Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę P4 Sp. z o.o. na decyzję Prezesa UODO nakładającą administracyjną karę pieniężną w wysokości 100 tys. złotych (Sygn. akt II SA/Wa 2875/21). Powodem decyzji było niezawiadomienie organu nadzorczego w terminie 24 godzin o wykryciu naruszeń danych osobowych.
Czytaj w LEX: Kiedy zgłaszać naruszenie przepisów o ochronie danych osobowych? >
Spóźnione zawiadomienie UODO
Spółka w postępowaniu przed organem nadzorczym wyjaśniła, że zawiadomienie o naruszeniach danych osobowych po upływie 24 godzin związane było z nieumyślnymi błędami pracowników kancelarii odpowiedzialnych za wysyłkę korespondencji. Jednak, jak zauważył UODO, błędy pracowników nie mogą uzasadniać opóźnienia zawiadomienia organu nadzorczego. Również WSA przychylił się do tego stanowiska. Według Sądu błędy pracowników spółki nie mogą zostać uznane za okoliczność uzasadniającą opóźnienie dokonania zawiadomienia. Zdaniem Sądu, błędy te świadczą o nieprawidłowym zorganizowaniu procesu powiadamiania organu nadzorczego o naruszeniach danych osobowych.
Czytaj w LEX: Postępowanie przed Prezesem Urzędu Ochrony Danych – podstawowe informacje i rodzaje postępowań >
Naruszenie Prawa telekomunikacyjnego i RODO
W uzasadnieniu wyroku z 5 października 2022 r., WSA stwierdził, że UODO prawidłowo przyjął, że spółka dopuściła się naruszenia obowiązków wynikających z przepisów Prawa telekomunikacyjnego oraz rozporządzenia Komisji (UE) nr 611/2013 z 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej.
Czytaj w LEX: Wypełnienie obowiązków informacyjnych wobec osoby, której dane dotyczą >
WSA potwierdził, że przed wydaniem decyzji Urząd wyjaśnił wszelkie okoliczności sprawy oraz dokonał właściwej oceny zebranego materiału dowodowego. Istotnie spółka P4 jako dostawca usług telekomunikacyjnych nie wywiązała się z obowiązku zawiadomienia o naruszeniach organu nadzorczego w terminie ściśle określonym przepisami prawa, czyli nie później niż 24 godziny po wykryciu tych naruszeń. Ponadto Sąd uznał, że UODO w sposób właściwy ustalił wysokość kary pieniężnej, która jest nie tylko adekwatna do stwierdzonego naruszenia, ale także spełnia zamierzone funkcje ̶ represyjną i prewencyjną.
Zobacz wzory dokumentów w LEX:
- Ewidencja naruszeń w zakresie ochrony danych osobowych >
- Zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych (przykład) >
- Rejestr naruszeń ochrony danych osobowych >