Naczelny Sąd Administracyjny (NSA), wskazał w swoim niedawno wydanym wyroku, że w jego ocenie zmianie powinien ulec model prowadzenia postępowań przez Prezesa Urzędu Ochrony Danych Osobowych (UODO), związanych z tym samym incydentem. NSA uznał, że sprawy dotyczące tego samego wycieku, powinny być rozpatrywane w jednym postępowaniu, nawet jeśli są one wynikiem różnych skarg. Sąd uchylił jednocześnie decyzje Prezesa UODO. W świetle wyroku NSA, sprawa ma zostać teraz rozpatrzona od nowa, tym razem w ramach jednego postępowania.
Co się stało?
Wyrok NSA zapadł w ramach toczącego się od 2020 roku postępowania związanego z wyciekiem danych z internetowego serwisowi pożyczkowego. Baza składająca się z danych ponad stu tysięcy osób została wówczas wykradziona przez osoby nieuprawnione. W bazach znajdowały się, m.in. numery PESEL i informacje o zarobkach osób, których dotyczyły dane. Osoby, które przejęły kontrolę nad informacjami, zażądały od administratora okupu w zamian za zwrot tej bazy.
Ujawniono prawdopodobnie największy wyciek danych w historii
Incydent stał się przedmiotem kilkunastu postępowań – postępowań skargowych, wszczętych w związku ze skargami osób dotkniętych wyciekiem i postępowania głównego, wszczętego z urzędu przez Prezesa UODO w celu zbadania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Sąd I instancji uchylił decyzję wydaną przez organ nadzorczy, wskazując, że w danej sprawie odpowiedzialny za naruszenie był wyłącznie podmiot przetwarzający. NSA nie zgodził się z tym wyrokiem i uchylił go, jednocześnie uchylając decyzję Prezesa UODO w tej sprawie. Podstawą rozstrzygnięcia NSA były nieprawidłowości proceduralne, związane z „rozparcelowaniem” jednego incydentu na kilkanaście postępowań.
Problem prowadzenia wielu postępowań
NSA zwrócił uwagę, że rozpatrywanie spraw związanych z jednym incydentem w ramach kilkunastu postępowań, wypacza obraz incydentu i uniemożliwia jego kompleksową ocenę na podstawie wszystkich okoliczności związanych z incydentem. Według NSA taki model prowadzenia spraw narusza podstawowe zasady postępowania wyjaśniającego. NSA stwierdził, że wszystkie postępowania prowadzone w związku z tym wyciekiem powinny być połączone i prowadzone jako jedno postępowanie. Ponadto, w ocenie sądu, osoby, które wniosły skargę na przetwarzanie ich danych przez administratora, powinny mieć w owym połączonym postępowaniu status strony postępowania.
Odwołanie zgody musi być równie łatwe, jak jej udzielenie – wyrok NSA!
Nie brakuje wątpliwości
Wyrok NSA może mieć znaczący wpływ na organizację pracy organu nadzorczego. W jego świetle, sprawy dotychczas prowadzone oddzielnie, powinny być bowiem połączone w jedno postępowanie, obejmujące całokształt zagadnień związanych z jednym incydentem. Mimo że taka zmiana teoretycznie może przyśpieszyć i usprawnić pracę regulatora, nie brak głosów krytyki wobec orzeczenia. Proponowany przez NSA model prowadzenia postępowań może bowiem w wielu miejscach być niedostosowany do rozwiązań wynikających z RODO. Wątpliwości mogą budzić również kwestie proceduralne związane z połączeniem spraw skargowych z postępowaniem prowadzonym przez organ nadzorczy z urzędu.
Na łamach Dziennika Gazeta Prawna, eksperci zwrócili natomiast uwagę, że prawo do złożenia skargi przez podmiot danych nie jest ograniczone czasowo. Istnieje możliwość złożenia skargi związanej z danym incydentem, który wcześniej stał się już przedmiotem prawomocnej decyzji regulatora. Zwrócono również uwagę, że przyznanie skarżącym statusu strony postępowania będzie oznaczać, że uzyskają one prawo do zaskarżania decyzji Prezesa UODO do sądu administracyjnego. Teoretycznie, również w zakresie ewentualnej kary pieniężnej nałożonej przez regulatora.
Źródła:
