II SA/Wa 1342/23

II SA/Wa 1342/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-04-17
orzeczenie nieprawomocne
Data wpływu
2023-07-03
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Danuta Kania /przewodniczący sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U.UE.L 2016 nr 119 poz 1 art. 4 pkt. 7, art. 32 ust. 1 i ust. 2, art. 33 ust. 1, art. 83 ust. 1 i 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Dz.U. 2023 poz 1634
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Karolina Kisielewicz, Sędzia WSA Sławomir Antoniuk, Sędzia WSA Danuta Kania (spr.), Protokolant starszy referent Agnieszka Fidor, po rozpoznaniu na rozprawie w dniu 5 kwietnia 2024 r. sprawy ze skargi Rzecznika Dyscyplinarnego Izby Adwokackiej w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] kwietnia 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Przedmiotem skargi Rzecznika Dyscyplinarnego Izby Adwokackiej w [...] (dalej: "Rzecznik Dyscyplinarny", "administrator", "strona skarżąca") jest decyzja Prezesa Urzędu Ochrony Danych Osobowych (dalej: "Prezes UODO", "organ") z dnia [...] kwietnia 2023 r. nr [...], mocą której organ - stwierdzając naruszenie przez Rzecznika Dyscyplinarnego przepisów art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z dnia 4 maja 2016 r., s. 1, Dz. Urz. UE L 127 z dnia 23 maja 2018 r., s. 2 oraz Dz. Urz. UE L 74 z dnia 4 marca 2021 r., s. 35), dalej: "RODO", polegające na niewdrożeniu przez Rzecznika Dyscyplinarnego:
a) odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu zewnętrznych nośników danych, w celu ochrony zapisanych tam danych osobowych, w tym ich ochrony przed przypadkową utratą, zniszczeniem lub uszkodzeniem oraz ujawnieniem osobom nieuprawnionym,
b) odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, co skutkowało naruszeniem zasady poufności danych oraz zasady rozliczalności,
1) nałożył na Rzecznika Dyscyplinarnego - za naruszenie art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO - administracyjną karę pieniężną w kwocie 23 580 złotych,
2) nakazał Rzecznikowi Dyscyplinarnemu dostosowanie operacji przetwarzania do przepisów RODO poprzez:
a) wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zminimalizowania ryzyka wiążącego się z przetwarzaniem danych osobowych za pomocą zewnętrznych nośników danych, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, za pomocą zewnętrznych nośników danych, po uprzednim przeprowadzeniu analizy ryzyka, uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, w tym zagrożenia związane z przetwarzaniem danych osobowych za pomocą zewnętrznych nośników danych, uwzględniając kradzież oraz zagubienie tych nośników,
2) wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania
- w terminie 6 miesięcy od dnia doręczenia niniejszej decyzji.
W uzasadnieniu decyzji organ wskazał, że Rzecznik Dyscyplinarny w dniu [...] czerwca 2021 r. dokonał zgłoszenia Prezesowi UODO naruszenia ochrony danych osobowych wskazując, że w dniu [...] maja 2021 r. do siedziby administratora zgłosił się obrońca obwinionego w postępowaniu dyscyplinarnym prowadzonym przed Rzecznikiem Dyscyplinarnym. Obrońca poinformował o otrzymaniu uszkodzonej przesyłki, w której - wbrew treści pisma przewodniego - brakowało załącznika w postaci zewnętrznego nośnika danych (pendrive). Nośnik zawierał nagranie rozprawy rozwodowej z danymi osobowymi 8 osób w zakresie imienia, nazwiska, szczegółów dotyczących życia rodzinnego, relacji stron oraz podejrzeń o niewierność małżeńską.
Pismem z dnia [...] marca 2022 r. organ zwrócił się do administratora o wyjaśnienie, czy zewnętrzny nośnik danych (pendrive), będący przedmiotem naruszenia, został zaszyfrowany zgodnie z procedurami, o których mowa w punkcie 9A formularza zgłoszenia naruszenia z dnia [...] czerwca 2021 r., tj. "szyfrowanie, hasłowanie plików zawierających dane osobowe". W odpowiedzi z dnia [...] marca 2022 r. administrator wskazał, iż ww. nośnik nie został zaszyfrowany.
W dniu [...] kwietnia 2022 r. organ wezwał administratora do: 1) wskazania, czy przed zaistniałym naruszeniem Administrator posiadał wdrożoną procedurę zarządzania zewnętrznymi nośnikami danych w zakresie ich zabezpieczenia oraz postępowania na wypadek zniszczenia lub kradzieży; 2) wskazania środków bezpieczeństwa technicznych oraz organizacyjnych dotychczas stosowanych w celu zabezpieczenia zewnętrznych nośników danych; 3) wskazania, czy przeprowadzono analizę ryzyka dla procesu przetwarzania danych osobowych za pośrednictwem zewnętrznych nośników danych; 4) wskazania, czy plik z nagraniem znajdujący się na utraconym zewnętrznym nośniku danych był zabezpieczony (np. za pomocą hasła lub mechanizmu szyfrowania), skoro sam nośnik nie posiadał stosownych zabezpieczeń.
Pismem z dnia [...] kwietnia 2022 r. administrator poinformował, że Rzecznik Dyscyplinarny jako organ Izby Adwokackiej posiada wspólną infrastrukturę informatyczną z Okręgową Radą Adwokacką w [...]. W tym zakresie obowiązuje (wdrożona przed zaistniałym zdarzeniem) Instrukcja Zarządzania Systemami Informatycznymi (dalej: "IZSI") przyjęta w dniu 7 sierpnia 2019 r., której opisano zasady bezpieczeństwa nośników danych. Ponadto Administrator posiada wdrożoną Politykę Bezpieczeństwa Danych Osobowych określającą zasady ochrony danych osobowych wynikające z RODO oraz procedury, takie jak procedura zgłaszania naruszeń ochrony danych osobowych.
Nadto administrator wskazał, że w dniu [...] stycznia 2021 r. przeprowadzona została ocena ryzyka w związku z przetwarzaniem danych osobowych na zewnętrznych nośnikach danych. Do ww. pisma administrator załączył Procedurę Analizy Ryzyka (dalej: "PAR") wraz z wynikami przeprowadzonej oceny przed rozpoczęciem przetwarzania. Przeprowadzona analiza uwzględnia ryzyko zniszczenia, kradzieży oraz zagubienia nośników danych, na których odbywa się przetwarzanie. Administrator wskazał również, że ponowne przeprowadzenie oceny ryzyka dla przetwarzania danych osobowych zaplanowane zostało na czerwiec 2022r. Przeprowadzona została także analiza ryzyka w związku z zaistniałym naruszeniem, lecz nie została ona dołączona do korespondencji.
Administrator wskazał, że plik znajdujący się na zagubionym nośniku, tak samo jak i nośnik, nie został zaszyfrowany. Wyjaśnił również, że nośnik należał do obrońcy obwinionego w postępowaniu prowadzonym przed Rzecznikiem Dyscyplinarnym. Nośnik danych został dostarczony do kancelarii Rzecznika celem udostępnienia nagrania rozprawy rozwodowej dostarczonego przez jedną z osób uczestniczących w rozprawie.
Uwzględniając powyższe Prezes UODO w dniu [...] maja 2022 r. wszczął z urzędu postępowanie administracyjne w zakresie możliwości naruszenia przez Rzecznika Dyscyplinarnego, jako administratora danych, obowiązków wynikających z art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 RODO w związku z naruszeniem ochrony danych osobowych osób, których dane znajdowały się na nagraniu rozprawy rozwodowej, zamieszczonym na zagubionym, zewnętrznym nośniku danych.
W dniu [...] czerwca 2022 r. Rzecznik Dyscyplinarny, w odpowiedzi na wezwanie organu, przekazał brakujące dokumenty, tj. IZSI oraz analizę ryzyka przeprowadzoną w związku z zaistniałym naruszeniem.
W związku z informacją zawartą w piśmie administratora z dnia [...] kwietnia 202r. o planowanym ponownym przeprowadzeniu analizy ryzyka w związku z przetwarzaniem danych osobowych, organ w dniu [...] sierpnia 2022 r. zwrócił się do Rzecznika Dyscyplinarnego o przekazanie wyników tej analizy, zaś pismem z dnia [...] stycznia 2023 r. o udzielenie informacji, czy administrator weryfikował przestrzeganie przez swoich pracowników procedur zawartych w IZSI (w tym dotyczących wysyłki nośników danych) wraz ze wskazaniem w jaki sposób i kiedy przeprowadzono ostatnią taką weryfikację przed wystąpieniem naruszenia ochrony danych osobowych oraz czy skuteczność tych procedur weryfikowana była w ramach regularnego testowania przyjętych technicznych oraz organizacyjnych środków bezpieczeństwa.
Administrator przekazał ww. analizę ryzyka za pismem z dnia [...] października 2022 r., natomiast w piśmie z dnia [...] stycznia 2023 r. wskazał, iż "(...) ostatnia weryfikacja przestrzegania przez pracowników procedur zawartych w Instrukcji Zarządzania Systemami Informatycznymi, w tym dotyczących wysyłki nośników danych przed przedmiotowym naruszeniem ochrony danych osobowych miała miejsce podczas regularnego, zaplanowanego na dzień [...] stycznia 2021 r., sprawdzenia w oparciu o procedurę analizy ryzyka w szczególności ust. 10 (załączona w całości do pisma z dnia [...] kwietnia 2022 r. oraz do pisma z dnia [...] czerwca 2022 r.)".
Uwzględniając powyższe organ powołał art. 39 pkt 3a, art. 51a ust. 1, art. 58 pkt 5a oraz pkt 12 lit. i ustawy z dnia 26 maja 1982 r. Prawo o adwokaturze (Dz. U. z 2022r., poz. 1184 ze zm.), dalej: "u.p.o.a.", oraz § 4 ust. 1, § 11 ust. 1, § 41 ust. 1, ust. 2 lit. a Regulaminu działania rzeczników dyscyplinarnych i zastępców rzeczników dyscyplinarnych oraz trybu i sposobu ich wyboru przyjętego uchwałą Naczelnej Rady Adwokackiej nr 50/2018 z dnia 24 listopada 2018 r. Wskazał, że w świetle ww. przepisów Rzecznik Dyscyplinarny jest administratorem, w rozumieniu art. 4 ust 7 RODO, danych przetwarzanych w związku z prowadzonymi przez niego postępowaniami dyscyplinarnymi.
Następnie organ powołał przepisy art. 34 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), dalej: "u.o.d.o." oraz art. 57 ust. 1 lit. a, lit. h określające zadania organu nadzorczego w zakresie monitorowania i egzekwowania stosowania RODO.
Wskazał na podstawowe zasady przetwarzania danych osobowych przez administratora wymienione w art. 5 ust. 1 lit. f oraz art. 5 ust. 2 RODO, tj. zasadę poufności i integralności oraz rozliczalności. Powołał również art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO.
Organ zaznaczył, że ustalenie odpowiednich środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw i wolności osób fizycznych jest procesem dwuetapowym. W pierwszej kolejności należy określić poziom ryzyka jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 RODO, a następnie ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, powinny obejmować: a) pseudonimizację i szyfrowanie danych osobowych, b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Stosownie natomiast do art. 32 ust. 2 RODO oceniając, czy stopień bezpieczeństwa jest odpowiedni, administrator winien uwzględnić ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Zdaniem organu, biorąc pod uwagę zakres przetwarzanych danych osobowych przez administratora, zawarty w pliku znajdującym się na skradzionym (zagubionym) zewnętrznym nośniku danych, w celu prawidłowego wywiązania się z obowiązków nałożonych ww. przepisami RODO, administrator był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych poprzez wdrożenie odpowiednich środków technicznych oraz organizacyjnych, mających zapewnić bezpieczeństwo przetwarzanych danych osobowych. Charakter i rodzaj tych działań powinien wynikać z przeprowadzonej analizy ryzyka, w której powinno się zidentyfikować podatności odnoszące się do wykorzystywanych zasobów oraz wynikające z nich zagrożenia, a następnie określić adekwatne środki bezpieczeństwa. Błędne oszacowanie poziomu ryzyka uniemożliwia zastosowanie odpowiednich środków bezpieczeństwa dla danego zasobu oraz zwiększa prawdopodobieństwo jego wystąpienia. Efektem powyższego było zmaterializowanie się ryzyka, w wyniku którego osoba (osoby) nieuprawniona uzyskała dostęp do danych zawartych w pliku znajdującym się na skradzionym (zagubionym) zewnętrznym nośniku danych.
Dalej organ wskazał na istotę i wagę zarządzania ryzykiem oraz spoczywający na administratorze danych obowiązek przeprowadzenia szczegółowej analizy prowadzonych procesów przetwarzania danych i dokonania oceny ryzyka. Podkreślił, że ocena ryzyka powinna zostać udokumentowana oraz uzasadniona stanem faktycznym istniejącym w chwili jej przeprowadzania. Główne czynniki składające się na prawidłową ocenę, które powinny zostać wzięte pod uwagę podczas przeprowadzania analizy, to charakterystyka zachodzących procesów przetwarzania, aktywa, podatności, zagrożenia oraz aktualne zabezpieczenia. Istotne przy ocenianiu ryzyka są również takie czynniki, jak zakres i charakter przetwarzanych przez administratora danych osobowych, gdyż to od nich zależeć będą ewentualne negatywne skutki dla osoby fizycznej występujące w momencie naruszenia ochrony jej danych osobowych.
Uwzględniając powyższe organ stwierdził, że załączona przez administratora do pisma z dnia [...] kwietnia 2022 r. Procedura Analizy Ryzyka wraz z arkuszem analizy ryzyka zawierającym ocenę ryzyka dla przyjętych przez administratora czynności przetwarzania danych, przeprowadzona w dniu [...] stycznia 2021 r., budzi wiele wątpliwości.
Arkusz zawiera m.in. ocenę ryzyka w przypadku "awarii, kradzieży lub zagubienia nośników danych". Przedstawiona metodyka zakłada ustalenie odpowiednich wartości dla poszczególnych czynników, w których skład wchodzą: A. Prawdopodobieństwo: a) wystąpienia zdarzenia, b) ekspozycja, c) przewidywany czas, za jaki naruszenie może nastąpić; B. Wpływ na aktywa: a) poufność, b) integralność, c) dostępność. Stopień ryzyka dla tej kategorii przetwarzania określony jest jako "1", co po zapoznaniu się z procedurą oznacza "ryzyko akceptowalne, nie wymagające dalszego postępowania (podjęcia środków minimalizujących)".
Środki minimalizujące ryzyko, które zostały wskazane w przypadku powyższej oceny ryzyka, tj. "Kopie zapasowe danych raz dziennie. Szybki czas przywrócenia" nie są adekwatne do potencjalnych zagrożeń, które administrator przyjął dla tego procesu przetwarzania, a dla których przeprowadzana jest ocena. Kopie zapasowe danych są środkiem minimalizującym skutki utraty dostępności danych znajdujących się na zagubionym (skradzionym) zewnętrznym nośniku danych, jednak nie minimalizują one ryzyka wystąpienia możliwych konsekwencji w przypadku uzyskania dostępu do nośnika danych i przetwarzanych przy jego użyciu danych osobowych przez osobę trzecią i jego użycia, a więc sytuacji, w których dochodzi do naruszenia poufności danych.
Organ podkreślił, że ochrona danych znajdujących się na zewnętrznych nośnikach danych, w celu skutecznego przeciwdziałania zagrożeniu w postaci "zagubienia nośników danych", musi skupiać się na prawidłowym zabezpieczeniu danych znajdujących się na takim nośniku przed nieuprawnionym dostępem osób trzecich w przypadku utracenia takiego nośnika w wyniku kradzieży czy jego zgubienia. Tymczasem administrator, przeprowadzając ww. ocenę ryzyka, skupił się jedynie na określeniu działania minimalizującego skutki wyłącznie w przypadku awarii nośnika, a więc naruszeniu dostępności danych, pomijając całkowicie działania minimalizujące konsekwencje naruszenia ich poufności. Przyjęte przez administratora środki bezpieczeństwa mające minimalizować skutki opisanego w przeprowadzonej analizie ryzyka zagrożenia polegającego na "awarii, kradzieży lub zagubienia nośników danych" nie są adekwatne do zidentyfikowanego ryzyka związanego z przetwarzaniem, a to prowadzi do konkluzji, że ocena ryzyka w związku z przetwarzaniem danych na zewnętrznych nośnikach danych została przeprowadzona z przyjęciem nieprawidłowych wartości związanych z ryzykiem kradzieży bądź zgubienia takich nośników lub całkowitym ich pominięciem.
Organ zaznaczył również, że w przekazanej przez administratora w dniu [...] października 2022 r. analizie ryzyka, która została przeprowadzona już po wystąpieniu naruszenia ochrony danych osobowych, ocena skutków dla przetwarzania danych osobowych na zewnętrznych nośnikach danych w przypadku "awarii, kradzieży lub zagubienia nośników danych" została zastąpiona jedynie oceną skutków w przypadku "awarii nośników danych". Administrator zaniechał zatem przeprowadzenia analizy ryzyka dla sytuacji, która spowodowała wystąpienie zgłoszonego organowi naruszenia ochrony danych osobowych, co należy uznać za niezgodne z ww. przepisami RODO, w szczególności w sytuacji, gdy administrator przewiduje możliwość dalszego przetwarzania danych osobowych na zewnętrznych nośnikach danych, a omawiane zdarzenie wskazuje bezpośrednio, jakie konsekwencje mogą wystąpić w przypadku ich zagubienia bądź kradzieży.
Dalej organ wskazał, iż jakkolwiek w przeprowadzonej analizie ryzyka administrator nie określił środków bezpieczeństwa minimalizujących ryzyko kradzieży czy zgubienia zewnętrznych nośników danych, to jednak wprowadził w praktyce pewne rozwiązania skupiające się na bezpieczeństwie tej kategorii przetwarzania danych osobowych. Rozwiązania te zawarte zostały w IZSI, w której znajduje się rozdział poświęcony bezpieczeństwu nośników informacji, gdzie wskazano, że za zapewnienie bezpieczeństwa zewnętrznych nośników danych odpowiada osoba, która w danej chwili jest użytkownikiem takiego nośnika. W zgłoszeniu naruszenia ochrony danych osobowych administrator wyjaśnił, że "(...) pracownicy kancelarii rzecznika dyscyplinarnego pakując przesyłkę zawierającą pendrive z nagraniem podjęli szereg czynności mających na celu zabezpieczyć ten nośnik, m.in. nośnik został umieszczony w plastikowej koszulce, która została szczelnie zaszyta, kilka osób dokonywało sprawdzenia szczelności tejże koszulki, koszulkę przyszyto do pisma przewodniego w sposób uniemożliwiający wypadnięcie nośnika bez przerwania ww. zabezpieczeń czy folii (plastikowa koszulka). Pismo wraz z koszulką umieszczono w kopercie, którą szczelnie zaklejono i nadano za pośrednictwem Poczty Polskiej S.A. (...)".
Uwzględniając powyższe organ stwierdził, że pracownicy kancelarii Rzecznika Dyscyplinarnego podjęli czynności zmierzające do zabezpieczenia przedmiotowego nośnika, jednak nie były one zgodne z procedurą zawartą w IZSI. Wynikająca z tego dokumentu procedura "Sposób, miejsce i okres przechowywania elektronicznych nośników informacji" określa postępowanie w przypadku wykorzystania zewnętrznych nośników danych, takich jak twarde dyski, płyty CD, płyty DVD oraz nośniki pamięci typu pendrive i wyraźnie wskazuje, że w przypadku przekazywania nośników, na których znajdują się dane osobowe, "(...) dane przed wysłaniem powinny zostać zaszyfrowane, a hasło podane adresatowi inną drogą (...)". W wyjaśnieniach z dnia [...] marca 2022 r. administrator wskazał, że "(...) przedmiotowy nośnik nie był zaszyfrowany (...)", zaś w piśmie z dnia [...] kwietnia 2022 r. oświadczył: "(...) w odpowiedzi na pytanie dotyczące wskazania, czy plik z nagraniem znajdujący się na zewnętrznym nośniku danych był zabezpieczony za pomocą hasła lub mechanizmu szyfrowania wskazuję, że przedmiotowy plik nie został w ten sposób zabezpieczony".
Z powyższego wynika zatem jednoznacznie, że ani plik z danymi osobowymi, ani sam nośnik danych nie zostały w żaden sposób zabezpieczone, co skutkowało bardzo wysokim prawdopodobieństwem uzyskania dostępu do danych osobowych znajdujących się na tym nośniku przez osoby nieuprawnione w przypadku utracenia przesyłki.
Organ zauważył nadto, że procedura zawarta w IZSI przewiduje stosowanie kopert depozytowych, które powszechnie stosowane są w celu zwiększenia bezpieczeństwa przesyłanej zawartości, w tym dokumentów zawierających dane osobowe, z uwagi na fakt pojawiania się widocznych znaków w przypadku ingerencji w opakowanie (raz otwarte opakowanie nie może zostać ponownie zaklejone). Z wyjaśnień administratora wynika jednak, że koperta depozytowa zastąpiona została szczelnie zaszytą zszywkami plastikową koszulką, która następnie została przymocowana do pisma przewodniego oraz umieszczona w zwykłej kopercie. Tak przygotowana przesyłka została nadana za pośrednictwem Poczty Polskiej S.A. mimo wyraźnego zapisu znajdującego się w IZSI, że "przesyłkę należy przesyłać przez kuriera (...)".
Z powyższego, zdaniem organu, wynika, że pracownicy administratora nie dostosowali się do zapisów IZSI, w tym do punktu wskazującego, że "(...) osoby korzystające z nośników informacji powinny być świadome zagrożeń i zobowiązane są do zachowania należytej staranności poprzez zastosowanie obowiązujących środków organizacyjno-technicznych i prawnych opisanych w IZSI (...)". Przy czym wprowadzenie zapisów dotyczących stosowania środków organizacyjnych i technicznych w IZSI nie zwalnia administratora z weryfikacji, czy przyjęte w ten sposób środki bezpieczeństwa ograniczają bądź całkowicie eliminują ryzyka związane z przetwarzaniem danych przy wykorzystaniu zewnętrznych nośników danych, w tym ryzyko utraty poufności danych w wyniku kradzieży lub zagubienia takiego nośnika. Weryfikacja ta powinna w pierwszej kolejności nastąpić w ramach analizy ryzyka, która w przypadku Rzecznika Dyscyplinarnego została przeprowadzona nieprawidłowo, a następnie w ramach regularnego testowania, mierzenia i oceniania skuteczności stosowanych środków organizacyjnych i technicznych w celu zapewnienia bezpieczeństwa przetwarzanych danych osobowych.
Dalej organ zaznaczył, iż zgodnie z wyjaśnieniami administratora z dnia [...] kwietnia 2022 r. "pendrive, na którym znajdowało się nagranie i który został zagubiony był własnością obrońcy obwinionego w postępowaniu prowadzonym przed Rzecznikiem Dyscyplinarnym (...)". Odnosząc się do powyższego organ wskazał, że dane znajdujące się na zagubionym zewnętrznym nośniku danych stanowią przedmiot ochrony, za który odpowiedzialność ponosi administrator. Zatem nawet przyjmując, iż nośnik ten nie był własnością administratora (a w związku z tym administrator mógł nie mieć możliwości odpowiedniego jego zabezpieczenia), Rzecznik Dyscyplinarny powinien był zabezpieczyć plik, który miał zostać wgrany na nośnik, do czego zobowiązywała go zresztą jego własna procedura znajdująca się w IZSI, a czego nie uczynił.
Podsumowując powyższe rozważania organ stwierdził, iż Rzecznik Dyscyplinarny, w chwili wystąpienia naruszenia ochrony danych osobowych, pomimo braku określenia środków bezpieczeństwa minimalizujących ryzyko utraty poufności danych w wyniku kradzieży lub zagubienia zewnętrznego nośnika danych z uwagi na nieprawidłowo przeprowadzoną w dniu [...] stycznia 2021 r. analizę ryzyka, był w posiadaniu procedur w zakresie bezpieczeństwa danych przetwarzanych przy użyciu tego typu nośników, w tym przekazywania zewnętrznych nośników danych zawierających dane osobowe osobom trzecim poza kancelarię administratora. Wątpliwości budzi jednak skuteczność wdrożenia ww. procedur z uwagi na niezastosowanie ich postanowień przez pracowników kancelarii przy wysyłce zewnętrznego nośnika danych z nagraniem rozprawy rozwodowej, co doprowadziło do naruszenia ochrony danych osobowych.
W piśmie z dnia [...] stycznia 2023 r. administrator wskazał, że "ostatnia weryfikacja przestrzegania przez pracowników procedur zawartych w Instrukcji Zarządzania Systemami informatycznymi, w tym dotyczących wysyłki nośników danych przed przedmiotowym naruszeniem ochrony danych osobowych miała miejsce podczas regularnego, zaplanowanego na dzień [...] stycznia 2021 r., sprawdzenia w oparciu o procedurę analizy ryzyka w szczególności ust. 10" oraz "regularnie testował i weryfikował skuteczność przyjętych procedur zgodnie z zaplanowanymi i zorganizowanymi, a także udokumentowanymi działaniami w określonych przedziałach czasowych, niezależnie od przebiegu procesów przetwarzania danych, zgodnie z wdrożoną dokumentacją ochrony danych osobowych". Jednakże z zebranego materiału dowodowego wynika, iż przeprowadzana przez administratora weryfikacja przyjętych procedur, wbrew jego twierdzeniom, nie była skuteczna biorąc pod uwagę fakt nieprzestrzegania przez pracowników kancelarii Rzecznika Dyscyplinarnego zapisów IZSI przy wysyłce zewnętrznego nośnika danych, który zaginął, co (w następstwie braku zabezpieczenia znajdującego się na tym nośniku pliku z nagraniem rozprawy rozwodowej) doprowadziło do wystąpienia naruszenia ochrony danych osobowych.
Ponadto, wskazany przez administratora ustęp 10 PAR traktuje o tym, że "Każdy taki przegląd winien być dla celów dowodowych utrwalony w formie pisemnego raportu". Jednak pomimo wezwania administratora, pismem z dnia [...] stycznia 2023r., do złożenia w tym zakresie wyjaśnień oraz dowodów na ich potwierdzenie, Rzecznik Dyscyplinarny nie przedstawił żadnego dowodu w postaci pisemnego raportu potwierdzającego monitorowanie procedur obowiązujących w jego organizacji, a jedynie zadeklarował istnienie procedur mówiących o regularnym testowaniu środków bezpieczeństwa. Oznacza to, że Administrator - wbrew obowiązkowi wynikającemu z art. 5 ust. 2 RODO - nie wykazał, że w tym zakresie realizuje obowiązki wynikające z przepisów ww. rozporządzenia.
Z powyższego wynika, zdaniem organu, że administrator nie wywiązywał się należycie z obowiązku dotyczącego regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych (art. 32 ust. 1 lit. d RODO). Nie monitorował bowiem skuteczności wprowadzonych w ramach IZSI procedur - dotyczących obowiązków pracowników kancelarii Rzecznika Dyscyplinarnego - związanych z zabezpieczaniem danych osobowych znajdujących się na wysyłanym zewnętrznym nośniku danych.
Zdaniem organu wątpliwości może budzić również wynikający z pkt 10 PAR okres, co jaki należy takich przeglądów dokonywać, w przypadku takiej organizacji jak Rzecznik Dyscyplinarny. Jak wskazano bowiem w tym punkcie "Przynajmniej raz w roku (a w przypadku modyfikacji lub planowanych modyfikacji w procesach przetwarzania danych osobowych) należy dokonać przeglądu ryzyka zgodnie z ww. punktami". Przyjęcie takiego okresu może skutkować stosowaniem środka (technicznego lub organizacyjnego), który przestał być skuteczny, a więc takiego, który już przestał zapewniać bezpieczeństwo dla przetwarzanych danych osobowych, niezależnie od powodów utraty tej skuteczności.
Dodatkowo organ zauważył, że przyjęta w pkt 10 PAR terminologia oraz opis poszczególnych działań, jakie należy wykonać w ramach przeglądu, sugeruje bardziej opis postępowania z ryzykiem, w tym terminy przeprowadzania analizy ryzyka dla operacji przetwarzania danych osobowych niż opis działań, jakie należy podejmować w ramach regularnego testowania, oceniania i mierzenia skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych. Tymczasem, wskazane testowanie, mierzenie i ocenianie, aby stanowiło realizację wymogu wynikającego z art. 32 ust. 1 lit. d RODO, musi być dokonywane w sposób regularny, co oznacza świadome zaplanowanie i zorganizowanie, a także dokumentowanie (w związku z zasadą rozliczalności, o której mowa w art. 5 ust. 2 RODO) tego typu działań w określonych przedziałach czasowych, niezależnie od zmian w organizacji i przebiegu procesów przetwarzania danych spowodowanych np. zmianą organizacyjną u administratora danych czy zmianą otoczenia prawnego.
Organ wskazał również, że dla wykazania, iż przestrzeganie przez pracowników kancelarii Rzecznika Dyscyplinarnego ww. procedur podlegało weryfikacji administrator w piśmie z dnia [...] stycznia 2023 r. poinformował, że "(...) administrator regularnie szkolił pracowników Kancelarii Rzecznika Dyscyplinarnego (maj 2020 r.) z zakresu procedur zawartych w dokumentacji przetwarzania i ochrony danych osobowych obowiązujących u Rzecznika Dyscyplinarnego oraz (sierpień 2020 r.) z zakresu naruszeń ochrony danych osobowych, ich rodzajów i procedur ich zgłaszania". Oznacza to, że szkolenie z zakresu procedur określonych w IZSI miało miejsce rok przed stwierdzeniem naruszenia ochrony danych osobowych polegającego na utracie niezabezpieczonego zewnętrznego nośnika danych z niezabezpieczonym plikiem z nagraniem rozprawy rozwodowej zawierającym dane osobowe, co miało miejsce w dniu [...] maja 2021 r.
W związku z tym organ zaznaczył, że przeprowadzanie szkolenia wyłącznie w terminie wskazanym w ww. piśmie administratora nie jest wystarczającym środkiem oddziaływania na świadomość osób zobowiązanych do ochrony danych osobowych i stosowania procedur określających środki bezpieczeństwa tych danych. Przeprowadzanie szkoleń z zakresu ochrony danych osobowych, aby mogło zostać uznane za adekwatny środek bezpieczeństwa, musi być realizowane w sposób cykliczny, co zapewni stałe przypominanie, a w konsekwencji utrwalenie, zasad przetwarzania danych osobowych objętych szkoleniem. Ponadto, w takich szkoleniach muszą brać udział wszystkie osoby upoważnione do przetwarzania danych osobowych, a samo szkolenie musi obejmować swoim programem wszystkie zagadnienia związane z przetwarzaniem danych osobowych w ramach ustalonego tematu szkolenia. Pominięcie któregoś z tych elementów spowoduje, że szkolenie nie spełni swojej roli, bowiem część osób nie zostanie w ogóle przeszkolona albo uczestnicy szkolenia nie otrzymają pełnej wiedzy w danym zakresie. Konsekwencją powyższego może być naruszenie ochrony danych osobowych, tak jak w sprawie będącej przedmiotem niniejszego postępowania. Co więcej, brak przeprowadzenia szkoleń w opisany wyżej sposób oznacza, że ten środek bezpieczeństwa w praktyce nie obniża ryzyka wystąpienia naruszeń ochrony danych osobowych, co przyczynia się do osłabienia poziomu ochrony danych osobowych i przesądza o konieczności uznania naruszenia przepisów RODO określających obowiązki administratora w zakresie bezpieczeństwa danych.
Uwzględniając wykazane nieprawidłowości przy przeprowadzaniu analizy ryzyka, doborze środków mających zapewnić bezpieczeństwo danych osobowych przetwarzanych przy użyciu zewnętrznych nośników danych oraz braku udokumentowanego regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, Prezes UODO stwierdził, iż Rzecznik Dyscyplinarny naruszył zasadę poufności danych (art. 5 ust. 1 lit. f RODO) w związku z naruszeniem obowiązków administratora przy wdrażaniu środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z RODO (art. 24 ust. 1 RODO), w celu nadania przetwarzaniu niezbędnych zabezpieczeń (art. 25 ust. 1 RODO) i aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku, w tym zdolność do ciągłego zapewnienia poufności (art. 32 ust. 1 RODO) oraz obowiązku uwzględnienia ryzyka wiążącego się z przetwarzaniem, wynikającego z nieuprawnionego dostępu do przetwarzanych danych osobowych, przy ocenie, czy stopień bezpieczeństwa jest odpowiedni (art. 32 ust. 2 RODO). Organ wskazał jednocześnie na istnienie związku pomiędzy naruszeniem zasady poufności a naruszeniem zasady rozliczalności, o której mowa w art. 5 ust. 2 RODO.
Uwzględniając powyższe nieprawidłowości, a także treść art. 58 ust. 2 lit. d RODO, organ nakazał administratorowi dostosowanie operacji przetwarzania do przepisów RODO w sposób wskazany w punkcie 2 sentencji decyzji.
Jednocześnie organ stwierdził, że w sprawie zaistniały przesłanki uzasadniające nałożenie na administratora administracyjnej kary pieniężnej. Wskazał, że administracyjna kara pieniężna wobec administratora nałożona została za naruszenie art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO na podstawie art. 83 ust. 4 lit. a RODO, natomiast za naruszenie art. 5 ust. 1 lit. f oraz art. 5 ust. 2 RODO - na podstawie art. 83 ust. 5 lit. a RODO, przy czym wysokość tej kary nie przekracza wysokości kary za najpoważniejsze stwierdzone w niniejszej sprawie naruszenie, tj. naruszenie art. 5 ust. 1 lit. f i art. 5 ust. 2 RODO, które stosownie do art. 83 ust. 5 lit. a RODO podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
W dalszej części uzasadnienia decyzji organ wyjaśnił jakie okoliczności sprawy wziął pod uwagę decydując o nałożeniu administracyjnej kary pieniężnej.
Oceniając charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a RODO) organ wskazał, że stwierdzone naruszenie przepisów ochrony danych osobowych, którego skutkiem była możliwość uzyskania nieuprawnionego dostępu do danych znajdujących się w pliku z nagraniem rozprawy rozwodowej, umieszczonym na utraconym zewnętrznym nośniku danych, przez osobę bądź osoby nieuprawnione (naruszenie zasady poufności), ma znaczną wagę i poważny charakter, stwarza bowiem wysokie ryzyko negatywnych skutków dla co najmniej 8 osób, których dane dotyczą. Naruszenie przez Rzecznika Dyscyplinarnego obowiązków zastosowania środków zabezpieczających przetwarzane dane przed ich udostępnieniem osobom nieuprawnionym, pociąga za sobą nie tylko potencjalną, ale również realną możliwość wykorzystania tych danych przez podmioty trzecie bez wiedzy i wbrew woli osób, których dane dotyczą, niezgodnie z przepisami RODO. Organ zaznaczył, że do chwili wydania niniejszej decyzji zaginiony zewnętrzny nośnik danych nie został odnaleziony, zatem w dalszym ciągu osoba lub osoby nieuprawnione mogą mieć dostęp do danych osobowych znajdujących się na tym nośniku. Wskazał również na długi czas trwania naruszenia przepisów o ochronie danych osobowych, tj. od dnia [...] stycznia 2021 r., (kiedy to administrator przeprowadził w sposób nieprawidłowy analizę ryzyka) do chwili obecnej. Nadto organ stwierdził, że jakkolwiek brak jest dowodów, aby osoby, do danych których dostęp mogła uzyskać osoba lub osoby nieuprawnione, doznały szkody majątkowej, to jednak już samo naruszenie poufności ich danych stanowi dla nich szkodę niemajątkową (krzywdę). Osoby fizyczne, których dane pozyskano w sposób nieuprawniony, mogą bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, dyskryminacją, czy naruszeniem dobrego imienia. Organ zaznaczył przy tym, że zgodnie z Regulaminem działania rzeczników dyscyplinarnych, korespondencja prowadzona w sprawach dyscyplinarnych ma charakter poufny, a Rzecznika Dyscyplinarnego obejmuje tajemnica adwokacka w zakresie prowadzonych przez niego postępowań.
Odnośnie okoliczności umyślnego lub nieumyślnego charakteru naruszenia (art. 83 ust 2 lit. b RODO) organ wskazał, że nieuprawniony dostęp do danych osobowych osób, których dane znajdują się na nagraniu rozprawy rozwodowej zamieszczonym na utraconym zewnętrznym nośniku danych, stał się możliwy na skutek niedochowania należytej staranności przez Rzecznika Dyscyplinarnego. Stanowi to o nieumyślnym charakterze naruszenia, wynikającym z niedbalstwa administratora, gdyż Rzecznik Dyscyplinarny, pomimo nieprawidłowo przeprowadzonej analizy ryzyka, posiadał wdrożoną procedurę przesyłania zewnętrznych nośników danych wraz z określeniem środków organizacyjnych gwarantujących, w ocenie administratora, odpowiedni stopień bezpieczeństwa danych przetwarzanych za pomocą tych nośników. Pomimo jej opracowania, pracownicy administratora nie zastosowali się do jej postanowień regulujących działania jakie należy podjąć w celu zapewnienia bezpieczeństwa danych przesyłanych na zewnętrznym nośniku danych. Poddaje to w wątpliwość skuteczność prowadzonych przez administratora szkoleń pracowników w tym zakresie oraz okresowych weryfikacji przestrzegania zapisów tych procedur.
Oceniając kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g RODO) organ wskazał, że dane osobowe, znajdujące się na utraconym zewnętrznym nośniku danych, tj. imię i nazwisko, głos, dane dotyczące szczegółów życia rodzinnego, relacji stron oraz podejrzeń o niewierność małżeńską, co do zasady nie są uznawane za należące do szczególnych kategorii danych osobowych, jednakże kontekst charakteru wydarzenia, w ramach którego zostały utrwalone w formie nagrania, tj. rozprawy rozwodowej, może przesądzić o tym, że będą one podlegać takiej ochronie jak dane osobowe szczególnych kategorii, co w konsekwencji wiązać się będzie z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem. Świadczy o tym także przyjęty przez administratora poziom ryzyka, który w pkt 8B formularza zgłoszenia naruszenia ochrony danych osobowych wskazał, że naruszenie powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Nie można wykluczyć wystąpienia szkody niemajątkowej (krzywdy), gdyż osoby fizyczne, których dane znajdowały się na tym nośniku, mogą odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, dyskryminacją, a także naruszeniem dobrego imienia.
Organ wskazał, że ustalając wysokość administracyjnej kary pieniężnej uwzględnił jako okoliczność łagodzącą, mającą wpływ na obniżenie wysokości wymierzonej kary fakt, iż rozpatrując sprawę nie odnotował innych, niż opisane powyżej okoliczności, mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej (art. 83 ust. 2 lit. k RODO).
Stwierdził natomiast, że żadnego wpływu na fakt zastosowania ww. sankcji oraz na jej wysokość, nie miały inne, wskazane w art. 83 ust. RODO, okoliczności.
Odnosząc się w tym względzie do działań podjętych w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c RODO) organ wskazał, że bezpośrednio po ujawnieniu naruszenia ochrony danych osobowych Rzecznik Dyscyplinarny złożył reklamację u operatora pocztowego. Administrator przekazał również podmiotom danych prawidłowe zawiadomienie o naruszeniu ochrony danych wraz ze wskazaniem, w jaki sposób mogą zabezpieczyć swoje dane osobowe przed dalszym wykorzystaniem. Jednakże, zdaniem organu, zawiadomienie osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych stanowi wypełnienie prawnego obowiązku wynikającego z art. 34 ust. 1 i 2 RODO, a ponadto, jak wynika z Wytycznych Grupy Roboczej ds. Ochrony Danych Art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 (dalej: "WP 253") przyjętych w dniu [...] października 2017r., w odniesieniu do przesłanki sposobu, w jaki organ nadzorczy dowiedział się o naruszeniu, "zwykłe dopełnienie (...) obowiązku przez Administratora nie może być interpretowane jako czynnik osłabiający/łagodzący".
Oceniając stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i art. 32 (art. 83 ust. 2 lit. d RODO) organ wskazał, że zgodnie z WP 253 rozpatrując tę przesłankę "organ nadzorczy musi odpowiedzieć na pytanie, w jakim stopniu administrator "zrobił wszystko, czego można by było oczekiwać", zważywszy na charakter, cele lub zakres przetwarzania oraz w świetle obowiązków nałożonych na niego przez rozporządzenie. Uwzględniając powyższe organ stwierdził, że w związku z naruszeniem art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO na administratorze ciąży w wysokim stopniu odpowiedzialność za niewdrożenie odpowiednich środków technicznych i organizacyjnych, które zapobiegłyby naruszeniu ochrony danych osobowych. Oczywistym jest, że w rozważanym kontekście charakteru, celu i zakresu przetwarzania danych osobowych administrator nie "zrobił wszystkiego, czego można by było od niego oczekiwać"; nie wywiązał się tym samym z obowiązków nałożonych przepisami art. 25 i 32 RODO. Okoliczność ta stanowi jednak o istocie samego naruszenia, nie jest jedynie czynnikiem wpływającym - łagodząco lub obciążająco - na jego ocenę. Z tego też względu, zdaniem organu, brak odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 25 i art. 32 RODO, nie może zostać uznany za okoliczność mogącą dodatkowo wpłynąć na surowszą ocenę naruszenia i wymiar sankcji nałożonej na administratora.
Nie stwierdzając stosownych wcześniejszych naruszeń ze strony Rzecznika Dyscyplinarnego (art. 83 ust. 2 lit. e RODO) organ nie potraktował tej okoliczności jako obciążającej. Zaznaczył jednak, że do obowiązków każdego administratora należy przestrzeganie przepisów prawa (w tym przepisów dotyczących ochrony danych osobowych), w związku z czym brak wcześniejszych naruszeń ochrony danych osobowych nie może zostać uznany za okoliczność łagodzącą przy wymierzaniu sankcji.
Oceniając stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f RODO) organ wskazał, że Rzecznik Dyscyplinarny prawidłowo wywiązywał się z ciążących na nim obowiązków procesowych w trakcie postępowania administracyjnego, zakończonego wydaniem niniejszej decyzji.
Odnosząc się natomiast do sposobu w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h RODO) Prezes UODO powołał się na okoliczność zgłoszenia naruszenia ochrony danych osobowych dokonanego przez Rzecznika Dyscyplinarnego. Zaznaczył przy tym, że dokonując zgłoszenia administrator realizował jedynie ciążący na nim obowiązek prawny, brak jest zatem podstaw do uznania, że okoliczność ta ma charakter łagodzący. Zgodnie z WP 253 "Organ nadzorczy może dowiedzieć się o naruszeniu w wyniku postępowania, skarg, artykułów w prasie, anonimowych wskazówek lub powiadomienia przez administratora danych. Zgodnie z rozporządzeniem administrator ma obowiązek zawiadomić organ nadzorczy o naruszeniu ochrony danych osobowych. Zwykłe dopełnienie tego obowiązku przez administratora nie może być interpretowane jako czynnik osłabiający/łagodzący".
W kwestii przestrzegania wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 RODO (art. 83 ust. 2 lit. i RODO) organ wskazał, że przed wydaniem niniejszej decyzji nie stosował wobec administratora żadnych środków wymienionych w art. 58 ust. 2 RODO, w związku z czym administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
Organ zauważył, iż Rzecznik Dyscyplinarny nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679). Ich przyjęcie, wdrożenie i stosowanie nie jest jednak obowiązkowe, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść administratora. Na korzyść Administratora natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.
Jednocześnie organ nie stwierdził, aby administrator w związku z naruszeniem poniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat (art. 83 ust. 2 lit. k RODO). Nie było zatem podstaw aby traktować tę okoliczność jako obciążającą administratora. Wskazał jednocześnie, że nieosiągnięcie przez administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodząca. Potwierdza to art. 83 ust. 2 lit. k RODO, który nakazuje organowi zwrócić należytą uwagę na korzyści "osiągnięte" - zaistniałe po stronie podmiotu dokonującego naruszenia.
Uwzględniając powyższe organ stwierdził, że zastosowana administracyjna kara pieniężna (w kwocie 23 580 PLN - co stanowi równowartość 5000 EURO przy zastosowaniu średniego kursu euro z dnia 30 stycznia 2023 r. - 1 EUR = 4,7160 PLN) spełnia wszystkie funkcje wymienione w art. 83 ust. 1 RODO. Będzie w tym indywidualnym przypadku skuteczna (Rzecznik Dyscyplinarny będzie z najwyższą starannością podchodzić do wymogów stawianych przez przepisy o ochronie danych osobowych), proporcjonalna (nie jest nadmiernym obciążeniem dla Rzecznika Dyscyplinarnego i stanowi adekwatną reakcję organu na stopień naruszenia obowiązków administratora) i odstraszająca (przyczyni się do zapobiegania w przyszłości naruszania przez Rzecznika obowiązków wynikających z przepisów o ochronie danych).
Powyższa decyzja Prezesa UODO z dnia [...] kwietnia 2023 r. stała się przedmiotem skargi Rzecznika Dyscyplinarnego do Wojewódzkiego Sądu Administracyjnego, który zarzucił organowi naruszenie:
1) art. 7, art. 77 § 1 i art. 80 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz.U. z 2021 r., poz. 735 ze zm.), dalej: "k.p.a.", polegające na niewyczerpującym rozpatrzeniu materiału dowodowego oraz na jego dowolnej ocenie, wyrażającej się zwłaszcza w:
- niewyczerpującym rozpatrzeniu materiału dowodowego prowadzącym do błędnego ustalenia, że doszło do zmaterializowania się ryzyka, w wyniku którego osoba (osoby) nieuprawnione uzyskały dostęp do danych zawartych w pliku znajdującym się na skradzionym (zagubionym) zewnętrznym nośniku danych, podczas gdy z zebranego materiału dowodowego wynika, że doszło jedynie do utraty kontroli nad nośnikiem danych, nie zebrano zaś dowodów na potwierdzenie faktu udostępnienia danych osobom trzecim,
- niewyczerpującym rozpatrzeniu materiału dowodowego prowadzącym do błędnego przypisania odpowiedzialności za uzyskanie dostępu do danych zawartych w pliku znajdującym się na zewnętrznym nośniku danych Skarżącemu, w sytuacji gdy prawidłowa analiza zebranego materiału dowodowego powinna prowadzić do wniosku, że utrata kontroli nad nośnikiem miała miejsce w momencie nadania przesyłki na poczcie listem poleconym za potwierdzeniem odbioru i w tym momencie, zgodnie z przepisami, strona skarżąca przestała za nią odpowiadać,
- odmówieniu mocy dowodowej i wiarygodności systemowi ochrony danych osobowych funkcjonującego u administratora oraz wdrożonej dokumentacji ochrony danych osobowej, w sytuacji, gdy administrator wykazał kompletność, aktualność i rozliczalność prowadzonej przez siebie dokumentacji,
- odmówieniu mocy dowodowej i wiarygodności analizie ryzyka przedstawionej organowi nadzorczemu przez administratora oraz podważenie metodyki jej przeprowadzenia w sytuacji, gdy organ nadzorczy pozostawia dowolność sposobu jej przeprowadzenia co zostało wyrażone w decyzji,
- błędne ustalenie rodzaju pliku umieszczonego na nośniku danych osobowych, posługując się w uzasadnieniu określeniem materiał "video", w sytuacji gdy w rzeczywistości mamy do czynienia z materiałem "audio",
- błędne ustalenie w zakresie braku regularności, kompletności i skuteczności szkoleń z ochrony danych osobowych przeprowadzanych przez administratora, podczas gdy szkolenia prowadzone przez administratora spełniają powyższe założenia,
- niewyczerpujące rozpatrzenie materiału dowodowego prowadzące do błędnej oceny współpracy administratora z organem nadzorczym, w sytuacji, gdy administrator deklarował gotowość do współpracy i realizował ją poprzez udzielenie odpowiedzi na wszystkie wezwania i pytania organu nadzorczego, co znajduje potwierdzenie w dowodach zgromadzonych w przedmiotowej sprawie,
2) naruszenie przepisów prawa materialnego mające wpływ na wynik sprawy, a to art. 83 ust. 1 RODO poprzez jego zastosowanie i nałożenie kary pieniężnej na stronę skarżącą, mimo iż nie można stwierdzić, że dane osobowe zostały naruszone, a więc że dopuścił się on naruszenia przepisów o ochronie danych osobowych,
3) art. 83 ust. 2 RODO poprzez jego błędną wykładnię i nieuwzględnienie przy jego interpretacji motywu 148 RODO, co miało wpływ na jego zastosowanie i nałożenie kary pieniężnej w sytuacji naruszenia mniejszej wagi.
W związku z powyższymi zarzutami strona skarżąca wniosła o uchylenie zaskarżonej decyzji w całości; wstrzymanie wykonania zaskarżonej decyzji; zasądzenie kosztów postępowania.
W motywach skargi strona skarżąca podniosła w szczególności, że prawidłowa ocena zebranego w sprawie materiału dowodowego powinna prowadzić do wniosku, że utrata kontroli nad nośnikiem mogła prowadzić do możliwości uzyskania nieuprawnionego dostępu do zgromadzonych danych na nośniku przez osobę bądź osoby nieuprawnione, ale fakt ten nie został udowodniony w związku z czym strona skarżąca może być ewentualnie pociągnięta do odpowiedzialności za utratę kontroli nad nośnikiem zawierającym dane osobowe, a nie za konsekwencje udostępniania danych, co też nie miało miejsca w przedmiotowej sprawie. Trudno bowiem uczynić zarzut, że nadanie przesyłki u państwowego operatora pocztowego (za potwierdzeniem jej odbioru) rożni się od nadania tej samej przesyłki tylko w formie paczki. Obie sytuacje są bowiem związane z utratą kontroli nad listem/paczką w chwili jego/jej nadania.
Strona skarżąca podkreśliła, że pismem z dnia [...] kwietnia 2022 r. administrator poinformował, że jako organ Izby Adwokackiej posiada wspólną infrastrukturę informatyczną z Okręgową Radą Adwokacką w [...]. W tym zakresie obowiązuje (wdrożona przed zaistniałym zdarzeniem) Instrukcja Zarządzania Systemami Informatycznymi, w której opisano zasady bezpieczeństwa nośników danych. Wszechstronne rozpatrzenie materiału dowodowego powinno prowadzić do wniosku, że administrator posiada wdrożoną Politykę Bezpieczeństwa Danych Osobowych określającą zasady ochrony danych osobowych wynikające z RODO oraz procedurę zgłaszania naruszeń ochrony danych osobowych, co świadczy o przygotowaniu i spełnieniu wymaganych przepisami norm i uczynieniu zadość zasadzie rozliczalności.
Organ w sposób dowolny ocenił dokumentację prowadzoną przez stronę skarżącą, co doprowadziło również do podważenia jakości, wartości i skuteczności wprowadzonych rozwiązań. W szczególności organ pominął wartość, jaką należy przypisać przedstawionej mu dokumentacji w kontekście skutecznego wykrycia i zgłoszenia naruszenia danych osobowych. Naruszenie zostało odnotowane, przeanalizowane i zgłoszone przez stronę skarżącą, co powinno wpływać pozytywnie na ocenę skuteczności obowiązujących u administratora procedur, a co zostało całkowicie pominięte.
Strona skarżąca podniosła również, że przeprowadzona analiza ryzyka uwzględnia ryzyko zniszczenia, kradzieży oraz zagubienia nośników danych, na których odbywa się przetwarzanie - każdemu z nich zostały przypisane odpowiednie wartości. Jak wskazał organ w zaskarżonej decyzji administrator ma samodzielnie przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka. Konsekwencją takiego podejścia jest konieczność samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie są wskazywane konkretne środki i procedury w zakresie bezpieczeństwa. Przeprowadzenie szczegółowej analizy prowadzonych procesów przetwarzania danych i dokonanie oceny ryzyka stanowi obowiązek administratora, który następnie, na podstawie takiej analizy, powinien zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka. Zgodnie z powyższym, w przypadku działalności Rzecznika Dyscyplinarnego taka ocena została dokonana, zaś metoda analizy nie powinna być przedmiotem oceny organu, skoro zapewniono administratorom dowolność wyboru metody.
Zdaniem strony skarżącej, organ podważył metodykę przeprowadzenia analizy nie powołując się jednak na inne, w jego ocenie, trafne rozwiązanie. Metodyka przeprowadzania analizy ryzyka nie została oficjalnie przyjęta przez organ nadzorczy, a więc sposób i wartości przypisywane poszczególnym zdarzeniom są oceniane przez administratora zgodnie z jego wiedzą o organizacji, doświadczeniem i natężeniem występujących zdarzeń. Sposób przeprowadzenia analizy powinien zawierać co najmniej opis planowanych operacji przetwarzania i celów przetwarzania, ocenę czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów, a także ocenę ryzyka naruszenia praw i wolności osób, których dane dotyczą - co zostało zawarte w analizie administratora. Kwestia wartości przypisanych poszczególnym zdarzeniom powinna stanowić marginalny aspekt nieobciążający strony skarżącej, jednakże organ na tej podstawie ustala główną wartość jej przewinienia, co w konsekwencji doprowadziło do stwierdzenia naruszenia art. 28 ust. 3 RODO i nałożenia na administratora kary pieniężnej.
Strona skarżąca podkreśliła, że przedmiotowy w sprawie nośnik danych zawierał jedynie plik audio. Brak zapisu wizerunku osób, który uniemożliwia rozpoznanie postaci oraz wpływa na obniżenie ryzyka naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem, powinien stanowić okoliczność łagodzącą dla charakteru i kontekstu danych osobowych.
Zdaniem strony skarżącej, organ nie uwzględnił wyjaśnień administratora odnośnie przeprowadzania szkoleń pracowników. Dokonana przez organ ocena, że szkolenie było jednorazowe nie znajduje uzasadnienia w rzeczywistości. Administrator prowadzi regularne szkolenia dla pracowników zarówno stacjonarne jak i online. W szkoleniach uczestniczą wszyscy pracownicy. Nieuzasadnione jest zatem stanowisko organu, że szkolenie nie było realizowane w sposób cykliczny oraz że nie zostało powtórzone do momentu wzięcia udziału w nim wszystkich osób szkolonych.
W ocenie strony skarżącej organ nie miał podstaw do wymierzania administracyjnej kary pieniężnej w orzeczonej wysokości. Za takim stanowiskiem przemawia w szczególności wdrożenie i stosowanie przewidzianych prawem polityk ochrony danych osobowych, instrukcji zarządzania systemami informatycznymi, procedur zgłaszania naruszenia danych osobowych wewnątrz organizacji, procedur zgłaszania naruszeń danych osobowych do organu nadzorczego, prowadzenia analiz ryzyka, informowania osób objętych naruszeniem o możliwych konsekwencjach powstałych w wyniku naruszenia ich danych osobowych oraz aktywna współpraca z organem polegająca na dostarczeniu wszelkich dokumentów wnioskowanych przez organ w toku postępowania.
Zdaniem strony skarżącej, w przypadku braku udowodnienia zmaterializowania się ryzyka naruszenia praw i wolności osób trzecich, nie istnieje podstawa do przypisania administratorowi odpowiedzialności za jego konsekwencję.
W odpowiedzi na skargę Prezes UODO wniósł o oddalenie skargi podtrzymując stanowisko jak w zaskarżonej decyzji.
Postanowieniem z dnia [...] sierpnia 2023 r. sygn. akt II SA/Wa 1342/23 Wojewódzki Sąd Administracyjny w Warszawie odmówił wstrzymania wykonania punktu 2 decyzji Prezesa UODO z dnia [...] kwietnia 2023 r. oraz oddalił wniosek o wstrzymanie wykonania zaskarżonej decyzji w pozostałym zakresie.
W piśmie procesowym z dnia [...] marca 2024 r. Rzecznik Dyscyplinarny podtrzymał zarzuty i wnioski skargi. Dodatkowo wniósł o:
- stwierdzenie nieważności zaskarżonej decyzji z przyczyn określonych w art. 156 § pkt 2 i 4 k.p.a. w związku z art. 107 § 1 pkt 3 k.p.a. wskazując, że Rzecznik Dyscyplinarny nie może być stroną postępowania zakończonego zaskarżoną decyzją,
- przeprowadzenie, na podstawie art. 106 § 3 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r., poz. 259 ze zm.), dalej: "p.p.s.a.", dowodu uzupełniającego z Regulaminu Okręgowej Izby Adwokackiej w [...] w sprawie zasad przyznawania diet (...) dla Rzecznika Dyscyplinarnego Izby Adwokackiej w [...] oraz jego zastępców za wykonywanie czynności w postępowaniu dyscyplinarnym (...) przyjętego uchwałą nr [...] Okręgowej Rady Adwokackiej w [...] z dnia [...] sierpnia 2018 r. - na okoliczność wykazania ile diet za przeprowadzone postępowania może wypłacić Rzecznik, czyli ile postępowań dyscyplinarnych nie będzie mogło być przeprowadzonych i rozliczonych przez Rzecznika w sytuacji uiszczenia kary w wysokości określonej w zaskarżonej decyzji (ponad 100 postępowań).
W uzasadnieniu pisma strona skarżąca podniosła, że zgodnie z art. 39 ust. 3a u.p.o.a. rzecznik dyscyplinarny jest organem izby adwokackiej, jednak nie posiada osobowości prawnej. Stroną postępowania może być podmiot posiadający osobowość prawną. Z kolei przyznanie zdolności sądowej organowi izby adwokackiej dotyczyć może tylko takiej sytuacji, gdy konkretny przepis prawa materialnego wskazuje na ten organ jako podmiot danego prawa lub obowiązku.
Strona skarżąca wskazała również, że z żadnego przepisu prawa materialnego, ani z Regulaminu działania rzeczników dyscyplinarnych (...) nie wynika, że do zakresu kompetencji rzecznika dyscyplinarnego izby adwokackiej należy administrowanie danymi osobowymi. Z żadnego przepisu nie wynika również, że organ administratora odpowiada za naruszenia obowiązków administratora. Rzecznik dyscyplinarny nie ustala celów i sposobów przetwarzania danych osobowych. Do kompetencji rzecznika, zgodnie z § 4 ust. 1 ww. Regulaminu, należą wyłącznie czynności procesowe w postępowaniu dyscyplinarnym.
O tym czy dany podmiot jest administratorem danych osobowych decyduje rodzaj i charakter nadanych mu przez prawo kompetencji oraz wyznaczone ustawowo zadania. Do uznania danego podmiotu za administratora danych potrzebne jest przyporządkowanie konkretnych przepisów kompetencyjnych. Rzecznik dyscyplinarny działa na podstawie ww. Regulaminu, jednak nie ma wpływu na jego treść, nie decyduje o jego treści, a w konsekwencji nie decyduje o celach i środkach przetwarzania danych. Decydentem w zakresie celów i środków przetwarzania danych osobowych przez Rzecznika jest Naczelna Rada Adwokacka uchwalająca Regulamin.
Stosownie do art. 28 i art. 29 k.p.a. stronami postępowania administracyjnego mogą być, gdy chodzi o samorządowe jednostki organizacyjne - jednostki nieposiadające osobowości prawnej, dla których z przepisów prawa materialnego wynikają konkretne prawa lub obowiązki. Skoro normy prawa materialnego w stosunku do Rzecznika Dyscyplinarnego nie kreują wyraźnie obowiązków podmiotu administrującego danymi osobowymi, a Rzecznik administratorem nie jest, to nie sposób uznać adresata zaskarżonej decyzji za stronę postępowania w rozumieniu art. 28 k.p.a.
W dalszej części pisma Rzecznik Dyscyplinarny zakwestionował wysokość nałożonej przez Prezesa UODO administracyjnej kary pieniężnej odwołując się do postanowień Regulaminu ORA w [...] w sprawie zasad przyznawania diet (...). Wskazał nadto, że zaskarżona decyzja zawiera niejasne wytyczne w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych (punkt 2 lit. a i b zaskarżonej decyzji), co powoduje, że zaskarżona decyzja jest niewykonalna (art. 156 § 1 pkt 5 k.p.a.).
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. z 2022 r., poz. 2492) oraz art. 3 § 1 p.p.s.a., sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. Kontrola ta polega na ocenie zgodności zaskarżonego aktu z przepisami postępowania administracyjnego, a także prawidłowości zastosowania i wykładni norm prawa materialnego. Kontrola ta jest dokonywana według stanu faktycznego i prawnego obowiązującego w dacie wydania zaskarżonego aktu.
W myśl art. 134 § 1 p.p.s.a. sąd rozstrzyga w granicach danej sprawy nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną, z zastrzeżeniem art. 57a.
Rozpatrując skargę wedle powyższych kryteriów Sąd uznał, że nie zasługuje ona na uwzględnienie. Sąd nie stwierdził bowiem, aby istniały podstawy do stwierdzenia nieważności zaskarżonej decyzji Prezesa UODO z dnia [...] kwietnia 2023r. na podstawie art. 145 § 1 pkt 2 p.p.s.a. w związku z art. 156 § 1 pkt 2, 4 i 5 k.p.a. Nie dostrzegł również, aby zaskarżona decyzja została wydana z naruszeniem przepisów postępowania w stopniu mogącym mieć wpływ na wynik sprawy (art. 145 § 1 pkt 1 lit. c p.p.s.a.), czy też z naruszeniem prawa materialnego w stopniu mającym wpływ na wynik sprawy (art. 145 § 1 pkt 1 lit. a p.p.s.a.).
Zgodnie z art. 156 § 1 k.p.a. organ administracji stwierdza nieważność decyzji, która została wydana bez podstawy prawnej lub z rażącym naruszeniem prawa (pkt 2), została skierowana do osoby niebędącej stroną w sprawie (pkt 4), była niewykonalna w dniu jej wydania i jej niewykonalność ma charakter trwały (pkt 5).
Zdaniem strony skarżącej kwalifikowana wadliwość zaskarżonej decyzji polega na tym, że Prezes UODO błędnie uznał za stronę postępowania administracyjnego (art. 28 k.p.a.) Rzecznika Dyscyplinarnego Izby Adwokackiej w [...], a w konsekwencji błędnie skierował decyzję do tego organu, naruszając przy tym w sposób rażący art. 107 § 1 pkt 3 k.p.a. W ocenie strony skarżącej Rzecznik Dyscyplinarny nie ma statusu administratora danych w przedmiotowej sprawie, a zatem nie może być podmiotem obowiązków określonych przez organ w zaskarżonej decyzji.
Sąd stanowiska strony skarżącej nie podziela z niżej przedstawionych powodów.
Zgodnie z art. 4 pkt 7 RODO pojęcie "administrator" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.
Dla określenia pojęcia administratora należy przyjrzeć się konkretnym operacjom przetwarzania i uwzględnić po pierwsze to, kto je ustala, tj. dlaczego dane są przetwarzane, kto zdecydował, że dane powinny być przetwarzane w określonym celu (cele przetwarzania), a po drugie, jak mają być wykonywane czynności przetwarzania (sposoby przetwarzania). Ustalanie sposobów przetwarzania może przybierać różne formy i obejmować różne elementy, co oznacza, że należy brać pod uwagę zarówno aspekty techniczne, jak i organizacyjne. Sposoby przetwarzania mają więc stanowić wskazane pewnej drogi do osiągnięcia zamierzonych celów.
Wchodzące w skład definicji administratora danych osobowych ww. elementy, a więc decydowanie o celach i sposobach przetwarzania danych, łącznie składają się na sprawowanie władztwa nad przetwarzanymi danymi. Określanie celów i sposobów przetwarzania danych to decydowanie o tym, dlaczego i jak dane osobowe będą przetwarzane. Za administratora danych osobowych nie można uznać "każdego dysponenta danych". Administratorem danych osobowych nie jest (...) każdy dysponent danych osobowych (...). Jest nim ten, kto decyduje o celach i środkach przetwarzania, przy czym zasadnicze znaczenie ma rodzaj i charakter nadanych mu przez prawo kompetencji z zakresu spraw publicznych" (por. wyrok NSA z dnia 30 stycznia 2002 r. sygn. akt II SA 10987/01; CBOSA).
Władztwo nad danymi może wynikać przy tym albo z właściwych przepisów prawa, a w ich braku z okoliczności o charakterze faktycznym.
W pierwszym przypadku administrowanie można ustalić na podstawie wyraźnej kompetencji prawnej, np. gdy administrator lub szczegółowe kryteria potrzebne do jego wyznaczenia są określane przez przepisy prawa krajowego lub prawa Unii. W takiej sytuacji to ustawodawca wyznacza jako administratora podmiot, który ma rzeczywistą zdolność do sprawowania kontroli nad danymi. Częściej ma jednak miejsce sytuacja, w której przepisy prawa, zamiast bezpośrednio wyznaczyć administratora danych lub określić kryteria jego wyznaczania, ustalają zadanie lub nakładają na kogoś - w związku z realizacją tego zadania - obowiązek gromadzenia i przetwarzania niektórych danych. W takim przypadku określenie, kto jest administratorem, należy wyinterpretować z przepisów prawa. Administratorem będzie zazwyczaj administrator wyznaczony przez prawo do realizacji tego celu (zadania publicznego). Tak może być na przykład w przypadku podmiotu, któremu powierzono pewne zadania publiczne, których nie można wypełnić bez zgromadzenia przynajmniej niektórych danych osobowych, i który tworzy bazę danych lub rejestr w celu realizacji tych zadań publicznych. W takim przypadku określenie, kto jest administratorem - choć pośrednio - wynika z prawa.
W drugim przypadku kwalifikacja strony jako administratora musi zostać ustalona na podstawie oceny wszystkich okoliczności faktycznych związanych z przetwarzaniem. W takiej sytuacji potrzeba oceny faktów oznacza również, że rola administratora nie wynika z charakteru podmiotu przetwarzającego dane, ale z jego konkretnych działań w określonym kontekście. Innymi słowy, ten sam podmiot może działać jednocześnie jako administrator w przypadku niektórych operacji przetwarzania danych i jako przetwarzający w przypadku innych tego rodzaju operacji, a to, czy kwalifikuje się jako administrator, czy przetwarzający należy oceniać w odniesieniu do każdej konkretnej czynności przetwarzania danych (Europejska Rada Ochrony Danych, Wytyczne 07/2020 dotyczące pojęć administratora i podmiotu przetwarzającego zawartych w RODO; 7 lipca 2021 r., Lex/el 2022).
W ocenie Sądu w sprawie niniejszej mamy do czynienia z sytuacją, gdy status Rzecznika Dyscyplinarnego - jako administratora danych - wynika pośrednio z przepisów prawa. Rzecznik, na gruncie ustawy z dnia 26 maja 1982 r. Prawo o adwokaturze, jest bowiem zobowiązany do realizacji określonych zadań publicznych, których nie można wypełnić bez przetwarzania danych. Mianowicie, zgodnie z art. 51a u.p.o.a. do zakresu działania rzecznika dyscyplinarnego (organu izby adwokackiej - art. 39 pkt 3a) należą czynności w postępowaniu dyscyplinarnym, określone w ustawie i przepisach wydanych na jej podstawie, m.in. w Regulaminie działania rzeczników dyscyplinarnych i zastępców rzeczników dyscyplinarnych oraz trybu i sposobu ich wyboru (uchwała Naczelnej Rady Adwokackiej nr 50/2018 z dnia 24 listopada 2018 r.),
Zgodnie z § 4 ust. 1 Regulaminu, do zakresu działania rzecznika dyscyplinarnego izby adwokackiej należą czynności procesowe w postępowaniu dyscyplinarnym w sprawach, które dotyczą członków izby adwokackiej (...). Stosownie do § 11 ust. 1 Regulaminu, rzecznik dyscyplinarny prowadzi postępowanie z urzędu. W ramach swej działalności podejmuje czynności sprawdzające stosując m.in. art. 307 k.p.k. (§ 19); prowadzi dochodzenie dyscyplinarne, tj. ustala czy doszło do popełnienia przez adwokata (aplikanta adwokackiego) przewinienia dyscyplinarnego oraz czy zachodzą uzasadnione podstawy do złożenia wniosku o wszczęcie postępowania dyscyplinarnego, względnie czy wystarczające jest zastosowanie innych środków przewidzianych przez ustawę (§ 20); w przypadku, gdy zebrane dane dostatecznie uzasadniają podejrzenie popełnienia przewinienia dyscyplinarnego - sporządza postanowienie o przedstawieniu zarzutów, ewentualnie o zmianie i uzupełnieniu zarzutów (§ 21); wydaje postanowienie o umorzeniu dochodzenia jeśli zebrany materiał dowodowy nie daje podstaw do złożenia wniosku o wszczęcie postępowania (§ 23); wydaje postanowienie o skierowaniu sprawy do mediacji (§ 26); występuje z wnioskiem o udzielenie upomnienia dziekańskiego (§ 29), w przypadku złożenia wniosku o wszczęcie postępowania dyscyplinarnego podejmuje kolejne czynności w sprawie, tj. bierze udział w rozprawie lub posiedzeniu przed sądem dyscyplinarnym (§34).
W myśl § 41 ust. 1 Regulaminu rzecznik dyscyplinarny prowadzi kancelarię rzecznika dyscyplinarnego, której finansowanie zapewnia właściwa rada adwokacka. W kancelarii rzecznika dyscyplinarnego prowadzone są w szczególności: a) akta dochodzeń dyscyplinarnych, b) repertorium spraw dyscyplinarnych, c) repertorium postępowań sprawdzających (ust. 2).
W świetle powyższego trafne jest stanowisko Prezesa UODO, iż Rzecznik Dyscyplinarny jest administratorem danych przetwarzanych w związku z ww. czynnościami podejmowanymi w ramach prowadzonych postępowań dyscyplinarnych. Biorąc pod uwagę przedmiot i zakres tych czynności oraz przypisaną Rzecznikowi samodzielność w realizacji nałożonych na niego obowiązków to właśnie Rzecznik jest podmiotem ustalającym - na potrzeby określonych postępowań dyscyplinarnych (i podejmowanych w ramach tych postępowań czynności) - cele i sposoby przetwarzania danych.
Nie ma więc racji strona skarżąca twierdząc, iż Rzecznikowi Dyscyplinarnemu nie można przypisać statusu administratora danych z tego powodu, że z żadnego przepisu prawa materialnego nie wynika, aby do zakresu jego kompetencji należało administrowanie danymi osobowymi. Jak już wyżej wskazano, o tym, że Rzecznik jest administratorem decyduje przedmiot i zakres powierzonych mu prawem zadań (art. 51a u.p.o.a. i ww. Regulamin), zatem status administratora wynika z ww. przepisów w sposób pośredni. Nie można również zgodzić się ze stroną skarżącą, że administratorem danych jest Naczelna Rada Adwokacka z tego powodu, że podjęła uchwałę w sprawie Regulaminu działania rzeczników dyscyplinarnych (...), a tym samym określiła cele i sposoby przetwarzania danych. Kompetencji NRA do uchwalenia Regulaminu określającego m.in. zasady działania rzeczników dyscyplinarnych (art. 58 pkt 12 i u.p.o.a.) nie należy bowiem utożsamiać ze sprawowaniem władztwa (faktycznej kontroli) nad danymi przetwarzanymi w ramach prowadzonych przez Rzecznika Dyscyplinarnego postępowań dyscyplinarnych, a w tym konkretnym przypadku ze sprawowaniem faktycznej kontroli nad danymi przewarzanymi na zewnętrznym nośniku danych, którego utrata stała się przedmiotem zgłoszenia naruszenia ochrony danych osobowych do Prezesa UODO, a w konsekwencji podstawą do wszczęcia postępowania zakończonego zaskarżoną decyzją.
Co istotne, przedmiotowego zgłoszenia naruszenia ochrony danych osobowych w dniu [...] czerwca 2021 r. dokonał Rzecznik Dyscyplinarny Izby Adwokackiej w [...] jako administrator danych (k. 7 akt admin.), a naruszenie zostało stwierdzone przez Inspektora Ochrony Danych Rzecznika Dyscyplinarnego Izby Dyscyplinarnej w [...], o którym to naruszeniu Rzecznik - jako administrator - w trybie art. 34 RODO zawiadomił osoby, których danych naruszenie to mogło dotyczyć (k. 10 - 33 akt admin.). Z akt sprawy nie wynika również, aby w toku postępowania zakończonego zaskarżoną decyzją Rzecznik kwestionował obowiązki wynikające ze statusu administratora danych. Świadczy o tym choćby sposób realizacji obowiązków ciążących na administratorze, a wynikających z konieczności współpracy z Prezesem UODO w celu wyjaśnienia okoliczności sprawy (art. 58 ust. 1 lit. a, e RODO), w tym przekazywanie dokumentów, z których jednoznacznie wynikało, że administratorem danych jest Rzecznik (k. 102, 101 akt admin.).
W tym stanie rzeczy Sąd nie stwierdził podstaw do przyjęcia, że zaskarżona decyzja jest dotknięta wadą kwalifikowaną z art. 156 § 1 pkt 4 k.p.a. Nie stwierdził również, aby poprzez nadanie statusu strony postępowania i skierowanie decyzji do Rzecznika Dyscyplinarnego doszło do rażącego naruszenia art. 28 oraz art. 107 § 1 k.p.a. Nie wystąpiła tym samym przesłanka stwierdzenia nieważności decyzji określona w art. 156 § 1 pkt 2 k.p.a.
Dodatkowo wskazać należy, że brak po stronie Rzecznika osobowości prawnej nie ma wpływu na jego zdolność występowania przed sądem administracyjnym jako strony postępowania (art. 25 p.p.s.a.). Rzecznik posiada bowiem podmiotowość administracyjnoprawną, której istotą jest omówiona wyżej możliwość nałożenia na niego obowiązków wynikających z obowiązujących przepisów dotyczących ochrony danych osobowych.
Zgodnie z zasadą integralności i poufności przetwarzania danych osobowych (art. 5 ust. 1 lit. f RODO), dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Natomiast w myśl art. 5 ust. 2 RODO administrator jest odpowiedzialny za przestrzeganie podstawowych zasad określonych w ust. 1 tego artykułu i musi być w stanie wykazać ich przestrzeganie (zasada rozliczalności). Z powyższego przepisu wynika więc domniemanie odpowiedzialności administratora za naruszenie zasad określonych w art. 5 ust. 1 (w tym zasady integralności i poufności), jako że na administratorze spoczywa ciężar wykazania ich przestrzegania.
W celu realizacji ww. obowiązku administrator danych powinien przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia w procesie przetwarzania danych. Stosownie do art. 24 ust. 1 i art. 25 ust. 1 RODO, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator powinien wdrożyć odpowiednie środki techniczne i organizacyjne, pozwalające skutecznie zabezpieczyć przetwarzane dane, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby, a w razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym, móc przedstawić dowody na to, że przestrzega tych zasad i przepisów.
Według art. 32 ust. 1 RODO, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (pkt b) oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (pkt d). Przepis art. 32 ust. 2 RODO stanowi, że oceniając czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Administrator danych osobowych jest odpowiedzialny także za to, aby inspektor ochrony danych monitorował przestrzeganie przepisów dotyczących przetwarzania danych osobowych oraz polityki administratora w dziedzinie ochrony danych osobowych, przeprowadzał szkolenia personelu uczestniczącego w operacjach przetwarzania oraz audyty, uwzględniając ryzyko związane z operacjami przetwarzania (art. 39 ust. 1 lit. b i art. 39 ust. 2 RODO) oraz był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych (art. 38 ust. 1 RODO).
Uwzględniając powyższe regulacje i poczynione ustalenia faktyczne Sąd stwierdza, że Prezes UODO trafnie stwierdził naruszenie przez Rzecznika Dyscyplinarnego przepisów art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust 1, art. 25 ust. 1 oraz art. 32 ust. 1 i ust. 2 RODO.
W toku postępowania wykazane zostało, że administrator nie podjął stosownych działań zapewniających właściwy poziom ochrony danych poprzez wdrożenie odpowiednich środków technicznych lub organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych. Niezastosowanie odpowiednich środków bezpieczeństwa wynikało z niedostatecznego (błędnego) oszacowania ryzyka, czego konsekwencją było zmaterializowanie się ryzyka dostępu osób nieuprawnionych do danych zawartych w niezaszyfrowanym pliku znajdującym się na również niezaszyfrowanym nośniku danych (pendrivie).
Arkusz analizy ryzyka (przeprowadzonej przed wystąpieniem naruszenia ochrony danych) zawierał m.in. ocenę ryzyka w przypadku "awarii, kradzieży lub zagubienia nośników danych". Stopień ryzyka dla tej kategorii przetwarzania określony jest jako "1" - "ryzyko akceptowalne, nie wymagające dalszego postępowania (podjęcia środków minimalizujących)". Środki minimalizujące ryzyko, które zostały wskazane w przypadku powyższej oceny ryzyka to "Kopie zapasowe danych raz dziennie. Szybki czas przywrócenia" (k. 56 i 67 i nast. akt admin.). Trafnie w tym względzie wskazał organ, że środki te nie są adekwatne do potencjalnych zagrożeń, bowiem kopie zapasowe są środkiem minimalizującym skutki utraty dostępności danych znajdujących się na utraconym nośniku (w przypadku np. jego awarii), jednak nie minimalizują ryzyka wystąpienia możliwych konsekwencji naruszenia poufności danych (w przypadku dostępu i użycia nośnika przez osobę trzecią). Prawidłowo również organ odnotował fakt, że w analizie ryzyka przeprowadzonej przez administratora już po wystąpieniu naruszenia ochrony danych (k. 100 i nast. akt admin.) ocena skutków dla przetwarzania danych osobowych na zewnętrznych nośnikach danych w przypadku "awarii, kradzieży lub zagubienia nośników danych" została zastąpiona jedynie oceną skutków w przypadku "awarii nośników danych", co oznacza, że administrator nie przeprowadził analizy ryzyka dla sytuacji, która była podstawą zgłoszenia organowi naruszenia ochrony danych osobowych.
Trafnie również organ stwierdził, że jakkolwiek administrator przewidział określone rozwiązania odnośnie bezpieczeństwa nośników danych (Instrukcja Zarządzania Systemami Informatycznym - k. 84 verte i k. 80 akt admin.) to jednak ich skutecznie nie wdrożył i nie weryfikował ich stosowania. Wskazuje na to jednoznacznie fakt nieprzestrzegania postanowień IZSI przez pracowników kancelarii Rzecznika przy wysyłce nośnika danych z nagraniem rozprawy rozwodowej, jak i nieprzedstawienie przez Rzecznika dowodu w postaci pisemnego raportu potwierdzającego monitorowanie obowiązujących procedur. Podkreślając wagę regularnego testowania, mierzenia i oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych organ zasadnie zwrócił uwagę na przewidzianą w IZSI częstotliwość dokonywania przeglądu ryzyka (przynajmniej raz w roku - k. 60 verte akt admin.). Trafnie przy tym wskazał, że upływ czasu przy założeniu takiej częstotliwości może prowadzić do stosowania środka, którego skuteczność względem zapewnienia bezpieczeństwa danych uległa dezaktualizacji.
W kontekście monitorowania stosowania przyjętych procedur organ prawidłowo również ocenił kwestię szkoleń pracowników kancelarii Rzecznika w ww. zakresie. Wskazał przy tym, że szkolenie zostało przeprowadzone rok przed stwierdzeniem naruszenia ochrony danych (tj. maju 2020 r.), co nie jest wystarczającym środkiem dla zapewnienia odpowiedniego poziomu świadomości osób zobowiązanych do ochrony danych. Podniesiona w tym względzie argumentacja skargi, że szkolenia z zakresu obowiązujących procedur odbywały się regularnie (stacjonarnie i online) dla wszystkich pracowników nie znajduje odzwierciedlenia w zgromadzonym w sprawie materialne dowodowym.
Biorąc pod uwagę ww. nieprawidłowości i naruszenia ww. przepisów RODO organ miał podstawy do tego, aby nakazać administratorowi dostosowanie operacji przetwarzania do przepisów RODO poprzez wykonanie analizy ryzyka uwzględniającej zagrożenia związane z utratą - wskutek zagubienia lub kradzieży - zewnętrznych nośników danych, na których przetwarzane są dane osobowe, a także wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych.
Uwzględniając powyższe Sąd nie stwierdził podstaw do stwierdzenia nieważności zaskarżonej decyzji z przyczyn, o których mowa w art. 156 § 1 pkt 5 k.p.a. Przepis ten stanowi, że organ administracji publicznej stwierdza nieważność decyzji, która była niewykonalna w dniu jej wydania, a jej niewykonalność na charakter trwały.
Jak podkreśla się w orzecznictwie uregulowana w ww. przepisie niewykonalność decyzji zachodzi wówczas, gdy nie ma możliwości technicznych jej wykonania lub istnieją prawne nakazy bądź zakazy, które stwarzają nieusuwalną przeszkodę w wykonaniu praw lub obowiązków ustanowionych w decyzji. Niewykonalność prawna oznacza więc brak możliwości zastosowania się do decyzji z uwagi na istniejący w obowiązującym porządku prawnym zakaz lub nakaz określonego zachowania pozostający w sprzeczności z wydaną decyzją. Z kolei niewykonalność faktyczna decyzji to trwała niemożność jej wykonania z pozaprawnych przyczyn obiektywnych o charakterze nieusuwalnym (por. wyroki NSA: z dnia 8 lutego 2022 r., sygn. akt III OSK 951/21; z dnia 20 czerwca 2021 r., sygn. akt II OSK 2626/18; publ. CBOSA).
Wbrew twierdzeniom strony skarżącej w niniejszej sprawie nie zachodzi niewykonalność prawna decyzji. Nie ma bowiem podstaw do stwierdzenia, że brak jest możliwości zastosowania się do decyzji z uwagi na istniejący w obowiązującym porządku prawnym zakaz lub nakaz określonego zachowania pozostający w sprzeczności z wydaną decyzją. Przeciwnie, z powodu naruszenia przez Rzecznika Dyscyplinarnego ww. przepisów dotyczących ochrony danych osobowych, zaistniała potrzeba dostosowania operacji przetwarzania danych w sposób określony w zaskarżonej decyzji (art. 58 ust. 2 lit. d, lit. i RODO). Nie ma również przesłanek pozwalających stwierdzić, że istnieje niewykonalność faktyczna decyzji. Sąd nie stwierdził, a strona skarżąca nie wykazała, aby wystąpiły jakiekolwiek trudności techniczne związane z wykonaniem obowiązku nałożonego decyzją. Co istotne, zgodnie z poglądem orzecznictwa, faktyczna niewykonalność decyzji administracyjnej musi być rezultatem niesuwalnych przeszkód technicznych, nie zaś innych trudności technicznych lub ekonomicznych, choćby bardzo poważnych. Decyzji nie można uznać za niewykonalną jedynie dlatego, że jej wykonanie wywoła niekorzystne skutki ekonomiczne dla strony, spowoduje trudności w wykorzystaniu urządzeń technicznych lub wymaga znacznych nakładów finansowych (por. wyroki NSA z dnia 11 stycznia 2018 r., sygn. akt II OSK 1103/17; z dnia 2 września 2016 r., sygn. akt I OSK 698/15; CBOSA).
Nie ma racji strona skarżąca podnosząc, że organ sformułował "niejasne wytyczne", a sentencja decyzji nie zawiera precyzyjnego rozstrzygnięcia, co stanowi o naruszeniu art. 107 § 1 pkt 5 k.p.a. Sąd powyższego stanowiska nie podziela. Z sentencji decyzji jednoznacznie wynika bowiem w jaki sposób Rzecznik Dyscyplinarny ma dostosować operacje przetwarzania danych, zaś uzasadnienie decyzji, które stanowi integralną część rozstrzygnięcia, dokładnie opisuje (o czym była mowa powyżej) stwierdzone nieprawidłowości, które legły u podstaw podjętego rozstrzygnięcia.
Nieuzasadnione są również zarzuty dotyczące naruszenia przepisów postępowania, tj. art. 7, art. 77 § 1 i art. 80 k.p.a. w związku z art. 7 ust. 1 u.o.d.o., albowiem Prezes UODO wyjaśnił wszystkie okoliczności niezbędne do prawidłowego rozstrzygnięcia sprawy, a także dokonał właściwej oceny zebranego w sprawie materiału dowodowego w świetle przepisów prawa materialnego, zaś dokonana ocena nie ma charakteru dowolnego.
W działaniu Prezesa UODO Sąd nie dopatrzył się nieprawidłowości, które mogłyby mieć wpływ na podjęte w sprawie rozstrzygnięcie, co dotyczy zarówno zebrania i rozpatrzenia materiału dowodowego, ustalenia okoliczności faktycznych sprawy, jak i wykładni i zastosowania przepisów prawa materialnego. Zarzuty skargi dotyczące zaniechania wyczerpującego rozpatrzenia materiału dowodowego, a także dokonania błędnej wykładni przepisów dotyczących ochrony danych osobowych, mające skutkować wydaniem wadliwej decyzji, nie mogły więc odnieść zamierzonego skutku.
Ponadto uzasadnienie zaskarżonej decyzji spełnia wymogi określone w art. 107 § 3 k.p.a. Organ wyjaśnił bowiem w sposób dostatecznie jasny i przekonujący motywy podjętego rozstrzygnięcia, zaś przytoczona w tym zakresie argumentacja jest wyczerpująca i w sposób adekwatny odnosi się do okoliczności sprawy i stanowiska strony skarżącej.
Odnosząc się do poszczególnych zarzutów skargi Sąd stwierdza, że są one nieuzasadnione.
Nie ma racji strona skarżąca twierdząc, iż organ błędnie uznał, że nastąpiło zmaterializowanie się ryzyka, w wyniku którego osoba (osoby) nieuprawnione uzyskały dostęp do danych zawartych na nośniku danych, podczas gdy doszło jedynie do utraty kontroli nad nośnikiem. Dla przyjęcia, że doszło do "zmaterializowania się ryzyka" organ nie miał obowiązku wykazania, że w okolicznościach sprawy doszło do faktycznego zapoznania się przez osoby trzecie z danymi znajdującymi się na zagubionym nośniku. Abstrahując od tego, że to na stronie postępowania spoczywa obowiązek wykazania konkretnych faktów i zdarzeń, z których wywodzi ona dla siebie określone skutki prawne, wskazać należy, iż w niniejszej sprawie organ miał obowiązek wykazać i wykazał, że administrator - na skutek zaniechania wdrożenia i monitorowania procedur - utracił kontrolę nad nośnikiem danych, co jest równoznaczne z istnieniem ryzyka nieuprawnionego ujawnienia znajdujących się w treści nagrania danych osobowych, tym bardziej, że ani nagranie, ani sam nośnik nie zostały zabezpieczone (zaszyfrowane) przez administratora. Okoliczności faktyczne sprawy wskazują, że istnienie wysokiego ryzyka naruszenia praw i wolności osób, których dane dotyczą, założył sam administrator i skierował do tychże osób zawiadomienia o naruszeniu ochrony danych osobowych z informacjami i zaleceniami adekwatnymi do naruszenia poufności danych. Tym bardziej zatem podniesiony w skardze zarzut nie może odnieść oczekiwanego skutku.
Nie ma racji strona skarżąca twierdząc, że organ błędnie przypisał odpowiedzialność na uzyskanie dostępu do danych zawartych w pliku nagranym na nośniku skoro utrata kontroli nad danymi miała miejsce w momencie nadania przesyłki w placówce pocztowej. Jak prawidłowo ustalił organ, Rzecznik Dyscyplinarny, określając cele i sposoby przetwarzania danych osobowych osób biorących udział w postępowaniach dyscyplinarnych, staje się administratorem tych danych. I jakkolwiek za prawidłowe doręczenie przesyłki odpowiada operator pocztowy wybrany przez administratora, który ma obowiązek zachowania należytej staranności przy zabezpieczaniu urządzeń i obiektów wykorzystywanych przy świadczeniu usług pocztowych oraz zbiorów danych przed ujawnieniem tajemnicy pocztowej (art. 41 ust. 1 i ust. 6 ustawy z dnia 23 listopada 2012 r. Prawo Pocztowe - Dz.U. z 2022 poz. 896), to jednak w momencie nadania przesyłki nie ustaje cel przetwarzania, a co za tym idzie nadawca (strona skarżąca) nie traci statusu administratora.
Jak trafnie wskazał organ w odpowiedzi na skargę, odpowiedzialność za niewykonanie przez operatora usługi z zachowaniem należytej staranności opisana została w rozdziale 8 ustawy Prawo Pocztowe, który wskazuje administratorowi środki egzekwowania należytego wykonania umowy o świadczenie usług pocztowych. Odpowiedzialność za nieprawidłowe zabezpieczenie danych osobowych znajdujących się wewnątrz przesyłki spoczywa jednak w dalszym ciągu na administratorze danych, jako na podmiocie, który posiadając wiedzę o tym, jakie dane znajdują się w treści przesyłki, powinien dobrać takie środki bezpieczeństwa, które zapewnią adekwatną ochronę tych danych, także na wypadek niezachowania przez operatora pocztowego tajemnicy pocztowej. W sprawie niniejszej pracownicy administratora nie zastosowali się do zapisów procedury odnoszących się do zabezpieczania zewnętrznych nośników danych w przypadku przekazywania ich drogą pocztową, co spowodowało naruszenie poufności danych osobowych znajdujących się na zagubionym nośniku. Zarzut błędnego przypisania administratorowi odpowiedzialności na ten stan rzeczy jest nieuzasadniony.
Wbrew zarzutom skargi organ nie odmówił mocy dowodowej i wiarygodności systemowi ochrony danych osobowych przyjętego przez administratora. Organ podkreślał w uzasadnieniu decyzji, że administrator przyjął określone procedury m.in. dotyczące zabezpieczania przesyłek, w których znajdują się zewnętrzne nośniki danych z plikami zawierającymi dane osobowe. Organ zakwestionował jednak skuteczność wdrożenia procedury w szczególności z tego powodu, że pracownicy administratora nie zastosowali przyjętych regulacji przy wysyłce nośnika danych z nagraniem rozprawy rozwodowej. Zakwestionował również sposób i częstotliwość monitorowania przyjętych procedur. Powoływana przez stronę skarżącą okoliczność, że naruszenie ochrony danych osobowych zostało przez administratora odnotowane, przeanalizowane i zgłoszone do organu w żaden sposób nie podważa prawidłowości ustaleń organu. Zgłoszenie naruszenia jest obowiązkiem administratora danych (art. 33 ust. 1 RODO), zaś sam fakt dopełnienia tego obowiązku przez Rzecznika Dyscyplinarnego, jakkolwiek stanowił podstawę do wszczęcia postępowania, nie miał wpływu na podjęte w sprawie rozstrzygnięcie.
Podkreślić należy, że przeprowadzenie oceny ryzyka stanowi podstawę do wdrażania przez administratora adekwatnych środków zabezpieczających dane, zarówno o charakterze technicznym jak i organizacyjnym. Nieprawidłowe oszacowanie ryzyka powoduje przyjęcie środków, które w niedostateczny sposób chronią dane osobowe w przypadku wystąpienia przewidywanych zdarzeń i ten aspekt stanowił punkt wyjścia do poczynionych przez organ rozważań dotyczących prawidłowości przeprowadzonego przez administratora szacowania ryzyka. W niniejszej sprawie administrator znacznie zaniżył ryzyko, a także nie rozważył konsekwencji, jakie mogą wystąpić w sytuacji utraty poufności danych osobowych znajdujących się na zewnętrznych nośnikach danych w przypadku ich kradzieży bądź zagubienia, co trafnie ustalił organ. Wbrew twierdzeniom skargi nie jest to "(...) marginalny aspekt nieobciążający Skarżącego (...). Przeprowadzenie analizy ryzyka nie może skupiać się jedynie na zdarzeniach, które wystąpiły w przeszłości. Administrator powinien przewidywać ryzyka, które mogą potencjalnie wystąpić w jego organizacji, aby moc im zapobiec poprzez zastosowanie odpowiednich środków technicznych i organizacyjnych. Samodzielności administratora w zakresie zarządzania ryzykiem (tj. w zakresie analizy prowadzonych procesów przetwarzania, analizy ryzyka ujawnienia danych, zastosowania środków i procedur adekwatnych do oszacowanego ryzyka) nie można utożsamiać z dowolnością podejmowanych działań, bowiem może to prowadzić (jak w sprawie niniejszej) do zmaterializowania się ryzyka naruszenia praw i wolności osób, których dane dotyczą.
Strona skarżąca zarzuciła organowi błędne ustalenie formy pliku (video zamiast audio) zamieszczonego na utraconym nośniku danych, jednak omyłka ta (bowiem w tej kategorii należy rozumieć incydentalny zapis, że na nośniku "znajdował się plik wideo z nagraniem rozprawy rozwodowej" - s. 4 decyzji) nie ma istotnego znaczenia ani dla rodzaju zastosowanego środka naprawczego ani dla wysokości nałożonej na Rzecznika Dyscyplinarnego administracyjnej kary pieniężnej w związku ze stwierdzonymi naruszeniami przepisów RODO. Abstrahując od tego, że organ kilkakrotnie w decyzji wskazał jakie dane zwierało nagranie (dane 8 osób w zakresie imienia, nazwiska, szczegółów dotyczących życia rodzinnego, relacji stron i podejrzeń o niewierność małżeńską), prawidłowo skoncentrował się na zastosowanych (bądź nie) przez administratora środkach bezpieczeństwa mających zapewnić ochronę przetwarzanych przy użyciu tego nośnika danych osobowych, zaś stwierdzając w tym zakresie nieprawidłowości - podjął przedmiotowe rozstrzygnięcie.
W tym kontekście nie mogą odnieść oczekiwanego skutku wywody strony skarżącej, iż "Okolicznością łagodzącą dla przywołanego charakteru i kontekstu danych osobowych powinien być brak zapisu wizerunku osób, który uniemożliwia rozpoznanie postaci oraz wpływa na obniżenie ryzyka naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem". Powody, dla których organ zastosował sankcje określone w zaskarżonej decyzji zostały szczegółowo w niej omówione, a wywiedzione przez organ konkluzje są prawidłowe, przy czym administracyjna kara pieniężna została nałożona na administratora z powodu stwierdzonych naruszeń przepisów RODO, a nie z uwagi na fakt wystąpienia naruszenia ochrony danych osobowych. Natomiast w kontekście wystąpienia ryzyka naruszenia praw lub wolności osób, których dotyczy ww. nagranie, kluczowe jest to, że administrator nie zabezpieczył w żaden sposób ani zewnętrznego nośnika danych ani samego pliku zawierającego nagranie z przebiegu rozprawy rozwodowej. Z tego punktu widzenia bez znaczenia pozostaje, czy wśród danych znajdujących się na nagraniu znajdował się wizerunek ww. osób, czy też nie.
Brak jest podstaw do uznania, że w sprawie doszło do błędnej oceny współpracy administratora z organem. Do tej kwestii organ odniósł się w uzasadnieniu zaskarżonej decyzji wskazując, że zwykłe dopełnienie określonego w przepisach obowiązku administratora nie może być interpretowane jako czynnik osłabiający/łagodzący wymiar kary. Powyższe stanowisko Sąd orzekający w pełni podziela. Przestrzeganie przepisów prawa jest obowiązkiem tak organu, jak i strony postępowania, zwłaszcza w sytuacji gdy zagrożone są prawa lub wolności osób, których dane podlegały przetwarzaniu.
Prezes UODO szczegółowo określił czynniki mające wpływ zarówno na zastosowanie wobec Rzecznika Dyscyplinarnego sankcji administracyjnej w postaci administracyjnej kary pieniężnej, jak i na jej wysokość. Za podstawę organ przyjął fakt naruszenia zasady poufności oraz rozliczalności (art. 5 ust. 1 lit. f oraz art. 5 us.t 2 RODO). Szczegółowo odniósł się do wszystkich okoliczności wymienionych w art. 83 ust. 2 RODO uwzględniając nieumyślny charakter naruszenia. Stwierdził, że karą adekwatną proporcjonalną i prewencyjną w ustalonych okolicznościach będzie administracyjna kara pieniężna w wysokości 23 580 złotych. Kara ta odzwierciedla czas trwania naruszenia przepisów RODO, charakter i jego wagę oraz kategorie danych osobowych, których dotyczyło naruszenie.
Sąd podziela stanowisko organu, że kara w ww. wysokości stanowi proporcjonalny środek do charakteru i zakresu naruszenia mający na celu przywrócenie stanu zgodnego z prawem, a jednocześnie nie jest nadmiernie obciążająca dla strony skarżącej nawet przy uwzględnieniu wywodów dotyczących liczby potencjalnie nieprzeprowadzonych postępowań dyscyplinarnych z powodu konieczności uiszczenia kary (Regulamin ORA w [...] w sprawie zasad przyznawania diet (...) za wykonywanie czynności w postępowaniu dyscyplinarnym).
Na marginesie Sąd zauważa, że organ nie ustrzegł się omyłki wskazując na s. 17 zaskarżonej decyzji, że na administratora została nałożona administracyjna kara pieniężna w wysokości 28 296 złotych. Jednakże wobec jednoznacznego określenia w sentencji decyzji wysokości kary w kwocie 23 580 złotych oraz szczegółowego i prawidłowego sposobu jej wyliczenia (5000 euro = 23 580 złotych według średniego kursu euro z dnia 30 stycznia 2023 r.; 1 euro = 4,7106 złotych) w uzasadnieniu zaskarżonej decyzji (s. 22), Sąd uznał, że ta okoliczność nie może mieć wpływu na ocenę prawidłowości podjętego rozstrzygnięcia.
Konkludując Sąd stwierdza, że zaskarżona decyzja nie narusza prawa, zaś podniesione przez stronę skarżącą zarzuty nie zasługują na uwzględnienie. W sprawie nie doszło do naruszenia art. 83 ust. 1 i 2 RODO oraz art. 28 ust. 3 RODO (przepis ten nie miał zastosowania w sprawie). Organ nie dopuścił się również naruszenia wymienionych w skardze przepisów k.p.a. w związku z art. 7 u.o.d.o.
W tym stanie rzeczy Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 p.p.s.a., orzekł jak w sentencji wyroku.