Czy PUODO może i powinien wyręczyć administratora w zawiadomieniu osób o wycieku ich danych?

przez

Czy organ ochrony danych osobowych może — a nawet powinien, z urzędu — wyręczyć stronę w zawiadomieniu osób o wycieku ich danych, bo się lepiej zna, niż byle administrator? Czy jednak wystarczy, że podpowiada, prosi i wzywa? Czy PUODO może w takiej sytuacji przyładować karę za niewykonanie decyzji nakazującej wysłanie zawiadomień? Idąc dalej: czy rozpatrując skargę na decyzję o nałożeniu kary WSA powinien wziąć pod uwagę późniejsze działania ukaranego podmiotu? (wyrok Naczelnego Sądu Administracyjnego z 5 listopada 2025 r., III OSK 2183/22).

Dania
Historia długa jak z Biblii, więc będzie coś o przejściu przez ucho igielne

opis stanu faktycznego:

  • sprawa zaczęła się od wysłanego przedsiębiorcę prowadzącego przychodnię lekarską do PUODO zgłoszenia nieuprawnionego skopiowania, przez byłego pracownika, danych osobowych ok. 100 pacjentów (m.in. imion i nazwisk, numerów PESEL i numerów telefonów); administrator wskazał przy tym, iż chociaż jego zdaniem wyciek może skutkować wysokim ryzykiem naruszenia praw i wolności osób, nie zdecydował się na ich bezpośrednie zawiadomienie o naruszeniu;
  • w odpowiedzi PUODO wezwał przychodnię do niezwłocznego wysłania zawiadomień wraz z zaleceniami co do podejmowanych środków minimalizujących owe ryzyka, podając przy tym potencjalne zagrożenia i przykładowe zalecenia;
  • administrator nie odniósł się do tej korespondencji, toteż urząd wydał decyzję nakazującą podjęcie tych działań…
  • …aby miesiąc po jej uprawomocnieniu się znów wezwać administratora — tym razem do przedstawienia informacji o podjętych krokach, ale też do przedłożenia listy osób, którym wysłano zawiadomienie, o sposobie wysyłki (wraz z dowodami nadania);
  • odpowiedź przychodni była dość lakoniczna, żeby nie powiedzieć wykrętna („niestety mimo naszych chęci, nie byliśmy w stanie takiej listy stworzyć, gdyż nie wiemy których pacjentów dane zebrał lekarz, o którym mowa w zawiadomieniu […] Obecnie w naszych placówkach leczy się ponad 35 tys. osób i powiadomienie wszystkich o możliwości naruszenia ich danych osobowych jest a wykonalne”);

art. 33 ust. 4 RODO
Jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3.

art. 58 ust. 2 RODO
Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia naprawcze: […]
e) nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych; […]

art. 83 ust. 6 RODO
Nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 podlega na mocy ust. 2 niniejszego artykułu administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

  • tedy PUODO wysłał do administratora upomnienie (to z art. 15 ustawy o postępowaniu egzekucyjnym w administracji), a nawet ktoś z urzędu zatelefonował do przychodni;
  • więc przychodnia raczyła przedstawić 10 kopii zawiadomień wysłanych do pacjentów (znów dość lakonicznych, a może nawet wykrętnych — „informujemy, że w roku 2019 mogło dojść do naruszenia Pani/Pana danych osobowych (imię, nazwisko, nr telefonu) przez jednego z naszych lekarzy. Jednocześnie informujemy, że ta osoba w naszej klinice już nie pracuje i toczy się przeciwko niemu postępowanie wyjaśniające. W razie pytań prosimy o kontakt z administratorem RODO w naszej placówce”);
  • więc PUODO jeszcze raz: że treść zawiadomienia określa prawo, więc proszę się zastosować;
  • (już na tym etapie zaczynam się zastanawiać, czy aby trudności organizacyjne PUODO nie biorą się z tego, że urzędnicy wdają się w trolling?);
  • więc przychodnia, że przecież wszystko zostało wykonane, a jeśli urząd ma jeszcze jakieś pytania, to proszę się kontaktować z osobą odpowiedzialną za RODO w placówce;
  • więc PUODO dalej swoje: nowe postępowanie, już w sprawie nałożenia kary, plus żądanie wskazania sprawozdania finansowego za 2019 r. (w celu obliczenia jej wysokości) — ale jeśli administrator przedstawi dowód, że wykonał wcześniejszą decyzję, to może sankcja będzie łagodniejsza, a może w ogóle jej nie będzie;
  • więc przychodnia znów: że ponowi powiadomienia, ale przy okazji prosi o przesłanie listy tych 10 osób, które zawiadomienie już dostały (sic!);
Jeziorka
Mnie już na tym etapie kojarzy się z „Down By Law” Jima Jarmuscha
  • więc PUODO znów: jesteśmy już na etapie karania, tylko prawidłowe wykonanie tego, co trzeba, może was uratować;
  • więc administrator wysłał do organu projekt zawiadomienia z prośbą o konsultacje treści (wciąż nie pokazują wyników finansowych);
  • więc PUODO znów: że pismo wciąż jest zbyt lakoniczne, a szczegółowe podpowiedzi były na początku, więc wystarczy sprawdzić;
  • więc przychodnia odpisuje, że „informuję, że zgodnie z wezwaniem przesłanym przez Departament Kar i Egzekucji Urzędu Ochrony Danych Osobowych, powiadomiliśmy łącznie 37 osób (poszkodowanych). Tyle osób ostatecznie wynikało z przeprowadzonej przez nasz dział informatyczny analizy logowań i informacji, które widział [jumacz danych]. Jednocześnie informuję, że są to wszystkie osoby poszkodowane w tej sprawie”), przy czym tak naprawdę na liście 36, bo jedno nazwisko było zdublowane; do tego załączono kopię faktury na 37 znaczków pocztowych po 3,30 zł każdy oraz podpisane przez pracownika Poczty Polskiej oświadczenie „potwierdzamy nadanie przez [administratora] listów zwykłych w ilości 37 sztuk”;
  • więc PUODO po raz ósmy (policzyłem!): że informacje są niekompletne i prosimy o uzupełnienie dowodów;
  • odpowiedź jak z komentarza w internetach: nie ma obowiązku wysyłania niczego poleconymi, bo list zwykły jest równie dobry, a skoro jest faktura na znaczki, to proszę się już nie czepiać (dublet nazwisk też potrafili wyjaśnić: ten pacjent był na wizycie dwa razy, więc i na liście jest dwa razy);
  • wreszcie! jest! finalna! decyzja! 58588 złotych (czyli równowartość 20 tys. euro) za niewykonanie prawomocnej decyzji nakazującej zawiadomienie osób o wycieku ich danych (decyzja PUODO z 5 stycznia 2021 r., nr DKE.561.11.2020);
  • zaś dziesięć dni później przychodnia wysyła (prawidłowe?) zawiadomienia i wyznacza IOD-a;

skarga na decyzję:

  • przychodnia do sądu: że PUODO prowadził postępowanie dowodowe „pobieżnie” (sic!);
  • bo przecież wszystko było zrobione jak należy, a nawet za dużo, bo przecież żadnego ryzyka nie ma i nie było;
  • a jak urzędnicy uważają, że wysłane zawiadomienia są niekompletne, to przecież znają adresy i mogą sami („z urzędu”) wysłać co trzeba — a zamiast zająć się sprawą, organ ograniczył się do pisania pism i wydawania decyzji, co pozwala na asumpt, że od początku nie chodziło o skuteczne załatwienie sprawy, lecz nałożenie kary…
Trójkąt Bermudzki Wrocław
Historia mroczna jak „Trójkąt Bermudzki” i jego historia…
  • …i to w w wysokości maksymalnej (sic!), a przecież nie wiadomo dlaczego akurat 20 tys., a nie na przykład 10 tys. euro;
  • (jakby ktoś pytał: to pisał jakiś adwokat);

wyrok WSA:

  • natomiast prawdą jest, że w ramach uprawnień naprawczych organ może nakazać administratorowi wysłanie takich zawiadomień — więc skoro administrator do decyzji się nie zastosował, to powinien liczyć się z konsekwencjami;
  • przy czym sankcja nie jest rażąco surowa: RODO przewiduje za to karę do 20 milionów euro, więc 20 tysięcy euro to zaledwie ułamek maksimum;
  • skoro więc przedsiębiorca wyników finansowych nie pokazał, to trudno się dziwić, że PUODO oszacował podstawę według kryteriów ustawowych;

art. 101a ustawy o ochronie danych osobowych
1. W związku z toczącym się postępowaniem w sprawie nałożenia administracyjnej kary pieniężnej, podmiot [inny niż jednostka sektora finansów publicznych, NBP lub instytut badawczy], jest obowiązany do dostarczenia Prezesowi Urzędu [Ochrony Danych Osobowych], na każde jego żądanie, w terminie 30 dni od dnia otrzymania żądania, danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej.
2. W przypadku niedostarczenia danych przez podmiot […] lub gdy dostarczone przez ten podmiot dane uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej, [PUODO] ustala podstawę wymiaru administracyjnej kary pieniężnej w sposób szacunkowy uwzględniając wielkość podmiotu, specyfikę prowadzonej przez niego działalności lub ogólnie dostępne dane finansowe dotyczące podmiotu.

  • więc skarga oddalona (wyrok WSA w Warszawie z 24 listopada 2021 r., II SA/Wa 790/21);

skarga kasacyjna:

  • WSA pominął, że zawiadomienia zostały wysłane, ich treść była zgodna z prawem;
  • natomiast prawo naruszył PUODO, ponieważ niedostatecznie wyjaśnił sprawę, w tym bezpodstawnie przyjął, iż miało miejsce niewykonanie decyzji nakazującej zawiadomienie o wycieku danych osobowych;

wyrok NSA:

  • ukarana przychodnia sama sobie winna: po pierwsze w zgłoszeniu naruszenia była mowa o danych 100 pacjentów, po czym administrator marudził, że tak naprawdę nic nie wiadomo, po czym ograniczył się do dziesiątki, po czym podwyższył estymację do 36 nazwisk (nie potrafiąc nawet prawidłowo ich policzyć);
  • po drugie wydając decyzję organ uwzględnia aktualny stan materii, zatem jakiekolwiek działania podjęte później uwzględnione być nie mogą (dla przypomnienia: przedsiębiorca wykonał wezwania dopiero po nałożeniu kary);
  • po trzecie absurdalne było już samo żądanie „zwrotnego” wysłania listy nazwisk, do których pisma wysłano — wszakże to administrator ma obowiązek dokumentowania naruszeń, w tym podjętych czynności, w taki sposób, by był w stanie udowodnić prawidłowość swych działań, a obowiązek ten mieści się w zasadzie rozliczalności;

art. 33 ust. 5 RODO
Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.

  • a przecież PUODO podpowiadał, suflował, wskazywał, wyjaśniał, że faktura na „37 znaczków” to za mało — lecz wszystkie te uwagi zostały dość dokładnie zignorowane;
  • a ponieważ RODO przewiduje możliwość nałożenia kary za niewykonanie nakazu PUODO — to administrator nie może się dziwić, że zabawa w chowanie głowy w piasku skończyła się w taki a nie inny sposób;
  • (skarga kasacyjna oddalona).

(wszystkie zdjęcia fot. Olgierd Rudak, CC BY-SA 4.0)

subskrybuj
Powiadom o
guest

Ta strona używa Akismet do redukcji spamu. Dowiedz się, w jaki sposób przetwarzane są dane Twoich komentarzy.

8 komentarzy
Oldest
Newest
8
0
komentarze są tam :-)x