WSA: konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować
Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 26 kwietnia 2023 r.* podtrzymał decyzję Prezesa UODO** ws. nałożenia administracyjnej kary pieniężnej na administratora za niezgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu. W ocenie Sądu skarga administratora nie zasługiwała na uwzględnienie.
Przypomnijmy, że chodzi o sprawę, w której Prezes UODO wydał w 2022 roku decyzję o nałożeniu kary pieniężnej na administratora w wysokości prawie 16 tys. zł. Stało się tak w następstwie postępowania zainicjowanego zgłoszeniem organowi potencjalnych nieprawidłowości związanych z przetwarzaniem danych osobowych przez tego administratora. W toku czynności wyjaśniających ujawniono, że doszło do zagubienia dokumentu z akt osobowych pracownika spółki. Wówczas administrator uznał, że co prawda doszło do naruszenia ochrony danych osobowych polegającego na utracie z winy pracodawcy świadectwa pracy jednego z pracowników, jednak nie zgłosi tego naruszenia do UODO. W jego opinii zdarzenie to nie wiązało się z ryzykiem naruszenia praw lub wolności osoby, której dane dotyczyły. Administrator nie zgodził się z decyzją organu nadzorczego o nałożeniu kary pieniężnej, dlatego zaskarżył ją do WSA.
Naruszenie ochrony danych osobowych trzeba zgłaszać
Sąd w uzasadnieniu do wyroku wskazał, że naruszenie ochrony danych osobowych jest przesłanką do zgłoszenia przez administratora takiego zdarzenia. W przypadku naruszenia bardzo ważny jest czas reakcji. Administrator zgłasza naruszenie do organu nadzorczego bez zbędnej zwłoki, jednak nie później niż w terminie 72 godzin od stwierdzenia naruszenia. W sytuacji, w której istnieje wysokie ryzyko dla praw lub wolności osób, których dane są objęte naruszeniem, administrator powinien zawiadomić o zdarzeniu także te osoby. Co istotne, sąd podkreślił, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować. Już powstanie samego ryzyka naruszenia praw lub wolności osób, których dane dotyczą, w związku z naruszeniem ochrony danych osobowych, powoduje obowiązek zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych.
Dokument poza kontrolą administratora
WSA potwierdził, że zgubienie przez administratora świadectwa pracy pracownika mogło prowadzić do szkód majątkowych i niemajątkowych, dlatego należy uznać, iż istniało ryzyko naruszenia praw i wolności tej osoby. Administrator w trakcie postępowania sądowego wskazał, że odnalazł przedmiotowy dokument. Jednak nastąpiło to już po wydaniu przez organ nadzorczy decyzji, dlatego z oczywistych względów fakt ten nie mógł mieć wpływu na wydane przez UODO rozstrzygnięcie.
WSA podtrzymał stanowisko UODO zawarte w odpowiedzi na skargę, że ów dokument znajdował się poza kontrolą administratora, ponieważ nie miał on wiedzy, gdzie się znajduje, jaki jest zakres jego treści, kto ma do niego dostęp i czy nie został on zniszczony. Administrator akceptował zgubienie świadectwa pracy pracownika wraz z konsekwencjami dla ochrony danych. Dopiero wydanie administracyjnej kary pieniężnej spowodowało zintensyfikowanie poszukiwań dokumentu. Takie działanie, w ocenie UODO, może także świadczyć o lekceważącym stosunku do przepisów dotyczących ochrony danych osobowych.
WSA nie miał wątpliwości, że administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, co stanowi naruszenie przepisów RODO. Jak podkreślił, brak wiedzy, gdzie mogło się znajdować świadectwo pracy, wyklucza przyjęcie, iż nie zachodziło ryzyko dla praw lub wolności osoby fizycznej.
Sąd przypomniał, że celem RODO jest ochrona praw podstawowych i wolności osób fizycznych, a w przypadku gdyby zachodziła jakakolwiek wątpliwość po stronie administratora co do wykonywania swoich obowiązków, należy w pierwszej kolejności brać te wartości pod uwagę. W konsekwencji WSA uznał, że UODO wydał zaskarżoną decyzję nie naruszając przepisów prawa.
*sygn. akt II SA/Wa 1272/22
** DKN.5110.12.2021