II SA/Wa 2875/21

II SA/Wa 2875/21 - Wyrok WSA w Warszawie
Data orzeczenia
2022-10-05
orzeczenie nieprawomocne
Data wpływu
2021-08-09
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Piotr Borowiecki /przewodniczący sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2004 nr 171 poz 1800
art. 210 ust. 1 i 2 w zw. z art. 210a ust. 1 pkt 2 i ust. 2, art. 174a ust. 1
Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne
Dz.U. 2022 poz 329
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi  - t.j.
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Piotr Borowiecki (spr.), Sędzia WSA Andrzej Góraj, Sędzia WSA Sławomir Fularski, , Protokolant specjalista Elwira Sipak, po rozpoznaniu na rozprawie w dniu 21 września 2022 r. sprawy ze skargi [...] sp. z o.o. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2021 r. nr [...] w przedmiocie nałożenia kary pieniężnej za naruszenie przepisów o ochronie danych osobowych oddala skargę
Uzasadnienie
Zaskarżoną decyzją z dnia [...] czerwca 2021 r., nr [...], Prezes Urzędu Ochrony Danych Osobowych (dalej także: "Prezes UODO" lub "organ nadzorczy"), działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (tekst jednolity Dz. U. z 2021 r., poz. 735 ze zm. - dalej: "k.p.a.") oraz art. 210 ust. 1 i 2 w związku z art. 210a ust. 1 pkt 2 i ust. 2 oraz art. 174a ust. 1 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne (tekst jednolity Dz. U. z 2021 r., poz. 576 - dalej także: "Pr.t."), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie zgłoszeń naruszeń ochrony danych osobowych dokonanych przez [...] sp. z o.o. z siedzibą w [...] (dalej także: "skarżąca spółka" lub "strona skarżąca"), stwierdzając naruszenie przez [...] sp. z o. o. z siedzibą w [...] przepisu art. 174a ust. 1 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne w zw. z art. 2 ust. 2 rozporządzenia Komisji (UE) Nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej (Dz. Urz. UE L 173 z dnia 26 czerwca 2013 r., str. 2 - dalej także: zwanego dalej: "rozporządzeniem nr 611/2013") polegające na niezawiadamianiu Prezesa Urzędu Ochrony Danych Osobowych o naruszeniach danych osobowych w terminie 24 godzin od wykrycia naruszenia danych osobowych - nałożył na [...] sp. z o. o. z siedzibą w [...] karę pieniężną w wysokości 100 000 PLN (słownie: sto tysięcy złotych).
Zaskarżona decyzja Prezesa UODO została wydana w następującym stanie faktycznym.
Skarżąca spółka [...] sp. z o.o., będąc operatorem telekomunikacyjnym działającym na terenie Rzeczypospolitej Polskiej i przetwarzającym profesjonalnie i na masową skalę dane osobowe abonentów w związku ze świadczeniem mobilnych usług telekomunikacyjnych, sprzedażą mobilnych urządzeń telekomunikacyjnych oraz świadczeniem usług zarządzania siecią dystrybucji produktów telekomunikacyjnych, zawiadomiła Prezesa Urzędu Ochrony Danych Osobowych o naruszeniach danych osobowych klientów skarżącej spółki w dniach:
- [...] października 2020 r. (nadane [...] października 2020 r.), sygn. administratora [...], data stwierdzenia naruszenia: [...] października 2020 r., które zostało zarejestrowane pod sygn. [...];
- [...] grudnia 2020 r. (nadane [...] grudnia 2020 r.), sygn. administratora: [...], data stwierdzenia naruszenia: [...] listopada 2020 r., które zostało zarejestrowane pod sygn. [...];
- [...] grudnia 2020 r. (nadane [...] grudnia 2020 r.), sygn. administratora: [...], data stwierdzenia naruszenia: [...] listopada 2020 r., które zostało zarejestrowane pod sygn. [...];
- [...] grudnia 2020 r. (nadane [...] grudnia 2020 r.), sygn. administratura: [...] data stwierdzenia naruszenia: [...] listopada 2020 r., które zostało zarejestrowane pod sygn. [...];
- [...] grudnia 2020 r. (nadane [...] grudnia 2020 r.), sygn. administratora: [...], data stwierdzenia naruszenia: [...] listopada 2020 r., które zostało zarejestrowane pod sygn. [...].
Składając wskazane powyżej zawiadomienia o naruszeniu danych osobowych, skarżąca spółka nie poinformowała organu nadzorczego, jakie były przyczyny opóźnienia w powiadomieniu Prezesa UODO o naruszeniu.
W związku z powyższym, pismami z dnia [...] października 2020 r. (w sprawie o sygn. [...]) i z dnia [...] grudnia 2020 r. (w sprawach o sygn. [...], [...], [...] i [...]) Prezes UODO zwrócił się do skarżącej spółki o złożenie wyjaśnień w terminie 7 dni od dnia doręczenia pisma, prosząc m.in. o wyjaśnienie: jakie były przyczyny opóźnienia w przekazaniu zgłoszenia naruszenia danych osobowych organowi nadzorczemu, tj. w jego dokonaniu po upływie 24 godzin od stwierdzenia naruszenia, który to termin wynika z art. 2 ust. 2 rozporządzenia Komisji (UE) Nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej.
Na podstawie uzyskanych w przedmiotowej sprawie wyjaśnień skarżącej spółki, organ nadzorczy zdecydował o konieczności wszczęcia względem [...] sp. z o.o. z siedzibą w [...] postępowania administracyjnego w sprawie zgłoszenia naruszenia ochrony danych osobowych (oznaczenie skarżącej spółki - sygn. [...]) Prezesowi UODO po upływie 24 godzin od wykrycia naruszenia, tj. po upływie terminu wynikającego z art. 2 ust. 2 rozporządzenia Komisji (UE) Nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej, o czym zawiadomił stronę skarżącą pismem z dnia [...] listopada 2020 r. (postępowaniu temu organ nadzorczy nadał sygn. [...]).
Natomiast, w związku z pozostałymi czterema wspomnianymi wcześniej zawiadomieniami o naruszeniu poufności danych osobowych klientów skarżącej spółki (które wpłynęły do organu nadzorczego w dniu [...] grudnia 2020 r.), w okresie od dnia [...] grudnia 2020 r. do dnia [...] lutego 2021 r. Prezes UODO również prowadził postępowanie wyjaśniające, w celu zbadania zgodności przetwarzania przez skarżącą spółkę, jako administratora, danych osobowych z przepisami o ochronie danych osobowych.
Na podstawie uzyskanych w tych sprawach wyjaśnień Prezes UODO zdecydował o konieczności rozszerzenia postępowania o sygn. [...] o te cztery zawiadomienia o naruszeniu ochrony danych osobowych, które także zostały zgłoszone organowi nadzorczemu po upływie terminu wynikającego z art. 2 ust. 2 rozporządzenia nr 611/2013, tj. o naruszenie:
- zarejestrowane w Urzędzie Ochrony Danych Osobowych pod sygn. [...] (oznaczenie skarżącej spółki - sygn. [...]),
- zarejestrowane w UODO pod sygnaturą [...] (oznaczenie skarżącej spółki - sygn. [...]),
- zarejestrowane w UODO pod sygn. [...] (oznaczenie skarżącej spółki - sygn. [...]),
- zarejestrowane w UODO pod sygn. [...] (oznaczenie skarżącej spółki - sygn. [...]),
- o czym organ nadzorczy zawiadomił skarżącą spółkę pismem z dnia [...] lutego 2021 r.
W wyniku analizy zgromadzonego materiału dowodowego, Prezes UODO - działając na podstawie art. 104 § 1 k.p.a. oraz art. 210 ust. 1 i 2 w związku z art. 210a ust. 1 pkt 2 i ust. 2 oraz art. 174a ust. 1 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne, stwierdzając naruszenie przez skarżącą spółkę [...] sp. z o. o. z siedzibą w [...] przepisu art. 174a ust. 1 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne w zw. z art. 2 ust. 2 rozporządzenia Komisji (UE) Nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej, polegające na niezawiadamianiu Prezesa UODO o naruszeniach danych osobowych w terminie 24 godzin od wykrycia naruszenia danych osobowych - nałożył na [...] sp. z o. o. z siedzibą w [...] karę pieniężną w wysokości 100 000 (słownie: sto tysięcy) złotych.
W uzasadnieniu decyzji Prezes UODO zauważył na wstępie, że zgodnie z art. 174a ust. 1 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne, dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu danych osobowych w terminie i na zasadach określonych w rozporządzeniu Komisji (UE) nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej.
Organ nadzorczy wskazał, że w świetle art. 2 ust. 2 rozporządzenia nr 611/2013, dostawca powiadamia właściwy organ krajowy o przypadku naruszenia danych osobowych nie później niż 24 godziny po wykryciu naruszenia danych osobowych, jeśli jest to wykonalne.
Prezes UODO stwierdził, że wyżej wymienione przepisy precyzyjnie wskazują termin, w którym dostawcy publicznie dostępnych usług telekomunikacyjnych są zobowiązani zawiadamiać właściwy organ krajowy o naruszeniu danych osobowych.
Organ nadzorczy uznał, że skarżąca spółka, jako dostawca publicznie dostępnych usług telekomunikacyjnych zobowiązany do stosowania tych przepisów, była zobligowana do takiego zorganizowania procesu zawiadamiania o naruszeniach ochrony danych osobowych Prezesa UODO, aby dokonywać ich w terminie określonym w przywołanych wyżej przepisach prawa.
W tej sytuacji, organ nadzorczy stwierdził, że zawiadomienia o naruszeniach ochrony danych osobowych, które wpłynęły do organu nadzorczego z przekroczeniem tego terminu (sprawa sygn. [...] - data stwierdzenia naruszenia: [...] października 2020 r., data nadania: [...] października 2020 r., data wpływu: [...] października 2020 r. oraz sprawy sygn. [...], sygn. [...], sygn. [...] i sygn. [...] - data stwierdzenia naruszenia: [...] listopada 2020 r., data nadania: [...] grudnia 2020 r., data wpływu: [...] grudnia 2020 r.), potwierdzają brak odpowiedniego zorganizowania tego procesu.
Organ nadzorczy zauważył, że skarżąca spółka, uzasadniając dokonanie ww. zawiadomień o naruszeniu danych osobowych po upływie terminu wynikającego z art. 2 ust. 2 rozporządzenia nr 611/2013, wskazywała na nieumyślne błędy pracowników kancelarii odpowiedzialnych za wysyłkę korespondencji, w tym korespondencji dotyczącej naruszeń danych osobowych kierowanej do Prezesa UODO, polegające np. na niewpisaniu korespondencji do książki nadawczej, czego efektem był jej zwrot przez operatora pocztowego.
Niemniej jednak, Prezes UODO uznał, że błędy pracowników skarżącej spółki w tym zakresie nie mogą jednak zostać uznane za okoliczność uzasadniającą opóźnienie zawiadomienia o naruszeniu danych osobowych organowi nadzorczemu. Według organu nadzorczego, świadczą one bowiem wyłącznie o nieprawidłowym zorganizowaniu przez skarżącą spółkę procesu powiadamiania Prezesa UODO o naruszeniach danych osobowych, tym bardziej, że skarżąca spółka na żadnym etapie postępowania nie wykazała, aby sprawowała odpowiedni nadzór nad tym procesem, a w szczególności nad pracownikami kancelarii odpowiedzialnymi za wysyłkę tej korespondencji.
Organ nadzorczy wskazać ponadto, że ani przepisy ustawy - Prawo telekomunikacyjne, ani też regulacje prawne zawarte w rozporządzeniu nr 611/2013 nie przewidują możliwości przekroczenia terminu 24 godzin w zawiadomieniu o naruszeniu danych osobowych z takich przyczyn.
W tym miejscu organ nadzorczy zauważył jednocześnie, że skarżąca spółka podjęła decyzję o tym, aby wszelką korespondencję dotyczącą naruszeń danych osobowych kierować do Prezesa UODO za pośrednictwem operatora pocztowego Poczta Polska S.A. Tymczasem, jak zauważył organ nadzorczy, Prezes UODO niejednokrotnie kierował do skarżącej spółki pisma, w których sygnalizował, że strona skarżąca składa wyjaśnienia dotyczące zgłoszenia naruszenia po upływie 24 godzin od jego wykrycia, tj. po upływie terminu wynikającego z art. 2 ust. 2 rozporządzenia nr 611/2013. Ponadto, organ nadzorczy zauważył, że w niektórych sprawach (np. w sprawie sygn. [...]), Prezes UODO informował skarżącą spółkę, że zgłoszenia naruszenia danych osobowych można dokonać na dwa sposoby: elektronicznie oraz pocztą tradycyjną, a także wskazywał, że najszybszą drogą jest wysłanie zgłoszenia za pośrednictwem platformy biznes.gov.pl lub platformy ePUAP, co zapewnia dotrzymanie terminu określonego w ww. przepisie rozporządzenia nr 611/2013.
Organ nadzorczy podniósł, że w trzech sprawach (sygn. [...], sygn. [...], sygn. [...]) skarżąca spółka wyjaśniła, że członkowie zespołu pracowali w trybie zdalnym, a w związku ze stanem zagrożenia epidemicznego ogłoszonym w Polsce, najbliższym możliwym terminem do wysłania do Prezesa UODO zawiadomień o naruszeniu był poniedziałek. Z kolei, jak podniósł organ nadzorczy, w dwóch sprawach (sygn. [...], sygn. [...]) strona skarżąca tłumaczyła swoje uchybienie tym, iż pracownik przygotowujący zawiadomienie o naruszeniu ochrony danych osobowych popełnił oczywistą omyłkę pisarską w dacie stwierdzenia naruszenia.
Wobec powyższego, Prezes UODO uznał, że powtarzające się zgłoszenia naruszenia danych osobowych z przekroczeniem terminu wynikającego z art. 2 ust. 2 rozporządzenia nr 611/2013 stanowią okoliczność obciążającą dla operatora telekomunikacyjnego, z uwagi na brak zastosowania odpowiednich środków w celu wyeliminowania podobnych zdarzeń w przyszłości.
W tej sytuacji, organ nadzorczy uznał, że skarżąca spółka wkalkulowała ryzyko niezgłaszania w terminie naruszeń danych osobowych Prezesowi UODO, co również stanowi okoliczność obciążającą.
Prezes UODO wskazał, że z korespondencji prowadzonej z organem nadzorczym skarżąca spółka nie wyciągnęła żadnych wniosków, a w szczególności nie zmieniła sposobu organizacji wysyłki korespondencji dotyczącej zawiadomień o naruszeniach danych osobowych kierowanych do Prezesa UODO, nadal wysyłając ją za pośrednictwem operatora pocztowego Poczta Polska S.A., co wymagało zaangażowania w ten proces m.in. pracowników kancelarii odpowiedzialnych za jej wysyłkę. W konsekwencji, z uwagi na błędy pracowników skarżącej spółki, doszło do uchybień polegających na niedotrzymaniu przez stronę skarżącą terminu 24 godzin na powiadomienie Prezesa UODO o naruszeniu danych osobowych, wynikającego z art. 2 ust. 2 rozporządzenia nr 611/2013, w przypadku naruszeń oznaczonych przez skarżącą spółkę sygnaturami [...], [...], [...], [...] i [...]. Prezes UODO zauważył, że praktykę tę skarżąca spółka zmieniła dopiero w dniu [...] lutego 2021 r., albowiem od tego dnia zaczęły wpływać do organu nadzorczego zawiadomienia o naruszeniach składane przez spółkę za pośrednictwem platformy ePUAP.
Prezes UODO podkreślił, że stosownie do art. 174a ust. 2a ustawy - Prawo telekomunikacyjne oraz art. 2 ust. 4 rozporządzenia nr 611/2013, zapewnił bezpieczne środki elektroniczne służące do powiadamiania o przypadkach naruszenia danych osobowych (za pośrednictwem platformy biznes.gov.pl oraz platformy ePUAP), a także informacje dotyczące trybu j dostępu do tych środków i ich stosowania (informacje w tym zakresie są dostępne w szczególności na stronie internetowej Urzędu Ochrony Danych Osobowych). Według Prezesa UODO, nie było zatem przeciwwskazań do wykorzystywania przez skarżącą spółkę tych środków do powiadamiania organu nadzorczego o naruszeniach danych osobowych przed dniem [...] lutego 2021 r. Tym samym, organ nadzorczy stwierdził, że zgłoszenie naruszeń danych osobowych objętych niniejszym postępowaniem Prezesowi UODO w terminie określonym w art. 2 ust. 2 rozporządzenia nr 611/2013 było wykonalne.
Prezes UODO wskazał, że decydując o nałożeniu na skarżącą spółkę kary pieniężnej zapoznał się również z argumentami skarżącej spółki zawartymi we wniosku z dnia [...] maja 2021 r. i rozważył je w kontekście dotychczas poczynionych w sprawie ustaleń.
Organ nadzorczy uznał m.in., że fakt, iż skarżąca spółka ostatecznie dokonała zgłoszeń naruszeń ochrony danych osobowych (bez dochowania przewidzianego przez przepisy prawa terminu), nie oznacza jednak, iż spółka "zaprzestała naruszenia prawa". Organ nadzorczy stwierdził bowiem, że w przedmiotowej sprawie bezsprzecznie doszło do naruszenia normy wynikającej z art. 2 ust. 2 rozporządzenia nr 611/2013 i dokonanie spóźnionego zgłoszenia nie sanuje naruszenia tego przepisu. Prezes UODO zauważył, że skoro sensem obowiązywania przepisu art. 2 ust. 2 rozporządzenia nr 611/2013 jest zapewnienie jak najszybszej reakcji administratora - a następnie organu nadzorczego w sytuacji, gdy jest to uzasadnione, to trudno przyjąć, że spółka dokonując zgłoszenia organowi nadzorczemu naruszeń bez dochowania terminu (organ zauważył, że w przypadku czterech naruszeń będących przedmiotem niniejszego postępowania do zgłoszenia doszło po 12 dniach od ich stwierdzenia) "przywróciła stan zgodny z prawem", gdyż na takie stwierdzenie nie pozwala cel uregulowań, z których wynika ten termin.
Ustosunkowując się z kolei do podniesionych przez skarżącą spółkę argumentów wskazujących na znikomą wagę naruszenia prawa z uwagi na incydentalny (jednorazowy) charakter naruszenia, Prezes UODO wskazał, że do uchybiania przewidzianemu prawem terminowi dochodziło również w przypadku innych zgłaszanych przez skarżącą spółkę naruszeń. Jednocześnie, organ zwrócił uwagę, że nie sposób pominąć również faktu, iż niniejszym postępowaniem objęto pięć zgłoszeń naruszeń ochrony danych osobowych, a więc uchybienie przepisom nie mogło mieć charakteru jednorazowego.
Odnosząc się do argumentów skarżącej spółki, w których wykazując znikomą wagę naruszenia prawa, strona skarżąca wskazała, że "przedmiotem uchybienia normie sankcjonowanej były jedynie opóźnienia w wykonaniu obowiązku notyfikacyjnego względem organu nadzorczego (zgłoszenia), co jednak nie wpłynęło na skuteczność późniejszej czynności notyfikacyjnej", Prezes UODO podniósł ponownie, że fakt, iż doszło do zawiadomienia o naruszeniu ochrony danych osobowych nie oznacza, iż przywrócono stan zgodny z prawem. Organ nadzorczy uznał bowiem, że wskazanie w treści art. 2 ust. 2 rozporządzenia nr 611/2013 konkretnego terminu na dokonanie zawiadomienia nie jest przypadkowe, a przyjęcie argumentacji strony skarżącej w tym zakresie prowadziłoby do wypaczenia sensu obowiązywania tego przepisu.
Ustosunkowując się do argumentów skarżącej spółki, która w piśmie z dnia [...] maja 2021 r. wykazywała, że uchybienie normie sankcjonowanej nie wynikało z lekceważenia przez stronę skarżącą porządku prawnego, ale było spowodowane tylko prostymi błędami pracowników przedsiębiorcy, Prezes UODO raz jeszcze podkreślił, iż w przedmiotowej sytuacji bez znaczenia pozostaje przyczyna niedochowania terminu wynikającego z art. 2 ust. 2 rozporządzenia nr 611/2013, albowiem nadzór nad pracownikami (podobnie jak zawiadamianie o naruszeniach ochrony danych osobowych z dochowaniem przewidzianego prawem terminu) pozostaje obowiązkiem administratora i to on ponosi odpowiedzialność za jego realizację.
Ustosunkowując się z kolei do argumentów skarżącej spółki, że skala uchybień normie sankcjonowanej była znikoma z punktu widzenia całościowego i terminowego wykonywania obowiązku znajdującego się w normie sankcjonowanej, Prezes UODO stwierdził, że argument, iż "(...) pięć zgłoszeń naruszeń ochrony danych osobowych będących przedmiotem tego postępowania to jedynie 1,5% wszystkich naruszeń zgłoszonych organowi nadzorczemu w 2020 r. (...)", nie może uzasadniać przyjęcia tezy, iż nie doszło do naruszenia przez skarżącą spółkę przepisu art. 2 ust. 2 rozporządzenia nr 611/2013. Organ nadzorczy stwierdził, że fakt, iż skarżąca spółka dokonuje wielu zgłoszeń naruszeń ochrony danych osobowych, a większość z nich zgłaszana jest w przewidzianym prawem terminie, nie sanuje dokonanego przez spółkę naruszenia prawa.
Odnosząc się do argumentów strony skarżącej, w których spółka podnosiła, że stwierdzone uchybienie nie spowodowało jakichkolwiek negatywnych konsekwencji w obszarze dóbr chronionych przez normę prawną zawartą w przepisie art. 2 ust. 2 rozporządzenia nr 611/2013, albowiem osoby, których danych dotyczyły zaistniałe naruszenia, zostały o tym naruszeniu zawiadomione, Prezes UODO zauważył, że spełnienie przez administratora jednego z nałożonych na niego prawem obowiązków (tj. zawiadomienia o naruszeniu danych osobowych osób nim dotkniętych) nie powoduje, iż niedopełnienie przez niego innego obowiązku staje się pomijalne.
Organ nadzorczy stwierdził, że decydując o nałożeniu na skarżącą spółkę administracyjnej kary pieniężnej, Prezes UODO - stosownie do treści art. 210 ust. 2 ustawy - Prawo telekomunikacyjne - wziął pod uwagę szereg okoliczności sprawy, które - w jego ocenie - stanowią o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływają na wymiar nałożonej kary pieniężnej.
Organ nadzorczy wskazał, że ustalając zakres naruszenia, dokonał tego z uwzględnieniem podstawowych celów ustawy, biorąc pod uwagą głównie elementy szkodliwości o charakterze przedmiotowym, które dotyczą rodzaju naruszonych obowiązków, rodzaju naruszonych dóbr, intensywności naruszenia oraz wartości społecznych i ekonomicznych, następstw czynu objętego karą finansową, wysokości spowodowanej szkody, sposobu działania (por. S. Piątek, Prawo telekomunikacyjne. Komentarz, wyd. 4, Wydawnictwo C.H. Beck, Warszawa 2019, komentarz do art. 210 ust. 2). Organ zauważył, że do podstawowych celów ustawy, o których mowa powyżej, zaliczyć należy zapewnienie użytkownikom maksymalnych korzyści w zakresie różnorodności, ceny i jakości usług telekomunikacyjnych (art. 1 ust. 2 pkt 4 ustawy - Prawo telekomunikacyjne). W ocenie Prezesa UODO, sformułowanie "maksymalne korzyści w zakresie jakości usług telekomunikacyjnych" obejmuje jak najwyższy poziom ochrony danych osobowych użytkowników (osób korzystających z publicznie dostępnej usługi telekomunikacyjnej lub żądających świadczenia takiej usługi). Organ nadzorczy uznał, że w niniejszej sprawie stwierdzono ponad wszelką wątpliwość naruszenie przepisów o ochronie danych osobowych - przepisów chroniących dobro o wysokiej wartości społecznej (stanowiące element konstytucyjnego prawa do prywatności) i ekonomicznej (wykorzystanie którego może wiązać się uzyskaniem dużych korzyści majątkowych). Organ nadzorczy zauważył wprawdzie, że stwierdzone naruszenie dotyczyło obowiązku skarżącej spółki wobec Prezesa UODO, a nie wobec osób, których dane dotyczą, niemniej jednak - w ocenie organu nadzorczego - naruszenie to obniża wysoki (optymalny w określonych okolicznościach) poziom ochrony danych osobowych klientów skarżącej spółki, albowiem opóźnia reakcję Prezesa UODO na zaistniałe naruszenia, która to reakcja może zapobiec ewentualnym negatywnym konsekwencjom dla osób, których dane dotyczą, lub przynajmniej je ograniczyć. Organ nadzorczy uznał, że takie naruszenie godzące w system ochrony danych osobowych, nie będąc jednorazowym wypadkiem, lecz stałą praktyką działania spółki (które można określić jako działanie o dużej intensywności) zasługuje na negatywną ocenę, której wyrazem jest nałożenie na stronę skarżącą kary pieniężnej.
Jednocześnie, Prezes UODO zauważył jednak, że wziął pod uwagę okoliczności wpływające łagodząco na wysokość nałożonej kary, a mianowicie:
a) nieumyślność naruszenia (opóźnienia w procedurze zawiadamianiu Prezesa UODO o naruszeniach danych osobowych) nie wynikającego z istniejącego po stronie skarżącej spółki zamiaru jego dokonania, lecz z niewłaściwego zorganizowania tej procedury,
b) okoliczność, że nie stwierdzono w następstwie naruszenia żadnych szkód po stronie osób, których dotyczyły objęte niniejszym postępowaniem naruszenia ochrony danych osobowych zgłoszone przez skarżącą spółkę z niezachowaniem terminu określonego w art. 2 ust. 2 rozporządzenia nr 611/2013,
c) okoliczność, że w trakcie niniejszego postępowania w przedmiocie nałożenia na skarżącą spółkę kary pieniężnej, strona dokonała w procedurze zawiadamianiu Prezesa UODO o naruszeniach danych osobowych zmian mających na celu wyeliminowanie możliwości zaistnienia w przyszłości naruszenia podlegającego ukaraniu w niniejszej sprawie.
Ponadto, organ nadzorczy - analizując dotychczasową działalność podmiotu, jako przesłankę mająca wpływ na wymiar kary - wskazał, że dokonał tej oceny biorąc pod uwagę działalność skarżącej spółki w przeszłości, w szczególności badając:
- czy naruszenie jest zdarzeniem incydentalnym i niewynikającym z polityki działalności tego podmiotu (co nie wiązałoby się z dużym ryzykiem dla wielkiej ilości klientów skarżącej spółki i tym samym nie musiałoby stanowić okoliczności dla spółki obciążającej),
- czy też naruszanie obowiązujących przepisów o ochronie danych osobowych wpisane jest niejako w politykę podmiotu i wkalkulowane w jej rachunek zysków i strat (co należałoby uznać za okoliczność obciążającą).
Organ nadzorczy zauważył, że ocena dotychczasowej działalności skarżącej spółki obejmowała szeroki zakres szczegółowych okoliczności, takich jak: wykonywanie przez ten podmiot obowiązków ustawowych, dokonane przez niego naruszenia prawa, wcześniej nałożone kary lub inne sankcje administracyjne, dotychczasowa współpraca z Prezesem UODO, jako organem właściwym w sprawach ochrony danych osobowych, w ramach wykonywania przez niego jego zadań.
Mając na względzie powyższe, organ nadzorczy podniósł, że zawiadomienia o naruszeniach danych osobowych, objęte niniejszym postępowaniem, nie były pierwszymi naruszeniami zgłoszonymi przez skarżącą spółkę Prezesowi UODO po upływie 24 godzin od ich wykrycia, a więc z naruszeniem terminu określonego w art. 2 ust. 2 rozporządzenia nr 611/2013. Organ nadzorczy zauważył, że w przypadku tych naruszeń Prezes UODO kierował do skarżącej spółki korespondencję. W tym miejscu organ nadzorczy powołał się na korespondencję w sprawach: sygn. [...] (oznaczenie administratora: [...]), sygn. [...] (oznaczenie administratora: [...]), sygn. [...] (oznaczenie administratora: [...]), sygn. [...] (oznaczenie administratora: [...]) oraz sygn. [...] (oznaczenie administratora: [...]), w których wystąpił o złożenie stosownych wyjaśnień w tym zakresie.
Dodatkowo, Prezes UODO podniósł, że skarżąca spółka przez długi czas nie wypracowała odpowiednich mechanizmów mających na celu zapewnienie terminowego zawiadamiania o naruszeniach danych osobowych organowi nadzorczemu. Organ nadzorczy zauważył, że skarżąca spółka zrobiła to dopiero na skutek wszczęcia postępowania w przedmiocie nałożenia na nią kary pieniężnej za dokonane naruszenie.
W tej sytuacji, organ nadzorczy uznał, że opisane wyżej działanie skarżącej spółki przetwarzającej - ze względu na przedmiot swojej działalności gospodarczej - dane osobowe w sposób profesjonalny i na masową skalę, jest naganne i świadczące o lekceważeniu wynikających z przepisów ustawy - Prawo telekomunikacyjne obowiązków z zakresu ochrony danych osobowych.
Biorąc z kolei pod uwagę możliwości finansowe skarżącej spółki, organ nadzorczy zauważył, że w 2020 r. przychody operacyjne spółki [...] sp. z o.o. wyniosły [...] zł, natomiast jej zysk netto - [...] zł. Zdaniem organ nadzorczego, osiągnięcie przez skarżącą spółkę w jednym tylko roku obrotowym zysku netto w kwocie blisko [...] mln zł świadczy o bardzo dużych możliwościach finansowych spółki, dla której orzeczona niniejszą decyzją kara pieniężna w kwocie 0,1 mln zł stanowić będzie - w ocenie Prezesa UODO - niewielkie, chociaż adekwatne do wagi stwierdzonego naruszenia, obciążenie finansowe. Jednocześnie, nawiązując do wniosku strony skarżącej "o maksymalnie możliwe obniżenie" wysokości orzeczonej kary pieniężnej, zawartego w piśmie z dnia [...] maja 2021 r., Prezes UODO wskazał, że kwota orzeczonej kary pieniężnej stanowi [...] zysku netto osiągniętego przez spółkę w roku 2020.
Uwzględniając powyższe okoliczności, Prezes UODO uznał, iż nałożenie kary pieniężnej na skarżącą spółkę jest konieczne i uzasadnione naruszeniem przez nią przepisów art. 174a ust. 1 ustawy - Prawo telekomunikacyjne w związku z art. 2 ust. 2 rozporządzenia nr 611/2013.
Prezes UODO stwierdził, że po dokonaniu wszechstronnej analizy zebranego w trakcie prowadzonego postępowania materiału dowodowego, a także uwzględniając dopuszczalną wysokość kary pieniężnej, określoną w art. 210a ust. 1 pkt 2 ustawy - Prawo telekomunikacyjne, ustalił wysokość kary pieniężnej nałożonej na stronę skarżącą na kwotę 100.000 (słownie: sto tysięcy) złotych.
Organ nadzorczy podkreślił, że ustalona kwota kary pieniężnej, biorąc pod uwagę przychody skarżącej spółki, mieści się w granicy 3% przychodu ukaranego podmiotu osiągniętego w poprzednim roku kalendarzowym, wskazanej we wskazanym powyżej przepisie cyt. ustawy (kara ta stanowi 0,0014% przychodów operacyjnych osiągniętych przez skarżącą spółkę w 2020 r.). Ponadto, Prezes UODO uznał, że wysokość nałożonej kary pieniężnej odpowiada możliwościom finansowym skarżącej spółki oraz zakresowi naruszenia przepisów prawa. Jednocześnie, organ nadzorczy wskazał, że nakładając powyższą karę pieniężną, wziął pod uwagę dotychczasową działalność skarżącej spółki, a w szczególności fakt, że spółka ta nie była dotychczas karana przez Prezesa UODO. Organ nadzorczy uznał zatem, że kara pieniężna w tej wysokości jest adekwatna do naruszenia stwierdzonego w trakcie niniejszego postępowania oraz spełnia zamierzone funkcje: represyjną (kara nakładana jest za naruszenie obowiązków wynikających z przepisów prawa), prewencyjną (ma zabiegać podobnym naruszeniom w przyszłości) oraz dyscyplinującą dostawców publicznie dostępnych usług telekomunikacyjnych (ma zniechęcać ich do naruszania prawa). Prezes UODO podkreślił, że kara ma stanowić z jednej strony dolegliwość dla ukaranego podmiotu, z drugiej zaś strony ma odnosić się do jego możliwości finansowych. Według organu nadzorczego, warunki te zostały spełnione przy nakładaniu kary w wysokości określonej niniejszą decyzją.
W piśmie z dnia [...] lipca 2021 r. skarżąca spółka, reprezentowana przez adwokata i radcę prawnego, działając za pośrednictwem organu nadzorczego, wniosła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na powyższą decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2021 r.
Wnosząc w petitum skargi o uchylenie w całości zaskarżonej decyzji Prezesa UODO z dnia [...] czerwca 2021 r., a także o zasądzenie od organu nadzorczego na rzecz skarżącej spółki zwrotu kosztów postępowania według norm przepisanych, strona skarżąca zarzucił organowi nadzorczemu:
1) naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, w tym:
- naruszenie art. 7, art. 77 i art. 80 k.p.a. - poprzez wadliwe przeprowadzenie postępowania administracyjnego przez organ nadzorczy przez jego rozszerzenie na etapie wydania decyzji administracyjnej o okoliczności niebędące przedmiotem postępowania, w zakresie których dowody nie zostały włączone do akt sprawy, co do których okoliczności skarżąca spółka nie została powiadomiona oraz nie miała świadomości ich znaczenia w sprawie, co istotnie wpłynęło na realizację praw strony skarżącej w trakcie postępowania oraz na treść rozstrzygnięcia,
- naruszenie art. 10 k.p.a. - poprzez uniemożliwienie stronie skarżącej czynnego udziału w postępowaniu administracyjnym, w tym wypowiedzenie się co do całokształtu wziętych pod uwagę okoliczności, ze względu na rozszerzenie przez organ nadzorczy prowadzonego postępowania o okoliczności niebędące przedmiotem postępowania dopiero na etapie wydawania decyzji administracyjnej, co miało istotny wpływ na wynik sprawy;
2) naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy, w szczególności:
- naruszenie art. 210 ust. 2 w zw. z art. 210a ust. 2 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne - poprzez niewzięcie przez organ nadzorczy pod uwagę lub wadliwą ocenę wszystkich okoliczności wchodzących w zakres naruszenia, dotychczasową działalność podmiotu oraz jego możliwości finansowe, co miało wpływ na wymierzenie administracyjnej kary pieniężnej i jej wymiar.
W uzasadnieniu wniesionej skargi strona skarżąca zauważyła na wstępie, że istota sporu w niniejszym postępowaniu polega na tym, że - zdaniem skarżącej spółki - uchybienie art. 174a ust. 1 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne w zw. z art. 2 ust. 2 rozporządzenia nr 611/2013, poprzez zgłoszenie naruszeń ochrony danych osobowych po upływie 24 godzin od stwierdzenia poszczególnych naruszeń, miało charakter epizodyczny, incydentalny, a tym samym nie kwalifikowało się do nałożenia kary, a jeżeli już kara miałaby zostać nałożona, to powinno to powodować jej obniżenie. Tymczasem, jak wskazała strona skarżąca, organ nadzorczy uznał w zaskarżonej decyzji, że uchybienia przepisom nie miało charakteru incydentalnego, a wręcz było działaniem o "dużej intensywności".
Zdaniem skarżącej spółki, stało się tak w szczególności, ponieważ organ nadzorczy powołał się w decyzji na okoliczności niebędące przedmiotem postępowania (które zajść miały w 5 sprawach) i na tej podstawie błędnie stwierdził, że nałożona na skarżącą spółkę kara pieniężna jest adekwatna do uchybienia przepisom.
Według strony skarżącej, kluczowe w sprawie pozostaje to, że Prezes UODO dopiero na etapie wydanej decyzji administracyjnej rozszerzył przedmiot postępowania na niekorzyść strony skarżącej, nie włączając wcześniej materiału dowodowego dotyczącego wspomnianych 5 spraw, które - zdaniem organu nadzorczego - miały rzutować na nałożenie kary i jej wymiar, do akt spraw i nie zawiadamiając o tym skarżącej spółki. Strona skarżąca zarzuciła, że ani zawiadomienie o wszczęciu postępowania z dnia [...] listopada 2020 r., ani też zawiadomienie z dnia [...] lutego 2021 r. o rozszerzeniu postępowania nie zawierało informacji o dodatkowych pięciu sprawach wziętych pod uwagę przez organ w uzasadnieniu zaskarżonej decyzji.
Strona skarżąca wskazała na sprawy:
1) sygn. [...] (oznaczenie spółki: [...]),
2) sygn. [...] (oznaczenie spółki: [...]),
3) sygn. [...] (oznaczenie spółki: [...]),
4) sygn. [...] (oznaczenie spółki: [...]) oraz
5) sygn. [...] (oznaczenie spółki: [...]).
Strona skarżąca zauważyła, że informacje w tym zakresie nie znalazły się również w zawiadomieniu z dnia [...] marca 2021 r. o zebraniu materiału dowodowego, a także nie zostały załączone do akt sprawy.
Skarżąca spółka podkreśliła, że obowiązek zgłoszenia naruszeń ochrony danych osobowych został przez nią dopełniony, a uchybienie wyniknęło tylko z błędu w nadaniu przygotowanej i skierowanej do wysłania korespondencji przez pracownika skarżącej spółki.
Ponadto, strona skarżąca podniosła, że opóźnienie w zgłoszeniu naruszeń ochrony danych osobowych nie spowodowało negatywnych konsekwencji po stronie organu nadzorczego, ani po stronie osób, których danych osobowych dotyczyło to naruszenie, czego organ nadzorczy nie kwestionuje w decyzji.
Strona skarżąca zauważyła, że po pierwsze, przekroczenie terminu nie wpłynęło na reakcję organu nadzorczego, do którego zgłoszenie było kierowane (ewentualne wcześniejsze, terminowe zgłoszenie nie miałoby wpływu na działanie organu, nie zmieniłoby go i nie spowodowało innych działań, albowiem Prezes UODO nie podjął jakichkolwiek działań po zgłoszeniu naruszeń ochrony danych). Po drugie, zdaniem skarżącej spółki, poszczególne naruszenia ochrony danych osobowych, które zostały zgłoszone z opóźnieniem dotyczą danych osobowych pojedynczych klientów spółki, którzy w wymaganym zakresie zostali zawiadomieni o naruszeniu ich ochrony danych osobowych.
Uzasadniając zarzut naruszenia art. 7 k.p.a., art. 77 k.p.a. i art. 80 k.p.a., strona skarżąca stwierdziła, że organ nadzorczy w spornej sprawie wziął pod uwagę pięć wskazanych wyżej spraw, które uznał za istotne dla swojego stanowiska o nieincydentalnym naruszeniu przez skarżącą spółkę (naruszeniu o "dużej intensywności"), gdy tymczasem nie były one przedmiotem postępowania administracyjnego prowadzonego przez organ, ani nawet nie zostały uwzględnione w aktach sprawy. Strona skarżąca podniosła, że w aktach sprawy nie znajdowały się dokumenty z innych zgłoszeń naruszeń, czy chociaż nawet notatki służbowe świadczące o tym, że prowadzone postępowanie dotyczy również innych kwestii, czy też świadczące o tym, że organ nadzorczy uwzględni te inne zgłoszenia w swoim postępowaniu. W tej sytuacji, strona skarżąca uznała za wadliwe argumenty powołane w uzasadnieniu zaskarżonej decyzji, które odnosiły się do tych pięciu spraw, a które wzięte były na niekorzyść strony skarżącej. W konsekwencji, skarżąca spółka stwierdziła, że powinna mieć prawo, aby wypowiadać się w tym zakresie w postępowaniu wyjaśniającym, a nie dopiero na etapie kontroli sądowej w postępowaniu sądowoadministracyjnym, albowiem rolą sądu administracyjnego nie jest przeprowadzanie za organ administracji publicznej postępowania wyjaśniającego.
Strona skarżąca wskazała, że powołanie się na powyższe sprawy przez Prezesa UODO bez wskazania tych spraw w zawiadomieniu o wszczęciu, zawiadomieniu o rozszerzeniu postępowania, zawiadomieniu o zgromadzeniu materiału dowodowego, a także bez włączania dokumentów ich dotyczących do akt sprawy spowodowało, że skarżąca spółka nie mogła się wypowiedzieć co do tych okoliczności w trakcie postępowania administracyjnego. W związku z powyższym, skarżąca spółka zarzuciła, że doszło w istocie do nieuprawnionego rozszerzenia przedmiotu postępowania administracyjnego. Ponadto, skarżąca spółka zwróciła uwagę, że organ nadzorczy uznał wystąpienie tych okoliczności za obciążające w niniejszej sprawie stronę skarżącą, mimo że w żadnych z tych spraw nie podjął działań o charakterze władczym. Tymczasem, spółka zauważyła, że po przekazaniu wyjaśnień organowi i braku dalszych działań z jego strony miała prawo uważać, że sprawy zostały dostatecznie wyjaśnione i Prezes UODO nie ma zastrzeżeń do działalności spółki w tym zakresie.
Strona skarżąca stwierdziła, że organ administracji publicznej nie powinien orzekać na podstawie materiałów, które nie zostały włączone do akt sprawy jako materiał dowodowy. Ponadto, skarżąca spółka dodatkowo zwróciła uwagę, że organ nadzorczy nie wprowadził do zawiadomień o wszczęciu i rozszerzeniu podstępowania administracyjnego, zawiadomienia o prawie do wypowiedzenia się przed wydaniem decyzji administracyjnej ani do akt sprawy żadnych informacji dotyczących pięciu spraw, na które powołał się następnie w decyzji, co doprowadziło do tego, że okoliczności w tych sprawach nie zostały wystarczająco wyjaśnione, podczas gdy - zdaniem strony skarżącej - argumentacja organu w tym zakresie jest nieprawidłowa.
Strona skarżąca zarzuciła ponadto, że w niniejszej sprawie doszło również do naruszenia zasady swobodnej oceny dowodów, o której mowa w art. 80 k.p.a., albowiem za przekroczenie granic zasady swobodnej oceny dowodów należy uznać sytuację, w której organ administracji publicznej orzeka na podstawie okoliczności, które w żaden sposób nie znajdują odzwierciedlenia w materiale dowodowym.
Uzasadniając z kolei zarzut naruszenia art. 10 k.p.a., strona skarżąca wskazała, że z uwagi na fakt, iż na żadnym z etapów postępowania Prezes UODO nie rozszerzył postępowania o pięć spraw, na które powołał się później w zaskarżonej decyzji, a także z uwagi na fakt, iż w aktach sprawy również nie znajdują się żadne materiały dotyczące tych spraw, doszło do naruszenia, albowiem skarżąca spółka nie mogła się wypowiedzieć co do wspomnianych pięciu spraw, ponieważ sprawy te nie znajdują odzwierciedlenia w żadnym z dokumentów (pism) otrzymanych przez skarżącą spółkę od organu nadzorczego, ani w pozostałych dokumentach znajdujących się w aktach sprawy. W tej sytuacji, skarżąca spółka uznała, że nie mogła skutecznie zrealizować swojego uprawnienia procesowego, ponieważ w materiale dowodowym nie znalazły się żadne informacje dotyczące pięciu spraw, które wpłynęły na rozstrzygniecie organu nadzorczego. W związku z tym, strona skarżąca stwierdziła, że nie miała możliwości wypowiedzenia się co do tych okoliczności w trakcie postępowania, w tym przed wydaniem decyzji administracyjnej. Tymczasem, jak zauważyła strona skarżąca, okoliczności te miały wpływ na uznanie przez Prezesa UODO, że naruszenia przepisów o ochronie danych osobowych nie miały charakteru incydentalnego, a w konsekwencji miały wpływ na wymierzenie i wymiar kary pieniężnej, mimo że - zdaniem strony skarżącej - argumenty organu nadzorczego w tym zakresie są nietrafne i nie powinny zostać wzięte pod uwagę.
Mając powyższe na względzie, strona skarżąca zarzuciła, że w niniejszej sprawie doszło na etapie postępowania administracyjnego do naruszenia tzw. zasady równowagi broni, która - zgodnie z orzecznictwem Europejskiego Trybunału Praw Człowieka - implikuje wymóg zapewnienia każdej ze stron rozsądnej możliwości przedstawienia swojej sprawy - w tym posiadanych przez nią dowodów - w warunkach nie stawiających jej w zasadniczo gorszej sytuacji w stosunku do innego podmiotu, którym w niniejszej sprawie jest organ administracji publicznej prowadzący postępowanie (por. wyrok ETPCz z dnia 27 października 1993 r. w sprawie Dombo Beheer B.V. przeciwko Holandii, seria A nr 274, § 33). Strona skarżąca podniosła jednocześnie, że zasada równowagi broni powinna być rozpatrywana w świetle art. 6 ust. 1 Europejskiej Konwencji Praw Człowieka i Podstawowych Wolności ustanawiającej prawo do rzetelnego procesu. Skarżąca spółka zauważyła, że zasada równowagi broni ma zastosowanie również w postępowaniu administracyjnym (por. wyrok ETPCz z dnia 22 sierpnia 1994 r. w sprawie Hentrich przeciwko Francji, § 56). W tej sytuacji, skarżąca spółka uznała, że na etapie postępowania przed Prezesem UODO powinna być poinformowana na podstawie jakiego stanu faktycznego organ ten będzie orzekał, aby w konsekwencji moc przedstawiać dowody na swoją korzyść.
Uzasadniając zarzut naruszenia art. 210 ust. 2 w zw. z art. 210a ust. 2 ustawy - Prawo telekomunikacyjne, strona skarżąca stwierdziła, że polega on na tym, że organ nadzorczy nieprawidłowo dokonał oceny wszystkich okoliczności wchodzących w zakres naruszenia, a także wadliwie ocenił dotychczasową działalność podmiotu oraz jego możliwości finansowe, co miało istotny wpływ na wymierzenie administracyjnej kary pieniężnej i jej wymiar. W ocenie strony skarżącej, w zaskarżonej decyzji organ nie odniósł się do wszystkich okoliczności dotyczących zakresu naruszenia oraz dotychczasowej działalności podmiotu, w tym nie wziął pod uwagę okoliczności korzystnych dla skarżącej spółki, co ma istotny wpływ na wynik sprawy.
Jeśli chodzi o zakres naruszenia, to - według strony skarżącej - Prezes UODO nie uwzględnił tego, iż uchybienia art. 2 ust. 2 rozporządzenia nr 611/2013, jakich dopuściła się spółka, miały charakter incydentalny i wystąpiły na skutek nieumyślnego błędu pracownika spółki. Według skarżącej spółki, organ nadzorczy nie wziął pod uwagę, że nawet w najsprawniej zorganizowanym procesie, w którym funkcję obsługową pełni człowiek, nie ma możliwości wyeliminowania całkowicie prawdopodobieństwa wystąpienia błędu. Jednocześnie, strona skarżąca stwierdziła, że wystąpienie błędu po stronie pracownika nie należy traktować, jako okoliczności obciążającej, gdyż spółka każdorazowo po wystąpieniu takiej sytuacji informowała pracownika o konieczności terminowej i starannej wysyłki zgłoszeń naruszeń do Prezesa DODO, co świadczy o tym, że skarżąca spółka sprawowała odpowiedni nadzór nad pracownikami i na bieżąco korygowała wykonywanie przez nich obowiązków służbowych. Ponadto, strona skarżąca uznała, że okolicznością obciążającą mającą wpływ na wymierzenie i wymiar kary nie może być fakt wykorzystywania dozwolonego prawem kanału komunikacji, jakim jest wysyłka zgłoszeń naruszeń ochrony danych do organu nadzorczego za pośrednictwem operatora pocztowego Poczta Polska S.A.
Ponadto, skarżąca spółka zarzuciła, że Prezes UODO nie wziął pod uwagę przy wymierzaniu kary i określaniu jej wymiaru, że spółka nie przyczyniła się do powstawania naruszenia prawa, gdyż powstanie naruszenia prawa zostało spowodowane wyłącznie przez nieumyślnie działanie pracownika spółki ("czynnik ludzki"), na który spółka nie miała wpływu, choć była pod względem organizacyjnym i technicznym przygotowana do prawidłowej realizacji obowiązku.
Strona skarżąca uznała, że organ nadzorczy - wymierzając karę i określając jej wymiar - nie wziął pod uwagę na korzyść spółki, że w przypadku uchybień art. 2 ust. 2 rozporządzenia nr 611/2013 będących przedmiotem postępowania, spółka przesłała zgłoszenia naruszeń ochrony danych do Prezesa UODO, bez wcześniejszego upomnienia ze strony organu nadzorczego, w najszybszym możliwym terminie.
Jednocześnie, według strony skarżącej, organ nadzorczy - wymierzając karę i określając jej wymiar - nie wziął pod uwagę, że zgłoszenie naruszeń ochrony danych osobowych z opóźnieniem, czyli z naruszeniem art. 2 ust. 2 rozporządzenia nr 611/2013, ani nie spowodowało korzyści po stronie spółki, ani też nie pozwoliło na uniknięcie strat.
Z kolei, jeśli chodzi o ocenę dotychczasowej działalność podmiotu, skarżąca spółka przypomniała, że w trakcie postępowania podnosiła, iż w roku 2019 zgłosiła do organu nadzorczego 258 naruszeń ochrony danych osobowych, a w 2020 r. zgłoszonych naruszeń było 323. W tej sytuacji, jak zauważyła strona skarżąca, pięć zgłoszeń naruszeń ochrony danych osobowych, będących przedmiotem spornego postępowania, to tylko 1,5% wszystkich naruszeń zgłoszonych organowi nadzorczemu w 2020 r., co wskazuje, że uchybienie terminowi zgłoszenia naruszenia ma charakter jednorazowy, incydentalny. Ponadto, skarżąca spółka zauważyła, że Prezes UODO nie prowadził wcześniej postępowania administracyjnego względem spółki ze względu na opóźnienie w przekazaniu zgłoszenia naruszenia ochrony danych osobowych, co wskazuje na to, że skarżąca spółka nie uchybiała obowiązkowi z art. 2 ust. 2 rozporządzenia nr 611/2013. Tymczasem, jak podkreśliła strona skarżąca, Prezes UODO nie wziął pod uwagę tych okoliczności, jako przemawiających na korzyść strony skarżącej przy wymierzaniu i ustalaniu wymiaru kary, uznając okoliczności te za niemające znaczenia dla oceny postępowania spółki.
W tej sytuacji, zdaniem strony skarżącej, okoliczności te świadczą o tym, że przy skali zgłoszeń naruszeń ochrony danych osobowych do Prezesa DODO i przy skali korespondencji wysyłanej z siedziby spółki dwie błędnie wysłane korespondencje to incydentalne, pojedyncze uchybienia.
Ponadto, strona skarżąca zarzuciła, że przy ocenie częstotliwości niedopełnienia obowiązku zgłoszenia naruszenia ochrony danych osobowych do Prezesa DODO w terminie organ nadzorczy błędnie wziął pod uwagę pięć zgłoszeń naruszeń (s. 15-16 zaskarżonej decyzji), które nie były przedmiotem tego postępowania administracyjnego.
Strona skarżąca zauważyła ponadto, że jeśli chodzi o przeprowadzoną w decyzji ocenę możliwości finansowych podmiotu, Prezes UODO - określając możliwości finansowe skarżącej spółki - w sposób niezasadny przyrównał kwotę orzeczonej kary pieniężnej, jako części zysku netto do ułamku opóźnionych naruszeń. Tymczasem, zdaniem strony skarżącej, relacja ta w żaden sposób nie obrazuje obciążenia finansowego, jakie spowodowało nałożenie administracyjnej kary pieniężnej w tej sprawie.
Mając powyższe na względzie, skarżąca spółka zarzuciła, iż nałożona kara pieniężna w wysokości 100.000 zł jest nieadekwatna, tym bardziej, jeśli weźmie się pod uwagę fakt, iż nie doszło do szkód po stronie osób, których dotyczyły stwierdzone naruszenia ochrony danych osobowych.
W odpowiedzi na skargę Prezes Urzędu Ochrony Danych Osobowych wniósł o jej oddalenie, podtrzymując swoje dotychczasowe stanowisko wyrażone w uzasadnieniu zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (tekst jednolity Dz. U. z 2021 r., poz. 137 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.
W świetle powołanych przepisów cyt. ustawy, Wojewódzki Sąd Administracyjny w Warszawie, w zakresie swojej właściwości, ocenia zaskarżoną decyzję administracyjną, postanowienie, czy też inny akt lub czynność z zakresu administracji publicznej dotyczącą uprawnień lub obowiązków wynikających z przepisów prawa, z punktu widzenia ich zgodności z prawem materialnym i przepisami postępowania administracyjnego, według stanu faktycznego i prawnego obowiązującego w dacie wydania tego aktu lub podjęcia spornej czynności. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej dokonywaną wyłącznie pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności, czy też zgodności z zasadami współżycia społecznego.
Ponadto, co wymaga podkreślenia, Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (vide: art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi - tekst jednolity Dz. U. z 2022 r., poz. 329 ze zm. - dalej także: "P.p.s.a.").
Należy jednocześnie wyraźnie zaznaczyć, że od dnia wejścia w życie Traktatu Akcesyjnego z dnia 16 kwietnia 2003 r. (Dz. U. z 2004 r. Nr 90, poz. 864), na mocy którego Polska stała się państwem członkowskim Unii Europejskiej, kontrola sądu administracyjnego obejmuje również zgodność rozstrzygnięć organów administracji publicznej z prawem europejskim (prawem Unii Europejskiej), rozumianym, jako całokształt dorobku prawnego Unii Europejskiej (acquis communautaire), w tym zasad ogólnych prawa europejskiego, interpretowanych oraz stosowanych w sposób jednolity na całym obszarze Unii Europejskiej.
Należy zauważyć, że w tej sytuacji, Wojewódzki Sąd Administracyjny w Warszawie, dokonując oceny legalności zaskarżonej decyzji Prezesa Urzędu Ochrony Danych Osobowych, zobowiązany był - co do zasady - zbadać jej zgodność przede wszystkim z przepisami prawa europejskiego, w tym w szczególności z regulacjami zawartymi w rozporządzenia Komisji (UE) Nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej.
W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie, analizowana pod tym kątem skarga spółki [...] sp. z o.o. z siedzibą w [...] nie zasługuje na uwzględnienie, albowiem zaskarżona decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2021 r., nr [...] - nie narusza obowiązujących przepisów prawa.
Sąd uznał, że Prezes UODO, wydając sporną decyzję administracyjną z dnia [...] czerwca 2021 r., nie dopuścił się naruszenia zarówno wiążących Polskę przepisów prawa europejskiego, jak i regulacji prawa krajowego, w stopniu mającym istotny wpływ na końcowy wynik sprawy zakończonej wydaniem wspomnianej wyżej decyzji.
Przede wszystkim, przyjąć należy, iż nakładając na stronę skarżąca administracyjną karę pieniężną w wysokości 100.000 (sto tysięcy) złotych, organ nadzorczy nie naruszył obowiązujących przepisów prawa, albowiem prawidłowo przyjął, że w niniejszej sprawie skarżąca spółka, jako dostawca publicznie dostępnych usług telekomunikacyjnych i jednocześnie administrator danych, dopuściła się naruszenia obowiązków wynikających z przepisów art. 174a ust. 1 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne w zw. z art. 2 ust. 2 rozporządzenia Komisji (UE) Nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej, z uwagi na niezawiadomienie Prezesa Urzędu Ochrony Danych Osobowych o naruszeniach danych osobowych w terminie 24 godzin od wykrycia naruszenia danych osobowych.
Mając powyższe na względzie, Sąd uznał, że w analizowanej sprawie, wbrew zarzutom strony skarżącej, zachodziła podstawa faktyczna i prawna do nałożenia na stronę skarżącą, jako administratora danych, administracyjnej kary pieniężnej na mocy art. art. 210 ust. 1 i 2 w związku z art. 210a ust. 1 pkt 2 i ust. 2 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne z uwagi na niewypełnienie obowiązku informacyjnego względem Prezesa UODO, o którym mowa w art. 174a ust. 1 cyt. ustawy.
Ponadto, w wyniku przeprowadzenia analizy stanowiska organu nadzorczego zaprezentowanego w uzasadnieniu zaskarżonej decyzji, Sąd stwierdził, że - wbrew zarzutom skargi - Prezes UODO, wydając w dniu [...] czerwca 2021 r. sporne rozstrzygnięcie, nie dopuścił się - mogącego mieć zasadniczy wpływ na wynik sprawy - naruszenia przepisów procedury administracyjnej, a w szczególności art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a., a także art. 107 § 3 k.p.a., albowiem wyjaśnił wszystkie okoliczności istotne dla prawidłowego i pełnego rozstrzygnięcia sprawy, a także dokonał właściwej oceny zebranego w sprawie materiału dowodowego, przeprowadzając jednocześnie ową ocenę w kontekście właściwie zastosowanych przepisów prawa materialnego.
Sąd uznał, że w uzasadnieniu zaskarżonej decyzji Prezesa UODO z dnia [...] czerwca 2021 r. wyjaśnione zostały w sposób dostatecznie jasny i przekonywujący motywy jej podjęcia, w tym wysokość zastosowanej kary pieniężnej, zaś przytoczona w tym zakresie argumentacja jest wyczerpująca i w pełni odnosząca się do stanowiska strony skarżącej podniesionego w toku postępowania wyjaśniającego.
Sąd stwierdził, że - wbrew zarzutom skarżącej spółki - nie sposób zgodzić się ze stanowiskiem skarżącej spółki, jakoby doszło w niniejszej sprawie do naruszenia art. 210 ust. 2 w zw. z art. 210a ust. 2 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne, ze względu na niewzięcie przez organ nadzorczy pod uwagę lub wadliwą ocenę wszystkich okoliczności wchodzących w zakres naruszenia, dotychczasową działalność podmiotu oraz jego możliwości finansowe, co miało mieć rzekomo istotny wpływ na niezasadne wymierzenie administracyjnej kary pieniężnej, ewentualnie na niewłaściwy wymiar tej kary.
W tej sytuacji, w działaniu Prezesa UODO, jako organu administracji publicznej wydającego sporną decyzję, Sąd nie dopatrzył się jakichkolwiek istotnych nieprawidłowości, zarówno, gdy idzie o ustalenie stanu faktycznego sprawy, jak i o zastosowanie do jego oceny przepisów prawa materialnego.
W konsekwencji, zdaniem Sądu, stwierdzić należy, że Prezes UODO, wydając zaskarżoną decyzję administracyjną - nie dopuścił się w powyższym zakresie istotnego naruszenia zasady praworządności wyrażonej w przepisach art. 6 k.p.a. i art. 7 in principio k.p.a. oraz art. 7 Konstytucji RP.
Przechodząc do merytorycznej oceny legalności zaskarżonej decyzji z dnia [...] czerwca 2021 r., należy wyraźnie zauważyć na wstępie, że istotą sporu w niniejszej sprawie była nie tyle kwestia prawidłowości ustaleń organu nadzorczego w zakresie nienależytego wypełnienia przez skarżącą spółkę, jako administratora danych, obowiązków informacyjnych względem Prezesa UODO, o których mowa w art. 174a ust. 1 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne w zw. z art. 2 ust. 2 rozporządzenia nr 611/2013, ile przede wszystkim kwestia prawidłowości zakwalifikowania przez organ nadzorczy wskazanych uchybień, jako niemających charakteru incydentalnego i stanowiących przykład działań, które świadczą o konieczności zastosowania tego rodzaju sankcji, jak kara pieniężna, o której mowa w art. 210a ust. 1 pkt 2 Pr.t.
Otóż, wskazać należy, że o ile skarżąca spółka twierdziła w niniejszej sprawie, że uchybienie polegające na zgłoszeniu organowi nadzorczemu naruszeń ochrony danych osobowych po upływie 24 godzin od stwierdzenia poszczególnych naruszeń, miało charakter epizodyczny, incydentalny, a tym samym nie kwalifikowało się do nałożenia kary pieniężnej, a jeżeli już, to nałożenia kary znacznie niższej, o tyle Prezes UODO uznał, że - wbrew stanowisku strony skarżącej - stwierdzone w toku postępowania uchybienia nie miały charakteru incydentalnego, dającego podstawę do odstąpienia od nałożenia wspomnianego środka, czy też nałożenia kary pieniężnej w niższej wysokości.
Ponadto, w ocenie strony skarżącej, do nieprawidłowości w zakresie nałożenia kary pieniężnej doszło w szczególności z uwagi na fakt, iż organ nadzorczy powołał się w zaskarżonej decyzji na okoliczności niebędące przedmiotem spornego postępowania, co w konsekwencji doprowadziło do błędnego stwierdzenia, że nałożona na skarżącą spółkę kara pieniężna jest adekwatna do stwierdzonego uchybienia.
Według strony skarżącej, kluczowe w sprawie pozostaje to, że Prezes UODO dopiero na etapie wydanej decyzji administracyjnej rozszerzył przedmiot postępowania na niekorzyść strony skarżącej, nie włączając wcześniej materiału dowodowego dotyczącego wskazanych w treści skargi 5 spraw, które - zdaniem organu nadzorczego - miały rzutować na nałożenie kary i jej wymiar, do akt spraw i nie zawiadamiając o tym skarżącej spółki.
Należy zauważyć, że w niniejszej sprawie Prezes UODO, nakładając sporną administracyjną karę pieniężną - stwierdził, iż w trakcie prowadzonego postępowania wyjaśniającego ustalono, że skarżąca spółka [...] sp. z o.o., będąc dostawcą publicznie dostępnych usług telekomunikacyjnych i jednocześnie administratorem danych, nie wypełniła nałożonego na nią obowiązku informacyjnego względem Prezesa UODO, o którym mowa w art. 174a ust. 1 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne w zw. z art. 2 ust. 2 rozporządzenia Komisji (UE) Nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej, które polegało na niezawiadamianiu organu nadzorczego o naruszeniach danych osobowych w terminie 24 godzin od wykrycia naruszenia danych osobowych.
W tym miejscu, wskazać trzeba, że zgodnie z przywołanym przez organ nadzorczy w zaskarżonej decyzji przepisem art. 174a ust. 1 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne, dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu danych osobowych w terminie i na zasadach określonych w rozporządzeniu Komisji (UE) nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej.
W świetle art. 2 ust. 2 cyt. rozporządzenia nr 611/2013, dostawca powiadamia właściwy organ krajowy o przypadku naruszenia danych osobowych nie później niż 24 godziny po wykryciu naruszenia danych osobowych, jeśli jest to wykonalne.
Nie ulega wątpliwości, że wskazane wyżej przepisy precyzyjnie wskazują termin, w którym dostawcy publicznie dostępnych usług telekomunikacyjnych są zobowiązani zawiadamiać właściwy organ krajowy (Prezesa UODO) o naruszeniu danych osobowych.
W tej sytuacji, skarżąca spółka, jako dostawca publicznie dostępnych usług telekomunikacyjnych, będąc zobowiązana do stosowania tych przepisów, była zobligowana do takiego zorganizowania procesu zawiadamiania o naruszeniach ochrony danych osobowych organ nadzorczy, aby dokonywać ich w terminie określonym w przywołanych wyżej przepisach prawa.
Istotne jest również to, że zarówno przepis art. 174a ust. 1 ustawy - Prawo telekomunikacyjne, jak również art. 2 ust. 2 rozporządzenia nr 611/2013 nie przewidują możliwości przekroczenia terminu 24 godzin w zawiadomieniu o naruszeniu danych osobowych z jakichkolwiek przyczyn, w tym również tych przywoływanych w toku postępowania przez stronę skarżącą.
Tymczasem z akt sprawy wynika, że zawiadomienia strony skarżącej o naruszeniach ochrony danych osobowych, które wpłynęły do organu nadzorczego z przekroczeniem tego terminu (vide: zawiadomienia w sprawach sygn. [...], sygn. [...], sygn. [...], sygn. [...] i sygn. [...]), potwierdzają brak odpowiedniego zorganizowania tego procesu w skarżącej spółce.
Według Sądu, nie sposób bowiem uznać, że błędy pracowników skarżącej spółki odpowiedzialnych za wysyłkę korespondencji, w tym korespondencji dotyczącej naruszeń danych osobowych kierowanej do Prezesa UODO, mogą zostać uznane za okoliczność uzasadniającą opóźnienie zawiadomienia o naruszeniu danych osobowych organowi nadzorczemu. Zdaniem Sądu, organ nadzorczy słusznie uznał, że świadczą one wyłącznie o nieprawidłowym zorganizowaniu przez spółkę procesu powiadamiania Prezesa UODO o naruszeniach danych osobowych, tym bardziej, że strona skarżąca na żadnym etapie postępowania nie wykazała, aby sprawowała odpowiedni nadzór nad tym procesem, a w szczególności nad pracownikami kancelarii odpowiedzialnymi za wysyłkę tej korespondencji.
Ustosunkowując się do zarzutów strony skarżącej, należy przede wszystkim stwierdzić, że - wbrew stanowisku skarżącej spółki - Prezes UODO, wydając zaskarżaną decyzję z dnia [...] czerwca 2021 r., nie rozszerzył contra legem prowadzonego przez siebie postępowania o okoliczności niebędące jego przedmiotem. Według Sądu, uznać należy bowiem, że sporne postępowanie zakończone wydaniem wspomnianej decyzji dotyczyło wyłącznie pięciu, konkretnie sprecyzowanych naruszeń ochrony danych osobowych.
Owszem, zwrócić należy uwagę, że Prezes UODO, ustalając wysokość kary pieniężnej, zobowiązany był - w świetle art. 210 ust. 2 Pr.t. - uwzględnić m.in. dotychczasową działalność podmiotu, co w konsekwencji spowodowało, że wziął pod uwagę m.in. sprawy dotyczące innych zawiadomień skarżącej spółki dokonanych po terminie, a mianowicie zawiadomień w sprawach: sygn. [...], sygn. [...], sygn. [...], sygn. [...] i sygn. [...], wykazując je jako przypadki, które zaistniały w dotychczasowej działalności skarżącej spółki (i które były przedmiotem korespondencji organu nadzorczego ze spółką). Niemniej jednak, należy - zdaniem Sądu - wyraźnie podkreślić, że poprzez przywołanie w uzasadnieniu spornej decyzji tych pięciu - dodatkowych i nieobjętych prowadzonym postępowaniem - naruszeń, organ nadzorczy chciał jedynie wykazać bezzasadność podnoszonego przez skarżącą spółkę argumentu, iż objęte zarzutem przypadki mają jednostkowy charakter.
Warto zauważyć w tym miejscu, że w przywołanych dodatkowo sprawach, dotyczących zawiadomień oznaczonych powyższymi sygnaturami, organ nadzorczych zwrócił skarżącej spółce uwagę na fakt, iż w przypadku tych zgłoszeń nie wypełniła ona wobec Prezesa UODO obowiązku informacyjnego z art. 174a ust. 1 ustawy - Prawo telekomunikacyjne w terminie określonym w art. 2 ust. 2 rozporządzenia nr 611/2013.
W tej sytuacji, nie sposób jest uznać, że skarżąca spółka, stawiając w skardze z dnia [...] lipca 2021 r. zarzuty w powyższym zakresie, nie miała świadomości, iż sprawy te zostały przywołane przez Prezesa UODO tylko i wyłącznie na potrzeby oceny dokonywanej przez ten organ na podstawie art. 210 ust. 2 Pr.t. (vide: ocena dotychczasowej działalności skarżącej spółki w celu ustalenia wysokości kary pieniężnej).
Warto jednocześnie zauważyć, że skarżąca spółka nie podważyła w treści skargi, że przywołane dodatkowo przez organ nadzorczy sprawy (zawiadomienia) nie obejmowały swym zakresem zgłoszeń niewypełniających wobec Prezesa UODO obowiązku informacyjnego z art. 174a ust. 1 Pr.t w terminie określonym w art. 2 ust. 2 rozporządzenia nr 611/2013.
W tej sytuacji, w ocenie Sądu, uznać należy, iż - wbrew zarzutom strony skarżącej - dokonując powyższych ustaleń, organ nadzorczy nie dopuścił się jakiegokolwiek istotnego naruszenia prawa, które mogło mieć wpływ na końcowe rozstrzygnięcie sprawy.
Sąd uznał, że Prezes UODO przy ustaleniu okoliczności stanu faktycznego rozpatrywanej sprawy opierał się na dowodach (dokumentach) i wyjaśnieniach złożonych przez skarżącą spółkę, jako administratora danych, w zakresie objętym zgromadzonym materiałem dowodowym, które w sposób szczegółowy poddał analizie, pod kątem wypełnienia obowiązku administratora z art. 174a ust. 1 Pr.t. w zw. z art. 2 ust. 2 rozporządzenia nr 611/2013.
Sąd nie zgodził się przede wszystkim z postawionym przez stronę skarżącą zarzutem zaniechania przez organ nadzorczy dokonania należytego wyjaśnienia stanu faktycznego sprawy i jednocześnie pobieżnego przeprowadzenia postępowania dowodowego w sprawie i tym samym zgromadzenia niepełnego materiału dowodowego i przeprowadzenia jego dowolnej i subiektywnej oceny.
Zdaniem Sądu, nie ulega wątpliwości, że związanie rygorami procedury administracyjnej oznacza, iż Prezes UODO jest obowiązany m.in. do przestrzegania zasady pogłębiania zaufania obywateli do organów praworządnego Państwa (art. 8 § 1 k.p.a.). W tej sytuacji, organ nadzorczy, uwzględniając powyższą zasadę, zobowiązany jest przede wszystkim dokładnie wyjaśnić okoliczności sprawy, konkretnie ustosunkować się do żądań i twierdzeń strony skarżącej oraz uwzględnić w decyzji zarówno interes społeczny, jak i słuszny interes strony skarżącej. Organ nadzorczy jest ponadto obowiązany w sposób wyczerpujący zebrać i ocenić cały materiał dowodowy (art. 7, art. 77 § 1 i art. 80 k.p.a.) oraz uzasadnić swoje rozstrzygnięcie według wymagań określonych w przepisie art. 107 § 3 k.p.a.
W tej sytuacji, uznać należy, że zebrany w sprawie materiał dowodowy jest wyczerpujący i został poddany przez organ nadzorczy wszechstronnemu i wnikliwemu rozpatrzeniu, w wyniku czego doszło do prawidłowego ustalenia stanu faktycznego sprawy.
Prezes Urzędu Ochrony Danych Osobowych, przeprowadzając sporne postępowanie, dokonał wszelkich ocen, przy uwzględnieniu całokształtu zgromadzonego w sprawie materiału dowodowego oraz w kontekście odpowiednio zastosowanych przepisów prawa, w tym przede wszystkim przepisów art. 174a ust. 1 Pr.t w zw. z art. 2 ust. 2 rozporządzenia nr 611/2013.
Warto jednocześnie zauważyć, że Prezes UODO, przeprowadzając sporne postępowanie administracyjne, wykorzystał wszelkie niezbędne instrumenty prawne, jakie dawały mu obowiązujące regulacje ustawowe i uzasadniając swoje stanowisko w decyzji z dnia [...] czerwca 2021 r., w sposób klarowny przedstawił argumentację dotyczącą zasadności nałożenia administracyjnej kary pieniężnej.
W konsekwencji, Sąd stwierdził, że Prezes UODO zasadnie przyjął w uzasadnieniu zaskarżonej decyzji, że w przedmiotowej sprawie bezsprzecznie doszło do naruszenia normy prawnej wynikającej z przepisów art. 174a ust. 1 Pr.t. w zw. z art. 2 ust. 2 rozporządzenia nr 611/2013.
Jednocześnie, uznać należy, że organ nadzorczy w sposób uprawniony stwierdził w uzasadnieniu zaskarżonej decyzji, że bez znaczenia pozostaje przyczyna niedochowania terminu wynikającego z art. 2 ust. 2 cyt. rozporządzenia nr 611/2013, tym bardziej, że - jak ustalono w toku postępowania - leżała ona wyłącznie po stronie pracowników skarżącej spółki.
Według Sądu, za całkowicie niezrozumiały należy uznać również zarzut strony skarżącej, w którym zarzuciła ona organowi nadzorczemu brak uwzględnienia wszystkich istotnych okoliczności wchodzących w zakres naruszenia, dotychczasową działalność podmiotu oraz jego możliwości finansowe, co miało rzekomo wpłynąć na wadliwe nałożenie administracyjnej kary pieniężnej i jej wymiar, a tym samym naruszenie art. 210 ust. 2 w zw. z art. 210a ust. 2 Pr.t.
Otóż, należy wyraźnie podkreślić, że organ nadzorczy, decydując o nałożeniu na skarżącą spółkę administracyjnej kary pieniężnej, kierując się prawidłowo wytycznymi zawartymi w treści art. 210 ust. 2 Pr.t., wziął pod uwagę szereg okoliczności sprawy, które - zdaniem Sądu - świadczą o zasadności zastosowania w niniejszej sprawie sankcji w postaci nałożenia kary pieniężnej.
Przede wszystkim, w ocenie Sądu, organ nadzorczy - ustalając zakres naruszenia - dokonał tego z uwzględnieniem podstawowych celów ustawy, biorąc pod uwagą głównie elementy szkodliwości o charakterze przedmiotowym, które dotyczą rodzaju naruszonych obowiązków, rodzaju naruszonych dóbr, intensywności naruszenia oraz wartości społecznych i ekonomicznych, następstw czynu objętego karą finansową, wysokości spowodowanej szkody, sposobu działania (por. S. Piątek, Prawo telekomunikacyjne. Komentarz, wyd. 4, Wydawnictwo C.H. Beck, Warszawa 2019, komentarz do art. 210 ust. 2 Pr.t.). Jednocześnie, co warto podkreślić, Prezes UODO wziął pod uwagę również okoliczności wpływające łagodząco na wysokość nałożonej kary.
Ponadto, Sąd uznał, że organ nadzorczy - analizując dotychczasową działalność podmiotu, jako przesłankę mająca wpływ na wymiar kary - zasadnie wskazał na okoliczności świadczące o tym, iż zawiadomienia o naruszeniach danych osobowych, objęte spornym postępowaniem, nie były pierwszymi naruszeniami zgłoszonymi przez skarżącą spółkę Prezesowi UODO po upływie 24 godzin od ich wykrycia, a więc z naruszeniem terminu określonego w art. 2 ust. 2 rozporządzenia nr 611/2013.
Biorąc z kolei pod uwagę możliwości finansowe skarżącej spółki, organ nadzorczy dokonał prawidłowej oceny sytuacji ekonomicznej spółki [...] sp. z o.o. i w konsekwencji słusznie przyjął w uzasadnieniu decyzji, że orzeczona kara pieniężna stanowić będzie dla skarżącej spółki niewielkie, chociaż adekwatne do wagi stwierdzonego naruszenia, obciążenie finansowe.
Mając na względzie powyższe, Sąd uznał, iż organ nadzorczy w sposób prawidłowy wykazał w uzasadnieniu zaskarżonej decyzji, że nałożenie kary pieniężnej na skarżącą spółkę było konieczne z uwagi na naruszenie przez nią przepisów art. 174a ust. 1 ustawy - Prawo telekomunikacyjne w związku z art. 2 ust. 2 rozporządzenia nr 611/2013.
W tej sytuacji, w ocenie Sądu, przyjąć należy, że z uwagi na przeprowadzenie wszechstronnej analizy zebranego w trakcie prowadzonego postępowania materiału dowodowego, a także uwzględnienie dopuszczalnej wysokości kary pieniężnej, określonej w art. 210a ust. 1 pkt 2 ustawy - Prawo telekomunikacyjne, Prezes UODO w sposób właściwy ustalił wysokość kary pieniężnej nałożonej na stronę skarżącą na kwotę 100.000 (słownie: sto tysięcy) złotych.
Ponadto, Sąd uznał, że wysokość nałożonej przez organ nadzorczy kary pieniężnej jest nie tylko adekwatna do naruszenia stwierdzonego w trakcie niniejszego postępowania, ale spełnia również zamierzone funkcje kary, tj. funkcję represyjną i prewencyjną, co powinno w przyszłości zapobiec podobnym naruszeniom, zniechęcając dostawców publicznie dostępnych usług telekomunikacyjnych do naruszania obowiązku informacyjnego, o którym mowa w art. 174a ust. 1 Pr.t.
Biorąc powyższe pod uwagę, Wojewódzki Sad Administracyjny w Warszawie - działając na podstawie art. 151 P.p.s.a. - orzekł, jak w sentencji wyroku.[pic][pic]