PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH Warszawa, dnia 11 stycznia 2021 r.

Decyzja

DKN.5131.7.2020

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm.), art. 7 ust. 1 oraz art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), a także art. 57 ust. 1 lit. a), art. 58 ust. 2 lit. i), art. 83 ust. 1 - 3 i art. 83 ust. 4 lit. a) w związku z art. 33 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwanego dalej również „rozporządzeniem 2016/679”, po przeprowadzeniu postępowania administracyjnego  w sprawie braku zgłoszenia naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych, przez ENEA S.A. z siedzibą w Poznaniu przy ul. Góreckiej 1, Prezes Urzędu Ochrony Danych Osobowych,

stwierdzając naruszenie przez ENEA S.A. z siedzibą w Poznaniu przy ul. Góreckiej 1 przepisu art. 33 ust. 1 rozporządzenia 2016/679, polegającego na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, nakłada na ENEA S.A. z siedzibą w Poznaniu przy ul. Góreckiej 1 administracyjną karę pieniężną w wysokości 136 437 PLN (słownie: sto trzydzieści sześć tysięcy czterysta trzydzieści siedem złotych).

Uzasadnienie

Do Urzędu Ochrony Danych Osobowych, zwanego dalej również ,,UODO”, dnia […] czerwca 2020 r. wpłynęła informacja o naruszeniu ochrony danych osobowych pochodząca od osoby, która stała się nieuprawnionym adresatem przedmiotowych danych osobowych. Naruszenie polegało na wysłaniu przez osobę związaną z ENEA S.A. z siedzibą w Poznaniu przy ulicy Góreckiej 1, zwaną dalej również ,,Spółką”, do nieuprawnionego adresata wiadomości e-mail z załącznikiem zawierającym dane osobowe adresata oraz dwustu pięćdziesięciu dziewięciu innych osób (klientów Spółki), w wyniku czego doszło do naruszenia poufności danych w zakresie: imion, nazwisk, adresów e-mail, numerów telefonów oraz informacji dotyczących daty rejestracji w […]. Osoba, która przesłała (korzystając z konta e-mail niebędącego jej kontem służbowym) wiadomość wraz z niewłaściwym, niezaszyfrowanym plikiem zawierającym dane osobowe, była (jak wynika z późniejszych wyjaśnień Spółki) współpracownikiem firmy, z którą współpracuje wykonawca prowadzący dla Spółki badania jakościowe (P. Sp. z o.o.).

W związku z powyższym, w dniu […] czerwca 2020 r. Prezes Urzędu Ochrony Danych Osobowych, zwany dalej również ,,Prezesem UODO”, na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679, zwrócił się do Spółki o wyjaśnienie, czy w związku z wysyłką wyżej opisanej wiadomości e-mail do nieuprawnionego odbiorcy została dokonana analiza incydentu pod kątem ryzyka naruszenia praw i wolności osób fizycznych niezbędna do oceny, czy doszło  do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie. W piśmie Prezes UODO wskazał Spółce, w jaki sposób może dokonać zgłoszenia naruszenia oraz wezwał do złożenia wyjaśnień w terminie 7 dni od dnia doręczenia pisma.

W odpowiedzi na powyższe, Spółka pismem z dnia […] czerwca 2020 r. potwierdziła,  że naruszenie ochrony danych osobowych polegające na udostępnieniu danych osobowych nieuprawnionemu odbiorcy miało miejsce. Ponadto, Spółka wskazała, że została dokonana ocena pod kątem ryzyka naruszenia praw i wolności osób fizycznych. Na jej podstawie Spółka uznała, iż nie doszło do naruszenia skutkującego koniecznością zawiadomienia Prezesa UODO, ponieważ:

1) dane nie miały szczególnego charakteru,

2) administrator zna tożsamość osoby, której zostały ujawnione dane i otrzymał od niej oświadczenie, że w sposób trwały zniszczyła załącznik, do którego otrzymania nie była upoważniona.

Ponadto Spółka zaznaczyła, że „ze względu na szybko podjęte działania wyeliminowaliśmy możliwość aby zdarzenie wywołało negatywne skutki dla osób, których dane dotyczą”.

W związku z ww. pismem, z uwagi na zawartą w nim ocenę ryzyka naruszenia praw  i wolności osób, których dane dotyczą, Prezes UODO w piśmie z dnia […] lipca 2020 r. poinformował Spółkę, że „zgodnie z art. 33 ust. 1 ww. rozporządzenia, w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia”. Nadto w piśmie tym wskazał Spółce między innymi, że „Przy ocenie, czy naruszenie skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych należy brać pod uwagę m.in. treść motywu 75 oraz 85 ww. rozporządzenia. Nadto Grupa Robocza Art. 29 w Wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP250rev.01)[1] wskazała, że administrator oceniając ryzyko dla osób fizycznych będące wynikiem naruszenia powinien uwzględnić »konkretne okoliczności naruszenia, w tym wagę potencjalnego wpływu i prawdopodobieństwo jego wystąpienia« oraz zaleciła, by w trakcie oceny brać pod uwagę wskazane w tych Wytycznych kryteria. W ww. Wytycznych  wyjaśniono również, że »podczas oceny ryzyka, które może powstać w wyniku naruszenia, administrator powinien łącznie uwzględnić wagę potencjalnego wpływu na prawa i wolności osób fizycznych i prawdopodobieństwo jego wystąpienia. Oczywiście ryzyko wzrasta, gdy konsekwencje naruszenia są poważniejsze, jak również wtedy, gdy wzrasta prawdopodobieństwo ich wystąpienia. W przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna«”. Jednocześnie Prezes UODO wezwał Spółkę na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679 do udzielenia informacji, czy w związku z zaistniałym zdarzeniem dokonana została ponowna analiza incydentu pod kątem ryzyka naruszenia praw i wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych oraz osób, których dotyczy naruszenie, a jeśli tak, to czy wyniki ponownie przeprowadzonej analizy są identyczne jak rezultaty poprzednio przeprowadzonej przez administratora oceny ww. zdarzenia, a ponadto wezwał do przesłania wyjaśnień w terminie 7 dni od dnia doręczenia pisma.

W odpowiedzi z dnia […] lipca 2020 r. Spółka wyjaśniła, że dokonała ponownej analizy ryzyka, która wykazała wynik analogiczny do wyniku analizy przeprowadzonej przez administratora w dniu […] czerwca 2020 r., to jest uznała, że istnieje małe prawdopodobieństwo naruszenia praw lub wolności osób, których dane dotyczą. Załącznikiem nr 1 do tego pisma była „Analiza wtórnego naruszenia ochrony danych osobowych” obrazująca przebieg dokonanej przez Spółkę analizy ryzyka naruszenia praw lub wolności osób fizycznych. Spółka w przesłanym piśmie zwróciła również uwagę na podjęte przez siebie środki zaradcze, podkreślając, że „Działania zaradcze pozwoliły na wyeliminowanie możliwości, aby incydent wywołał negatywne skutki dla osób, których dane dotyczą. Istotne znaczenie dla wyniku obu analiz ma fakt, że incydent dotyczył danych podstawowych (tj. imię, nazwisko, e-mail, numer telefonu oraz data rejestracji), a także że administrator zna tożsamość osoby, której na drodze omyłki zostały ujawnione dane osobowe. Administrator otrzymał również w dniu […].06.2020 r. oświadczenie od osoby, której ujawnione zostały dane, że w sposób trwały zniszczył załącznik z danymi osobowymi, do którego otrzymania osoba ta nie była upoważniona. Powyższe środki zaradcze doprowadziły do wyeliminowania prawdopodobieństwa dalszego naruszenia ochrony danych w niniejszej sprawie”.

W związku z powyższym, Prezes UODO zwrócił się do Spółki pismem z dnia […] września 2020 roku, w którym wskazał między innymi, że art. 33 ust. 1 zdanie pierwsze rozporządzenia 2016/679 stanowi, że: „W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” oraz oświadczył, że „Wbrew temu, co zawarto we wnioskach płynących z analizy, którą obrazuje ww. Załącznik nr 1, to, czy doszło do naruszenia praw lub wolności osób fizycznych jest indyferentne dla administratora, którego obowiązkiem jest zgłoszenie organowi nadzorczemu naruszenia ochrony danych osobowych »chyba  że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych«”. Nadto podkreślono, że „złożenie oświadczenia przez osobę możliwą do zidentyfikowania  o trwałym zniszczeniu załącznika z danymi osobowymi nie eliminuje wcale ryzyka naruszenia ochrony danych osobowych - zwłaszcza biorąc pod uwagę, że Spółka nie uzyskała informacji dotyczących ewentualnego dalszego udostępniania tych danych przez nieupoważnionego odbiorcę. Ponadto Spółka powinna wziąć pod uwagę chociażby fakt, że do naruszenia ochrony danych doszło w dniu […] czerwca 2020 roku, a oświadczenie powyższe (niezależnie od oceny jego wagi i skutków) złożone zostało dopiero w dniu […] czerwca 2020 roku - jeśli oświadczenie złożone przez nieupoważnionego odbiorcę miało niwelować ryzyko naruszenia ochrony danych osobowych, to przez pięć dni ryzyko to istniało”. W piśmie tym Prezes Urzędu Ochrony Danych Osobowych zwrócił się do Spółki na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679 o złożenie w ciągu 7 dni od dnia doręczenia tego pisma wyjaśnień dotyczących między innymi tego, jakie ewentualnie „Działania zaradcze”, wspomniane w piśmie z dnia […] lipca 2020 roku, niestanowiące uzyskania od nieuprawnionego odbiorcy wiadomości e-mail oświadczenia o trwałym zniszczeniu załącznika „pozwoliły na wyeliminowanie możliwości, aby incydent wywołał negatywne skutki dla osób, których dane dotyczą”.

Pismem z dnia […] września 2020 r. Spółka udzieliła wyjaśnień, z których wynika między innymi, że „Spółka (…) o naruszeniu ochrony danych dowiedziała się w dniu […] czerwca 2020 r. Tego samego dnia poddostawca Spółki skontaktował się z nieuprawnionym odbiorcą danych, a więc Spółka natychmiastowo podjęła działania zaradcze, które od pierwszego dnia niwelowało ryzyko naruszenia ochrony danych. W dniu […] czerwca 2020 r. nieuprawniony odbiorca w rozmowie telefonicznej z pracownikiem Spółki oświadczył, że dokona trwałego usunięcia danych. Nieuprawiony odbiorca w dniu […] czerwca 2020 r. zobowiązał się do trwałego usunięcia, a jedynie potwierdzenie tego działania miało miejsce w dniu […] czerwca 2020 r. Tak więc, Spółka już od pierwszego dnia od powzięcia informacji o naruszaniu ochrony danych powzięła działania zaradcze, aby ryzyko naruszenia praw lub wolności osób fizycznych zostało niwelowane. Odnosząc się do kolejnych działań zaradczych, Spółka przeprowadziła analizę w zakresie identyfikacji przyczyn incydentu ochrony danych oraz dokonała aktualizacji dokumentacji dotyczącej: a) Wyboru dostawców (podmiotów przetwarzających) w ramach procedury przetargowej obowiązującej w Spółce (m.in. Spółka doprecyzowała, to co już wynikało z umowy, że dostawcy kontaktujący się z klientami są obowiązani korzystać z firmowej domeny poczty elektronicznej). b) Zleciła dostawcy, aby dostawca ponownie przeprowadził szkolenia w zakresie prawidłowego adresowania i wysyłania korespondencji przez swoich pracowników”. W ocenie Prezesa UODO Spółka nie wykazała żadnych dodatkowych środków zaradczych niwelujących ryzyko naruszenia praw lub wolności osób, których dane dotyczą, związanych z przedmiotowym zdarzeniem.

Wobec braku zgłoszenia naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych, w dniu […] października 2020 r. Prezes UODO wszczął wobec Spółki postępowanie administracyjne (sygnatura pisma: […]).

W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego, Spółka pismem z dnia […] października 2020 r. poinformowała, że:

1. W wyniku naruszenia nie doszło do powstania uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak kontrola nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub innych szkód gospodarczych lub społecznych, o których mowa w motywie 85 Preambuły RODO. Wobec powyższego, mając na uwadze zasadę rozliczalności oraz w oparciu o analizę ryzyka, przeprowadzoną przez inspektora ochrony danych ENEA S.A. oraz zewnętrzną Kancelarię (specjalizującą się  w przepisach o ochronie danych osobowych, do której Spółka zwróciła się o wsparcie) Spółka uznała, że jest mało prawdopodobne, aby naruszenie to mogło powodować ryzyko naruszenia praw lub wolności klientów, których dane osobowe znajdowały się w omyłkowo wysłanej bazie.

2. Oprócz stałej współpracy z wykonawcą, tj. P. Sp. z o.o., celem wyjaśnienia okoliczności zdarzenia, w tym m.in. odebrania istotnych oświadczeń, ENEA S.A. wykonała weryfikację, czy w ramach pracy nad bazą nie doszło ze strony podmiotu przetwarzającego, tj. P. Sp. z o.o. lub podwykonawców podmiotu przetwarzającego, do innych naruszeń. W ramach tej weryfikacji […] Enea S.A. kontaktował się z osobami, których dane posiadał P. Sp. z o.o. w celu ustalenia, z jakich adresów mailowych osoby wykonujące zlecenie ze strony P. Sp. z o.o. kontaktowały się z klientami oraz jaka była jakość świadczonych usług. Spółka wyciągnęła także konsekwencje cywilnoprawne w stosunku do Wykonawcy. Z powyższego jasno wynika, że Enea S.A., jako administrator danych, podjęła oprócz wszelkich koniecznych działań niezbędnych do wyjaśnienia sprawy, także działania dodatkowe, aby rzetelnie i dogłębnie wyjaśnić przedmiotowe zdarzenie i zbadać, czy nie doszło do innych zdarzeń, które mogłyby skutkować naruszeniem praw i wolności osób fizycznych.

Ponadto, do ww. pisma Spółka załączyła „drugie oświadczenie o usunięciu danych osobowych, wystawione przez p. (…), który uzyskał nieuprawniony dostęp do danych osobowych klientów ENEA S.A. na skutek omyłki p. (…), pracującej przy badaniach ze strony Wykonawcy ENEA S.A. tj. P. Sp. z o.o. Wskazane oświadczenie zawiera potwierdzenie, że dane klientów ENEA S.A.:  a) zostały niezwłocznie usunięte przez pana (…), b) nie były kopiowane, ani udostępnianie innym osobom przez pana (…)”.

W konsekwencji, w ocenie inspektora ochrony danych Spółki w przedmiotowej sprawie nie zaszła konieczność zgłoszenia naruszenia do Prezesa UODO.

W związku z faktem, iż wyżej opisane pisma kierowane w sprawie do Urzędu Ochrony Danych Osobowych podpisane zostały przez inspektora ochrony danych, a nie przez przedstawicieli Spółki zgodnie ze sposobem reprezentacji ujawnionym w Rejestrze Przedsiębiorców prowadzonym przez Krajowy Rejestr Sądowy, w dniu […] grudnia 2020 roku zwrócono się do Spółki między innymi  o przekazanie tutejszemu Urzędowi brakującego dokumentu: pełnomocnictwa udzielonego pracownikowi Spółki udzielającemu odpowiedzi na korespondencję kierowaną do administratora przez Prezesa Urzędu Ochrony Danych Osobowych. W odpowiedzi, Spółka skierowała do Urzędu Ochrony Danych Osobowych w dniu […] grudnia 2020 roku wyżej opisane pismo (wysłane uprzednio w dniu […] października 2020 roku i wówczas podpisane przez inspektora ochrony danych), opatrzone w dniu […] grudnia 2020 roku podpisami dwóch członków zarządu Spółki. Pismo z dnia […] grudnia 2020 roku zawiera również między innymi wyjaśnienie, że „(….) wszystkie pisma wysyłane do UODO i podpisywane przez IOD Enea S.A., są uprzednio konsultowane i akceptowane przez Administratora”.

W odpowiedzi na zawiadomienie o zgromadzeniu materiału dowodowego przesłane Spółce  w dniu […] stycznia 2021 roku, w dniu […] stycznia 2021 roku Spółka wysłała pismo, w którym podtrzymała dotychczasowe stanowiska przedstawione w korespondencji prowadzonej z Urzędem Ochrony Danych Osobowych od czerwca 2020 roku, a także odniosła się m.in. do kwestii braku zgłoszenia zaistniałego incydentu Prezesowi UODO. Spółka wskazała, że analizy incydentu zostały przeprowadzone w oparciu o wytyczne European Union Agency for Network and Information Security (ENISA), 2013, Recommendations for a methodology of the assessment of severity of personal data breaches oraz że stosując je, uzyskała wynik ryzyka na poziomie WN < 2 czyli: „Osoby nie zostaną dotknięte naruszeniem lub wywoła ono drobne niedogodności”. Spółka zwróciła również ponownie uwagę na „kluczowe elementy składowe analizy ryzyka”, wskazując, na (cyt.):

1. Rodzaj i poziom wrażliwości danych - nieuprawnione udostępnienie danych osobowych dotyczyło imienia, nazwiska, adresu email, numeru telefonu oraz informacji o dacie rejestracji. W/w zakres danych, których dotyczyło nieuprawnione udostępnienie stanowi dane podstawowe, a nie dane dotyczące zachowań (wchodzących w zakres danych tzw. behawioralnych). Zwracamy również uwagę, że dane dotyczące zachowań osoby można uzyskać dokonując profilowania, o czym mowa w art. 4 pkt. 4 RODO. Natomiast w ramach naszych działań nie prowadzimy profilowania, zaś sama informacja o dacie rejestracji w […] nie jest wystarczającą przesłanką do uznania, że mamy do czynienia z informacją o preferencjach. Co więcej, należy wyraźnie zaznaczyć, że klienci rejestrują się w […], ponieważ otrzymują kupony rabatowe, więc tym bardziej nie można mówić tutaj o szczególnej informacji dotyczącej preferencji. Inaczej byłoby w przypadku wskazania np. zakresu dokonywanych zakupów, czego jednak nie obejmowała przedmiotowa baza.

2. Możliwość identyfikacji - opierając się na ENISA zauważamy, że analizowanym stanie faktycznym zachodziła Ograniczona możliwość identyfikacji - zachodzi wówczas gdy krąg odbiorców jest niewielki a w zakresie danych brak danych ewidencyjnych typu PESEL. Pragniemy podkreślić,  że nieuprawniony odbiorca niezwłocznie usunął dane do których uzyskał dostęp na skutek omyłki podwykonawcy. Co więcej, złożył również oświadczenie o zachowaniu poufności.

Nadto w ww. piśmie z dnia […] stycznia 2021 roku, opisując podjęte środki zaradcze, Spółka oświadczyła m.in., że wypowiedziała umowę P. Sp. z o.o. w związku z niespełnieniem standardów bezpieczeństwa, do których spełnienia P. Sp. z o.o. była zobowiązana umową ze Spółką  oraz „wprowadziła zaostrzone wymagania dotyczące minimalnych środków technicznych  i organizacyjnych, które spełniać ma Wykonawca (mimo że dotychczasowe były zgodne  z obowiązującymi normami prawnym)”. Spółka wniosła również o „odstąpienie od wymierzenia kary lub jej nadzwyczajne złagodzenie” ze względu na podjęcie przez nią niezbędnych działań celem „ograniczenia a wręcz wyeliminowania skutków tego naruszenia”.

Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył co następuje:

Zgodnie z art. 4 pkt 12 rozporządzenia 2016/679 „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Art. 33 ust. 1 i 3 rozporządzenia 2016/679 stanowią, że w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgłoszenie, o którym mowa  w ust. 1, musi co najmniej: a) opisywać charakter naruszenia ochrony danych osobowych, w tym  w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Z treści przywołanych wyżej przepisów rozporządzenia 2016/679 wynika, że w przypadku wystąpienia naruszenia ochrony danych osobowych po stronie administratora danych powstaje obowiązek zgłoszenia go Prezesowi UODO, jeśli z danym naruszeniem wiąże się ryzyko naruszenia praw lub wolności osób fizycznych - niezależnie od poziomu tego ryzyka.

W przedmiotowej sprawie, co jednoznacznie wynika z dokonanych ustaleń, doszło do wysłania do nieuprawnionego odbiorcy wiadomości e-mail wraz z załącznikiem w postaci niezaszyfrowanego pliku zawierającego dane osobowe adresata wiadomości i dwustu pięćdziesięciu dziewięciu innych osób (imiona, nazwiska, adresy e-mail, numery telefonów, a także informacje o dacie rejestracji). Oznacza  to, że doszło do naruszenia bezpieczeństwa prowadzącego do przypadkowego ujawnienia danych dwustu pięćdziesięciu dziewięciu osób osobie nieuprawnionej do otrzymania tych danych,  a więc do naruszenia poufności danych tych osób, co przesądza, że wystąpiło naruszenie ochrony danych osobowych.

Naruszenie ochrony danych osobowych (poufności danych), jakie wystąpiło w niniejszej sprawie, wbrew twierdzeniom Spółki zawartym w korespondencji kierowanej do Prezesa UODO, skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych. Jak wskazuje Grupa Robocza  Art. 29 w wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie  z rozporządzeniem 2016/679, zwanych dalej również ,,wytycznymi”: „Oceniając ryzyko dla osób fizycznych będące wynikiem naruszenia, administrator powinien uwzględnić zatem konkretne okoliczności naruszenia, w tym wagę potencjalnego wpływu i prawdopodobieństwo jego wystąpienia. Grupa Robocza Art. 29 zaleca zatem, aby w trakcie oceny brano pod uwagę następujące kryteria: (…) Liczba osób fizycznych, na które naruszenie wywiera wpływ Naruszenie może dotyczyć tylko jednej osoby, kilku osób lub kilku tysięcy osób - albo dużo większej ich liczby. Zazwyczaj potencjalny wpływ naruszenia wzrasta wraz z liczbą osób, których ono dotyczy. Jednak w zależności od charakteru danych osobowych oraz kontekstu, w którym zostały one ujawnione, naruszenie może mieć poważne konsekwencje nawet dla jednej osoby. Również w tym wypadku najważniejsze jest przeanalizowanie prawdopodobieństwa wystąpienia konsekwencji dla osób, na które naruszenie na wpływ, oraz tego, jak poważne będą te konsekwencje”. Nie ulega wątpliwości, że w omawianym przypadku naruszenie dotyczy wielu osób, co w sposób istotny podnosi wagę naruszenia  i prawdopodobieństwo zmaterializowania się zagrożeń związanych z naruszeniem. Nie bez znaczenia dla takiej oceny ryzyka jest możliwość łatwej w oparciu o ujawnione dane identyfikacji osób, których dane zostały objęte naruszeniem - fakt, że w wyniku naruszenia nie doszło do ujawnienia np. numerów ewidencyjnych PESEL osób nim dotkniętych nie oznacza, że osób tych nie można zidentyfikować. W konsekwencji oznacza to, że występuje ryzyko naruszenia praw lub wolności osób objętych przedmiotowym naruszeniem, co z kolei skutkuje powstaniem po stronie Spółki, jako administratora tych danych, obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 33 ust. 3 rozporządzenia 2016/679.

W przedmiotowej sprawie, jak już wspomniano, doszło do ujawnienia danych osobowych dwustu pięćdziesięciu dziewięciu osób w postaci: imion, nazwisk, adresów e-mail, numerów telefonów, a także informacji o dacie rejestracji. Ujawnienie takich danych nie jest co prawda związane z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, o czym przesądza m.in. podnoszona przez Spółkę okoliczność, że w wyniku naruszenia ochrony danych osobowych nie doszło do ujawnienia danych dotyczących zachowań tych osób (ich preferencji) (a co za tym idzie, Spółka nie miała obowiązku zawiadomić o naruszeniu osób, których dane dotyczą, zgodnie z art. 34 rozporządzenia 2016/679), tym niemniej ryzyko to w takim przypadku istnieje - stąd zaistniała konieczność zawiadomienia Prezesa UODO o naruszeniu. Możliwym ryzykiem związanym  z zaistniałym zdarzeniem jest bowiem w szczególności utrata przez osoby, których dane dotyczą, kontroli nad ich danymi. Dane te mogą np. posłużyć osobom, które wejdą w ich posiadanie, np. do niechcianych przez osoby, których dane dotyczą, kontaktów poprzez e-mail lub telefon - również takich, w czasie których podjęte zostaną próby uzyskania dodatkowych danych tych osób. Wreszcie, przy wykorzystaniu tych danych mogą zostać założone konta w różnego rodzaju serwisach społecznościowych i portalach internetowych, co może mieć negatywny wpływ na postrzeganie tych osób w ich środowisku zawodowym czy rodzinnym, a nawet prowadzić do ich dyskryminacji. Powyższe oznacza zatem, że w przypadku przedmiotowego naruszenia ochrony danych osobowych istnieje ryzyko naruszenia praw lub wolności osób fizycznych.

Warte szczególnego podkreślenia jest to, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować - w treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu. Zatem podnoszona przez Spółkę okoliczność, że cyt.: „w wyniku naruszenia nie doszło do powstania uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak kontrola nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenia dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub innych szkód gospodarczych lub społecznych, o których mowa w motywie 85 Preambuły RODO” nie ma znaczenia dla stwierdzenia istnienia po stronie Spółki obowiązku zgłoszenia przedmiotowego naruszenia ochrony danych osobowych Prezesowi UODO, zgodnie  z art. 33 ust. 1 rozporządzenia 2016/679.

Dla powyższej oceny ryzyka naruszenia praw lub wolności osób fizycznych, związanego  z zaistniałym zdarzeniem, nie ma wpływu fakt zwrócenia się z prośbą do nieuprawnionego odbiorcy o trwałe usunięcie otrzymanej korespondencji, a nawet złożenie przez tę osobę oświadczenia  o trwałym jej usunięciu. Nawet pomimo złożonych w przedmiotowym przypadku oświadczeń, nie ma bowiem pewności, że przed tymi czynnościami osoba ta nie wykonała np. kserokopii lub też nie utrwaliła zawartych w treści dokumentu danych osobowych w inny sposób, np. poprzez ich spisanie. Samo dokonanie czynności wskazanych w złożonych przez nieuprawnionego odbiorcę oświadczeniach nie daje zatem żadnych gwarancji, że intencje takiej osoby obecnie lub w przyszłości nie zmienią się, a ewentualne konsekwencje posłużenia się takimi kategoriami danych mogą być znaczące dla osób, których dane objęte zostały naruszeniem. To samo dotyczy ewentualnego oświadczenia o zniszczeniu otrzymanej korespondencji, bowiem Spółka nie ma możliwości jego faktycznej weryfikacji. W wytycznych Grupy Roboczej Art. 29 stwierdzono: ,,To, czy administrator wie, że dane osobowe znajdują się w rękach osób, których zamiary są nieznane lub które mogą mieć złe intencje, może mieć znaczenie dla poziomu potencjalnego ryzyka. Może nastąpić naruszenie dotyczące poufności danych polegające na omyłkowym ujawnieniu danych osobowych stronie trzeciej, zgodnie z definicją w art. 4 pkt 10, lub innemu odbiorcy. Może to nastąpić na przykład  w sytuacji, gdy dane osobowe zostaną przypadkowo wysłane do niewłaściwego działu organizacji lub do organizacji dostawców, z której usług powszechnie się korzysta. Administrator może wezwać odbiorcę do zwrotu albo bezpiecznego zniszczenia otrzymanych danych. W obu przypadkach – z uwagi na fakt, że administrator pozostaje z tymi podmiotami w stałych stosunkach i może znać stosowane przez nie procedury, ich historię i inne istotne szczegóły ich dotyczące – odbiorcę można uznać za „zaufanego”. Innymi słowy, administrator może ufać odbiorcy na tyle, aby móc racjonalnie oczekiwać, że strona ta nie odczyta omyłkowo wysłanych danych lub nie uzyska do nich wglądu oraz że wypełni polecenie ich odesłania”. W przedmiotowej sprawie nie ma jednak podstaw,  by nieuprawnionego odbiorcę uznać i traktować jako „odbiorcę zaufanego”, co przesądza o istnieniu ryzyka naruszenia praw lub wolności dla osób objętych przedmiotowym naruszeniem. Dla stwierdzenia istnienia po stronie Spółki obowiązku zgłoszenia Prezesowi UODO ww. naruszenia ochrony danych osobowych, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, nie ma także znaczenia fakt podjęcia przez Spółkę działań mających na celu zminimalizowanie ryzyka ponownego wystąpienia naruszenia, wykazanych w korespondencji z organem nadzorczym, a w szczególności  w odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego oraz w piśmie z dnia […] stycznia 2021 roku. Charakter tych działań wskazuje bowiem, że mają one zapobiec wystąpieniu tego typu naruszeń w przyszłości; działania te w żaden sposób natomiast nie wpływają na ocenę,  że w związku z wystąpieniem przedmiotowego naruszenia ochrony danych istnieje ryzyko naruszenia praw i wolności. Ponadto, Grupa Robocza Art. 29 w wytycznych wyraźnie wskazuje, że  ,,w przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna”.

Podkreślić jednocześnie należy, że Spółka dopuszczając możliwość wykorzystania  do komunikacji z klientem pocztę elektroniczną powinna mieć świadomość ryzyk związanych  np. z załączeniem do przesyłanej wiadomości niewłaściwego załącznika. Istnienie tych ryzyk,  w sytuacji braku działań administratora danych mających na celu ich minimalizację poprzez wdrożenie odpowiednich środków organizacyjnych i technicznych, jak np. szyfrowanie przesyłanych w ten sposób dokumentów, prowadzi wprost do powstania ryzyka naruszenia praw lub wolności osób fizycznych, których dane takim kanałem komunikacji są przesyłane.

W sytuacji, gdy na skutek naruszenia ochrony danych osobowych występuje ryzyko naruszenia praw lub wolności osób fizycznych, administrator zobowiązany jest wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych  i szybko poinformować organ nadzorczy. Administrator powinien zrealizować przedmiotowy obowiązek możliwie najszybciej.

W motywie 85 preambuły rozporządzenia 2016/679 wyjaśniono: „Przy braku odpowiedniej  i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki”.

W konsekwencji należy stwierdzić, że Spółka nie dokonała zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w terminie określonym w art. 33 ust. 1 rozporządzenia 2016/679, co oznacza naruszenie przez Spółkę tego przepisu.

Zgodnie z art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 rozporządzenia 2016/679, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy. Prezes UODO stwierdza, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę administracyjnej kary pieniężnej w oparciu o art. 83 ust. 4 lit. a) rozporządzenia 2016/679 stanowiący m.in., że naruszenie obowiązków administratora, o których mowa w art. 33 rozporządzenia 2016/679, podlega administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2 % jego całkowitego rocznego światowego obrotu  z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Stosownie do treści art. 83 ust. 2 rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a) - h) oraz lit. j) rozporządzenia 2016/679. Decydując o nałożeniu na Spółkę administracyjnej kary pieniężnej Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej kary pieniężnej:

a) Liczba poszkodowanych osób, których dane dotyczą (art. 83 ust. 2 lit. a rozporządzenia 2016/679);
Stwierdzone w niniejszej sprawie naruszenie dotyczy dwustu pięćdziesięciu dziewięciu osób  i wiąże się z ryzykiem naruszenia ich praw lub wolności.

b) Czas trwania naruszenia (art. 83 ust. 2 lit. a rozporządzenia 2016/679);
Za okoliczność obciążającą Prezes UODO uznaje długi czas trwania naruszenia. Od powzięcia przez Spółkę informacji o naruszeniu ochrony danych osobowych, to jest od dnia […] czerwca 2020 roku do dnia wydania niniejszej decyzji, Spółka nie wykonała obowiązku wynikającego z art. 33 rozporządzenia 2016/679.

c) Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679);
Spółka podjęła świadomą decyzję, by nie zawiadamiać o naruszeniu Prezesa UODO, pomimo powzięcia informacji o zdarzeniu od nieuprawnionego odbiorcy oraz kierowanych do niej pism Prezesa UODO wskazujących na możliwość zaistnienia w niniejszej sprawie ryzyka naruszenia praw lub wolności osób, których dotyczyło naruszenie. 

d) Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych  i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679);
Stwierdzone naruszenie miało związek z brakiem wdrożenia lub nieprawidłowym wdrożeniem przez Spółkę środków organizacyjnych i technicznych zapewniających bezpieczeństwo danych, tj. np. szyfrowania plików zawierających dane osobowe, które są przesyłane  w wiadomościach elektronicznych.

e) Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679);
W niniejszej sprawie Prezes UODO uznał za niezadowalającą współpracę z nim ze strony Spółki. Ocena ta dotyczy reakcji Spółki na pisma Prezesa UODO wskazujące na możliwość zaistnienia w niniejszej sprawie ryzyka naruszenia praw lub wolności osób, których dotyczyło naruszenie. Prawidłowego w ocenie Prezesa UODO działania (zgłoszenie naruszenia Prezesowi UODO) Spółka nie podjęła.

Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił również okoliczności łagodzące, mające wpływ na ostateczny wymiar kary, tj. działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą  (art. 83 ust. 2 lit. c rozporządzenia 2016/679) - Spółka zwróciła się do nieuprawnionego odbiorcy  z prośbą o trwałe usunięcie otrzymanej korespondencji. Takie działanie Spółki zasługuje na dostrzeżenie i akceptację, jednakże nie jest w żadnym wypadku równoznaczne z gwarancją faktycznego usunięcia przez osobę nieuprawnioną danych osobowych i nie wyklucza ewentualnych negatywnych dla podmiotów danych konsekwencji ich wykorzystania.

Na fakt zastosowania przez Prezesa Urzędu sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały wpływu inne, wskazane w art. 83 ust. 2 rozporządzenia 2016/679, okoliczności, tj.:

a) charakter i waga naruszenia - stwierdzone w niniejszej sprawie naruszenie nie ma znacznej wagi i poważnego charakteru - ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie jest wysokie (art. 83 ust. 2 lit. a rozporządzenia 2016/679);

b) stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 dokonane przez Spółkę (art. 83 ust. 2 lit. e rozporządzenia 2016/679);

c) kategorie danych osobowych, których dotyczyło naruszenie - dane osobowe udostępnione osobie nieuprawnionej nie należą do szczególnych kategorii danych osobowych, o których mowa w art. 9 rozporządzenia 2016/679, jednakże ich zakres (imiona i nazwiska, numery telefonów, adresy e-mail oraz informacje o dacie rejestracji), wiąże się z ryzykiem naruszenia praw lub wolności osób fizycznych (art. 83 ust. 2 lit. g rozporządzenia 2016/679);

d) sposób w jaki organ nadzorczy dowiedział się o naruszeniu - o naruszeniu ochrony danych osobowych stanowiących przedmiot niniejszej sprawy, to jest o udostępnieniu osobie nieuprawnionej danych osobowych przetwarzanych przez Spółkę działającą jako administrator tychże danych, Prezes UODO nie został poinformowany zgodnie z przewidzianą dla takich właśnie sytuacji procedurą określoną w art. 33 rozporządzenia 2016/679 (art. 83 ust. 2 lit. h rozporządzenia 2016/679);

e) przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa  w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679);

f) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679  (art. 83 ust. 2 lit. j rozporządzenia 2016/679);

g) osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679).

W ocenie Prezesa UODO, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

Należy podkreślić, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Spółka, profesjonalnie i na skalę masową przetwarzająca dane osobowe, w przyszłości będzie wywiązywała się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie zgłaszania naruszenia ochrony danych osobowych Prezesowi UODO oraz zawiadamiania  o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie.

Z naruszeniem ochrony danych mamy do czynienia zarówno wówczas, gdy do zdarzenia dojdzie wskutek świadomego działania, jak i wtedy, gdy doprowadzi do niego nieumyślność - fakt, iż do naruszenia doszło w wyniku omyłki nie powoduje zwolnienia administratora z obowiązków określonych w art. 33 ust. 1 rozporządzenia 2016/679 - stąd zastosowanie administracyjnej kary pieniężnej w niniejszym przypadku jest uzasadnione.

W ocenie Prezesa Urzędu Ochrony Danych Osobowych, administracyjna kara pieniężna spełni funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Spółkę przepisów rozporządzenia 2016/679. Będzie również spełniać funkcję prewencyjną; w ocenie Prezesa UODO wskaże bowiem zarówno Spółce jak i innym administratorom danych na naganność lekceważenia obowiązków administratorów związanych z zaistnieniem naruszenia ochrony danych osobowych,  a mających na celu przecież zapobieżenie jego negatywnym i często dotkliwym dla osób, których naruszenie dotyczy, skutkom, a także usunięcie tych skutków lub przynajmniej ograniczenie.

Stosownie do treści art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych  (Dz. U. z 2019 r., poz. 1781), równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.

W związku z powyższym wskazać należy, że kara pieniężna w wysokości 136 437 PLN (słownie: sto trzydzieści sześć tysięcy czterysta trzydzieści siedem złotych), co stanowi równowartość 30 000 euro (średni kurs euro z 28 stycznia 2021 r. - 4,5479 zł), spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonego naruszenia w kontekście podstawowego celu rozporządzenia 2016/679 - ochrony podstawowych praw i wolności osób fizycznych,  w szczególności prawa do ochrony danych osobowych.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

 



[1]https://www.uodo.gov.pl/pl/10/12.

Podmiot udostępniający: Departament Orzecznictwa i Legislacji
Wytworzył informację:
user Jan Nowak
date 2021-01-11
Wprowadził informację:
user Wioletta Golańska
date 2021-02-23 13:29:58
Ostatnio modyfikował:
user Edyta Madziar
date 2021-03-04 11:57:55