Decyzja
DKN.5131.49.2021
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania Administracyjnego (Dz. U. z 2022, poz. 2000, ze zm.), art. 7 ust. 1 oraz art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), a także art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. e) oraz i), art. 83 ust. 1 i ust. 2, art. 83 ust. 4 lit. a) w związku z art. 33 ust. 1 oraz art. 34 ust. 1, 2 i 4 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str.2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej „rozporządzeniem 2016/679”, po przeprowadzeniu postępowania administracyjnego wszczętego z urzędu w sprawie naruszenia przepisów o ochronie danych osobowych przez Spółdzielnie Mieszkaniową „(…)” z siedzibą w O. (ul. (…), (…) O.), Prezes Urzędu Ochrony Danych Osobowych,
1) stwierdzając naruszenie przez Spółdzielnie Mieszkaniową „(…)” z siedzibą w O. (ul. (…), (…) O.) przepisów:
a) art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia oraz
b) art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osoby, której dane dotyczą,
nakłada na Spółdzielnie Mieszkaniową „(…)” z siedzibą w O. (ul. (…), (…) O.) administracyjną karę pieniężną w wysokości 51.876,- PLN (słownie: pięćdziesiąt jeden tysięcy osiemset siedemdziesiąt sześć złotych),
2) nakazuje Spółdzielni Mieszkaniowej „(…)” z siedzibą w O. (ul. (…), (…) O.) zawiadomienie - w terminie 3 dni od dnia doręczenia niniejszej decyzji - osoby, której dane zostały ujawnione w wyniku przedmiotowego udostępnienia, o naruszeniu ochrony jej danych osobowych w celu przekazania jej informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, tj.:
a) opisu charakteru naruszenia ochrony danych osobowych;
b) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
c) opisu możliwych konsekwencji naruszenia ochrony danych osobowych;
d) opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
Uzasadnienie
Do Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej również ,,Prezesem UODO” lub „organem nadzorczym”, dnia [...] sierpnia 2021 r. wpłynęła od osoby trzeciej informacja wskazująca na udostępnienie jej - jako osobie nieuprawnionej - zawiadomienia z dnia [...] sierpnia 2021 r. o podejrzeniu popełnienia przestępstwa, które ujawniało dane osobowe w postaci: imienia, nazwiska, numeru ewidencyjnego PESEL oraz adresu zamieszkania osoby wskazanej w tym zawiadomieniu, zwanej dalej: „Podmiotem Danych” lub „członkinią Spółdzielni”, przez Spółdzielnie Mieszkaniową „(…)” z siedzibą w O. (ul. (…), (…) O.), zwaną dalej „Administratorem” lub „Spółdzielną”. Osoba trzecia, która jako osoba zawodowo związana z mediami informacyjnymi stała się nieuprawnionym odbiorcą ww. dokumentu, wyjaśniła, że dane w nim zawarte otrzymała „(…) z własnej woli wiceprezesa zarządu [przyp.: Spółdzielnia] (…)”, nigdy o ich udzielenie nie wnioskowała i nie były jej wcześniej znane.
W związku z powyższym, pismem z [...] września 2021 r. Prezes UODO, na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679, zwrócił się do Spółdzielni o wyjaśnienie, czy w związku z ww. sytuacją dokonana została analiza zdarzenia pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie. W piśmie tym zawarto również informacje o treści art. 33 ust. 1 i 3 rozporządzenia 2016/679 oraz o możliwych sposobach dokonania zgłoszenia naruszenia ochrony danych osobowych.
Z odpowiedzi, której Spółdzielnia Mieszkaniowa udzieliła pismem z dnia [...] września 2021 r., wynika, że „(…) jedna z osób będących mieszkańcem w zasobach Spółdzielni Mieszkaniowej (…), niezadowolona z wysokości opłat eksploatacyjnych (opłaty za wodę, niezależne od Spółdzielni Mieszkaniowej) wszczęła kampanię negatywną wobec Spółdzielni Mieszkaniowej w lokalnych mediach i internecie, sama upubliczniając swoje dane osobowe publicznie”. Administrator wyjaśnił też w tym piśmie, że w rezultacie działań zmierzających do wyjaśnienia zaistniałej sytuacji złożono zawiadomienie o podejrzeniu popełnienia przestępstwa przez ww. osobę, a następnie „(…) w celu przedstawienia opinii publicznej prawdziwego stanu faktów, Zarząd zwołał konferencję prasową tylko dla dziennikarzy, gdzie przedstawił fakty i udostępnił dziennikarzom kserokopię zawiadomienia o podejrzeniu popełnienia przestępstwa, wierząc w rzetelność zawodu dziennikarza i w Prawo Prasowe (w szczególności Art. 4, 11 i 12 tego prawa) uznano, że dane osobowe są bezpieczne. Odnotowano w Rejestrze Naruszeń tę czynność, Inspektor Ochrony Danych Osobowych ocenił, że ryzyko naruszenia praw i wolności osoby fizycznej, która sama upubliczniła swoje dane osobowe, jest niskie”.
W związku z powyższymi wyjaśnieniami, Prezes UODO zwrócił się do Spółdzielni Mieszkaniowej pismem z dnia [...] października 2021 r. o przekazanie informacji, czy osoba, której dane dotyczą, upubliczniła odnoszące się do niej zawiadomienie o podejrzeniu popełnienia przestępstwa, a jeżeli tak, to w jakich okolicznościach i w jakiej części. W odpowiedzi na to pismo, datowanej na dzień [...] października 2021 r., Spółdzielna wyjaśniła, że nie posiada informacji, czy osoba, której dane dotyczą, upubliczniła kserokopię zawiadomienia o podejrzeniu popełnienia przestępstwa, ani nie posiada wiedzy o tym, czy taką kopię pozyskała.
Wobec braku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osoby, której dotyczyło naruszenie, w dniu [...] listopada 2021 r. Prezes UODO wszczął z urzędu wobec Spółdzielni Mieszkaniowej postępowanie administracyjne w tym przedmiocie. W piśmie tym dodatkowo zwrócono się do Administratora o przedstawienie rejestru naruszeń oraz oceny poziomu ryzyka przeprowadzonej przez Inspektora Ochrony Danych, o której mowa w piśmie Spółdzielni Mieszkaniowej z dnia [...] września 2021 r.
W odpowiedzi na powyższe, Spółdzielnia Mieszkaniowa przekazała (pismem z dnia [...] listopada 2021 r.) m.in. kserokopię „(…)” obejmującą dwa wpisy. Jeden z nich dotyczył naruszenia art. „33 ust. 1 zdanie 1 in principio” rozporządzenia 2016/679, które zostało oznaczone jako niepodlegające obowiązkowi zgłoszenia organowi nadzorczemu oraz obowiązkowi zawiadomienia osoby, której dane dotyczą. Wpis ten objął również następujące dane:
- okoliczności naruszenia: „[...] sierpnia 2021 r. Prezes Spółdzielni Mieszkaniowej (…) na konferencji prasowej przekazał dziennikarzom kopie pisma zawiadomienia o możliwości popełnienia przestępstwa przez członka Spółdzielni (…)”;
- skutki naruszenia: „Przeoczenie na kopi ksero danych osobowych i nie zamazanie tych danych. W związku z Art. 4, 11 i 12 Prawa Prasowego, działanie nienoszące cech wysokiego naruszenia praw i wolności osób fizycznych”;
- podjęte działania zaradcze: „Dodatkowe przeszkolenie pracowników z zasad ochrony danych osobowych”.
Jako że informacje te nie stanowiły wszystkich danych, o których udostępnienie Prezes UODO zwrócił się do Administratora w piśmie z dnia [...] listopada 2021 r., w dniu [...] grudnia 2021 r. do Spółdzielni Mieszkaniowej zwrócono się ponownie o przekazanie oceny ryzyka przeprowadzonej przez Inspektora Ochrony Danych, o której mowa w piśmie Spółdzielni Mieszkaniowej z dnia [...] września 2021 r. Pismem, które wpłynęło do tutejszego Urzędu w dniu [...] stycznia 2022 r., Spółdzielni Mieszkaniowej przekazała organowi nadzorczemu jedynie dokument zatytułowany: „(…)”, która nie zawierała informacji dotyczących przeprowadzonej przez Inspektora Ochrony Danych analizy ryzyka naruszenia praw lub wolności osoby, której dotyczyły dane znajdujące się w dokumencie udostępnionym nieuprawnionym odbiorcom.
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
Zgodnie z art. 4 pkt 12 rozporządzenia 2016/679 „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Art. 33 ust. 1 i 3 rozporządzenia 2016/679 stanowi, że w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu właściwemu zgodnie zart. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgłoszenie, o którym mowa w ust. 1 musi, co najmniej: a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Z kolei art. 34 ust. 1 rozporządzenia 2016/679 wskazuje, że w sytuacji możliwości wystąpienia wysokiego ryzyka dla praw lub wolności osób fizycznych wynikających z naruszenia ochrony danych osobowych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o naruszeniu. Zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, prawidłowe zawiadomienie powinno:
1) jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych;
2) zawierać przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d) rozporządzenia 2016/679, tj.:
a) imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
b) opis możliwych konsekwencji naruszenia ochrony danych osobowych;
c) opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
Rozpoczynając analizę przedmiotowej spawy, należy wskazać, że Prezes UODO w publikacji pt. „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych” wyjaśnia: „W zależności, z jakim poziomem ryzyka naruszenia praw i wolności osób fizycznych administrator ma do czynienia, inaczej kształtują się jego obowiązki w stosunku do organu nadzorczego, a także osób, których dane dotyczą. Jeżeli w wyniku analizy administrator stwierdził, że prawdopodobieństwo zaistnienia ryzyka naruszenia praw i wolności osób fizycznych jest małe, nie jest on zobligowany do zgłoszenia naruszenia Prezesowi Urzędu Ochrony Danych Osobowych. Wskazane naruszenie musi jedynie wpisać do wewnętrznej ewidencji naruszeń. W przypadku stwierdzenia ryzyka naruszenia praw i wolności osób fizycznych, obowiązkiem administratora jest zgłoszenie naruszenia ochrony danych Prezesowi UODO, jak również umieszczenie wpisu w wewnętrznej ewidencji naruszeń. Wystąpienie wysokiego ryzyka naruszenia praw i wolności osób fizycznych, oprócz wpisu w ewidencji naruszeń, wymaga od administratora podjęcia odpowiednich działań, zarówno wobec organu nadzorczego (zgłoszenie naruszenia ochrony danych), ale także w niektórych przypadkach również wobec osób, których dane dotyczą. W przypadku naruszeń, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, RODO wprowadza bowiem dodatkowy obowiązek niezwłocznego zawiadomienia podmiotu danych przez administratora, chyba że ten podjął działania prewencyjne przed zaistnieniem naruszenia albo działania zaradcze po wystąpieniu naruszenia (art. 34 ust. 3 RODO)”.
Jak wynika z powyższego, w przypadku wykrycia przez administratora naruszenia ochrony danych osobowych, w pierwszej kolejności konieczne jest dokonanie analizy pod kątem wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. Administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu, jeśli w wyniku przeprowadzonego badania okaże się, że istnieje co najwyżej małe prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. Należy jednak mieć na względzie fakt, iż organ nadzorczy będzie mógł zwrócić się do administratora o uzasadnienie decyzji o niezgłaszaniu naruszenia, w związku z tym wnioski z przeprowadzonej analizy należy odnotować w wewnętrznej ewidencji naruszeń. Warto przy tym przypomnieć, że w Wytycznych WP250[1], znajdują się rekomendacje Grupy Roboczej Art. 29 dotyczące wymogu zgłaszania naruszeń organowi nadzorczemu.
Należy podkreślić, że oceny ryzyka naruszenia praw lub wolności osoby fizycznej powinno się dokonać przez pryzmat osoby zagrożonej, a nie interesów administratora. Jest to szczególnie ważne, jako że w oparciu o zawiadomienie o naruszeniu osoba fizyczna może sama dokonać oceny, czy w jej opinii incydent bezpieczeństwa może powodować dla niej negatywne konsekwencje i podjąć odpowiednie działania zaradcze. Również w oparciu o informacje przekazane przez administratora dotyczące opisu charakteru naruszenia i zastosowanych lub proponowanych środkach w celu zaradzenia naruszeniu, osoba fizyczna może dokonać oceny, czy po zaistniałym naruszeniu administrator danych nadal daje rękojmię należytego przetwarzania jej danych osobowych w sposób zapewniający ich bezpieczeństwo. Brak zawiadomienia o naruszeniu osoby fizycznej w przypadku wystąpienia wysokiego ryzyka naruszenia jej praw lub wolności pozbawia ją nie tylko możliwości odpowiedniej reakcji na naruszenie, ale również możliwości dokonania samodzielnej oceny naruszenia, które przecież dotyczy jej danych osobowych i może powodować doniosłe konsekwencje dla niej. Natomiast brak zgłoszenia naruszenia ochrony danych osobowych pozbawia organ nadzorczy możliwości odpowiedniej reakcji na naruszenie, która przejawia się nie tylko w ocenie ryzyka naruszenia dla praw lub wolności osoby fizycznej, ale również w szczególności na weryfikacji, czy administrator zastosował właściwe środki w celu zaradzeniu naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą, jak również, czy zastosował odpowiednie środki bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia.
Zgłaszanie naruszeń ochrony danych osobowych przez administratorów stanowi skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Zgłaszając naruszenie organowi nadzorczemu, administratorzy informują Prezesa UODO, czy w ich ocenie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą oraz - jeśli takie ryzyko wystąpiło - to czy przekazali stosowne informacje osobom fizycznym, na które naruszenie wywiera wpływ. W uzasadnionych przypadkach mogą również przekazać informację, że powiadomienie w ich ocenie nie jest konieczne ze względu na spełnienie warunków określonych w art. 34 ust. 3 lit. a) i b) rozporządzenia 2016/679. Prezes UODO dokonuje weryfikacji oceny dokonanej przez administratora i może - jeżeli administrator nie zawiadomił osób, których dane dotyczą - zażądać od niego takiego zawiadomienia. Zgłoszenia naruszenia ochrony danych osobowych pozwalają organowi nadzorczemu na właściwą reakcję mogącą ograniczyć skutki takich naruszeń, bowiem administrator ma obowiązek podjęcia skutecznych działań zapewniających ochronę osobom fizycznym i ich danym osobowym, które z jednej strony pozwolą na kontrolę skuteczności dotychczasowych rozwiązań, a z drugiej ocenę modyfikacji i usprawnień służących zapobieżeniu nieprawidłowościom analogicznym do objętych naruszeniem. Natomiast zawiadomienie osób fizycznych o naruszeniu zapewnia możliwość przekazania tym osobom informacji na temat ryzyka związanego z naruszeniem oraz wskazania działań, jakie osoby te mogą podjąć, aby uchronić się przed potencjalnymi negatywnymi skutkami naruszenia (umożliwia to osobie fizycznej dokonanie samodzielnej oceny naruszenia w kontekście możliwości materializacji negatywnych konsekwencji dla takiej osoby i podjęcia decyzji o zastosowaniu lub braku zastosowania działań zaradczych).Na marginesie podkreślić należy, że obowiązek zawiadomienia osoby fizycznej o naruszeniu nie jest uzależniony od materializacji negatywnych konsekwencji dla takiej osoby, ale od samej możliwości wystąpienia takiego ryzyka.
Sama ocena naruszenia przeprowadzona przez administratora pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do stwierdzenia, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO (art. 33 ust. 1 i 3 rozporządzenia 2016/679) oraz osób, których dotyczy naruszenie (art. 34 ust. 1 i 2 rozporządzenia 2016/679), powinna być, jak należy raz jeszcze podkreślić, dokonana przez pryzmat osoby dotkniętej naruszeniem. W przedmiotowej sprawie Administrator nie wykazał jednak, by taka ocena ryzyka w ogóle została dokonana - w reakcji na dwukrotne wezwanie do przedstawienia takiej oceny, przekazał jedynie dokument (pt. „(…)”), który miał charakter ogólny i nie odnosił się do konkretnego (rozpatrywanego w niniejszej decyzji) przypadku naruszenia ochrony danych osobowych Podmiotu Danych.
Prezes UODO, dokonując oceny ryzyka naruszenia praw lub wolności osoby fizycznej w przedmiotowej sprawie, stwierdził, że naruszenie poufności danych, jakie wystąpiło w związku z naruszeniem ochrony danych osobowych polegającym na udostępnieniu podmiotowi nieuprawnionemu specyficznego dokumentu zawierającego dane osobowe członkini Spółdzielni w zakresie: numeru ewidencyjnego PESEL wraz z imieniem i nazwiskiem oraz adresu zamieszkania, powoduje wysokie ryzyko naruszenia praw lub wolności osoby fizycznej. Jak wskazuje Grupa Robocza Art. 29 w Wytycznych WP250: „Ryzyko to istnieje w przypadku, gdy naruszenie może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone. Przykłady takich szkód obejmują dyskryminację, kradzież lub sfałszowanie tożsamości, straty finansowe i naruszenie dobrego imienia”. Nie ulega wątpliwości, że przywołane w wytycznych przykłady szkód, z uwagi na zakres danych objęty niniejszym naruszeniem ochrony danych osobowych, w tym numer ewidencyjny PESEL wraz z imieniem i nazwiskiem oraz adresem zamieszkania, mogą wystąpić w omawianym przypadku.
Rozwijając powyższe stwierdzenie - odnosząc się kolejno do każdej z danych objętych przedmiotowym naruszeniem - należy przede wszystkim podkreślić, że zaistniałe naruszenie ochrony danych osobowych dotyczyło numeru ewidencyjnego PESEL, czyli jedenastocyfrowego symbolu numerycznego, jednoznacznie identyfikującego osobę fizyczną, zawierającego m.in.: datę urodzenia oraz oznaczenie płci, a więc ściśle powiązanego ze sferą prywatną osoby fizycznej oraz podlegającego również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679 - będącego daną o szczególnym charakterze i takiej szczególnej ochrony wymagającego. Ponadto należy wziąć pod uwagę, że w wyniku zaistniałego naruszenia ochrony danych osobowych doszło do udostępnienia osobie nieuprawnionej tego numeru ewidencyjnego wraz z imieniem i nazwiskiem członkini Spółdzielni Mieszkaniowej, które to zestawienie danych bywa wystarczające do „podszycia się” pod podmiot tych danych i zaciągnięcia w imieniu i na szkodę takiego podmiotu np. zobowiązań pieniężnych (vide: https://www.bik.pl/poradnik-bik/wyludzenie-kredytu-tak-dzialaja-oszusci - gdzie opisano przypadek, w którym: „Tylko imię, nazwisko i numer PESEL wystarczyły oszustom, by wyłudzić kilkanaście kredytów w sumie na dziesiątki tysięcy złotych. Nic więcej się nie zgadzało: ani numer dowodu osobistego, ani adres zamieszkania”). Nie można również pominąć, że analizowane naruszenie obejmowało także adres zamieszkania członkini Spółdzielni. Nadto ujawnienie tych danych nastąpiło w szczególnym kontekście: pismo zawierające te dane stanowiło bowiem, jak już wspomniano, zawiadomienie o podejrzeniu popełnienia przestępstwa, czego nie można uznać za indyferentne przy dokonywaniu oceny ryzyka naruszenia praw lub wolności osoby fizycznej wiążącego się z tym ujawnieniem danych osobowych nieuprawnionemu odbiorcy.
Należy zaznaczyć, że zdaniem Prezesa UODO, konsekwentnie od wielu lat podnoszonym, numer PESEL jest unikalnym identyfikatorem osoby, zawierającym w sobie wiele informacji na temat danej osoby, a jego ujawnienie osobie niepowołanej może rodzić szereg konsekwencji dla takiej osoby.
Warto w tym miejscu wskazać na Wytyczne Europejskiej Rady Ochrony Danych 01/2021 w sprawie przykładów dotyczących powiadomienia o naruszeniu danych osobowych przyjętych w dniu 14 grudnia 2021 r., wersja 2.0 (dalej „Wytyczne EROD 01/2021”), a konkretnie przykład numer 14 (Wytyczne 01/2021, przypadek nr 14, s. 31), odnoszący się do sytuacji „wysłania pocztą przez pomyłkę wysoce poufnych danych osobowych”. We wspomnianym przypadku doszło do ujawnienia numeru ubezpieczenia społecznego, będącego odpowiednikiem stosowanego w Polsce numeru PESEL. W omawianym przypadku Europejska Rada Ochrony Danych (dalej „EROD”) nie miała wątpliwości, że ujawnione dane w zakresie: imię i nazwisko, adres e-mail, adres pocztowy, numer ubezpieczenia społecznego, wskazują na wysokie ryzyko naruszenia praw lub wolności osób fizycznych („zaangażowanie ich [osób poszkodowanych] numeru ubezpieczenia społecznego, a także innych, bardziej podstawowych danych osobowych, dodatkowo zwiększa ryzyko, które można określić jako wysokie”). EROD dostrzega wagę krajowych numerów identyfikacyjnych (w tym przypadku numeru PESEL), podkreślając jednocześnie, że tego typu naruszenie ochrony danych osobowych, a więc obejmujące swym zakresem dane w postaci: imienia i nazwiska, adresu e-mail, adresu korespondencyjnego oraz numeru ubezpieczenia społecznego, wymaga realizacji działań, tj.: powiadomienia organu nadzorczego oraz zawiadomienia o naruszeniu osób, których dane dotyczą.
Z ostatniego raportu infoDOK (który przygotowywany jest w ramach prowadzenia społecznej Kampanii Informacyjnej Systemu DOKUMENTY ZASTRZEŻONE, organizowanej przez Związek Banków Polskich i niektóre banki, pod patronatem Ministerstwa Spraw Wewnętrznych i we współpracy m.in. z Policją oraz Federacją Konsumentów)[2] wynika, że w II kwartale 2022 r. odnotowano 1 806 prób wyłudzeń kredytów (w tym jednego na kwotę 1,3 mln złotych). Z kolei w III kwartale 2022 r. próbowano wyłudzić 2 089 kredytów, na łączną kwotę 47,7 mln zł (w tym jednego na kwotę 6 mln złotych).
Ponadto, jak wynika z orzecznictwa, wyroki w sprawach wyłudzeń kredytów nie są rzadkością i są wydawane przez polskie sądy w podobnych sprawach od dawna - dla potwierdzenia można podać choćby nawet wyrok Sądu Rejonowego w Łęczycy z dnia 27 lipca 2016 r. (sygn. akt I C 566/15), w którym oszuści biorący pożyczkę na cudze dane posłużyli się numerem PESEL, zmyślonym adresem oraz niewłaściwym numerem dowodu (nieważnym). W uzasadnieniu ww. wyroku Sąd stwierdził, że: „W przedmiotowej sprawie powód (...) z siedzibą we W. nabył wierzytelność od (...) Spółka z ograniczoną odpowiedzialnością S.K.A. z siedzibą w W. Stroną umowy pożyczki z dnia 5 maja 2014 r. była osoba, która w nieuprawniony sposób użyła danych J. R. (...) Spółka z ograniczoną odpowiedzialnością S.K.A. z siedzibą w W. przelała na wskazany rachunek bankowy kwotę 500 zł.
Kwestią kluczową w niniejszej sprawie było ustalenie, iż pozwana nie zawarła umowy pożyczki, co było zarzutem podnoszonym przez pozwaną w toku całego postępowania.
Przeprowadzone postępowanie dowodowe oraz analiza dokumentów, załączonych przez stronę powodową, skutkuje tym, iż można jednoznacznie stwierdzić, że w rozpoznawanej sprawie pozwana nie była stroną umowy pożyczki, zawartej w dniu 5 maja 2014 r. Wprawdzie przy jej zawarciu posłużono numerem PESEL pozwanej J. R., lecz wskazane miejsce zamieszkania nie odpowiada miejscu zamieszkania pozwanej. Pozwana J. R. nigdy nie mieszkała w W. Kwota pożyczki została przelana na konto, którego posiadaczem nie była pozwana. W dacie zawarcia umowy pożyczki dowód osobisty nr (...) utracił ważność z dniem 15 marca 2014 r. Nie jest zgodny także numer telefonu komórkowego, wskazany na umowie pożyczki i jej załącznikach z faktycznymi numerami telefonów, jakimi posługiwała się i posługuje pozwana.
W realiach rozpoznawanej sprawy, Sąd uznał, iż strona pozwana wykazała, że nie była stroną umowy pożyczki będącej przedmiotem niniejszego postępowania. Umowy zawierane za pomocą środków porozumiewania się na odległość winny wymagać szczegółowej, wnikliwej weryfikacji i taka weryfikacja dokonana w przedmiotowej sprawie prowadzi do wniosku, że stroną umowy pożyczki nie była pozwana”.
Opisana powyżej sytuacja, w dużym stopniu odzwierciedla wskazany w Wytycznych EROD 01/2021, przykład numer 17 obrazujący przypadek kradzieży tożsamości.W przypadku tym sytuacja wygląda następująco: „Centrum kontaktowe firmy telekomunikacyjnej odbiera telefon od kogoś, kto pozuje się jako klient. Domniemany klient żąda od firmy zmiany adresu e-mail, na który należy przesłać informacje rozliczeniowe. Pracownik centrum kontaktowego potwierdza tożsamość klienta, zwracając się o podanie określonych danych osobowych, zgodnie z procedurami stosowanymi przez przedsiębiorstwo. Dzwoniący prawidłowo wskazuje numer fiskalny i adres pocztowy żądanego klienta (ponieważ miał dostęp do tych elementów). Po zatwierdzeniu, operator dokonuje żądanej zmiany, a od tego momentu informacje o rozliczeniach są wysyłane na nowy adres e-mail. Procedura nie przewiduje żadnego powiadomienia poprzedniego kontaktu e-mailowego. W następnym miesiącu legalny klient kontaktuje się z firmą, pytając, dlaczego nie otrzymuje faktur na swój adres e-mail, i zaprzecza wszelkim telefonom od niego domagającym się zmiany kontaktu emailowego. Później firma zdaje sobie sprawę, że informacje zostały wysłane do nielegalnego użytkownika i cofa zmianę”.
W opinii EROD ww. naruszenie wiąże się z wysokim poziomem ryzyka, ponieważ dane rozliczeniowe mogą stanowić informacje o życiu prywatnym osoby, której dane dotyczą (np. nawyki, kontakty) i mogą prowadzić do szkód materialnych (np. prześladowania, zagrożenia integralności fizycznej), w związku z tym konieczne jest zarówno powiadomienie organu nadzorczego, jak również powiadomienie osoby, której dane dotyczą.
Rozważając powyższe kwestie należy przywołać również stanowisko Wojewódzkiego Sądu Administracyjnego w Warszawie wyrażone w wyroku z dnia 1 lipca 2022 r. wydanym w sprawie o sygn.: II SA/Wa 4143/21. W uzasadnieniu tego wyroku Sąd stwierdził, iż: „Należy zgodzić się z Prezesem UODO, że utrata poufności numeru PESEL w połączeniu z danymi osobowymi, takimi jak: imię i nazwisko, adres zameldowania, numery rachunków bankowych oraz numer identyfikacyjny nadawany klientom Banku - numer CIF, wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. W przypadku naruszenia takich danych, jak imię, nazwisko oraz numer PESEL, możliwa jest bowiem kradzież lub sfałszowanie tożsamości skutkująca negatywnymi konsekwencjami dla osób, których dane dotyczą. Dlatego też Bank w przedmiotowej sprawie powinien był bez zbędnej zwłoki, stosownie do art. 34 ust. 1 RODO, zawiadomić osoby, których dane dotyczą, o naruszeniu ochrony danych osobowych, tak aby umożliwić im podjęcie niezbędnych działań zapobiegawczych” (podkreślenie własne).
Jak już wcześniej sygnalizowano w uzasadnieniu niniejszej decyzji, trzeba również mieć na uwadze, że wykonanie przez Administratora jego obowiązku wnikającego z art. 34 ust. 1 rozporządzenia 2016/679 nie może być uzależniane od zaistnienia naruszenia praw lub wolności osób fizycznych, których danych dotyczy naruszenie ochrony danych osobowych. Zaznaczyć dla porządku należy, że podobnie jest w przypadku obowiązku wynikającego z art. 33 ust. 1 rozporządzenia 2016/679 - jak stwierdził Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 22 września 2021 r. wydanym w sprawie o sygn. II SA/Wa 791/21: „Podkreślić należy, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować. W treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” (przy czym Sąd ten podobnie orzekł we wcześniej przywoływanym wyroku z dnia 1 lipca 2022 r. wydanym w sprawie o sygn.: II SA/Wa 4143/21 oraz w wyroku z dnia 21 stycznia 2022 r. wydanym w sprawie o sygn.: II SA/Wa 1353/21).
Analizując powyższe, nie powinno się również zapominać o podstawowych zasadach. Stosując przepisy rozporządzenia 2016/679 należy bowiem mieć na uwadze, że celem tego rozporządzenia (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów - w tym również w sytuacji, gdy doszło do naruszenia ochrony danych osobowych - należy w pierwszej kolejności brać pod uwagę te wartości.
Warto szczególnie podkreślić, że dokonując oceny pod kątem ryzyka naruszenia praw lub wolności osób fizycznych, od której uzależnione jest dokonanie zgłoszenia naruszenia ochrony danych osobowych oraz zawiadomienie o naruszeniu osoby, której dane dotyczą, należy łącznie uwzględnić czynnik prawdopodobieństwa i wagę potencjalnych negatywnych skutków. Wysoki poziom któregokolwiek z tych czynników ma wpływ na wysokość ogólnej oceny, od której uzależnione jest wypełnienie obowiązków określonych w art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679. Mając na uwadze, że ze względu na zakres ujawnionych danych osobowych w analizowanym przypadku wystąpiła możliwość zmaterializowania się doniosłych negatywnych konsekwencji dla osoby, której dane dotyczą (jak wyżej wykazano), to wagę potencjalnego wpływu na prawa lub wolności osoby fizycznej należy uznać za wysoką. Jednocześnie prawdopodobieństwo wystąpienia wysokiego ryzyka w następstwie przedmiotowego naruszenia nie jest małe i nie zostało wyeliminowane. Tym samym stwierdzić należy, że w związku z przedmiotowym naruszeniem wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, co w konsekwencji determinuje obowiązek dokonania zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu oraz zawiadomienia o naruszeniu Podmiotu Danych. Grupa Robocza Art. 29 w Wytycznych WP250 wskazuje, że ,,(…) podczas oceny ryzyka, które może powstać w wyniku naruszenia, administrator powinien łącznie uwzględnić wagę potencjalnego wpływu na prawa i wolności osób fizycznych i prawdopodobieństwo jego wystąpienia. Oczywiście ryzyko wzrasta, gdy konsekwencje naruszenia są poważniejsze, jak również wtedy, gdy wzrasta prawdopodobieństwo ich wystąpienia. W przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna”. Należy tu również wziąć pod uwagę fakt, że w związku z zaistnieniem naruszenia ochrony danych osobowych, nie wystąpiły czynniki obniżające poziom prawdopodobieństwa negatywnych skutków, jak ograniczona możliwość identyfikacji, stwierdzenie, że dane osobowe są publicznie dostępne (vide: wyjaśnienia Spółdzielni Mieszkaniowej z dnia [...] października 2021 r.), czy uznanie niewłaściwego odbiorcy za osobę „zaufaną”.
Podsumowując powyższe należy stwierdzić, że w przedmiotowym przypadku występuje wysokie ryzyko naruszenia praw lub wolności osoby objętej przedmiotowym naruszeniem, co z kolei skutkuje powstaniem po stronie Spółdzielni Mieszkaniowej obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 33 ust. 3 rozporządzenia 2016/679 oraz zawiadomienia tej osoby o naruszeniu, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 34 ust. 2 rozporządzenia 2016/679.
Ustosunkowując się następnie do wyjaśnień Spółdzielni Mieszkaniowej, w pierwszej kolejności wskazać należy, że w związku z przedmiotowym naruszeniem ochrony danych osobowych, polegającym na udostępnieniu podmiotowi nieuprawnionemu dokumentu zawierającego dane osobowe członkini Spółdzielni Mieszkaniowej, nie jest istotne to, czy osoba ta faktycznie dokonała czynów, o których mowa w złożonym przez Spółdzielnię zawiadomieniu o podejrzeniu popełnienia przestępstwa. Nawet gdyby potwierdzono zasadność podnoszonych przez Administratora zarzutów wobec tej osoby, nie oznacza to, że jej dane osobowe nie powinny podlegać takiej samej ochronie, jak każdej innej osoby fizycznej w podobnej sytuacji. Z późniejszych wyjaśnień Spółdzielni Mieszkaniowej nie wynika, że Podmiot Danych sam udostępnił swoje dane osobowe znajdujące się w zawiadomieniu o podejrzeniu popełnienia przestępstwa, toteż nie można przyjąć, iż okoliczność taka mogłaby być w ogóle brana pod uwagę przy ocenie prawidłowości postępowania Administratora.
W przedmiotowej sprawie doszło do ujawnienia danych osobowych Podmiotu Danych osobie zawodowo związanej z mediami informacyjnymi, stąd Administrator składając wyjaśnienia wskazywał w szczególności na treść art. 4, 11 i 12 ustawy z dnia 26 stycznia 1984 r. Prawo prasowe (Dz. U. z 2018 r., poz. 1914), zwanej dalej „Prawem prasowym”. Z przepisów tych wynika (w zakresie w jakim miałyby w ogóle dotyczyć analizowanego przypadku), że przedsiębiorcy i podmioty niezaliczone do sektora finansów publicznych oraz niedziałające w celu osiągnięcia zysku są obowiązane do udzielenia prasie informacji o swojej działalności, o ile na podstawie odrębnych przepisów informacja nie jest objęta tajemnicą lub nie narusza prawa do prywatności (art. 4 ust. 1 Prawa prasowego). Dziennikarz jest uprawniony do uzyskiwania informacji w zakresie, o którym mowa w art. 4 Prawa prasowego, a informacji w imieniu jednostek organizacyjnych są obowiązani udzielać kierownicy tych jednostek, ich zastępcy, rzecznicy prasowi lub inne upoważnione osoby, w granicach obowiązków powierzonych im w tym zakresie (art. 11 ust. 1 i 2 Prawa prasowego). Nadto dziennikarz jest obowiązany zachować szczególną staranność i rzetelność przy zbieraniu i wykorzystaniu materiałów prasowych, zwłaszcza sprawdzić zgodność z prawdą uzyskanych wiadomości lub podać ich źródło, a także chronić dobra osobiste, a ponadto interesy działających w dobrej wierze informatorów i innych osób, które okazują mu zaufanie (art. 12 ust. 1 pkt 1 i 2 Prawa prasowego). W analizowanej sprawie istotne jest jednak to, że osoba trzecia, której udostępniono przedmiotowe dane członkini Spółdzielni Mieszkaniowej, w ogóle nie wnioskowała o ich udostępnienie, co wyraźnie zaznaczyła w skierowanej do organu nadzorczego informacji z dnia [...] sierpnia 2021 r. Jak wskazuje judykatura (M. Brzozowska-Pasieka [w:] M. Olszyński, J. Pasieka, M. Brzozowska-Pasieka, Prawo prasowe. Komentarz praktyczny, Warszawa 2013, art. 4): »Prawo prasowe nie definiuje ani nie wprowadza szczególnych regulacji dotyczących wniosku dziennikarza o udzielenie informacji prasowej. Pośrednio jednak wskazuje na pewne elementy takiego wniosku. (…) Wniosek powinien być na tyle skonkretyzowany, by określał zakres czy też przedmiot wnioskowanej informacji. Musi on być również precyzyjny, aby możliwe było w ogóle jego rozpatrzenie. (…) W jednym z judykatów sąd stwierdził, że wniosek musi być na tyle szczegółowy, aby podmiot zobowiązany do udzielenia informacji mógł ustalić, jaka konkretnie informacja pozostaje w kręgu zainteresowania wnioskodawcy - prasy, tj. o jakim „wycinku” działalności przedsiębiorcy i podmiotu niezaliczonego do sektora finansów publicznych prasa chce uzyskać informację. Innymi słowy, wniosek o udzielenie informacji prasowej jest wnioskiem o dostęp do faktów, a więc do tego, co zaszło w działalności lub w związku z działalnością podmiotu zobowiązanego do udzielenia informacji. W przeciwnym przypadku podmiot zobowiązany do udzielenia informacji nie mógłby uczynić zadość dyspozycji art. 4 ustawy - Prawo prasowe (postanowienie WSA w Warszawie z 30 października 2008 r., II SA/Wa 1885/2007, LexisNexis nr 2357813)«. W przedmiotowej sprawie wniosku takiego osoba trzecia nie złożyła, tak więc działanie Administratora w zakresie udostępnienia jej danych osobowych członkini Spółdzielni Mieszkaniowej można uznać co najmniej za „nadmiarowe”. Co więcej, udostępnienie to nastąpiło z naruszeniem przez Administratora obowiązku ochrony tych danych.
Z uwagi na powyższe należy stwierdzić, że w przedmiotowej sytuacji nie ma podstaw do stwierdzenia, by Administrator z jakichkolwiek przyczyn zwolniony był z obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu zgodnie z art. 33 ust. 1 rozporządzenia 2016/679 oraz z obowiązku zawiadomienia o nim osoby, której dotyczą dane objęte tym naruszeniem (zgodnie z art. 34 ust. 1 tego rozporządzenia). W okolicznościach badanego przypadku nie można rozsądnie twierdzić, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności Podmiotu Danych. Naruszenie to dotyczyło imienia, nazwiska, numeru ewidencyjnego PESEL oraz adresu zamieszkania ww. osoby zawartych w specyficznym dokumencie, a nadto z pisma Spółdzielni Mieszkaniowej datowanego na dzień [...] września 2021 r. wynika, że zawierające te dane zawiadomienie o podejrzeniu popełnienia przestępstwa przez Podmiot Danych zostało udostępnione więcej niż jednej osobie. W ocenie organu nadzorczego nie istnieje więc uzasadnienie dla niewykonania przez Spółdzielnę Mieszkaniową obowiązków wynikających z powyższych przepisów.
Odnosząc się na koniec do obowiązku Administratora określonego w art. 34 ust. 2 rozporządzenia 2016/679, Prezes UODO stwierdził, iż Administrator (biorąc pod uwagę charakter naruszenia oraz kategorie danych, które uległy naruszeniu) powinien wskazać osobie, której dane dotyczą, najbardziej prawdopodobne, negatywne konsekwencje naruszenia ich danych osobowych. Z całą pewnością w przypadku naruszenia takich danych, jak imię, nazwisko oraz numer ewidencyjny PESEL, należy wskazać przede wszystkim na możliwą kradzież lub sfałszowanie tożsamości poprzez uzyskanie przez osoby trzecie, na szkodę osoby, której dane naruszono, pożyczek w instytucjach pozabankowych bądź wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować negatywne konsekwencje związane z próbą przypisania osobie, której dane dotyczą, odpowiedzialności za dokonanie takiego oszustwa. Opis możliwych konsekwencji powinien bowiem odzwierciedlać ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić jej podjęcie niezbędnych działań zapobiegawczych.
W tym miejscu, należy zaznaczyć, że zgodnie z art. 34 ust. 4 rozporządzenia 2016/679, jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy - biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko - może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3. Z kolei z treści art. 58 ust. 2 lit. e) rozporządzenia 2016/679 wynika, że każdemu organowi nadzorczemu przysługuje uprawnienie naprawcze w postaci nakazania administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych.
Podsumowując kompleksowo powyższą argumentację organu nadzorczego, należy stwierdzić, że Administrator - pomimo zaktualizowania się w okolicznościach analizowanego przypadku jego obowiązków - nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w wykonaniu obowiązku z art. 33 ust. 1 rozporządzenia 2016/679 oraz nie zawiadomił bez zbędnej zwłoki osoby, której dane dotyczą, o naruszeniu ochrony jej danych, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, co oznacza naruszenie przez Spółdzielnię tych przepisów.
Zgodnie z art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 rozporządzenia 2016/679, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy. Prezes UODO stwierdza, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Spółdzielnę administracyjnej kary pieniężnej w oparciu o art. 83 ust. 4 lit. a) rozporządzenia 2016/679 stanowiący m.in., że naruszenie obowiązków administratora, o których mowa w art. 33 i 34 rozporządzenia 2016/679, podlega administracyjnej karze pieniężnej w wysokości do 10 000 000 EURO, a w przypadku przedsiębiorstwa - w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Stosownie do treści art. 83 ust. 2 rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a) - h) oraz lit. j) rozporządzenia 2016/679. Decydując o nałożeniu na Spółdzielnę Mieszkaniową administracyjnej kary pieniężnej Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:
1. Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679);
W niniejszej sprawie stwierdzono naruszenie przepisu art. 33 ust. 1 rozporządzenia 2016/679 (polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia) oraz art. 34 ust. 1 rozporządzenia 2016/679 (polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osoby, której dane dotyczą). Związane są one ze zdarzeniem polegającym na udostępnieniu dokumentu (zawiadomienia o podejrzeniu popełnienia przestępstwa) zawierającego dane osobowe członkini Spółdzielni Mieszkaniowej w postaci: numeru PESEL wraz z imieniem i nazwiskiem i adresem zamieszkania, co sprawia, że ma ono znaczną wagę i poważny charakter, ponieważ zdarzenie to może doprowadzić do szkód majątkowych lub niemajątkowych dla osoby, której dane zostały naruszone, a prawdopodobieństwo ich wystąpienia jest wysokie. Co prawda, w niniejszej sprawie naruszenie ochrony danych osobowych dotyczyło tylko jednej osoby, lecz za okoliczność obciążającą Prezes UODO uznaje długi czas trwania naruszenia przez Spółdzielnę Mieszkaniową przepisów rozporządzenia 2016/679. Od powzięcia przez Administratora informacji o naruszeniu do dnia wydania niniejszej decyzji upłynęło kilkanaście miesięcy, w trakcie których ryzyko naruszenia praw lub wolności osoby dotkniętej naruszeniem mogło się zrealizować, a czemu osoba ta nie mogła przeciwdziałać ze względu na niewywiązanie się przez Spółdzielnię z obowiązku zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO oraz z obowiązku powiadomienia o nim osoby, której dane dotyczą.
2. Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679);
Zgodnie z Wytycznymi Grupy Roboczej Art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 WP253 (przyjętymi w dniu 3 października 2017 r., zatwierdzonymi przez EROD w dniu 25 maja 2018 r.), umyślność „obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego”. Spółdzielnia podjęła świadomą decyzję, by nie zawiadamiać o naruszeniu Prezesa UODO, jak i osoby, której dane dotyczą. Nie ulega wątpliwości, że Spółdzielnia, przetwarzając dane osobowe na masową skalę, musi mieć wiedzę w zakresie ochrony danych osobowych, obejmującą wiedzę o konsekwencjach stwierdzenia naruszenia ochrony danych osobowych skutkującego wysokim ryzykiem naruszenia praw lub wolności osób fizycznych (a wiedzy tej wymagać można nie tylko od administratora lecz również od powołanego przez niego inspektora ochrony danych). Będąc tego świadomym, Administrator podjął jednak decyzję o rezygnacji z dokonania zgłoszenia naruszenia Prezesowi UODO i powiadomienia osoby, której dane dotyczą, pomimo faktu, że Prezes UODO w pierwszej kolejności informował Spółdzielnę Mieszkaniową o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych. W końcu samo wszczęcie przez Prezesa UODO niniejszego postępowania w przedmiocie obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu i zawiadomienia o naruszeniu osoby, której dane dotyczą, powinno nasunąć Administratorowi co najmniej wątpliwości co do słuszności przyjętego przez niego stanowiska.
3. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679).
W niniejszej sprawie Prezes UODO uznał za niezadowalającą współpracę z nim ze strony Spółdzielni Mieszkaniowej. Ocena ta dotyczy reakcji Administratora na pisma Prezesa UODO informujące o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych, czy wreszcie wobec wszczęcia postępowania administracyjnego w przedmiocie obowiązku zgłoszenia naruszenia ochrony danych osobowych i zawiadomienia o naruszeniu osoby, której dane dotyczą. Prawidłowe w ocenie Prezesa UODO działania (zgłoszenie naruszenia Prezesowi UODO i zawiadomienie o nim osoby, której dotyczyło naruszenie) nie zostały podjęte przez Spółdzielnię Mieszkaniową nawet po wszczęciu przez Prezesa UODO postępowania administracyjnego w sprawie.
4. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679);
Dane osobowe udostępnione osobie nieuprawnionej nie należą do szczególnych kategorii danych osobowych, o których mowa w art. 9 rozporządzenia 2016/679, jednakże fakt, iż w udostępnionym dokumencie (zawiadomieniu o podejrzeniu popełnienia przestępstwa) zawarto szeroki ich zakres (imię i nazwisko, adres zamieszkania, numer ewidencyjny PESEL), wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Numer PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający datę urodzenia, numer porządkowy, oznaczenie płci oraz liczbę kontrolną, a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga. Nie ma innej, tak konkretnej danej, która by w sposób jednoznaczny identyfikowała osobę fizyczną. Nie bez powodu numer PESEL służy jako dana identyfikująca każdą osobę i jest powszechnie używany w kontaktach z różnymi instytucjami oraz w obiegu prawnym. Numer PESEL wraz z imieniem i nazwiskiem w sposób jednoznaczny identyfikuje osobę fizyczną, w sposób pozwalający przypisać negatywne skutki naruszenia (np. kradzież tożsamości, wyłudzenie pożyczki) tej konkretnej osobie.
Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO nie znalazł podstaw do uwzględnienia okoliczności łagodzących, mających wpływ na ostateczny wymiar kary. Wszystkie przesłanki wymienione w art. 83 ust. 2 lit. a - j rozporządzenia 2016/679 w ocenie organu nadzorczego stanowią albo przesłanki obciążające albo jedynie neutralne. Również stosując przesłankę wymienioną w art. 83 ust. 2 lit. k rozporządzenia 2016/679 (nakazującą wzięcie pod uwagę wszelkich innych obciążających lub łagodzących czynników mających zastosowanie do okoliczności sprawy) nie znaleziono żadnych okoliczności łagodzących, a jedynie neutralne (co zostało odnotowane poniżej w pkt 7 dotyczącym osiągniętych bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowych lub unikniętych strat).
Żadnego wpływu na fakt zastosowania przez Prezesa UODO w niniejszej sprawie sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały inne, wskazane w art. 83 ust. 2 rozporządzenia 2016/679, okoliczności:
1. Działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679);
Na postawie zgormadzonego w sprawie materiału dowodowego nie stwierdzono podjęcia przez Administratora takich działań.
2. Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679);
Naruszenie oceniane w niniejszym postępowaniu (niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych oraz niezawiadomienie o naruszeniu ochrony danych osobowych osób, których dane dotyczą) nie ma związku ze stosowanymi przez administratora środkami technicznymi i organizacyjnymi.
3. Stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 ze strony administratora (art. 83 ust. 2 lit. e rozporządzenia 2016/679);
Prezes UODO nie stwierdził jakichkolwiek, dokonanych przez Administratora, wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. A ponieważ taki stan (przestrzeganie przepisów o ochronie danych osobowych) jest stanem naturalnym, wynikającym z ciążących na Administratorze obowiązków prawnych, nie może mieć on również wpływu łagodzącego na dokonaną przez Prezesa UODO ocenę naruszenia.
4.Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679);
O zaistnieniu przedmiotowego naruszenia przepisów art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679 związanego ze zdarzeniem polegającym na udostępnieniu przez Administratora dokumentu zawierającego dane osobowe członkini Spółdzielni, Prezes UODO został poinformowany przez osobę trzecią.
5. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679);
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
6. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust 2 lit. j rozporządzenia 2016/679);
Administrator nie stosuje instrumentów, o których mowa w art. 40 i art. 42 rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak - jak stanowią przepisy rozporządzenia 2016/679 - obowiązkowe dla administratorów i podmiotów przetwarzających, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na korzyść Administratora natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.
7. Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679);
Prezes UODO nie stwierdził, żeby Administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Administratora. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez Administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla Administratora. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” - zaistniałe po stronie podmiotu dokonującego naruszenia.
W ocenie Prezesa UODO zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.
Należy podkreślić, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Spółdzielna Mieszkaniowa, profesjonalnie i na skalę masową przetwarzająca dane osobowe, w przyszłości będzie wywiązywała się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie zgłaszania naruszenia ochrony danych osobowych Prezesowi UODO oraz zawiadamiania o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie.
W ocenie Prezesa UODO administracyjna kara pieniężna spełni funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Spółdzielnię Mieszkaniową przepisów rozporządzenia 2016/679. Będzie również spełniać funkcję prewencyjną; w ocenie Prezesa UODO wskaże bowiem zarówno Spółdzielnia Mieszkaniowa, jak i innym administratorom danych, na naganność lekceważenia obowiązków administratorów związanych z zaistnieniem naruszenia ochrony danych osobowych, a mających na celu przecież zapobieżenie jego negatywnym i często dotkliwym dla osób, których naruszenie dotyczy, skutkom, a także usunięcie tych skutków lub przynajmniej ograniczenie.
Stosownie do treści art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), zwanej dalej „uodo”, równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.
Mając powyższe na uwadze, Prezes UODO, na podstawie art. 83 ust. 4 lit. a) w związku z art. 103 uodo, za naruszenie opisane w sentencji niniejszej decyzji, nałożył na Spółdzielnię - stosując średni kurs euro z dnia 30 stycznia 2023 r. (1 EUR = 4,7160 PLN) - administracyjną karę pieniężną w kwocie 51.876,- PLN (co stanowi równowartość 11.000,- EUR).
W ocenie Prezesa UODO, zastosowana kara pieniężna w wysokości 51.876,- PLN (słownie: pięćdziesiąt jeden tysięcy osiemset siedemdziesiąt sześć złotych), spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonego naruszenia w kontekście podstawowego celu rozporządzenia 2016/679 - ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych. Odnosząc się do wysokości wymierzonej Spółdzielni Mieszkaniowej administracyjnej kary pieniężnej, Prezes UODO uznał, iż jest ona proporcjonalna do sytuacji finansowej Administratora i nie będzie stanowiła dla niego nadmiernego obciążenia. Z przedstawionego przez Spółdzielnię sprawozdania finansowego wynika, że przychody netto ze sprzedaży i zrównane z nimi w 2021 r. wyniosły (…) zł, w związku z czym kwota nałożonej w niniejszej sprawie administracyjnej kary pieniężnej stanowi ok. (…) % ww. kwoty przychodów z poprzedniego roku obrotowego. Jednocześnie warto podkreślić, że kwota nałożonej kary 51.876,- PLN to jedynie 0,11 % maksymalnej wysokości kary, którą Prezes UODO mógł - stosując zgodnie z art. 83 ust. 4 rozporządzenia 2016/679 statyczne maksimum kary (tj. 10.000.000,- euro) - nałożyć na Spółdzielnię za stwierdzone w niniejszej sprawie naruszenia. Oceniając wysokość wymierzonej w niniejszej sprawie kary należy również wziąć pod uwagę wielkość ukaranego podmiotu, o czym świadczyć może również to, że (zgodnie z danymi podanymi na stronie internetowej Spółdzielni Mieszkaniowej pod adresem: (…)) powierzchnia użytkowa zasobów Spółdzielni Mieszkaniowej na koniec 2021 r. wynosiła ogółem (…) m² (przy czym w mieszkaniach zameldowanych było (…) osób), a według stanu na ten sam dzień Spółdzielnia Mieszkaniowa posiadała (…) ha gruntów.
Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność uiszczenia kary finansowej pociągnie za sobą negatywne następstwa, w postaci znaczącej redukcji zatrudnienia bądź istotnego spadku obrotów Spółdzielni Mieszkaniowej. Zdaniem Prezesa UODO, Spółdzielna Mieszkaniową powinna i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, o czym świadczy chociażby sprawozdanie finansowe Spółdzielni Mieszkaniowej, przesłane do Prezesa UODO w dniu [...] listopada 2022 r.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.