Kara UODO w sprawie Virgin Mobile podtrzymana przez sąd
Wojewódzki Sąd Administracyjny w Warszawie podtrzymał karę UODO w wysokości 1,6 mln zł w sprawie spółki Virgin Mobile. Dotyczyła ona naruszenia ochrony danych osobowych abonentów na dużą skalę. Karę zapłacić musi jej następca prawny – P4 sp. z o.o.
Pierwsza kara dla Virgin Mobile uchylona przez UODO
Przypomnijmy, że w wyniku skargi Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 21 października 2021 r. (II SA/Wa 272/21) uchylił decyzję Prezesa UODO w sprawie spółki Virgin Mobile. W decyzji tej organ nadzorczy wymierzył firmie telekomunikacyjnej administracyjną karę pieniężną w wysokości 1,9 mln zł. Ogólnie rzecz ujmując, kara była wynikiem nieprawidłowości we wdrożonych przez firmę środkach bezpieczeństwa. W szczególności brakowało rozwiązań pozwalających na regularne testowanie, mierzenie i ocenianie skuteczności przyjętych środków. W ocenie organu nadzorczego doprowadziło to do dużego wycieku danych osobowych abonentów z systemów wykorzystywanych do rejestracji danych osobowych w zakresie usług przedpłaconych.
Dlaczego decyzja ta została uchylona? Otóż sąd stwierdził nieprawidłowości w wymiarze kary, w szczególności nieuwzględnienie działań podejmowanych przez administrowania w celu zminimalizowania konsekwencji naruszenia.
Co istotne, nie zakwestionowano natomiast stwierdzenia nieprawidłowości w zakresie środków bezpieczeństwa danych.
UODO wymierza drugą karę w wysokości 1,6 mln zł
Sprawa trafiła więc ponownie do Prezesa UODO, który dokonał ponownej oceny pod kątem wymiaru administracyjnej kary pieniężnej. W efekcie w kolejnej decyzji wymierzono niższą karę – w wymiarze ok. 1,6 mln zł.
Kara została nałożona na P4 Sp. z o.o. - następcę prawnego Virgin Mobile.
Sąd oddala skargę
Spółka nie zgodziła się z tym wymiarem kary i wniosła skargę do Wojewódzkiego Sądu Administracyjnego. WSA w Warszawie w wyroku z 21 czerwca 2023 r. (sygn. akt. II SA/Wa 150/23) oddalił jednak tę skargę. Tym razem sąd uznał, że karę wymierzono prawidłowo. Podkreślił przy tym, że Prezes UODO właściwie ocenił kryteria wymiaru tej kary.
Następca prawny odpowiada za naruszenie ochrony danych u swojego poprzednika
Sąd nie podzielił zarzutu, że następca prawny spółki Virgin Mobile nie ponosi odpowiedzialności za naruszenie, które miało w nieistniejącej już firmie.
W ocenie WSA następca prawny ponosi odpowiedzialność za naruszenie ochrony danych, które wystąpiło u poprzednika prawnego, ponieważ wstępuje we wszystkie prawa i obowiązki spółki przejmowanej.
- Informacja publiczna na wniosek dziennikarza – czy podlega anonimizacji
- Pozyskanie zaświadczenia o niekaralności z Krajowego Rejestru Karnego może skutkować naruszeniem RODO
- Santander Bank Polska z wysoką karą UODO za niezgłoszenie naruszenia ochrony danych
- Linie lotnicze nie informują o usunięciu danych osobowych
- Co po kontroli RODO – jak przebiega postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych
- Jak wygląda kontrola RODO przeprowadzana przez Prezesa Urzędu Ochrony Danych Osobowych - w 2024 r.
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
