WSA: prawidłowa kara 100 000 zł za niezgłoszenie naruszenia w terminie
Mimo, że ani decyzja Prezesa UODO, ani wyrok WSA w Warszawie z października 2022 r. nie dotyczy przepisów RODO, to jednak zasługuje na odnotowanie. Parę dni temu WSA w Warszawie opublikował obszerne uzasadnienie orzeczenia, którym oddalił skargę jednego z dostawców publicznych dostępnych usług telekomunikacyjnych (jedne ze znanych firm komórkowych).
Sprawa dotyczyła decyzji Prezes Urzędu Ochrony Danych Osobowych stwierdzającej naruszenie przepisu art. 174a ust. 1 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne w zw. z art. 2 ust. 2 rozporządzenia Komisji (UE) Nr 611/2013 (…) polegające na niezawiadamianiu Prezesa Urzędu Ochrony Danych Osobowych o naruszeniach danych osobowych w terminie 24 godzin od wykrycia naruszenia danych osobowych.
Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
- Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
- Eksperckich tez wybranych orzeczeń
- Decyzji Polskiego Organu Nadzorczego
- Decyzji Europejskich Organów Nadzorczych
- Wytycznych i Opinii EDPB oraz EDPS
- Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
- Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
- Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 30 dni:
- Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
- Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
Wybieram
Konsekwencją niezawiadomienia Prezesa UODO było nałożenie na operatora administracyjnej kary pieniężnej w wysokości 100 000 zł.
Sąd oddalając skargę wskazał, że:
w analizowanej sprawie, wbrew zarzutom strony skarżącej, zachodziła podstawa faktyczna i prawna do nałożenia na stronę skarżącą, jako administratora danych, administracyjnej kary pieniężnej na mocy art. art. 210 ust. 1 i 2 w związku z art. 210a ust. 1 pkt 2 i ust. 2 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne z uwagi na niewypełnienie obowiązku informacyjnego względem Prezesa UODO, o którym mowa w art. 174a ust. 1 cyt. ustawy.
w uzasadnieniu zaskarżonej decyzji Prezesa UODO z dnia […] czerwca 2021 r. wyjaśnione zostały w sposób dostatecznie jasny i przekonywujący motywy jej podjęcia, w tym wysokość zastosowanej kary pieniężnej, zaś przytoczona w tym zakresie argumentacja jest wyczerpująca i w pełni odnosząca się do stanowiska strony skarżącej podniesionego w toku postępowania wyjaśniającego
Sąd przechodząc do merytorycznej oceny legalności decyzji Prezesa UODO wskazał, że:
istotą sporu w niniejszej sprawie była nie tyle kwestia prawidłowości ustaleń organu nadzorczego w zakresie nienależytego wypełnienia przez skarżącą spółkę, jako administratora danych, obowiązków informacyjnych względem Prezesa UODO, o których mowa w art. 174a ust. 1 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne w zw. z art. 2 ust. 2 rozporządzenia nr 611/2013, ile przede wszystkim kwestia prawidłowości zakwalifikowania przez organ nadzorczy wskazanych uchybień, jako niemających charakteru incydentalnego i stanowiących przykład działań, które świadczą o konieczności zastosowania tego rodzaju sankcji, jak kara pieniężna, o której mowa w art. 210a ust. 1 pkt 2 Pr.t.
według strony skarżącej, kluczowe w sprawie pozostaje to, że Prezes UODO dopiero na etapie wydanej decyzji administracyjnej rozszerzył przedmiot postępowania na niekorzyść strony skarżącej, nie włączając wcześniej materiału dowodowego dotyczącego wskazanych w treści skargi 5 spraw, które – zdaniem organu nadzorczego – miały rzutować na nałożenie kary i jej wymiar, do akt spraw i nie zawiadamiając o tym skarżącej spółki.
Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
- Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
- Eksperckich tez wybranych orzeczeń
- Decyzji Polskiego Organu Nadzorczego
- Decyzji Europejskich Organów Nadzorczych
- Wytycznych i Opinii EDPB oraz EDPS
- Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
- Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
- Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 30 dni:
- Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
- Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
Wybieram
Według Sądu, nie sposób bowiem uznać, że:
błędy pracowników skarżącej spółki odpowiedzialnych za wysyłkę korespondencji, w tym korespondencji dotyczącej naruszeń danych osobowych kierowanej do Prezesa UODO, mogą zostać uznane za okoliczność uzasadniającą opóźnienie zawiadomienia o naruszeniu danych osobowych organowi nadzorczemu. Zdaniem Sądu, organ nadzorczy słusznie uznał, że świadczą one wyłącznie o nieprawidłowym zorganizowaniu przez spółkę procesu powiadamiania Prezesa UODO o naruszeniach danych osobowych, tym bardziej, że strona skarżąca na żadnym etapie postępowania nie wykazała, aby sprawowała odpowiedni nadzór nad tym procesem, a w szczególności nad pracownikami kancelarii odpowiedzialnymi za wysyłkę tej korespondencji.
należy – zdaniem Sądu – wyraźnie podkreślić, że poprzez przywołanie w uzasadnieniu spornej decyzji tych pięciu – dodatkowych i nieobjętych prowadzonym postępowaniem – naruszeń, organ nadzorczy chciał jedynie wykazać bezzasadność podnoszonego przez skarżącą spółkę argumentu, iż objęte zarzutem przypadki mają jednostkowy charakter.
jednocześnie, uznać należy, że organ nadzorczy w sposób uprawniony stwierdził w uzasadnieniu zaskarżonej decyzji, że bez znaczenia pozostaje przyczyna niedochowania terminu wynikającego z art. 2 ust. 2 cyt. rozporządzenia nr 611/2013, tym bardziej, że – jak ustalono w toku postępowania – leżała ona wyłącznie po stronie pracowników skarżącej spółki.