Znamy uzasadnienie WSA w sprawie 85 000 zł kary

Dzięki systemom monitorującym wykorzystywanych w serwisie Judykatura.pl subskrybenci serwisu praktycznie “na żywo” otrzymują dostęp do najważniejszych orzeczeń związanych z RODO.

I tak właśnie jest w przypadku uzasadnienia WSA w Warszawie do orzeczenia oddalającego skargę administratora danych na decyzję Prezesa UODO w sprawie Pani M.Z. prowadzącej gabinet stomatologiczno-ortodontyczny co do niewykonania nakazu zawiadomienia osób w związku z naruszeniem ochrony danych osobowych.

Z samą decyzją Prezesa UODO można zapoznać się tutaj:

DKE.561.11.2020

Uzasadnienie WSA w Warszawie jest źródłem wielu istotnych wniosków.

Sąd zaczyna uzasadnienie od swojej oceny skargi M.Z. (administrator – PL), prowadzącej działalność gospodarczą pod firmą “K.” z siedzibą w W. i wskazuję, że:

nie zasługuje na uwzględnienie, albowiem zaskarżona decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia […] stycznia 2021 r., nr […] – nie narusza obowiązujących przepisów prawa.

W konsekwencji, przedmiotem sporu była jednocześnie ocena zasadności nałożenia na stronę skarżącą administracyjnej kary pieniężnej, o której mowa w art. 83 ust. 6 RODO, za nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy we wspomnianej wyżej decyzji z dnia […] lutego 2020 r.

W niniejszej sprawie Prezes UODO, nakładając sporną administracyjną karę pieniężną – stwierdził, iż w trakcie prowadzonego postępowania wyjaśniającego ustalono, że skarżąca, będąc administratorem danych, nie wykonała nałożonego na nią nakazu zawartego w decyzji administracyjnej Prezesa UODO z dnia […] lutego 2020 r. Organ nadzorczy zauważył bowiem, że pomimo, iż wspomnianą decyzją administracyjną skarżąca wyraźnie zobowiązana została do zawiadomienia osób, których dane dotyczą – w terminie trzech dni od dnia, w którym decyzja stanie się ostateczna – o naruszeniu ich danych osobowych, które miało miejsce w dniu […] kwietnia 2019 r., w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 RODO, nie przedstawiła jednak dowodów świadczących o prawidłowym wykonaniu obowiązku, o którym mowa w art. 34 ust. 1 i 2 RODO.

Następnie Sąd odnosi się do twierdzeń administratora danych:

Organ nadzorczy stwierdził, że strona skarżąca udowodniła jedynie, przedstawiając kopię pocztowej książki nadawczej, skierowanie w dniu […] czerwca 2020 r. zawiadomień o naruszeniu ochrony danych osobowych do dziesięciu osób. Tymczasem, według organu nadzorczego, treść tych zawiadomień bezsprzecznie nie odpowiadała wymogom przewidzianym w art. 34 ust. 2 RODO. Ponadto, według organu nadzorczego, liczba owych zawiadomień była niewielka w stosunku do wskazanej w zgłoszeniu z dnia […] lipca 2019 r. liczby stu osób, których dane naruszono (czy też liczby trzydziestu siedmiu osób wskazanej przez skarżącą – po sprawdzeniu – w piśmie, które wpłynęło do Urzędu Ochrony Danych Osobowych w dniu […] listopada 2020 r.). W konsekwencji, organ nadzorczy zarzucił stronie skarżącej, że jej działania w żaden sposób nie można uznać za wykonanie nakazu wyrażonego we wspomnianej wyżej decyzji Prezesa UODO.

Sąd stwierdził, że Prezes UODO zasadnie przyjął w uzasadnieniu zaskarżonej decyzji z dnia […] stycznia 2021 r., że na dzień jej wydania brak jest podstaw do uznania, iż strona skarżąca, jako administrator danych, wywiązała się z ciążącego na niej – na mocy art. 34 ust 1 i 2 RODO – obowiązku zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych, będącym przedmiotem zgłoszenia z dnia […] lipca 2019 r. Tym samym, organ nadzorczy prawidłowo uznał, że strona skarżąca nie wykonała nakazu zawartego w decyzji administracyjnej organu nadzorczego z dnia […] lutego 2020 r., sygn. […].

Jak widać doniosłe konsekwencje ma niepodjęcie przez administratora działań na etapie wcześniejszej decyzji administracyjnej nakazującej zawiadomienie osób, których dotyczyło naruszenie ochrony danych:

W tej sytuacji, uznać należy, że skoro zatem decyzja z dnia […] lutego 2020 r. nakładająca na skarżącą, jako administratora danych, stosowny nakaz stała się z uwagi na brak jej zaskarżenia do sądu administracyjnego prawomocna, to organ nadzorczy miał pełne prawo – działając w celu sprawdzenia, czy nałożone obowiązki zostały wykonane przez skarżącą – wszcząć stosowne postępowanie sprawdzające, pouczając jednocześnie skarżącą, że stwierdzenie nieprzestrzegania nakazu nałożonego przez ten organ skutkować może nałożeniem na nią administracyjnej kary pieniężnej, zgodnie z art. 83 ust. 6 RODO.

Warto jednocześnie zauważyć, że Prezes UODO, przeprowadzając sporne postępowanie wyjaśniające wykorzystał wszelkie niezbędne instrumenty prawne, jakie dawała mu ustawa o ochronie danych osobowych i uzasadniając swoje stanowisko w decyzji z dnia […] stycznia 2021 r., w sposób klarowny przedstawił argumentację dotyczącą zasadności nałożenia administracyjnej kary pieniężnej.

Administrator danych przekazał dowody na wykonanie nakazu wynikającego ze skarżonej decyzji, ale po dniu wydania decyzji Prezesa UODO:

W tym miejscu, wskazać należy wyraźnie, że – wbrew sugestiom strony skarżącej – ustalając stan faktyczny sprawy, Prezes UODO zobowiązany był ustalić ów stan na dzień wydania zaskarżonej decyzji, albowiem nie mógł wziąć pod uwagę wyjaśnień i dowodów przedstawionych przez skarżącą w piśmie opatrzonym datą […] stycznia 2021 r. (zawierającym załączniki w postaci 37 pism – “Zawiadomień o naruszeniu RODO” – wraz z potwierdzeniami ich nadania listami poleconymi w dniu […] stycznia 2021 r.), a więc już po wydaniu zaskarżonej decyzji. Nie ulega wątpliwości, że pismo to złożone zostało do akt spraw po dacie wydania zaskarżonej decyzji, to jest po dniu […] stycznia 2021 r. Według Sądu, przyjąć należy w tej sytuacji, że przedstawienie przez skarżącą pełnych i wyczerpujących dowodów wykonania przez nią nakazu było dopiero efektem doręczenia skarżącej zaskarżonej decyzji nakładającej administracyjną karę pieniężną.

Według Sądu, za całkowicie niezrozumiały należy uznać również zarzut strony skarżącej, w którym zarzuciła ona organowi nadzorczemu brak podjęcia z urzędu czynności niezbędnych do wyjaśnienia stanu faktycznego oraz załatwienia sprawy polegających na zawiadomieniu osób potencjalnie pokrzywdzonych naruszeniem ich danych osobowych, pomimo – jak podniosła skarżąca – posiadania przez organ wszelkich danych umożliwiających z urzędu podjęcie takich czynności.

Wskazać należy, że wszelkie działania sanujące podjęte przez skarżącą po dacie wydania zaskarżonej decyzji nakładającej administracyjną karę pieniężną, nie mogły być wzięte pod uwagę przez Sąd. W tej sytuacji, skoro załączone przez skarżącą do skargi dokumenty wskazują jednoznacznie, że samo wykonanie obowiązku nastąpiło dopiero po dacie wydania zaskarżonej decyzji (wszystkie potwierdzenia wysłania zawiadomień noszą datę […] stycznia 2021 r.), uznać należy, że dowody te nie mogły – w świetle m.in. art. 106 § 3 P.p.s.a. – stanowić podstawy do postawienia skutecznych zarzutów w niniejszym postępowaniu sądowoadministracyjnym.

Dalej WSA w Warszawie podkreśla, że:

(…) zgodnie z art. 34 ust. 1 RODO, to na administratorze danych ciąży obowiązek niezwłocznego zawiadomienia podmiotów danych o naruszeniu ochrony ich danych osobowych, które może powodować wysokie ryzyko naruszenia ich praw lub wolności. W tej sytuacji, za całkowicie bezpodstawne uznać należy sugestie strony skarżącej jakoby powyższe działania (czyli dokonanie przez Prezesa UODO – w zastępstwie skarżącej, jako administratora – skutecznego zawiadomienia o naruszeniu osób, których dane dotyczą) mieściły się w przysługujących organowi nadzorczemu, na podstawie RODO, instrumentach naprawczych, z których rzekomo – jak podniosła skarżąca – organ nadzorczy w sposób nieuprawniony nie skorzystał.

Sąd uznał ponadto, że całkowicie nieuprawniony w niniejszej sprawie jest również podniesiony przez stronę skarżącą zarzut braku wyjaśnienia przez Prezesa UODO wątpliwości co do stopnia ryzyka naruszenia praw i wolności osób fizycznych, których naruszenie dotyczyło, i przyjęcie, że stopień tego ryzyka był wysoki, pomimo informacji zamieszczonej przez skarżącą w zgłoszeniu z dnia […] września 2019 r., w której administrator danych poinformował organ nadzorczy, iż przedsiębiorca zrezygnował z zawiadomienia w/w osób z uwagi na brak wysokiego ryzyka naruszenia ich praw i wolności.
Według Sądu, w analizowanej sprawie brak było po stronie organu nadzorczego obowiązku wyjaśnienia rzekomych rozbieżności, które – jak sugeruje strona skarżąca – doprowadziły do niewłaściwego nałożenia na skarżącą w decyzji z dnia […] lutego 2020 r. dalszych obowiązków podjęcia przez nią czynności, z wadliwym założeniem wysokiego stopnia ryzyka naruszenia. Otóż, nie ulega – zdaniem Sądu – jakichkolwiek wątpliwości, że sporna okoliczność (vide: ustalenie stopnia ryzyka związanego z naruszeniem ochrony danych osobowych) nie mogła być przedmiotem postępowania zakończonego wydaniem zaskarżonej decyzji z dnia […] stycznia 2021 r., albowiem jego przedmiotem było wyłącznie rozważenie podstaw do nałożenia administracyjnej kary pieniężnej w związku z nieprzestrzeganiem prawomocnego nakazu orzeczonego przez Prezesa UODO we wspomnianej wyżej decyzji z dnia […] lutego 2020 r.

 

Co do samej wysokości kary 85 000 zł to Sąd wskazał:

Sąd uznał w konsekwencji, że sporna administracyjna kara pieniężna, wbrew zarzutom strony skarżącej, jest proporcjonalna, odstraszająca, a także skuteczna, o czym – jak słusznie zauważył organ nadzorczy w odpowiedzi na skargę – świadczy zresztą wykonanie przez skarżącą nakazu określonego w decyzji Prezesa UODO niezwłocznie po doręczeniu stronie skarżącej zaskarżonej decyzji z dnia […] stycznia 2021 r.

W związku z tym, uznać należy, że skoro skarżąca nigdy nie przedstawiła Prezesowi UODO danych finansowych dotyczących prowadzonej przez siebie działalności gospodarczej, a także nie usprawiedliwiła również niewywiązania się z tego obowiązku, organ nadzorczy – ustalając wysokość kary – miał pełne prawo do skorzystania z możliwości, o której stanowi art. 101a ust. 2 u.o.d.o.