Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski złożył skargę kasacyjną od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie, który uchylił decyzję UODO w części dotyczącej 1,4 mln zł kary dla Santander Banku. Sąd uznał, że nastąpiło przedawnienie możliwości nałożenia kary. UODO to kwestionuje.
Kulisy nałożenia na bank kary za naruszenie RODO
Sprawa, w której orzekał WSA ( sygn. akt II SA/Wa 774/24), jest konsekwencją zdarzenia z 2018 r., gdy przesyłka z dokumentami Santander Banku została skradziona firmie kurierskiej w czasie transportu, a następnie porzucona. Zawierała dane - m.in. nazwiska i imiona, adresy i numery PESEL – ok. 150 osób. Bank nie zawiadomił ich o naruszeniu i nie zgłosił tego faktu urzędowi, który dowiedział się o sprawie dopiero w sierpniu 2022 r., a decyzję o ukaraniu administratora wydał w marcu 2024 r. Równocześnie nakazał zawiadomienie osób, których ochrona danych została naruszona.
Dlaczego UODO złożył kasację?
Prezes UODO jest przekonany, że sprawa ma charakter precedensowy i wpłynie na sposób stosowania RODO w Polsce. Argumentuje, że RODO nie przewiduje terminu przedawnienia karalności i nie upoważnia państw członkowskich Unii Europejskiej do wprowadzania takiego terminu w prawie krajowym.
W ocenie prezesa UODO przepis kodeksu postępowania administracyjnego dotyczący przedawnienia (art. 189g par. 1 kodeksu postępowania administracyjnego) w ogóle nie znajduje zastosowania do administracyjnych kar pieniężnych przewidzianych w art. 83 RODO. Jego zastosowanie w tym kontekście może naruszać zasadę pierwszeństwa, skuteczności i jednolitości prawa UE. W związku z tym prezes UODO zwrócił się do Najwyższego Sądu Administracyjnego, aby przed rozpoznaniem skargi kasacyjnej rozważył wystąpienie do Trybunału Sprawiedliwości UE z wnioskiem o wydanie orzeczenia w trybie prejudycjalnym. Zdaniem UODO zapewniłoby to jednolitą wykładnię prawa unijnego i jego relacji wobec krajowego prawa administracyjnego.
A jeśli kary za RODO jednak się przedawniają?
W przypadku uznania, że do kar pieniężnych wynikających z RODO mają zastosowanie krajowe przepisy o przedawnieniu, rozstrzygnięcia według organu nadzorczego wymaga również to, jak powinien być liczony termin przedawnienia. Czy należałoby go liczyć od momentu upływu terminów określonych w RODO - tj. terminu zgłoszenia naruszenia ochrony danych (art. 33 ust. 1 RODO) i powiadomienia osób, których dotyczy naruszenie (art. 34 ust. 1 RODO); czy też dopiero od chwili, gdy obowiązki te zostały zrealizowane - jakkolwiek uczyniono to z uchybieniem terminu. Prezes UODO opowiada się za tym drugim rozwiązaniem.