Naczelny Sąd Administracyjny oddalił skargę kasacyjną w sprawie kary nałożonej przez Prezesa UODO za naruszenie RODO polegające na zagubieniu nośników danych zawierających informacje osobowe. Sąd potwierdził, że nałożona sankcja w wysokości 30 tys. zł była skuteczna, proporcjonalna i odstraszająca.
Naczelny Sąd Administracyjny w wyroku z 26 czerwca 2025 r. oddalił skargę kasacyjną w sprawie zagubienia nośników danych osobowych przez sędziego Sądu Rejonowego w Szczecinie. W ten sposób podtrzymał stanowisko Wojewódzkiego Sądu Administracyjnego oraz decyzję Prezesa UODO, który nałożył karę pieniężną w wysokości 30 tys. zł.
Do Prezesa UODO wpłynęło zgłoszenie naruszenia ochrony danych związane z utratą trzech pendrive’ów: jednego szyfrowanego służbowego oraz dwóch prywatnych, nieszyfrowanych. Na nośnikach znajdowały się dane osobowe nieustalonej liczby osób. W konsekwencji doszło do naruszenia poufności danych i zwiększonego ryzyka ich bezprawnego wykorzystania.
Organ nadzorczy stwierdził, że administrator nie zapewnił odpowiednich środków technicznych i organizacyjnych gwarantujących bezpieczeństwo danych zgodnie z poziomem ryzyka, co naruszało m.in. obowiązek zapewnienia poufności przetwarzanych danych osobowych.
Administrator kwestionował wysokość kary, wskazując, że wystarczyło zastosowanie upomnienia. Wojewódzki Sąd Administracyjny w Warszawie uznał jednak, że kara pieniężna była konieczna, ponieważ:
naruszone zostało kilka przepisów RODO,
charakter naruszenia miał poważny wymiar,
nie ustalono zakresu osób, których dane mogły być dotknięte,
zagubione dokumenty obejmowały projekty orzeczeń i uzasadnień sporządzanych przez kilkanaście lat,
wśród danych mogły znajdować się informacje szczególnej kategorii, w tym dotyczące zdrowia.
NSA potwierdził, że kara nie miała charakteru dowolnego, ale była zgodna z RODO i adekwatna do okoliczności. Sąd odwołał się do art. 83 RODO oraz motywu 148 preambuły, zgodnie z którym kary pieniężne mają wzmacniać skuteczność egzekwowania przepisów o ochronie danych.
Sąd podkreślił, że zagubienie nośników nie zostało dotychczas wyjaśnione, a ryzyko wykorzystania danych nadal istnieje. Brak odpowiednich zabezpieczeń technicznych i organizacyjnych oraz długi czas trwania naruszenia uzasadniały konieczność wymierzenia sankcji finansowej.
Przeczytaj także:
Jak zapewnić cyberbezpieczeństwo przy przekazywaniu danych zewnętrznym usługobiorcom?
UODO, Wyrok NSA sygn. akt. III OSK 1312/24
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl
