
Administrator danych powinien od początku stosowania RODO posiadać rozwiązania zapewniające regularne testowanie, mierzenie i ocenę skuteczności środków bezpieczeństwa. Naczelny Sąd Administracyjny oddalił skargę kasacyjną spółki w sprawie dotyczącej naruszenia ochrony danych osobowych ponad 114 tys. klientów Virgin Mobile i potwierdził stanowisko Prezesa UODO dotyczące obowiązków administratora.
Naczelny Sąd Administracyjny w wyroku z 7 maja 2026 r. potwierdził, że administrator danych już od dnia rozpoczęcia stosowania RODO, czyli od 25 maja 2018 r., powinien posiadać wdrożone rozwiązania umożliwiające regularne testowanie, mierzenie i ocenę skuteczności zastosowanych środków technicznych i organizacyjnych.
Sprawa ma istotne znaczenie dla administratorów danych oraz inspektorów ochrony danych, ponieważ pokazuje, że samo wdrożenie zabezpieczeń nie jest wystarczające. Administrator powinien być w stanie wykazać, że środki bezpieczeństwa są nie tylko formalnie przyjęte, ale również cyklicznie weryfikowane pod kątem skuteczności.
Postępowanie rozpoczęło się po zgłoszeniu naruszenia ochrony danych osobowych w 2019 roku. Naruszenie dotyczyło abonentów usług „na kartę” i polegało na uzyskaniu przez osobę nieuprawnioną dostępu do danych osobowych ponad 114 tys. klientów Virgin Mobile.
Po zgłoszeniu naruszenia Prezes UODO wszczął z urzędu postępowanie administracyjne. Celem było ustalenie, czy do naruszenia przepisów o ochronie danych osobowych doszło wskutek niewdrożenia odpowiednich środków technicznych i organizacyjnych.
W ocenie organu nadzorczego administrator nie zapewnił właściwego poziomu bezpieczeństwa przetwarzania, w szczególności w zakresie regularnego sprawdzania skuteczności zastosowanych zabezpieczeń.
W 2022 r. Prezes UODO wydał decyzję administracyjną i nałożył na spółkę administracyjną karę pieniężną w wysokości 1 968 524 zł. Decyzja ta została zaskarżona do Wojewódzkiego Sądu Administracyjnego w Warszawie.
Po wyroku WSA Prezes UODO ponownie rozpoznał sprawę. W kolejnej decyzji szczegółowo omówił przesłanki wpływające na wysokość kary, podtrzymując stanowisko dotyczące naruszenia przepisów RODO. Wysokość administracyjnej kary pieniężnej została następnie ustalona na 1 599 395 zł.
Spółka ponownie nie zgodziła się z rozstrzygnięciem organu nadzorczego i wniosła skargę do WSA. Sąd oddalił ją w całości.
Spółka złożyła skargę kasacyjną do Naczelnego Sądu Administracyjnego. NSA uznał jednak, że skarga nie zawierała usprawiedliwionych podstaw, a podniesione zarzuty były chybione.
Sąd potwierdził, że Prezes UODO prawidłowo ocenił sposób powzięcia wiedzy o naruszeniu ochrony danych osobowych. Zgłoszenie naruszenia Prezesowi UODO nie zostało w tej sprawie potraktowane jako okoliczność łagodząca wymiar kary. Organ nadzorczy uznał tę okoliczność za neutralną.
Samo wykonanie obowiązku zgłoszenia naruszenia nie oznacza automatycznie, że administrator może liczyć na obniżenie kary. Znaczenie ma całokształt okoliczności sprawy, w tym poziom wdrożonych zabezpieczeń i możliwość wykazania ich skuteczności.
NSA zgodził się ze stanowiskiem Prezesa UODO, że naruszenie trwało od dnia rozpoczęcia stosowania RODO do dnia uzyskania certyfikacji przez administratora, tj. do 22 lipca 2020 r.
W praktyce oznacza to, że administrator powinien już od 25 maja 2018 r. posiadać mechanizmy pozwalające na regularną ocenę skuteczności środków bezpieczeństwa. Chodzi nie tylko o wdrożenie procedur, polityk czy zabezpieczeń technicznych, ale również o ich okresowe testowanie, mierzenie i dokumentowanie wyników.
Obowiązek rozliczalności obejmuje również możliwość wykazania, iż administrator prowadzi realną, regularną i udokumentowaną weryfikację bezpieczeństwa przetwarzania danych osobowych.
Warto zweryfikować, czy w organizacji funkcjonują procedury i dowody potwierdzające regularne testowanie zabezpieczeń.
W szczególności IOD powinien zwrócić uwagę na to, czy administrator:
Brak takiej dokumentacji może utrudnić wykazanie zgodności z RODO w razie kontroli, naruszenia ochrony danych osobowych lub postępowania przed Prezesem UODO.
Przeczytaj również:
Pobierz wzory dokumentów:
Jak zapewnić bezpieczeństwo danych osobowych zgodnie z RODO
Lista sprawdzająca: Przegląd zabezpieczeń w oparciu o wskazówki UODO z 2022 roku
Źródło: UODO
Sygnatury spraw: III OSK 2694/23, II SA/Wa 272/21
Numer sprawy UODO: DKN.5112.1.2020
Zapraszamy na webinar prowadzony w konwencji warsztatowej z wykorzystaniem praktycznych przykładów, pytań i odpowiedzi. Dedykowany jest zarówno do osób początkujących, rozpoczynających lub pełniących funkcję IOD od niedawna, jak również do osób pragnących ugruntować posiadaną wiedzę w zakresie odpowiedniego nadzoru przestrzegania zasad i przepisów z zakresu ochrony danych osobowych w organizacji.
© Portal Poradyodo.pl