Znamy uzasadnienie wyroku WSA oddalającego skargę Banku na karę ponad 540 000 zł

WSA w Warszawie opublikował uzasadnienie swojego orzeczenia z listopada 2022 r., w którym oddalił skargę pewnego Banku na decyzję Prezesa UODO nakazującą zawiadomienie, w terminie 3 dni, ponad 10 000 pracowników o zaistniałym naruszeniu ochrony danych osobowych i nakładającym administracyjną karę pieniężną w wysokości 545 748 zł. 

Naruszenie polegało na posiadaniu przez byłego pracownika Banku, któremu nie odebrano po zakończeniu stosunku pracy dostępu do Platformy Usług Elektronicznych […] ([…]), nieuprawnionego dostępu do tejże platformy, w wyniku czego mógł on przeglądać znajdujące się na profilu płatnika […] S.A. dane pracowników Banku w zakresie ich imion i nazwisk, nr PESEL, adresu zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowiących dane dotyczące zdrowia.

Prezes UODO prowadząc postępowanie ustalił, że ów były pracownik Banku korzystał ze swoich uprawnień i logował się pięciokrotnie do platformy […] (w następujących terminach: 2020-06-30, godz. 21:09:54; 2020-06-30, godz. 21:00:42; 2020-06-30, godz. 21:02:37; 2020-10-26, godz. 22:01:27; 2021-02-03, godz. 20:50:14), zyskując tym samym nieuprawniony wgląd w dane osobowe pracowników Banku. Organ nie ustalał zaś obszarów, które były przeglądane przez nieuprawnioną osobę ani tego, do jakich konkretnie danych i dotyczących ilu pracowników osoba ta uzyskała dostęp w trakcie logowań na profil płatnika […] S.A. na platformie […].

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
249
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
2365
 PLN z VAT
2988
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Zamówienie dostępu do Subskrypcji 360 bez płatności cyklicznej.

Sąd wskazał, że:

postępując zgodnie z prawem i wykazując dbałość o interesy osób, których dane dotyczą, administrator musi bez zbędnej zwłoki zapewnić osobom, których dane dotyczą, możliwość jak najlepszej ochrony danych osobowych. Dla osiągnięcia tego celu niezbędne jest przynajmniej wskazanie tych informacji, które wymienione są w art. 34 ust. 2 rozporządzenia 2016/679;

stosując przepisy rozporządzenia 2016/679, należy mieć na uwadze, że głównym celem tego rozporządzenia (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły);

odnosząc przywołane regulacje do stanu faktycznego sprawy jako uprawniona jawiła się konkluzja, że organ poprawnie ustalił fakt naruszenia ochrony danych osobowych, o którym administrator danych powinien powiadomić osoby, których danych dotyczyło owo naruszenie. Okolicznością niesporną jest przecież to, że były pracownik Banku, po zakończeniu stosunku zatrudnienia, posiadał nadal możliwość logowania się do platformy […] a poprzez to posiadał dostęp do danych pracowników Banku w zakresie ich imion i nazwisk, nr PESEL, adresu zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowiących dane dotyczące zdrowia;

poza sporem była też okoliczność, że ów były pracownik Banku skorzystał z tego nieuprawnionego przywileju i logował się pięciokrotnie do platformy […] (w następujących terminach: 2020-06-30, godz. 21:09:54; 2020-06-30, godz. 21:00:42; 2020-06-30, godz. 21:02:37; 2020-10-26, godz. 22:01:27; 2021-02-03, godz. 20:50:14), zyskując tym samym nieuprawniony wgląd w dane osobowe pracowników Banku.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
249
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
2365
 PLN z VAT
2988
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Zamówienie dostępu do Subskrypcji 360 bez płatności cyklicznej.

Nadto według Sądu:

z powyższego organ w sposób uprawniony wywiódł, że sama możliwość nieograniczonego dostępu przez byłego pracownika Banku, do wielce wrażliwych danych znajdujących się na platformie […], które to dane dotyczyły aż 10 500 osób, powoduje istnienie wysokiego ryzyka dla praw i wolności osób, których danych mógł dotyczyć ten nieuprawniony dostęp. O wysokim ryzyku świadczy bowiem nie tylko zakres danych zgromadzonych na platformie […], ale też bardzo długi czas w jakim Bank tolerował omawiany nieuprawniony dostęp do tych danych byłemu pracownikowi, jak też oczywiście liczba osób dotkniętych potencjalnym naruszeniem ich danych osobowych.

skoro więc zaistniało wysokie ryzyko dla praw i wolności osób, organ miał bezwzględny obowiązek dokonać zawiadomienia o jakim mowa w art. 34 RODO.

na marginesie niejako należało dodać, że Bank w sposób niewłaściwy odwołuje się do prawno-karnego pojęcia zamiaru bezpośredniego czy ewentualnego. W realiach prawnych niniejszej sprawy nie jest bowiem konieczne ustalenie, że administrator danych umyślnie zaniechał omawianego zawiadamiania dla dokonania czynu zabronionego (czego z resztą organ nigdy nie suponował Bankowi). Dla rozstrzygnięcia skargi wystarczy ustalenie, że będąc nawet w błędzie co do braku wystąpienia wysokiego ryzyka, administrator danych nie dokonał stosownego zawiadomienia;

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
249
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
2365
 PLN z VAT
2988
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Zamówienie dostępu do Subskrypcji 360 bez płatności cyklicznej.

Ostatecznie Sąd wskazał, że:

przechodząc do oceny motywów nałożenia administracyjnej kary pieniężnej wyjaśnić należało, że czynność organu w ww. zakresie należy do kategorii tzw. uznania administracyjnego. Stąd jej ocena ograniczona jest do badania, czy uzasadnienie dla zastosowania omawianego środka zostało sporządzone w sposób wyczerpujący i przekonujący;

zasadne były też wnioski organu o braku zadawalającej współpracy z Bankiem skoro do poprawnego zawiadomienia osób, których dotyczyło sporne naruszenie doszło dopiero po wydaniu skarżonej decyzji (pomimo uwag organu artykułowanych już na początku trwania postępowania administracyjnego).

od powzięcia przez Bank informacji o naruszeniu ochrony danych osobowych, generującego wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a tym samym skutkującego koniecznością zawiadomienia o naruszeniu osób, których dane dotyczą tj. […] lutego 2021 r. do dnia wydania niniejszej decyzji upłynęło 11 miesięcy, w trakcie których ryzyko naruszenia praw lub wolności osób dotkniętych naruszeniem mogło się zrealizować, a czemu osoby te nie mogły przeciwdziałać ze względu na niewywiązanie się przez Bank z obowiązku powiadomienia osób, których dane dotyczą, o naruszeniu. Dodatkowo za okoliczność obciążającą uznać należy fakt, iż naruszenie, polegające na niezawiadomieniu osób o naruszeniu ochrony ich danych osobowych, obejmowało dane 10 500 osób.

Zapisz się do newslettera
X

Podając swój adres e-mail oraz zatwierdzając zapis do newslettera wyrażasz zgodę na otrzymywanie od Piotra Liwszica informacji marketingowych. Zgodę możesz wycofać w każdym czasie wysyłając e-mail na adres kontakt@judykatura.pl. Administratorem danych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP- 521-332-36-17. Dane osobowe przetwarzane są w celu przesyłania informacji marketingowych. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w Polityce prywatności