Urząd Ochrony Danych Osobowych ponownie zbadał naruszenie przepisów RODO przez Virgin Miobile (obecnie P4) i obniżył wysokość nałożonej na tego administratora kary z 1,9 mln zł na 1,6 mln zł. Wojewódzki Sąd Administracyjny w Warszawie nie zakwestionował tej decyzji organu nadzorczego

Poprzednim razem WSA w Warszawie (wyrok z 21 października 2021 r. o sygn. akt. II SA/Wa 272/21) uchylił decyzję Prezesa UODO stwierdzając, iż skarga wniesiona przez spółkę Virgin jest uzasadniona, choć nie wszystkie podniesione w niej zarzuty mogły być uznane za zasadne.

WSA uznał wówczas, że Prezes UODO właściwie ocenił, że przyjęte przez spółkę procedury mogłyby być skuteczne, gdyby w ramach wdrożonych procedur zawierały również uregulowania dotyczące regularnego testowania, mierzenia i oceniania skuteczności przyjętych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania i które byłyby przez spółkę Virgin przestrzegane.

Brak wprowadzonych uregulowań przyczynił się do wystąpienia naruszenia ochrony danych osobowych.

Sąd jednak wskazał, że organ przy określaniu wysokości kary dostatecznie nie wyjaśnił, dlaczego przy zastosowaniu administracyjnej kary pieniężnej na jej wysokość wskazaną w zaskarżonej decyzji nie miały wpływu okoliczności wskazane w art. 83 ust. 2 lit. c), e) i h) rozporządzenia 2016/679 tj. działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą, wszelkie stosowne wcześniejsze naruszenia ze strony administratora oraz sposób, w jaki organ nadzorczy dowiedział się o naruszeniu.

Z tego powodu Prezes UODO musiał ponownie dokonać oceny wpływu wskazanych w RODO okoliczności nakładania administracyjnej kary pieniężnej na wysokość zastosowanej wobec administratora kary.

Przypomnijmy, że Prezes UODO w decyzji stwierdził naruszenie przepisów RODO polegające na niewdrożeniu przez Virgin Mobile Polska, której następcą prawnym jest P4 Sp. z o.o., odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych.

Systemy te służyły do rejestracji danych osobowych abonentów usług przedpłaconych, a brak zastosowanych w nich odpowiednich środków technicznych i organizacyjnych doprowadził do uzyskania przez osobę nieuprawnioną dostępu do tych danych, a co stanowiło również naruszenie zasady integralności i poufności.

Po tym jak Prezes UODO ponownie przeprowadził postępowanie i zadecydował o nałożeniu administracyjnej kary pieniężnej, tym razem w wysokości prawie 1,6 mln. zł na P4, następcę prawnego Virgin Mobile Polska, decyzja ta również została zaskarżona przez spółkę.

Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 21 czerwca 2023 r. (sygn. akt. II SA/Wa 150/23) tym razem oddalił skargę administratora. Sąd zgodził się z Prezesem UODO co do oceny zaistniałego naruszenia oddalając tym samym zarzuty spółki.

W uzasadnieniu do wyroku WSA uznał też, że kara pieniężna została prawidłowo ustalona i uzasadniona, a organ wskazał konkretne okoliczności, które wpłynęły na wysokość tej kary.

Sądu nie przekonał też argument skarżącego, że naruszenie miało miejsce w już nieistniejącej spółce Virgin Mobile, a nie w P4.

Zdaniem WSA „skutkiem przejęcia przez P4 Virgin Mobile było wstąpienie we wszystkie prawa i obowiązki spółki przejmowanej, także obowiązki publicznoprawne, w tym odpowiedzialność za delikty administracyjne.”

MS

UODO