Wyrok WSA w Warszawie z dnia 31 sierpnia 2022 r., sygn. II SA/Wa 2993/21

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Kwiecińska (spr.), Sędzia WSA Sławomir Fularski, Sędzia WSA Tomasz Szmydt, , Protokolant specjalista Marcin Kwiatkowski, po rozpoznaniu na rozprawie w dniu 31 sierpnia 2022 r. sprawy ze skargi Fundacji [...] z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę

Uzasadnienie

Prezes Urzędu Ochrony Danych Osobowych (dalej: "PUODO") decyzją z dnia [...] czerwca 2021 r. (nr: [...]), na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735), art. 7 ust. 1 oraz art. 60, art. 101, art. 101a ust. 2 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), a także art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. e) i lit. i), art. 83 ust. 1-2 i art. 83 ust. 4 lit. a) w związku z art. 33 ust. 1 oraz art. 34 ust. 1, 2 i 4 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej "rozporządzeniem 2016/679", po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie braku zgłoszenia naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie, przez Fundację [...] z siedzibą w [...] przy ul. [...] (zwaną dalej: "Fundacją"), Prezes Urzędu Ochrony Danych Osobowych: w punkcie 1) stwierdził naruszenie przez Fundację [...] z siedzibą w [...] przy ul. [...] przepisu art. 33 ust. 1 rozporządzenia 2016/6795 polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, oraz przepisu art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą, nałożył na Fundację administracyjną karę pieniężną w wysokości 13 644 PLN (słownie: trzynaście tysięcy sześćset czterdzieści cztery złote); w punkcie 2) nakazał Fundacji zawiadomienie osób, których dane dotyczą, o naruszeniu ochrony danych osobowych zaistniałym w dniu [...] stycznia 2020 r., w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, tj.: a) opisu charakteru naruszenia ochrony danych osobowych; b) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych łub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisu możliwych konsekwencji naruszenia ochrony danych osobowych; d) opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków; w terminie 3 dni od dnia doręczenia niniejszej decyzji.