II SA/Wa 552/23
Podsumowanie
Przejdź do pełnego tekstuWojewódzki Sąd Administracyjny w Warszawie oddalił skargę Sądu Rejonowego na decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO), która nałożyła na Sąd Rejonowy administracyjną karę pieniężną w wysokości 30 000 zł. Kara została nałożona za naruszenie przepisów RODO, w szczególności zasad dotyczących bezpieczeństwa danych osobowych, w związku z zagubieniem przez sędziego dwóch prywatnych, nieszyfrowanych nośników danych (pendrive'ów). Nośniki te zawierały dane osobowe osób uczestniczących w postępowaniach sądowych, sporządzane w projektach orzeczeń i uzasadnień w latach 2004-2020. Sąd Rejonowy w skardze kwestionował nieproporcjonalność kary, twierdząc, że nie wystąpiła faktyczna szkoda, a jedynie ryzyko jej wystąpienia, oraz że naruszenie miało charakter nieumyślny. WSA uznał jednak, że Sąd Rejonowy, jako administrator danych, nie wdrożył odpowiednich środków technicznych i organizacyjnych, aby zapobiec takiemu zdarzeniu. Mimo posiadania analizy ryzyka i zaleceń z audytów wskazujących na potrzebę blokady portów USB, Sąd Rejonowy wdrożył takie zabezpieczenie techniczne dopiero po incydencie. Sąd podkreślił, że naruszenie zasady poufności danych (art. 5 ust. 1 lit. f RODO) oraz zasady rozliczalności (art. 5 ust. 2 RODO) było wynikiem braku adekwatnych środków bezpieczeństwa, co uzasadniało nałożenie kary pieniężnej. Sąd oddalił skargę, uznając decyzję Prezesa UODO za zgodną z prawem.
Przeanalizuj tę sprawę w pełnym kontekście orzecznictwa.
Analiza orzecznictwa · odpowiedzi na pytania · badanie przepisów · drafting pism.
Wartość praktyczna
Siła precedensu: WysokaWdrożenie odpowiednich środków technicznych i organizacyjnych przez administratorów danych, odpowiedzialność za naruszenie ochrony danych osobowych, ocena adekwatności zabezpieczeń, wymiar kar administracyjnych.
Sprawa dotyczy specyficznej sytuacji sądu jako administratora danych, ale zasady są uniwersalne dla wszystkich administratorów.
Zagadnienia prawne (3)
Czy naruszenie zasady poufności danych osobowych, wynikające z zagubienia przez sędziego prywatnych, niezabezpieczonych nośników danych, uzasadnia nałożenie administracyjnej kary pieniężnej na administratora danych (Sąd Rejonowy)?Ratio decidendi
Odpowiedź sądu
Tak, naruszenie zasady poufności danych osobowych, wynikające z zagubienia przez sędziego prywatnych, niezabezpieczonych nośników danych, uzasadnia nałożenie administracyjnej kary pieniężnej na administratora danych, jeśli nie wdrożył on odpowiednich środków technicznych i organizacyjnych zapobiegających takim zdarzeniom.
Uzasadnienie
Sąd uznał, że Sąd Rejonowy jako administrator danych nie wdrożył adekwatnych środków technicznych i organizacyjnych (np. blokady portów USB) zapobiegających utracie poufności danych, mimo posiadanej wiedzy o ryzyku. Brak tych środków doprowadził do naruszenia zasady poufności i rozliczalności, co stanowi podstawę do nałożenia kary.
Czy brak faktycznie poniesionej szkody przez osoby, których dane dotyczą, wyklucza możliwość nałożenia administracyjnej kary pieniężnej za naruszenie ochrony danych osobowych?Ratio decidendi
Odpowiedź sądu
Nie, brak faktycznie poniesionej szkody nie wyklucza możliwości nałożenia kary, jeśli doszło do naruszenia przepisów RODO, a administrator nie zastosował odpowiednich środków bezpieczeństwa. Istnienie ryzyka negatywnych skutków jest wystarczające do oceny naruszenia.
Uzasadnienie
Sąd podkreślił, że przepisy RODO nakładają na administratora obowiązek zapewnienia bezpieczeństwa danych, a naruszenie tej zasady, nawet bez udowodnionej szkody, może skutkować nałożeniem kary. Ryzyko negatywnych skutków jest brane pod uwagę przy ocenie wagi naruszenia.
Czy nieumyślny charakter naruszenia ochrony danych osobowych powinien być traktowany jako okoliczność łagodząca przy wymiarze administracyjnej kary pieniężnej?Ratio decidendi
Odpowiedź sądu
Tak, nieumyślny charakter naruszenia jest brany pod uwagę przy wymiarze kary, jednak nie zawsze musi prowadzić do jej obniżenia lub odstąpienia od nałożenia, zwłaszcza gdy naruszenie jest poważne i wynika z niedbalstwa administratora.
Uzasadnienie
Sąd wskazał, że Prezes UODO uwzględnił nieumyślny charakter naruszenia jako okoliczność łagodzącą, ale jednocześnie ocenił wagę naruszenia i brak odpowiednich środków bezpieczeństwa jako czynniki obciążające, co uzasadniało nałożenie kary.
Przepisy (13)
Główne
RODO art. 5 § 1 lit. f)
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (integralność i poufność).
RODO art. 5 § 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Administrator jest odpowiedzialny za przestrzeganie zasad ochrony danych i musi być w stanie wykazać ich przestrzeganie (zasada rozliczalności).
RODO art. 24 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić zgodność przetwarzania z RODO i móc to wykazać.
RODO art. 25 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Administrator wdraża odpowiednie środki techniczne i organizacyjne (np. pseudonimizacja) zaprojektowane w celu skutecznej realizacji zasad ochrony danych i nadania przetwarzaniu niezbędnych zabezpieczeń (ochrona danych w fazie projektowania).
RODO art. 32 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku, w tym ciągłą poufność, integralność, dostępność i odporność systemów oraz regularne testowanie ich skuteczności.
Pomocnicze
RODO art. 25 § 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Administrator wdraża środki zapewniające domyślną ochronę danych.
RODO art. 32 § 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Ocena adekwatności środków bezpieczeństwa uwzględnia ryzyko związane z przetwarzaniem, w tym ryzyko nieuprawnionego dostępu.
RODO art. 83 § 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Okoliczności obciążające i łagodzące przy wymiarze kary pieniężnej.
p.p.s.a. art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
p.u.s.p. art. 175db
Ustawa z dnia 27 lipca 2001 r. Prawo o ustroju sądów powszechnych
p.u.s.p. art. 8
Ustawa z dnia 27 lipca 2001 r. Prawo o ustroju sądów powszechnych
p.u.s.p. art. 175dd
Ustawa z dnia 27 lipca 2001 r. Prawo o ustroju sądów powszechnych
u.o.d.o. art. 102
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
Ograniczenie wysokości kary pieniężnej dla jednostki sektora finansów publicznych do 100 000 zł.
Argumenty
Skuteczne argumenty
Sąd Rejonowy jako administrator danych nie wdrożył odpowiednich środków technicznych i organizacyjnych zapobiegających naruszeniu ochrony danych osobowych. • Naruszenie zasady poufności i rozliczalności danych uzasadnia nałożenie kary pieniężnej. • Ryzyko negatywnych skutków dla osób, których dane dotyczą, jest brane pod uwagę przy ocenie wagi naruszenia.
Odrzucone argumenty
Kara pieniężna jest nieproporcjonalna do charakteru naruszenia. • Nie wystąpiła faktyczna szkoda, a jedynie ryzyko jej wystąpienia. • Naruszenie miało charakter nieumyślny i powinno być traktowane jako okoliczność łagodząca. • Organ powinien poprzestać na upomnieniu.
Godne uwagi sformułowania
zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu • koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania [...] są adekwatne do poziomu ryzyka • brak zastosowania adekwatnych do zagrożeń środków bezpieczeństwa [...] spowodował naruszenie przez Administratora przepisów [...] w następstwie czego doszło do naruszenia zasady poufności danych • Administrator podjął w ten sposób ryzyko, które zmaterializowało się w przedmiotowym naruszeniu.
Skład orzekający
Izabela Głowacka-Klimas
przewodniczący sprawozdawca
Łukasz Krzycki
sędzia
Dorota Kozub-Marciniak
asesor
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Wdrożenie odpowiednich środków technicznych i organizacyjnych przez administratorów danych, odpowiedzialność za naruszenie ochrony danych osobowych, ocena adekwatności zabezpieczeń, wymiar kar administracyjnych."
Ograniczenia: Sprawa dotyczy specyficznej sytuacji sądu jako administratora danych, ale zasady są uniwersalne dla wszystkich administratorów.
Wartość merytoryczna
Ocena: 7/10
Sprawa pokazuje realne konsekwencje zaniedbań w zakresie ochrony danych osobowych w instytucji publicznej, jaką jest sąd, co jest istotne dla zrozumienia obowiązków administratorów.
“Sąd ukarany za zgubienie pendrive'ów z danymi spraw sądowych. Czy Twoja instytucja jest bezpieczna?”
Dane finansowe
WPS: 30 000 PLN
Twój asystent do analizy prawnej.
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka 1,4 mln orzeczeń i aktualne akty prawne.
- Analiza orzecznictwa i przepisów
- Drafting pism i dokumentów
- Odpowiedzi na pytania prawne
- Pogłębiona analiza z doktryny
Pełny tekst orzeczenia
Oryginalna treść postanowienia (niezmieniona). Otwiera się jako osobna strona.