photo
26.05.2026

WSA ponownie potwierdził słuszność decyzji karowej Prezesa UODO w sprawie spółek Fortum i Pika

Kary dla Fortum Energia S.A. oraz Pika Sp. z o.o. były słusznie nałożone przez Prezesa UODO – orzekł Wojewódzki Sąd Administracyjny w Warszawie, który 20 maja 2026 r. ponownie zajmował się sprawą skargi tych spółek na decyzję Prezesa Urzędu Ochrony Danych Osobowych.

Sprawa wróciła do Wojewódzkiego Sądu Administracyjnego po tym jak w lutym 2026 r. Naczelny Sąd Administracyjny uwzględnił skargę kasacyjną Prezesa Urzędu Ochrony Danych Osobowych i uchylił wyrok sądu niższej instancji oraz przekazał ją do ponownego rozpoznania.

Tym razem Wojewódzki Sąd Administracyjny zgodził się z przedstawionym w zaskarżonej decyzji stanowiskiem Prezesa UODO, że w sprawie istotnie doszło do naruszenia przepisów RODO – zarówno przez administratora (Fortum), jak i przedmiot przetwarzający (Pika).

Wojewódzki Sąd Administracyjny w wyroku z 20 maja 2026 r. podzielił również stanowisko Prezesa UODO odnośnie do administracyjnych kar pieniężnych nałożonych na oba podmioty poprzez potwierdzenie, że w ustalonych okolicznościach ich zastosowanie było skuteczne, proporcjonalne i odstraszające. Sąd ten, podobnie jak wcześniej NSA, uznał tym razem, że organ nadzorczy wyjaśnił wszystkie okoliczności przedmiotu postępowania, materiał dowodowy zebrał w sprawie prawidłowo oraz poddał go wszechstronnej i wymaganej prawem ocenie.

Wojewódzki Sąd Administracyjny potwierdził również ustalenia Prezesa UODO, że administrator nie sprawował odpowiedniego nadzoru nad podmiotem przetwarzającym. Administrator nie jest bowiem zwolniony z obowiązku zapewnienia bezpieczeństwa procesów przetwarzania danych osobowych i ponosi odpowiedzialność za jego zagwarantowanie.

O wyroku NSA uwzględniającym skargę kasacyjną Prezesa UODO pisaliśmy w komunikacie z 3 marca 2026 r. dostępnym pod linkiem:
https://uodo.gov.pl/pl/138/4088

Cała sprawa zaczęła się od zgłoszenia organowi nadzorczemu przez administratora (spółkę Fortum) naruszenia ochrony danych osobowych. Było ono związane z wprowadzeniem zmian w środowisku teleinformatycznym, które pełniło również funkcję cyfrowego archiwum. Zasygnalizowane przez administratora problemy z wydajnością systemu były podstawą podjęcia działań modernizacyjnych przez podmiot przetwarzający – spółkę Pika (obecnie w restrukturyzacji). Podjęła ona działania polegające na stworzeniu dodatkowej bazy danych i zasileniu jej danymi klientów spółki Fortum. Nowo utworzoną bazę udostępniono jednak w sposób nieprawidłowy umożliwiając ich przetwarzanie – w tym dostęp oraz kopiowanie - osobom nieuprawnionym. Dopiero interwencja Prezesa UODO doprowadziła do zawiadomienia o naruszeniu ochrony danych osobowych klientów spółki, których dane stały się jego przedmiotem. W sprawie ustalono, że naruszenie ochrony danych objęło ponad 90 tys. osób.

Ustalenia Prezesa UODO wykazały, że administrator i podmiot przetwarzający nie wdrożyli odpowiednich środków technicznych oraz organizacyjnych. Administrator przed zawarciem umowy powierzenia przetwarzania danych osobowych nie zweryfikował czy podmiot przetwarzający zapewniał wystarczające gwarancje bezpieczeństwa. Stwierdzono także brak testowania zabezpieczeń na etapie prac rozwojowych i brak sprawowania realnego nadzoru nad procesem wprowadzania zmian w systemie teleinformatycznym.

W ocenie Prezesa Urzędu uzasadnione było również nałożenie administracyjnych kar pieniężnych – w wysokości około 5 mln złotych na administratora (spółkę Fortum) oraz ponad 250 tys. złotych na podmiot przetwarzający (spółkę Pika).

O rekordowej karze organu nadzorczego informowaliśmy w komunikacie dostępnym tutaj:
https://uodo.gov.pl/pl/138/2389

II SA/Wa 458/26
DKN.5130.2215.2020

 

Podmiot udostępniający: Departament Komunikacji Społecznej
Wytworzył informację:
user Karol Witowski
date 2026-05-26
Wprowadził informację:
user Edyta Madziar
date 2026-05-26 07:59:00
Ostatnio modyfikował:
user
date 2026-06-01 09:15:50