iSecure logo
  • pl
  • en
    • Blog

    Wyrok WSA w sprawie pierwszej administracyjnej kary pieniężnej nałożonej w Polsce na podstawie RODO

    Agnieszka Rapcewicz
    Księgi akcyjne
    Kategorie

    W ubiegłym tygodniu zostało opublikowane uzasadnienie wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie (WSA) z dnia 11 grudnia 2019 r. (II SA/Wa 1030/19). Orzeczenie to zostało wydane w wyniku rozpatrzenia odwołania spółki Bisnode od decyzji Prezesa Urzędu Ochrony Danych Osobowych (PUODO), nakładającej na wskazany podmiot administracyjną karę pieniężną za naruszenie przepisów RODO, w wysokości stanowiącej równowartość kwoty 220 000 euro (prawie 1 mln złotych).

    Dla przypomnienia – ukarana firma oferuje w szczególności usługi polegające na udostępnianiu raportów handlowych, zawierających między innymi dane finansowe i rejestrowe spółek, opis działalności firmy, jej sytuację finansową, powiązania kapitałowe i osobowe.Należy dodać, że była to pierwsza administracyjna kara pieniężna nałożona w Polsce na podstawie RODO.

    Wyrok w sprawie był bardzo wyczekiwany, zarówno przez praktyków zajmujących się doradztwem z zakresu ochrony danych osobowych, jak i przez przedsiębiorców. Poniżej podsumowuję najistotniejsze (moim zdaniem) kwestie i wnioski wynikające z uzasadnienia wyroku wydanego przez WSA.

    1. WSA stwierdził, że wydając decyzję PUODO naruszył prawo procesowe. Naruszenie to polegało na tym, że organ nie ustalił, czy spółka faktycznie miała możliwość wypełnienia obowiązku informacyjnego na mocy art. 14 ust. 1 i 2 RODO w odniesieniu do osób, które prowadziły działalność gospodarczą w przeszłości. W decyzji brak informacji o ilości osób, które w przeszłości prowadziły działalność jednoosobową, w odniesieniu do których Bisnode mogła wykonać obowiązek nałożony decyzją PUODO. Nie wiadomo bowiem, czy posiadane przez spółkę dane osobowe pozwalają jej faktycznie dotrzeć do wskazanych wyżej osób z informacją dotyczącą przetwarzania ich danych osobowych.
    2. Powyższe naruszenie prawa procesowego musiało doprowadzić do uchylenia nałożonej kary pieniężnej. Nakładając karę, organ wziął bowiem pod uwagę naruszenie obowiązku, w szczególności w odniesieniu do tych osób, które nie prowadzą już działalności gospodarczej. Miało to wpływ na ocenę organu zarówno co do charakteru naruszenia, jak i jego wagi. Liczba osób dotkniętych naruszeniem, określona przez organ, miała również znaczenie dla nałożenia kary finansowej i ustalenia jej wysokości. Ponieważ faktyczna liczba osób, których dotyczy naruszenie, nie została ustalona, ​​nie można twierdzić, że nałożona kara finansowa jest proporcjonalna do stwierdzonego naruszenia.
    3. WSA poczynił jeszcze jedną ciekawą uwagę w odniesieniu do przesłanek, jakie PUODO wziął pod uwagę przy wymiarze kary. Jak zauważył sąd, ​​jako jeden z elementów mających wpływ na wysokość kary organ wskazał jej odstraszający wpływ na innych administratorów. W opinii WSA „nie stanowi o zindywidualizowaniu kary i jej wysokości w tej sprawie powołanie się przez organ na konieczność odstraszenia (poza samą Spółką przed ponownym naruszeniem) także innych administratorów”. Zdaniem sądu skuteczność, proporcjonalność i odstraszający charakter administracyjnej kary pieniężnej powinien odnosić się do konkretnego podmiotu, który naruszył przepisy RODO.
    4. Zarówno praktycy zajmujący się doradztwem z zakresu ochrony danych osobowych, jak i przedsiębiorcy liczyli, że w związku z omawianą sprawą WSA zwróci się z pytaniem prejudycjalnym do Trybunału Sprawiedliwości Unii Europejskiej (TSUE). Miałoby to zmierzać do wyjaśnienia, w jaki sposób należy rozumieć warunek wskazany w art. 14 ust. 5 lit. b) RODO, tj. „niewspółmiernie duży wysiłek” wiążący się ze spełnieniem obowiązku informacyjnego. Polski sąd uznał jednak, że nie ma podstaw do zadawania takiego pytania TSUE. W opinii WSA skoro spółka posiada adresy osób fizycznych prowadzących obecnie lub w przeszłości działalność gospodarczą, lub ewentualnie numery ich telefonów, przesłanie informacji, o których mowa w art. 14 ust. 1 i 2 RODO, pocztą tradycyjną lub przekazanie ich drogą telefoniczną, nie jest niemożliwe, ani nie wymaga niewspółmiernie dużego wysiłku.
    5. WSA podkreślił, że pojęcie niewspółmiernie dużego wysiłku nie może być utożsamiane z kosztami, które administrator danych będzie musiał ponieść w związku z koniecznością wypełnienia obowiązku, który jest w pełni wykonalny. Ani aspekty organizacyjne związane z realizacją obowiązku zgodnie z art. 14 ust. 1 i 2 RODO, ani aspekty finansowe nie przeważają nad prawami osób fizycznych, których dane osobowe są przetwarzane przez administratora – w niniejszej sprawie, gdy zostały pozyskane z ogólnie dostępnego źródła, a następnie są przetwarzane przez administratora w celach komercyjnych.
    6. Co więc oznacza, zdaniem WSA, „niewspółmiernie duży wysiłek”? Otóż sąd twierdzi, że chodzi o sytuacje, w których udzielenie informacji wskazanych w art. 14 ust. 1 i 2 RODO, jest obiektywnie możliwe, ale niezwykle trudne (graniczące z niemożnością udzielenia informacji). W celu zapewnienia tych informacji, zdaniem WSA, administrator musiałby podjąć szereg działań, którezmierzałyby dopiero do tego, aby udzielenie informacji stało się możliwe. Zakres tych działań (czynności) musiałby być ogromny.
    7. Jak wskazuje sąd, z art. 14 ust. 5 lit. b) RODO wynika konieczność ustalenia, czy wysiłek, który należałoby podjąć w celu wypełnienia obowiązku określonego w art. 14 ust. 1 i 2 RODO, jest tak znaczny, że przeważa nad prawem podmiotu danych do informacji (między innymi o tym, kto przetwarza dane osobowe, jaki jest cel przetwarzania, jaka jest podstawa prawna przetwarzania, kto jest odbiorcą danych, jeśli tacy odbiorcy są, okres, przez który dane osobowe będą przetwarzane, jakie są uzasadnione interesy realizowane przez administratora lub osobę trzecią oraz informacje na temat prawa do żądania od administratora dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych, a także prawa do sprzeciwu wobec przetwarzania oraz prawa do przenoszenia danych).

    Podsumowując, WSA stwierdził, że interes finansowy administratora nie jest i nie może być – na podstawie RODO – wartością przeważającą nad prawem do uzyskania przez osobę fizyczną, której dane spółka przetwarza, informacji dotyczących, między innymi, jakie są prawnie uzasadnione interesy realizowane przez administratora, a także dotyczących prawa żądania od administratora dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz prawa do wniesienia sprzeciwu wobec przetwarzania.

    W przestrzeni publicznej pojawiają się głosy, że z powyższego orzeczenia nie jest zadowolona żadna ze stron. Najpewniej spółka Bisnode wniesie skargę kasacyjną do Naczelnego Sądu Administracyjnego. Czy tak postąpi też druga strona – tego na razie nie wiadomo. Moim zdaniem jednak wyrok jest korzystniejszy dla PUODO niż dla spółki. W przypadku ponownego rozpoznania sprawy, jak wskazuje WSA, PUODO powinien zbadać również, czy nie doszło do naruszenia zasad przetwarzania danych osobowych wskazanych w art. 5 RODO, w szczególności zgodności z prawem, rzetelności i przejrzystości oraz prawidłowości (nie ustalono bowiem, kiedy byli przedsiębiorcy zaprzestali prowadzenia działalności gospodarczej i w przypadku ilu osób spółka posiadała nieaktualne dane). Co więcej, zapewne konieczne będzie również zbadanie, czy Bisnode posiadała podstawę prawną do przetwarzania danych osób fizycznych prowadzących działalność gospodarczą w przeszłości (art. 6 ust. 1 RODO). Dokonanie przez PUODO, w ramach ponownego rozpoznania sprawy, ustaleń w powyższym zakresie, z pewnością będzie miało istotny wpływ na dalszy tok sprawy.

    Orzeczenie z uzasadnieniem jest dostępne tutaj: https://sip.lex.pl/orzeczenia-i-pisma-urzedowe/orzeczenia-sadow/ii-sa-wa-1030-19-wyrok-wojewodzkiego-sadu-522853095

    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Mateusz Jakubik

    Weryfikowanie kontrahentów, a kwestie ochrony danych osobowych

    W dzisiejszych czasach bardzo ważne jest, by posiadać wiedzę w zakresie rynku, na którym świadczy się usługi. Tutaj zawsze pojawia się wątpliwość jak takie dane pozyskiwać oraz jak sprawdzić, czy aktualna sytuacja kredytowa, biznesowa, czy też gospodarcza przyszłych kontrahentów może wpłynąć na nasze przedsiębiorstwo. Aktualnie wiele podmiotów gospodarczych prowadzi tzw. „biały wywiad gospodarczy”. Niejednokrotnie jest […]

    Czytaj więcej
    Awaria serwera
    Michał Sztąberek

    Papierowe wdrożenie RODO w obszarze IT

    Ze smutkiem obserwuję, że bardzo często wdrożenie RODO oznacza w praktyce wdrożenie procedur dotyczących ochrony danych osobowych i… na tym koniec. Nie od dziś wiadomo, że tak skomplikowany proces, jak dostosowanie organizacji do zgodności z przepisami RODO, to praca na wielu płaszczyznach. Aspekt organizacyjny jest oczywiście istotny, ale bez zaangażowania w obszar IT okaże się, […]

    Czytaj więcej
    Katarzyna Ułasiuk-Delamare

    Skuteczne informowanie klientów o przetwarzaniu ich danych osobowych w celach marketingowych

    Newsletter, zapis do subskrypcji SMS, a może akcja promocyjna? Formularz na firmowej stronie internetowej, papierowy druczek przystąpienia do programu lojalnościowego, czy wtyczka typu „zostaw wiadomość, a oddzwonimy z ofertą”? Zbieranie danych osobowych w celach marketingowych ma różne formy, ale zawsze w takich przypadkach trzeba pamiętać o tym, żeby prawidłowo poinformować osobę, która podaje swoje dane […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki