Wojewódzki Sąd Administracyjny w Warszawie podtrzymał decyzję Prezesa Urzędu Ochrony Danych Osobowych o nałożeniu administracyjnej kary pieniężnej na administratora danych za niezgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu.
W wyroku z dnia 26 kwietnia 2023 r., sąd orzekł, że skarga administratora nie zasługiwała na uwzględnienie, co stanowi ważny precedens w kontekście egzekwowania przepisów dotyczących ochrony danych osobowych w Polsce.
Wyciekły dane osobowe?
Przypomnijmy, że sprawą, której dotyczy wyrok, jest decyzja Prezesa UODO z 2022 r. o nałożeniu na administratora kary w wysokości prawie 16 tys. zł. Kara została nałożona po zgłoszeniu potencjalnych nieprawidłowości w przetwarzaniu danych osobowych przez tego administratora, które objawiły się w postaci zagubienia dokumentu z danymi osobowymi jednego z pracowników spółki. Administrator, nie zgadzając się z decyzją, zaskarżył ją do WSA.
WSA, w uzasadnieniu do wyroku, podkreślił obowiązek zgłoszenia naruszenia ochrony danych osobowych przez administratora. Sąd podkreślił, że nie jest to decyzja dyskrecjonalna, lecz obowiązkowa, jeśli doszło do naruszenia ochrony danych. Zgodnie z przepisami, zgłoszenie powinno nastąpić nie później niż w ciągu 72 godzin od stwierdzenia naruszenia.
Sąd potwierdził również, że zgubienie dokumentu mogło prowadzić do szkód majątkowych i niemajątkowych dla pracownika, co stanowi ryzyko naruszenia praw i wolności tej osoby. Fakt odnalezienia dokumentu po nałożeniu kary przez UODO nie miał wpływu na wydane rozstrzygnięcie, ponieważ dokument znajdował się poza kontrolą administratora.
Doszło do naruszenia przepisów RODO
Również WSA potwierdził, że niezgłoszenie naruszenia stanowi naruszenie przepisów RODO. W tym kontekście, brak wiedzy, gdzie mogło się znajdować świadectwo pracy, wyklucza przyjęcie, iż nie zachodziło ryzyko dla praw lub wolności osoby fizycznej.
Jednym z kluczowych aspektów, na które zwrócił uwagę sąd, było to, że RODO ma na celu ochronę praw podstawowych i wolności osób fizycznych. Sąd przypomniał, że w przypadku jakiejkolwiek wątpliwości co do wykonywania swoich obowiązków przez administratora, należy w pierwszej kolejności brać pod uwagę te wartości.
Decyzja WSA stanowi ważne przypomnienie dla wszystkich administratorów danych o konieczności przestrzegania przepisów RODO. Administracja danych osobowych to poważna odpowiedzialność, która nie może być traktowana lekceważąco. Każde naruszenie ochrony danych osobowych, niezależnie od jego skali, powinno być zgłoszone odpowiednim organom i odpowiednio rozpatrzone. Prawa i wolności osób fizycznych są zawsze najważniejsze.