NSA w sprawie Cyfrowego Polsatu wskazuje na błędy proceduralne
Przedstawiając chronologię wydarzeń zacznę od tego, że po ponad 5 lat od zgłoszenia naruszenia ochrony danych osobowych rozpoznanie sprawy wróciło do miejsca startu.
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
- Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
- Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
- Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
- Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
na utracie przez kurierów dokumentów zawierających dane osobowe klientów lub na wydaniu przez kurierów niewłaściwej osobie dokumentów zawierających dane osobowe w postaci: imienia i nazwiska, adresu zamieszkania lub pobytu, numeru PESEL, adresu e-mail, serii i numeru dowodu osobistego bądź innego dokumentu tożsamości, numeru telefonu oraz danych dotyczących łączących strony umów.
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.Prezes UODO w kwietniu 2021 r. wydał decyzję, w której stwierdził:
naruszenie przez Cyfrowy Polsat Spółka Akcyjna z siedzibą w Warszawie przy ul. Łubinowej 4a art. 24 ust. 1 oraz art. 32 ust. 1 i 2 RODO polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych przetwarzanych we współpracy z podmiotem świadczącym usługi kurierskie przez szybką identyfikację naruszeń ochrony danych osobowych, nakłada na Cyfrowy Polsat Spółka Akcyjna z siedzibą w Warszawie przy ul. Łubinowej 4a, za naruszenie art. 32 ust. 1 i 2 rozporządzenia 2016/679, administracyjną karę pieniężną w wysokości 1 136 975 PLN
Organ nadzorczy tak argumentował powyższe stwierdzenie naruszenia prawa:
przedstawiona przez Spółkę „szczegółowa analiza ryzyka” stanowiąca załączniki do jej wyjaśnień, to w rzeczywistości wydruki z kalkulatora wagi naruszeń ochrony danych osobowych udostępnianego na stronie internetowej jednego z podmiotów świadczących usługi wsparcia w zakresie ochrony danych osobowych. Prezes UODO nie ocenia w tym miejscu poprawności działania wskazanego kalkulatora, zaznaczając jednak, że za pomocą kalkulatorów możliwe jest uzyskanie dowolnego wyniku, w zależności od danych wprowadzonych do obliczeń. Ponadto na przedmiotowych wydrukach zawarte jest zastrzeżenie, „że każdy przypadek naruszenia, bądź podejrzenia naruszenia ochrony danych osobowych powinien być analizowany indywidualnie, w szczególności w zakresie obowiązków określonych w art. 33 i 34 RODO, z tego względu niniejszy kalkulator może stanowić co najwyżej dodatkowe źródło pomocnicze i nie może być samodzielną podstawą podejmowania decyzji przez jakikolwiek podmiot lub osobę, które korzystają z kalkulatora na własną odpowiedzialność”.
Spółka w swych wyjaśnieniach oparła swoją ocenę na ogólnych informacjach przekazanych przez podmiot świadczący usługi kurierskie, nie przedstawiając jednocześnie dowodów wykonanej przez siebie indywidualnej analizy w tym zakresie dla poszczególnych przypadków naruszeń ochrony danych osobowych tego typu. Spółka poinformowała co prawda, że dokonała szczegółowej oceny ryzyka naruszeń polegających na wydaniu przesyłki osobie trzeciej, której treść stanowi załącznik nr 12 (1-20) do wyjaśnień Spółki z […] sierpnia 2020 r., jednak wskazana dokumentacja przedstawiona przez Spółkę nie uwzględnia sytuacji wydania przez firmę kurierską dokumentów zawierających dane osobowe klienta Spółki osobie, którą można by uznać za zaufanego odbiorcę.
WSA w Warszawie wyrokiem z listopada 2021 r. uchylił decyzję Prezesa UODO wskazując, że:
Zarówno z uzasadnienia zaskarżonej decyzji, jak też z jej sentencji wynika, że zarzucane Skarżącej przez Organ naruszenia, stanowiące podstawę do nałożenia kary pieniężnej, zostały przypisane Skarżącej w ramach “współpracy z podmiotem świadczącym usługi kurierskie”. Jednocześnie Organ zakwalifikował firmę kurierską […], realizującą proces doręczania przesyłek nadawanych przez […] do swoich klientów, jako “podmiot przetwarzający” (procesora) w rozumieniu art. 4 pkt 8 RODO, tj. jako podmiot przetwarzający dane osobowe w imieniu administratora, o czym, w szczególności, świadczy fragment uzasadnienia, iż “(…) Spółka pomimo wdrożenia Polityki oraz procedur ochrony danych osobowych związanych ze zgłaszaniem naruszeń, a także zawarcia umowy powierzenia przetwarzania danych osobowych z podmiotem przetwarzającym (podkreślenie Sądu) nie wypracowała odpowiednich mechanizmów mających na celu kontrolę realizacji przez podmiot przetwarzający swoich zobowiązań”.
Z powyższego wynika, że – jak słusznie wskazuje Skarżąca Spółka – podstawowym obowiązkiem Organu było dokonanie analizy oraz wyjaśnienie czy firma […], jako podmiot świadczący usługi kurierskie, w ramach działań którego dochodziło do naruszeń ochrony danych osobowych klientów Skarżącej (spółki […]), działała jako podmiot przetwarzający (procesor), czy też w świetle art. 4 pkt 7 RODO i wskazanych wyżej przepisów Prawa pocztowego, ma ona status administratora.
Inaczej mówiąc, zweryfikowanie zakresu praw i obowiązków […] oraz “podmiotu świadczącego usługi kurierskie” pozwoli na ustalenie czy Skarżąca powinna sprawować nadzór nad tym podmiotem także w przypadku, gdyby ustalenia te doprowadziły Organ do wniosku, że firma ta jest “samodzielnym administratorem” oraz czy w takiej sytuacji po stronie Skarżącej pozostaje obowiązek “wywierania wpływu na odrębnego administratora” co do stosowanych przez niego środków technicznych i organizacyjnych w zakresie praw i obowiązków regulujących ochronę danych osobowych klientów […].
W tym miejscu, w nawiązaniu do tezy Organu zawartej w odpowiedzi na skargę, że Skarżąca kwestie te podniosła “dopiero” na etapie skargi oraz, że Spółka była obowiązana współdziałać w tym zakresie, gdyż ciężar dowodu w tej kwestii spoczywał w niniejszym postępowaniu na spółce, Sąd wyjaśnia, że postępowanie w sprawie naruszenia przepisów o ochronie danych jest jednym z postępowań administracyjnych przed Prezesem Urzędu Ochrony Danych Osobowych.
W związku z powyższym, zdaniem Sądu, nie ulega wątpliwości, że związanie rygorami procedury administracyjnej oznacza, iż Prezes UODO jest obowiązany m.in. do przestrzegania zasady pogłębiania zaufania obywateli do organów praworządnego Państwa (art. 8 § 1 k.p.a.).
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.NSA wyrokiem z września 2025 r. potwierdza powyższe pogląd WSA w Warszawie wskazując za to, że:
W zaskarżonej decyzji, pomimo twierdzeń skargi kasacyjnej, nie znalazła się żadna konstatacja uzasadniająca, czy i dlaczego Spółka jest w zakresie naruszeń wskazanych przez organ administratorem danych osobowych. Przeprowadzenie postępowania administracyjnego wynikało z naruszeń zgłaszanych przez Spółkę jako administratora, powyższe nie zwalnia jednak organu od ustalenia czy przedmiotowy obowiązek w ogóle na Spółce ciąży.
Szczególny charakter skarżonej decyzji, a więc nakładającej na podmiot postępowania sankcję, nie pozwala stwierdzić, iż brak wyjaśnienia w decyzji, dlaczego dany podmiot ma zostać ukarany, realizuje obowiązki ciążące bezpośrednio na organach na zasadach ogólnych procedury administracyjnej.
Nałożenie administracyjnej kary pieniężnej jako zastosowanie przymusu administracyjnego wymaga szczególnej dokładności w zakresie przedstawienia wszelkich okoliczności sprawy, a tym bardziej kwestii podstawowej, jaką jest uznanie danego podmiotu za adresata sankcji.
Żadne z powyższych wątpliwości nie zostały wyjaśnione przez organ. Jednocześnie istnienie wątpliwości co do statusu Spółki i jej kwalifikacji jako administratora danych osobowych przesądza, iż naruszenie art. 107 § 3 k.p.a. stanowi uchybienie przepisów postępowania, mogące mieć wpływ na wynik sprawy w rozumieniu art. 145 § 1 pkt 1 lit. c p.p.s.a.
Ustalenie, iż dany podmiot jest jako administrator lub podmiot przetwarzający zobligowany do wdrożenia odpowiednich środków technicznych i organizacyjnych, jest przesłanką odpowiedzialności administracyjnej za naruszenie art. 32 RODO. Wobec tak daleko idących wątpliwości, należy uznać iż Prezes UODO dopuścił się istotnego naruszenia art. 107 § 3 k.p.a.
Powyższe uchybienie Sądu I instancji w realiach niniejszej sprawy nie mogło jednak doprowadzić do uchylenia zaskarżonego wyroku, ponieważ z uwagi na wcześniejsze rozważania decyzja Prezesa Urzędu Ochrony Danych Osobowych z 22 kwietnia 2021 r., nr DKN.5130.3114.2020.121220 została wydana z mogącym mieć istotny wpływ na wynik sprawy naruszeniem art. 7, art. 77 § 1, art. 80 k.p.a. oraz art. 107 § 3 k.p.a.
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
- Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
- Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
- Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
- Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO