iSecure logo
  • pl
  • en
    • Blog

    Wyrok WSA w sprawie pierwszej administracyjnej kary pieniężnej nałożonej w Polsce na podstawie RODO

    Agnieszka Rapcewicz
    Księgi akcyjne
    Kategorie

    W ubiegłym tygodniu zostało opublikowane uzasadnienie wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie (WSA) z dnia 11 grudnia 2019 r. (II SA/Wa 1030/19). Orzeczenie to zostało wydane w wyniku rozpatrzenia odwołania spółki Bisnode od decyzji Prezesa Urzędu Ochrony Danych Osobowych (PUODO), nakładającej na wskazany podmiot administracyjną karę pieniężną za naruszenie przepisów RODO, w wysokości stanowiącej równowartość kwoty 220 000 euro (prawie 1 mln złotych).

    Dla przypomnienia – ukarana firma oferuje w szczególności usługi polegające na udostępnianiu raportów handlowych, zawierających między innymi dane finansowe i rejestrowe spółek, opis działalności firmy, jej sytuację finansową, powiązania kapitałowe i osobowe.Należy dodać, że była to pierwsza administracyjna kara pieniężna nałożona w Polsce na podstawie RODO.

    Wyrok w sprawie był bardzo wyczekiwany, zarówno przez praktyków zajmujących się doradztwem z zakresu ochrony danych osobowych, jak i przez przedsiębiorców. Poniżej podsumowuję najistotniejsze (moim zdaniem) kwestie i wnioski wynikające z uzasadnienia wyroku wydanego przez WSA.

    1. WSA stwierdził, że wydając decyzję PUODO naruszył prawo procesowe. Naruszenie to polegało na tym, że organ nie ustalił, czy spółka faktycznie miała możliwość wypełnienia obowiązku informacyjnego na mocy art. 14 ust. 1 i 2 RODO w odniesieniu do osób, które prowadziły działalność gospodarczą w przeszłości. W decyzji brak informacji o ilości osób, które w przeszłości prowadziły działalność jednoosobową, w odniesieniu do których Bisnode mogła wykonać obowiązek nałożony decyzją PUODO. Nie wiadomo bowiem, czy posiadane przez spółkę dane osobowe pozwalają jej faktycznie dotrzeć do wskazanych wyżej osób z informacją dotyczącą przetwarzania ich danych osobowych.
    2. Powyższe naruszenie prawa procesowego musiało doprowadzić do uchylenia nałożonej kary pieniężnej. Nakładając karę, organ wziął bowiem pod uwagę naruszenie obowiązku, w szczególności w odniesieniu do tych osób, które nie prowadzą już działalności gospodarczej. Miało to wpływ na ocenę organu zarówno co do charakteru naruszenia, jak i jego wagi. Liczba osób dotkniętych naruszeniem, określona przez organ, miała również znaczenie dla nałożenia kary finansowej i ustalenia jej wysokości. Ponieważ faktyczna liczba osób, których dotyczy naruszenie, nie została ustalona, ​​nie można twierdzić, że nałożona kara finansowa jest proporcjonalna do stwierdzonego naruszenia.
    3. WSA poczynił jeszcze jedną ciekawą uwagę w odniesieniu do przesłanek, jakie PUODO wziął pod uwagę przy wymiarze kary. Jak zauważył sąd, ​​jako jeden z elementów mających wpływ na wysokość kary organ wskazał jej odstraszający wpływ na innych administratorów. W opinii WSA „nie stanowi o zindywidualizowaniu kary i jej wysokości w tej sprawie powołanie się przez organ na konieczność odstraszenia (poza samą Spółką przed ponownym naruszeniem) także innych administratorów”. Zdaniem sądu skuteczność, proporcjonalność i odstraszający charakter administracyjnej kary pieniężnej powinien odnosić się do konkretnego podmiotu, który naruszył przepisy RODO.
    4. Zarówno praktycy zajmujący się doradztwem z zakresu ochrony danych osobowych, jak i przedsiębiorcy liczyli, że w związku z omawianą sprawą WSA zwróci się z pytaniem prejudycjalnym do Trybunału Sprawiedliwości Unii Europejskiej (TSUE). Miałoby to zmierzać do wyjaśnienia, w jaki sposób należy rozumieć warunek wskazany w art. 14 ust. 5 lit. b) RODO, tj. „niewspółmiernie duży wysiłek” wiążący się ze spełnieniem obowiązku informacyjnego. Polski sąd uznał jednak, że nie ma podstaw do zadawania takiego pytania TSUE. W opinii WSA skoro spółka posiada adresy osób fizycznych prowadzących obecnie lub w przeszłości działalność gospodarczą, lub ewentualnie numery ich telefonów, przesłanie informacji, o których mowa w art. 14 ust. 1 i 2 RODO, pocztą tradycyjną lub przekazanie ich drogą telefoniczną, nie jest niemożliwe, ani nie wymaga niewspółmiernie dużego wysiłku.
    5. WSA podkreślił, że pojęcie niewspółmiernie dużego wysiłku nie może być utożsamiane z kosztami, które administrator danych będzie musiał ponieść w związku z koniecznością wypełnienia obowiązku, który jest w pełni wykonalny. Ani aspekty organizacyjne związane z realizacją obowiązku zgodnie z art. 14 ust. 1 i 2 RODO, ani aspekty finansowe nie przeważają nad prawami osób fizycznych, których dane osobowe są przetwarzane przez administratora – w niniejszej sprawie, gdy zostały pozyskane z ogólnie dostępnego źródła, a następnie są przetwarzane przez administratora w celach komercyjnych.
    6. Co więc oznacza, zdaniem WSA, „niewspółmiernie duży wysiłek”? Otóż sąd twierdzi, że chodzi o sytuacje, w których udzielenie informacji wskazanych w art. 14 ust. 1 i 2 RODO, jest obiektywnie możliwe, ale niezwykle trudne (graniczące z niemożnością udzielenia informacji). W celu zapewnienia tych informacji, zdaniem WSA, administrator musiałby podjąć szereg działań, którezmierzałyby dopiero do tego, aby udzielenie informacji stało się możliwe. Zakres tych działań (czynności) musiałby być ogromny.
    7. Jak wskazuje sąd, z art. 14 ust. 5 lit. b) RODO wynika konieczność ustalenia, czy wysiłek, który należałoby podjąć w celu wypełnienia obowiązku określonego w art. 14 ust. 1 i 2 RODO, jest tak znaczny, że przeważa nad prawem podmiotu danych do informacji (między innymi o tym, kto przetwarza dane osobowe, jaki jest cel przetwarzania, jaka jest podstawa prawna przetwarzania, kto jest odbiorcą danych, jeśli tacy odbiorcy są, okres, przez który dane osobowe będą przetwarzane, jakie są uzasadnione interesy realizowane przez administratora lub osobę trzecią oraz informacje na temat prawa do żądania od administratora dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych, a także prawa do sprzeciwu wobec przetwarzania oraz prawa do przenoszenia danych).

    Podsumowując, WSA stwierdził, że interes finansowy administratora nie jest i nie może być – na podstawie RODO – wartością przeważającą nad prawem do uzyskania przez osobę fizyczną, której dane spółka przetwarza, informacji dotyczących, między innymi, jakie są prawnie uzasadnione interesy realizowane przez administratora, a także dotyczących prawa żądania od administratora dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz prawa do wniesienia sprzeciwu wobec przetwarzania.

    W przestrzeni publicznej pojawiają się głosy, że z powyższego orzeczenia nie jest zadowolona żadna ze stron. Najpewniej spółka Bisnode wniesie skargę kasacyjną do Naczelnego Sądu Administracyjnego. Czy tak postąpi też druga strona – tego na razie nie wiadomo. Moim zdaniem jednak wyrok jest korzystniejszy dla PUODO niż dla spółki. W przypadku ponownego rozpoznania sprawy, jak wskazuje WSA, PUODO powinien zbadać również, czy nie doszło do naruszenia zasad przetwarzania danych osobowych wskazanych w art. 5 RODO, w szczególności zgodności z prawem, rzetelności i przejrzystości oraz prawidłowości (nie ustalono bowiem, kiedy byli przedsiębiorcy zaprzestali prowadzenia działalności gospodarczej i w przypadku ilu osób spółka posiadała nieaktualne dane). Co więcej, zapewne konieczne będzie również zbadanie, czy Bisnode posiadała podstawę prawną do przetwarzania danych osób fizycznych prowadzących działalność gospodarczą w przeszłości (art. 6 ust. 1 RODO). Dokonanie przez PUODO, w ramach ponownego rozpoznania sprawy, ustaleń w powyższym zakresie, z pewnością będzie miało istotny wpływ na dalszy tok sprawy.

    Orzeczenie z uzasadnieniem jest dostępne tutaj: https://sip.lex.pl/orzeczenia-i-pisma-urzedowe/orzeczenia-sadow/ii-sa-wa-1030-19-wyrok-wojewodzkiego-sadu-522853095

    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Maciej Łukaszewicz

    Prawo do usunięcia danych osobowych – kiedy może być realizowane?

    Prawo do usunięcia danych osobowych jest jednym z najbardziej znanych praw podmiotów danych na gruncie RODO. W teorii, RODO zapewnia każdej osobie fizycznej, której dane osobowe są przetwarzane, prawo do ich usunięcia w każdym momencie. Jednak, jak większość przepisów, każde prawo obwarowane jest pewnymi warunkami. Prawo do usunięcie danych również nie jest prawem bezwzględnym i […]

    Czytaj więcej
    Michał Sztąberek

    Niezależny inspektor ochrony danych, czyli jaki?

    Od ponad roku Urząd Ochrony Danych Osobowych (UODO) sporo mówi o niezależności inspektora ochrony danych (IOD). W kwietniu 2024 r. zorganizował nawet specjalne wydarzenie połączone z transmisją on-line, które w całości poświęcone było temu zagadnieniu. A jeszcze wcześniej byliśmy świadkami kilku kontroli, których wspólnym mianownikiem było tzw. 27 pytań, których celem było zweryfikowanie przez UODO […]

    Czytaj więcej
    Maciej Łukaszewicz

    Rozliczenie roczne PIT – jak uniknąć naruszenia ochrony danych osobowych?

    W Polsce roczne rozliczenia podatkowe, czyli PIT (Podatek dochodowy od osób fizycznych), przygotowuje się zazwyczaj po zakończeniu roku podatkowego, który w Polsce pokrywa się z rokiem kalendarzowym, czyli od 1 stycznia do 31 grudnia. Zgodnie z obowiązującymi przepisami, podatnicy mają obowiązek złożyć deklarację podatkową za poprzedni rok podatkowy do końca kwietnia roku następnego. Oznacza to, […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera z materiałami edukacyjnymi, a także o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki