III OSK 1251/22
Podsumowanie
Przejdź do pełnego tekstuNaczelny Sąd Administracyjny rozpoznał skargę kasacyjną Prezesa Urzędu Ochrony Danych Osobowych (UODO) od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie, który uchylił decyzję Prezesa UODO o nałożeniu na C. S.A. administracyjnej kary pieniężnej w wysokości ponad 1,1 miliona złotych. Kara została nałożona za naruszenie przepisów RODO, w tym art. 32 ust. 1 i 2, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych przetwarzanych we współpracy z firmą kurierską, co skutkowało opóźnioną identyfikacją naruszeń ochrony danych. Sąd I instancji uchylił decyzję organu, wskazując na naruszenie przepisów Kodeksu postępowania administracyjnego (k.p.a.), w tym art. 7, 8, 77, 80, 104, 105, 107, a także art. 10 k.p.a. w związku z niezawiadomieniem firmy kurierskiej jako strony postępowania. Głównym zarzutem WSA było to, że organ nie wyjaśnił w decyzji statusu prawnego firmy kurierskiej (administrator czy procesor) oraz nie uzasadnił wystarczająco kwalifikacji Spółki jako administratora danych. Prezes UODO w skardze kasacyjnej zarzucił Sądowi I instancji naruszenie przepisów postępowania, w tym art. 145 § 1 pkt 1 lit. c) p.p.s.a. w zw. z przepisami k.p.a. oraz art. 133 p.p.s.a. NSA, analizując zarzuty, uznał częściowo za zasadny zarzut dotyczący błędnego wezwania firmy kurierskiej do udziału w postępowaniu, stwierdzając, że firma ta nie miała interesu prawnego w tym konkretnym postępowaniu dotyczącym środków technicznych i organizacyjnych Spółki. Jednakże NSA podzielił stanowisko WSA co do istotnego naruszenia przepisów postępowania przez organ, w szczególności art. 107 § 3 k.p.a. (uzasadnienie decyzji). Sąd podkreślił, że decyzja nakładająca karę pieniężną musi zawierać jasne wyjaśnienie podstawy prawnej, wskazanie podmiotu odpowiedzialnego oraz uzasadnienie jego winy i stopnia naruszenia. Brak takiego uzasadnienia w decyzji Prezesa UODO, zwłaszcza w kontekście wątpliwości co do statusu firmy kurierskiej i Spółki jako administratora danych, stanowiło istotne uchybienie, które mogło mieć wpływ na wynik sprawy. W konsekwencji, NSA oddalił skargę kasacyjną Prezesa UODO, uznając wyrok WSA za prawidłowy, mimo częściowo błędnego uzasadnienia.
Przeanalizuj tę sprawę w pełnym kontekście orzecznictwa.
Analiza orzecznictwa · odpowiedzi na pytania · badanie przepisów · drafting pism.
Wartość praktyczna
Siła precedensu: WysokaNaruszenia przepisów postępowania przez organy administracji, w szczególności wymogi dotyczące uzasadnienia decyzji nakładających kary pieniężne oraz prawidłowe określenie stron postępowania.
Dotyczy specyficznej sytuacji naruszenia przepisów RODO i procedury administracyjnej, ale ogólne zasady dotyczące uzasadnienia decyzji i kręgu stron mają szersze zastosowanie.
Zagadnienia prawne (2)
Czy brak wystarczającego uzasadnienia decyzji Prezesa UODO, w szczególności w zakresie kwalifikacji prawnej podmiotu jako administratora danych i statusu firmy kurierskiej, stanowi naruszenie przepisów postępowania, które może mieć istotny wpływ na wynik sprawy?Ratio decidendi
Odpowiedź sądu
Tak, brak odpowiedniego uzasadnienia decyzji, zwłaszcza w kwestii kwalifikacji podmiotu jako administratora danych i jego odpowiedzialności, stanowi istotne naruszenie przepisów postępowania (art. 107 § 3 k.p.a.), które może mieć wpływ na wynik sprawy.
Uzasadnienie
Decyzja nakładająca karę pieniężną musi zawierać jasne wyjaśnienie podstawy prawnej, wskazanie podmiotu odpowiedzialnego oraz uzasadnienie jego winy i stopnia naruszenia. Brak takiego uzasadnienia, szczególnie w kontekście wątpliwości co do statusu firmy kurierskiej i Spółki jako administratora danych, jest istotnym uchybieniem.
Czy firma kurierska, świadcząca usługi na rzecz administratora danych, powinna być wzywana jako strona w postępowaniu administracyjnym dotyczącym naruszenia przepisów RODO przez administratora w zakresie wdrożonych środków technicznych i organizacyjnych?Ratio decidendi
Odpowiedź sądu
Nie, firma kurierska nie miała interesu prawnego w tym konkretnym postępowaniu, które dotyczyło środków technicznych i organizacyjnych administratora danych (Spółki) we współpracy z podmiotem świadczącym usługi kurierskie, a nie bezpośrednio naruszeń popełnionych przez samą firmę kurierską.
Uzasadnienie
Zakres postępowania administracyjnego dotyczył obowiązków administratora danych (Spółki) w zakresie zapewnienia bezpieczeństwa danych przetwarzanych we współpracy z firmą kurierską. Firma kurierska nie była bezpośrednio adresatem tych obowiązków ani sankcji, a jej status jako podmiotu przetwarzającego nie wymagał jej udziału jako strony w tym konkretnym postępowaniu.
Przepisy (20)
Główne
p.p.s.a. art. 145 § § 1 pkt 1 lit. c
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
Sąd uwzględnia skargę w przypadku naruszenia przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy.
RODO art. 32 § ust. 1 i 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Administratorzy i podmioty przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych.
Pomocnicze
k.p.a. art. 7
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
Organy administracji stoją na straży praworządności i podejmują kroki niezbędne do dokładnego ustalenia stanu faktycznego oraz do załatwienia sprawy, mając na względzie interes społeczny i słuszny interes obywateli.
k.p.a. art. 8 § § 1
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
Organy administracji publicznej są obowiązane do należytego i wyczerpującego zebrania oraz rozpatrzenia całego materiału dowodowego.
k.p.a. art. 10
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
Organy administracji publicznej obowiązane są zapewnić stronom czynny udział w każdym stadium postępowania, a przed wydaniem decyzji umożliwić im wypowiedzenie się co do zebranych dowodów i materiałów oraz zgłoszonych żądań.
k.p.a. art. 61 § § 1
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
Stroną w postępowaniu administracyjnym jest każdy, czyjego interesu prawnego lub obowiązku dotyczy postępowanie albo kto żąda wszczęcia postępowania lub wnosi o podjęcie czynności.
k.p.a. art. 77 § § 1
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
Organ obowiązany jest wyczerpująco zebrać i rozpatrzyć cały materiał dowodowy.
k.p.a. art. 80
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
Organ ocenia na podstawie całokształtu materiału dowodowego, czy dana okoliczność została udowodniona.
k.p.a. art. 104 § § 1
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
Decyzje rozstrzygają sprawę co do istoty w indywidualnej sprawie danego podmiotu.
k.p.a. art. 107 § § 3
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
Uzasadnienie prawne decyzji powinno zawierać wyjaśnienie podstawy prawnej decyzji z przytoczeniem przepisów prawa.
k.p.a. art. 189b
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
Określa elementy decyzji administracyjnej pociągającej do odpowiedzialności administracyjnej karnej.
p.p.s.a. art. 183 § § 1
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania.
p.p.s.a. art. 204 § pkt 2
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
Podstawa do zasądzenia zwrotu kosztów postępowania kasacyjnego.
p.p.s.a. art. 205 § § 2
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
Określa zasady zwrotu kosztów postępowania.
u.o.d.o. art. 7 § ust. 1
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
Przepisy k.p.a. znajdują bezpośrednie zastosowanie do postępowań administracyjnych przed Prezesem Urzędu Ochrony Danych Osobowych.
RODO art. 24 § ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Administrator jest odpowiedzialny za przestrzeganie przepisów RODO i wykazanie tej zgodności.
RODO art. 83 § ust. 4 lit. a
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Określa podstawę do nałożenia administracyjnej kary pieniężnej za naruszenie art. 32 RODO.
RODO art. 4 § pkt 8
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Definicja podmiotu przetwarzającego.
rozporządzenie 611/2013 art. 2 § ust. 1
Rozporządzenie Komisji (UE) Nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej
Obowiązek powiadamiania Prezesa UODO o przypadkach naruszenia danych.
u.p.p. art. 41 § ust. 6
Ustawa z dnia 23 listopada 2012 r. Prawo pocztowe
Kwalifikacja operatorów pocztowych jako administratorów danych.
Argumenty
Skuteczne argumenty
Istotne braki w uzasadnieniu decyzji Prezesa UODO dotyczące kwalifikacji prawnej podmiotów i ich odpowiedzialności za naruszenie ochrony danych osobowych. • Naruszenie przez organ przepisów k.p.a. dotyczących obowiązku wyjaśnienia stanu faktycznego i prawnego sprawy.
Odrzucone argumenty
Zarzuty Prezesa UODO dotyczące naruszenia przez WSA przepisów postępowania, w tym art. 145 § 1 pkt 1 lit. c) p.p.s.a. i przepisów k.p.a. • Zarzut naruszenia art. 133 p.p.s.a. przez WSA (wydanie wyroku bez oparcia się o akta sprawy).
Godne uwagi sformułowania
Decyzja administracyjna pociągająca do odpowiedzialności administracyjnej karnej powinna zawierać następujące elementy: 1) podstawę prawną pociągnięcia do odpowiedzialności administracyjnej karnej (przepis prawa określający delikt); 2) wskazanie formalnej treści oraz oceny wagi naruszonego zakazu lub nakazu administracyjnego; 3) wskazanie czynu naruszającego zakaz lub nakaz (sposobu i natężenia naruszenia powinności administracyjnej); 4) wskazanie podmiotu naruszającego daną powinność administracyjną, wraz ze wskazaniem podstawy prawnej czyniącej go podmiotem obowiązanym do dochowania danego zakazu lub nakazu oraz wskazaniem treści i oceny jego indywidualnego udziału w delikcie administracyjnym; 5) wskazanie ściśle określonej kary administracyjnej dla każdego odpowiedzialnego podmiotu (uzasadnionej odpowiednimi dyrektywami karania). • Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. • W uzasadnieniu decyzji organ powinien m.in. wskazać dowody, na których się oparł oraz przyczyny, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej (art. 107 § 3 k.p.a.). • Firma kurierska nie miała bowiem w przedmiotowym postępowaniu interesu prawnego, co uzasadniałoby koniczność wezwania 'celem weryfikacji jej praw i obowiązków'.
Skład orzekający
Zbigniew Ślusarczyk
przewodniczący sprawozdawca
Artur Kuś
sędzia
Maciej Kobak
sędzia
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Naruszenia przepisów postępowania przez organy administracji, w szczególności wymogi dotyczące uzasadnienia decyzji nakładających kary pieniężne oraz prawidłowe określenie stron postępowania."
Ograniczenia: Dotyczy specyficznej sytuacji naruszenia przepisów RODO i procedury administracyjnej, ale ogólne zasady dotyczące uzasadnienia decyzji i kręgu stron mają szersze zastosowanie.
Wartość merytoryczna
Ocena: 7/10
Sprawa dotyczy wysokiej kary finansowej za naruszenie ochrony danych osobowych i podkreśla kluczowe znaczenie prawidłowego uzasadnienia decyzji administracyjnych, co jest istotne dla wielu przedsiębiorców i prawników.
“Milionowa kara za RODO uchylona przez NSA. Kluczowe znaczenie ma uzasadnienie decyzji organu.”
Twój asystent do analizy prawnej.
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka 1,4 mln orzeczeń i aktualne akty prawne.
- Analiza orzecznictwa i przepisów
- Drafting pism i dokumentów
- Odpowiedzi na pytania prawne
- Pogłębiona analiza z doktryny
Pełny tekst orzeczenia
Oryginalna treść postanowienia (niezmieniona). Otwiera się jako osobna strona.