II SA/WA 2065/24

II SA/Wa 2065/24 - Wyrok WSA w Warszawie
Data orzeczenia
2025-06-11
orzeczenie prawomocne
Data wpływu
2024-12-20
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Anna Pośpiech-Kłak /sprawozdawca/
Izabela Głowacka-Klimas /przewodniczący/
Łukasz Krzycki
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2024 poz 935
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Izabela Głowacka-Klimas, Sędzia WSA Łukasz Krzycki, Asesor WSA Anna Pośpiech-Kłak (spr.), , Protokolant sekretarz sądowy Agnieszka Fidor, , po rozpoznaniu na rozprawie w dniu 11 czerwca 2025 r.[...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] października 2024 r. nr [...] w przedmiocie dostosowania operacji przetwarzania do przepisów rozporządzenia o ochronie danych osobowych oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych decyzją z dnia [...] października 2024 r. nr [...], na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572), zw. dalej "k.p.a.", art. 7 ust. 1 i 2, art. 9, art. 10, art. 60 oraz art. 102 ust. 1 pkt 1 i ust. 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), a także art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. d) oraz lit. i), art. 83 ust. 1-3 oraz art. 83 ust. 4 lit. a) w związku z art. 37 ust. 1 lit. a) oraz ust. 7 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zw. dalej "RODO", stwierdził naruszenie przez Powiatowego Inspektora Nadzoru Budowlanego w C., zw. dalej "PINB", art. 37 ust. 1 lit. a) i art. 37 ust. 7 RODO, polegające na niewyznaczeniu inspektora ochrony danych, a w konsekwencji braku publikacji danych kontaktowych inspektora ochrony danych i braku zawiadomienia o tych danych organu nadzorczego przez co nałożył na PINB, administracyjną karę pieniężną w wysokości 25 000 (dwadzieścia pięć tysięcy) złotych i nakazał PINB dostosowanie operacji przetwarzania do przepisów RODO, w terminie 7 dni od dnia doręczenia niniejszej decyzji, poprzez dokonanie publikacji danych kontaktowych inspektora ochrony danych.
Powyższe rozstrzygnięcie zostało podjęte w następującym stanie faktycznym i prawnym sprawy:
W dniu [...] lutego 2024 r. Urząd Ochrony Danych Osobowych uzyskał informację dotyczącą "(...) sposobu przestrzegania ustawy o ochronie danych osobowych w Powiatowym Inspektoracie Nadzoru Budowlanego w C. przy ul. S. (...)". Z treści wiadomości wynikało m.in., że wskazany w niej "(...) Urząd nie posiada inspektora Ochrony Danych (...)".
Prezes Urzędu Ochrony Danych Osobowych, zw. dalej "PUODO" lub "organem nadzorczym", na podstawie uzyskanego sygnału o możliwości naruszenia przepisów o ochronie danych osobowych zwrócił się [...] lutego 2024 r., w trybie art. 58 ust. 1 lit. a) i e) RODO do PINB o wyjaśnienie, czy w strukturze PINB wyznaczony został inspektor ochrony danych.
W odpowiedzi z dnia [...] lutego 2024 r. PINB zaprzeczył, jakoby nieprawidłowości w zakresie realizowanych przez niego procesów przetwarzania danych osobowych kiedykolwiek miały miejsce. "(...) Inspektorem Ochrony Danych Osobowych była p. X.Y., która od dnia [...].10.2022 r. przebywała na zwolnieniu lekarskim. Stosunek pracy z tym pracownikiem ustał dnia [...].03.2023 r. Wszystkie obowiązki pracownicze zostały przejęte przez p. A.Z., zgodnie z przyjętym i podpisanym zakresem obowiązków."
Następnie pismem z dnia [...] lutego 2024 r. PUODO zwrócił się do PINB o poinformowanie, kiedy i w jaki sposób zawiadomił on organ nadzorczy o powołaniu, zmianie lub odwołaniu inspektora ochrony danych.
W replice datowanej na [...] marca 2024 r. PINB wskazał, że "(...) dotychczas Inspektorem Ochrony Danych Osobowych w Powiatowym Inspektoracie Nadzoru Budowlanego w C. była p. X.Y.. W momencie nastania jej dłuższej absencji spowodowanej problemami zdrowotnymi przekazała wszystkie obowiązki p. A.Z.. (...)". Przyznał, że "(...) Niestety nastąpiło niedopatrzenie i nie zgłoszono tego drogą korespondencyjną do UODO. W międzyczasie Powiatowy Inspektorat Nadzoru Budowlanego borykał się z zawirowaniami kadrowymi i problemami wynikającymi ze zmianą siedziby i długotrwałą przeprowadzką. Na dzień dzisiejszy zostanie dokonane skuteczne zgłoszenie nowego Inspektora Ochrony Danych Osobowych oraz zastępcy." Nadto nadmienił, że w dniu [...] marca 2024 r. do PUODO przesłał następujące zawiadomienia: o wyznaczeniu A.B. do pełnienia funkcji inspektora ochrony danych w PINB, o odwołaniu X.Y. z pełnienia funkcji IOD w PINB, o wyznaczeniu Y.Z. do pełnienia funkcji zastępcy IOD w PINB.
Przekazanie ww. informacji, wskazujących na możliwość naruszenia przez PINB obowiązku wynikającego z art. 37 ust. 7 RODO od [...] maja 2018 r. do [...] marca 2024 r., stanowiło – zdaniem PUODO - wystarczającą przesłankę do wszczęcia z urzędu postępowania administracyjnego, o czym organ zawiadomił PINB pismem z [...] marca 2024 r. Niezależnie od tego PUODO zobowiązał PINB do przedstawienia dowodów na wyznaczenie IOD od [...] maja 2018 r.
W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego PINB oświadczył, że "jako kierownik jednostki i Administrator Danych Osobowych w PINB w 2018 roku upoważniłem pracownika p. X.Y. do podjęcia się roli Inspektora Ochrony Danych Osobowych w PINB. Zostałem poinformowany, że dokonano wszelkich formalności związanych z tą czynnością służbową. X.Y. przeszła stosowne szkolenia w tym kierunku i jako zakładowa kadrowa sporządzała dokumenty związane z zatrudnianiem pracowników, gdzie umieszczała swoje dane jako Inspektora Ochrony Danych Osobowych. Wobec powyższych uważam, że dokonano niezbędnych formalności w Urzędzie Ochrony Danych Osobowych". Do powyższego oświadczenia dołączona została kserokopia akt personalnych ww. osoby w postaci: "Zaświadczenia o ukończeniu szkolenia "Ochrona Danych Osobowych dla Inspektora Ochrony Danych" z dnia [...] czerwca 2018 r.; klauzuli informacyjnej o przetwarzaniu danych osobowych oraz "Upoważnienia do przetwarzania danych osobowych w systemie tradycyjnym i informatycznym" z dnia [...] maja 2018 r. PINB ujawnił również treść zarządzenia nr [...] z [...] maja 2018 r. "w sprawie wprowadzenia Polityki bezpieczeństwa przetwarzania danych osobowych w Powiatowym Inspektoracie Nadzoru Budowlanego w C.".
PUODO pismem z [...] marca 2024 r. zwrócił się do PINB o przekazanie dowodów w postaci umowy o pracę, treści wewnętrznego zarządzenia lub wskazania zakresu obowiązków pracowniczych, uprawdopodobniających przywołaną w piśmie z [...] marca 2024 r. okoliczność dokonania przez PINB upoważnienia X.Y. "(...) do podjęcia się roli Inspektora Ochrony Danych Osobowych w PINB", jak również wskazujących na dokonanie w sposób sformalizowany przez PINB wyznaczenia do pełnienia funkcji IOD A.Z., której zgodnie z pismem z dnia [...] marca 2024 r. X.Y. "(...) przekazała wszystkie obowiązki (...)".
Przy odpowiedzi z dnia [...] kwietnia 2024 r. PINB przedłożył umowy o pracę zawartą pomiędzy PINB a X.Y. z dnia [...] kwietnia 1999 r. oraz z dnia [...] września 2019 r., a także "Przydział czynności" z dnia [...] marca 1999 r. X.Y. oraz "Zakres czynności" z dnia [...] czerwca 2023 r. A.Z., która własnoręcznym podpisem złożonym w dniu [...] lipca 2023 r. wyraziła aprobatę dla zawartych w nim postanowień.
Analiza przedłożonej dokumentacji tak X.Y., jak i A.Z. wykazała, że nie były wyznaczone do pełnienia funkcji IOD.
Mając na uwadze treść dotychczas złożonych przez PINB wyjaśnień, PUODO stwierdził, iż zachodzi konieczność rozszerzenia wyjaśnień o naruszenie z art. 37 ust. 1 lit. a) RODO, o czym PINB, stosownie do art. 61 § 1 i 4 k.p.a., został zawiadomiony pismem z dnia [...] kwietnia 2024 r.
Jednocześnie, w dniu [...] sierpnia 2024 r. organ nadzorczy zwrócił się do PINB o przekazanie dowodów, np. w postaci umowy o pracę, treści wewnętrznego zarządzenia lub przedstawienia zakresu obowiązków pracowniczych, wskazujących na dokonanie w sposób sformalizowany wyznaczenia do pełnienia funkcji IOD A.B.. Nadto, wezwał do wskazania przyczyn nieprzedstawienia przez PINB dowodów w powyższym zakresie na wyznaczenie przez niego w swojej strukturze IOD (a więc również A.B.) od [...] maja 2018 r.
W odpowiedzi z dnia [...] września 2024 r. PINB przedstawił treść "Zarządzenia nr [...] Powiatowego Inspektora Nadzoru Budowlanego w C. z dn. [...].03.2024 roku" na mocy którego wyznaczył A.B. "(...) do pełnienia funkcji inspektora ochrony danych osobowych (IOD) w Powiatowym Inspektoracie Nadzoru Budowlanego w C." Nadto poinformowała, że przedłożył już "(...) wszystkie dokumenty (...) dotyczące powołania na stanowisko IOD Pani X.Y. od 2018 roku". Nie podał jednak przyczyn niedostarczenia dowodów na wyznaczenie przez niego w swojej strukturze IOD (a więc również A.B.) od [...] maja 2018 r.
PUODO przywołał treść art. 37 ust. 1 lit. a) RODO, z którego wynika, że administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości. Z kolei z art. 37 ust. 7 RODO wynika, że administrator lub podmiot przetwarzający publikują dane kontaktowe inspektora ochrony danych i zawiadamiają o nich organ nadzorczy.
Zdaniem PUODO, PINB będąc organem administracji publicznej, realizujący zadania nadzoru budowalnego w ramach powiatowej administracji zespolonej, jest podmiotem objętym obowiązkiem z art. 37 ust. 1 lit. a) RODO. Dla wzmocnienia argumentacji PUODO dodał, że stosownie do art. 86 ust. 3 i ust. 4 ustawy z dnia 7 lipca 1994 r. Prawo budowlane (Dz. U. z 2023 r. poz. 682) PINB wykonuje swoje zadania przy pomocy powiatowego inspektoratu nadzoru budowlanego, odpowiadając przy tym za organizację wewnętrzną i szczegółowy zakres zadań wymienionej jednostki budżetowej. W świetle tej regulacji zobowiązanym do dochowania należytej staranności przy wyznaczeniu IOD jest stojący na czele jednostki finansowanej z budżetu państwa organ administracji publicznej, który ustala cele i sposoby przetwarzania danych osobowych w jej strukturze.
Tymczasem, z przedłożonej dokumentacji nie wynika aby PINB w 2018 r. wyznaczył "X.Y do podjęcia się roli Inspektora Ochrony Danych Osobowych w PINB". W ocenie PUODO środkami dowodowymi, którymi powinien był posłużyć się PINB w celu wykazania właściwego wyznaczenia w swojej strukturze IOD winny być np: wewnętrzne zarządzenie, uchwała, powierzenie obowiązków, czy też umowa o pracę zawarta z osobą wyznaczoną do pełnienia funkcji IOD, a takich PINB nie przedłożył.
W próbie unaocznienia przed organem nadzorczym należytego wypełnienia ciążącego na nim obowiązku, o którym mowa w art. 37 ust. 1 lit. a) RODO, PINB przedłożył dokumenty które w jego ocenie miały stanowić o dokonaniu "(...) niezbędnych formalności w Urzędzie Ochrony Danych Osobowych." Były to dokumenty dot. X.Y. w postaci: wystawionego [...] czerwca 2018 r. przez podmiot zewnętrzny "Zaświadczenia o ukończeniu szkolenia Ochrona Danych Osobowych dla Inspektora Ochrony Danych", klauzuli informacyjnej o przetwarzaniu danych osobowych oraz "Upoważnienia do przetwarzania danych osobowych w systemie tradycyjnym i informatycznym", jak i zarządzenia z [...] maja 2018 r. nr [...] "w sprawie wprowadzenia Polityki bezpieczeństwa przetwarzania danych osobowych w Powiatowym Inspektoracie Nadzoru Budowlanego w C.". Sformułowania zawarte w tych dokumentach nie stanowiły formalnego wskazania X.Y. do pełnienia funkcji IODO. Zdaniem PUODO dokument wskazujący IODO winien być w formie pisemnej i w sposób nie budzący wątpliwości winien wskazywać na zakres obejmujący art. 38 i art. 39 RODO. Ustanowienie wewnętrznej polityki bezpieczeństwa dla procesów przetwarzania danych osobowych, czy wypełnienie przez administratora obowiązku informacyjnego, o którym mowa w art. 13 RODO względem zatrudnionego w jego organizacji IODO, ze swej natury nie stanowią wyznaczenia danej osoby do pełnienia funkcji IODO. PUODO wskazał, że umowy o pracę z 1999, czy 2019 r. nie odnoszą się w żadnym stopniu do pełnienia przez X.Y. funkcji IOD. Z "przydziału czynności" z 1999 r. X.Y. również nie sposób tego wywieść.
Stan naruszenia prawa, wynikający z braku możliwości wykazania przez PINB skutecznego wyznaczenia X.Y. do pełnienia funkcji IOD nie uległ nigdy konwalidacji. Przytaczana przez PINB okoliczność, że "(...) X.Y. (...) jako zakładowa kadrowa sporządzała dokumenty związane z zatrudnianiem pracowników, gdzie umieszczała swoje dane jako Inspektora Ochrony Danych Osobowych (...)" nie może zdaniem PUODO - w świetle art. 37 ust. 1 lit. a) RODO - uzasadniać, że "dokonano niezbędnych formalności w Urzędzie Ochrony Danych Osobowych."
Poczynione przez PUODO ustalenia nie potwierdziły, że PINB należycie wypełnił obowiązek z art. 37 ust. 1 lit. a RODO, tzn. że skutecznie wyznaczył osobę do pełnienia funkcji IOD. Ponadto, stwierdzono brak spełnienia obowiązku określonego w art. 37 ust. 7 RODO, polegającego na notyfikacji przez PINB do PUODO wyznaczonej osoby, czyli X.Y., do pełnienia funkcji IOD.
Potwierdzają to również wyjaśnienia PINB "(...) Inspektorem Ochrony Danych Osobowych była p. X.Y., która od dnia [...].10.2022 r. przebywała na zwolnieniu lekarskim. Stosunek pracy z tym pracownikiem ustał dnia [...].03.2023 r. Wszystkie obowiązki pracownicze zostały przejęte przez p. A.Z., zgodnie z przyjętym i podpisanym zakresem obowiązków" oraz przedłożony "Zakresu czynności" z dnia [...] czerwca 2023 r. zaakceptowany przez A.B. w dniu [...] lipca 2023 r. Zatem między zakończeniem stosunku pracy z X.Y., a datą zaakceptowania obowiązków pracowniczych przez A.B. - żadne przejęcie obowiązków w zakresie sprawowania funkcji IOD nie mogło mieć miejsca (i to przy założeniu, że do skutecznego powołania X.Y. do pełnienia funkcji IOD w ogóle doszło, co jednak nie miało miejsca). O niedopełnieniu przez PINB obowiązku wyznaczenia w swojej organizacji IOD świadczy również treść "Zakresu czynności" A.Z., który w pkt VII stanowi o zastępstwie "(...) pracownika nieobecnego zgodnie z ustnym poleceniem Powiatowego Inspektora Nadzoru Budowlanego". Również z tych względów A.Z. nie mogła być postrzegana jako osoba wyznaczona przez PINB do pełnienia funkcji IOD, albowiem wyznaczenie jej do sprawowania tej funkcji wyłącznie na podstawie ustnego polecenia nie stanowiłoby o jego skuteczności.
Stan naruszenia prawa utrzymywał się również gdy nastąpiła dłuższa absencja X.Y. bowiem zastępstwo sprawowała A.Z., która zakres czynności ujmujący funkcję IOD podpisała dopiero [...] lipca 2023 r.
Powyższą argumentację potwierdza również – zdaniem PUODO - treść złożonego przez PINB w dniu [...] marca 2024 r. "Zawiadomienia o odwołaniu dotychczasowego inspektora ochrony danych", w którym wskazał, że osobą odwoływaną z ww. funkcji jest nie A.Z., której X.Y., udając się na dłuższe zwolnienie lekarskie, miała przekazać wszystkie swoje obowiązki, lecz druga z wymienionych osób, z którą stosunek pracy "(...) ustał dnia [...].03.2023 r."
Mając powyższe na uwadze PUODO wskazał, że stan naruszenia art. 37 ust. 1 lit. a) RODO trwał do daty [...] marca 2024 r., kiedy to PINB "Zarządzeniem nr [...]" wyznaczył A.B. do pełnienia funkcji IOD. Z kolei naruszenie przez PINB art. 37 ust. 7 RODO ustało [...] marca 2024 r., kiedy zawiadomił o tym fakcie PUODO. Natomiast naruszenie wspomnianego przepisu w części dotyczącej obowiązku publikacji danych kontaktowych IOD jest przez PINB kontynuowane, co potwierdza witryna internetowa ([...]). Dlatego też PUODO stosownie do art. 58 ust. 2 lit. d RODO nakazał PINB dostosowanie operacji przetwarzania do przepisów RODO poprzez publikację danych IOD.
PUODO stwierdził również, że w przedmiotowej sprawie nie zaszły żadne wyjątkowe okoliczności, które w jakikolwiek sposób usprawiedliwiałyby PINB od nie zastosowania art. 37 ust. 1 lit. a) oraz art. 37 ust. 7 RODO. Naruszeń tych nie usprawiedliwiają "zawirowania kadrowe", "zmiana siedziby i długotrwała przeprowadzka" ani też przekonanie "(...) że wszystkie formalności związane z powołaniem (...) (X.Y.) na IOD zostały dopełnione".
Na podstawie powyższych ustaleń, PUODO, korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit. i) RODO, które umożliwia organowi nadzorczemu zastosowanie, oprócz lub zamiast innych środków naprawczych określonych w art. 58 ust. 2 lit. a)-h) oraz lit. j) RODO, zdecydował o nałożeniu administracyjnej kary pieniężnej na PINB, na mocy art. 83 ust. 4 lit. a) i ust. 5 lit. a) RODO.
Na podstawie art. 83 ust. 4 lit. a) RODO, naruszenia obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25–39 oraz 42 i 43 RODO, podlegają nałożeniu administracyjnej kary pieniężnej do wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Dodatkowo, zgodnie z art. 102 ust. 1 pkt 1 ustawy o ochronie danych osobowych (u.o.d.o.), PUODO może nałożyć administracyjną karę do 100 000 zł na jednostki sektora finansów publicznych, w tym na PINB, które są objęte tym limitem.
PUODO miał również na względzie art. 83 ust. 3 RODO z którego wynika, że w przypadku naruszeń w ramach tych samych lub powiązanych operacji przetwarzania, łączna kara nie może przekroczyć kary za najpoważniejsze naruszenie.
Przy wymierzaniu kary PUODO uwzględnił następujące okoliczności:
1. Charakter, zakres i czas trwania naruszenia, w tym naruszenie obowiązków wynikających z art. 37 ust. 1 lit. a) oraz art. 37 ust. 7 RODO, w szczególności brak skutecznego wyznaczenia i publikacji danych kontaktowych IOD od [...] maja 2018 r. do [...] marca 2024 r., co ograniczało prawa osób, których dane dotyczą, i utrudniało egzekwowanie ich praw.
2. Umyślny charakter naruszenia, potwierdzony świadomym brakiem skutecznego wyznaczenia IOD mimo wiedzy o tym obowiązku.
3. Długość okresu naruszeń, obejmującego od wejścia w życie RODO (25 maja 2018 r.) do skutecznego wyznaczenia IODO (4 marca 2024 r.), oraz brak działań naprawczych w tym zakresie.
4. Brak wcześniejszych naruszeń ze strony PINB.
5. Systemowy charakter naruszeń, wynikający z procesów przetwarzania danych przez organ publiczny, nierównowagi między administratorem a osobami, których dane dotyczą, oraz ograniczeń w realizacji praw tych osób.
6. Niewystarczająca współpraca administratora z organem nadzorczym, w tym opóźnione reakcje na wezwania i brak pełnej informacji o wyznaczeniu IODO, co utrudniło organowi dokonanie pełnej oceny sytuacji.
7. Brak działań mających na celu minimalizację szkody dla osób, których dane dotyczą.
Mając powyższe na względzie PUODO na podstawie art. 83 ust. 4 lit. a) RODO nałożył karę pieniężną w wysokości 25 000 zł. W odniesieniu do PINB, kara ta jest zgodna z limitami określonymi w art. 102 ust. 1 pkt 1 RODO, tj. do 10 000 000 EUR lub 2% światowego obrotu z poprzedniego roku, przy czym limit ten nie został przekroczony.
Prezes UODO uznał, że wymierzenie kary jest konieczne i uzasadnione wagą oraz charakterem naruszeń. Zastosowanie innych środków, takich jak upomnienie, byłoby nieproporcjonalne i nie zapewniłoby skutecznej ochrony danych w przyszłości. Podkreślił, że wysokość kary jest skuteczna, proporcjonalna i ma funkcję odstraszającą, zgodnie z art. 83 ust. 1 RODO. Wskazał, iż kara ta jest adekwatna do rodzaju naruszenia, jego powagi, skutków oraz wielkości administratora, spełniając kryteria zasady proporcjonalności wynikające z orzecznictwa Trybunału Sprawiedliwości UE.
PUODO stwierdził, że taka kara będzie skuteczna w osiągnięciu celu, jakim jest ukaranie administratora za poważne naruszenie, oraz będzie działała jako środek odstraszający. Zredukowanie wysokości kary mogłoby osłabić odczuwalność konsekwencji naruszenia i sprzyjać powtarzaniu zaniedbań. Podsumowując, nałożona kara w wysokości 25 000 zł jest proporcjonalna do naruszenia, zgodna z warunkami art. 83 rozporządzenia 2016/679 oraz limitami określonymi w art. 102 ust. 1 pkt 1 UODO, przy czym limit dla jednostek sektora publicznego, do której należy PINB, wynosi 100 000 zł i został zachowany.
Na decyzję PUODO z dnia [...] października 2024 r. "nakładającą na Powiatowego Inspektora Nadzoru Budowlanego w C. administracyjną karę pieniężną w wysokości 25 000 zł" skargę złożył PINB, wnosząc o "uchylenie decyzji w całości i umorzenie postępowania w sprawie naruszenia przepisów o ochronie danych osobowych przez Powiatowego Inspektora Nadzoru Budowlanego w C.".
W uzasadnieniu skargi podniósł, że nie zgadza z ustaleniami PUODO, co do tego że nie powołał IODO w PINB. Podniósł, że od momentu wejścia w życie RODO, funkcję tę pełniła X.Y.. Chociaż nie dopisano formalnie do zakresu jej obowiązków jednoznacznego zapisu o pełnieniu funkcji IOD, nie oznacza to, że jej nie pełniła. X.Y. przeszła odpowiednie szkolenie i podpisała dokumenty potwierdzające jej rolę, w tym m.in. klauzulę zgody. Wszystkie te dokumenty zostały przesłane do UODO w toku postępowania.
Ze względu na upływ czasu nie jest w stanie potwierdzić, czy X.Y. została formalnie zgłoszona do UODO, jednakże w chwili obecnej zgłoszono zmianę IOD, a PUODO nie wystosował żadnej informacji zwrotnej potwierdzającej przyjęcie tego zgłoszenia. W 2018 r. X.Y. poinformowała mnie, że dopełniła wszelkich formalności w celu zgłoszenia siebie jako IOD. Dokumenty przedłożone w toku postępowania wskazują, iż sama siebie tytułowała i uważała za IOD w PINB. Nie miał podstaw, by sądzić inaczej.
Podniósł, że ustawodawca wprowadzając RODO, nie przewidział odrębnych środków finansowych dla IOD w jednostkach finansowanych z budżetu państwa. W związku z tym PINB nie mógł zawrzeć odrębnej umowy o pracę z IOD, ze względu na brak środków finansowych na ten cel w budżecie państwa. Dlatego zakres obowiązków IOD został dodany do zakresu czynności X.Y. co też zaakceptowała i było odzwierciedlone we wszystkich późniejszych pismach.
W świetle powyższego nie zgadza się z tym, że w okresie od [...] maja 2018 r. do [...] marca 2024 r. proces przetwarzania danych osobowych w PINB odbywał się z pominięciem roli IOD. Ponieważ funkcja IOD w PINB była zachowana w sposób ciągły i jest nadal pełniona nie można stwierdzić, że naruszenie art. 83 ust. 2 lit. b RODO miało charakter umyślny,
W odniesieniu do zarzutu braku współpracy PINB w toku postępowania podkreślił, że zarzut ten jest bezpodstawny. PINB w terminach wyznaczonym w pismach jak i zgodnie z Kodeksem postępowania administracyjnego, udzielał odpowiedzi PUODO, co też potwierdza początek uzasadnienia zaskarżonej decyzji.
Odpierając "sugestię" odnośnie do osiągania korzyści finansowych z ewentualnego braku powołania IOD podniósł, że jeżeli PINB dążyłby do osiągnięcia takich korzyści, nie inwestowałby w szkolenia pracownika z przepisów RODO ani nie zwiększałby wynagrodzenia (w ramach dotacji celowej) X.Y. w związku z powołaniem jej jako IOD.
Odnośnie wysokości nałożonej kary, PUODO ustalając tę karę, nie miał świadomości, że dla PINB jest ona równowartością półrocznego budżetu jednostki (obejmującego czynsze, paliwo, media, zakupy, pocztę), co czyni ją nieadekwatną do możliwości finansowych tej jednostki.
W odpowiedzi na skargę PUODO, podtrzymując dotychczasową argumentację, wniósł o oddalenie skargi.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Sąd administracyjny wykonuje wymiar sprawiedliwości, poddając kontroli decyzje wydawane przez organy administracji publicznej pod względem ich zgodności z prawem, badając czy właściwie zastosowano przepisy prawa materialnego i przestrzegano przepisów proceduralnych w postępowaniu administracyjnym. Sąd jest władny wzruszyć zaskarżoną decyzję jedynie w przypadku stwierdzenia naruszenia prawa. Przepis art. 145 ustawy z dnia 30 sierpnia 2002 r. - Prawo postępowaniu przed sądami administracyjnymi (Dz. U. z 2024, poz. 2325 ze zm.), dalej "p.p.s.a.", określa, w jakich sytuacjach decyzje lub postanowienia podlegają uchyleniu.
Oceniając zaskarżoną decyzję w świetle powyższych kryteriów Sąd stwierdził, iż skarga nie zasługuje na uwzględnienie. Analiza naruszonych przepisów art. 37 ust. 1 lit. a) oraz art. 37 ust. 7 RODO wykazuje, że odpowiedzialność za prawidłowe wyznaczenie i publikację danych kontaktowych IODO spoczywa na administratorze danych, w tym przypadku na PINB. Zgodnie z tymi regulacjami, zawsze gdy przetwarzanie danych osobowych jest dokonywane przez organ lub podmiot publiczny, wyznaczenie IODO jest obligatoryjne, z wyłączeniem sądów w zakresie wykonywania przez nie wymiaru sprawiedliwości. Ponadto, art. 37 ust. 7 RODO nakłada na administratora obowiązek publikacji danych kontaktowych wyznaczonego IOD i zawiadomienia o tym organu nadzorczego – PUODO.
W rozpatrywanym przypadku to PINB jest wskazany jako adresat norm prawnych wynikających z tych przepisów, co oznacza, iż to on ponosi główną odpowiedzialność za spełnienie obowiązków związanych z wyznaczeniem i właściwym zgłoszeniem IOD. Subiektywne przekonanie PINB, że jego pracownica dopełniła wszelkich formalności związanych z objęciem funkcji IOD, nie może stanowić podstawy do zwolnienia z obowiązku wypełnienia wymogów prawnych. Słusznie organ nadzorczy podkreślił, że skuteczne powołanie IODO wymaga odpowiednich formalnoprawnych działań, na przykład takich jak: wewnętrzne zarządzenie, uchwała, powierzenie obowiązków lub zawarcie umowy o pracę. Żadne z tych działań nie zostały w niniejszej sprawie udokumentowane ani wykazane, co potwierdził organ nadzorczy.
W kontekście tego obowiązku, tj. wyznaczenia IODO, ważne jest, aby administrator wykorzystywał odpowiednie środki dowodowe, takie jak forma pisemna, która nie budzi wątpliwości co do tożsamości wyznaczonej osoby oraz zakresu jej obowiązków, zgodnie z przepisami art. 38 i art. 39 RODO. Natomiast ustanowienie wewnętrznej polityki bezpieczeństwa danych oraz wypełnienie obowiązku informacyjnego w stosunku do zatrudnionego IODO stanowiło naturalne następstwo formalnego wyznaczenia osoby pełniącej tę funkcję. Jednakże, jako że te działania same w sobie nie są formalnym potwierdzeniem wyznaczenia IODO, nie mogą zastąpić odpowiednich aktów je poprzedzających.
Organ nadzorczy słusznie wywiódł, że przedstawione przez PINB dokumenty, w tym m.in. podpisany przez A.Z. "Zakres czynności" nie mogą być uznane za skuteczne dowody poprawnego wyznaczenia IODO. Nie można także uznać, że wyznaczenie w dniu [...] marca 2024 r. A.B. na stanowisko IODO zniosło wcześniejszy stan naruszenia obowiązków wynikających z art. 37 ust. 1 lit. a) RODO. Analogicznie, obowiązek zawiadomienia PUODO o tym fakcie, zrealizowany dopiero [...] marca 2024 r., stanowił moment zakończenia naruszenia, niemniej jego skutki odnotowane w tym zakresie nie zmieniły faktu, iż nieprawidłowe było wcześniejsze niedopełnienie obowiązków.
W ocenie Sądu, słusznie również PUODO stwierdził, że w niniejszej sprawie nie zaszły żadne nadzwyczajne okoliczności, które mogłyby uzasadniać naruszenia przepisów art. 37 ust. 1 lit. a) oraz art. 37 ust. 7 RODO. Twierdzenia PINB o "zawirowaniach kadrowych", "zmianach siedziby" czy "długo trwającej przeprowadzce" nie mogą stanowić usprawiedliwienia dla zaniedbań w zakresie wyznaczenia i publikacji danych kontaktowych IODO. Ustawodawca nie przewidział też żadnych wyjątkowych środków lub odrębnych regulacji, które pozwalałyby na odstąpienie od obowiązku zawarcia formalnej umowy lub odpowiedniego potwierdzenia wyznaczenia IODO, szczególnie w kontekście jednostek finansowanych ze środków publicznych. Organ nadzorczy słusznie skonstatował, że naruszenia przepisów rozporządzenia RODO przez PINB trwały przez znaczny okres, a brak odpowiednich działań formalnoprawnych w zakresie wyznaczenia IODO oraz publikacji jego danych kontaktowych stanowił podstawę do stwierdzenia naruszenia obowiązków administratora. Zarówno powołanie w dniu [...] marca 2024 r., jak i zawiadomienie PUODO dzień później, nie cofają skutków wcześniejszych zaniedbań.
W tych okolicznościach – zdaniem Sądu – PUODO zasadnie nałożył administracyjną karę pieniężną w kocie 25 000 zł. Nałożona na PINB kara jest proporcjonalna do powagi naruszeń, tj. bezwzględnie ciążącego na administratorze obowiązku, o którym mowa w art. 37 ust. 1 RODO, jak i do wymogów określonych w art. 37 ust. 7 RODO.
Sąd w pełni podziela ocenę PUODO, że wystosowana kara spełnia w analizowanej sprawie funkcje, jakie wynikają z art. 83 ust. 1 RODO. Oznacza to, że kwota ta jest nie tylko skutecznym narzędziem oddziałującym na administratora, ale także jest odpowiednia i proporcjonalna do charakteru i powagi naruszeń przepisów RODO, jak również długości trwającego stanu.
Ponadto, Sąd podziela argumentację PUODO, że nałożona kara powinna być również odstraszająca, co ma kluczowe znaczenie dla zapewnienia dalszego przestrzegania obowiązujących regulacji w zakresie ochrony danych osobowych. W ten sposób działanie organu nadzorczego wpisuje się w cel ogólny wyegzekwowania odpowiedniego poziomu ochrony danych i zapobiegania podobnym naruszeniom w przyszłości.
Obniżenie wysokości kary w celu uczynienia jej mniej odczuwalną mogłoby skutkować brakiem realnego efektu sankcji i utraciłaby ona swoją funkcję penalną.
W ocenie Sądu, PUODO przeprowadzał postępowanie z pełnym poszanowaniem zasad wynikających z Kodeksu postępowania administracyjnego, w szczególności zasady zaufania do organów władzy publicznej. Podczas ich realizacji kierował się przesłankami proporcjonalności, bezstronności oraz równego traktowania stron. W toku postępowania, PUODO opierał swoje ustalenia na dowodach – dokumentach i wyjaśnieniach – które szczegółowo analizował pod kątem ich zgodności z przepisami i wymogami proceduralnymi.
Podkreślenia również wymaga, że skarżącemu przysługiwało prawo do wypowiedzenia się co do zgromadzonego materiału dowodowego oraz zgłoszonych żądań. Ostatecznie, ostatnią informację o zgromadzeniu materiału dowodowego zawierającą to uprawnienie organ przekazał w zawiadomieniu z dnia [...] października 2024 r., jednakże z tej możliwości PINB nie skorzystał.
PUODO, ustalając stan faktyczny sprawy, opierał się na obszernym materiale dowodowym, w tym na wyjaśnieniach złożonych przez PINB. Argumenty przedstawione przez PINB zostały poddane wielokrotnym i wszechstronnym analizom. Organ w decyzji jasno wskazał, na jakich dowodach się opierał, dlaczego i którym odmówił wiarygodności. Zaznaczenia wymaga, że argumentacja przedstawiona przez PINB nie została pominięta, lecz została poddana szczegółowej weryfikacji. Analiza materiału dowodowego, przeprowadzona z należytą starannością, potwierdziła, że PINB dopuścił się naruszeń wymogów określonych w art. 37 ust. 1 lit. a) i art. 37 ust. 7 RODO. W uzasadnieniu zaskarżonej decyzji organ precyzyjnie wskazał również okoliczności, które przemawiają za koniecznością nałożenia kary administracyjnej, a także czynniki wpływające na jej wysokość, zgodnie z art. 83 ust. 2 lit. a)-k) RODO.
Wysokość kary, ustalona na poziomie 25 000 zł, jest zgodna z przesłankami zawartymi w art. 83 ust. 2 RODO i odzwierciedla zarówno charakter, jak i zakres naruszenia, jego czas trwania oraz wpływ na osoby, których dane dotyczą. Przy jej ustalaniu uwzględniono także stopień współpracy administratora z organem nadzorczym oraz potencjalne skutki naruszenia. Organy nadzorczy dołożył wszelkich starań, aby wymierzona kara odpowiadała wadze naruszenia, będąc jednocześnie proporcjonalną i adekwatną do okoliczności sprawy.
Podkreślić należy, że odmienne oceny prawne zaistniałego naruszenia, dokonane przez organ nadzorczy, nie stanowią podstawy do kwestionowania poprawności jego stanowiska. Wnikliwa analiza uzasadnienia decyzji potwierdza jej spójność, rzetelność oraz zgodność z ustalonym stanem faktycznym opartym na dowodach i faktach, które zostały wnikliwie zweryfikowane.
W konsekwencji powyższego Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 p.p.s.a., orzekał jak w sentencji.