Naczelny Sąd Administracyjny (NSA) wyrokiem z 24 listopada 2025 r. (sygn. III OSK 2183/22) oddalił skargę kasacyjną właściciela kliniki stomatologicznej, potwierdzając administracyjną karę pieniężną w wysokości 85 588 zł za niewykonanie nakazu Prezesa UODO. Sprawa pokazuje, jak kluczowa jest zasada rozliczalności i posiadanie wiarygodnych dowodów wykonania obowiązków.
W lipcu 2019 r. właściciel kliniki stomatologicznej zgłosił naruszenie ochrony danych osobowych – były pracownik nieuprawnie skopiował dane pacjentów, planując ich wykorzystać do marketingu własnej firmy. Prezes UODO wydał prawomocną decyzję nakazującą administratorowi dane zawiadomić poszkodowane osoby.
Przedsiębiorca początkowo unikał wezwań organu, podawał wymijające wyjaśnienia (np. nie znał liczby poszkodowanych, twierdził, że zawiadomienia to obowiązek UODO). Ostatecznie przedstawił fakturę na 37 znaczków i oświadczenie "pracownika poczty" o wysłaniu pism zwykłą pocztą – dowody uznano za niewiarygodne.
Za brak wykonania nakazu Prezes UODO nałożył karę 85 588 zł. Dopiero po doręczeniu decyzji administrator dostarczył kopie pism i potwierdzenia wysyłki poleconej – ale już po wydaniu kary. WSA w Warszawie w 2021 r. oddalił skargę, uznając decyzję za zgodną z prawem.
Przedsiębiorca złożył skargę kasacyjną do NSA, ale sąd podkreślił: wykonanie nakazu było spóźnione. Organ ocenia stan na dzień decyzji, a administrator musi wykazać wykonanie obowiązku (zasada rozliczalności z RODO).
NSA zaznaczył, że to na administratorze danych spoczywa obowiązek przechowywania i przedstawiania dokumentów potwierdzających zawiadomienie o naruszeniu. Spóźnione dowody nie zmieniają oceny organu. UODO podkreśla ten środek jako niezależny od egzekucji administracyjnej – stosowany przy umyślnym lub lekceważącym niewykonywaniu nakazów.
Jak wskazuje UODO „środek naprawczy, jakim jest administracyjna kara pieniężna orzekana za „nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy”. Jest to środek niezależny od narzędzi, które przewidują – na wypadek niewykonania obowiązku orzeczonego decyzją administracyjną – przepisy ustawy o postępowaniu egzekucyjnym w administracji. W związku z tym, że jest to środek zdecydowanie bardziej dolegliwy niż stosowane w egzekucji administracyjnej tzw. grzywny w celu przymuszenia, Prezes Urzędu przewiduje jego stosowanie w sytuacjach umyślnego, notorycznego lub wykazującego lekceważący stosunek do obowiązków z zakresu ochrony danych osobowych niewykonywania nakazów jego decyzji przez administratorów lub podmioty przetwarzające”.
Źródło: UODO
Zapraszamy na webinar prowadzony w konwencji warsztatowej z wykorzystaniem praktycznych przykładów, pytań i odpowiedzi. Dedykowany jest zarówno do osób początkujących, rozpoczynających lub pełniących funkcję IOD od niedawna, jak również do osób pragnących ugruntować posiadaną wiedzę w zakresie odpowiedniego nadzoru przestrzegania zasad i przepisów z zakresu ochrony danych osobowych w organizacji.
© Portal Poradyodo.pl
