WSA: prawidłowa kara 100 000 zł za niezgłoszenie naruszenia w terminie
Sprawa dotyczyła decyzji Prezes Urzędu Ochrony Danych Osobowych stwierdzającej naruszenie przepisu art. 174a ust. 1 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne w zw. z art. 2 ust. 2 rozporządzenia Komisji (UE) Nr 611/2013 (…) polegające na niezawiadamianiu Prezesa Urzędu Ochrony Danych Osobowych o naruszeniach danych osobowych w terminie 24 godzin od wykrycia naruszenia danych osobowych.
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.Konsekwencją niezawiadomienia Prezesa UODO było nałożenie na operatora administracyjnej kary pieniężnej w wysokości 100 000 zł.
Sąd oddalając skargę wskazał, że:
w analizowanej sprawie, wbrew zarzutom strony skarżącej, zachodziła podstawa faktyczna i prawna do nałożenia na stronę skarżącą, jako administratora danych, administracyjnej kary pieniężnej na mocy art. art. 210 ust. 1 i 2 w związku z art. 210a ust. 1 pkt 2 i ust. 2 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne z uwagi na niewypełnienie obowiązku informacyjnego względem Prezesa UODO, o którym mowa w art. 174a ust. 1 cyt. ustawy.
w uzasadnieniu zaskarżonej decyzji Prezesa UODO z dnia […] czerwca 2021 r. wyjaśnione zostały w sposób dostatecznie jasny i przekonywujący motywy jej podjęcia, w tym wysokość zastosowanej kary pieniężnej, zaś przytoczona w tym zakresie argumentacja jest wyczerpująca i w pełni odnosząca się do stanowiska strony skarżącej podniesionego w toku postępowania wyjaśniającego
Sąd przechodząc do merytorycznej oceny legalności decyzji Prezesa UODO wskazał, że:
istotą sporu w niniejszej sprawie była nie tyle kwestia prawidłowości ustaleń organu nadzorczego w zakresie nienależytego wypełnienia przez skarżącą spółkę, jako administratora danych, obowiązków informacyjnych względem Prezesa UODO, o których mowa w art. 174a ust. 1 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne w zw. z art. 2 ust. 2 rozporządzenia nr 611/2013, ile przede wszystkim kwestia prawidłowości zakwalifikowania przez organ nadzorczy wskazanych uchybień, jako niemających charakteru incydentalnego i stanowiących przykład działań, które świadczą o konieczności zastosowania tego rodzaju sankcji, jak kara pieniężna, o której mowa w art. 210a ust. 1 pkt 2 Pr.t.
według strony skarżącej, kluczowe w sprawie pozostaje to, że Prezes UODO dopiero na etapie wydanej decyzji administracyjnej rozszerzył przedmiot postępowania na niekorzyść strony skarżącej, nie włączając wcześniej materiału dowodowego dotyczącego wskazanych w treści skargi 5 spraw, które – zdaniem organu nadzorczego – miały rzutować na nałożenie kary i jej wymiar, do akt spraw i nie zawiadamiając o tym skarżącej spółki.
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.Według Sądu, nie sposób bowiem uznać, że:
błędy pracowników skarżącej spółki odpowiedzialnych za wysyłkę korespondencji, w tym korespondencji dotyczącej naruszeń danych osobowych kierowanej do Prezesa UODO, mogą zostać uznane za okoliczność uzasadniającą opóźnienie zawiadomienia o naruszeniu danych osobowych organowi nadzorczemu. Zdaniem Sądu, organ nadzorczy słusznie uznał, że świadczą one wyłącznie o nieprawidłowym zorganizowaniu przez spółkę procesu powiadamiania Prezesa UODO o naruszeniach danych osobowych, tym bardziej, że strona skarżąca na żadnym etapie postępowania nie wykazała, aby sprawowała odpowiedni nadzór nad tym procesem, a w szczególności nad pracownikami kancelarii odpowiedzialnymi za wysyłkę tej korespondencji.
należy – zdaniem Sądu – wyraźnie podkreślić, że poprzez przywołanie w uzasadnieniu spornej decyzji tych pięciu – dodatkowych i nieobjętych prowadzonym postępowaniem – naruszeń, organ nadzorczy chciał jedynie wykazać bezzasadność podnoszonego przez skarżącą spółkę argumentu, iż objęte zarzutem przypadki mają jednostkowy charakter.
jednocześnie, uznać należy, że organ nadzorczy w sposób uprawniony stwierdził w uzasadnieniu zaskarżonej decyzji, że bez znaczenia pozostaje przyczyna niedochowania terminu wynikającego z art. 2 ust. 2 cyt. rozporządzenia nr 611/2013, tym bardziej, że – jak ustalono w toku postępowania – leżała ona wyłącznie po stronie pracowników skarżącej spółki.