iSecure logo
  • pl
  • en
    • Blog

    Wyrok WSA w sprawie pierwszej administracyjnej kary pieniężnej nałożonej w Polsce na podstawie RODO

    Agnieszka Rapcewicz
    Księgi akcyjne
    Kategorie

    W ubiegłym tygodniu zostało opublikowane uzasadnienie wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie (WSA) z dnia 11 grudnia 2019 r. (II SA/Wa 1030/19). Orzeczenie to zostało wydane w wyniku rozpatrzenia odwołania spółki Bisnode od decyzji Prezesa Urzędu Ochrony Danych Osobowych (PUODO), nakładającej na wskazany podmiot administracyjną karę pieniężną za naruszenie przepisów RODO, w wysokości stanowiącej równowartość kwoty 220 000 euro (prawie 1 mln złotych).

    Dla przypomnienia – ukarana firma oferuje w szczególności usługi polegające na udostępnianiu raportów handlowych, zawierających między innymi dane finansowe i rejestrowe spółek, opis działalności firmy, jej sytuację finansową, powiązania kapitałowe i osobowe.Należy dodać, że była to pierwsza administracyjna kara pieniężna nałożona w Polsce na podstawie RODO.

    Wyrok w sprawie był bardzo wyczekiwany, zarówno przez praktyków zajmujących się doradztwem z zakresu ochrony danych osobowych, jak i przez przedsiębiorców. Poniżej podsumowuję najistotniejsze (moim zdaniem) kwestie i wnioski wynikające z uzasadnienia wyroku wydanego przez WSA.

    1. WSA stwierdził, że wydając decyzję PUODO naruszył prawo procesowe. Naruszenie to polegało na tym, że organ nie ustalił, czy spółka faktycznie miała możliwość wypełnienia obowiązku informacyjnego na mocy art. 14 ust. 1 i 2 RODO w odniesieniu do osób, które prowadziły działalność gospodarczą w przeszłości. W decyzji brak informacji o ilości osób, które w przeszłości prowadziły działalność jednoosobową, w odniesieniu do których Bisnode mogła wykonać obowiązek nałożony decyzją PUODO. Nie wiadomo bowiem, czy posiadane przez spółkę dane osobowe pozwalają jej faktycznie dotrzeć do wskazanych wyżej osób z informacją dotyczącą przetwarzania ich danych osobowych.
    2. Powyższe naruszenie prawa procesowego musiało doprowadzić do uchylenia nałożonej kary pieniężnej. Nakładając karę, organ wziął bowiem pod uwagę naruszenie obowiązku, w szczególności w odniesieniu do tych osób, które nie prowadzą już działalności gospodarczej. Miało to wpływ na ocenę organu zarówno co do charakteru naruszenia, jak i jego wagi. Liczba osób dotkniętych naruszeniem, określona przez organ, miała również znaczenie dla nałożenia kary finansowej i ustalenia jej wysokości. Ponieważ faktyczna liczba osób, których dotyczy naruszenie, nie została ustalona, ​​nie można twierdzić, że nałożona kara finansowa jest proporcjonalna do stwierdzonego naruszenia.
    3. WSA poczynił jeszcze jedną ciekawą uwagę w odniesieniu do przesłanek, jakie PUODO wziął pod uwagę przy wymiarze kary. Jak zauważył sąd, ​​jako jeden z elementów mających wpływ na wysokość kary organ wskazał jej odstraszający wpływ na innych administratorów. W opinii WSA „nie stanowi o zindywidualizowaniu kary i jej wysokości w tej sprawie powołanie się przez organ na konieczność odstraszenia (poza samą Spółką przed ponownym naruszeniem) także innych administratorów”. Zdaniem sądu skuteczność, proporcjonalność i odstraszający charakter administracyjnej kary pieniężnej powinien odnosić się do konkretnego podmiotu, który naruszył przepisy RODO.
    4. Zarówno praktycy zajmujący się doradztwem z zakresu ochrony danych osobowych, jak i przedsiębiorcy liczyli, że w związku z omawianą sprawą WSA zwróci się z pytaniem prejudycjalnym do Trybunału Sprawiedliwości Unii Europejskiej (TSUE). Miałoby to zmierzać do wyjaśnienia, w jaki sposób należy rozumieć warunek wskazany w art. 14 ust. 5 lit. b) RODO, tj. „niewspółmiernie duży wysiłek” wiążący się ze spełnieniem obowiązku informacyjnego. Polski sąd uznał jednak, że nie ma podstaw do zadawania takiego pytania TSUE. W opinii WSA skoro spółka posiada adresy osób fizycznych prowadzących obecnie lub w przeszłości działalność gospodarczą, lub ewentualnie numery ich telefonów, przesłanie informacji, o których mowa w art. 14 ust. 1 i 2 RODO, pocztą tradycyjną lub przekazanie ich drogą telefoniczną, nie jest niemożliwe, ani nie wymaga niewspółmiernie dużego wysiłku.
    5. WSA podkreślił, że pojęcie niewspółmiernie dużego wysiłku nie może być utożsamiane z kosztami, które administrator danych będzie musiał ponieść w związku z koniecznością wypełnienia obowiązku, który jest w pełni wykonalny. Ani aspekty organizacyjne związane z realizacją obowiązku zgodnie z art. 14 ust. 1 i 2 RODO, ani aspekty finansowe nie przeważają nad prawami osób fizycznych, których dane osobowe są przetwarzane przez administratora – w niniejszej sprawie, gdy zostały pozyskane z ogólnie dostępnego źródła, a następnie są przetwarzane przez administratora w celach komercyjnych.
    6. Co więc oznacza, zdaniem WSA, „niewspółmiernie duży wysiłek”? Otóż sąd twierdzi, że chodzi o sytuacje, w których udzielenie informacji wskazanych w art. 14 ust. 1 i 2 RODO, jest obiektywnie możliwe, ale niezwykle trudne (graniczące z niemożnością udzielenia informacji). W celu zapewnienia tych informacji, zdaniem WSA, administrator musiałby podjąć szereg działań, którezmierzałyby dopiero do tego, aby udzielenie informacji stało się możliwe. Zakres tych działań (czynności) musiałby być ogromny.
    7. Jak wskazuje sąd, z art. 14 ust. 5 lit. b) RODO wynika konieczność ustalenia, czy wysiłek, który należałoby podjąć w celu wypełnienia obowiązku określonego w art. 14 ust. 1 i 2 RODO, jest tak znaczny, że przeważa nad prawem podmiotu danych do informacji (między innymi o tym, kto przetwarza dane osobowe, jaki jest cel przetwarzania, jaka jest podstawa prawna przetwarzania, kto jest odbiorcą danych, jeśli tacy odbiorcy są, okres, przez który dane osobowe będą przetwarzane, jakie są uzasadnione interesy realizowane przez administratora lub osobę trzecią oraz informacje na temat prawa do żądania od administratora dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych, a także prawa do sprzeciwu wobec przetwarzania oraz prawa do przenoszenia danych).

    Podsumowując, WSA stwierdził, że interes finansowy administratora nie jest i nie może być – na podstawie RODO – wartością przeważającą nad prawem do uzyskania przez osobę fizyczną, której dane spółka przetwarza, informacji dotyczących, między innymi, jakie są prawnie uzasadnione interesy realizowane przez administratora, a także dotyczących prawa żądania od administratora dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz prawa do wniesienia sprzeciwu wobec przetwarzania.

    W przestrzeni publicznej pojawiają się głosy, że z powyższego orzeczenia nie jest zadowolona żadna ze stron. Najpewniej spółka Bisnode wniesie skargę kasacyjną do Naczelnego Sądu Administracyjnego. Czy tak postąpi też druga strona – tego na razie nie wiadomo. Moim zdaniem jednak wyrok jest korzystniejszy dla PUODO niż dla spółki. W przypadku ponownego rozpoznania sprawy, jak wskazuje WSA, PUODO powinien zbadać również, czy nie doszło do naruszenia zasad przetwarzania danych osobowych wskazanych w art. 5 RODO, w szczególności zgodności z prawem, rzetelności i przejrzystości oraz prawidłowości (nie ustalono bowiem, kiedy byli przedsiębiorcy zaprzestali prowadzenia działalności gospodarczej i w przypadku ilu osób spółka posiadała nieaktualne dane). Co więcej, zapewne konieczne będzie również zbadanie, czy Bisnode posiadała podstawę prawną do przetwarzania danych osób fizycznych prowadzących działalność gospodarczą w przeszłości (art. 6 ust. 1 RODO). Dokonanie przez PUODO, w ramach ponownego rozpoznania sprawy, ustaleń w powyższym zakresie, z pewnością będzie miało istotny wpływ na dalszy tok sprawy.

    Orzeczenie z uzasadnieniem jest dostępne tutaj: https://sip.lex.pl/orzeczenia-i-pisma-urzedowe/orzeczenia-sadow/ii-sa-wa-1030-19-wyrok-wojewodzkiego-sadu-522853095

    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Maciej Łukaszewicz

    Pierwsza kara za naruszenie przepisów RODO podtrzymana

    W 2019 roku Prezes Urzędu Ochrony Danych Osobowych nałożył pierwszą administracyjną karę pieniężną od momentu wejścia w życie przepisów Rozporządzenia o ochronie danych osobowych (dalej jako „RODO”). Kara została nałożona na spółkę Bisnode (obecnie Dun & Bradstreet) w wysokości 943 tysięcy złotych. PUODO zarzuciło w tamtym czasie, że Bisnode jako broker danych, pozyskiwała dane osobowe […]

    Czytaj więcej
    Katarzyna Ułasiuk-Delamare

    RODO pod lupą – cykl praktycznych warsztatów w formie webinarium

    Po wakacjach, już od września, wracamy z nową partią tematów, które chcemy omówić w formie praktycznych warsztatów. Nasi eksperci, którzy na co dzień mierzą się z wdrożeniem wymagań stawianych przez RODO, swoją wiedzą i doświadczeniem podzielą się z Wami podczas webinarium – wydarzenia, które prowadzimy on-line i które ma na celu omówienie wybranego konkretnego tematu, […]

    Czytaj więcej
    Mateusz Jakubik

    Wysyłanie PIT-a drogą mailową

    Wstęp Niniejszy artykuł ma na celu rozwiać wątpliwości dotyczące kwestii wysyłania PIT-a drogą elektroniczną. Należy tutaj zaznaczyć, iż nie dotyczy to tylko kwestii poczty elektronicznej ale również ogólnodostępnych narzędzi, które między innymi służą do udostępniania konkretnych plików / dokumentów konkretnemu gronu odbiorców. Nie można tutaj oczywiście mówić tylko o kwestii konkretnego dokumentu jakim jest PIT, […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki