Rzeczpospolita
Prawo
Reklama

Cyfrowy Polsat wygrywa sprawę o milionową karę. Chodzi o naruszenie RODO

Prezes Urzędu Ochrony Danych Osobowych będzie jeszcze raz musiał zająć się karą nałożoną na Cyfrowy Polsat za dokumenty utracone przez firmę kurierską, które zawierały dane osobowe klientów.

Publikacja: 15.09.2025 13:47

Cyfrowy Polsat

Cyfrowy Polsat

Foto: Adobe Stock

Aleksandra Tarka

Naczelny Sąd Administracyjny (NSA) oddalił skargę kasacyjną prezesa Urzędu Ochrony Danych Osobowych (UODO) w sprawie dotyczącej gigantycznej kary nałożonej na Cyfrowy Polsat.

Problemy medialnego giganta zaczęły się w 2021 r., gdy nadzór zarzucił mu niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych przetwarzanych we współpracy z firmą kurierską. I nałożył na spółkę ponad 1,1 mln zł kary.

Czy Cyfrowy Polsat mógł dostać karę za wyciek danych z przesyłek kurierskich?

Urzędnicy zainteresowali się sprawą po tym, jak sama spółka regularnie zaczęła zgłaszać do UODO liczne przypadki naruszenia ochrony danych osobowych klientów. Miały one polegać m.in. na utracie – kradzieży bądź zagubieniu – oraz na wydaniu niewłaściwej osobie przez kurierów dokumentów zawierających dane osobowe m.in. imię i nazwisko, adres, PESEL, e-mail, serię i numer dokumentu tożsamości, numer telefonu oraz dane dotyczące umów. 

Czytaj więcej

Cyfrowy Polsat ma zapłacić 1,1 mln zł kary za pomyłki firmy kurierskiej
Dane osobowe
Cyfrowy Polsat ma zapłacić 1,1 mln zł kary za pomyłki firmy kurierskiej

Firma przekonywała jednak, że została zapewniona przez przewoźnika o bieżącym monitorowaniu skali naruszeń, jak i podejmowaniu działań mających na celu wyeliminowanie lub co najmniej zminimalizowanie tego typu przypadków. Podkreśliła, że cała sytuacja mogła wynikać z pandemii, ale wypracowała z firmą kurierską specjalną instrukcję postępowania i wyjaśniała na bieżąco przypadki naruszeń. Te tłumaczenia nie przekonały prezesa UODO i skończyło się karą.  

Reklama
Reklama

Spółka zaskarżyła ją i wygrała. Najpierw rację przyznał jej Wojewódzki Sąd Administracyjny (WSA) w Warszawie. Zgodził się bowiem, że UODO nie wyjaśnił wszystkich istotnych okoliczności sprawy, co miało wpływ na jej wynik (chodzi o stwierdzenie, że skarżąca nie wdrożyła odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych we współpracy ze świadczącym usługi kurierskie przez szybką identyfikację naruszeń).

Czy UODO mógł nałożyć 1,1 mln zł kary za utracone czy skradzione dane abonentów Cyfrowego Polsatu?

Do podobnych wniosków ostatecznie doszedł NSA. Zgodził się, że decyzja o karze miała spore braki. Przede wszystkim nie znalazło się w niej to, czy i dlaczego spółka w zakresie spornych naruszeń ma być administratorem danych osobowych. Nie kwestionował, że postępowanie zostało wszczęte w wyniku jej własnych zgłoszeń jako administratora. Niemniej w ocenie sądu nie zwalnia to organu z własnych ustaleń, czy na spółce w ogóle ciążył dany obowiązek.

Tymczasem w decyzji prezesa UODO nie znalazł się nawet fragmentaryczny wywód co do podstaw kwalifikacji spółki jako odpowiedzialnej z art. 32 ust. 1 i 2 RODO. Nałożenie kary pieniężnej jako przymusu administracyjnego wymaga zaś dokładności i przedstawienia wszystkich okoliczności, a w szczególności kwestii podstawowej, tj. uznania danego podmiotu za adresata sankcji. 

Czytaj więcej

Kto odpowie za wyciek danych w SGGW? Jest precedensowy wyrok NSA
Dane osobowe
Kto odpowie za wyciek danych w SGGW? Jest precedensowy wyrok NSA

NSA zgodził się za to z urzędnikami, że nie musieli wzywać do udziału firmy kurierskiej, bo ta w jego ocenie nie miała interesu prawnego. Jak zauważył sędzia NSA Zbigniew Ślusarczyk, w sprawie chodziło o wywiązanie się z obowiązków administratora danych osobowych abonentów przez spółkę w przesyłkach powierzonych firmie kurierskiej. Postępowanie dotyczyło środków technicznych i organizacyjnych, do których wprowadzenia obowiązana jest spółka, a odpowiedzialności tej nie narusza współpraca z innym podmiotem profesjonalnym.

Nawet gdyby uznać, że przewoźnik odpowiada za naruszenia, to miałoby to związek z jego własnym działaniem, a nie ze spornym deliktem administracyjnym w postaci niewdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających ochronę danych osobowych we współpracy z firmą kurierską. Uwzględnienie tego zarzutu z uwagi na inne nieprawidłowości w działaniu UODO, nie mogło jednak doprowadzić do podważenia orzeczenia WSA. 

Reklama
Reklama

Wyrok jest prawomocny.

Sygnatura akt: III OSK 1251/22

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: rp.pl

Media Telewizja Polsat Organizacje Dane Osobowe Naczelny Sąd Administracyjny (NSA) rynek przesyłek kurierskich
Notariusze zwalniają pracowników i zamykają kancelarie
Zawody prawnicze
Notariusze zwalniają pracowników i zamykają kancelarie
Mała zmiana prawa, która mocno uderzy w patodeweloperkę
Nieruchomości
Mała zmiana prawa, która mocno uderzy w patodeweloperkę
Reforma już rozgrzewa prokuratorów, choć do jej wdrożenia daleka droga
Zawody prawnicze
Reforma już rozgrzewa prokuratorów, choć do jej wdrożenia daleka droga
To już pewne: dziedziczenia nieruchomości z prostszymi formalnościami
Nieruchomości
To już pewne: dziedziczenia nieruchomości z prostszymi formalnościami
Dostawcza Kia PV5 - International Van of the Year 2026. Sprawdź ratę!
Materiał Promocyjny
Dostawcza Kia PV5 - International Van of the Year 2026. Sprawdź ratę!
Advertisement
Co ze słupami na prywatnych działkach po wyroku TK? Prawnik wyjaśnia
Nieruchomości
Co ze słupami na prywatnych działkach po wyroku TK? Prawnik wyjaśnia
Lojalność, która naprawdę się opłaca. Skorzystaj z Circle K extra
Materiał Promocyjny
Lojalność, która naprawdę się opłaca. Skorzystaj z Circle K extra
Reklama
Reklama
e-Wydanie
REKLAMA: automatycznie wyświetlimy artykuł za 15 sekund.
Reklama
Reklama