Wykonywanie decyzji Prezesa UODO a sprawa III OSK 2813/22

/ działalność gospodarcza / Porady prawne / Przez

Wielu przedsiębiorców po wystąpieniu incydentu naruszenia danych osobowych, takich jak wyciek bazy klientów, skupia się wyłącznie na aspektach technicznych i poprawie cyberbezpieczeństwa na przyszłość. Tymczasem sprawa kliniki stomatologicznej, która niedawno znalazła swój finał przed Naczelnym Sądem Administracyjnym (sygn. akt III OSK 1957/23), pokazuje, że równie groźne, a finansowo nawet bardziej dotkliwe, może być lekceważenie obowiązków proceduralnych nakładanych przez Prezesa UODO.

Z tego artykułu dowiesz się:

  • Jakie przepisy regulują postępowanie przed Prezesem UODO?
  • Jakie decyzje może wydawać Prezes UODO?
  • Co grozi za niewykonywanie decyzji administracyjnych?

Kara za niewykonanie decyzji Prezesa UODO – przełomowy wyrok i dotkliwa sankcja 

Prezes Urzędu Ochrony Danych Osobowych to centralna postać w polskim systemie ochrony danych osobowych. Jeżeli prowadzisz działalność gospodarczą, jesteś administratorem danych albo inspektorem ochrony danych, jego kompetencje dotyczą bezpośrednio Twojej praktyki i warto zwrócić uwagę na katalog jego kompetencji. Jego pozycja wynika wprost z umocowania ustawowego. Postępowania przed Prezesem są jednoinstancyjne, co oznacza, że decyzje organu nie podlegają odwołaniu do innego organu administracji, a w praktyce można je zaskarżyć wyłącznie do sądu administracyjnego. Jest to wiedza kluczowa z perspektywy przedsiębiorców, którzy mogą zetknąć się z tego typu decyzją w swojej praktyce. 

Pochylając się nad tytułową sprawą III OSK 2813/22, warto pokrótce omówić zaistniały stan faktyczny. Organ nadzorczy nakazał właścicielowi kliniki stomatologicznej zawiadomienie pacjentów o wycieku ich danych, w których dyspozycji pozostawała klinika. Administrator jednak zwlekał, unikał odpowiedzi na wezwania, a ostatecznie przedstawił niewiarygodne dowody wysyłki pism. Efekt? Nałożona kara w wysokości ponad 85 tysięcy złotych za samo niewykonanie nakazu! Naczelny Sąd Administracyjny, oddalając skargę kasacyjną, potwierdził brutalną dla administratorów danych osobowych prawdę: wykonanie obowiązku już po nałożeniu kary nie zdejmuje z przedsiębiorcy odpowiedzialności. Sąd ocenia stan z dnia wydania decyzji, a uporczywe lekceważenie organu jest traktowane jako okoliczność obciążająca. 

Co jest brane pod uwagę podczas wymierzania kary administracyjnej w Polsce? W tym miejscu warto pochylić się nad literalnym brzmieniem ustawy: 

Art.  189d kodeksu postępowania administracyjnego 

Wymierzając administracyjną karę pieniężną, organ administracji publicznej bierze pod uwagę:

  1.  wagę i okoliczności naruszenia prawa, w szczególności potrzebę ochrony życia lub zdrowia, ochrony mienia w znacznych rozmiarach lub ochrony ważnego interesu publicznego lub wyjątkowo ważnego interesu strony oraz czas trwania tego naruszenia;
  2. częstotliwość niedopełniania w przeszłości obowiązku albo naruszania zakazu tego samego rodzaju co niedopełnienie obowiązku albo naruszenie zakazu, w następstwie którego ma być nałożona kara;
  3. uprzednie ukaranie za to samo zachowanie za przestępstwo, przestępstwo skarbowe, wykroczenie lub wykroczenie skarbowe;
  4. stopień przyczynienia się strony, na którą jest nakładana administracyjna kara pieniężna, do powstania naruszenia prawa;
  5. działania podjęte przez stronę dobrowolnie w celu uniknięcia skutków naruszenia prawa;
  6. wysokość korzyści, którą strona osiągnęła, lub straty, której uniknęła;
  7. w przypadku osoby fizycznej – warunki osobiste strony, na którą administracyjna kara pieniężna jest nakładana.

Co pokazuje lektura przytoczonego przepisu, postępowanie przedsiębiorcy i stopień współpracy z organem będzie analizowany podczas wymierzania kary administracyjnej. Liczy się nie tylko samo zdarzenie, ale również nastawienie i chęć naprawienia zaistniałego naruszenia. Warto zawczasu skontaktować się z prawnikiem, aby mógł on wskazać prawidłowe metody postępowania. 

Dowiedz się więcej o Prezesie UODO:

Dowiedz się więcej o Prezesie UODO! 

Dlaczego ta sprawa jest przełomowa?

Wyrok NSA w sprawie III OSK 1957/23 to jasny sygnał, że Prezes UODO coraz częściej może sięgać po kary za „brak współpracy” i niewykonywanie decyzji. Z perspektywy postępowania administracyjnego, administrator danych osobowych, który aktywnie i rzetelnie współpracuje z organem i dokumentuje każdy krok naprawczy, ma znacznie większe szanse na miarkowanie kary lub jej uniknięcie. Prawo należy traktować poważnie. 

Przeczytaj więcej o karach nakładanych przez Prezesa UODO:

Unikaj cudzych błędów – głośne i wysokie kary nałożone przez Prezesa Urzędu Ochrony Danych Osobowych

Podsumowanie

Reasumując, prawomocna decyzja nakazująca na przykład zawiadomienie osób o wycieku to nie „sugestia organu”, a bezwzględny obowiązek. Próba kreatywnego dokumentowania wysyłki, jak wspomniany w sprawie zakup samych znaczków pocztowych przed sądem administracyjnym nie ma racji bytu. Przedsiębiorcy jako podmioty profesjonalne powinni być świadomi, że ich postępowanie przed organem to wizytówka stopnia ich profesjonalizmu. Zanim wystąpią problemy, warto skupić się na kompleksowym opracowaniu polityki przetwarzania danych osobowych w firmie, najlepiej z pomocą Kancelarii specjalizującej się we wdrażaniu RODO. 

W czym możemy pomóc Ci pomóc?

  • Wesprzemy Cię w postępowaniu administracyjnym.
  • Wdrożymy RODO w Twojej firmie.
  • Przeprowadzimy audyt prawny Twojego biznesu.
  • Wdrożymy GPSR w Twojej firmie. 

FAQ

1. Czy wykonanie nakazu UODO po terminie, ale jeszcze przed nałożeniem kary, chroni przed sankcją? 

Niekoniecznie. Zgodnie z wyrokiem NSA (III OSK 1957/23), fakt, że administrator ostatecznie wykonał obowiązek, nie anuluje wcześniejszej zwłoki, do której już doszło. Z punktu widzenia art. 189d KPA, organ bierze pod uwagę wiele aspektów naruszenia. Jeśli administrator zwlekał przez wiele miesięcy i podjął działania dopiero pod presją nieuniknionej kary, Prezes UODO ma pełne prawo nałożyć wysoką sankcję pieniężną za okres zaniechania. 

2. Jakie okoliczności z KPA mogą pomóc w obniżeniu kary za niewykonanie decyzji? Zgodnie z art. 189d KPA, organ przy wymierzaniu kary musi wziąć pod uwagę m.in.:

  • Stopień przyczynienia się strony do powstania naruszenia.
  • Działania podjęte dobrowolnie w celu uniknięcia skutków naruszenia prawa.
  • Historię dotychczasowej działalności (czy to pierwsze takie naruszenie). Współpraca z organem i szybkie przyznanie się do błędu są kluczowe dla miarkowania kary.

3. Czy od nałożonej kary pieniężnej można się odwołać? 

Tak. Decyzja Prezesa UODO o nałożeniu kary jest decyzją administracyjną. Zgodnie z przepisami KPA i Prawa o postępowaniu przed sądami administracyjnymi, stronie przysługuje prawo do złożenia skargi do Wojewódzkiego Sądu Administracyjnego, a następnie skargi kasacyjnej do Naczelnego Sądu Administracyjnego. Należy jednak pamiętać, że sądy badają głównie legalność decyzji, a nie jej „uciążliwość” dla sytuacji finansowej przedsiębiorcy.

4. Czy można karać za naruszenie, do którego doszło w wyniku działania siły wyższej/

W przypadku gdy do naruszenia prawa doszło wskutek działania siły wyższej, strona nie podlega ukaraniu.

5. Czy za ten sam wyciek danych można zostać ukaranym dwa razy? 

Należy rozróżnić dwie kwestie: karę za sam incydent, do którego doszło, czyli wyciek danych oraz karę za niewykonanie decyzji nakazującej. W omawianej sprawie NSA potwierdził, że są to dwa odrębne naruszenia. Przedsiębiorca może więc zostać ukarany za to, że dopuścił do wycieku, oraz niezależnie za to, że zignorował polecenie organu dotyczące naprawy skutków tego wycieku. Nie jest to karanie dwukrotnie za to samo. 

Skontaktuj się z nami za pomocą poniższego formularza kontaktowego! 

Avatar photo

Autor wpisu:

Milena Dorobek-Lis

Studia prawnicze i studia podyplomowe z zakresu prawa pracy ukończyła na Uniwersytecie Warszawskim, aplikację radcowską ukończyła w Okręgowej Izbie Radców Prawnych Warszawie. Zdobywała doświadczenie w kancelariach prawnych, organach administracji publicznej, w tym Biurze Generalnego Inspektora Ochrony Danych Osobowych oraz wieloletniej współpracy z przedsiębiorcami, w szczególności z branży e-commerce. Była głównym prawnikiem w Fundacji Rozwoju Przedsiębiorczości „Twój StartUp”.

Specjalizuje się w kompleksowej obsłudze prawnej przedsiębiorców, prawie nowych technologii, e – commerce, prawie i postępowaniu administracyjnym.

Zobacz także:

Przewijanie do góry