Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Danuta Kania, Sędzia WSA Sławomir Antoniuk, Asesor WSA Mateusz Rogala (spr.), , Protokolant specjalista Joanna Głowala, , po rozpoznaniu na rozprawie w dniu 19 grudnia 2023 r. sprawy ze skargi [...] sp. z o.o. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] listopada 2022 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz skarżącej [...] sp. z o.o. z siedzibą w W. kwotę 13300 (słownie: trzynaście tysięcy trzysta) złotych tytułem zwrotu kosztów postępowania.

Zaskarżoną do Wojewódzkiego Sądu Administracyjnego w Warszawie decyzją z dnia [...] listopada 2022 r. nr [...] Prezes Urzędu Ochrony Danych Osobowych, działając m.in. na podstawie art. 210a ust. 1 pkt 2 i 3 w zw. z art. 174a ust. 1 i 3 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. z 2022 r., poz. 1648) w zw. z art. 2 ust. 1 i 2 oraz art. 3 ust. 1, 3 i 4 rozporządzenia Komisji (UE) Nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej (Dz. Urz. UE. L z 2013 r. Nr 173, s. 2, powoływanego dalej jako rozporządzenie Nr 611/2013), stwierdził naruszenie przez P4 Sp. z o.o. z siedzibą w Warszawie przepisów art. 174a ust. 1 i 3 Prawa telekomunikacyjnego w zw. z art. 2 ust. 1 i 2 oraz art. 3 ust. 1, 3 i 4 rozporządzenia Nr [...], polegające na niezawiadomieniu Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu danych osobowych w terminie 24 godzin od wykrycia naruszenia danych osobowych oraz braku niezwłocznego powiadomienia o naruszeniu danych osobowych abonenta, którego dotyczyło naruszenie, i nałożył na [...] karę pieniężną w wysokości 250.000 zł.

W uzasadnieniu swojego rozstrzygnięcia organ podał, że w dniu [...] lutego 2022 r. wpłynęła do organu informacja od J. G., przekazana pocztą elektroniczną z adresu e-mail: [...], który oświadczył, że "W dniu dzisiejszym otrzymałem maila z umową Play. Nie jestem klientem Play, umowa dotyczy innej osoby o tym samym nazwisku. Na umowie są wszystkie dane tej osoby łącznie z PESEL i nr dowodu". Do informacji dołączono wiadomość elektroniczną otrzymaną od P. z której wynikało, że spółka przesłała na ww. adres e-mail zestaw dokumentów do zamówienia.

W związku z powyższą informacją, pismem z dnia [...] lutego 2022 r. organ zwrócił się do P. o udzielenie informacji na temat naruszenia danych osobowych z lutego 2022 r., polegającego na umożliwieniu nieuprawnionej osobie trzeciej wglądu do "zestawu dokumentów do zamówienia nr [...] oraz o przedstawienie oceny pod kątem obowiązku zgłoszenia naruszenia organowi nadzorczemu oraz zawiadomienia osoby, której dane dotyczą.

Spółka udzieliła odpowiedzi w piśmie z dnia [...] marca 2022 r., wyjaśniając m.in., że zamówienie numer [...] dotyczy J. M. G., który w dniu [...] lutego 2022 r. w Punkcie Obsługi Sprzedaży zawarł ze spółką umowę o świadczenie usług telekomunikacyjnych. Oprócz danych niezbędnych do zawarcia umowy klient wskazał również adres e-mail do kontaktu: [....]. Podczas procesu zawarcia umowy wygenerowana została wiadomość e-mail zawierająca kopię umowy wraz z załącznikami (Regulaminy i Cenniki). Wiadomość wysłana została na adres wskazany przez klienta na umowie. Następnie w dniu [....] lutego 2022 r. klient wrócił do POS z informacją, że adres wskazany na umowie jest błędny i poprosił o jego usunięcie. Klient nie wskazał innego adresu e-mail do kontaktu. Spółka odnotowała ten fakt.

Zdaniem spółki, podpisanie umowy, na której zapisany został adres e-mail, jest sygnałem dla administratora, że spółka wysyłając wiadomość e-mail na adres wskazany w umowie (nawet błędny) kontaktuje się z osobą, której dane dotyczą (na podstawie podpisanego dokumentu i potwierdzenia danych), nie zaś z inną osobą.

Spółka wyjaśniła, że do dnia [....] marca 2022 r. nie odnotowała informacji od klienta o błędnej wysyłce i tym samym ujawnieniu jego danych osobowych osobie nieupoważnionej. Spółka nie odnotowała również sygnału od osoby trzeciej o ewentualnym, nieuprawnionym dostępie do danych osobowych klienta w wyniku błędnej wysyłki. W związku z powyższym, w ocenie spółki, nie ma podstaw do traktowania przedmiotowego zdarzenia jako naruszenia danych osobowych.

W dalszej części uzasadnienia swojego rozstrzygnięcia organ stwierdził, że w niniejszej sprawie doszło do naruszenia danych osobowych polegającego na udostępnieniu osobie trzeciej przez spółkę poprzez wiadomość e-mail danych abonenta zawartych w umowie. W takiej sytuacji znajdują zastosowanie przepisy art. 174a ust. 1 Prawa telekomunikacyjnego w związku z art. 2 ust. 1 i 2 rozporządzenia Nr [....], zgodnie z którymi spółka powinna była powiadomić Prezesa UODO o zaistniałym naruszeniu danych osobowych nie później niż 24 godziny po jego wykryciu.

Co więcej, naruszenie to może wywrzeć niekorzystny wpływ na prawa abonenta, w szczególności może skutkować nieuprawnionym posługiwaniem się danymi osobowymi, szkodą majątkową, naruszeniem dóbr osobistych - w związku z czym, spółka powinna była po wykryciu naruszenia bez zbędnej zwłoki powiadomić o nim również klienta, aby umożliwić mu podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia (art. 174a ust. 3 Prawa telekomunikacyjnego w związku z art. 3 ust. 1, 3 i 4 rozporządzenia [....]).

Organ wyjaśnił, że wyżej wymienione przepisy precyzyjnie wskazują termin, w którym dostawcy publicznie dostępnych usług telekomunikacyjnych (którym jest również spółka) są zobowiązani zawiadamiać właściwy organ krajowy o naruszeniu danych osobowych (tj. nie później niż 24 godziny po jego wykryciu), a także wskazują, że powiadomienie abonenta o zaistniałym naruszeniu powinno nastąpić bez zbędnej zwłoki po jego wykryciu. Podstawową kwestią wymagającą wyjaśnienia w przedmiotowej sprawie jest więc to, kiedy - zgodnie z zasadami logiki i przepisami prawa - spółka powinna była wykryć naruszenie.

W ocenie organu, spółka uzyskała informacje, które po ich przeanalizowaniu pozwoliłyby na wykrycie naruszenia danych osobowych, aż dwukrotnie, tj. po raz pierwszy, w dniu [....] lutego 2022 r., kiedy to J. M. G. wrócił do POS z informacją, iż adres e-mail wskazany przez niego podczas procesu podpisania umowy jest błędny i poprosił o jego usunięcie; a po raz drugi, w dniu [....] lutego 2022 r., kiedy to spółka odebrała wezwanie organu do złożenia wyjaśnień z dnia [....] lutego 2022 r

Tymczasem spółka zawiadomiła organ o naruszeniu danych osobowych dopiero w dniu [....] kwietnia 2022 r., tj. po wszczęciu postępowania administracyjnego w tej sprawie i po dokonaniu wglądu w akta sprawy.

Zdaniem organu, spółka nie przeprowadziła po uzyskaniu informacji, o których mowa wyżej, analizy, która skutkowałaby prawidłowym rezultatem, tj. wykryciem naruszenia danych osobowych. W rezultacie tych zaniechań administrator nie tylko nie zawiadomił Prezesa UODO o naruszeniu danych osobowych w terminie wynikającym z art. 2 ust. 2 rozporządzenia Nr [....], ale nie spełnił również bez zbędnej zwłoki obowiązku powiadomienia klienta o naruszeniu, pomimo że istnieje prawdopodobieństwo, iż naruszenie danych osobowych wywoła niekorzystne skutki dla danych osobowych lub prywatności abonenta. Naruszenie dotyczyło bowiem danych osobowych klienta zawartych w umowie, tj. jego: imienia i nazwiska, adresu zamieszkania lub pobytu, numeru ewidencyjnego PESEL, serii i numeru dowodu osobistego, a także numeru telefonu. Organ podkreślił, że w szczególności nieuprawnione ujawnienie takiej kategorii danych jak numer PESEL (w połączeniu z imieniem i nazwiskiem), może realnie i negatywnie wpływać na ochronę praw lub wolności osób fizycznych.

Odnosząc się do argumentacji spółki, organ stwierdził, że administrator nie uzyskawszy wiedzy, iż podany przez klienta adres e-mail jest nieprawidłowy, nie ma podstaw, by nie kierować na ten adres korespondencji. Jeśli jednak spółka poweźmie informację o tym, że podany przez klienta adres, na który wysłała dokument zawierający dane osobowe, mógł być błędny, powinna dokonać stosownej analizy w celu wykrycia naruszenia danych osobowych. W niniejszej sprawie fakt udostępnienia danych klienta zawartych w umowie osobie nieuprawnionej jest bezsporny. Okoliczność, iż adres e-mail został nieprawidłowo podany przez samego klienta nie niweluje skutków błędnej wysyłki wiadomości, tj. zaistnienia naruszenia danych osobowych. Spółka powinna była więc zgłosić przedmiotowe naruszenie Prezesowi UODO nie później niż 24 godziny od jego wykrycia, a klienta powiadomić o nim bez zbędnej zwłoki, jako że istniało prawdopodobieństwo, że wywoła ono niekorzystne skutki dla danych osobowych lub prywatności klienta.

Organ następnie odniósł się szczegółowo do przesłanek mających wpływ na wysokość nałożonej kary pieniężnej, tj. zakresu naruszenia, czasu jego trwania, jego skutków, dotychczasowej działalności spółki oraz jej możliwości finansowych i stwierdził, że zasadne w niniejszej sprawie będzie nałożenie na spółkę kary w wysokości 250.000 zł.

P. wniosła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na powyższą decyzję, zaskarżając ją w całości. Spółka zarzuciła zaskarżonej decyzji naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj.:

1) art. 174a ust. 1 Prawa telekomunikacyjnego w zw. z art. 2 ust. 1 i 2 oraz art. 3 ust. 1, 3 i 4 rozporządzenia Nr [....] polegające na ich niewłaściwym zastosowaniu i przyjęciu, że doszło do wykrycia naruszenia danych osobowych już po otrzymaniu pierwszego pisma od organu z dnia [....] lutego 2022 r., gdyż zdaniem organu skarżąca uzyskała wystarczającą wiedzę o zaistnieniu zdarzenia naruszającego ochronę, które doprowadziło do naruszenia danych osobowych, której to wiedzy na ową chwilę skarżąca nie posiadała;

2) art. 174a ust. 3 Prawa telekomunikacyjnego w zw. z art. 2 ust. 1 i 2 oraz art. 3 ust. 1, 3 i 4 rozporządzenia Nr [....] polegające na ich niewłaściwym zastosowaniu i przyjęciu, że skarżąca już po otrzymaniu pierwszego pisma od organu, powinna uznać, że naruszenie danych osobowych mogło mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, w związku z czym powinna niezwłocznie zawiadomić o takim naruszeniu również abonenta lub użytkownika końcowego, pomimo że wówczas nic o owym niekorzystnym wpływie nie świadczyło (w szczególności brak zgłoszeń od podmiotu danych lub osoby trzeciej);

3) art. 210 ust. 2 w zw. z art. 210a ust. 2 Prawa telekomunikacyjnego, poprzez nieprawidłowe wzięcie lub niewzięcie przez organ pod uwagę wszystkich okoliczności wchodzących w zakres naruszenia, dotychczasową działalność podmiotu oraz jego możliwości finansowe, co miało wpływ na wymierzenie administracyjnej kary pieniężnej i jej wymiar.

Skarżąca postawiła również zarzuty naruszenia przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj.:

4) art. 7 w zw. z art. 77 i art. 80 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2022 r., poz. 2000 ze zm., powoływanej dalej jako k.p.a.), polegające na niepodjęciu z urzędu wszelkich czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego i błędnym przyjęciu przez organ, że doszło do wykrycia naruszenia danych osobowych już po otrzymaniu pierwszego pisma od organu, gdyż skarżąca uzyskała wystarczającą wiedzę o zaistnieniu zdarzenia naruszającego ochronę, które doprowadziło do naruszenia danych osobowych, której to wiedzy na ową chwilę skarżąca nie posiadała;

5) art. 7 w zw. z art. 77 i art. 80 k.p.a., polegające na niepodjęciu z urzędu wszelkich czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego i błędnym przyjęciu przez organ, że skarżąca już po otrzymaniu pierwszego pisma od organu, powinna uznać, że naruszenie danych osobowych mogło mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, w związku z czym powinna niezwłocznie zawiadomić o takim naruszeniu również abonenta lub użytkownika końcowego, pomimo że wówczas nic o tym nie świadczyło (w szczególności brak zgłoszeń od podmiotu danych lub osoby trzeciej);

6) art. 107 § 1 i 3 k.p.a. poprzez niewskazanie w decyzji i uzasadnieniu do niej wszystkich faktów, które organ uznał za udowodnione, jak też dowodów, na których się oparł oraz przyczyn, z powodu których odmówił wiarygodności i mocy dowodowej innym dowodom, co znacząco utrudnia rekonstrukcję sposobu rozumowania organu, a w konsekwencji kontrolę legalności zaskarżonej decyzji;

7) art. 9 k.p.a. regulującego podstawową zasadę postępowania administracyjnego (zasadę informowana stron) poprzez nieprzekazanie skarżącej ważnych dowodów pozwalających przeanalizować zdarzenie i we właściwym czasie stwierdzić naruszenie.

W uzasadnieniu skargi skarżąca podkreśliła, że dopiero po zapoznaniu się z aktami sprawy, w szczególności z treścią zgłoszenia przekazanego do organu przez osobę trzecią, skarżąca była w stanie stwierdzić, że wiadomość e-mail zawierająca umowę klienta mogła nie zostać odebrana przez niego, a przez osobę postronną posługującą się tym samym imieniem i nazwiskiem, pomimo iż adres e-mail został wskazany przez klienta podczas podpisywania umowy i został potwierdzony własnoręcznym podpisem klienta. Nie znając treści zgłoszenia, przekazanej do organu przez osobę trzecią, skarżąca nie miała wiedzy, czy zgłoszenie nie było wysłane np. przez samego klienta lub czy nie zawierało informacji, które wcale nie wskazywały na naruszenie ochrony danych osobowych. Po uzyskaniu powyższych informacji w dniu [....] kwietnia 2022 r. skarżąca pozyskała niezbędną wiedzę na temat zdarzenia, dzięki czemu była w stanie ponownie przeanalizować zebrany materiał dotyczący zdarzenia i uznać go za wystarczający, aby stwierdzić naruszenie ochrony danych osobowych klienta.

W odpowiedzi na skargę organ wniósł o jej oddalenie.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Skarga zasługuje na uwzględnienie.

Przedmiotem kontroli Sądu w rozpoznawanej sprawie jest decyzja Prezesa Urzędu Ochrony Danych Osobowych nakładająca na P. karę pieniężną w wysokości 250.000 zł. Podstawę materialnoprawną tej decyzji stanowił art. 210a ust. 1 pkt 2 i 3 ustawy – Prawo telekomunikacyjne. Zgodnie z tym przepisem, kto nie wypełnia obowiązku informacyjnego, względem Prezesa Urzędu Ochrony Danych Osobowych, o którym mowa w art. 174a ust. 1 (art. 210a ust. 1 pkt 2), oraz obowiązku informacyjnego, względem abonenta lub użytkownika końcowego, o którym mowa w art. 174a ust. 3 (art. 210a ust. 1 pkt 3), podlega karze pieniężnej nakładanej przez Prezesa Urzędu Ochrony Danych Osobowych w wysokości do 3% przychodu ukaranego podmiotu osiągniętego w poprzednim roku kalendarzowym.

Wypada podkreślić, że w tej sprawie kara pieniężna została nałożona za niedopełnienie obowiązku informacyjnego, nie zaś za sam fakt wystąpienia naruszenia ochrony danych osobowych. W związku z tym okoliczności związane z ewentualnym zawinieniem podmiotu, którego dane w sposób nieuprawniony zostały ujawnione, a także z podejmowanymi przez skarżącą środkami w celu zapobieżenia wystąpienia tego rodzaju naruszeń nie mają wpływu na wynik sprawy.

Nałożenie kary pieniężnej na podstawie powołanego na wstępie przepisu wymaga natomiast uprzedniego ustalenia przez organ, czy doszło do naruszenia obowiązku informacyjnego uregulowanego odpowiednio w art. 174a ust. 1 i art. 174a ust. 3 Prawa telekomunikacyjnego. Jak stanowi pierwszy z wymienionych przepisów, dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu danych osobowych w terminie i na zasadach określonych w rozporządzeniu Komisji (UE) Nr [....]. Z kolei w myśl art. 174a ust. 3 Prawa telekomunikacyjnego, w przypadku gdy naruszenie danych osobowych może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, dostawca publicznie dostępnych usług telekomunikacyjnych niezwłocznie zawiadamia o takim naruszeniu również abonenta lub użytkownika końcowego na zasadach określonych w rozporządzeniu Nr [....].

Przytoczone przepisy w zakresie terminu i zasad realizacji określonego w nich obowiązku informacyjnego odsyłają zatem wprost do odpowiednich przepisów rozporządzenia Nr 611/2013. Stwierdzenie, czy w danej sprawie doszło do naruszenia obowiązku informacyjnego, o którym mowa w art. 174a ust. 1 i 3 Prawa telekomunikacyjnego wymaga zatem odwołania się do treści art. 2 ust. 2 rozporządzenia Nr [....]. W myśl tego przepisu, dostawca powiadamia właściwy organ krajowy o przypadku naruszenia danych osobowych nie później niż 24 godziny po wykryciu naruszenia danych osobowych, jeśli jest to wykonalne. Uznaje się, że doszło do wykrycia naruszenia danych osobowych, gdy dostawca uzyskał wystarczającą wiedzę o zaistnieniu zdarzenia naruszającego ochronę, które doprowadziło do naruszenia danych osobowych.

Z kolei zgodnie z art. 3 ust. 1 rozporządzenia nr [....] jeśli istnieje prawdopodobieństwo, że naruszenie danych osobowych wywoła niekorzystne skutki dla danych osobowych lub prywatności abonenta lub osoby fizycznej, dostawca, oprócz powiadomienia, o którym mowa w art. 2, powiadamia również o naruszeniu tego abonenta lub tę osobę fizyczną. Przy czym, powiadomienie abonenta lub osoby fizycznej następuje bez zbędnej zwłoki po wykryciu naruszenia danych osobowych, jak określono w art. 2 ust. 2 akapit trzeci (art. 3 ust. 3 rozporządzenia).

Jak wynika z powyższego, obowiązek informacyjny administratora danych uaktualnia się dopiero w momencie wykrycia naruszenia, zaś owo "wykrycie naruszenia" następuje gdy dostawca uzyskał "wystarczającą wiedzę o zaistnieniu zdarzenia naruszającego ochronę". W ocenie Sądu, tego rodzaju wystarczająca wiedza nie może być utożsamiana jedynie z podejrzeniem wystąpienia zdarzenia lub z okolicznościami, które powinny były doprowadzić administratora do wykrycia zdarzenia. Jak wskazano w pkt 8 preambuły do rozporządzenia nr [....], ani samo podejrzenie, że doszło do naruszenia danych osobowych, ani samo wykrycie zdarzenia bez wystarczających dostępnych informacji, mimo starannego działania dostawcy w tym zakresie, nie wystarczą, by uznać, że wykryto naruszenie danych osobowych do celów niniejszego rozporządzenia. Szczególny nacisk należy zatem położyć na dostępność informacji, o których mowa w załącznikach (tzn. we wzorach powiadomień kierowanych do organu oraz abonenta). Prawodawca europejski akcentuje więc konieczność bezspornego ustalenia faktu wykrycia naruszenia, które nie jest tożsame jedynie z wystąpieniem podejrzenia takiego naruszenia.

Powyższe rozróżnienie nie zostało jednak wzięte przez organ pod uwagę. Co więcej z uzasadnienia zaskarżonej decyzji nie wynika w istocie, czy organ uznał, że spółka wykryła naruszenie w powoływanych w decyzji terminach (tj. w dniu [....] lutego 2022 r. lub w dniu [....] lutego 2022 r.), czy też jedynie uzyskała podstawy do podjęcia działań w celu wykrycia tego naruszenia. Organ wielokrotnie stwierdza, że spółka "powinna była wykryć naruszenie" (s. 7 uzasadnienia decyzji), nie przeprowadziła analizy, która "skutkowałaby prawidłowym rezultatem, tj. wykryciem naruszenia danych osobowych" (s. 8 uzasadnienia decyzji), "powinna dokonać stosownej analizy w celu wykrycia naruszenia danych osobowych" (s. 10 uzasadnienia decyzji). Stanowisko organu w tej sprawie sprowadza się zatem do stwierdzenia, że okoliczności tej sprawy umożliwiały spółce wykrycie naruszenia. Powyższe nie oznacza jednak, że do wykrycia naruszenia faktycznie doszło. Tymczasem ta okoliczność jest kluczowa z punktu widzenia nałożenia kary pieniężnej na podstawie art. 210a ust. 1 pkt 2 i 3 Prawa telekomunikacyjnego, bowiem – jak już wspomniano – obowiązek informacyjny aktualizuje się dopiero w momencie wykrycia naruszenia (a nie samej możliwości wykrycia naruszenia).

Jest to tym bardziej istotne, że jak wynika z osnowy zaskarżonej decyzji organ nałożył na spółkę karę pieniężną za niezawiadomienie organu o naruszeniu danych osobowych w terminie 24 godzin od wykrycia naruszenia. Okoliczność terminu wykrycia naruszenia powinna zatem zostać przez organ zbadana w sposób niebudzący wątpliwości, w szczególności biorąc pod uwagę, że zaskarżona decyzja nakłada administracyjną karę pieniężną, a więc wątpliwości w zakresie istotnych elementów stanu faktycznego nie mogą być interpretowane na niekorzyść strony postępowania. Jak podkreśla się w orzecznictwie sądów administracyjnych, w sprawie, w której przedmiotem rozstrzygnięcia organu administracji publicznej jest nałożenie na stronę określonej przepisami kary pieniężnej lub zobowiązanie jej do wykonania innego rodzaju obowiązku, a więc w sytuacji podjęcia działań o charakterze represyjnym, organ ma obowiązek przeprowadzić postępowanie w taki sposób, aby nie pozostawiać żadnych wątpliwości, co do podjętego rozstrzygnięcia. Całkowicie niedopuszczalne jest interpretowanie wątpliwości, co do stanu faktycznego sprawy na niekorzyść strony postępowania, szczególnie w sytuacji, gdy ustalenia faktyczne mogą determinować nałożenie na stronę kary pieniężnej w znacznej kwocie (por. wyroki Naczelnego Sądu Administracyjnego z dnia 14 listopada 2007 r. sygn. akt I OSK 1519/06; z dnia 18 listopada 2005 r. sygn. akt II OSK 226/05 oraz z dnia 12 marca 2015 r. sygn. akt II GSK 137/14, dostępne w internetowej bazie orzeczeń sądów administracyjnych).

W ocenie Sądu, ze zgromadzonego przez organ materiału dowodowego nie wynika, by do wykrycia naruszenia przez skarżącą doszło w dniu [....] lutego 2022 r. lub w dniu [....] lutego 2022 r. Z informacji uzyskanych wówczas przez spółkę wynikało jedynie, że dane osobowe jej klienta mogły zostać przesłane na niewłaściwy adres e-mail, jednak dopiero podjęcie odpowiednich czynności wyjaśniających, w tym zapoznanie się z treścią zgłoszenia osoby trzeciej z dnia [....] lutego 2022 r. mogło doprowadzić spółkę do wykrycia naruszenia danych.

Nałożenie na spółkę kary pieniężnej nastąpiło zatem z naruszeniem art. 210a ust. 1 pkt 2 i 3 ustawy – Prawo telekomunikacyjne, bowiem w ustalonym przez organ stanie faktycznym brak było podstaw do stwierdzenia naruszenia przez spółkę obowiązku informacyjnego, o którym mowa w art. 174a ust. 1 i 3 tej ustawy. W konsekwencji, wobec stwierdzenia, że organ nieprawidłowo nałożył na spółkę karę pieniężną, Sąd nie oceniał zarzutów skargi dotyczących wysokości nałożonej kary.

Rozpatrując ponownie sprawę, organ uwzględni powyższe rozważania Sądu, a w szczególności ustali w sposób niebudzący wątpliwości, kiedy doszło do wykrycia przez spółkę naruszenia ochrony danych osobowych, w rozumieniu art. 2 ust. 2 rozporządzenia nr [....] w związku z treścią pkt 8 preambuły do tego rozporządzenia. Dopiero wówczas zbada, czy w tej sprawie doszło do naruszenia obowiązku informacyjnego, o którym mowa w art. 174a ust. 1 i 3 Prawa telekomunikacyjnego.

Biorąc wszystkie powyższe okoliczności pod uwagę, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. a) ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. 2023 r., poz. 1634 ze zm., powoływanej dalej jako p.p.s.a.), orzekł jak w pkt 1 sentencji.

O kosztach postępowania sądowego (pkt 2 sentencji) Sąd orzekł na podstawie art. 200 i art. 205 § 2 p.p.s.a. w zw. z § 14 ust. 1 pkt 1 lit. a) w zw. z § 2 pkt 7 rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 r. w sprawie opłat za czynności radców prawnych (Dz. U. z 2023 r., poz. 1935). Do kosztów tych Sąd zaliczył uiszczony przez skarżącą wpis od skargi w wysokości 2500 zł oraz wynagrodzenie radcy prawnego reprezentującego skarżącą (10800 zł).