WSA utrzymuje rekordową karę UODO dla Panek SA za naruszenie RODO

Panek SA została ukarana przez Prezesa UODO karą pieniężną w wysokości 1,527,855zł za naruszenie ochrony danych osobowych podczas uruchamiania nowej witryny internetowej. Sprawa dotyczyła ujawnienia plików z danymi ponad 7,000 osób, przez co dane takie jak imiona, nazwiska, adresy mailowe i hasła do paneli klienta, a w mniejszych przypadkach także numery PESEL, były dostępne i indeksowane przez roboty Google.

WSA podtrzymał decyzję Prezesa UODO, uznając, że administrator danych (Panek SA) nie wdrożył dostatecznych środków techniczno-organizacyjnych i nie zweryfikował prawidłowo działań podmiotu przetwarzającego. Sąd podkreślił, że obowiązek analizy ryzyka i nadzoru nad procesem przetwarzania danych pozostaje po stronie administratora, również w przypadku zlecenia usług podmiotom zewnętrznym.

Wyrok WSA ponownie uwydatnił fundamentalną rolę zarządzania ryzykiem, które według RODO jest podstawą dla adekwatnych działań chroniących dane osobowe. To administrator ma obowiązek bieżącej identyfikacji, analizy oraz dokumentowania zagrożeń, a także weryfikowania poziomu zabezpieczeń i rozliczalności, również w relacji z podmiotami przetwarzającymi.

Sąd wskazał, że organ nadzorczy (UODO) nie przekroczył maksymalnych stawek kar, a przy ich wyliczaniu zastosowano metodologię Europejskiej Rady Ochrony Danych, która uwzględnia wagę naruszenia, skalę incydentu oraz konieczność prewencji. Skuteczność, proporcjonalność i odstraszającą rolę kary, zgodnie z art. 83 RODO, UODO wykazał w procesie decyzyjnym.

Wytyczne EROD dotyczące kar pieniężnych harmonizują podejście państw członkowskich. Zastosowanie 5-etapowej procedury obliczania kar przez UODO było jednym z argumentów WSA za prawidłowością decyzji. Odpowiednie wyważenie okoliczności sprawy ma kluczowe znaczenie dla orzeczenia o wysokości sankcji i jej zgodności z prawem UE.