Pani M. Z., właścicielka trzech lecznic stomatologicznych, w 2019 r. zgłosiła do Urzędu Ochrony Danych Osobowych, że jej były pracownik skopiował dane osobowe stu pacjentów z systemu komputerowego przychodni, aby wykorzystać je do marketingu własnych usług. W ten sposób numery PESEL, imiona i nazwiska, imiona rodziców, daty urodzenia, adresy zamieszkania lub pobytu oraz numery telefonów znalazły się w nieuprawnionych rękach. Choć pani M. Z. oceniła ryzyko naruszenia praw i wolności osób fizycznych jako wysokie, to jednak zrezygnowała z zawiadomienia swoich pacjentów o naruszeniu ochrony ich danych osobowych.
Prezes Urzędu nakazał jej naprawić ten błąd i wyznaczył trzydniowy termin na zawiadomienie osób, których dane skopiował były pracownik. Potem chciał sprawdzić, czy jego decyzja została wykonana.
Czytaj więcej
Wojewódzki Sąd Administracyjny w Warszawie podtrzymał decyzję Prezesa UODO w sprawie kary nałożonej na przedsiębiorstwo pogrzebowe, które zgubiło w...
Zgubne skutki ignorowania wymogów RODO
Przedsiębiorczyni najpierw unikała odpowiedzi na wezwania do potwierdzenia i udowodnienia wykonania nakazu. Potem przedstawiała niejasne, wymijające i sprzeczne ze sobą wyjaśnienia. Twierdziła na przykład, że nie jest w stanie ustalić, ilu osób dane zostały ujawnione, albo że nakaz Prezesa UODO jest niewykonalny. Utrzymywała nawet, że to obowiązkiem Prezesa Urzędu jest zawiadomienie osób dotkniętych incydentem, do którego doszło w jej klinice. Wreszcie na dowód wysłania 37 zawiadomień przedstawiła... fakturę zakupu 37 znaczków pocztowych oraz pisemne oświadczenie rzekomego pracownika poczty o nadaniu 37 przesyłek zwykłych (nierejestrowanych).
Prezes UODO nie uznał tych dowodów za wiarygodne i prawomocną decyzją ukarał przedsiębiorcę administracyjną karą pieniężną w wysokości 85 588 zł. Na odpowiedź tym razem czekał krótko – pani M. Z. tym razem przesłała bezsporne dowody prawidłowego wykonania nakazu, a mianowicie kopie pism do pacjentów i potwierdzeń ich wysłania listami poleconymi.
Pisma te zostały wysłane do zainteresowanych osób już po wydaniu decyzji organu nadzorczego. Prezes UODO nie wycofał zatem kary.
Pani M. Z. złożyła skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie, wnosząc o uchylenie decyzji w całości oraz umorzenie postępowania, ewentualnie o odstąpienie od nałożenia kary pieniężnej i poprzestanie na pouczeniu. Zarzuciła PUODO nienależyte wyjaśnienie stanu faktycznego sprawy, subiektywną oceną zdarzenia i nieadekwatną wysokość nałożonej kary.
Czytaj więcej
To lekarz, a nie przychodnia, odpowiada za bezpodstawne ujawnienie danych osobowych z jego indywidualnego konta PUE ZUS.
Sądy administracyjne nie znalazły okoliczności łagodzących
W listopadzie 2021 r. WSA oddalił jednak skargę, wskazując, że decyzja organu nadzorczego była zgodna z prawem zarówno w przedmiocie samego naruszenia, jak i wysokości orzeczonej kary finansowej. Pani M. Z. sięgnęła więc po ostateczny oręż - skargę kasacyjną do NSA.
Naczelny Sąd Administracyjny w wyroku z listopada 2025 r. stwierdził jednak, że działanie przedsiębiorcy prowadzące do wykonania nakazu decyzji Prezesa UODO było spóźnione. Prezes UODO ocenia bowiem sprawę i stosuje odpowiednie środki naprawcze według stanu na dzień wydania decyzji. NSA w swoim wyroku podkreślił ponadto, że to na przedsiębiorcy spoczywał obowiązek posiadania dokumentów na okoliczność zawiadomienia o naruszeniu osób nim dotkniętych oraz obowiązek wykazania przed organem nadzorczym wykonania swojego obowiązku (co wynika z tzw. zasady rozliczalności).
Informując o tej sprawie PUODO zwraca uwagę, że administracyjna kara pieniężna orzekana za „nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy”, to środek inny i zdecydowanie bardziej dolegliwy niż stosowane w egzekucji administracyjnej tzw. grzywny w celu przymuszenia. Prezes Urzędu stosuje go rzadko, w przypadkach lekceważącego stosunku do obowiązków z zakresu ochrony danych osobowych i umyślnego, notorycznego niewykonywania decyzji PUODO.
sygn. akt III OSK 2183/22
