Naczelny Sąd Administracyjny (NSA) oddalił skargę kasacyjną złożoną przez właściciela kliniki stomatologicznej od wyroku oddalającego jego skargę wobec decyzji karowej Prezesa Urzędu Ochrony Danych Osobowych (UODO). Zaskarżona kara została nałożona przez regulatora w związku z naruszeniem ochrony danych, polegającym na bezprawnym skopiowaniem danych pacjentów przez jednego z pracowników placówki. Co ciekawe jednak, finalnie kara została nałożona za niewypełnienie nakazu zawiadomienia osób, których dane dotyczą o tym naruszeniu.
Naruszenie ochrony danych
Sprawa ma swoje początki jeszcze w 2019 r. Wówczas do organu nadzorczego wpłynęło zawiadomienie o naruszeniu. Polegało ono na tym, że jeden z pracowników kliniki stomatologicznej bezprawnie skopiował dane osobowe pacjentów administratora. Pracownik zamierzał wykorzystać te dane w celach marketingowych własnej działalności. Po rozpatrzeniu naruszenia, Prezes UODO wydał decyzję, w której nakazał administratorowi zawiadomić o naruszeniu osoby, których dane zostały nim objęte.
Kolejne kary Prezesa UODO za brak zgłoszenia naruszenia ochrony danych!
Kosztowny brak realizacji decyzji
Brak realizacji nakazu wynikającego z decyzji stał się powodem ponownego zainteresowania organu nadzorczego. Z jego ustaleń wynika, że administrator początkowo nie zawiadomił osób, których dane dotyczą, jak również unikał przedstawienia jakichkolwiek wyjaśnień w tym zakresie. Przedłożone następnie wyjaśnienia okazać się miały niezadowalające dla organu nadzorczego. Administrator podnosił bowiem, że nie wie, jak wykonać nakaz Prezesa UODO, w tym nie wie ile osób mogło zostać objęte naruszeniem. Co ciekawe, administrator miał również podnosić, że powiadomienie osób o naruszeniu jest obowiązkiem Prezesa UODO, a nie administratora.
Ostatecznie, administrator przedłożył organowi nadzorczemu 37 faktur za zakup 37 znaczków pocztowych oraz pisemne oświadczenie pracownika poczty. Zdaniem regulatora, dowody te nie potwierdzały realizacji nakazu powiadomienia osób. W związku z tym Prezes UODO nałożył na administratora karę w wysokości 85 588 złotych. Co ciekawe, niedługo po nałożeniu kary, administrator miał przedłożyć dowody wykonania wcześniejszej decyzji. Okazało się jednak, że stosowne pisma zostały wysłane do osób, których dane dotyczą, już po nałożeniu kary przez regulatora.
UODO nakłada karę 20 tys. zł za brak zgłoszenia naruszenia przez prokuraturę
Sądy potwierdziły zasadność kary
Administrator zaskarżył decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie (WSA). Administrator podnosił, że nałożona kara była nieadekwatna, a Prezes UODO naruszył przepisy postępowania dotyczące odpowiedniego wyjaśnienia stanu faktycznego. WSA nie podzielił jednak stanowiska skarżącego i skargę oddalił. Wskutek skargi kasacyjnej, sprawa trafiła przed oblicze NSA. W skardze kasacyjnej, administrator podnosił, że w toku postępowania dostarczył on bezsporne dowody spełnienia nakazu wynikającego z decyzji Prezesa UODO. NSA nie przychylił się jednak do stanowiska administratora. Sąd wskazał, że dowody realizacji nakazu, zostały przedstawione zbyt późno. Tym samym, NSA utrzymał w mocy wyrok niższej instancji, a w konsekwencji również decyzję Prezesa UODO.
Organ nadzorczy zwrócił uwagę w opublikowanym komunikacie na specyfikę nałożonej kary. Wskazał on, że kary za nieprzestrzeganie nakazów organu nadzorczego nakładane są rzadko. Regulator podkreślił, że tego typu sankcje stosowane są w przypadkach umyślnego, notorycznego lub lekceważącego stosunku do nakazów nakładanych przez Prezesa UODO w decyzjach.
Źródło:
https://uodo.gov.pl/pl/138/4065
