W maju 2025 Wojewódzki Sąd Administracyjny w Warszawie rozpatrzył skargę wniesioną przez firmę Panek SA na decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO). Sprawa dotyczyła nałożenia na spółkę administracyjnej kary pieniężnej za naruszenia ochrony danych osobowych, które miały miejsce podczas aktualizacji strony internetowej firmy. Przedstawiamy poniżej szczegóły sprawy i argumenty stron.

Decyzja UODO i Skarga Panek SA

Incydent, którym zajął się WSA, wydarzył się w kwietniu 2020 roku. Firma Panek SA zgłosiła naruszenie do organu nadzorczego, po tym jak proces wdrażania nowej strony internetowej doprowadził do ujawnienia folderu z danymi osobowymi użytkowników poprzedniej wersji witryny. W efekcie dane takie jak imię, nazwisko, adres e-mail, hasła oraz numery telefonu zostały nieodpowiednio zabezpieczone, co mogło zostać zaindeksowane przez roboty wyszukiwarki Google. Zidentyfikowano, że problem objął dane ponad 7 tysięcy osób, jednak bez bezpośredniego ujawnienia numerów PESEL.

Prezes UODO nałożył karę finansową wynoszącą 1 527 855 zł na Panek SA jako administratora danych oraz 20 037 zł na podmiot przetwarzający. Naruszenia te odnosiły się do artykułów RODO dotyczących odpowiednich środków techniczno-organizacyjnych oraz konieczności nadzoru nad podmiotem przetwarzającym dane. Firma Panek SA zaskarżyła decyzję, wskazując na domniemane błędy proceduralne oraz niewystarczające wyjaśnienie okoliczności incydentu przez organ nadzorczy. Spółka twierdziła, że podjęła kroki w celu zapewnienia bezpieczeństwa danych poprzez powierzenie tych zadań zewnętrznemu podmiotowi.

Wyrok Wojewódzkiego Sądu Administracyjnego

WSA doszedł do wniosku, że działania Prezesa UODO zostały przeprowadzone zgodnie z prawem. Sąd zwrócił uwagę na fundamentalne znaczenie zarządzania ryzykiem w ochronie danych osobowych. Podkreślono, że to na administratorze danych spoczywa obowiązek zapewnienia adekwatnych środków bezpieczeństwa oraz ciągłego monitorowania działań podejmowanych przez podmioty przetwarzające.

WSA stwierdził, iż firma Panek SA nie sprostała obowiązkowi przeprowadzenia rzetelnej analizy ryzyka ani monitorowania poziomu zagrożeń związanych z przetwarzaniem danych. Uznał więc, że nałożona kara pieniężna była proporcjonalna do wagi naruszeń, a przy jej określaniu uwzględniono wytyczne Europejskiej Rady Ochrony Danych. Wymierzona sankcja miała na celu podkreślenie znaczenia przestrzegania przepisów o ochronie danych oraz potrzeby stałej dokumentacji działań w zakresie bezpieczeństwa informacji.

Decyzja sądu potwierdza centralną rolę administratora danych w zarządzaniu bezpieczeństwem informacji, niezależnie od relacji z podmiotami przetwarzającymi. Jest to wyraźny sygnał dla administrujących danymi, że nieprzestrzeganie właściwych procedur oceny i zarządzania ryzykiem może skutkować poważnymi konsekwencjami prawnymi.

Więcej: https://uodo.gov.pl/pl/138/3833