WSA uchyla 1,4 mln kary pieniężnej wskazując przedawnienie
Pierwsza z nich dotyczy stwierdzenia naruszenia ochrony danych osobowych. Druga wskazania wysokiego ryzyka naruszenia prawa i wolności dla osób, których dane zostały ujawnione. Trzecia odnosi się do przepisów kpa dotyczących przedawnienia możliwości nałożenia administracyjnej kary pieniężnej.
Przedmiotowa sprawa rozpoczęła się w połowie listopada 2018 r., gdy wskazywano w internecie, że na klatce schodowej można natknąć się na dokumenty zawierające dane osobowe, a od których dostęp jest swobodny. Dopiero po jakimś czasie – zapewne mieszkanie bloku – zaniósł dokumenty na Policję.
Prezes UODO zapytał Bank czy znalezione dokumenty pochodzą z jego bazy. Bank wskazał, że “przedmiotowe naruszenie ochrony danych osobowych objęło maksymalnie 158 osób (liczba ta została ustalona na podstawie danych zawartych w zastawieniu wysłanej dokumentacji, ze wskazaniem numerów identyfikacyjnych klientów, których dokumenty odnaleziono). Upublicznione dokumenty pochodziły z okresu od […] listopada 2018 r. do […] listopada 2018 r.:.
naruszenie ochrony danych osobowych nie zostało zgłoszone Prezesowi UODO, gdyż przesyłka została odnaleziona przez jedną zidentyfikowaną osobę w krótkim czasie, po jej utracie przez kuriera; zweryfikowano, że nie brakuje żadnych dokumentów; osoba, która znalazła dokumenty, zaniosła je bezpośrednio na posterunek policji; osoba ta przyznała, że nie kopiowała dokumentów.
Prezes UODO w decyzji z marca 2024 r. przedstawił inny pogląd nakładając:
administracyjną karę pieniężną w wysokości 1.440.549 zł z uwagi na stwierdzenie naruszenia przez S. S.A. przepisów:
a) art. 33 ust. 1 rozporządzenia nr 2016/679, polegającego na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia,
b) art. 34 ust. 1 rozporządzenia nr 2016/679, polegającego na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osoby, której dane dotyczą,
a w pkt 2 nakazał S. S.A. zawiadomienie – w terminie 3 dni od dnia doręczenia decyzji – osób, których ochrona danych została naruszona na skutek zdarzenia wpisanego do Rejestru Naruszeń Danych Osobowych S. S.A. pod numerem […], o naruszeniu ochrony ich danych osobowych w celu przekazania tym osobom informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia nr 2016/679, tj.: a) opisu charakteru naruszenia ochrony danych osobowych; b) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisu możliwych konsekwencji naruszenia ochrony danych osobowych; d) opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
WSA w Warszawie zgodził się z organem nadzorczym w dwóch kwestiach tj. że należało dokonać zgłoszenia naruszenia ochrony danych osobowych oraz zawiadomić osoby, których dane dotyczą.
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.Wypada podkreślić, że w tej sprawie kara pieniężna została nałożona za niedopełnienie wskazanych wyżej obowiązków, nie zaś za sam fakt wystąpienia naruszenia ochrony danych osobowych. W istocie okoliczności faktyczne dotyczące zaistniałego naruszenia danych osobowych nie są sporne. Po dokonaniu kradzieży przesyłki w czasie transportu przez firmę kurierską, dokumenty zawierające dane osobowe 158 klientów banku zostały odnalezione w bloku mieszkalnym w K.. Osoba, która odnalazła te dokumenty, przekazała je do jednostki Policji. Informacja o tym zdarzeniu znalazła się w portalach internetowych, wskutek czego o odnalezieniu dokumentów dowiedział się zarówno bank, jak i organ. W znalezionych dokumentach znajdowały się następujące dane osobowe klientów banku: nazwiska i imiona, daty urodzenia, numery rachunków bankowych, adresy zamieszkania lub pobytu, numery ewidencyjne PESEL, adresy e-mail, nazwy użytkowników i/lub hasła, dane dotyczące zarobków i/lub posiadanego majątku, serie i numery dowodów osobistych, numery telefonów, informacje o produktach bankowych, kredytach, rachunkach bankowych, tj. nazwy umów, daty ich zawarcia, szczegóły tych produktów, informacje o polisach ubezpieczenia mienia, tj. m.in. numery polis, daty ich wystawienia, sumy ubezpieczenia, składki na ubezpieczenie, informacje dotyczące ubezpieczonego mienia.
Sąd w składzie rozpoznającym niniejszą sprawę podziela stanowisko organu, że nie można zaakceptować oceny dokonanej przez skarżącą spółkę, jakoby w sprawie nie wystąpiło wysokie prawdopodobieństwo wystąpienia ryzyka naruszenia praw i wolności osoby fizycznej.
Jeżeli dane osobowe znajdują się w miejscu powszechnie dostępnym, to oznacza, że możliwość zapoznania się z nimi ma potencjalnie nieograniczony katalog osób, które dane te mogą skopiować i wykorzystać w przyszłości. W związku z tym należy przyjąć, że w wyniku naruszenia ochrony danych osobowych administrator utracił kontrolę nad przetwarzanymi danymi osobowymi, natomiast nieuprawnieni odbiorcy (w niemożliwej do ustalenia liczbie) uzyskali do nich dostęp, stali się dysponentami tych danych, co prowadzi do wniosku, że nie może być mowy o incydencie bezpieczeństwa, lecz o naruszeniu ochrony danych osobowych (dotyczącym poufności danych osobowych).
Zdaniem Sądu, jako nieistotne w tym kontekście jawią się okoliczności związane z oświadczeniem osoby trzeciej o nieskopiowaniu danych, a także związane z wprowadzonymi przez skarżącą spółkę procedurami bezpieczeństwa, a także podjętymi działaniami mającymi zmniejszyć zaistniałą szkodę.
Jak już wyżej wskazano, możliwość zapoznania się z danymi osobowymi 158 klientów banku miał potencjalnie nieograniczony katalog osób. To że bank nie ma wiedzy, kto jeszcze miał dostęp do wskazanych dokumentów, nie oznacza, że do takiego ujawnienia danych osobowych bliżej nieokreślonej grupie osób nie doszło. Nie jest bowiem sporne w tej sprawie, że dokumenty zawierające dane osobowe znajdowały się na klatce schodowej bloku mieszkalnego aż do momentu, w której jednak z osób, która miała dostęp do tej klatki schodowej (a nie była to z pewnością jedyna osoba, która taki dostęp miała), przekazała te dokumenty do jednostki Policji. W świetle powyższego należało podzielić dokonaną przez organ ocenę stanu faktycznego niniejszej sprawy.
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.Sąd, w pkt 1 sentencji wyroku, uchylił natomiast pkt 1 zaskarżonej decyzji, uznając za zasadny postawiony w skardze zarzut naruszenia art. 189g w związku z art. 189a § 1 k.p.a. Zgodnie z tym przepisem, administracyjna kara pieniężna nie może zostać nałożona, jeżeli upłynęło pięć lat od dnia naruszenia prawa albo wystąpienia skutków naruszenia prawa. Przepis ten miał zastosowanie w niniejszej sprawie na mocy art. 189a k.p.a. W ocenie Sądu, organ naruszył wskazany przepis, bowiem wydał decyzję nakładającą administracyjną karę pieniężną w dniu […] marca 2024 r., tj. po upływie 5 lat od dnia naruszenia prawa.
W sprawie nie jest sporne, że do stwierdzenia naruszenia przez skarżącą doszło w dniu […] listopada 2018 r. Termin do skutecznego dokonania czynności wskazanej w art. 33 ust. 1 rozporządzenia nr 2016/679 upłynął zatem po upływie 72 godzin, tj. w dniu 27 listopada 2018 r. i to ten dzień stanowi moment naruszenia w wyżej zaprezentowanym rozumieniu. Od dnia 27 listopada 2018 r. należy zatem liczyć pięcioletni termin przedawnienia nałożenia administracyjnej kary pieniężnej za naruszenie tego przepisu. Termin ten upłynął więc w dniu 27 listopada 2023 r.
Sąd w składzie rozpoznającym niniejszą sprawę w całości podziela powyższe stanowisko, uznając, że w przypadku gdy nie można ustalić konkretnej daty, w której upłynął termin do wykonania obowiązku określonego w art. 34 ust. 1 rozporządzenia nr 2016/679, na potrzeby ustalania rozpoczęcia biegu terminu przedawnienia należy przyjąć, że datę naruszenia stanowi początek okresu, w którym obowiązek ten miał zostać wykonany, tj. w niniejszej sprawie […] listopada 2018 r. Termin przedawnienia nałożenia kary pieniężnej za naruszenie tego przepisu upłynął w konsekwencji w dniu […] listopada 2023 r.
Z tych przyczyn Sąd uznał, że nakładając na skarżącą administracyjną karę pieniężną w dniu […] marca 2024 r., organ naruszył art. 189g § 1 k.p.a. w zw. z art. 189a § 1 k.p.a., co skutkowało koniecznością uchylenia zaskarżonej decyzji w zakresie jej pkt 1. Biorąc pod uwagę, że organ nie był uprawniony do nałożenia na skarżącą administracyjnej kary pieniężnej po upływie terminu przedawnienia, zbędne było odnoszenie się przez Sąd do pozostałych zarzutów skargi dotyczących zarówno zasadności nałożenia kary pieniężnej, jak i ustalenia jej wysokości.