II SA/WA 528/21
Podsumowanie
Przejdź do pełnego tekstuSprawa dotyczyła skargi spółki [...] Sp. z o.o. w likwidacji na decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO), która nałożyła na spółkę administracyjną karę pieniężną w wysokości 1 069 850 zł za naruszenie przepisów RODO. Naruszenie polegało na niewdrożeniu odpowiednich środków technicznych i organizacyjnych, co skutkowało publicznym dostępem do danych osobowych 218 657 osób. Incydent miał miejsce wskutek awarii serwera i błędu pracownika podmiotu przetwarzającego, któremu spółka powierzyła przetwarzanie danych. Prezes UODO uznał, że spółka jako administrator danych dopuściła się zwłoki w stwierdzeniu naruszenia i nie podjęła odpowiednich działań zaradczych. Spółka wniosła skargę do WSA, zarzucając organowi m.in. błędną wykładnię przepisów RODO, nieuwzględnienie roli podmiotu przetwarzającego oraz naruszenie przepisów postępowania. WSA uchylił zaskarżoną decyzję, uznając, że odpowiedzialność za incydent leży głównie po stronie podmiotu przetwarzającego, a administrator nie miał bezpośredniego wpływu na jego powstanie. Sąd podkreślił, że choć administrator nie jest zwolniony z odpowiedzialności, to w przypadku powierzenia przetwarzania danych podmiotowi trzeciemu, należy uwzględnić jego rolę i przyczynienie się do naruszenia. W tej konkretnej sprawie błąd pracownika podmiotu przetwarzającego był bezpośrednią przyczyną naruszenia, a opóźnienie w stwierdzeniu naruszenia przez administratora mogło co najwyżej przyczynić się do powstania szkody, a nie samego naruszenia.
Przeanalizuj tę sprawę w pełnym kontekście orzecznictwa.
Analiza orzecznictwa · odpowiedzi na pytania · badanie przepisów · drafting pism.
Wartość praktyczna
Siła precedensu: WysokaRozłożenie odpowiedzialności między administratorem a podmiotem przetwarzającym w przypadku naruszenia ochrony danych osobowych.
Dotyczy sytuacji, gdy naruszenie nastąpiło wskutek błędu pracownika podmiotu przetwarzającego, a administrator podjął działania w celu weryfikacji i powiadomienia.
Zagadnienia prawne (3)
Czy administrator danych ponosi wyłączną odpowiedzialność za naruszenie ochrony danych osobowych, jeśli bezpośrednią przyczyną incydentu był błąd pracownika podmiotu przetwarzającego?Ratio decidendi
Odpowiedź sądu
Nie, odpowiedzialność za naruszenie ochrony danych osobowych w przypadku powierzenia przetwarzania danych podmiotowi przetwarzającemu nie spoczywa wyłącznie na administratorze, a należy uwzględnić rolę i przyczynienie się podmiotu przetwarzającego do naruszenia.
Uzasadnienie
Sąd uznał, że choć administrator nie jest zwolniony z odpowiedzialności, to w sytuacji, gdy naruszenie nastąpiło wskutek błędu pracownika podmiotu przetwarzającego, należy ocenić indywidualne przyczynienie się obu podmiotów do naruszenia. W tej sprawie błąd pracownika podmiotu przetwarzającego był bezpośrednią przyczyną incydentu, a opóźnienie administratora w stwierdzeniu naruszenia mogło co najwyżej przyczynić się do powstania szkody, a nie samego naruszenia.
Czy opóźnienie administratora w stwierdzeniu naruszenia ochrony danych osobowych, po otrzymaniu pierwszego sygnału, stanowi podstawę do nałożenia kary pieniężnej, jeśli samo naruszenie nastąpiło z przyczyn leżących po stronie podmiotu przetwarzającego?Ratio decidendi
Odpowiedź sądu
Opóźnienie w stwierdzeniu naruszenia może być podstawą do oceny działań administratora, ale niekoniecznie wyłączną podstawą do przypisania mu pełnej odpowiedzialności za samo naruszenie, zwłaszcza gdy jego możliwości działania były ograniczone, a bezpośrednia przyczyna leżała po stronie podmiotu przetwarzającego.
Uzasadnienie
Sąd stwierdził, że choć administrator nie wykazał się wystarczającą aktywnością w weryfikacji pierwszych sygnałów o naruszeniu, jego możliwości działania były ograniczone, a bezpośrednia przyczyna naruszenia leżała po stronie podmiotu przetwarzającego. Opóźnienie mogło przyczynić się do powstania szkody, ale nie do samego naruszenia.
Czy kara pieniężna nałożona na administratora danych powinna uwzględniać stopień odpowiedzialności zarówno administratora, jak i podmiotu przetwarzającego?Ratio decidendi
Odpowiedź sądu
Tak, przy nakładaniu kar pieniężnych należy brać pod uwagę stopień odpowiedzialności obu podmiotów oraz wdrożone przez nich środki techniczne i organizacyjne.
Uzasadnienie
Sąd wskazał, że przepisy RODO (art. 83 ust. 2 lit. d) nakazują uwzględnienie stopnia odpowiedzialności administratora lub podmiotu przetwarzającego przy ustalaniu wysokości kary, co oznacza konieczność analizy przyczynienia się obu stron do naruszenia.
Przepisy (25)
Główne
RODO art. 5 § ust. 1 lit. f
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 24 § ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 25 § ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 32 § ust. 1 lit. b
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 32 § ust. 1 lit. d
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 32 § ust. 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
p.p.s.a. art. 145 § § 1 pkt 1 lit. a i c
Ustawa z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi
p.p.s.a. art. 145 § § 3
Ustawa z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi
Pomocnicze
u.o.d.o. art. 7 § ust. 1
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
u.o.d.o. art. 60
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
u.o.d.o. art. 101
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
u.o.d.o. art. 103
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
RODO art. 28 § ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 28 § ust. 3 lit. h
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 33 § ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 34 § ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 57 § ust. 1 lit. a
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 58 § ust. 2 lit. i
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 83 § ust. 1-3
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 83 § ust. 4 lit. a
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 83 § ust. 5 lit. a
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
k.p.a. art. 104 § § 1
Kodeks postępowania administracyjnego
k.p.a. art. 105 § § 1
Kodeks postępowania administracyjnego
p.p.s.a. art. 200
Ustawa z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi
p.p.s.a. art. 205 § § 2
Ustawa z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi
Argumenty
Skuteczne argumenty
Odpowiedzialność za naruszenie ochrony danych osobowych w przypadku powierzenia przetwarzania danych podmiotowi przetwarzającemu nie spoczywa wyłącznie na administratorze. • Bezpośrednią przyczyną naruszenia był błąd pracownika podmiotu przetwarzającego, a nie zaniedbania administratora. • Opóźnienie w stwierdzeniu naruszenia przez administratora mogło przyczynić się do powstania szkody, ale nie do samego naruszenia. • Sąd powinien uwzględnić rolę podmiotu przetwarzającego i jego przyczynienie się do naruszenia przy ocenie odpowiedzialności administratora.
Odrzucone argumenty
Zarzuty Prezesa UODO dotyczące wyłącznej odpowiedzialności administratora za zwłokę w stwierdzeniu naruszenia i brak odpowiednich środków technicznych i organizacyjnych. • Argumentacja organu o braku wpływu umowy powierzenia przetwarzania danych na odpowiedzialność administratora.
Godne uwagi sformułowania
odpowiedzialność za naruszenie ochrony danych osobowych w przypadku powierzenia przetwarzania danych podmiotowi przetwarzającemu nie spoczywa wyłącznie na administratorze • bezpośrednią przyczyną naruszenia był błąd pracownika podmiotu przetwarzającego • opóźnienie w stwierdzeniu naruszenia mogło przyczynić się do powstania szkody, a nie do samego naruszenia • nie można egzekwować od administratora całej odpowiedzialności za naruszenie przepisów prawa prowadzących do naruszenia ochrony danych osobowych, powstałego z przyczyn leżących po stronie podmiotu przetwarzającego
Skład orzekający
Karolina Kisielewicz
przewodniczący sprawozdawca
Joanna Kruszewska-Grońska
sędzia
Tomasz Szmydt
sędzia
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Rozłożenie odpowiedzialności między administratorem a podmiotem przetwarzającym w przypadku naruszenia ochrony danych osobowych."
Ograniczenia: Dotyczy sytuacji, gdy naruszenie nastąpiło wskutek błędu pracownika podmiotu przetwarzającego, a administrator podjął działania w celu weryfikacji i powiadomienia.
Wartość merytoryczna
Ocena: 8/10
Sprawa dotyczy ważnego zagadnienia podziału odpowiedzialności za naruszenie ochrony danych osobowych między administratorem a podmiotem przetwarzającym, co jest kluczowe dla wielu firm.
“Kto odpowiada za wyciek danych? Sąd rozstrzyga podział winy między firmą a jej podwykonawcą.”
Twój asystent do analizy prawnej.
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka 1,4 mln orzeczeń i aktualne akty prawne.
- Analiza orzecznictwa i przepisów
- Drafting pism i dokumentów
- Odpowiedzi na pytania prawne
- Pogłębiona analiza z doktryny
Pełny tekst orzeczenia
Oryginalna treść postanowienia (niezmieniona). Otwiera się jako osobna strona.