Przedmiotem kontroli sądu była decyzja Prezesa Urzędu Ochrony Danych Osobowych (UODO) stwierdzająca naruszenie przez skarżącą spółkę, administrującą wspólnotą mieszkaniową, przepisów RODO w związku z przetwarzaniem bez podstawy prawnej danych pochodzących z systemu monitoringu wizyjnego stosowanego we wspólnocie oraz nakładająca na spółkę karę pieniężną w wysokości 8 tys. zł.


Wojewódzki Sąd Administracyjny oddalił skargę, stwierdzając, że spółka dopuściła się naruszenia przepisów o ochronie danych osobowych w procesie przetwarzania danych z systemu monitoringu wizyjnego, stosowanego na nieruchomości wspólnej, poprzez przetwarzanie danych pochodzących z tego systemu bez umowy powierzenia przetwarzania tych danych (art. 5 ust. 1 lit. a) RODO). Nie wdrożyła również środków organizacyjnych i technicznych zapewniających kontrolę nad udostępnianymi danymi osobowymi z tego systemu (art. 5 ust. 1 lit. f) RODO). Sąd podkreślił, że z zawartych pomiędzy spółką i wspólnotą umów: o administrowanie nieruchomością wspólną oraz o powierzeniu przetwarzania danych osobowych nie wynikało, aby wspólnota powierzyła spółce przetwarzanie danych pochodzących z monitoringu wizyjnego, jak również nie został określony cel przetwarzania tych danych, do których faktyczny dostęp posiadała spółka w ramach wywiązywania się z realizacji umowy o administrowanie częścią wspólną. Z umowy nie wynikało również, kto decydował w imieniu wspólnoty o udostępnianiu danych z monitoringu w związku z otrzymywanymi wnioskami o udostępnienie takich danych. Co istotne, brak prowadzenia ewidencji wniosków o udostępnienie nagrań z monitoringu uniemożliwiał rozliczenie spółki z obsługi wniosków w zakresie tego, komu dany wniosek został przekazany, kto go zaakceptował oraz w jaki sposób był on procedowany.

Z ustaleń sądu wynikało, że skarżąca miała dostęp do danych osobowych przetwarzanych w ramach monitoringu wizyjnego w związku z bieżącym administrowaniem nieruchomością, a także decydowała o celach i sposobach przetwarzania tych danych. Czynności te nie wynikały jednak ani z umowy o administrowanie, ani z umowy powierzenia przetwarzania danych, ani też z procedur wewnętrznych dotyczących zarządzania systemem monitoringu. Sąd podkreślił, że w sytuacji, gdy podmiot przetwarzający dane osobowe naruszy RODO przy określaniu celów i sposobów przetwarzania, uznaje się go za administratora danych w odniesieniu do tego przetwarzania. Podejmowanie decyzji o celach i sposobach przetwarzania danych należy do sfery uprawnień administratora danych. Jeżeli jednak w tę sferę bezprawnie ingeruje podmiot przetwarzający, wchodząc w zakres zastrzeżony administratorowi, to art. 28 ust. 10 RODO nakazuje uznać podmiot taki za administratora w odniesieniu do tego przetwarzania. Oznacza to, że podmiot przetwarzający odpowiada w tym zakresie za naruszenie przepisów rozporządzenia tak jak administrator. A zatem, choć administratorem danych osobowych przetwarzanych w systemie monitoringu była wspólnota mieszkaniowa (na którą również nałożona została przez Prezesa UODO administracyjna kara pieniężna), to spółka będąca podmiotem przetwarzającym (procesorem), skoro podejmowała w zakresie systemu monitoringu decyzje zastrzeżone dla administratora danych, powinna za nie odpowiadać jak administrator.

W ocenie sądu nieuzasadniony był również zarzut skargi dotyczący naruszenia art. 58 ust. 2 lit. i) RODO polegającego na nałożeniu przez organ kary pieniężnej rażąco wygórowanej i nieadekwatnej do stopnia przewinienia. Z treści zaskarżonej decyzji wynikało bowiem, że organ wskazał okoliczności decydujące o nałożeniu kary oraz przesłanki mające wpływ na jej wysokość: elementy związane z incydentem, zachowanie strony skarżącej przed oraz po ocenianym naruszeniu, skutki naruszenia. Organ określił również czynniki łagodzące wymiar kary (m.in. podjęte działania w celu usunięcia naruszeń) oraz obciążające (w tym fakt naruszenia zasad przetwarzania danych).


Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 27 października 2020 r., sygn. akt II SA/Wa 310/20

Oprac. PB

Przewiń do góry