II SA/WA 279/24
Podsumowanie
Przejdź do pełnego tekstuWojewódzki Sąd Administracyjny w Warszawie rozpoznał skargę K. O. na decyzję Prezesa Urzędu Ochrony Danych Osobowych (PUODO) z dnia [...] grudnia 2023 r., którą PUODO udzielił upomnienia Prezesowi Urzędu Ochrony Danych Osobowych w związku z nieuprawnionym udostępnieniem danych osobowych skarżącego osobie trzeciej. Incydent polegał na błędnym załączeniu przez pracownika UODO dokumentu zawierającego dane osobowe skarżącego do akt innej sprawy administracyjnej, a następnie udostępnieniu tych akt osobie trzeciej. Skarżący domagał się nałożenia kary pieniężnej na PUODO. WSA, działając na podstawie poprzedniego wyroku z dnia 26 maja 2023 r. sygn. akt II SA/Wa 2201/22, który uchylił poprzednią decyzję PUODO, uznał, że PUODO prawidłowo wywiązał się z nałożonych obowiązków. Sąd stwierdził, że organ zebrał i ocenił materiał dowodowy, prawidłowo ustalił stan faktyczny, a także przekonująco uzasadnił brak podstaw do nałożenia kary pieniężnej. Uznano, że naruszenie miało charakter nieumyślny, incydentalny, a zakres ujawnionych danych (imię, nazwisko, dane kontaktowe, informacja o głosowaniu we wspólnocie mieszkaniowej) nie wiązał się z wysokim ryzykiem istotnych negatywnych konsekwencji dla skarżącego. PUODO podjął również adekwatne działania zaradcze. W związku z tym, zamiast kary pieniężnej, zasadne było zastosowanie upomnienia. Sąd podkreślił, że PUODO prawidłowo ocenił, iż nałożenie kary pieniężnej byłoby nieproporcjonalne i nieadekwatne do wagi naruszenia, biorąc pod uwagę wszystkie okoliczności sprawy, w tym nieumyślny charakter błędu pracownika i brak istotnej szkody dla skarżącego. Skarga została oddalona.
Przeanalizuj tę sprawę w pełnym kontekście orzecznictwa.
Analiza orzecznictwa · odpowiedzi na pytania · badanie przepisów · drafting pism.
Wartość praktyczna
Siła precedensu: ŚredniaUzasadnienie stosowania upomnienia zamiast kary pieniężnej w przypadku nieumyślnych naruszeń ochrony danych osobowych o niewielkiej wadze i braku istotnej szkody. Potwierdzenie kompetencji PUODO do rozpatrywania spraw dotyczących własnych naruszeń.
Sprawa dotyczy specyficznej sytuacji, w której organ nadzorczy jest jednocześnie administratorem danych. Ocena wagi naruszenia i adekwatności środka naprawczego jest zawsze indywidualna.
Zagadnienia prawne (4)
Czy udzielenie upomnienia przez Prezesa UODO Prezesowi UODO za naruszenie ochrony danych osobowych jest adekwatnym środkiem naprawczym, czy też należało nałożyć karę pieniężną?Ratio decidendi
Odpowiedź sądu
Tak, udzielenie upomnienia było adekwatnym środkiem naprawczym, ponieważ naruszenie miało charakter nieumyślny, incydentalny, nie wiązało się z wysokim ryzykiem istotnych negatywnych konsekwencji dla skarżącego, a PUODO podjął działania zaradcze.
Uzasadnienie
Sąd uznał, że kara pieniężna byłaby nieproporcjonalna i nieadekwatna do wagi naruszenia, biorąc pod uwagę nieumyślny charakter błędu pracownika, niewielki zakres ujawnionych danych (niebędących danymi wrażliwymi ani PESEL), brak istotnej szkody dla skarżącego oraz podjęte przez administratora działania naprawcze. Upomnienie jest środkiem przewidzianym w RODO i może być stosowane zamiast kary pieniężnej w przypadkach mniejszej wagi.
Czy organ nadzoru (PUODO) może rozpatrywać skargi dotyczące naruszeń ochrony danych osobowych popełnionych przez jego własnych pracowników?Ratio decidendi
Odpowiedź sądu
Tak, PUODO jest jedynym właściwym organem do rozpatrywania takich skarg, mimo że występuje w podwójnej roli (organu nadzorczego i administratora danych).
Uzasadnienie
Ustawodawca nie przewidział złożenia skargi do innego podmiotu niż PUODO w zakresie naruszenia przepisów RODO i u.o.d.o. Uchylenie się organu od wydania rozstrzygnięcia oznaczałoby pozbawienie skarżącego możliwości realizacji jego praw na drodze administracyjnoprawnej. Sąd potwierdził również kompetencję PUODO do upoważnienia Dyrektora Departamentu do wydania decyzji w takiej sprawie.
Czy organ nadzorczy (PUODO) prawidłowo ocenił materiał dowodowy i uzasadnił odmowę przeprowadzenia wnioskowanych dowodów?Ratio decidendi
Odpowiedź sądu
Tak, organ prawidłowo zebrał i ocenił materiał dowodowy, a uzasadnienie odmowy przeprowadzenia dodatkowych dowodów było przekonujące i zgodne z przepisami.
Uzasadnienie
Sąd uznał, że wyjaśnienia pracowników PUODO dotyczące nieumyślnego charakteru błędu były spójne i wiarygodne. Dodatkowe przesłuchania świadków byłyby zbędne, ponieważ okoliczności incydentu zostały już wystarczająco wyjaśnione. Organ prawidłowo uzasadnił, dlaczego nie przeprowadził wnioskowanych dowodów, wskazując na ich zbędność dla ustalenia stanu faktycznego i rozstrzygnięcia sprawy.
Czy ujawnienie karty do głosowania zawierającej dane osobowe skarżącego stanowiło naruszenie o większej wadze?Ratio decidendi
Odpowiedź sądu
Nie, ujawnienie karty do głosowania nie podniosło znacząco wagi naruszenia, ponieważ nie zawierała danych wrażliwych i nie wiązała się z wysokim ryzykiem negatywnych konsekwencji dla skarżącego.
Uzasadnienie
Sąd zgodził się z oceną organu, że dane na karcie do głosowania nie generują wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, a uzyskanie wiedzy o sposobie głosowania nie wiąże się z poważnymi dolegliwościami materialnymi ani niematerialnymi. Dodatkowo, osoba trzecia, której dane ujawniono, stała się później pełnomocnikiem skarżącego, co niweluje obawy o dalsze nieuprawnione wykorzystanie tych danych.
Przepisy (18)
Główne
p.p.s.a. art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
Pomocnicze
p.p.s.a. art. 1 § 1 i 2
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
p.p.s.a. art. 3 § 1
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
p.p.s.a. art. 134 § 1 i 2
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
p.p.s.a. art. 153
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
k.p.a. art. 11
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
k.p.a. art. 107 § 1 pkt 4 i 6 i § 3
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
k.p.a. art. 7
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
k.p.a. art. 77 § 1
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
k.p.a. art. 80
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
k.p.a. art. 107 § 3
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
u.o.d.o. art. 7 § 1
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
u.o.d.o. art. 60
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
RODO art. 5 § 1 lit. a)
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 6 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 57 § 1 lit. a) i f)
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 58 § 2 lit. b)
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 83
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Argumenty
Skuteczne argumenty
Nieumyślny charakter naruszenia ochrony danych osobowych. • Niewielki zakres ujawnionych danych i brak wysokiego ryzyka istotnych negatywnych konsekwencji dla skarżącego. • Podjęcie przez administratora danych adekwatnych działań zaradczych. • Nieproporcjonalność i nieadekwatność kary pieniężnej w stosunku do wagi naruszenia.
Odrzucone argumenty
Zarzuty skarżącego dotyczące nierzetelnego zebrania materiału dowodowego i braku przeprowadzenia istotnych dowodów. • Zarzuty dotyczące konfliktu interesów i naruszenia zasady bezstronności przez PUODO. • Wniosek o nałożenie kary pieniężnej zamiast upomnienia.
Godne uwagi sformułowania
PUODO był jedynym właściwym organem, który mógł ocenić wadliwość w postaci błędnego załączenia przez pracownika UODO dokumentów zawierających dane osobowe skarżącego do akt innego postępowania administracyjnego. • Uchylenie się w takim przypadku przez organ nadzoru od wydania rozstrzygnięcia w tego typu sprawie, w której pracownicy UODO naruszyli przepisy o ochronie danych osobowych, oznaczałoby w istocie pozbawienie skarżącego (podmiotu tychże danych) możliwości realizacji na drodze administracyjnoprawnej jego praw. • Organ nadzorczy przy rozpatrywaniu sprawy nie ustosunkował się w treści zaskarżonej decyzji i nie ocenił zgodnie z art. 80 k.p.a. bezprawnego ujawnienia osobie trzeciej karty do głosowania, którą wypełnił skarżący w związku z głosowaniem w ww. Wspólnocie. • Aby egzekwowanie przepisów RODO było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne - oprócz lub zamiast (podkreślenie Sądu) odpowiednich środków nakładanych na mocy RODO przez organ nadzorczy. • W przedmiotowej sprawie występuje w szczególnej, podwójnej roli - jednocześnie organu nadzorczego i administratora danych odpowiedzialnego za naruszenie. […]
Skład orzekający
Arkadiusz Koziarski
sprawozdawca
Danuta Kania
przewodniczący
Joanna Kube
członek
Informacje dodatkowe
Wartość precedensowa
Siła: Średnia
Powoływalne dla: "Uzasadnienie stosowania upomnienia zamiast kary pieniężnej w przypadku nieumyślnych naruszeń ochrony danych osobowych o niewielkiej wadze i braku istotnej szkody. Potwierdzenie kompetencji PUODO do rozpatrywania spraw dotyczących własnych naruszeń."
Ograniczenia: Sprawa dotyczy specyficznej sytuacji, w której organ nadzorczy jest jednocześnie administratorem danych. Ocena wagi naruszenia i adekwatności środka naprawczego jest zawsze indywidualna.
Wartość merytoryczna
Ocena: 6/10
Sprawa dotyczy naruszenia ochrony danych osobowych przez instytucję państwową, co zawsze budzi zainteresowanie. Pokazuje mechanizmy kontroli i odpowiedzialności w administracji publicznej oraz interpretację przepisów RODO w praktyce.
“Czy Prezes UODO może ukarać samego siebie? Sąd rozstrzyga o odpowiedzialności urzędu za wyciek danych.”
Twój asystent do analizy prawnej.
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka 1,4 mln orzeczeń i aktualne akty prawne.
- Analiza orzecznictwa i przepisów
- Drafting pism i dokumentów
- Odpowiedzi na pytania prawne
- Pogłębiona analiza z doktryny
Pełny tekst orzeczenia
Oryginalna treść postanowienia (niezmieniona). Otwiera się jako osobna strona.