Das Woiwodschaftsverwaltungsgericht in Warschau (im Folgenden: das Gericht) wies die Klage von P4 Sp. z o.o. gegen die Entscheidung des Präsidenten des Amtes für den Schutz personenbezogener Daten ab, mit der ein Bußgeld in Höhe von 100.000 PLN* verhängt wurde. Grund für die Entscheidung war das Versäumnis, der Aufsichtsbehörde die Verletzungen des Schutzes personenbezogener Daten innerhalb von 24 Tagen nach Bekanntwerden zu melden.
Das Unternehmen erklärte in dem Verfahren vor der Aufsichtsbehörde, dass die Meldung der Verletzungen des Schutzes personenbezogener Daten nach 24 Stunden auf versehentliche Fehler der für den Versand der Korrespondenz zuständigen Mitarbeiter der Anwaltskanzlei zurückzuführen sei. Wie die Aufsichtsbehörde jedoch feststellte, können Fehler der Mitarbeiter die verspätete Benachrichtigung der Aufsichtsbehörde nicht rechtfertigen. Der Gerichtshof schloss sich dieser Auffassung an. Nach Ansicht des Gerichts können die Fehler der Mitarbeiter des Unternehmens nicht als ein Umstand angesehen werden, der die Verzögerung der Meldung rechtfertigt. Nach Ansicht des Gerichtshofs beweisen diese Fehler, dass das Verfahren zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde nicht ordnungsgemäß organisiert ist.
In der Begründung des Urteils vom 5. Oktober 2022 stellte das Gericht fest, dass die Aufsichtsbehörde zu Recht davon ausging, dass das Unternehmen gegen seine Verpflichtungen aus dem Telekommunikationsgesetz und der Verordnung (EU) Nr. 611/2013 der Kommission vom 24. Juni 2013 über Maßnahmen bei Verletzungen des Schutzes personenbezogener Daten gemäß der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates über den Schutz der Privatsphäre in der elektronischen Kommunikation verstoßen hat.
Das Gericht bestätigte, dass die Aufsichtsbehörde vor dem Erlass des Beschlusses alle Umstände des Falles geklärt und die gesammelten Beweise ordnungsgemäß bewertet hat. Der für die Verarbeitung Verantwortliche ist als Anbieter von Telekommunikationsdiensten der Verpflichtung nicht nachgekommen, der Aufsichtsbehörde die Verletzungen des Schutzes personenbezogener Daten innerhalb der gesetzlich vorgeschriebenen Frist zu melden, d. h. spätestens 24 Stunden nach Bekanntwerden der Verletzungen. Darüber hinaus stellte das Gericht fest, dass die Aufsichtsbehörde die Höhe der Geldbuße angemessen festgesetzt hat, die nicht nur dem festgestellten Verstoß angemessen ist, sondern auch die beabsichtigte abschreckende Wirkung erfüllt.