Le tribunal administratif de la voïvodie de Varsovie (ci-après : le tribunal) a rejeté la plainte de P4 Sp. z o.o. contre la décision du président de l’Office de protection des données personnelles imposant une amende administrative de 100 000 PLN*. La décision était motivée par le fait que l’entreprise n’avait pas notifié les violations de données à caractère personnel à l’autorité de contrôle dans un délai de 24 heures après en avoir pris connaissance.
L’entreprise a expliqué dans la procédure devant l’autorité de contrôle que la notification des violations de données à caractère personnel après 24 heures était liée à des erreurs involontaires des employés du cabinet d’avocats chargés d’envoyer la correspondance. Toutefois, comme l’a fait remarquer l’autorité de contrôle, les erreurs des employés ne peuvent justifier le retard dans la notification à l’autorité de contrôle. La Cour s’est également ralliée à cette position. Selon la Cour, les erreurs des employés de la société ne peuvent pas être considérées comme une circonstance justifiant le retard dans la notification. Selon la Cour, ces erreurs prouvent que le processus de notification à l’autorité de contrôle des violations de données à caractère personnel n’est pas correctement organisé.
Dans la justification de l’arrêt du 5 octobre 2022, la Cour a estimé que l’autorité de contrôle avait correctement supposé que la société avait violé ses obligations en vertu de la loi sur les télécommunications et du règlement (UE) n° 611/2013 de la Commission du 24 juin 2013 relatif aux mesures applicables à la notification des violations de données à caractère personnel au titre de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques.
La Cour a confirmé qu’avant de rendre la décision, l’autorité de contrôle a clarifié toutes les circonstances de l’affaire et a procédé à une évaluation appropriée des preuves collectées. En effet, le responsable du traitement, en tant que fournisseur de services de télécommunications, n’a pas respecté l’obligation de notifier les violations de données à caractère personnel à l’autorité de contrôle dans le délai strictement spécifié par la loi, c’est-à-dire au plus tard 24 heures après avoir pris connaissance des violations. En outre, la Cour a estimé que l’autorité de contrôle avait correctement déterminé le montant de l’amende, qui est non seulement adapté à l’infraction constatée, mais qui remplit également la fonction dissuasive recherchée.