Sąd uchylił karę ponad miliona zł nałożoną przez UODO na Cyfrowy Polsat. Jego zdaniem nie wyjaśniono, czy firma kurierska gubiąca umowy klientów była procesorem, czy administratorem danych.
Rozstrzygnięcie w tej sprawie będzie miało olbrzymie znaczenie dla wszystkich firm, które zawierają umowy na odległość i dostarczają je pocztą czy kurierem do klientów. Niestety zdarza się, że przesyłki giną bądź też trafiają do niewłaściwych adresatów. Może to stanowić zagrożenie dla klientów, bo w umowach widnieją szczegółowe dane na ich temat, takie jak PESEL, adres czy nawet numer dowodu osobistego.
Takie problemy napotykał również Cyfrowy Polsat. Informacje na temat zgubionych czy błędnie dostarczonych przesyłek przekazywał Urzędowi Ochrony Danych Osobowych. Analizując je, organ zwrócił uwagę na wzrost liczby tych zgłoszeń oraz zbyt długi, jego zdaniem, czas, jaki upływał między naruszeniem a przekazaniem informacji o nim klientom. Właśnie z tego powodu wszczął postępowanie, a następnie wydał decyzję i nałożył karę 1,1 mln zł.
Prezes UODO przyjął, że to na Cyfrowym Polsacie ciążył obowiązek wdrożenia technicznych i organizacyjnych środków ochrony pozwalających natychmiast stwierdzać naruszenie i bez zbędnej zwłoki zawiadomić organ nadzorczy oraz osobę, której bezpieczeństwo danych zostało zagrożone. Spółka powinna wdrożyć odpowiednie rozwiązania, np. monitoring przesyłek, tak aby na bieżąco spływały do niej informacje o naruszeniach. W swej decyzji przyjęła, że firma kurierska, która dostarczała korespondencję, była podmiotem przetwarzającym. To jednak nie zwalniało Cyfrowego Polsatu z odpowiedzialności za naruszenia.
Administrator czy procesor?
Głównym powodem uchylenia tej decyzji przez Wojewódzki Sąd Administracyjny w Warszawie było przyjęcie założenia, zgodnie z którym firma kurierska jest procesorem danych, a Cyfrowy Polsat pozostaje ich administratorem. Zdaniem sądu UODO nie wyjaśnił przekonywająco, dlaczego tak a nie inaczej określił jej status. Tak wynika z uzasadnienia wyroku udostępnionego na wniosek DGP w minionym tygodniu (sam wyrok wydano w ubiegłym roku, ale nie był on publikowany).
- Wyrok porusza istotną kwestię, czyli określenie roli, jaką dany podmiot odgrywa w procesie przetwarzania danych osobowych. Ma to duże znaczenie dla odpowiedzialności, jaką ponoszą one w związku z przetwarzaniem danych. Podmiot przetwarzający przetwarza dane osobowe w imieniu administratora. Jest on oczywiście zobowiązany do zapewnienia odpowiednich środków ochrony powierzonych mu danych, jednak pełna odpowiedzialność wobec osób, których dane dotyczą, spoczywa na administratorze - wyjaśnia Agnieszka Świerczyńska, adwokat w kancelarii Lubasz i Wspólnicy.
Sytuacja zmieniłaby się diametralnie, gdyby firmę kurierską uznać za administratora danych. W momencie przekazania jej przesyłki odpowiedzialność za bezpieczeństwo danych zaczynałaby bowiem w pełni na niej spoczywać. Sąd, odwołując się do ustawy - Prawo pocztowe (t.j. Dz.U. z 2020 r. poz. 1041 ze zm.) wskazał wiele przesłanek, które jego zdaniem mogą przemawiać za tym, że to operator pocztowy jest administratorem danych.
- O ile usługa świadczona przez firmę kurierską polega wyłącznie na doręczeniu przesyłki do adresata, a firmie tej przysługuje status operatora pocztowego, to wówczas ona odgrywa rolę administratora danych osobowych w stosunku do danych nadawcy i odbiorcy - uważa dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński.
- Co ciekawe, potwierdzeniem tego jest jedna z opinii samego UODO, który odpowiadając na pytania dotyczące zadań inspektora ochrony danych osobowych, stwierdził wprost, że „Poczta Polska i inni operatorzy pocztowi w związku z wykonywaniem usług pocztowych są administratorami danych osobowych nadawców i adresatów przesyłek” - dodaje.
Do ponownej analizy
Zauważył to również sąd, który uznał za uzasadnione domniemanie, że operator pocztowy jest samodzielnym administratorem w ramach czynności przemieszczania i doręczenia przesyłek do odbiorców (choć zaznaczył, że to są to rozważania poboczne, bo ich rozstrzygnięcie nie jest rolą sądu w tej sprawie).
Tu kluczowe było to, że UODO nie przeanalizował roli firmy kurierskiej.
„Nie ulega wątpliwości, że związanie rygorami procedury administracyjnej oznacza, iż prezes UODO jest obowiązany m.in. do przestrzegania zasady pogłębiania zaufania obywateli do organów praworządnego państwa (art. 8 par. 1 k.p.a.). W tej sytuacji organ nadzorczy, uwzględniając powyższą zasadę, zobowiązany jest przede wszystkim dokładnie wyjaśnić okoliczności sprawy, konkretnie ustosunkować się do żądań i twierdzeń strony skarżącej oraz uwzględnić w decyzji zarówno interes społeczny, jak i słuszny interes strony skarżącej. Organ nadzorczy jest ponadto obowiązany w sposób wyczerpujący zebrać i ocenić cały materiał dowodowy (art. 7, art. 77 par. 1 i art. 80 k.p.a.) oraz uzasadnić swoje rozstrzygnięcie według wymagań określonych w przepisie art. 107 par. 3 k.p.a.” - napisano w uzasadnieniu wyroku.
Zgodnie z wyrokiem UODO ma przeanalizować rolę, w jakiej występuje firma kurierska, bo dopiero to pozwoli na stwierdzenie, kto ponosi odpowiedzialność naruszenia przepisów RODO. Przyjmując, że jest ona procesorem, kierował się głównie tym, że Cyfrowy Polsat zawarł z tą firmą umowy powierzenia. To jednak, zdaniem sądu, nie musi być przesądzające.
- Status administratora może wynikać z przepisów, jednak zwykle jest ustalany w oparciu o okoliczności faktyczne związane z przetwarzaniem danych osobowych. Co oznacza, że samo zawarcie umowy powierzenia nie kreuje relacji administrator podmiot przetwarzający. W rzeczywistości może być to relacja pomiędzy dwoma niezależnymi administratorami, z których każdy ponosi odpowiedzialność za własne działania - wyjaśnia Agnieszka Świerczyńska.
- Wskazanie przez UODO, jakie czynniki bierze pod uwagę przy ocenie statusu danego podmiotu, będzie miało znaczenie nie tylko dla tej konkretnej sprawy, ale może wielu innym podmiotom w prawidłowym ustaleniu relacji z ich kontrahentami, dostawcami usług. To z kolei może przyczynić się do mniejszej liczby umów powierzenia zawieranych „na wszelki wypadek” - dodaje.
/>
orzecznictwo
Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 15 listopada 2021 r., sygn. akt II SA/Wa 2465/21 www.serwisy.gazetaprawna.pl/orzeczenia