WSA oddalił skargę Panek SA na decyzję karową Prezesa UODO

Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Panek SA dotyczącą administracyjnej kary pieniężnej, którą Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył na tę spółkę za naruszenie przepisów o ochronie danych osobowych w trakcie uruchamiania nowej witryny internetowej i procesu kopiowania plików z dawnej strony WWW tej firmy.

Sprawa sięga kwietnia 2020 r., kiedy to spółka Panek zawiadomiła UODO o naruszeniu ochrony danych osobowych, do którego doszło kilka dni wcześniej. Naruszenie miało polegać na tym, że podczas uruchamiania nowej witryny internetowej Panek SA nastąpiło ujawnienie folderu zawierającego pliki z danymi osobowymi pochodzącymi z poprzedniej wersji strony WWW. W rezultacie robot Google był w stanie indeksować pliki obejmujące dane osobowe, takie jak imię, nazwisko, adres e-mail, adres zamieszkania, hasła dostępu do panelu klienta, numer telefonu i nr PESEL (jednak jeśli chodzi o tę daną, wydarzyło się to w dużej mniejszej skali). Naruszenie ostatecznie dotyczyło ponad 7 tys. osób (bez ujawnienia numerów PESEL). Więcej o sprawie można przeczytać na stronie urzędu: Aktualności - UODO

Prezes UODO nałożył na Panek SA jako administratora danych karę pieniężną w wysokości 1 527 855 zł, zaś na podmiot przetwarzający – karę 20 037 zł (za naruszenie art. 32 ust. 1 i 2 oraz art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c RODO).

Od decyzji Prezesa UODO Panek SA wniosła skargę do WSA, zarzucając organowi nadzorczemu m.in. naruszenie przepisów postępowania, tj. art. 8 § Kodeksu postępowania administracyjnego w związku z art. 80 k.p.a. poprzez naruszenie zasady swobodnej oceny dowodów przez brak ustalenia przyczyny incydentu z 2020 r. i przyjęcie, że to spółka Panek ponosi za niego odpowiedzialność; naruszenie przepisów, tj. art. 7 k.p.a. w związku z art. 77 k.p.a. w zw. z art. 84 k.p.a. – poprzez brak podjęcia przez organ nadzorczy z urzędu czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego sprawy; błędne zastosowanie przepisów RODO: art. 24 ust. 1 oraz art. 32 ust. 1 i 2, polegające na przyjęciu, że powierzenie zewnętrznemu podmiotowi przetwarzającemu usług zapewnienia bezpieczeństwa danych nie jest wystarczającym środkiem techniczno-organizacyjnym; błędne zastosowanie przepisów RODO; art. 28 ust. 1 oraz art. 5 ust. 2, polegające na przyjęciu, że wynika z nich obowiązek ciągłego nadzoru administratora nad sposobem przetwarzania danych przez podmiot przetwarzający. Panek SA zaskarżyła również sposób wyliczenia przez PUODO kary pieniężnej.

Wojewódzki Sąd Administracyjny w wyroku z maja 2025 r. stwierdził, że decyzje Prezesa UODO nie naruszają prawa.

WSA zaznaczył, iż istota sprawy sprowadzała się do zbadania, czy administrator danych zapewnił wystarczające środki techniczno-organizacyjne służące przede wszystkim weryfikacji działań podmiotu przetwarzającego pod kątem wdrażania odpowiednich środków bezpieczeństwa ochrony danych. Według Sądu tak się nie stało.

Jako podstawowe uzasadnienie WSA przywołał główne założenie, wynikające z rozporządzenia 2016/679, które głosi, że zarządzanie ryzykiem stanowi fundament działań związanych z ochroną danych osobowych, i wynika z tego, że monitorowanie poziomu zagrożeń oraz zapewnienie rozliczalności w zakresie adekwatności zabezpieczeń jest koniecznością, bez której nie da się mówić o zabezpieczaniu danych osobowych; nie da się także przeprowadzać tego typu działań bez tworzenia stałej ich dokumentacji, która pomaga w rozpoznawaniu zagrożeń i ich klasyfikowaniu w przyszłości. WSA zwrócił też uwagę, że niezależnie od relacji pomiędzy administratorem danych a podmiotem przetwarzającym to na administratorze spoczywa obowiązek rzetelnej analizy ryzyka.

W wyroku WSA stwierdził również, że organ nadzorczy nakładając karę pieniężną na podstawie art. 58 ust. 2 lit. i oraz art. 83 ust. 4 lit. a) RODO, nie przekroczył maksymalnych wysokości kwot przewidzianych prawem. Sąd dodał, iż organ nadzorczy przy wyliczaniu wysokości kwoty zastosował także wytyczne Europejskiej Rady Ochrony Danych, co potwierdza, że orzeczoną karę trudno uznać za arbitralną.

Wyrok WSA sygnatura II SA/Wa 45/25

Decyzja Prezesa UODO znak sprawy DKN.5130.2415.2020