Wojewódzki Sąd Administracyjny w Warszawie przyznał rację Urzędowi Ochrony Danych Osobowych, który doszedł do wniosku, że skoro administrator nie dopełnił swoich obowiązków i nie zgłosił ryzyka naruszenia danych osobowych, to należy nałożyć na niego karę. I nie ma znaczenia to, że w późniejszym czasie zgubione dokumenty się odnalazły, bo przez pewien czas pozostawały poza kontrolą.
Chodzi o sprawę, którą WSA w Warszawie badał w kwietniu 2023 r. Prezes UODO w 2022 r. zadecydował o nałożeniu na administratora kary w wysokości niemal 16 tys. zł. W ocenie urzędu, dopuścił się on naruszenia przepisów ze względu na nieprawidłową reakcję po zgubieniu dokumentów.
Dokument się znalazł, ale naruszenie i tak trzeba było zgłosić. Jak wskazano w komunikacie, w toku czynności wyjaśniających w trakcie postępowania ujawniono, że doszło do zagubienia dokumentu z akt osobowych pracownika spółki. Wówczas administrator uznał, że co prawda doszło do naruszenia ochrony danych osobowych polegającego na utracie z winy pracodawcy świadectwa pracy jednego z pracowników, jednak nie zgłosił tego naruszenia do UODO. Uznał bowiem, że nie wiąże się to z zagrożeniem naruszenia prawa. Z taką interpretacją nie zgodził się UODO, który zadecydował o nałożeniu kary. Ostatecznie sprawę musiał jednak zbadać warszawski WSA.
Utrata kontroli nad dokumentem
Sąd przyznał jednak rację urzędowi. W uzasadnieniu wyroku (sygn. akt II SA/Wa 127/22) przypomniano, że naruszenie ochrony danych osobowych jest przesłanką do zgłoszenia zdarzenia. W przypadku naruszenia bardzo ważny jest bowiem czas reakcji. Administrator ma obowiązek zgłosić naruszenie do organu nadzorczego bez zbędnej zwłoki, jednak nie później niż w terminie 72 godzin od stwierdzenia naruszenia. W sytuacji, w której istnieje wysokie ryzyko dla praw lub wolności osób, których dane są objęte naruszeniem, administrator powinien zawiadomić o zdarzeniu także te osoby. Ważne jest to, że nic konkretnego nie musi się zdarzyć, by mimo wszystko doszło do naruszenia RODO.
– WSA podtrzymał stanowisko UODO zawarte w odpowiedzi na skargę, że ów dokument znajdował się poza kontrolą administratora, ponieważ nie miał on wiedzy, gdzie się znajduje, jaki jest zakres jego treści, kto ma do niego dostęp i czy nie został on zniszczony. Administrator akceptował zgubienie świadectwa pracy pracownika wraz z konsekwencjami dla ochrony danych. Dopiero wydanie administracyjnej kary pieniężnej spowodowało zintensyfikowanie poszukiwań dokumentu. Takie działanie, w ocenie UODO, może także świadczyć o lekceważącym stosunku do przepisów dotyczących ochrony danych osobowych – zaznacza w komunikacie UODO.
Z tego względu skarga administratora została oddalona jako nieuzasadniona.