Tak wynika z wyroku Naczelnego Sądu Administracyjnego (NSA). Podtrzymał on karę pieniężną 85.588 złotych nałożoną przez Prezesa Urzędu Ochrony Danych Osobowych (UODO) na jedną z placówek medycznych. Przychodnia podejrzewała, że odchodzący z pracy w niej lekarz skopiował dane pacjentów, których prowadził, celem wykorzystania ich do marketingu własnych usług. Przychodnia wskazała, że naruszenie dotyczyło numeru PESEL, imion i nazwisk, imion rodziców, daty urodzenia, adresu zamieszkania lub pobytu oraz numeru telefonu. Przychodnia jednocześnie zaznaczyła, że nie zawiadomiła tych pacjentów o naruszeniu ochrony ich danych osobowych, pomimo, że oceniła ryzyko naruszenia ich praw i wolności na wysokie.

Wszystko poszło nie tak

W sprawie zadziałało prawo Murphiego – jeśli coś może pójść źle, to na pewno tak się stanie. Prezes UODO zareagował co prawda błyskawicznie i kazał przychodni powiadomić wszystkich pacjentów o wycieku ich danych osobowych i przekazać im zalecenia, jak zminimalizować potencjalne negatywne skutki zaistniałego naruszenia. Czas wykonania tego polecenia to trzy dni. I tu przychodnia zaczęła kluczyć, gdyż potencjalnie musiałaby wysłać nawet kilkadziesiąt tysięcy listów poleconych. -Niestety mimo naszych chęci, nie byliśmy w stanie takiej listy stworzyć, gdyż nie wiemy których pacjentów dane zebrał lekarz, o którym mowa w zawiadomieniu (…). Obecnie w naszych placówkach leczy się ponad 35 tysięcy osób i powiadomienie wszystkich o możliwości naruszenia ich danych osobowych jest awykonalne – odpisała przychodnia do UODO. W trakcie postępowania o nałożenie kary przychodnia przesłała do UODO dowody nadania jedynie dziesięciu listów poleconych do pacjentów, jak również treść pisma, które do nich wystosowała. Czytamy w nim: „Informujemy, że w (tu odpowiednia data) mogło dojść do naruszenia Pani/Pana danych osobowych (imię, nazwisko, nr telefonu) przez jednego z naszych lekarzy (…). Jednocześnie informujemy, że ta osoba w naszej klinice już nie pracuje i toczy się przeciwko niemu postępowanie wyjaśniające. W razie pytań prosimy o kontakt z administratorem RODO w naszej placówce”. Co ciekawe, przychodnia podała pacjentom imię i nazwisko podejrzanego o wyciek danych lekarza.

Prezesowi UODO to nie wystarczyło. Uznał, że ta partia listów – po za tym, że jest skromna – nie zawiera informacji dotyczących opisu charakteru naruszenia, możliwych konsekwencji naruszenia oraz opisu działań zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu (w tym środków w celu zminimalizowania jego ewentualnych skutków). Kilka kolejnych tygodni zajęła wymiana korespondencji pomiędzy urzędnikami a przychodnią. Przychodnia powiadomiła jedynie UODO, że przy pomocy informatyka ustaliła, iż lekarz logował się na konta 37 pacjentów (w dodatku dwie pozycje się dublowały) i dlatego tylko do nich placówka wysłała zawiadomienia o potencjalnym naruszeniu ochrony ich danych osobowych. Potwierdzenie wysyłki zawiadomień też było specyficzne - to faktura od Poczty Polskiej S.A. na zakup 37 sztuk znaczków po 3,3 złotego wraz z podpieczętowanym oświadczeniem placówki pocztowej, że wysyłka rzeczywiście miała miejsce i nikt z przychodni nie nabył tych znaczków jedynie celem włożenia do filatelistycznego klasera. Przychodnia przyznała tym samym, że – biorąc pod uwagę obowiązującą w okresie wysyłki taryfę pocztową - wysłała zawiadomienia do pacjentów zwykłymi listami (zamiast poleconymi za potwierdzeniem odbioru). Prezes UODO też uznał ten sposób zawiadomienia za nieodpowiedni. Dopiero po ukaraniu przychodnia jeszcze raz wysłała – tym razem listami poleconymi za zwrotnym potwierdzeniem odbioru – poprawione zawiadomienia do pacjentów.

Nakaz nie został wykonany

Ponieważ te „oszczędności” finansowe i organizacyjne przychodni nie usatysfakcjonowały Prezesa UODO, to skończyło się na tym, że nałożył on na placówkę karę pieniężną na podstawie art. 58 ust. 2 i art. 83 rozporządzenia RODO oraz ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) z tytułu stwierdzenia niewykonania przez skarżącą nakazu nałożonego decyzją administracyjną. Zgodnie z rozporządzeniem RODO kara może wynieść do 20 milionów euro bądź niż 4 proc. obrotów przedsiębiorcy (bierze się pod uwagę wyższy limit).

Od tego placówka odwołała się do sądów administracyjnych, ale zarówno WSA w Warszawie, jak i w środę NSA, przyznały rację Prezesowi UODO. -Strona skarżąca udowodniła jedynie, przedstawiając kopię pocztowej książki nadawczej, skierowanie zawiadomień o naruszeniu ochrony danych osobowych do dziesięciu osób. Liczba owych zawiadomień była niewielka w stosunku do wskazanej w zgłoszeniu liczby stu osób, których dane naruszono (czy też liczby trzydziestu siedmiu osób wskazanej przez skarżącą - po sprawdzeniu - w piśmie, które wpłynęło do UODO). W konsekwencji, organ nadzorczy zarzucił stronie skarżącej, że jej działania w żaden sposób nie można uznać za wykonanie nakazu wyrażonego we wspomnianej wyżej decyzji Prezesa UODO. Prezes UODO zasadnie przyjął, że na dzień wydania decyzji brak jest podstaw do uznania, iż strona skarżąca, jako administrator danych, wywiązała się z ciążącego na niej - na mocy art. 34 ust 1 i 2 RODO - obowiązku zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych, będącym przedmiotem zgłoszenia – orzekli sędziowie, nie zostawiając suchej nitki na praktyce przychodni.

Sędziowie podkreślili także, że - choć już po wydaniu decyzji o karze pieniężnej - przychodnia wysłała do 37 osób listy polecone z prawidłowymi zawiadomieniami, to zrobiła to za późno i z tego względu nie można było anulować nałożonej na nią sankcji.

Wyrok NSA z 5 listopada 2025 r., III OSK 2183/22.