„Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski złożył skargę kasacyjną do Naczelnego Sądu Administracyjnego. Zaskarżył wyrok WSA w Warszawie, w którym uwzględniona została skarga Santander Bank Polska SA w odniesieniu do nałożonej przez Prezesa UODO administracyjnej kary pieniężnej w wysokości 1 440 549 zł” – podał UODO w poniedziałkowym komunikacie.
Urząd przypomniał, że w sprawie chodziło o naruszenie przepisów o ochronie danych osobowych i o niezgłoszenie Prezesowi UODO przez bank incydentu naruszenia ochrony danych osobowych. Bank nie zawiadomił o incydencie osób, których dane dotyczą.
„Chodzi o zdarzenie z 2018 r. Dokumenty bankowe zawierające dane osobowe zostały skradzione, a potem porzucone na śmietniku” – czytamy w komunikacie urzędu.
UODO podał, że prezes urzędu ustalił, że Santander „niezasadnie odstąpił od realizacji obowiązków” wynikających z przepisów o ochronie danych osobowych i że nie wypełnił ich do momentu wydania decyzji przez organ nadzorczy. W efekcie – jak przypomniano w komunikacie - prezes UODO zobowiązał bank do zawiadomienia o naruszeniu dotkniętych nim osób oraz nałożył na bank jako administratora danych karę pieniężną. Bank wniósł do Wojewódzkiego Sądu Administracyjnego skargę na tę decyzję, a sad uchylił decyzję UODO w części dotyczącej kary pieniężnej, przyjmując, że nastąpiło przedawnienie możliwości jej nałożenia.
„Istota sporu i powód wniesienia przez Prezesa UODO skargi kasacyjnej dotyczy tego, czy do kar pieniężnych wynikających z RODO mogą mieć zastosowanie krajowe przepisy o przedawnieniu” – czytamy w komunikacie. Dodano, że „RODO nie przewiduje terminu przedawnienia karalności. Nie zawiera też upoważnienia dla państw członkowskich UE do wprowadzania takiego terminu w swoim prawie krajowym”.
W komunikacie zwrócono uwagę, że jeśli sąd uzna, że do kar pieniężnych wynikających z przepisów o ochronie danych osobowych mają zastosowanie krajowe przepisy o przedawnieniu, należy rozstrzygnąć kwestię liczenia terminu przedawnienia. Chodzi o to, czy za termin, od której liczy się bieg przedawnienia, należy przyjąć datę zgłoszenia naruszenia ochrony danych, czy powiadomienia osób, których dotyczy naruszenie, czy też wreszcie – i takie jest stanowisko UODO – dopiero datę realizacji obowiązków, nawet jeśli zostały one dopełnione z opóźnieniem.
„Prezes UODO podkreśla w uzasadnieniu skargi kasacyjnej, że zawiadamianie o incydencie (osób, których dane dotyczą, i organu nadzorczego) to jeden z kluczowych mechanizmów ochrony danych osobowych w Unii Europejskiej. Nieprawidłowa jest więc wykładnia, według której obowiązki te tracą moc z chwilą upływu wskazanych terminów ich realizacji” – czytamy w komunikacie. Wskazano, że takie stanowisko potwierdzają też wytyczne Europejskiej Rady Ochrony Danych.
Według UODO przepisy i przedawnieniu wynikające z polskiego Kodeksu postępowania administracyjnego nie znajdują zastosowania do administracyjnych kar pieniężnych przewidzianych w ustawie o RODO. Prezes urzędu ocenił, że zastosowanie KPA do kar za naruszenie zasad ochrony danych „może naruszać zasadę pierwszeństwa, skuteczności i jednolitości prawa UE”. Urząd podał, że zwrócił się do NSA o rozważenie – jeszcze przed rozpoznaniem skargi kasacyjnej – wystąpienia do Trybunału Sprawiedliwości UE z wnioskiem o wydanie orzeczenia w trybie prejudycjalnym w celu zapewnienia jednolitej wykładni prawa UE i jej relacji wobec krajowego prawa administracyjnego.
„Prezes UODO jest przekonany, że sprawa ta ma charakter precedensowy, gdyż jej rozstrzygnięcie wpłynie na sposób stosowania przepisów RODO w Polsce w kwestii przedawnienia odpowiedzialności administracyjnej za naruszenie przepisów o ochronie danych osobowych w kontekście nakładania kar pieniężnych, a tym samym przesądzi o uprawnieniach organu nadzorczego oraz skuteczności systemu ochrony prawnej w tym obszarze” – podał urząd w komunikacie.