Cyfrowy Polsat wygrywa sprawę o milionową karę. Chodzi o naruszenie RODO

Naczelny Sąd Administracyjny (NSA) oddalił skargę kasacyjną prezesa Urzędu Ochrony Danych Osobowych (UODO) w sprawie dotyczącej gigantycznej kary nałożonej na Cyfrowy Polsat.

Problemy medialnego giganta zaczęły się w 2021 r., gdy nadzór zarzucił mu niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych przetwarzanych we współpracy z firmą kurierską. I nałożył na spółkę ponad 1,1 mln zł kary.

Czy Cyfrowy Polsat mógł dostać karę za wyciek danych z przesyłek kurierskich?

Urzędnicy zainteresowali się sprawą po tym, jak sama spółka regularnie zaczęła zgłaszać do UODO liczne przypadki naruszenia ochrony danych osobowych klientów. Miały one polegać m.in. na utracie – kradzieży bądź zagubieniu – oraz na wydaniu niewłaściwej osobie przez kurierów dokumentów zawierających dane osobowe m.in. imię i nazwisko, adres, PESEL, e-mail, serię i numer dokumentu tożsamości, numer telefonu oraz dane dotyczące umów. 

Czytaj więcej

Dane osobowe

Cyfrowy Polsat ma zapłacić 1,1 mln zł kary za pomyłki firmy kurierskiej

Ponad 1,1 mln zł kary ma zapłacić Cyfrowy Polsat S.A. za naruszenia ochrony danych osobowych zgła...

Firma przekonywała jednak, że została zapewniona przez przewoźnika o bieżącym monitorowaniu skali naruszeń, jak i podejmowaniu działań mających na celu wyeliminowanie lub co najmniej zminimalizowanie tego typu przypadków. Podkreśliła, że cała sytuacja mogła wynikać z pandemii, ale wypracowała z firmą kurierską specjalną instrukcję postępowania i wyjaśniała na bieżąco przypadki naruszeń. Te tłumaczenia nie przekonały prezesa UODO i skończyło się karą.  

Spółka zaskarżyła ją i wygrała. Najpierw rację przyznał jej Wojewódzki Sąd Administracyjny (WSA) w Warszawie. Zgodził się bowiem, że UODO nie wyjaśnił wszystkich istotnych okoliczności sprawy, co miało wpływ na jej wynik (chodzi o stwierdzenie, że skarżąca nie wdrożyła odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych we współpracy ze świadczącym usługi kurierskie przez szybką identyfikację naruszeń).

Czy UODO mógł nałożyć 1,1 mln zł kary za utracone czy skradzione dane abonentów Cyfrowego Polsatu?

Do podobnych wniosków ostatecznie doszedł NSA. Zgodził się, że decyzja o karze miała spore braki. Przede wszystkim nie znalazło się w niej to, czy i dlaczego spółka w zakresie spornych naruszeń ma być administratorem danych osobowych. Nie kwestionował, że postępowanie zostało wszczęte w wyniku jej własnych zgłoszeń jako administratora. Niemniej w ocenie sądu nie zwalnia to organu z własnych ustaleń, czy na spółce w ogóle ciążył dany obowiązek.

Tymczasem w decyzji prezesa UODO nie znalazł się nawet fragmentaryczny wywód co do podstaw kwalifikacji spółki jako odpowiedzialnej z art. 32 ust. 1 i 2 RODO. Nałożenie kary pieniężnej jako przymusu administracyjnego wymaga zaś dokładności i przedstawienia wszystkich okoliczności, a w szczególności kwestii podstawowej, tj. uznania danego podmiotu za adresata sankcji. 

Czytaj więcej

Dane osobowe

Kto odpowie za wyciek danych w SGGW? Jest precedensowy wyrok NSA

To pracodawca odpowiada za wyciek danych osobowych skopiowanych bez jego wiedzy przez upoważnione...

NSA zgodził się za to z urzędnikami, że nie musieli wzywać do udziału firmy kurierskiej, bo ta w jego ocenie nie miała interesu prawnego. Jak zauważył sędzia NSA Zbigniew Ślusarczyk, w sprawie chodziło o wywiązanie się z obowiązków administratora danych osobowych abonentów przez spółkę w przesyłkach powierzonych firmie kurierskiej. Postępowanie dotyczyło środków technicznych i organizacyjnych, do których wprowadzenia obowiązana jest spółka, a odpowiedzialności tej nie narusza współpraca z innym podmiotem profesjonalnym.

Nawet gdyby uznać, że przewoźnik odpowiada za naruszenia, to miałoby to związek z jego własnym działaniem, a nie ze spornym deliktem administracyjnym w postaci niewdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających ochronę danych osobowych we współpracy z firmą kurierską. Uwzględnienie tego zarzutu z uwagi na inne nieprawidłowości w działaniu UODO, nie mogło jednak doprowadzić do podważenia orzeczenia WSA.