Klient kupujący telefon komórkowy podał e-maila do osoby, która miała zbliżone dane osobowe. Choć szybko ostrzegł salon sprzedaży, to do tego czasu doszło już do wysyłki dokumentów z jego danymi, a zgłoszenie tego incydentu nie trafiło w ciągu doby do Urzędu Ochrony Danych Osobowych. Naczelny Sąd Administracyjny uznał jednak, że operator miał za mało informacji i niekoniecznie doszło do niedotrzymania tego bardzo krótkiego terminu. Uchylił więc decyzję o ćwierćmilionowej karze dla operatora.
Sprawa dotyczyła P4 spółki z o.o., operatora Play, na którą Jan Nowak, ówczesny prezes Urzędu Ochrony Danych Osobowych (UODO), nałożył 250 tysięcy złotych kary. Chodziło o mężczyznę, który dostał na swojego e-maila zestaw dokumentów z salonu Play, w tym umowę zawierającą m.in. imię i nazwisko, a także numer dowodu osobistego oraz PESEL jednego z klientów sieci Play o bardzo zbliżonych danych osobowych. Mężczyzna był zdziwiony, gdyż – po pierwsze – sam nigdy nie był klientem Play, ale także dlatego, że ktoś mógł podać jego e-mail do kontaktu. Dlatego zawiadomił UODO o tym zdarzeniu.
Spółka wyjaśniała, że zamówienie dotyczyło innej osoby, nowego klienta, który podał pechowego e-maila jako ten do kontaktu z nim. Już podczas procesu zawarcia umowy wygenerowana została wiadomość e-mail zawierająca kopię umowy wraz z załącznikami (regulaminami i cennikami) i wysłana na zadeklarowany przez nowego klienta e-mail. Po jakimś czasie nowy klient zauważył pomyłkę w e-mailu, wrócił do salonu Play, poinformował o błędzie. Poprosił też o usunięcie e-maila, a jednocześnie nie podał innego adresu poczty elektronicznej. Dlatego spółka podkreślała, że podpisanie umowy, na której zapisany został adres e-mail, było dla niej (jako administratora) sygnałem, że wysyłając na niego wiadomości kontaktuje się z prawidłową osobą, czyli tą, której dane te dotyczą. Natomiast o istnieniu osoby, do której e-mail dotarł i jej skardze do UODO spółka dowiedziała się dopiero z pism urzędników proszących o wyjaśnienie całej sytuacji.
Prezes UODO uważał zaś, że doszło do naruszenia danych osobowych, gdyż Play udostępnił osobie trzeciej e-mailem dane abonenta zawarte w umowie. W takich sytuacjach trzeba powiadomić prezesa UODO o zaistniałym naruszeniu danych osobowych nie później niż 24 godziny po jego wykryciu. Co więcej, naruszenie takie jest też potencjalnie niekorzystne dla abonenta – może spowodować nieuprawnione posługiwanie się jego danymi osobowymi, szkodę majątkową, naruszenie dóbr osobistych. Dlatego Play powinno też po wykryciu naruszenia bez zbędnej zwłoki powiadomić o nim również klienta.
Jako podstawy prawnej decyzji nie wskazano jednak RODO, ale art. 174a i 210a ówcześnie obowiązującej ustawy z 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. z 2024 r. poz. 34). Podstawą prawną był też art. 3 ust. 1, 3 i 4 unijnego rozporządzenia 611/2013/UE w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej. Pierwszy zarzut to brak zawiadomienia prezesa UODO o naruszeniu danych osobowych w terminie 24 godzin od jego wykrycia. Drugi zarzut to właśnie brak niezwłocznego powiadomienia o naruszeniu danych osobowych abonenta, którego dotyczyło naruszenie. W efekcie operator sieci Play dostał ćwierćmilionową karę pieniężną.
W ocenie UODO, Play uzyskał informacje, które po ich przeanalizowaniu pozwoliłyby na wykrycie naruszenia danych osobowych, aż dwukrotnie. Po raz pierwszy, kiedy klient wrócił do salonu z informacją, że podał złego e-maila i poprosił o jego usunięcie. Po raz drugi zaś, gdy spółka odebrała wezwanie UODO do złożenia wyjaśnień. Tymczasem Play złożył takie zawiadomienie dopiero kilka tygodni później, już po wszczęciu postępowania administracyjnego w tej sprawie i po dokonaniu wglądu w akta sprawy.
Firma telekomunikacyjna zaskarżyła rozstrzygnięcie UODO. Operator podkreślił, że dopiero po zapoznaniu się z aktami sprawy w UODO, w tym z treścią zgłoszenia przekazanego przez osobę trzecią (pechowego adresata e-maila), skarżąca była w stanie stwierdzić, że e-mail zawierający umowę klienta nie trafił do niego, ale do kogoś innego, mającego zbliżone dane osobowe. Nie znając treści zgłoszenia, przekazanej do organu przez osobę trzecią, skarżąca nie miała wiedzy, czy zgłoszenie nie było wysłane np. przez samego klienta lub czy nie zawierało informacji, które wcale nie wskazywały na naruszenie ochrony danych osobowych. Dopiero kilka tygodni po incydencie można było to dokładnie zweryfikować.
Sądy przyznały spółce rację. WSA w Warszawie uchylił zaskarżoną decyzję, a teraz wyrok ten podtrzymał NSA oddalając skargę kasacyjną, dlatego uchylenie decyzji Prezesa UODO jest już prawomocne.
Obowiązek informacyjny administratora danych uaktualnia się dopiero w momencie wykrycia naruszenia. Następuje to jednak dopiero, gdy dostawca uzyskał wystarczającą wiedzę o zaistnieniu zdarzenia naruszającego ochronę. Nie może to być utożsamiane jedynie z podejrzeniem wystąpienia zdarzenia lub z okolicznościami, które powinny były doprowadzić administratora do wykrycia zdarzenia. Punkt 8 preambuły rozporządzenia 611/2013/UE przesądza, że ani samo podejrzenie, że doszło do naruszenia danych osobowych, ani samo wykrycie zdarzenia bez wystarczających dostępnych informacji - mimo starannego działania dostawcy w tym zakresie - nie wystarczają, aby uznać, że wykryto naruszenie danych osobowych. Szczególny nacisk należy zatem położyć na dostępność informacji (opisanych dokładnie we wzorach powiadomień kierowanych do UODO oraz abonenta). Rozporządzenie 611/2013/UE akcentuje konieczność bezspornego ustalenia faktu wykrycia naruszenia, które nie jest tożsame jedynie z wystąpieniem podejrzenia takiego naruszenia. Sądy uznały, że UODO nie wziął tego pod uwagę.
Ponadto - gdy chodzi o karę pieniężną lub zobowiązanie do wykonania innego rodzaju obowiązku - UODO ma obowiązek przeprowadzić postępowanie w taki sposób, aby nie pozostawiać żadnych wątpliwości, co do podjętego rozstrzygnięcia. Niedopuszczalne jest więc interpretowanie wątpliwości co do stanu faktycznego na niekorzyść strony. Urzędnicy będą więc jeszcze raz musieli zbadać dokładnie tę sprawę. Sędziowie nakazali, aby UODO ustalił w sposób niebudzący wątpliwości, kiedy doszło do wykrycia przez spółkę naruszenia ochrony danych osobowych. Dopiero wówczas urzędnicy powinni zbadać, czy w tej sprawie doszło do naruszenia obowiązku informacyjnego i wtedy ewentualnie nałożyć karę pieniężną.
Wyrok NSA z 7 maja 2026 r., III OSK 1397/24
