W maju 2025 roku Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę spółki Panek SA na decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO) dotyczącą nałożenia wysokiej kary pieniężnej za naruszenie przepisów o ochronie danych osobowych. Sprawa dotyczy incydentu z 2020 roku, kiedy to podczas wdrażania nowej wersji strony internetowej firmy doszło do nieuprawnionego ujawnienia danych osobowych.
Incydent z 2020 roku – ujawnienie danych osobowych
W kwietniu 2020 r. Panek SA zgłosił do UODO, że podczas uruchamiania nowej witryny internetowej doszło do wycieku danych osobowych. Problem polegał na ujawnieniu folderu z plikami pochodzącymi z poprzedniej wersji strony, które zostały zaindeksowane przez robota Google. Zawierały one dane ponad 7 tysięcy osób, m.in. imiona, nazwiska, adresy e-mail, adresy zamieszkania, numery telefonów, hasła dostępu do panelu klienta, a także w ograniczonym zakresie numery PESEL (które jednak nie zostały szerzej ujawnione).
Decyzja Prezesa UODO i nałożone kary
Prezes UODO, Mirosław Wróblewski, nałożył na Panek SA karę pieniężną w wysokości ponad 1,5 mln zł za naruszenie artykułów 32 i 28 RODO dotyczących bezpieczeństwa przetwarzania danych osobowych oraz obowiązków administratora i podmiotu przetwarzającego. Dodatkowo na podmiot przetwarzający dane na rzecz Panek SA nałożono karę ponad 20 tys. zł.
Zarzuty i skarga Panek SA
Spółka odwołała się do Wojewódzkiego Sądu Administracyjnego, zarzucając m.in. niewłaściwe przeprowadzenie postępowania przez organ nadzorczy, brak rzetelnego wyjaśnienia przyczyn incydentu, błędną interpretację przepisów RODO oraz nieuzasadnioną odpowiedzialność za działania podmiotu przetwarzającego. Panek SA kwestionowała również sposób ustalenia wysokości kary.
Wyrok Wojewódzkiego Sądu Administracyjnego
WSA potwierdził zasadność decyzji Prezesa UODO. Sąd podkreślił, że kluczowym zagadnieniem była kwestia zapewnienia przez administratora danych odpowiednich środków techniczno-organizacyjnych oraz skutecznego nadzoru nad podmiotem przetwarzającym. Zdaniem sądu Panek SA nie wykazał, że wypełnił obowiązki w zakresie zarządzania ryzykiem i monitorowania bezpieczeństwa danych.
WSA wskazał, że zgodnie z rozporządzeniem 2016/679 (RODO) to na administratorze spoczywa obowiązek rzetelnej analizy ryzyka, dokumentowania zabezpieczeń i nadzorowania podmiotów przetwarzających dane. Brak takich działań oznacza naruszenie obowiązków ochrony danych osobowych.
Dodatkowo sąd uznał, że wysokość nałożonej kary mieści się w ramach prawnych i została obliczona z uwzględnieniem wytycznych Europejskiej Rady Ochrony Danych, co eliminuje podejrzenia o arbitralność decyzji.
Sygnatura wyroku: II SA/Wa 45/25
Źródło: Urząd Ochrony Danych Osobowych (UODO)
