WSA: prawidłowa kara 100 000 zł za niezgłoszenie naruszenia w terminie

Mimo, że ani decyzja Prezesa UODO, ani wyrok WSA w Warszawie z października 2022 r. nie dotyczy przepisów RODO, to jednak zasługuje na odnotowanie. Parę dni temu WSA w Warszawie opublikował obszerne uzasadnienie orzeczenia, którym oddalił skargę jednego z dostawców publicznych dostępnych usług telekomunikacyjnych (jedne ze znanych firm komórkowych).

Sprawa dotyczyła decyzji Prezes Urzędu Ochrony Danych Osobowych stwierdzającej naruszenie przepisu art. 174a ust. 1 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne w zw. z art. 2 ust. 2 rozporządzenia Komisji (UE) Nr 611/2013 (…) polegające na niezawiadamianiu Prezesa Urzędu Ochrony Danych Osobowych o naruszeniach danych osobowych w terminie 24 godzin od wykrycia naruszenia danych osobowych.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
179
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
1933
 PLN z VAT
2148
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 30 dni:
1020
 PLN z VAT
1074
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
Wybieram

Zamówienie dostępu do Subskrypcji lub Aktualności Plus bez płatności cyklicznej.

Konsekwencją niezawiadomienia Prezesa UODO było nałożenie na operatora administracyjnej kary pieniężnej w wysokości 100 000 zł.

Sąd oddalając skargę wskazał, że:

w analizowanej sprawie, wbrew zarzutom strony skarżącej, zachodziła podstawa faktyczna i prawna do nałożenia na stronę skarżącą, jako administratora danych, administracyjnej kary pieniężnej na mocy art. art. 210 ust. 1 i 2 w związku z art. 210a ust. 1 pkt 2 i ust. 2 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne z uwagi na niewypełnienie obowiązku informacyjnego względem Prezesa UODO, o którym mowa w art. 174a ust. 1 cyt. ustawy.

w uzasadnieniu zaskarżonej decyzji Prezesa UODO z dnia […] czerwca 2021 r. wyjaśnione zostały w sposób dostatecznie jasny i przekonywujący motywy jej podjęcia, w tym wysokość zastosowanej kary pieniężnej, zaś przytoczona w tym zakresie argumentacja jest wyczerpująca i w pełni odnosząca się do stanowiska strony skarżącej podniesionego w toku postępowania wyjaśniającego

Sąd przechodząc do merytorycznej oceny legalności decyzji Prezesa UODO wskazał, że:

istotą sporu w niniejszej sprawie była nie tyle kwestia prawidłowości ustaleń organu nadzorczego w zakresie nienależytego wypełnienia przez skarżącą spółkę, jako administratora danych, obowiązków informacyjnych względem Prezesa UODO, o których mowa w art. 174a ust. 1 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne w zw. z art. 2 ust. 2 rozporządzenia nr 611/2013, ile przede wszystkim kwestia prawidłowości zakwalifikowania przez organ nadzorczy wskazanych uchybień, jako niemających charakteru incydentalnego i stanowiących przykład działań, które świadczą o konieczności zastosowania tego rodzaju sankcji, jak kara pieniężna, o której mowa w art. 210a ust. 1 pkt 2 Pr.t.

według strony skarżącej, kluczowe w sprawie pozostaje to, że Prezes UODO dopiero na etapie wydanej decyzji administracyjnej rozszerzył przedmiot postępowania na niekorzyść strony skarżącej, nie włączając wcześniej materiału dowodowego dotyczącego wskazanych w treści skargi 5 spraw, które – zdaniem organu nadzorczego – miały rzutować na nałożenie kary i jej wymiar, do akt spraw i nie zawiadamiając o tym skarżącej spółki.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
179
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
1933
 PLN z VAT
2148
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 30 dni:
1020
 PLN z VAT
1074
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
Wybieram

Zamówienie dostępu do Subskrypcji lub Aktualności Plus bez płatności cyklicznej.

Według Sądu, nie sposób bowiem uznać, że:

błędy pracowników skarżącej spółki odpowiedzialnych za wysyłkę korespondencji, w tym korespondencji dotyczącej naruszeń danych osobowych kierowanej do Prezesa UODO, mogą zostać uznane za okoliczność uzasadniającą opóźnienie zawiadomienia o naruszeniu danych osobowych organowi nadzorczemu. Zdaniem Sądu, organ nadzorczy słusznie uznał, że świadczą one wyłącznie o nieprawidłowym zorganizowaniu przez spółkę procesu powiadamiania Prezesa UODO o naruszeniach danych osobowych, tym bardziej, że strona skarżąca na żadnym etapie postępowania nie wykazała, aby sprawowała odpowiedni nadzór nad tym procesem, a w szczególności nad pracownikami kancelarii odpowiedzialnymi za wysyłkę tej korespondencji.

należy – zdaniem Sądu – wyraźnie podkreślić, że poprzez przywołanie w uzasadnieniu spornej decyzji tych pięciu – dodatkowych i nieobjętych prowadzonym postępowaniem – naruszeń, organ nadzorczy chciał jedynie wykazać bezzasadność podnoszonego przez skarżącą spółkę argumentu, iż objęte zarzutem przypadki mają jednostkowy charakter.

jednocześnie, uznać należy, że organ nadzorczy w sposób uprawniony stwierdził w uzasadnieniu zaskarżonej decyzji, że bez znaczenia pozostaje przyczyna niedochowania terminu wynikającego z art. 2 ust. 2 cyt. rozporządzenia nr 611/2013, tym bardziej, że – jak ustalono w toku postępowania – leżała ona wyłącznie po stronie pracowników skarżącej spółki.

Zapisz się do newslettera
X

Podając swój adres e-mail oraz zatwierdzając zapis do newslettera wyrażasz zgodę na otrzymywanie od Piotra Liwszica informacji marketingowych. Zgodę możesz wycofać w każdym czasie wysyłając e-mail na adres kontakt@judykatura.pl. Administratorem danych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP- 521-332-36-17. Dane osobowe przetwarzane są w celu przesyłania informacji marketingowych. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w Polityce prywatności