Wyrok WSA w Warszawie z dnia 15 listopada 2021 r., sygn. II SA/Wa 2465/21

Sąd uchylił karę ponad miliona zł nałożoną przez UODO na Cyfrowy Polsat. Jego zdaniem nie wyjaśniono, czy firma kurierska gubiąca umowy klientów była procesorem, czy administratorem danych.

Gazeta Prawna nr 45/2022

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Waldemar Śledzik (spr.), Sędzia WSA Piotr Borowiecki, Sędzia WSA Joanna Kruszewska-Grońska, , Protokolant referent stażysta Edyta Brzezicka, po rozpoznaniu na rozprawie w dniu 3 listopada 2021 r. sprawy ze skargi C.P. S.A. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] kwietnia 2021 r., nr [...] w przedmiocie nałożenia administracyjnej kary pieniężnej 1. uchyla decyzję w zaskarżonej części; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz C.P.S.A. z siedzibą w W. kwotę 22187 (słownie: dwadzieścia dwa tysiące sto osiemdziesiąt siedem) złotych, tytułem zwrotu kosztów postępowania.

Uzasadnienie

Decyzją z dnia [...] kwietnia 2021r. Prezes Urzędu Ochrony Danych Osobowych (zwany dalej także jako: "Prezes UODO"; "Organ") działając na podstawie art. 104 § 1 i 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm. – zwanej dalej także jako "k.p.a."), art. 7 ust. 1, art. 60, art. 101 i 103 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a), art. 58 ust. 2 lit. i) w związku z art. 24 ust. 1, art. 31, art. 32 ust. 1 i 2, art. 34 ust. 1, a także art. 83 ust. 1 i 2 oraz art. 83 ust. 4 lit. a) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35 – zwane dalej jako: "rozporządzenie 2016/679" ), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez [...] z siedzibą w [...] przy ul. [...] (zwany dalej także jako: "[...]’ "Spółka"), stwierdził naruszenie przez Spółkę [...], art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych przetwarzanych we współpracy z podmiotem świadczącym usługi kurierskie przez szybką identyfikację naruszeń ochrony danych osobowych oraz nałożył na Spółkę za naruszenie art. 32 ust. 1 i 2 rozporządzenia 2016/679 administracyjną karę pieniężną w wysokości 1.136.975 zł, zaś w pozostałym zakresie postępowanie umorzył.