WSA uchyla decyzję Prezesa UODO nakładającą 250 000 zł kary
W tej sprawie WSA w Warszawie kazał długo czekać na uzasadnienia orzeczenia, gdyż sam wyrok zapadł pod koniec grudnia 2023 r., a dopiero w maju 2024 r. ukazało się uzasadnienie.
Treść tego uzasadnienia jest bardzo istotna dla każdego administratora danych, gdyż każdy z nich ma doczynienia z naruszeniami ochrony danych osobowych.
To, że w tej sprawie naruszenie oraz procedura jego zgłaszania nie opiera się o przepisy RODO, a przepisy Rozporządzenia Komisji (UE) nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej oraz prawa telekomunikacyjnego, nie oznacza, że nie można “przenieść” stanowiska Sądu na nasze “podwórko”.
W tej sprawie Klient zawierając umowę, z pewnym operatorem telekomunikacyjnym, wskazuje adres e-mail do korespondencji.
Po podpisaniu umowy operator wysłał – na wskazany przez Klienta adres e-mail – automatyczną wiadomość zawierającą kopię umowy wraz z regulaminem i cennikiem.
Po iluś dniach Klient przyszedł do salonu i wskazał, że podał błędny adres e-mail i poprosił o jego usunięcie. Osoba ta niezdecydowała się podać nowego/poprawnego adresu e-mail.
Operator dokonał usunięcia adresu e-mail.
I niestety nikt nie skojarzył, że parę dni temu wyszedł e-mail na ten adres.
Operator dowiedział się, o tym, że wysłała maila na “błędny” adres e-mail, od Prezesa UODO na etapie żądania przez niego ustosunkowania się do skargi osoby, która faktycznie odebrała wiadomość e-mail.
Operator wskazał, że dopiero od Prezesa UODO dowiedział się o naruszeniu ochrony danych osobowych.
Operator zawiadomił Prezesa UODO o naruszeniu, ale nie w ciągu 24 h jak wskazuje prawo telekomunikacyjne, ale po kilku miesiącach od pisma Prezesa UODO. Stało się to wtedy, gdy Prezes UODO wszczął postępowanie w sprawie nałożenia administracyjnej kary pieniężnej.
Na początku listopada 2022 r. Prezes UODO nałożył 250 000 zł kary:
stwierdzając naruszenie przez P4 Sp. z o.o. z siedzibą w Warszawie przepisów art. 174a ust. 1 i 3 Prawa telekomunikacyjnego w zw. z art. 2 ust. 1 i 2 oraz art. 3 ust. 1, 3 i 4 rozporządzenia 611/2013, polegające na niezawiadomieniu Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu danych osobowych w terminie 24 godzin od wykrycia naruszenia danych osobowych oraz braku niezwłocznego powiadomienia o naruszeniu danych osobowych abonenta, którego dotyczyło naruszenie, nakłada na P4 Sp. z o.o. z siedzibą w Warszawie karę pieniężną w wysokości 250.000 PLN (słownie: dwieście pięćdziesiąt tysięcy złotych).
WSA w Warszawie uchylił tę decyzję ogniskując swoją decyzję na elemencie “wykrycia naruszenia”, o którym jest mowa w art. 174a ust. 1 prawa telekomunikacyjnego:
Dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu danych osobowych w terminie i na zasadach określonych w rozporządzeniu Komisji (UE) nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej (Dz. Urz. UE L 173 z 26.06.2013, str. 2), zwanym dalej „rozporządzeniem 611/2013”.
Wskazane Rozporządzenie 611/2013 r. w art. 2 ust. 2 tak ocenia “wykrycie naruszenia”:
uznaje się, że doszło do wykrycia naruszenia danych osobowych, gdy dostawca uzyskał wystarczającą wiedzę o zaistnieniu zdarzenia naruszającego ochronę, które doprowadziło do naruszenia danych osobowych, w celu przekazania zasadne powiadomienia zgodnie z wymogami niniejszego powiadomienia.
Sąd wskazał, że:
obowiązek informacyjny administratora danych uaktualnia się dopiero w momencie wykrycia naruszenia, zaś owo “wykrycie naruszenia” następuje gdy dostawca uzyskał “wystarczającą wiedzę o zaistnieniu zdarzenia naruszającego ochronę”;
nacisk należy zatem położyć na dostępność informacji, o których mowa w załącznikach (tzn. we wzorach powiadomień kierowanych do organu oraz abonenta). Prawodawca europejski akcentuje więc konieczność bezspornego ustalenia faktu wykrycia naruszenia, które nie jest tożsame jedynie z wystąpieniem podejrzenia takiego naruszenia;
stanowisko organu w tej sprawie sprowadza się zatem do stwierdzenia, że okoliczności tej sprawy umożliwiały spółce wykrycie naruszenia;
powyższe nie oznacza jednak, że do wykrycia naruszenia faktycznie doszło. Tymczasem ta okoliczność jest kluczowa z punktu widzenia nałożenia kary pieniężnej na podstawie art. 210a ust. 1 pkt 2 i 3 Prawa telekomunikacyjnego, bowiem – jak już wspomniano – obowiązek informacyjny aktualizuje się dopiero w momencie wykrycia naruszenia (a nie samej możliwości wykrycia naruszenia);
rozpatrując ponownie sprawę, organ uwzględni powyższe rozważania Sądu, a w szczególności ustali w sposób niebudzący wątpliwości, kiedy doszło do wykrycia przez spółkę naruszenia ochrony danych osobowych, w rozumieniu art. 2 ust. 2 rozporządzenia nr [….] w związku z treścią pkt 8 preambuły do tego rozporządzenia. Dopiero wówczas zbada, czy w tej sprawie doszło do naruszenia obowiązku informacyjnego, o którym mowa w art. 174a ust. 1 i 3 Prawa telekomunikacyjnego.