Czy kary administracyjne za naruszenie RODO mogą się przedawniać? Prezes UODO złożył skargę kasacyjną do NSA po uchyleniu przez WSA kary dla banku Santander. Sprawa ma charakter precedensowy i może zrewolucjonizować praktykę stosowania przepisów RODO w Polsce. Poznaj szczegóły sporu, stanowisko organu nadzorczego i potencjalne skutki dla inspektorów oraz administratorów ochrony danych osobowych.
W ostatnich dniach Prezes Urzędu Ochrony Danych Osobowych (UODO) Mirosław Wróblewski złożył skargę kasacyjną do Naczelnego Sądu Administracyjnego (NSA), kwestionując wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie, który uchylił nałożoną na Santander Bank Polska S.A. karę administracyjną w wysokości 1 440 549 zł za naruszenie przepisów RODO.
Sprawa dotyczy incydentu z 2018 roku, kiedy to przesyłka z dokumentami bankowymi, zawierającymi dane osobowe kilkuset klientów, została skradziona, a następnie porzucona na śmietniku. Santander Bank nie zgłosił tego naruszenia Prezesowi UODO (art. 33 ust. 1 RODO) ani nie powiadomił osób, których dane dotyczyły incydentu (art. 34 ust. 1 RODO). UODO dowiedział się o sprawie dopiero w 2022 roku i w 2024 roku nałożył na bank karę oraz nakazał powiadomienie poszkodowanych osób.
Bank zaskarżył decyzję do WSA, który uznał, że nastąpiło przedawnienie możliwości nałożenia kary pieniężnej. Prezes UODO nie zgodził się z tym rozstrzygnięciem i skierował sprawę do NSA, argumentując, że RODO nie przewiduje terminu przedawnienia karalności i nie upoważnia państw członkowskich do wprowadzania takiego terminu w prawie krajowym.
Kluczowe pytanie brzmi: czy do kar pieniężnych wynikających z RODO mają zastosowanie krajowe przepisy o przedawnieniu, w szczególności art. 189g § 1 Kodeksu postępowania administracyjnego? Prezes UODO stoi na stanowisku, że nie – zastosowanie krajowych regulacji mogłoby naruszać zasadę pierwszeństwa, skuteczności i jednolitości prawa UE.
Jeśli jednak NSA uzna inaczej, konieczne będzie rozstrzygnięcie, od kiedy liczyć ewentualny termin przedawnienia: czy od upływu terminów przewidzianych w art. 33 i 34 RODO, czy – jak twierdzi UODO – od momentu faktycznego zrealizowania obowiązków, nawet jeśli nastąpiło to po terminie.
Prezes UODO zwrócił się do NSA o rozważenie skierowania pytania prejudycjalnego do Trybunału Sprawiedliwości UE, by zapewnić jednolitą wykładnię prawa unijnego i jego relacji wobec krajowego prawa administracyjnego. Podkreśla, że zawiadamianie o incydencie to jeden z kluczowych mechanizmów ochrony danych w UE, a ograniczenie skuteczności tego mechanizmu przez krajowe przepisy o przedawnieniu byłoby nieprawidłowe.
Rozstrzygnięcie tej sprawy będzie miało charakter precedensowy – wpłynie na sposób stosowania przepisów RODO w Polsce, zakres odpowiedzialności administratorów danych oraz praktykę inspektorów ochrony danych osobowych. Może przesądzić o uprawnieniach organu nadzorczego i skuteczności systemu ochrony prawnej w obszarze danych osobowych
Sprawa dotyczy fundamentalnej kwestii: czy polskie przepisy o przedawnieniu mogą ograniczać możliwość nałożenia kary za naruszenie RODO.
Rozstrzygnięcie NSA (lub ewentualnie TSUE) przesądzi, czy administratorzy danych mogą powoływać się na przedawnienie w przypadku postępowań dotyczących naruszeń ochrony danych osobowych.
Inspektorzy i administratorzy powinni śledzić rozwój sprawy, gdyż jej wynik może mieć bezpośredni wpływ na ich obowiązki oraz ryzyka związane z naruszeniami RODO.
UODO, DKN.5131.59.2022
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl
