WSA oddala skargę Panek: 1,5 mln zł kary za naruszenie RODO

WSA utrzymał karę dla Panka za naruszenie RODO

Źródło: iStock

Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Panek SA dotyczącą administracyjnej kary pieniężnej, którą nałożył na tę spółkę Mirosław Wróblewski, prezes Urzędu Ochrony Danych Osobowych. Jak przypomniał, przy powierzaniu danych to na administratorze spoczywa obowiązek rzetelnej analizy ryzyka. Panek zapowiada dalszą walkę i skargę do Naczelnego Sądu Administracyjnego.

W kwietniu 2020 r. spółka Panek zawiadomiła UODO o naruszeniu ochrony danych osobowych. Okazało się, że podczas uruchamiania nowej strony internetowej firmy nastąpiło ujawnienie folderu zawierającego pliki z danymi osobowymi pochodzącymi z poprzedniej strony. Robot Google mógł dzięki temu indeksować pliki obejmujące imię, nazwisko, adres e-mail, adres zamieszkania, hasła dostępu do panelu klienta, numer telefonu i – w niewielkim zakresie – numer PESEL.

Naruszenie dotyczyło ponad 7 tys. osób (bez ujawnienia numerów PESEL). Panek S.A. to bowiem znana wypożyczalnia aut, założona w 2000 roku w Lubinie na Dolnym Śląsku. W ciągu 25 lat spółka przekształciła się w jednego z ogólnopolskich i środkowoeuropejskich operatorów oferujących usługi wynajmu pojazdów na minuty, wynajmu krótkoterminowego oraz długoterminowego. Obecnie Panek koncentruje się na wynajmie dobowym pojazdów, m.in. na lotniskach, we współpracy z sieciami dealerskimi czy w branży HoReCa. Spółka prowadzi swoją działalność także na rynkach międzynarodowych, m.in. w Austrii, na Litwie, Łotwie, w Niemczech i na Słowacji.

Prezes UODO stwierdził naruszenie art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c RODO (decyzja DKN.5130.2415.2020). Nałożył na spółkę Panek SA jako administratora danych karę w wysokości 1,5 mln zł, zaś na podmiot przetwarzający – karę 20 tys. zł.

Panek nie zgadza się z UODO

Na decyzję UODO spółka Panek wniosła skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie. Zarzuciła organowi nadzorczemu m.in.:

naruszenie zasady swobodnej oceny dowodów przez brak ustalenia przyczyny incydentu z 2020 r. i przyjęcie, że to spółka Panek ponosi za niego odpowiedzialność;
brak podjęcia z urzędu czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego sprawy;
błędne zastosowanie przepisów art. 24 ust. 1 oraz art. 32 ust. 1 i 2 RODO, polegające na przyjęciu, że powierzenie zewnętrznemu podmiotowi przetwarzającemu usług zapewnienia bezpieczeństwa danych nie jest wystarczającym środkiem techniczno-organizacyjnym;
błędne zastosowanie przepisów 28 ust. 1 oraz art. 5 ust. 2 RODO, polegające na przyjęciu, że wynika z nich obowiązek ciągłego nadzoru administratora nad sposobem przetwarzania danych przez podmiot przetwarzający;
nieprawidłowy sposób wyliczenia kary pieniężnej.

Wyrok WSA ws. kary dla Panka

Wojewódzki Sąd Administracyjny wydał wyrok utrzymujący w mocy decyzje UODO w maju 2025 r. (sygn. akt II SA/Wa 45/25), o czym organ poinformował w komunikacie dwa miesiące później.

– WSA zaznaczył, iż istota sprawy sprowadzała się do zbadania, czy administrator danych zapewnił wystarczające środki techniczno-organizacyjne służące przede wszystkim weryfikacji działań podmiotu przetwarzającego pod kątem wdrażania odpowiednich środków bezpieczeństwa ochrony danych – czytamy w komunikacie UODO.

Według sądu administrator wystarczających środków nie zapewnił. WSA, uzasadniając wyrok, przywołał założenie RODO, zgodnie z którym zarządzanie ryzykiem stanowi fundament działań związanych z ochroną danych osobowych. Wysnuł z tego wniosek, że monitorowanie poziomu zagrożeń oraz zapewnienie rozliczalności w zakresie adekwatności zabezpieczeń jest koniecznością, bez której nie sposób mówić o skutecznej ochronie danych osobowych. Nie da się także przeprowadzać tego typu działań bez tworzenia stałej ich dokumentacji, która pomaga w rozpoznawaniu zagrożeń i ich klasyfikowaniu w przyszłości. WSA zwrócił też uwagę, że to na administratorze spoczywa obowiązek rzetelnej analizy ryzyka – niezależnie od relacji pomiędzy administratorem danych a podmiotem przetwarzającym.

Co się tyczy kary pieniężnej, zdaniem sądu organ nie przekroczył kwoty wynikającej z RODO oraz zastosował wytyczne Europejskiej Rady Ochrony Danych. Orzeczoną sankcję trudno więc uznać za arbitralną.

Będzie skarga do NSA

Panek zapowiada, że odwoła się od wyroku WSA o półtoramilionowej karze dotyczącej wycieku danych z 2020 r. -Uważamy, że Sąd nie odniósł się do kilku istotnych elementów zarzuconych decyzji Prezesa UODO i skupił się na ogólnych rozważaniach na temat odpowiedzialności stron umowy powierzenia przetwarzania danych osobowych, bez dogłębnej analizy konkretnego stanu faktycznego. W związku z tym zarząd spółki podjął decyzję o skorzystaniu z przysługującego mu środka odwoławczego, tj. skargi kasacyjnej do NSA – wskazuje Łukasz Gajek, przedstawiciel firmy.

Czytaj także: Deregulacja RODO, czyli z dużej chmury mały deszcz

-------------------------------------------------------------------------------------------------------------------

Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.