Decyzja
DKN.5131.8.2022
Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2022 r. poz. 2000) w związku z art. 7, art. 60 i art. 102 ust. 1 pkt 1 i ust. 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i h) oraz art. 58 ust. 2 lit. i) w związku z art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2, a także art. 83 ust. 1 – 3, art. 83 ust. 4 lit. a) i art. 83 ust. 5 lit. a) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35.), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez Wójta Gminy Dobrzyniewo Duże (Dobrzyniewo Duże, ul. Białostocka 25), Prezes Urzędu Ochrony Danych Osobowych,
stwierdzając naruszenie przez Wójta Gminy Dobrzyniewo Duże przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35.), zwanego dalej: „rozporządzeniem 2016/679”, polegające na przetwarzaniu danych osobowych w sposób niezapewniający odpowiedniego bezpieczeństwa danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, za pomocą odpowiednich środków technicznych lub organizacyjnych poprzez brak wdrożenia odpowiednich środków technicznych i organizacyjnych, a w konsekwencji, brak możliwości wykazania przestrzegania zasady „integralności i poufności”, co stanowi o naruszeniu zasady „rozliczalności” wyrażonej w art. 5 ust. 2 rozporządzenia 2016/679, nakłada na Wójta Gminy Dobrzyniewo Duże za naruszenie przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 administracyjną karę pieniężną w kwocie 8 000 złotych (słownie: osiem tysięcy złotych).
Uzasadnienie
Wójt Gminy Dobrzyniewo Duże (Dobrzyniewo Duże, ul. Białostocka 25), zwany dalej również: Wójtem Gminy lub Administratorem, […] lutego 2022 r. dokonał zgłoszenia Prezesowi Urzędu Ochrony Danych Osobowych (zwanemu dalej także „Prezesem UODO”) naruszenia ochrony danych osobowych członków O., do którego doszło w dniu […] lutego 2022 r. Naruszenie ochrony danych osobowych polegało na włamaniu do mieszkania pracownika i kradzieży laptopa, na którym znajdował się plik zawierający dane osobowe członków O. W konsekwencji ww. naruszenia ochrony danych osobowych doszło do utraty poufności danych osobowych ww. osób. Wójt Gminy określił skalę powstałego naruszenia, która wykazała, że na skradzionym komputerze znajdowało się 51 rekordów z danymi osobowymi w zakresie: imię i nazwisko, adres zamieszkania lub pobytu oraz numer ewidencyjny PESEL. Zgłoszone naruszenie zostało zarejestrowane pod sygnaturą [...].
Pismem z dnia […] lutego 2022 r., organ nadzorczy zwrócił się do Wójta Gminy m.in. o:
- Udzielenie informacji, czy skradziony komputer był prywatny czy służbowy, a jeśli prywatny, to czy procedury Administratora dopuszczają używanie prywatnych komputerów do celów służbowych oraz w jaki sposób Administrator określa sposób ich zabezpieczenia i weryfikuje wdrożenie tych zabezpieczeń.
- Udzielenie informacji, czy Administrator przeprowadził analizę ryzyka uwzględniającą zagrożenie w postaci kradzieży sprzętu komputerowego wykorzystywanego do przetwarzania danych osobowych.
- Udzielenie informacji, czy w Urzędzie Gminy Dobrzyniewo Duże wdrożono instrukcję dotyczącą użytkowania, transportu oraz przechowywania komputerów przenośnych zawierających dane osobowe.
W odpowiedzi udzielonej pismem z dnia […] lutego 2022 r. Wójt Gminy wyjaśnił, co następuje:
- Skradziony komputer był służbowy.
- Administrator regularnie przeprowadza analizę ryzyka. W analizie ryzyka sporządzonej dnia […] grudnia 2021 r., w wierszu […], przewidziano „Zagrożenie utraty danych Kradzież / zagubienie sprzętu i nośników poza organizacją”, które odnosi się do zagrożenia w postaci kradzieży sprzętu komputerowego wykorzystywanego do przetwarzania danych osobowych.
- W Urzędzie Gminy w Dobrzyniewie Dużym opracowano regulamin użytkowania komputerów przenośnych stanowiący załącznik numer […] do Polityki […]. w Urzędzie Gminy Dobrzyniewo Duże, wprowadzonej zarządzeniem nr […] Wójta Gminy z dnia […] maja 2018 r. w sprawie wprowadzenia Polityki […]w Urzędzie Gminy Dobrzyniewo Duże.
Ponadto, w załączeniu do ww. pisma Wójt Gminy przekazał analizę ryzyka za rok 2021, regulamin użytkowania komputerów przenośnych oraz kalkulator wagi naruszenia.
Jednocześnie Wójt Gminy poinformował, że administrator systemów informatycznych Urzędu Gminy w Dobrzyniewie Dużym w dniu […] lutego 2022 roku złożył pisemne oświadczenie, że wszystkie służbowe komputery przenośne wykorzystywane u Administratora posiadają zabezpieczenia kryptograficzne w postaci zaszyfrowanych dysków twardych.
Następnie w dniu […] lutego 2021 r. Prezes UODO zwrócił się do Wójta Gminy o udzielenie dalszych wyjaśnień, tj. o:
- Przedstawienie szczegółowego opisu przyjętej metodyki tworzenia haseł jako środka zabezpieczającego dostęp do komputerów, w tym do skradzionego komputera, m.in. poprzez wskazanie przyjętych warunków złożoności hasła, wykorzystanych funkcji skrótu i ewentualnych innych rozwiązań i ich parametrów (np. zastosowana sól i jej długość).
- Udzielenie informacji, czy administrator dysponuje kopią danych osobowych utraconych w wyniku kradzieży komputera.
- W związku z podaną w piśmie z dnia […] lutego 2022 r. informacją, że „wszystkie służbowe komputery przenośne wykorzystywane u administratora posiadają zabezpieczenia kryptograficzne w postaci zaszyfrowanych dysków twardych”, wskazanie przy użyciu jakiej funkcji/programu dysk skradzionego komputera został zaszyfrowany.
W piśmie z dnia […] lutego 2022 r., stanowiącym odpowiedź na ww. pismo organu nadzorczego, Wójt Gminy wyjaśnił, że:
- Komputery użytkowane u administratora, w tym skradziony komputer posiadają zdefiniowane reguły wymuszające okresową zmianę hasła oraz złożoności hasła. System […].
- Dysponuje kopią danych osobowych utraconych w wyniku kradzieży komputera.
- Oświadczenie, o którym mowa w piśmie z dnia […] lutego 2022 r., dotyczyło stanu aktualnego na dzień składania oświadczenia. Dysk skradzionego komputera nie był zaszyfrowany.
W związku ze złożonymi wyjaśnieniami, w dniu […] lutego 2022 r. Prezes UODO wszczął postępowanie administracyjne w zakresie możliwości naruszenia przez Wójta Gminy, jako administratora danych, obowiązków wynikających z art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, w związku z naruszeniem ochrony danych osobowych członków O. (sygn. pisma [...]).
W odpowiedzi na wszczęcie postępowania administracyjnego, pismami z […] lutego, […] marca 2022 r. oraz […] sierpnia 2022 r. Wójt Gminy przekazał informację, że wdrożył szyfrowanie dysków twardych komputerów przenośnych wykorzystywanych przez Administratora do przetwarzania danych osobowych oraz, że […] marca 2022 r. został odnaleziony skradziony laptop. Sprzęt komputerowy został zniszczony, jednakże dysk komputera nie uległ uszkodzeniu. Analiza logów systemu Windows wykazała, że od dnia kradzieży system operacyjny komputera nie był uruchamiany (brak informacji o logowaniu do systemu).
Następnie w dniu […] września 2022 r. Prezes UODO zwrócił się do Wójta Gminy o udzielenie dalszych wyjaśnień, tj. o wskazanie:
- Powodów, dla których wobec skradzionego komputera, nie zastosowano środka bezpieczeństwa w postaci szyfrowania dysku twardego.
- Od kiedy skradziony komputer zawierający dane osobowe podlegające ochronie, został wydany pracownikowi do korzystania poza zakładem pracy.
W piśmie z […] września 2022 r., stanowiącym odpowiedź na ww. pismo organu nadzorczego, Wójt Gminy wyjaśnił, że:
- „od momentu przeprowadzenia analizy ryzyka ASI sukcesywnie dokonywał szyfrowania dysków twardych komputerów przenośnych używanych u Administratora. Jednakże przełom roku kalendarzowego wiążę się z przeprowadzeniem szeregu prac przygotowujących urząd do nowego roku kalendarzowego (zakupy i wdrożenie sprzętu, konfiguracja programów księgowych oraz systemu elektronicznego obiegu dokumentów). Komputer, który znajdował się w posiadaniu pracownika miał być szyfrowany w możliwie jak najszybszym terminie, niestety wcześniej został skradziony. Aktualnie skradziony komputer znajduje się u Administratora. W związku z toczącym się postępowaniem wyjaśniającym dysk nie jest zaszyfrowany, a sprzęt został zabezpieczony. Obecnie wszystkie komputery przenośnie używane u Administratora są zaszyfrowane.
- Komputer został przekazany pracownikowi […] października 2011 roku.”
W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
Zgodnie z art. 34 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781) - zwanej dalej: ustawą z dnia 10 maja 2018 r., Prezes UODO jest organem właściwym w sprawie ochrony danych i organem nadzorczym w rozumieniu rozporządzenia 2016/679. Stosownie do art. 57 ust. 1 lit. a) i h) rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia oraz prowadzi postępowania w sprawie naruszenia niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego.
Art. 5 rozporządzenia 2016/679 formułuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 lit. f) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („poufność i integralność”). Stosownie zaś do art. 5 ust. 2 rozporządzenia 2016/679, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”). Konkretyzację zasady poufności, o której mowa w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, stanowią dalsze przepisy tego aktu prawnego. Zgodnie z art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
W myśl z art. 25 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.
Z treści art. 32 ust. 1 rozporządzenia 2016/679 wynika, że administrator jest zobowiązany do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Przepis precyzuje, że decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, powinny obejmować środki takie, jak pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Jak wskazuje art. 24 ust. 1 rozporządzenia 2016/679, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze są czynnikami, które administrator ma obowiązek uwzględniać w procesie budowania systemu ochrony danych, również w szczególności z punktu widzenia pozostałych obowiązków wskazanych w art. 25 ust. 1, art. 32 ust. 1 czy art. 32 ust. 2 rozporządzenia 2016/679. Wskazane przepisy uszczegóławiają zasadę poufności określoną w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, a przestrzeganie tej zasady jest konieczne dla prawidłowej realizacji zasady rozliczalności wynikającej z art. 5 ust. 2 rozporządzenia 2016/679.
Biorąc pod uwagę w szczególności zakres przetwarzanych danych osobowych przez Wójta Gminy przy użyciu skradzionego komputera, w celu prawidłowego wywiązania się z obowiązków nałożonych ww. przepisami rozporządzenia 2016/679, Administrator był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych poprzez wdrożenie odpowiednich środków technicznych oraz organizacyjnych, a także działań zmierzających do optymalnej konfiguracji wykorzystywanych systemów operacyjnych przez regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych w postaci testów bezpieczeństwa w zakresie infrastruktury informatycznej oraz aplikacji. Charakter i rodzaj tych działań powinien wynikać z przeprowadzonej analizy ryzyka, w której powinno się zidentyfikować podatności odnoszące się do wykorzystywanych zasobów oraz wynikające z nich zagrożenia, a następnie określić adekwatne środki bezpieczeństwa.
Jedną z podstaw prawnej ochrony danych osobowych wprowadzoną rozporządzeniem 2016/679 jest obowiązek zapewnienia bezpieczeństwa przetwarzanych danych, określony między innymi w art. 32 ust. 1 rozporządzenia 2016/679. Przepis ten wprowadza podejście oparte na ryzyku, wskazując jednocześnie kryteria, w oparciu o które administrator powinien dokonać wyboru odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Obok ryzyka naruszenia praw lub wolności osób fizycznych należy zatem uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania.
W stanie faktycznym przedmiotowej sprawy, ryzyko dotyczyło zagrożenia polegającego na kradzieży służbowego sprzętu komputerowego z prywatnego mieszkania pracownika Urzędu Gminy Dobrzyniewo Duże. Jak ustalono, ww. komputer był zabezpieczony przed nieautoryzowanym dostępem jedynie za pomocą hasła. Wobec powyższego wskazać należy, że w odniesieniu do komputerów przenośnych wynoszonych poza organizację Administratora, z uwagi na zagrożenia z tym związane, w celu przeciwdziałania potencjalnym skutkom naruszenia i zapobieżenia utracie poufności danych osobowych znajdujących się na takim urządzeniu, administrator, stosownie do ww. przepisów rozporządzenia 2016/679, zobowiązany jest zastosować dodatkowe zabezpieczenia w postaci np. szyfrowania dysków twardych komputera. Określenie tych dodatkowych zabezpieczeń powinno nastąpić w wyniku przeprowadzonej analizy ryzyka, po prawidłowej identyfikacji zagrożeń dla danych osobowych przetwarzanych przy użyciu komputerów przenośnych użytkowanych poza organizacją administratora. Jak wynika z przedstawionej przez Wójta Gminy analizy ryzyka przeprowadzonej […] grudnia 2021 r., Administrator miał świadomość ryzyk związanych z utratą sprzętu komputerowego wynoszonego poza jego organizację, gdyż w wierszu […] w. analizy przewidział „Zagrożenie utraty danych Kradzież / zagubienie sprzętu i nośników poza organizacją”. Co więcej, Wójt Gminy ocenił to ryzyko jako nieakceptowalne i określił, w ramach sposobu postępowania z ryzykiem, zabezpieczenia, jakie należy wdrożyć w celu jego ograniczenia. Wśród wymienionych zabezpieczeń mających obniżyć poziom ryzyka Wójt Gminy wskazał m.in. „szyfrowanie laptopów (A, B)”, ale ich nie zastosował, przynajmniej na tym komputerze, który został skradziony z prywatnego mieszkania pracownika i na którym znajdowały się dane osobowe członków O. Jak wyjaśnił bowiem w piśmie z dnia […] lutego 2022 r., „Dysk skradzionego komputera nie był zaszyfrowany”. Zatem Wójt Gminy, pomimo prawidłowej identyfikacji w przeprowadzonej analizie ryzyka w 2021 r. zagrożeń dla danych osobowych przetwarzanych przy użyciu komputerów wynoszonych poza jego organizację, prawidłowego określenia poziomu ryzyka dla ww. danych oraz zdefiniowania sposobu postępowania z ryzykiem poprzez wskazanie zabezpieczeń, które należy zastosować dla obniżenia tego ryzyka, nie podjął żadnych działań, aby rzeczywiście to ryzyko wyeliminować lub ograniczyć do poziomu akceptowalnego. Efektem braku działania Administratora w tym zakresie była materializacja zidentyfikowanego zagrożenia w postaci kradzieży służbowego komputera z danymi osobowymi, na którym nie zastosowano odpowiednich zabezpieczeń w celu ochrony tych danych, co skutkowało naruszeniem ich poufności. Jak wskazał Wojewódzki Sąd Administracyjny w Warszawie w uzasadnieniu wyroku z 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19, „Przepis ten [art. 32 rozporządzenia 2016/679] nie wymaga od administratora danych wdrożenia jakichkolwiek środków technicznych i organizacyjnych, które mają stanowić środki ochrony danych osobowych, ale wymaga wdrożenia środków adekwatnych. Taką adekwatność oceniać należy pod kątem sposobu i celu, w jakim dane osobowe są przetwarzane, ale też należy brać pod uwagę ryzyko związane z przetwarzaniem tych danych osobowych, które to ryzyko charakteryzować się może różną wysokością.”, a także „Przyjęte środki mają mieć charakter skuteczny, w konkretnych przypadkach niektóre środki będą musiały być środkami o charakterze niwelującym niskie ryzyko, inne – muszą niwelować ryzyko wysokie, ważne jednak jest, aby wszystkie środki (a także każdy z osobna) były adekwatne i proporcjonalne do stopnia ryzyka.” Podobnie wskazany Sąd wypowiedział się w wyroku z dnia 3 września 2020 r., sygn. II SA/Wa 2559/19, stwierdzając, że „Konsekwencją takiej orientacji jest rezygnacja z list wymagań, w zakresie bezpieczeństwa narzuconych przez prawodawcę, na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.” Ponadto,brak wdrożenia ww. środka bezpieczeństwa stanowi o niezastosowaniu się Administratora do własnych zasad bezpieczeństwa, tj. do „Regulaminu […]”, stanowiącego załącznik nr […] do Polityki […] w Urzędzie Gminy Dobrzyniewo Duże., wprowadzonej zarządzeniem nr […] Wójta Gminy z dnia […] maja 2018 r. w sprawie wprowadzenia Polityki […] w Urzędzie Gminy Dobrzyniewo Duże. W pkt […] ww. regulaminu wskazano, że „W przypadku przechowywania na komputerze przenośnym danych osobowych lub stanowiących tajemnicę Pracodawcy, Użytkownik zobowiązany jest do ich przechowywania na dysku szyfrowanym, zabezpieczonym co najmniej (…)”. Podkreślić należy, że wskazaną dokumentację Administrator wprowadził w dniu […] maja 2018 r., a więc już w momencie rozpoczęcia stosowania rozporządzenia 2016/679 miał świadomość konieczności zastosowania tego typu środka dla zapewnienia bezpieczeństwa danych osobowych przetwarzanych przy użyciu przenośnego sprzętu komputerowego. Jednakże jego wdrożenie nastąpiło dopiero po wystąpieniu przedmiotowego naruszenia ochrony danych osobowych, gdyż stosownie do złożonego oświadczenia od dnia […] lutego 2022 r. „wszystkie służbowe komputery przenośne wykorzystywane u administratora posiadają zabezpieczenia kryptograficzne w postaci zaszyfrowanych dysków twardych”. Na powyższe zwrócił również uwagę Wojewódzki Sąd Administracyjny w Warszawie, który w wyroku z dnia 19 stycznia 2021 r., sygn. II SA/Wa 702/20, podniósł, że „(…) administrator danych powinien odpowiednio zabezpieczyć dane osobowe przed ich przypadkową utratą za pomocą odpowiednich środków technicznych i organizacyjnych. Dane osobowe powinny być bowiem przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu (motyw 39 rozporządzenia 2016/679)”.
Wójt Gminy wyjaśniając przyczyny braku zapewnienia odpowiedniego stopnia bezpieczeństwa danym osobowym przetwarzanym na skradziony komputerze, pismem z […] września 2022 r. wskazał na „szereg prac przygotowujących urząd do nowego roku kalendarzowego”, po zakończeniu których zamierzał zaszyfrować dysk twardy przedmiotowego komputera. Z oczywistych względów powyższa okoliczność nie może stanowić usprawiedliwienia dla uchybienia przepisom o ochronie danych osobowych. Dodatkowo mając na uwadze, że wskazane przez Administratora prace nie należą do nadzwyczajnych obowiązków (zakupy i wdrożenie sprzętu, konfiguracja programów księgowych oraz systemu elektronicznego obiegu dokumentów), a zaszyfrowanie dysku twardego komputera nie wymaga nadmiernych sił i środków, stanowi to wyraz zlekceważenia przepisów o ochronie danych osobowych na rzecz innych autonomicznych obowiązków.
Dokonane ustalenia nie dają zatem podstawy do stwierdzenia, że stosowane przez Wójta Gminy środki techniczne w celu zapewnienia bezpieczeństwa danych osobowych były adekwatne do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania, co w konsekwencji nie zapewniało skutecznej realizacji zasad ochrony danych, w tym zapewnienia poufności danych przetwarzanych na służbowych komputerach przenośnych wynoszonych poza organizację Administratora.
Dopiero po naruszeniu Wójt Gminy podjął działania mające na celu uniknięcie podobnych zdarzeń w przyszłości poprzez szyfrowanie dysków twardych komputerów przenośnych będących własnością Administratora. W związku z powyższym należy zauważyć, że gdyby Wójt Gminy zastosował się do wyników własnej analizy ryzyka i określonego w niej sposobu postępowania z ryzykiem oraz do postanowień przyjętego przez siebie „Regulaminu […]”, to mogłoby nie dojść do naruszenia ochrony danych osobowych i utraty poufności danych członków O. Oceny tej nie zmienia fakt odnalezienia w dniu […] marca 2022 r. skradzionego urządzenia przenośnego oraz fakt, że zgodnie z wyjaśnieniami Wójta Gminy „Analiza logów systemu C wykazała, że od dnia kradzieży system operacyjny komputera nie był uruchamiany (brak informacji o logowaniu do systemu)”. W momencie bowiem stwierdzenia naruszenia ochrony danych osobowych ryzyko naruszenia praw lub wolności osób fizycznych było wysokie z uwagi w szczególności na zakres danych osobowych przetwarzanych przy użyciu skradzionego komputera przenośnego i brak wdrożenia na nim adekwatnych środków bezpieczeństwa w celu zapewnienia ochrony tym danym.
Wobec braku zastosowania przez administratora danych adekwatnych środków technicznych mających na celu zminimalizowanie ryzyka naruszenia bezpieczeństwa danych przetwarzanych z wykorzystaniem komputera przenośnego wynoszonego poza organizację Administratora stwierdzić należy, że Wójt Gminy nie zapewnił odpowiedniego poziomu zabezpieczenia danych przetwarzanych przy ich użyciu. Przesądza to o niewdrożeniu przez administratora odpowiednich środków technicznych w czasie przetwarzania danych osobowych, aby przetwarzanie to odbywało się zgodnie z rozporządzeniem 2016/679 i w celu nadania przetwarzaniu niezbędnych zabezpieczeń, do czego był on zobowiązany zgodnie z art. 24 ust. 1 i 25 ust. 1 rozporządzenia 2016/679, jak również o niezastosowaniu środków technicznych zapewniających stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych poprzez zapewnienie zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, do czego zobowiązuje administratora danych art. 32 ust. 1 lit. b) rozporządzenia 2016/679, oraz przy uwzględnieniu ryzyka wiążącego się z przetwarzaniem danych osobowych, o którym mowa w art. 32 ust. 2 rozporządzenia 2016/679, a w konsekwencji również o naruszeniu zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, której ww. przepisy są uszczegółowieniem. Jak bowiem wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19 „(…) czynności o charakterze techniczno – organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych.” Następstwem zaś naruszenia przez Administratora zasady poufności jest naruszenie zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679.
Na podstawie art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a) - h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy. Mając na uwadze ustalenia stanu faktycznego, Prezes Urzędu Ochrony Danych Osobowych, korzystając z przysługującego mu uprawnienia określonego we wskazanym wyżej przepisie rozporządzenia 2016/679 stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Wójta Gminy administracyjnej kary pieniężnej.
Decydując o nałożeniu administracyjnej kary pieniężnej Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:
1. Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
Po przeprowadzeniu postępowania administracyjnego Prezes UODO stwierdził naruszenie podstawowych zasad przetwarzania określonych w art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679, których kategoria zgodnie z ich charakterem została określona w art. 83 ust. 5 rozporządzenia 2016/679. Wobec powyższego charakter naruszenia przepisów o ochronie danych osobowych jest poważny, zaszeregowany do kategorii przepisów, których naruszenie zagrożone jest możliwą najwyższą administracyjną karą pieniężną – w wysokości do 20 000 000 EUR.
Również liczba poszkodowanych osób nie jest mała, obejmowała bowiem 51 osób, a czas trwania naruszenia, tj. od 25 maja 2018 r. (data rozpoczęcia stosowania rozporządzenia 2016/679) do […] lutego 2022 r. (data oświadczenia administratora, że „wszystkie służbowe komputery przenośne wykorzystywane u administratora posiadają zabezpieczenia kryptograficzne w postaci zaszyfrowanych dysków twardych”) przepisów o ochronie danych osobowych, w którym administrator nie zapewnił, aby przetwarzanie odbywało się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, za pomocą odpowiednich środków technicznych lub organizacyjnych, był znaczny.
2. Nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
Wójt Gminy był świadomy w jaki sposób powinien przetwarzać dane osobowe na komputerach przenośnych wydanych pracownikom, aby zapewnić im odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, za pomocą odpowiednich środków technicznych i organizacyjnych, a więc w jaki sposób przestrzegać zasadę „integralności i poufności” wyrażoną w art. 5 ust. 1 li. f) rozporządzenia 2016/679. Jednocześnie nie zastosował określonych przez siebie w analizie ryzyka środków bezpieczeństwa, tj. szyfrowania dysków twardych i nie zastosował się do określonych przez siebie zasad, nakazujących zastosowanie właśnie tego środka bezpieczeństwa, określonych w „Regulaminie […]”. W działaniach administratora uwidoczniona została świadomość, co do braku zapewnienia odpowiedniego stopnia bezpieczeństwa danym osobowym przetwarzanym na komputerze przenośnym. Usprawiedliwieniem dla braku szyfrowania dysku twardego skradzionego komputera był szereg innych obowiązków do zrealizowania, nie związanych z ochroną danych osobowych. Natomiast odpowiednie zabezpieczenie komputera miało nastąpić po zrealizowaniu tych obowiązków. Wobec powyższego Wójt Gminy mógł przewidzieć, że w tym okresie nie zapewni odpowiedniego stopnia bezpieczeństwa danych osobowych przetwarzanych na komputerze, co będzie stanowiło naruszenie przepisów ochronie danych osobowych. Tym samym, nieumyślnie naruszył przepisy o ochronie danych osobowych w postaci art. 5 ust. 1 li. f) rozporządzenia 2016/679 w zw. z art. 24 ust. 1, 25 ust. 1, 32 ust. 1 i 2 rozporządzenia 2016/679 i w konsekwencji również art. 5 ust. 2 rozporządzenia 2016/679.
Biorąc pod uwagę ustalenia w sprawie będącej przedmiotem rozstrzygnięcia niniejszej decyzji należy stwierdzić, że Wójt Gminy dopuścił się zaniedbania skutkującego wystąpieniem naruszenia dotyczącego poufności danych. Tak więc stanowi to istotną okoliczność wpływającą obciążająco na wysokość kary administracyjnej.
3. Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679) - Administrator w oparciu o czynniki wyszczególnione w art. 25 ust. 1 i 32 ust. 1 rozporządzenia 2016/679 przeprowadził analizę i ustalił ryzyko wystąpienia zagrożenia w postaci kradzieży komputera oraz określił odpowiedni techniczny środek bezpieczeństwa w postaci szyfrowania dysku twardego komputera. Ponadto opracował procedurę („Regulamin […]”), która wymagała właśnie szyfrowania dysków twardych komputerów. Jednak z okoliczności stanu faktycznego wynika, że dysk twardy skradzionego komputera nie został zaszyfrowany. Powyższe stanowi o braku wdrożenia środków technicznych i organizacyjnych na mocy art. 25 i 32 rozporządzenia 2016/679, a tym samym o braku zapewnienia odpowiedniego poziomu bezpieczeństwa.
4. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679) - Dane osobowe znajdujące się na skradzionym komputerze nie należały do szczególnych kategorii danych osobowych, o których mowa w art. 9 rozporządzenia 2016/679, jednakże ich zakres, tj. imię i nazwisko, adres zamieszkania lub pobytu oraz nr PESEL wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem. Należy podkreślić, iż w szczególności nieuprawnione ujawnienie takich kategorii danych jak nr ewidencyjny PESEL wraz z imieniem i nazwiskiem, które jednoznacznie identyfikują osobę fizyczną, może realnie i negatywnie wpływać na ochronę praw lub wolności tej osoby. Jak wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 1 lipca 2022 r. sygn. akt II SA/Wa 4143.21„W przypadku naruszenia takich danych, jak imię, nazwisko oraz numer PESEL, możliwa jest bowiem kradzież lub sfałszowanie tożsamości skutkująca negatywnymi konsekwencjami dla osób, których dane dotyczą”.
Ustalając wysokość administracyjnej kary pieniężnej nałożonej na Administratora, Prezes UODO uwzględnił jako okoliczności łagodzące następujące przesłanki:
1. Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679) – Bezpośrednio po ujawnieniu naruszenia ochrony danych osobowych, Wójt Gminy poinformował Policję o kradzieży. Z dniem […] marca 2022 r. skradziony komputer został odnaleziony, a przeprowadzona przez Administratora analiza logów systemu C, wykazała brak informacji o logowani do systemu, co w ocenie Administratora świadczy, że od dania kradzieży system operacyjny komputera nie był uruchamiany. Tym samym na podstawie wskazanej okoliczności, brak jest również podstaw do uznania, że osoby, których dane dotyczą, poniosły jakąkolwiek szkodę na skutek tego naruszenia.
2. Wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust. 2 lit. e rozporządzenia 2016/679) – nie stwierdzono stosownych wcześniejszych naruszeń rozporządzenia 2016/679 przez Wójta Gminy.
3. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679) - W toku postępowania Wójt Gminy w wyznaczonym terminie przysyłał wyjaśnienia i udzielał jasnych, konkretnych odpowiedzi.
4. Wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679) –
Prezes UODO nie stwierdził w toku niniejszego postępowania, że dopuszczając się naruszenia podlegającego karze Wójt Gminy osiągnął jakiekolwiek korzyści finansowe lub uniknął jakichkolwiek strat finansowych. Pomimo, że administrator naruszył art. 32 ust. 1 rozporządzenia 2016/679 poprzez brak wdrożenia odpowiednich środków technicznych i organizacyjnych, to jednak w oparciu o elementy wskazane w tym przepisie Administrator dokonał niezbędnych ocen i wyciągnął odpowiednie wnioski, bowiem przeprowadził analizę ryzyka i określił odpowiednie środki bezpieczeństwa, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku, co świadczy, że art. 32 ust. 1 rozporządzenia 2016/679 nie został w zupełności zlekceważony. Powyższe nie mogło zostać obojętne dla określenia wymiaru kary i zostało ocenione jako okoliczność łagodząca. Również Wójt Gminy podjął szereg działań naprawczych w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia (zmiana procedur, wdrożenie szyfrowania dysków twardych komputerów przenośnych).
Na fakt zastosowania wobec Wójta Gminy w niniejszej sprawie przez Prezesa Urzędu sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały wpływu inne, wskazane w art. 83 ust. 2 rozporządzenia 2016/679 okoliczności, to jest:
1. Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679) – Prezes UODO stwierdził naruszenie w wyniku zgłoszenia naruszenia ochrony danych osobowych dokonanego przez Wójta Gminy. Administrator dokonując tego zgłoszenia realizował jedynie ciążący na nim obowiązek prawny, brak jest podstaw do uznania, że okoliczność ta stanowi okoliczność łagodzącą. Zgodnie z Wytycznymi w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 Wp. 253 „Organ nadzorczy może dowiedzieć się o naruszeniu w wyniku postępowania, skarg, artykułów w prasie, anonimowych wskazówek lub powiadomienia przez administratora danych. Zgodnie z rozporządzeniem administrator ma obowiązek zawiadomić organ nadzorczy o naruszeniu ochrony danych osobowych. Zwykłe dopełnienie tego obowiązku przez administratora nie może być interpretowane jako czynnik osłabiający/łagodzący”.
2. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679) – w niniejszej sprawie nie zastosowano wcześniej wobec Wójta Gminy środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679.
3. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679) – Wójt Gminy nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679.
Uwzględniając wszystkie omówione wyżej okoliczności, Prezes Urzędu Ochrony Danych Osobowych, uznał, iż nałożenie administracyjnej kary pieniężnej na Wójta Gminy jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych Wójtowi Gminy naruszeń. Stwierdzić należy, iż zastosowanie wobec Wójta Gminy jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że Wójt Gminy w przyszłości nie dopuści się kolejnych zaniedbań.
Odnosząc się do wysokości wymierzonej Wójtowi Gminy administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych uznał, iż w ustalonych okolicznościach niniejszej sprawy – tj. wobec stwierdzenia naruszenia kilku przepisów rozporządzenia 2016/679 (zasady poufności danych, wyrażonej w art. 5 ust. 1 lit. f), a odzwierciedlonej w postaci obowiązków określonych w art. 25 ust. 1, art. 32 ust. 1, art. 32 ust. 2 rozporządzenia 2016/679, a w konsekwencji również (zasady rozliczalności) art. 5 ust. 2 rozporządzenia 2016/679 oraz faktu, iż Wójt Gminy jest organem jednostki sektora finansów publicznych – zastosowanie znajdzie również art. 102 z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), z którego wynika ograniczenie wysokości (do 100.000 zł) administracyjnej kary pieniężnej, jaka może zostać nałożona na jednostkę sektora finansów publicznych.
W ocenie Prezesa UODO, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. będzie w tym indywidulanym przypadku skuteczna, proporcjonalna i odstraszająca.
Zdaniem Prezesa UODO nałożona na Wójta Gminy kara będzie skuteczna, albowiem doprowadzi do stanu, w którym Wójta Gminy stosował będzie takie środki techniczne i organizacyjne, które zapewnią przetwarzanym danym stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób, których dane dotyczą oraz wadze zagrożeń towarzyszącym procesom przetwarzania tych danych osobowych. Skuteczność kary równoważna jest zatem gwarancji tego, iż Wójt Gminy od momentu zakończenia niniejszego postępowania będzie z najwyższa starannością podchodzić do wymogów stawianych przez przepisy o ochronie danych osobowych.
Zastosowana administracyjna kara pieniężna jest również, proporcjonalna do stwierdzonego naruszenia, w tym zwłaszcza jego wagi, skutku, kręgu dotkniętych nim osób fizycznych oraz wysokiego ryzyka negatywnych konsekwencji, jakie w związku z naruszeniem mogą ponieść. Zdaniem Prezesa UODO, nałożona na Wójta Gminy administracyjna kara pieniężna nie będzie stanowiła nadmiernego dla niego obciążenia. Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcje organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność jej uiszczenia pociągnie za sobą negatywne następstwa, w postaci istotnego pogorszenia sytuacji finansowej administratora. Zdaniem Prezesa UODO, Wójt Gminy powinien i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, stąd nałożenie kary w wysokości 8 000 zł (osiem tysięcy złotych) jest w pełni uzasadnione.
W ocenie Prezesa UODO, administracyjna kara pieniężna spełni w tych konkretnych okolicznościach funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Wójta Gminy przepisów rozporządzenia 2016/679, ale i prewencyjną, bowiem przyczyni się do zapobiegania w przyszłości naruszania obowiązków Wójta Gminy wynikających z przepisów o ochronie danych osobowych.
W ocenie Prezesa UODO, zastosowana kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad rozporządzenia 2016/679 - zwłaszcza zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679.
Celem nałożonej kary jest doprowadzenie do przestrzegania przez Wójta Gminy w przyszłości przepisów rozporządzenia 2016/679.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.