NSA: konieczne jest wszczęcie i przeprowadzenie jednego postępowania w sprawie naruszenia ochrony danych osobowych oraz indywidualnych skarg
NSA rozstrzygając kilka skarg kasacyjnych Prezesa UODO dokonał przełomowej interpretacji przepisów dotyczących przeprowadzenia przez organ nadzorczy postępowania administracyjnego. W rozpoznawanych sprawach stan faktyczny przedstawia się nastepująco: Administrator danych wykorzystał podmiot przetwarzający do zarządzania i konfiguracji serwerów służących do przechowywania danych osobowych Klientów. Podmiot przetwarzający nie dokonał odpowiedniego zabezpieczenia takich serwerów, co doprowadziło do tego, że osoby nieuprawnione pobrały kilka tysięcy rekordów danych osobowych. Prezes UODO w sprawie “głównej” stwierdził naruszenie przepisów RODO i nałożył pieniężną karę administracyjną w wysokości ponad 1 mln zł. Osoby, których dane zostały ujawnione złożyły indywidualne skargi do Prezesa UODO – takich skarg było ponad kilka tysięcy. WSA w Warszawie uchylił decyzję “główną”, a w innych wyrokach także decyzję, co do ukarania Spółki upomnieniem za “udostępnienie” danych hakerowi, a w jeszcze innych wyrokach Sąd ten oddalił skargi spółki wobec takich decyzji. Przedmiotowa sytuacja nie była dla żadnej strony odpowiednia – oddalenie skargi czy jej uwzględnienie zależało jedynie od składu konkretnego Sądu rozpoznającego identyczny stan faktyczny. Taka sytuacja także nie była korzystna dla organu nadzorczego, który prowadził kilkaset podobnych, a nawet identycznych postępowań administracyjnych zbierając w każdym z nich identyczny materiał dowodowy. NSA przerwał tę sytuację wskazując przede wszystkim na to, że: “konieczne jest wszczęcie i przeprowadzenie jednego postępowania przez PUODO, w ramach którego dojdzie do ustalenia wszystkich naruszeń przepisów RODO i wymierzenia jednej skutecznej, proporcjonalnej i odstraszającej kary administracyjnej na podmiot odpowiedzialny w związku ze zdarzeniem naruszenia danych osobowych polegającym na braku zabezpieczenia danych klientów administratora w dniach 3-14 marca 2020 r. przez podmiot przetwarzający […] w M. (Białoruś), z którym administrator, tj. I. sp. z o.o. w likwidacji w W. zawarł w dniu 2 marca 2018 r. umowę powierzenia przetwarzania danych osobowych” Taki pogląd NSA uzasadnił tym, że oba przedmioty postępowania tj. zbadanie przez organ nadzorczy naruszenia ochrony danych osobowych oraz skargi osoby, której dane zostały “naruszone”: będą pozostawać w związku, gdyż naruszenie obowiązków administratora doprowadzi do naruszenia […]
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.Reszta obszernych argumentów oraz treść omawianego orzeczenia dostępna jest po dołączeniu do AKTUALNOŚCI PLUS. Dzięki tej subskrypcji dowiesz się jak organy nadzorcze w UE, sądy administracyjne czy powszechne, Trybunał Sprawiedliwości i inne podmioty argumentują swoje stanowiska. Umożliwi Ci to utrzymanie zgodności Twojej organizacji z przepisami o ochronie danych osobowych.
W jednym miejscu zapoznasz się z najważniejszymi argumentami oraz tezami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi, a w dużej części jest ono opublikowane wyłącznie w serwisie Judykatura.pl.