iSecure logo
Blog

Wyrok WSA w sprawie pierwszej administracyjnej kary pieniężnej nałożonej w Polsce na podstawie RODO

W ubiegłym tygodniu zostało opublikowane uzasadnienie wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie (WSA) z dnia 11 grudnia 2019 r. (II SA/Wa 1030/19). Orzeczenie to zostało wydane w wyniku rozpatrzenia odwołania spółki Bisnode od decyzji Prezesa Urzędu Ochrony Danych Osobowych (PUODO), nakładającej na wskazany podmiot administracyjną karę pieniężną za naruszenie przepisów RODO, w wysokości stanowiącej równowartość kwoty 220 000 euro (prawie 1 mln złotych).

Dla przypomnienia – ukarana firma oferuje w szczególności usługi polegające na udostępnianiu raportów handlowych, zawierających między innymi dane finansowe i rejestrowe spółek, opis działalności firmy, jej sytuację finansową, powiązania kapitałowe i osobowe.Należy dodać, że była to pierwsza administracyjna kara pieniężna nałożona w Polsce na podstawie RODO.

Wyrok w sprawie był bardzo wyczekiwany, zarówno przez praktyków zajmujących się doradztwem z zakresu ochrony danych osobowych, jak i przez przedsiębiorców. Poniżej podsumowuję najistotniejsze (moim zdaniem) kwestie i wnioski wynikające z uzasadnienia wyroku wydanego przez WSA.

  1. WSA stwierdził, że wydając decyzję PUODO naruszył prawo procesowe. Naruszenie to polegało na tym, że organ nie ustalił, czy spółka faktycznie miała możliwość wypełnienia obowiązku informacyjnego na mocy art. 14 ust. 1 i 2 RODO w odniesieniu do osób, które prowadziły działalność gospodarczą w przeszłości. W decyzji brak informacji o ilości osób, które w przeszłości prowadziły działalność jednoosobową, w odniesieniu do których Bisnode mogła wykonać obowiązek nałożony decyzją PUODO. Nie wiadomo bowiem, czy posiadane przez spółkę dane osobowe pozwalają jej faktycznie dotrzeć do wskazanych wyżej osób z informacją dotyczącą przetwarzania ich danych osobowych.
  2. Powyższe naruszenie prawa procesowego musiało doprowadzić do uchylenia nałożonej kary pieniężnej. Nakładając karę, organ wziął bowiem pod uwagę naruszenie obowiązku, w szczególności w odniesieniu do tych osób, które nie prowadzą już działalności gospodarczej. Miało to wpływ na ocenę organu zarówno co do charakteru naruszenia, jak i jego wagi. Liczba osób dotkniętych naruszeniem, określona przez organ, miała również znaczenie dla nałożenia kary finansowej i ustalenia jej wysokości. Ponieważ faktyczna liczba osób, których dotyczy naruszenie, nie została ustalona, ​​nie można twierdzić, że nałożona kara finansowa jest proporcjonalna do stwierdzonego naruszenia.
  3. WSA poczynił jeszcze jedną ciekawą uwagę w odniesieniu do przesłanek, jakie PUODO wziął pod uwagę przy wymiarze kary. Jak zauważył sąd, ​​jako jeden z elementów mających wpływ na wysokość kary organ wskazał jej odstraszający wpływ na innych administratorów. W opinii WSA „nie stanowi o zindywidualizowaniu kary i jej wysokości w tej sprawie powołanie się przez organ na konieczność odstraszenia (poza samą Spółką przed ponownym naruszeniem) także innych administratorów”. Zdaniem sądu skuteczność, proporcjonalność i odstraszający charakter administracyjnej kary pieniężnej powinien odnosić się do konkretnego podmiotu, który naruszył przepisy RODO.
  4. Zarówno praktycy zajmujący się doradztwem z zakresu ochrony danych osobowych, jak i przedsiębiorcy liczyli, że w związku z omawianą sprawą WSA zwróci się z pytaniem prejudycjalnym do Trybunału Sprawiedliwości Unii Europejskiej (TSUE). Miałoby to zmierzać do wyjaśnienia, w jaki sposób należy rozumieć warunek wskazany w art. 14 ust. 5 lit. b) RODO, tj. „niewspółmiernie duży wysiłek” wiążący się ze spełnieniem obowiązku informacyjnego. Polski sąd uznał jednak, że nie ma podstaw do zadawania takiego pytania TSUE. W opinii WSA skoro spółka posiada adresy osób fizycznych prowadzących obecnie lub w przeszłości działalność gospodarczą, lub ewentualnie numery ich telefonów, przesłanie informacji, o których mowa w art. 14 ust. 1 i 2 RODO, pocztą tradycyjną lub przekazanie ich drogą telefoniczną, nie jest niemożliwe, ani nie wymaga niewspółmiernie dużego wysiłku.
  5. WSA podkreślił, że pojęcie niewspółmiernie dużego wysiłku nie może być utożsamiane z kosztami, które administrator danych będzie musiał ponieść w związku z koniecznością wypełnienia obowiązku, który jest w pełni wykonalny. Ani aspekty organizacyjne związane z realizacją obowiązku zgodnie z art. 14 ust. 1 i 2 RODO, ani aspekty finansowe nie przeważają nad prawami osób fizycznych, których dane osobowe są przetwarzane przez administratora – w niniejszej sprawie, gdy zostały pozyskane z ogólnie dostępnego źródła, a następnie są przetwarzane przez administratora w celach komercyjnych.
  6. Co więc oznacza, zdaniem WSA, „niewspółmiernie duży wysiłek”? Otóż sąd twierdzi, że chodzi o sytuacje, w których udzielenie informacji wskazanych w art. 14 ust. 1 i 2 RODO, jest obiektywnie możliwe, ale niezwykle trudne (graniczące z niemożnością udzielenia informacji). W celu zapewnienia tych informacji, zdaniem WSA, administrator musiałby podjąć szereg działań, którezmierzałyby dopiero do tego, aby udzielenie informacji stało się możliwe. Zakres tych działań (czynności) musiałby być ogromny.
  7. Jak wskazuje sąd, z art. 14 ust. 5 lit. b) RODO wynika konieczność ustalenia, czy wysiłek, który należałoby podjąć w celu wypełnienia obowiązku określonego w art. 14 ust. 1 i 2 RODO, jest tak znaczny, że przeważa nad prawem podmiotu danych do informacji (między innymi o tym, kto przetwarza dane osobowe, jaki jest cel przetwarzania, jaka jest podstawa prawna przetwarzania, kto jest odbiorcą danych, jeśli tacy odbiorcy są, okres, przez który dane osobowe będą przetwarzane, jakie są uzasadnione interesy realizowane przez administratora lub osobę trzecią oraz informacje na temat prawa do żądania od administratora dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych, a także prawa do sprzeciwu wobec przetwarzania oraz prawa do przenoszenia danych).

Podsumowując, WSA stwierdził, że interes finansowy administratora nie jest i nie może być – na podstawie RODO – wartością przeważającą nad prawem do uzyskania przez osobę fizyczną, której dane spółka przetwarza, informacji dotyczących, między innymi, jakie są prawnie uzasadnione interesy realizowane przez administratora, a także dotyczących prawa żądania od administratora dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz prawa do wniesienia sprzeciwu wobec przetwarzania.

W przestrzeni publicznej pojawiają się głosy, że z powyższego orzeczenia nie jest zadowolona żadna ze stron. Najpewniej spółka Bisnode wniesie skargę kasacyjną do Naczelnego Sądu Administracyjnego. Czy tak postąpi też druga strona – tego na razie nie wiadomo. Moim zdaniem jednak wyrok jest korzystniejszy dla PUODO niż dla spółki. W przypadku ponownego rozpoznania sprawy, jak wskazuje WSA, PUODO powinien zbadać również, czy nie doszło do naruszenia zasad przetwarzania danych osobowych wskazanych w art. 5 RODO, w szczególności zgodności z prawem, rzetelności i przejrzystości oraz prawidłowości (nie ustalono bowiem, kiedy byli przedsiębiorcy zaprzestali prowadzenia działalności gospodarczej i w przypadku ilu osób spółka posiadała nieaktualne dane). Co więcej, zapewne konieczne będzie również zbadanie, czy Bisnode posiadała podstawę prawną do przetwarzania danych osób fizycznych prowadzących działalność gospodarczą w przeszłości (art. 6 ust. 1 RODO). Dokonanie przez PUODO, w ramach ponownego rozpoznania sprawy, ustaleń w powyższym zakresie, z pewnością będzie miało istotny wpływ na dalszy tok sprawy.

Orzeczenie z uzasadnieniem jest dostępne tutaj: https://sip.lex.pl/orzeczenia-i-pisma-urzedowe/orzeczenia-sadow/ii-sa-wa-1030-19-wyrok-wojewodzkiego-sadu-522853095

Podobne wpisy:

O przechowywaniu danych w chmurze…

Przekazanie danych poza EOG na standardowych klauzulach umownych dalszym podmiotom przetwarzającym

Scenariusz 1. Twoja firma ma siedzibę w Polsce. Twój dostawca usługi również, jednak korzysta z usług podwykonawców posiadających siedzibę w państwie trzecim (poza Europejskim Obszarem Gospodarczym) i w celu realizacji usługi zamierza powierzyć dalej dane osobowe temu podwykonawcy. Twój dostawca zapewnia, że z takim podwykonawcą zawarł standardowe klauzule umowne na potwierdzenie, że może przekazać dane […]

Skuteczne informowanie klientów o przetwarzaniu ich danych osobowych w celach marketingowych

Newsletter, zapis do subskrypcji SMS, a może akcja promocyjna? Formularz na firmowej stronie internetowej, papierowy druczek przystąpienia do programu lojalnościowego, czy wtyczka typu „zostaw wiadomość, a oddzwonimy z ofertą”? Zbieranie danych osobowych w celach marketingowych ma różne formy, ale zawsze w takich przypadkach trzeba pamiętać o tym, żeby prawidłowo poinformować osobę, która podaje swoje dane […]

Ważny wyrok TSUE – Naruszenie RODO nie daje automatycznie prawa do odszkodowania

Prawo do odszkodowania w wyniku naruszenia przepisów Rozporządzenia zostało sformułowane w art. 82 RODO. Artykuł składa się z sześciu ustępów, które wskazują na generalne zasady dochodzenia odszkodowania i odpowiedzialności pomiędzy administratorem a podmiotem przetwarzającym. Kluczowe przy dzisiejszym wpisie będzie art. 82 ust. 1 RODO, który stanowi: „Każda osoba, która poniosła szkodę majątkową lub niemajątkową w […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki