Prezes Urzędu Ochrony Danych Osobowych (UODO), Mirosław Wróblewski, złożył skargę kasacyjną do Naczelnego Sądu Administracyjnego (NSA) w sprawie dotyczącej głośnego incydentu naruszenia ochrony danych osobowych przez Santander Bank Polska SA. Spór dotyczy podstawowej, a zarazem niezwykle istotnej kwestii: czy do administracyjnych kar pieniężnych wynikających z unijnego rozporządzenia RODO można stosować polskie przepisy o przedawnieniu?
Tło sprawy
Sprawa sięga 2018 roku, kiedy to dokumenty bankowe zawierające dane osobowe klientów Santander Bank Polska zostały skradzione, a następnie porzucone na śmietniku. Pomimo oczywistego naruszenia bezpieczeństwa danych, bank nie poinformował ani Prezesa UODO (co nakazuje art. 33 ust. 1 RODO), ani osób, których dane dotyczyły (art. 34 ust. 1 RODO). Dopiero po interwencji organu nadzorczego działania te zostały częściowo zrealizowane — jednak z wyraźnym uchybieniem terminów.
W wyniku postępowania administracyjnego Prezes UODO nałożył na bank karę pieniężną w wysokości 1 440 549 zł oraz zobowiązał go do spełnienia obowiązku informacyjnego wobec klientów. Bank odwołał się od decyzji, a Wojewódzki Sąd Administracyjny (WSA) w Warszawie uchylił decyzję w części dotyczącej kary, powołując się na przedawnienie.
O co toczy się spór?
Sednem sporu prawnego jest ustalenie, czy do kar administracyjnych nałożonych w oparciu o RODO mogą mieć zastosowanie krajowe przepisy o przedawnieniu, w szczególności art. 189g § 1 Kodeksu postępowania administracyjnego (k.p.a.).
Rozporządzenie RODO nie zawiera bowiem zapisów dotyczących terminów przedawnienia karalności, ani też nie upoważnia państw członkowskich UE do wprowadzania ich w swoim prawie krajowym. W tej sytuacji pojawia się pytanie, czy stosowanie przepisów krajowych nie narusza zasady pierwszeństwa, jednolitości i skuteczności prawa Unii Europejskiej.
Argumentacja Prezesa UODO
W skardze kasacyjnej Prezes Mirosław Wróblewski wskazuje, że zawiadomienie o naruszeniu ochrony danych to jeden z filarów systemu ochrony prywatności w Unii Europejskiej. Oparcie wykładni przepisów na założeniu, że obowiązki te przestają obowiązywać po przekroczeniu terminów ich realizacji, prowadziłoby do osłabienia skuteczności całego systemu.
Według Prezesa UODO termin przedawnienia – o ile w ogóle miałby być brany pod uwagę – powinien być liczony od momentu faktycznego zrealizowania obowiązków informacyjnych, nawet jeśli miało to miejsce z opóźnieniem. Przyjęcie innej wykładni oznaczałoby w praktyce premiowanie bezczynności administratora danych.
Co więcej, w opinii organu nadzorczego, przepis art. 189g § 1 k.p.a. nie znajduje zastosowania do administracyjnych kar pieniężnych przewidzianych w art. 83 RODO. Ich charakter i funkcja są bowiem ściśle unijne, a zastosowanie przepisów krajowych mogłoby prowadzić do rozbieżności interpretacyjnych i nierównego traktowania podmiotów w państwach członkowskich.
Wniosek o pytanie prejudycjalne do TSUE
Z uwagi na doniosłość sprawy, Prezes UODO zawnioskował również o to, by NSA zwrócił się do Trybunału Sprawiedliwości Unii Europejskiej z pytaniem prejudycjalnym. Celem tego kroku jest uzyskanie jednoznacznej interpretacji prawa unijnego w kontekście dopuszczalności stosowania krajowych terminów przedawnienia wobec kar nakładanych na podstawie RODO.
Sprawa precedensowa dla ochrony danych w Polsce
Prezes UODO uważa, że sprawa ma charakter precedensowy i jej rozstrzygnięcie będzie miało kluczowe znaczenie dla praktyki stosowania RODO w Polsce. Od decyzji NSA zależeć będzie bowiem nie tylko możliwość dochodzenia odpowiedzialności administracyjnej w przypadku opóźnień w zawiadamianiu o incydentach, ale także ogólna skuteczność systemu nadzoru nad przetwarzaniem danych osobowych.
W przypadku uznania, że krajowe przepisy o przedawnieniu nie mają zastosowania do kar pieniężnych z RODO, nadzór nad ochroną danych zyska mocniejsze narzędzie egzekwowania przepisów. W przeciwnym razie powstanie ryzyko, że podmioty przetwarzające dane będą unikać odpowiedzialności za naruszenia po upływie określonego czasu, niezależnie od wagi incydentu.
