6 godzin temu
Stan faktyczny
W 2018 r. doszło do incydentu naruszenia ochrony danych osobowych – skradzione i porzucone dokumenty bankowe zawierały dane osobowe klientów Santander Bank Polska SA. Bank, mimo wiedzy o incydencie, nie dokonał obowiązkowego zgłoszenia naruszenia do Prezesa Urzędu Ochrony Danych Osobowych, ani nie poinformował osób, których dane zostały naruszone. Tym samym zaniechał wykonania obowiązków wynikających z art. 33 ust. 1 oraz art. 34 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 2016 Nr 119, s. 1; dalej: RODO).
W toku postępowania wyjaśniającego Prezes UODO stwierdził, iż bank bezpodstawnie uznał, iż nie zachodził obowiązek dokonania zgłoszenia oraz powiadomienia, i nie zrealizował tych obowiązków, aż do chwili wydania decyzji przez organ nadzorczy. W związku z powyższym Prezes UODO nałożył na bank karę administracyjną w wysokości 1 440 549 zł oraz zobowiązał go do poinformowania osób, których dane zostały ujawnione.
Decyzja została zaskarżona do Wojewódzkiego Sądu Administracyjnego w Warszawie, który uchylił ją w zakresie kary pieniężnej. W ocenie sądu nastąpiło bowiem przedawnienie możliwości jej nałożenia – a więc organ nadzorczy przekroczył maksymalny okres, w którym mógł legalnie zastosować sankcję administracyjną.
Stan prawny
RODO – jako rozporządzenie unijne mające bezpośrednie zastosowanie – nie reguluje kwestii przedawnienia administracyjnych kar pieniężnych. Artykuł 83 RODO określa kryteria, jakie należy uwzględnić przy ich wymierzaniu, ale milczy co do terminów ich nakładania. Brak jest także przepisu upoważniającego państwa członkowskie do uzupełniania tej luki prawem krajowym.
W polskim porządku prawnym, na podstawie art. 106 ustawy z 10.5.2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781), w postępowaniach prowadzonych przez Prezesa UODO stosuje się przepisy Kodeksu postępowania administracyjnego, chyba iż ustawa stanowi inaczej. Artykuł 189g § 1 KPA przewiduje, iż administracyjna kara pieniężna nie może zostać nałożona, o ile od dnia popełnienia czynu lub wystąpienia jego skutków upłynęło pięć lat. Przepis ten nie został wyłączony przez ustawę sektorową, co oznacza, iż – jak dotąd – znajdował zastosowanie w praktyce orzeczniczej i urzędowej.
Prezes UODO w skardze kasacyjnej podniósł, iż stosowanie art. 189g § 1 KPA do sankcji opartych na art. 83 RODO jest nieprawidłowe, ponieważ prowadzi do naruszenia zasady skuteczności i pierwszeństwa prawa Unii Europejskiej. Jego zdaniem przepisy unijne nie przewidują przedawnienia, a stosowanie analogicznych mechanizmów krajowych nie znajduje podstawy prawnej i osłabia funkcję prewencyjno-sankcyjną RODO. Wniósł również o rozważenie skierowania pytania prejudycjalnego do Trybunału Sprawiedliwości UE.
Komentarz
Sprawa wniesiona przez Prezesa UODO przeciwko Santander Bank Polska SA dotyczy zagadnienia fundamentalnego dla praktyki egzekwowania RODO – możliwości stosowania terminów przedawnienia wynikających z krajowego prawa proceduralnego wobec unijnych sankcji administracyjnych. Rozstrzygnięcie, jakie zapadnie przed NSA, może zaważyć nie tylko na przyszłych działaniach organu nadzorczego, ale także na trwałości już wydanych decyzji o karach pieniężnych.
Jak zauważył Paweł Litwiński w swojej analizie („Czy możliwość nałożenia kary za naruszenie RODO ulega przedawnieniu?”, LinkedIn, 2024), art. 189g § 1 KPA nie został wyłączony przez ustawę z 10.5.2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781), co przemawia za jego stosowaniem. W polskim systemie prawa publicznego obowiązuje zasada legalizmu proceduralnego, a wyjątki muszą być jednoznacznie wskazane. Co więcej, pięcioletni termin przedawnienia trudno uznać za ograniczający skuteczność prawa unijnego, skoro – jak przypomina Litwiński – zgodnie z art. 78 ust. 2 RODO organ nadzorczy ma zaledwie trzy miesiące na rozpoznanie skargi. Tym samym pięcioletni termin jest 20-krotnością przewidzianego okresu działania organu, co w sposób oczywisty nie może być uznane za nieskuteczne narzędzie egzekwowania prawa.
Podobne stanowisko prezentuje orzecznictwo TSUE – m.in. w wyroku z 10.7.1997 r., Palmisani, C-261/95, Legalis oraz w wyroku z 27.2.2003 r., Santex, C-327/00, Legalis w których uznano, iż państwa członkowskie mogą przewidywać krajowe terminy przedawnienia w zakresie dochodzenia roszczeń wynikających z prawa unijnego, o ile są one proporcjonalne i nie podważają zasady skuteczności. Trybunał nie zakwestionował przy tym samego istnienia przedawnienia jako instytucji proceduralnej – oceniał jedynie jego długość i wpływ na funkcjonowanie przepisów materialnych.
Co ciekawe, niektóre państwa członkowskie, takie jak Litwa, przewidują jeszcze krótsze okresy – tam termin przedawnienia wynosi zaledwie dwa lata. Oznacza to, iż stosowanie pięcioletniego terminu w Polsce nie stanowi wyjątku w skali UE i mieści się w ramach akceptowanych standardów.
Z drugiej strony argumentacja Prezesa UODO nie jest pozbawiona podstaw – podkreśla ona, iż obowiązki z art. 33 i 34 RODO pełnią funkcję systemową: zapewniają szybką reakcję i powiadomienie zarówno organu nadzorczego, jak i osób, których dane zostały naruszone. Przyjęcie, iż obowiązki te wygasają wskutek upływu terminu, mogłoby prowadzić do sytuacji, w której administratorzy zwlekają z działaniem w nadziei, iż przekroczenie progu czasowego uniemożliwi ukaranie.
Nie bez znaczenia jest również to, iż Prezes UODO w przeszłości – m.in. w sprawie Poczty Polskiej w kontekście tzw. wyborów kopertowych – stosował art. 189g § 1 KPA i powoływał się na niego jako element obowiązującego stanu prawnego. Obecna skarga kasacyjna może być próbą rewizji tej linii interpretacyjnej, wynikającą ze wzrostu znaczenia sankcji jako narzędzia ochrony danych osobowych w Polsce.
Z perspektywy praktyki prawnej oraz strategii compliance, wynik tej sprawy będzie mieć doniosłe znaczenie. jeżeli NSA przychyli się do argumentacji Prezesa UODO, może dojść do ograniczenia stosowania krajowych reguł proceduralnych w sprawach opartych na RODO, a w dłuższej perspektywie – do konieczności ich rewizji legislacyjnej. Z kolei utrzymanie wykładni WSA oznaczać będzie potwierdzenie stabilności dotychczasowej praktyki stosowania prawa.
Szczególnie istotne będzie ewentualne skierowanie pytania prejudycjalnego do TSUE – zapewniłoby ono jednolitą interpretację prawa na poziomie unijnym, uwzględniającą także realia stosowania przepisów RODO w innych państwach członkowskich.
Postanowienie WSA w Warszawie z 8.7.2024 r., II SA/Wa 774/24
