WSA: nie wystarczy założyć. Trzeba wykazać, że adres e-mail to dane osobowe
W tym orzeczeniu WSA w Warszawie z 2025 r. uchylił decyzję Prezesa UODO z grudnia 2024 r. W tej decyzji Prezes UODO uznał, że pewien administrator naruszył przepisy RODO poprzez udostępnienie danych osobowych bez podstawy prawnej oraz udzielił temu administratorowi upomnienia. Przedmiotowe naruszenie miało polegać na udostępnieniu adresu e-mail podmiotowi, który w 2018 r. wkradł się do bazy administratora i mógł mieć dostęp do danych tam przetwarzanych. Osoba, która zgłosiła się do Prezesa UODO wskazała, że – w jej opinii – to właśnie ten administrator odpowiada za wyciek jego adresu e-mail, co powoduje otrzymywanie przez niego masowej korenspodencji zawierającej nie tylko niezamówione reklamy, ale próby wyłudzenia danych osobowych oraz pieniędzy. Administrator wskazał, że: “był[a] ofiarą przestępstwa przeciwko ochronie informacji w 2018 roku. Spółka dopełniła zobowiązań w zakresie ochrony danych klientów wynikających z przepisów prawa. Ponadto, w związku z uzyskaniem przez osoby nieuprawnione dostępu do niektórych danych […], użytkownicy otrzymali informacje o rekomendowanym sposobie postępowania, w celu zminimalizowania negatywnych skutków takiego dostępu. W konsekwencji Spółce nie można przypisać winy za ewentualne ujawnienie danych” (dowód: pismo Spółki z dnia […] lutego 2024 r.).” Nadto Prezes UODO zaznaczył, że ze zgromadzonego materiału dowodowego wynika, że do naruszenia, o którym wnioskodawca powiadomił w swojej skardze, doszło w październiku 2018 r. – w wyniku przestępstwa, którego ofiarą padła Spółka. WSA w Warszawie uchylając decyzję wskazał, że: organ do spraw ochrony danych osobowych przyjął, że adres e-mail […] stanowi daną osobową. Powyższe należy wnioskować, albowiem uzasadnienie zaskarżonej decyzji żadnych rozważań w tym zakresie nie zawiera. Organ stwierdził w rozstrzygnięciu, że doszło do ujawnienia wskazanego adresu e-mail przez Spółkę osobom nieupoważnionym, co stanowiło zdaniem organu naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO W sprawie tej organ powiązał naruszenie przez organ art. 6 ust. 1 RODO z art. 5 ust. 1 lit.f RODO. Organ uznał zatem, że doszło do ujawnienia danych osobowych (adresu e-mail) uczestnika bez podstawy prawnej z naruszeniem zasady poufności przetwarzania danych. Sąd podniósł, […]
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.Reszta obszernych argumentów oraz treść omawianego orzeczenia dostępna jest po dołączeniu do AKTUALNOŚCI PLUS. Dzięki tej subskrypcji dowiesz się jak organy nadzorcze w UE, sądy administracyjne czy powszechne, Trybunał Sprawiedliwości i inne podmioty argumentują swoje stanowiska. Umożliwi Ci to utrzymanie zgodności Twojej organizacji z przepisami o ochronie danych osobowych.
W jednym miejscu zapoznasz się z najważniejszymi argumentami oraz tezami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi, a w dużej części jest ono opublikowane wyłącznie w serwisie Judykatura.pl.