NSA: Przedsiębiorca słono zapłaci za zbywanie urzędu lipnymi dowodami

W 2019 r. klinika zorientowała się, że jej były pracownik w sposób nieuprawniony skopiował dane pacjentów ( PESEL-e, imiona i nazwiska, imiona rodziców, daty urodzenia, adresy zamieszkania lub pobytu oraz numery telefonów). Miał je wykorzystywać w celach marketingowych we własnej działalności. Chociaż klinika oceniła ryzyko naruszenia praw i wolności osób fizycznych na wysokie, to zrezygnowała z zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych. Nakazał jej to zrobić dopiero prezes Urzędu Ochrony Danych Osobowych.

Firma zwleka z wykonaniem decyzji UODO

Chociaż decyzja UODO stała się prawomocna, przedsiębiorca nie palił się do jej wykonania. Początkowo w ogóle unikał odpowiedzi na pisma organu.

- Następnie przedstawiał wyjaśnienia niejasne, wymijające i sprzeczne ze sobą; twierdził np., że nie wie, ilu osób dane zostały w sposób nieuprawniony ujawnione, albo że nie wie, jak wykonać nakaz prezesa UODO. Przedsiębiorca utrzymywał nawet, że to obowiązkiem prezesa urzędu jest dokonanie zawiadomień osób dotkniętych incydentem, do którego doszło w klinice – opisuje urząd.

Wreszcie przedsiębiorca przedstawił „dowody” wykonania decyzji: fakturę z Poczty Polskiej dokumentującą zakup 37 znaczków na list o wartości 3,30 zł każdy, kopię oświadczenia rzekomego pracownika poczty o treści "Potwierdzamy nadanie przez Pana [...] listów zwykłych w ilości 37 sztuk" opatrzonego nieczytelnym podpisem i pieczęcią oraz kopię niezaadresowanego przykładowego zawiadomienia.

Takich dowodów na prawidłowe zawiadomienie osób dotkniętych naruszeniem prezes UODO nie mógł potraktować jako wiarygodnych – opisuje urząd. W reakcji na postawę przedsiębiorcy nałożył na niego administracyjną karę pieniężną 85 588 zł. Po tym fakcie przedsiębiorca przedstawił bezsporne dowody na zawiadomienie osób dotkniętych wyciekiem o incydencie. Były to kopie pism i potwierdzeń ich wysłania listami poleconymi.

Wykonanie obowiązku nie zwalnia jednak z kary. Przedsiębiorca, chcąc jej uniknąć, złożył skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie. Wniósł o uchylenie decyzji o ukaraniu oraz o umorzenie postępowania, ewentualnie o odstąpienie od nałożenia kary pieniężnej i poprzestanie na pouczeniu. W skardze zarzucił organowi nadzorczemu nienależyte wyjaśnienie stanu faktycznego, skutkujące subiektywną oceną zdarzenia. Przekonywał też, że tak wysoka kara finansowa jest nieadekwatna do przewinienia.

Decyzja UODO i kara finansowa zgodne z prawem

WSA w listopadzie 2021 r. oddalił skargę (II SA/Wa 790/21). Uznał, że decyzja UODO była zgodna z prawem zarówno w przedmiocie samego naruszenia, jak i wysokości orzeczonej kary finansowej.

Po czterech latach sprawa znalazła się na wokandzie Naczelnego Sądu Administracyjnego, do którego przedsiębiorca złożył skargę kasacyjną. Wyrokiem z 5 listopada 2025 r. NSA oddalił  skargę kasacyjną (III OSK 2183/22).

- To właśnie na skarżącej kasacyjnie ciążył obowiązek udokumentowania działań zaradczych podjętych w związku z naruszeniem ochrony przetwarzanych przez siebie danych osobowych, w tym dokonania zawiadomień o tym naruszeniu osób, których dane dotyczą – przypomniał w uzasadnieniu wyroku NSA.

Wysokie kary za niewykonywanie decyzji prezesa UODO

NSA zwrócił też uwagę m.in. na art. 83 ust. 6 RODO, zgodnie z którym sankcja mogła być surowa. Za nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy kara może wynieść do 20 mln euro, a w przypadku przedsiębiorstwa - w wysokości do 4 proc. jego rocznego obrotu, przy czym zastosowanie ma kwota wyższa.

- W związku z tym, że jest to środek zdecydowanie bardziej dolegliwy niż stosowane w egzekucji administracyjnej tzw. grzywny w celu przymuszenia, prezes urzędu przewiduje jego stosowanie w sytuacjach umyślnego, notorycznego lub wykazującego lekceważący stosunek do obowiązków z zakresu ochrony danych osobowych niewykonywania nakazów jego decyzji przez administratorów lub podmioty przetwarzające – informuje UODO.