Sąd: Panek ma zapłacić wielką karę. Chodzi o RODO

Spółka Panek nie pogodziła się z karą, zaskarżyła decyzję UODO zarzucając, że  narusza przepisy postępowania poprzez przyjęcie, że to spółka ponosi odpowiedzialność za incydent, a nie zewnętrzny podmiot, któremu powierzyła  zapewnienie bezpieczeństwa danych. Firma zarzuciła też Urzędowi m.in. błędne zastosowanie przepisów RODO oraz nieprawidłowe wyliczenie kary pieniężnej.

Sąd przyznał rację PUODO,  firma Panek przegrała

W wyroku z maja 2025 r.  Wojewódzki Sąd Administracyjny stwierdził, że decyzja Prezesa UODO nie narusza prawa. Zaznaczył, że istota sprawy sprowadzała się do zbadania, czy administrator danych zapewnił wystarczające środki techniczno-organizacyjne, by móc weryfikować, czy zewnętrzny podmiot przetwarzający  wdraża odpowiednie środki bezpieczeństwa ochrony danych. Według Sądu tak się nie stało.

WSA przywołał główne założenie, wynikające z rozporządzenia 2016/679, które głosi, że zarządzanie ryzykiem stanowi fundament działań związanych z ochroną danych osobowych, i wynika z tego, że monitorowanie poziomu zagrożeń oraz zapewnienie rozliczalności w zakresie adekwatności zabezpieczeń jest koniecznością, bez której nie da się mówić o zabezpieczaniu danych osobowych; nie da się także przeprowadzać tego typu działań bez tworzenia stałej ich dokumentacji, która pomaga w rozpoznawaniu zagrożeń i ich klasyfikowaniu w przyszłości. WSA zwrócił też uwagę, że niezależnie od relacji pomiędzy administratorem danych a podmiotem przetwarzającym to na administratorze spoczywa obowiązek rzetelnej analizy ryzyka.

W wyroku WSA stwierdził również, że nakładając karę pieniężną, PUODO nie przekroczył maksymalnych wysokości kwot przewidzianych prawem.  Zastosował także wytyczne Europejskiej Rady Ochrony Danych przy wyliczaniu wysokości kary, więc trudno uznać ją za arbitralną.

sygn. akt II SA/Wa 45/25