Rzeczpospolita
Prawo

Wysłanie PIT-11 na niewłaściwy adres to naruszenie RODO. Precedensowy wyrok sądu

Wysłanie PIT-11 na niewłaściwy adres, bez znaczenia, czy nieaktualny, czy błędny, to naruszenie przepisów RODO, za które grozi kara.

Publikacja: 17.04.2025 04:38

Czy za wysłanie PIT-11 na zły adres grozi kara za naruszenie RODO? Ważny wyrok NSA

Czy za wysłanie PIT-11 na zły adres grozi kara za naruszenie RODO? Ważny wyrok NSA

Foto: Adobe Stock

Aleksandra Tarka

Taki morał płynie z precedensowego wyroku Naczelnego Sądu Administracyjnego (NSA), który powinien stać się przestrogą dla tysięcy polskich pracodawców i innych płatników. Wynika z niego bowiem jasno, że przez informacje PIT-11, które są podstawą do rocznego rozliczenia podatku dochodowego i w milionach są przesyłane podatnikom, można trafić nie tylko na celownik skarbówki, ale też prezesa Urzędu Ochrony Danych Osobowych (UODO). 

Obowiązki płatnika a ochrona danych osobowych

Przekonała się o tym kancelaria specjalizująca się w zarządzaniu procesami związanymi z dochodzeniem długów. A jej kłopoty miały związek z kontraktem z 2009 r. podpisanym z jednym z funduszy inwestycyjnych na obsługę sekurytyzowanych wierzytelności. W jej ramach kancelaria podjęła się m.in. zawierania ugód w imieniu funduszu. Jedną z nich podpisano ze spadkobierczynią zmarłej dłużniczki. 

Schody zaczęły się, gdy kancelaria wysłała kobiecie PIT-11 za 2018 r., wystawiony w związku z ugodą. Dokument nie trafił jednak do jej rąk, w efekcie zainteresowana zaalarmowała UODO. Zarzuciła, że kancelaria przesłała PIT-11 na błędy adres, a zatem doszło do udostępnienia jej danych osobowych osobom nieuprawnionym.

Podkreśliła, że miejsca, gdzie została wysłana informacja podatkowa, nigdy nie podawała jako adresu korespondencyjnego. Nigdy też tam nie mieszkała. O nieprawidłowościach dowiedziała się w maju 2019 r. od swojego urzędu skarbowego i z późniejszej rozmowy telefonicznej z samą kancelarią.

Informacja PIT-11 a przepisy RODO

Prezes UODO nie zbagatelizował sprawy i poprosił o wyjaśnienia. Kancelaria tłumaczyła się, że fundusz zawarł z nią umowę powierzenia przetwarzania danych osobowych dłużników. Sam fundusz przetwarza zaś dane osobowe klientki w związku z uznaniem przez nią zadłużenia po zmarłej. A jego celem jest m.in. realizacja obowiązków wynikających z prawa podatkowego. Kancelaria podkreśliła, że kategorie przetwarzanych danych obejmują informacje zwykłe w postaci imienia, nazwiska, adresu zamieszkania, numeru PESEL, numeru telefonu oraz sygnatury akt sprawy sądowej.

Czytaj więcej

TSUE
Dane osobowe
TSUE o RODO: nawet nieistotną szkodę trzeba naprawić

Spółka przekonywała, że nie udostępniła danych osobowych z PIT-11 osom trzecim. Przesyłka została bowiem zwrócona przez pocztę jako nieodebrana. Ponadto wskazała, że do nieprawidłowości doszło z uwagi na brak kontaktu ze spadkobierczynią, w związku z czym PIT-11 został wystawiony na adres z systemu teleinformatycznego. Kancelaria oświadczyła również, że na wieść o błędzie natychmiast sporządziła korektę dokumentu, wskazując właściwy adres. A w celu zapobieżenia podobnym nieprawidłowościom przeprowadziła rozmowy z pracownikami i ponowne szkolenia z zakresu danych osobowych.

Naruszenie przepisów RODO a kara UODO

Te tłumaczenia nie wystarczyły, żeby uniknąć konsekwencji. I choć skończyło się tylko na upomnieniu, prezes UODO nie miał wątpliwości, że kancelaria naruszyła przepisy. Urzędnicy podkreślili, że art. 5 ust. 1 lit. d RODO nakłada na administratora obowiązek przetwarzania prawidłowych danych osobowych i w razie potrzeby ich uaktualniania. W tym celu musi podejmować wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane. I w ocenie UODO spółka przetwarzała dane osobowe nierzetelnie, bo był do nich przyporządkowany nieprawidłowy, nieaktualny adres, na który wysłano przesyłkę z PIT-11. 

Ukarana poszła do sądu pierwszej instancji i wygrała. Wojewódzki Sąd Administracyjny (WSA) w Warszawie uznał, że UODO nie przedstawił dowodów na nierzetelne przetwarzanie danych. Przede wszystkim nie dochowując należytej staranności, nie ustalił, czy skarżąca dysponowała spornym adresem jeszcze przed sięgnięciem do systemu teleinformatycznego ani jaki to był np. PESEL lub jeszcze inny. WSA wytknął też urzędnikom, że w sposób nieuprawniony zrównują pojęcie „nieprawidłowego adresu” i „adresu nieaktualnego”.

PIT-11 wysłany na błędny adres a ochrona danych osobowych

Diametralnie inaczej do sprawy podszedł NSA. Nie tylko skasował korzystny dla spółki wyrok WSA, ale oddalił jej skargę, czym przyznał rację UODO. Sąd zauważył, że podstawą kary w sprawie było wysłania PIT-11 tam, gdzie nie powinien on trafić. I nie jest istotne, czy jest to adres nieaktualny, czy nieprawidłowy. Samo wysłanie na zły adres PIT-11 stanowi bowiem naruszenie RODO.

Czytaj więcej

Kontrola biletów w autobusie
Dane osobowe
NSA: wypytywanie pasażera autobusu o nazwisko może naruszać RODO

Jak podkreśliła sędzia NSA Małgorzata Pocztarek, przesyłając PIT-11, który dotyczy wrażliwych danych, trzeba dochować należytej staranności. Każdy, kto dysponuje takimi danymi, musi o tym pamiętać i uważać, bo jeśli okaże się, że dokument zostanie przesłany na nieprawidłowy adres, to dochodzi do nieprawidłowości w przetwarzaniu danych. W konsekwencji prezes UODO postąpił słusznie, zwłaszcza że przecież jest od tego, żeby stać na straży ochrony naszych danych osobowych – konkludował NSA. Wyrok jest prawomocny.

Sygnatura akt: III OSK 567/22

Paweł Litwiński
adwokat, partner w kancelarii Barta Litwiński

Wyrok NSA jest bardzo ważny, bo potencjalnie dotyczy tysięcy płatników, którzy co roku muszą wywiązać się z obowiązku przesłania informacji PIT-11 w skali idącej w miliony. Warto przypomnieć, że jedną z podstawowych zasad przetwarzania danych osobowych jest zasada merytorycznej poprawności danych. Wynika z niej, że administrator, w granicach należytej staranności, musi podjąć starania celem zapewnienia, żeby zbierane dane były zgodne z prawdą. W spornej sprawie, jak wiele na to wskazuje, tak nie było: pozyskano adres osoby fizycznej, nie zweryfikowano go w żaden sposób i od razu wysłano tam PIT-11. Co prawda nie zgadzam się, że PIT-11 zawiera dane osobowe należące do szczególnej kategorii „wrażliwych”. Niemniej może zawierać tzw. dane finansowe, czyli dane ujawniające sytuację majątkową osoby fizycznej, których wyciek może rodzić ponadstandardowe ryzyko. Wniosek, jaki płynie z tego wyroku, jest więc bardzo jasny: gromadząc dane osobowe, musimy to robić tak, aby w granicach dostępnych nam środków zapewnić ich merytoryczną poprawność. A przesłanie PIT-11 na niezweryfikowany adres podatnika może skończyć się nie tylko upomnieniem, ale karą finansową za naruszenie przepisów RODO. I to bez względu na to, czy adres był niepoprawny, czy nieaktualny. 

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: rp.pl

Podatki Podatek dochodowy PIT Płatnik Dane Osobowe Wierzytelności NSA Prawo Cywilne Spadki Naczelny Sąd Administracyjny (NSA) RODO Urząd Ochrony Danych Osobowych (UODO)
Adam Bodnar ogłosił, co dalej z neosędziami. Reforma już w październiku?
Sądy i trybunały
Adam Bodnar ogłosił, co dalej z neosędziami. Reforma już w październiku?
Citi Handlowy: Konto oszczędnościowe do 200 tys. zł. Oferta ważna do 12.05.2025
Materiał Promocyjny
Citi Handlowy: Konto oszczędnościowe do 200 tys. zł. Oferta ważna do 12.05.2025
Advertisement
Kontrowersyjna metoda leczenia boreliozy. Sąd: oświadczenia pacjentów to nie wiedza medyczna
Prawo dla Ciebie
Oświadczenia pacjentów to nie wiedza medyczna. Sąd o leczeniu boreliozy
Trybunał zdecydował w sprawie dożywotniego zakazu prowadzenia aut
Prawo drogowe
Trybunał zdecydował w sprawie dożywotniego zakazu prowadzenia aut
Ranking firm doradztwa podatkowego: Wróciły dobre czasy. Oto najsilniejsi
Zawody prawnicze
Ranking firm doradztwa podatkowego: Wróciły dobre czasy. Oto najsilniejsi
Škoda obniża ceny hybrydowych wersji Škody Superb i Škody Kodiaq
Materiał Promocyjny
Škoda obniża ceny hybrydowych wersji Škody Superb i Škody Kodiaq
Advertisement
Dziecko trojga rodziców przyszło na świat dzięki terapii MDF
Prawo rodzinne
Zmuszony do ojcostwa chce pozwać klinikę in vitro. Pierwsza sprawa w Polsce
Ducato w leasingu 102,9% z pakietem ubezpieczeń OC/AC za 1% wartości auta
Materiał Promocyjny
Ducato w leasingu 102,9% z pakietem ubezpieczeń OC/AC za 1% wartości auta
Advertisement
e-Wydanie