienie o naruszeniu danych osobowych po upływie 24 godzin od jego wykrycia (a więc bez dochowania terminu określonego w art. 2 ust. 2 rozporządzenia 611/2013) nie było pierwszym takim przypadkiem w dotychczasowej działalności Administratora, co wynika z decyzji Prezesa UODO wydanej w dniu 8 czerwca 2021 r. w sprawie DKN.5131.10.2020 (w przedmiocie naruszenia przepisu art. 174a ust. 1 Prawa telekomunikacyjnego w zw. z art. 2 ust. 2 rozporządzenia 611/2013, polegającego na niezawiadamianiu Prezesa UODO o naruszeniach danych osobowych w terminie 24 godzin od wykrycia naruszenia danych osobowych). Pomimo skierowania przez Prezesa UODO w niniejszej sprawie korespondencji do Spółki w dniu […] lutego 2022 r., Administrator zawiadomił organ nadzorczy o zaistniałym naruszeniu danych osobowych oraz powiadomił o nim Klienta dopiero na skutek zdecydowanego (traktowanego przez Prezesa UODO jako ostateczność) działania, to jest wszczęcia postępowania w przedmiocie nałożenia na niego kary pieniężnej za dokonane naruszenie. Opisane wyżej działanie Spółki (przetwarzającej ze względu na przedmiot swojej działalności gospodarczej dane osobowe w sposób profesjonalny i na masową skalę), jest w ocenie Prezesa UODO naganne i świadczące o lekceważeniu obowiązków z zakresu ochrony danych osobowych wynikających z przepisów Prawa telekomunikacyjnego.

Możliwości finansowe Spółki.
Z przekazanego przez Spółkę sprawozdania finansowego na dzień i za rok zakończony […] grudnia 2021 r. wynika, że w 2021 r. przychody operacyjne Spółki wyniosły 7 175 794 000 zł, natomiast jej zysk netto: 5 832 139 000 zł. Osiągnięcie przez Spółkę w jednym tylko roku obrotowym zysku netto w wyżej wymienionej kwocie świadczy o bardzo dużych możliwościach finansowych Spółki, dla której orzeczona niniejszą decyzją kara pieniężna w kwocie 250.000 zł stanowić będzie - w ocenie Prezesa UODO - niewielkie, chociaż adekwatne do wagi stwierdzonego naruszenia, obciążenie finansowe (kwota ta stanowi bowiem zaledwie 0,0035% ww. przychodów operacyjnych Spółki i 0,0043% jej zysku netto, przy czym maksymalna kwota możliwej do nałożenia kary pieniężnej wynosiłaby w przedmiotowym przypadku 215 273 820 zł).

Uwzględniając wszystkie omówione wyżej okoliczności, Prezes UODO uznał, iż nałożenie kary pieniężnej na Spółkę jest konieczne i uzasadnione naruszeniem przez Spółkę przepisów art. 174a ust. 1 i 3 Prawa telekomunikacyjnego w zw. z art. 2 ust. 1 i 2 oraz art. 3 ust. 1, 3 i 4 rozporządzenia 611/2013.

Prezes UODO, po dokonaniu wszechstronnej analizy zebranego w trakcie prowadzonego postępowania materiału dowodowego, uwzględniając dopuszczalną wysokość kary pieniężnej, określoną w art. 210a ust. 1 Prawa telekomunikacyjnego, ustalił wysokość kary pieniężnej nałożonej na Spółkę na kwotę 250 000 PLN. Podkreślić należy, że ustalona kwota kary pieniężnej, biorąc pod uwagę przychody Spółki, mieści się w granicy 3% przychodu ukaranego podmiotu osiągniętego w poprzednim roku kalendarzowym, wskazanej w ww. przepisie Prawa telekomunikacyjnego. W ocenie Prezesa UODO, wysokość nałożonej kary pieniężnej odpowiada możliwościom finansowym Spółki oraz zakresowi naruszenia przepisów prawa. Nakładając powyższą karę pieniężną Prezes UODO wziął pod uwagę dotychczasową działalność Spółki. Kara pieniężna w tej wysokości jest adekwatna do naruszenia stwierdzonego w trakcie niniejszego postępowania oraz spełnia zamierzone funkcje: represyjną (kara nakładana jest za naruszenie obowiązków wynikających z przepisów prawa), prewencyjną (ma zabiegać podobnym naruszeniom w przyszłości) oraz dyscyplinującą dostawców publicznie dostępnych usług telekomunikacyjnych (ma zniechęcać ich do naruszania prawa). Kara ma bowiem stanowić z jednej strony dolegliwość dla ukaranego podmiotu, z drugiej zaś strony ma odnosić się do jego możliwości finansowych. Warunki te zostały spełnione przy nakładaniu kary w wysokości określonej niniejszą decyzją (vide: wyrok Sądu Apelacyjnego w Warszawie z dnia 3 marca 2016 r., sygnatura: VI ACa 43/15, z którego tezy wynika, iż kary wymierzane na podstawie art. 209 i 210 Prawa telekomunikacyjnego powinny mieć charakter zarówno represyjny, jak i prewencyjny, powinny bowiem przyczynić się do zapewnienia trwałego zaprzestania w przyszłości naruszania obowiązków nałożonych na przedsiębiorcę, aby zaś skutecznie zapobiegać próbom pojawienia się w przyszłości sprzecznych z ustawą zachowań, muszą być ustalone w wysokości odczuwalnej dla każdego z przedsiębiorców).

Należy podkreślić, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Spółka, profesjonalnie i na skalę masową przetwarzająca dane osobowe, w przyszłości będzie wywiązywała się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie terminowego zawiadamiania o naruszeniach danych osobowych Prezesa UODO oraz powiadamiania o nich abonentów.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.