iSecure logo
Blog

Wyrok WSA w sprawie pierwszej administracyjnej kary pieniężnej nałożonej w Polsce na podstawie RODO

Agnieszka Rapcewicz

W ubiegłym tygodniu zostało opublikowane uzasadnienie wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie (WSA) z dnia 11 grudnia 2019 r. (II SA/Wa 1030/19). Orzeczenie to zostało wydane w wyniku rozpatrzenia odwołania spółki Bisnode od decyzji Prezesa Urzędu Ochrony Danych Osobowych (PUODO), nakładającej na wskazany podmiot administracyjną karę pieniężną za naruszenie przepisów RODO, w wysokości stanowiącej równowartość kwoty 220 000 euro (prawie 1 mln złotych).

Dla przypomnienia – ukarana firma oferuje w szczególności usługi polegające na udostępnianiu raportów handlowych, zawierających między innymi dane finansowe i rejestrowe spółek, opis działalności firmy, jej sytuację finansową, powiązania kapitałowe i osobowe.Należy dodać, że była to pierwsza administracyjna kara pieniężna nałożona w Polsce na podstawie RODO.

Wyrok w sprawie był bardzo wyczekiwany, zarówno przez praktyków zajmujących się doradztwem z zakresu ochrony danych osobowych, jak i przez przedsiębiorców. Poniżej podsumowuję najistotniejsze (moim zdaniem) kwestie i wnioski wynikające z uzasadnienia wyroku wydanego przez WSA.

  1. WSA stwierdził, że wydając decyzję PUODO naruszył prawo procesowe. Naruszenie to polegało na tym, że organ nie ustalił, czy spółka faktycznie miała możliwość wypełnienia obowiązku informacyjnego na mocy art. 14 ust. 1 i 2 RODO w odniesieniu do osób, które prowadziły działalność gospodarczą w przeszłości. W decyzji brak informacji o ilości osób, które w przeszłości prowadziły działalność jednoosobową, w odniesieniu do których Bisnode mogła wykonać obowiązek nałożony decyzją PUODO. Nie wiadomo bowiem, czy posiadane przez spółkę dane osobowe pozwalają jej faktycznie dotrzeć do wskazanych wyżej osób z informacją dotyczącą przetwarzania ich danych osobowych.
  2. Powyższe naruszenie prawa procesowego musiało doprowadzić do uchylenia nałożonej kary pieniężnej. Nakładając karę, organ wziął bowiem pod uwagę naruszenie obowiązku, w szczególności w odniesieniu do tych osób, które nie prowadzą już działalności gospodarczej. Miało to wpływ na ocenę organu zarówno co do charakteru naruszenia, jak i jego wagi. Liczba osób dotkniętych naruszeniem, określona przez organ, miała również znaczenie dla nałożenia kary finansowej i ustalenia jej wysokości. Ponieważ faktyczna liczba osób, których dotyczy naruszenie, nie została ustalona, ​​nie można twierdzić, że nałożona kara finansowa jest proporcjonalna do stwierdzonego naruszenia.
  3. WSA poczynił jeszcze jedną ciekawą uwagę w odniesieniu do przesłanek, jakie PUODO wziął pod uwagę przy wymiarze kary. Jak zauważył sąd, ​​jako jeden z elementów mających wpływ na wysokość kary organ wskazał jej odstraszający wpływ na innych administratorów. W opinii WSA „nie stanowi o zindywidualizowaniu kary i jej wysokości w tej sprawie powołanie się przez organ na konieczność odstraszenia (poza samą Spółką przed ponownym naruszeniem) także innych administratorów”. Zdaniem sądu skuteczność, proporcjonalność i odstraszający charakter administracyjnej kary pieniężnej powinien odnosić się do konkretnego podmiotu, który naruszył przepisy RODO.
  4. Zarówno praktycy zajmujący się doradztwem z zakresu ochrony danych osobowych, jak i przedsiębiorcy liczyli, że w związku z omawianą sprawą WSA zwróci się z pytaniem prejudycjalnym do Trybunału Sprawiedliwości Unii Europejskiej (TSUE). Miałoby to zmierzać do wyjaśnienia, w jaki sposób należy rozumieć warunek wskazany w art. 14 ust. 5 lit. b) RODO, tj. „niewspółmiernie duży wysiłek” wiążący się ze spełnieniem obowiązku informacyjnego. Polski sąd uznał jednak, że nie ma podstaw do zadawania takiego pytania TSUE. W opinii WSA skoro spółka posiada adresy osób fizycznych prowadzących obecnie lub w przeszłości działalność gospodarczą, lub ewentualnie numery ich telefonów, przesłanie informacji, o których mowa w art. 14 ust. 1 i 2 RODO, pocztą tradycyjną lub przekazanie ich drogą telefoniczną, nie jest niemożliwe, ani nie wymaga niewspółmiernie dużego wysiłku.
  5. WSA podkreślił, że pojęcie niewspółmiernie dużego wysiłku nie może być utożsamiane z kosztami, które administrator danych będzie musiał ponieść w związku z koniecznością wypełnienia obowiązku, który jest w pełni wykonalny. Ani aspekty organizacyjne związane z realizacją obowiązku zgodnie z art. 14 ust. 1 i 2 RODO, ani aspekty finansowe nie przeważają nad prawami osób fizycznych, których dane osobowe są przetwarzane przez administratora – w niniejszej sprawie, gdy zostały pozyskane z ogólnie dostępnego źródła, a następnie są przetwarzane przez administratora w celach komercyjnych.
  6. Co więc oznacza, zdaniem WSA, „niewspółmiernie duży wysiłek”? Otóż sąd twierdzi, że chodzi o sytuacje, w których udzielenie informacji wskazanych w art. 14 ust. 1 i 2 RODO, jest obiektywnie możliwe, ale niezwykle trudne (graniczące z niemożnością udzielenia informacji). W celu zapewnienia tych informacji, zdaniem WSA, administrator musiałby podjąć szereg działań, którezmierzałyby dopiero do tego, aby udzielenie informacji stało się możliwe. Zakres tych działań (czynności) musiałby być ogromny.
  7. Jak wskazuje sąd, z art. 14 ust. 5 lit. b) RODO wynika konieczność ustalenia, czy wysiłek, który należałoby podjąć w celu wypełnienia obowiązku określonego w art. 14 ust. 1 i 2 RODO, jest tak znaczny, że przeważa nad prawem podmiotu danych do informacji (między innymi o tym, kto przetwarza dane osobowe, jaki jest cel przetwarzania, jaka jest podstawa prawna przetwarzania, kto jest odbiorcą danych, jeśli tacy odbiorcy są, okres, przez który dane osobowe będą przetwarzane, jakie są uzasadnione interesy realizowane przez administratora lub osobę trzecią oraz informacje na temat prawa do żądania od administratora dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych, a także prawa do sprzeciwu wobec przetwarzania oraz prawa do przenoszenia danych).

Podsumowując, WSA stwierdził, że interes finansowy administratora nie jest i nie może być – na podstawie RODO – wartością przeważającą nad prawem do uzyskania przez osobę fizyczną, której dane spółka przetwarza, informacji dotyczących, między innymi, jakie są prawnie uzasadnione interesy realizowane przez administratora, a także dotyczących prawa żądania od administratora dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz prawa do wniesienia sprzeciwu wobec przetwarzania.

W przestrzeni publicznej pojawiają się głosy, że z powyższego orzeczenia nie jest zadowolona żadna ze stron. Najpewniej spółka Bisnode wniesie skargę kasacyjną do Naczelnego Sądu Administracyjnego. Czy tak postąpi też druga strona – tego na razie nie wiadomo. Moim zdaniem jednak wyrok jest korzystniejszy dla PUODO niż dla spółki. W przypadku ponownego rozpoznania sprawy, jak wskazuje WSA, PUODO powinien zbadać również, czy nie doszło do naruszenia zasad przetwarzania danych osobowych wskazanych w art. 5 RODO, w szczególności zgodności z prawem, rzetelności i przejrzystości oraz prawidłowości (nie ustalono bowiem, kiedy byli przedsiębiorcy zaprzestali prowadzenia działalności gospodarczej i w przypadku ilu osób spółka posiadała nieaktualne dane). Co więcej, zapewne konieczne będzie również zbadanie, czy Bisnode posiadała podstawę prawną do przetwarzania danych osób fizycznych prowadzących działalność gospodarczą w przeszłości (art. 6 ust. 1 RODO). Dokonanie przez PUODO, w ramach ponownego rozpoznania sprawy, ustaleń w powyższym zakresie, z pewnością będzie miało istotny wpływ na dalszy tok sprawy.

Orzeczenie z uzasadnieniem jest dostępne tutaj: https://sip.lex.pl/orzeczenia-i-pisma-urzedowe/orzeczenia-sadow/ii-sa-wa-1030-19-wyrok-wojewodzkiego-sadu-522853095

Podobne wpisy:

Dlaczego RODO nie zabije blockchain i technologii rejestrów rozproszonych
Maria Lothamer

Dlaczego RODO nie zabije blockchain i technologii rejestrów rozproszonych

Wśród specjalistów, którzy pracują na styku prawa i nowych technologii trwa dyskusja czy przepisy Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO) stoją w sprzeczności z fundamentami działania technologii rejestrów rozproszonych, jak Bitcoin, Ethereum czy Ripple. Jeśli jednak przyjrzeć się fundamentom działania rejestrów rozproszonych, to okaże się, że obawy dotyczące RODO nie mają podstaw. Mało tego, przepisy RODO w wielu wypadkach w ogóle mogą nie mieć zastosowania w odniesieniu do rejestrów rozproszonych.

RODO krok po kroku – część 3: obowiązek zgłaszania naruszenia danych osobowych
Katarzyna Ułasiuk

Zasady pracy zdalnej

Biorąc pod uwagę to, że wiele firm (w tym nasi klienci) wybrało przejście w tryb pracy zdalnej, dzielimy się zaleceniami, co do zachowania środków bezpieczeństwa: Na komputerze wykorzystywanym do pracy powinien być zainstalowany program antywirusowy i firewall, które są na bieżąco aktualizowane Należy korzystać ze zaktualizowanych przeglądarek internetowych np. Firefox, Chrome lub Opera; analogicznie system […]

Agnieszka Rapcewicz

Kilka słów o współadministrowaniu danymi osobowymi

Pojęcie współadministrowania danymi osobowymi nie występowało w polskiej ustawie o ochronie danych osobowych z 1997 r., mimo że dyrektywa 95/46/WE definiowała administratora danych podobnie jak aktualnie RODO. Chodziło więc o podmiot, który samodzielnie lub wspólnie z innymi podmiotamiokreśla cele i sposoby przetwarzania danych osobowych. Dopiero RODO wprowadziło wyraźną regulację dotyczącą współadministrowania i określiło, jakie obowiązki […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki