13 godzin temu
Stan prawny i ocena organu nadzorczego
Prezes UODO, w decyzji DKN.5130.2415.2020, szczegółowo przeanalizował zarówno zakres naruszenia, jak i zachowanie administratora oraz podmiotu przetwarzającego. W ocenie organu działania administratora naruszyły szereg przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L z 2016 Nr 119, s. 1; dalej: RODO), w tym:
- zasadę poufności i integralności danych (art. 5 ust. 1 lit. f) RODO),
- obowiązek wdrożenia skutecznych środków organizacyjnych i technicznych zapewniających zgodność z przepisami RODO (art. 24 ust. 1 RODO),
- obowiązek stosowania zasady privacy by design (art. 25 ust. 1 RODO),
- obowiązek nadzoru nad podmiotem przetwarzającym (art. 28 ust. 1 i 3 RODO),
- obowiązek zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzania (art. 32 ust. 1 i 2 RODO).
W uzasadnieniu organ wskazał, iż administrator danych nie przeprowadził przed migracją żadnej formalnej analizy ryzyka. Nie udokumentowano również żadnych działań kontrolnych, testów ani przeglądów związanych z wdrożeniem nowej wersji witryny. Brak ten uniemożliwiał wykazanie, iż administrator dołożył należytej staranności w zakresie zapewnienia zgodności z art. 24 i 32 RODO.
Co więcej, z postępowania wynikało, iż administrator nie egzekwował w praktyce zapisów umowy powierzenia, nie monitorował działań wykonawcy, ani nie zapewnił mechanizmów nadzoru nad realizacją zadań. Sama umowa nie została choćby dostosowana do specyfiki operacji migracyjnych – nie zawierała zapisów dotyczących testowania zabezpieczeń ani reagowania na ewentualne nieprawidłowości.
Organ nadzorczy wskazał również na zaniechanie szybkiego zgłoszenia naruszenia ochrony danych osobowych – administrator podjął działania naprawcze dopiero po upływie kilku dni od pierwszego zgłoszenia, co w ocenie UODO mogło skutkować dalszym naruszeniem praw i wolności osób fizycznych.
Sankcja – argumentacja i proporcjonalność
W związku z opisanym naruszeniem Prezes UODO nałożył na administratora karę administracyjną w wysokości 1 527 855 zł, a na podmiot przetwarzający – 20 037 zł. Organ uwzględnił przy tym m.in. dużą skalę naruszenia, liczbę osób, których dane zostały ujawnione, oraz wrażliwy charakter części danych (np. numery PESEL i hasła). najważniejsze znaczenie miało także stwierdzenie, iż naruszenie nie miało charakteru incydentalnego – wynikało z rażących zaniedbań proceduralnych i braku wdrożenia systemowych mechanizmów zapewniania bezpieczeństwa.
Wysokość kary została uznana za proporcjonalną również ze względu na fakt, iż administrator nie współpracował z organem w pełnym zakresie, a proces usuwania skutków naruszenia był opóźniony i nieskuteczny. UODO powołał się przy tym na wytyczne Europejskiej Rady Ochrony Danych dotyczące ustalania wysokości kar administracyjnych.
Wyrok WSA – pełna aprobata dla stanowiska UODO
Wojewódzki Sąd Administracyjny w Warszawie w wyroku z maja 2025 r., akt II SA/Wa 45/25. oddalił skargę spółki Panek S.A., uznając, iż Prezes UODO prawidłowo ustalił zarówno stan faktyczny, jak i dokonał adekwatnej wykładni przepisów prawa materialnego. Sąd podkreślił, że:
- obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych ma charakter trwały i wymaga nie tylko działań prewencyjnych, ale również bieżącego nadzoru i monitorowania procesów przetwarzania;
- administrator odpowiada za brak nadzoru nad podmiotem przetwarzającym, choćby jeżeli fizycznie nie dokonał nieprawidłowej konfiguracji;
- formalne zawarcie umowy powierzenia nie zwalnia z obowiązku faktycznego weryfikowania jej realizacji i egzekwowania standardów RODO;
- wysokość nałożonej kary nie była nadmierna, biorąc pod uwagę wagę naruszenia i brak działań naprawczych po stronie administratora.
Sąd potwierdził również, iż Prezes UODO nie naruszył zasady proporcjonalności ani prawa do obrony administratora w toku postępowania.
Kiedy „papierowa zgodność” to za mało
Przedmiotowa sprawa stanowi istotne przypomnienie dla administratorów danych, iż zgodność z RODO nie może ograniczać się do formalności dokumentacyjnych. Wdrożenie klauzul umownych, opracowanie polityk czy sporadyczne audyty nie są wystarczające, jeżeli nie towarzyszy im realna kontrola i aktywne zarządzanie ryzykiem.
Po pierwsze, administratorzy powinni każdorazowo przeprowadzać formalną ocenę ryzyka przed realizacją nowych operacji przetwarzania, takich jak migracje systemów, wdrożenia platform, zmiana infrastruktury informatycznej czy outsourcing procesów. Analiza taka powinna identyfikować możliwe scenariusze zagrożeń, szacować ich prawdopodobieństwo i skutki oraz wskazywać wymagane środki bezpieczeństwa.
Po drugie, umowy powierzenia przetwarzania danych muszą być nie tylko zgodne z art. 28 ust. 1 i 3 RODO, ale również realnie wykonywane. Oznacza to konieczność regularnych kontroli, testowania wdrożonych zabezpieczeń, żądania raportów i potwierdzeń zgodności. Administrator nie może zakładać, iż profesjonalny wykonawca sam zapewni wymagany poziom ochrony – musi to weryfikować.
Po trzecie, incydenty związane z naruszeniem poufności danych powinny być natychmiastowo zgłaszane zarówno organowi nadzorczemu, jak i osobom, których dane dotyczą – jeżeli istnieje wysokie ryzyko naruszenia ich praw. Zwłoka w tym zakresie może zostać uznana za osobne naruszenie, a także wpływać na ocenę okoliczności obciążających przy nakładaniu kary.
Orzeczenie WSA i decyzja UODO stanowią więc wyraźny sygnał dla wszystkich administratorów danych: odpowiedzialność za przetwarzanie danych nie kończy się na podpisaniu umowy. Obejmuje ona stałe monitorowanie, dokumentowanie i egzekwowanie zgodności z RODO – także w relacjach z podmiotami trzecimi. Brak tych działań nie tylko zwiększa ryzyko naruszeń, ale również – jak pokazuje niniejsza sprawa – może prowadzić do dotkliwych konsekwencji finansowych.
