Taki morał płynie z precedensowego wyroku Naczelnego Sądu Administracyjnego (NSA), który powinien stać się przestrogą dla tysięcy polskich pracodawców i innych płatników. Wynika z niego bowiem jasno, że przez informacje PIT-11, które są podstawą do rocznego rozliczenia podatku dochodowego i w milionach są przesyłane podatnikom, można trafić nie tylko na celownik skarbówki, ale też prezesa Urzędu Ochrony Danych Osobowych (UODO).
Obowiązki płatnika a ochrona danych osobowych
Przekonała się o tym kancelaria specjalizująca się w zarządzaniu procesami związanymi z dochodzeniem długów. A jej kłopoty miały związek z kontraktem z 2009 r. podpisanym z jednym z funduszy inwestycyjnych na obsługę sekurytyzowanych wierzytelności. W jej ramach kancelaria podjęła się m.in. zawierania ugód w imieniu funduszu. Jedną z nich podpisano ze spadkobierczynią zmarłej dłużniczki.
Czytaj więcej:
Od 25 maja obowiązuje unijne ogólne rozporządzenie o ochronie danych (RODO). Oto lista najważniejszych rzeczy, o których powinni pamiętać zarówno p...
Pro
Schody zaczęły się, gdy kancelaria wysłała kobiecie PIT-11 za 2018 r., wystawiony w związku z ugodą. Dokument nie trafił jednak do jej rąk, w efekcie zainteresowana zaalarmowała UODO. Zarzuciła, że kancelaria przesłała PIT-11 na błędy adres, a zatem doszło do udostępnienia jej danych osobowych osobom nieuprawnionym.
Podkreśliła, że miejsca, gdzie została wysłana informacja podatkowa, nigdy nie podawała jako adresu korespondencyjnego. Nigdy też tam nie mieszkała. O nieprawidłowościach dowiedziała się w maju 2019 r. od swojego urzędu skarbowego i z późniejszej rozmowy telefonicznej z samą kancelarią.
Informacja PIT-11 a przepisy RODO
Prezes UODO nie zbagatelizował sprawy i poprosił o wyjaśnienia. Kancelaria tłumaczyła się, że fundusz zawarł z nią umowę powierzenia przetwarzania danych osobowych dłużników. Sam fundusz przetwarza zaś dane osobowe klientki w związku z uznaniem przez nią zadłużenia po zmarłej. A jego celem jest m.in. realizacja obowiązków wynikających z prawa podatkowego. Kancelaria podkreśliła, że kategorie przetwarzanych danych obejmują informacje zwykłe w postaci imienia, nazwiska, adresu zamieszkania, numeru PESEL, numeru telefonu oraz sygnatury akt sprawy sądowej.
Czytaj więcej
Samo naruszenie RODO nie daje prawa do odszkodowania, ale szkoda niemajątkowa musi zostać naprawiona niezależnie od jej wagi . Odpowiedzialność nie...
Spółka przekonywała, że nie udostępniła danych osobowych z PIT-11 osom trzecim. Przesyłka została bowiem zwrócona przez pocztę jako nieodebrana. Ponadto wskazała, że do nieprawidłowości doszło z uwagi na brak kontaktu ze spadkobierczynią, w związku z czym PIT-11 został wystawiony na adres z systemu teleinformatycznego. Kancelaria oświadczyła również, że na wieść o błędzie natychmiast sporządziła korektę dokumentu, wskazując właściwy adres. A w celu zapobieżenia podobnym nieprawidłowościom przeprowadziła rozmowy z pracownikami i ponowne szkolenia z zakresu danych osobowych.
Naruszenie przepisów RODO a kara UODO
Te tłumaczenia nie wystarczyły, żeby uniknąć konsekwencji. I choć skończyło się tylko na upomnieniu, prezes UODO nie miał wątpliwości, że kancelaria naruszyła przepisy. Urzędnicy podkreślili, że art. 5 ust. 1 lit. d RODO nakłada na administratora obowiązek przetwarzania prawidłowych danych osobowych i w razie potrzeby ich uaktualniania. W tym celu musi podejmować wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane. I w ocenie UODO spółka przetwarzała dane osobowe nierzetelnie, bo był do nich przyporządkowany nieprawidłowy, nieaktualny adres, na który wysłano przesyłkę z PIT-11.
Czytaj więcej:
W 2024 r. Prezes Urzędu Ochrony Danych Osobowych wydał 20 opublikowanych decyzji nakładających administracyjne kary pieniężne za naruszenia przepis...
Pro
Ukarana poszła do sądu pierwszej instancji i wygrała. Wojewódzki Sąd Administracyjny (WSA) w Warszawie uznał, że UODO nie przedstawił dowodów na nierzetelne przetwarzanie danych. Przede wszystkim nie dochowując należytej staranności, nie ustalił, czy skarżąca dysponowała spornym adresem jeszcze przed sięgnięciem do systemu teleinformatycznego ani jaki to był np. PESEL lub jeszcze inny. WSA wytknął też urzędnikom, że w sposób nieuprawniony zrównują pojęcie „nieprawidłowego adresu” i „adresu nieaktualnego”.
PIT-11 wysłany na błędny adres a ochrona danych osobowych
Diametralnie inaczej do sprawy podszedł NSA. Nie tylko skasował korzystny dla spółki wyrok WSA, ale oddalił jej skargę, czym przyznał rację UODO. Sąd zauważył, że podstawą kary w sprawie było wysłania PIT-11 tam, gdzie nie powinien on trafić. I nie jest istotne, czy jest to adres nieaktualny, czy nieprawidłowy. Samo wysłanie na zły adres PIT-11 stanowi bowiem naruszenie RODO.
Czytaj więcej
Jeśli kierowca lub kontroler w autobusie żąda od pasażera podania nazwiska przy sprawdzaniu biletów, to , korzystając z tego zbioru, to jako przed...
Jak podkreśliła sędzia NSA Małgorzata Pocztarek, przesyłając PIT-11, który dotyczy wrażliwych danych, trzeba dochować należytej staranności. Każdy, kto dysponuje takimi danymi, musi o tym pamiętać i uważać, bo jeśli okaże się, że dokument zostanie przesłany na nieprawidłowy adres, to dochodzi do nieprawidłowości w przetwarzaniu danych. W konsekwencji prezes UODO postąpił słusznie, zwłaszcza że przecież jest od tego, żeby stać na straży ochrony naszych danych osobowych – konkludował NSA. Wyrok jest prawomocny.
Sygnatura akt: III OSK 567/22
Paweł Litwiński
adwokat, partner w kancelarii Barta Litwiński
Wyrok NSA jest bardzo ważny, bo potencjalnie dotyczy tysięcy płatników, którzy co roku muszą wywiązać się z obowiązku przesłania informacji PIT-11 w skali idącej w miliony. Warto przypomnieć, że jedną z podstawowych zasad przetwarzania danych osobowych jest zasada merytorycznej poprawności danych. Wynika z niej, że administrator, w granicach należytej staranności, musi podjąć starania celem zapewnienia, żeby zbierane dane były zgodne z prawdą. W spornej sprawie, jak wiele na to wskazuje, tak nie było: pozyskano adres osoby fizycznej, nie zweryfikowano go w żaden sposób i od razu wysłano tam PIT-11. Co prawda nie zgadzam się, że PIT-11 zawiera dane osobowe należące do szczególnej kategorii „wrażliwych”. Niemniej może zawierać tzw. dane finansowe, czyli dane ujawniające sytuację majątkową osoby fizycznej, których wyciek może rodzić ponadstandardowe ryzyko. Wniosek, jaki płynie z tego wyroku, jest więc bardzo jasny: gromadząc dane osobowe, musimy to robić tak, aby w granicach dostępnych nam środków zapewnić ich merytoryczną poprawność. A przesłanie PIT-11 na niezweryfikowany adres podatnika może skończyć się nie tylko upomnieniem, ale karą finansową za naruszenie przepisów RODO. I to bez względu na to, czy adres był niepoprawny, czy nieaktualny.
