WSA uznał, że decyzja UODO z grudnia 2024 r. o nałożeniu 1,5 mln zł kary na firmę Panek SA była zgodna z prawem i uzasadniona.
Dane klientów firmy Panek trafiły do Google
Kara była konsekwencją wycieku danych klientów firmy carsharingowej, do jakiego doszło w 2020 r. Podczas uruchamiania nowej witryny internetowej firmy Panek nastąpiło ujawnienie folderu zawierającego pliki z danymi osobowymi pochodzącymi z poprzedniej wersji strony.
W rezultacie robot Google był w stanie indeksować pliki obejmujące dane osobowe, takie jak imię i nazwisko, adres e-mail, adres zamieszkania, hasła dostępu do panelu klienta, numer telefonu oraz - choć w dużej mniejszej skali - numer PESEL. Naruszenie ostatecznie dotyczyło ponad 7 tys. osób (bez ujawnienia numerów PESEL).
Czytaj więcej
Prezes Urzędu Ochrony Danych Osobowych otrzymał zgłoszenie naruszenia danych osobowych od PANEK S.A. Urząd analizuje sprawę.
UODO nałożył wysoką karę na firmę Panek
Prezes UODO Mirosław Wróblewski nałożył na Panek SA jako administratora danych karę pieniężną w wysokości 1 527 855 zł, zaś na podmiot przetwarzający, firmę ITCenter, która budowała stronę internetową firmy Panek – karę 20 037 zł (za naruszenie art. 32 ust. 1 i 2 oraz art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c RODO).
Spółka Panek nie pogodziła się z karą, zaskarżyła decyzję UODO zarzucając, że narusza przepisy postępowania poprzez przyjęcie, że to spółka ponosi odpowiedzialność za incydent, a nie zewnętrzny podmiot, któremu powierzyła zapewnienie bezpieczeństwa danych. Firma zarzuciła też Urzędowi m.in. błędne zastosowanie przepisów RODO oraz nieprawidłowe wyliczenie kary pieniężnej.
Sąd przyznał rację PUODO, firma Panek przegrała
W wyroku z maja 2025 r. Wojewódzki Sąd Administracyjny stwierdził, że decyzja Prezesa UODO nie narusza prawa. Zaznaczył, że istota sprawy sprowadzała się do zbadania, czy administrator danych zapewnił wystarczające środki techniczno-organizacyjne, by móc weryfikować, czy zewnętrzny podmiot przetwarzający wdraża odpowiednie środki bezpieczeństwa ochrony danych. Według Sądu tak się nie stało.
WSA przywołał główne założenie, wynikające z rozporządzenia 2016/679, które głosi, że zarządzanie ryzykiem stanowi fundament działań związanych z ochroną danych osobowych, i wynika z tego, że monitorowanie poziomu zagrożeń oraz zapewnienie rozliczalności w zakresie adekwatności zabezpieczeń jest koniecznością, bez której nie da się mówić o zabezpieczaniu danych osobowych; nie da się także przeprowadzać tego typu działań bez tworzenia stałej ich dokumentacji, która pomaga w rozpoznawaniu zagrożeń i ich klasyfikowaniu w przyszłości. WSA zwrócił też uwagę, że niezależnie od relacji pomiędzy administratorem danych a podmiotem przetwarzającym to na administratorze spoczywa obowiązek rzetelnej analizy ryzyka.
W wyroku WSA stwierdził również, że nakładając karę pieniężną, PUODO nie przekroczył maksymalnych wysokości kwot przewidzianych prawem. Zastosował także wytyczne Europejskiej Rady Ochrony Danych przy wyliczaniu wysokości kary, więc trudno uznać ją za arbitralną.
sygn. akt II SA/Wa 45/25
Panek SA
Z lokalnej wypożyczalni na rynek międzynarodowy
Firma Panek S.A. została założona w 2000 roku w Lubinie na Dolnym Śląsku jako lokalna wypożyczalnia samochodów. W ciągu 25 lat spółka przekształciła się w jednego z ogólnopolskich i środkowo-europejskich operatorów oferujących usługi wynajmu pojazdów na minuty, wynajmu krótkoterminowego oraz długoterminowego. Obecnie Panek koncentruje się na wynajmie dobowym pojazdów, m.in. na lotniskach, we współpracy z sieciami dealerskimi czy w branży HoReCa. Spółka prowadzi swoją działalność także na rynkach międzynarodowych, m.in. w Austrii, na Litwie, Łotwie, w Niemczech i na Słowacji.
