III OSK 1251/22

III OSK 1251/22 - Wyrok NSA
Data orzeczenia
2025-09-09
orzeczenie prawomocne
Data wpływu
2022-05-19
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Artur Kuś
Maciej Kobak
Zbigniew Ślusarczyk /przewodniczący sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA/Wa 2465/21 - Wyrok WSA w Warszawie z 2021-11-15
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę kasacyjną
Powołane przepisy
Dz.U. 2022 poz 2000
art.28, art.107 §3
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego - t.j.
Dz.U.UE.L 2016 nr 119 poz 1 art.31 ust.1 i 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Zbigniew Ślusarczyk (spr.) Sędziowie: sędzia NSA Artur Kuś sędzia del. WSA Maciej Kobak Protokolant: asystent sędziego Anna Krupa po rozpoznaniu w dniu 9 września 2025 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Prezesa Urzędu Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 15 listopada 2021 r. sygn. akt II SA/Wa 2465/21 w sprawie ze skargi C. S.A. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 22 kwietnia 2021 r. nr DKN.5130.3114.2020.121220 w przedmiocie nałożenia administracyjnej kary pieniężnej za naruszenie danych osobowych 1. oddala skargę kasacyjną; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz C. S.A. z siedzibą w W. kwotę 8.100 (osiem tysięcy sto) złotych tytułem zwrotu kosztów postępowania kasacyjnego.
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 15 listopada 2021 r. sygn. II SA/Wa 2465/21 wydanym po rozpoznaniu skargi C. S.A. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z 22 kwietnia 2021 r., nr DKN.5130.3114.2020.121220 w przedmiocie nałożenia administracyjnej kary pieniężnej, na podstawie art. 145 § 1 pkt 1 lit. c) oraz art. 200, art. 205 § 2 i art. 209 ustawy z 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r. poz. 2325 ze zm., dalej zwanej "p.p.s.a.") uchylił decyzję w zaskarżonej części (pkt 1) oraz zasądził od Prezesa Urzędu Ochrony Danych Osobowych na rzecz C. S.A. z siedzibą w W. kwotę 22.187 złotych, tytułem zwrotu kosztów postępowania (pkt 2).
W uzasadnieniu wyroku Sąd I instancji wskazał, że zaskarżoną decyzją Prezes Urzędu Ochrony Danych Osobowych (dalej zwany "Prezesem UODO") stwierdził naruszenie przez C. S.A. z siedzibą w W. (dalej zwany "Spółką") przepisów art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej: "RODO", polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych przetwarzanych we współpracy z podmiotem świadczącym usługi kurierskie przez szybką identyfikację naruszeń ochrony danych osobowych oraz nałożył na Spółkę za naruszenie art. 32 ust. 1 i 2 RODO administracyjną karę pieniężną w wysokości 1.136.975 zł (pkt 1), a w pozostałym zakresie postępowanie umorzył (pkt 2).
Decyzja ta została wydana po przeprowadzeniu przez organ wszczętego z urzędu postępowania w sprawie przetwarzania danych osobowych przez Spółkę. Organ uznał, że do naruszenia doszło w związku z terminowością identyfikacji przez Spółkę naruszeń ochrony danych osobowych związanych z utratą przez firmę kurierską F. dokumentów zawierających dane osobowe klientów lub wydaniem przez kurierów niewłaściwej osobie dokumentów zawierających dane osobowe w postaci: imienia i nazwiska, adresu zamieszkania lub pobytu, numeru PESEL, adresu e-mail, serii i numeru dowodu osobistego bądź innego dokumentu tożsamości, numeru telefonu oraz danych dotyczących łączących strony umów.
Organ wskazał, że analizowane w toku postępowania zgłoszenia naruszeń ochrony danych osobowych dokonywane przez Spółkę jako administratora danych były znacząco spóźnione, w tym w szczególności organ stwierdził, iż 60% badanych zgłoszeń nastąpiło w terminie 60 dni od daty zdarzenia powodującego naruszenie. Jednocześnie, Spółka zgodnie z art. 2 ust. 1 rozporządzenia Komisji (UE) Nr 611/2013 z 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej (dalej: "rozporządzenie 611/2013") jest zobowiązana do powiadamiania Prezesa UODO o wszystkich przypadkach naruszenia danych. Do zagrożenia naruszeniem dochodziło w związku z dostarczaniem umów dla klientów Spółki, zawierających wymienione powyżej dane, przez firmę kurierską. W toku doręczania przesyłek dochodziło m.in. do zagubienia przesyłek lub przekazania ich osobom trzecim (najczęściej pełnoletnim domownikom adresata). Czas identyfikacji przez Spółkę naruszenia wywołanego powierzeniem przetwarzania danych osobowych klientów Spółki firmie kurierskiej stał się przedmiotem postępowania organu w związku z możliwością naruszenia art. 32 ust. 1 RODO.
Prezes UODO wskazał, że polityka bezpieczeństwa stosowana przez Spółkę, w szczególności zasady informowania Spółki przez firmę kurierską, która na podstawie umowy przetwarzała dane, o przypadkach potencjalnych naruszeń nie odpowiada ryzyku wynikającemu z wrażliwości danych zawartych w przesyłkach. Organ stwierdził, iż niezwłoczność zawiadomienia administratora przez podmiot przetwarzający stanowi kluczowy element środków technicznych i organizacyjnych, które winny być wdrożone przez administratora zgodnie z art. 32 ust. 1 RODO. Spółka występowała do podmiotu świadczącego usługi kurierskie o wyjaśnienie przyczyn opóźnienia, jednakże były to jedynie czynności następcze następujące po upływie kliku miesięcy od naruszeń. Administrator nie podejmował zatem wystarczających działań celem egzekwowania od podmiotu przetwarzającego niezwłocznej identyfikacji i zawiadomień dotyczących naruszeń.
Prezes UODO stwierdził, że wdrożenie odpowiednich środków technicznych i organizacyjnych mających zapewnić stopień bezpieczeństwa odpowiadający ryzyku zostało przez Spółkę podjęte dopiero w następstwie pisma Prezesa UODO z 6 lipca 2020 r., podczas gdy naruszenia badane przez organ dotyczyły zdarzeń z II połowy 2019 r. Spółka realnie zminimalizowała skalę naruszeń przez zmianę treści usługi świadczonej przez firmę kurierską w ten sposób, że kurierzy zostali zobligowani do doręczenia przesyłek tylko i wyłącznie do rąk własnych abonenta lub osobom upoważnionym. Ponadto, Spółka podjęła monitoring bieżącego etapu doręczenia przesyłek w krótkim okresie po nadaniu, co umożliwiło szybszą identyfikację ewentualnych zagrożeń dla ochrony danych osobowych klientów. Spółka podjęła zatem działania umożliwiające identyfikację naruszeń niezależnie od raportowania przez podmiot przetwarzający, co jednocześnie potwierdza istniejące przed interwencją organu naruszenia w postaci braku wdrożenia odpowiednich środków.
W uzasadnieniu decyzji organ nie podejmował analizy odpowiedzialności za naruszenia firmy kurierskiej, którą bez dalszego wyjaśnienia uznał za podmiot przetwarzający (procesora) w rozumieniu art. 4 pkt 8 RODO, w związku z czym odpowiedzialnością za identyfikację naruszeń obciążona została w toku niniejszego postępowania jedynie Spółka, będąca według organu administratorem danych zawartych w przesyłkach powierzanych firmie kurierskiej.
Wymierzając administracyjną karę pieniężną organ wziął pod uwagę w szczególności charakter, wagę i czas trwania naruszenia, stopień odpowiedzialności Spółki (jako administratora) z uwzględnieniem wdrożonych środków technicznych i organizacyjnych, kategorie danych osobowych, których dotyczyło naruszenie oraz stopień współpracy Spółki z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków.
Wskazanym na wstępie wyrokiem Sąd I instancji uchylił zaskarżoną decyzję w zaskarżonej części. Uwzględniając skargę Sąd uznał, iż zaskarżona decyzja jest niezgodna z prawem.
Zdaniem Sądu, organ w skarżonej decyzji wymierzył Spółce administracyjną karę pieniężną w związku z naruszeniem wynikającym z relacji administrator – procesor, istniejącej w jego ocenie na linii Spółka a firma kurierska F., której powierzane były przesyłki z umowami dla abonentów skarżącej. Organ nie dokonał jednak kwalifikacji prawnej F. jako podmiotu odpowiedzialnego za ochronę danych osobowych, podczas gdy w ocenie Sądu był to jego podstawowy obowiązek przed wymierzeniem kary za naruszenie przepisów RODO. Powyższe stanowi zatem naruszenie art. 7, art. 77, art. 80 i 104 § 1 ustawy z 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm. – zwanej dalej także jako "k.p.a."), mające istotne znaczenie dla sprawy. Zgodnie bowiem z art. 189b k.p.a. sankcję w postaci administracyjnej kary pieniężnej nakłada się w: "następstwie naruszenia prawa polegającego na niedopełnieniu obowiązku albo naruszeniu zakazu ciążącego na osobie fizycznej, osobie prawnej albo jednostce organizacyjnej nieposiadającej osobowości prawnej." Zatem, organ wydając decyzję nakładającą karę winien oznaczyć podmiot oraz wskazać istnienie naruszonego obowiązku czy zakazu. Jak słusznie wskazała Spółka, organ nie identyfikując statusu prawnego Spółki i firmy kurierskiej w kontekście naruszeń powstałych w drodze doręczeń klientom Spółki umów przez F., odstąpił od ustalenia przed wymierzeniem kary istnienia odpowiedzialności Spółki za zarzucane naruszenia, czym naruszył przepisy k.p.a., które zgodnie z art. 7 ust. 1 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 256), dalej: "u.o.d.o.", znajdują bezpośrednie zastosowanie do postępowań administracyjnych przed Prezesem Urzędu Ochrony Danych Osobowych.
Sąd I instancji stwierdził również naruszenie art. 10 k.p.a. w zw. z art. 61 § 1 k.p.a. i art. 104 § 1 k.p.a. w zakresie, w jakim organ nie wezwał jako strony do postępowania firmy kurierskiej, z którą współpracowała Spółka, a która to współpraca była niewątpliwe przedmiotem postępowania administracyjnego. Naruszenie w ocenie Sądu było ściśle związane z brakiem identyfikacji prawnej przez organ stron umowy o świadczenie usług kurierskich jako podmiotów oznaczonych w art. 4 RODO.
W uzasadnieniu wyroku wskazano również na sprzeczność decyzji organu z wyjaśnieniami dotyczącymi kwalifikacji operatorów pocztowych jako administratorów danych osobowych zawartych w przesyłkach (por. fragment publikowanego na stronie internetowej BIP PUODO [w] https://uodo.qov.pl/pl/225/l467), a także zgodnie z art. 41 ust. 6 ustawy z 23 listopada 2012 r. Prawo pocztowe (dalej: u.p.p.).
Niedostateczne zbadanie oraz brak wyjaśnienia wszelkich okoliczności sprawy skutkował stwierdzeniem naruszenia przez organ również art. 8 § 1 k.p.a. Brak bowiem podstaw, a w szczególności uzasadnienia w decyzji, powodów pominięcia wyjaśnień dotyczących kwalifikacji F. jako procesora czy odejścia od utrwalonej praktyki uznania podmiotu świadczącego usługi kurierskie jako administratora danych osobowych. Szczególnie, w perspektywie posiadania przez organ w aktach sprawy umowy o współpracy skarżącej z firmą F..
Mając powyższe na uwadze, Sąd I instancji przyjął, że organ nieprawidłowo wymierzył Spółce administracyjną karę pieniężną. Zdaniem Sądu organ winien był określić w pierwszej kolejności "status" firmy F. jako administratora danych lub procesora przetwarzającego dane osobowe. W przypadku ustalenia, że pewne czynności, w ramach współpracy pomiędzy firmą F. a skarżącą, wskazują, że firma kurierska ma jednak status procesora, wówczas obowiązkiem organu jest ustalenie, jakie to były konkretne czynności, aby dokonać adekwatnej oceny poszczególnych naruszeń, o których zawiadomiła Prezesa UODO Spółka. Wówczas dopiero organ powinien dokonać oceny, czy zastosowane przez Spółkę środki techniczne i organizacyjne zapewniały bezpieczeństwo danych osobowych przez szybką identyfikację naruszeń ochrony danych i są "odpowiednie".
Skargę kasacyjną wniósł organ, zaskarżając powyższy wyrok w całości. Zarzucił naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj.:
1. art. 145 § 1 pkt 1 lit. c) p.p.s.a. w związku z art. 7, art. 8 § 1, art. 77 § 1, art. 80, art. 107 § 3, art. 107 § 1 pkt 6 k.p.a., w zw. z art. 24 ust. 1 i art. 32 ust. 1 i 2 RODO, wobec błędnego uznania, iż Prezes Urzędu Ochrony Danych Osobowych nie dokonał wszechstronnego wyjaśnienia sprawy, dokonał niepełnych lub błędnych ustaleń faktycznych, co do okoliczności pozwalających na "zakwalifikowanie" podmiotu świadczącego usługi kurierskie jako administratora danych;
2. art. 145 § 1 pkt 1 lit. c) p.p.s.a. w związku z art. 8 § 1, art. 10 § 1 i art. 61 § 1, art. 104 § 1, art. 105 § 1 k.p.a. w zw. z art. 24 ust. 1 i art. 32 ust. 1 i 2 RODO, wobec błędnego przyjęcia, że Prezes Urzędu Ochrony Danych Osobowych zaniechał wezwania podmiotu świadczącego usługi kurierskie jako strony postępowania celem weryfikacji jej praw i obowiązków pod kątem zgodności z przepisami rozporządzenia 2016/679 w zakresie, w jakim działania tego podmiotu wypełniają współpracę z C. S.A. co skutkowałoby prowadzeniem dwóch postępowań, w których F. Sp. z o.o. występowałby jako strona w ramach tego samego przedmiotu - nieważnością postępowania;
3. art. 133 p.p.s.a. przez wydanie wyroku bez oparcia się o akta sprawy;
W oparciu o tak sformułowane zarzuty organ wniósł o uchylenie zaskarżonego wyroku w całości i rozpoznanie skargi lub przekazanie sprawy do ponownego rozpoznania Sądowi I instancji. Ponadto wniósł o zasądzenie zwrotu na rzecz organu kosztów postępowania sądowego.
W uzasadnieniu skargi kasacyjnej organ podkreślił, że Sąd I instancji błędnie uznał, iż organ nie przeprowadził analizy odpowiedzialności firmy kurierskiej, podczas gdy na podstawie zgromadzonego materiału dowodowego organ uznał F. za podmiot przetwarzający (procesora) w rozumieniu art. 4 pkt 8 RODO. Sąd I instancji dostrzegł taką kwalifikację organu, zarzucił jednak brak uzasadnienia takiego stwierdzenia w decyzji.
Prezes UODO wskazał, że Spółka dokonując zgłoszeń naruszeń występowała jako administrator danych, co wynika ze spoczywającego jedynie na administratorze obowiązku informacyjnego wobec organu. Ponadto, Spółka w relacji z firmą kurierską uważała się za administratora danych, tak wskazuje m.in. w instrukcjach dla F. dotyczących rozpoznawania naruszeń ochrony danych osobowych. W związku z powyższym organ nie miał wątpliwości, co do uznania Spółki za administratora danych. Również Spółka na etapie prowadzenia postępowania nie kwestionowała dokonanej przez organ oceny, a wątpliwości podniosła dopiero na etapie skargi na decyzję.
Organ podkreślił, że wyjaśnienie kwalifikacji Spółki jako administratora danych nie tylko znalazło źródło w przeprowadzonym postępowaniu dowodowym, ale zostało również uzasadnione w treści decyzji, co pominął Sąd. Pominięto również wyjaśnienia Prezesa UODO przedstawione w odpowiedzi na skargę.
W ocenie skarżącego kasacyjnie Sąd błędnie przedstawił również tezę rzekomo wysuniętą przez organ w przedmiocie "odpowiedniego" stosowania przepisów k.p.a., podczas gdy organ wprost nie kwestionował stosowania k.p.a. Zdaniem organu art. 7 k.p.a. nie wyklucza również "obowiązku strony współprzyczynienia się do pełnego i wyczerpującego zebrania i rozpatrzenia materiału dowodowego", a więc Spółka winna była na etapie prowadzenia postępowania zgłosić zastrzeżenia i przedstawić kontrdowód w zakresie kwalifikacji jej jako administratora danych. Bezczynność Spółki w tym zakresie nie może być zatem traktowana jako uchybienie wyjaśnienia sprawy przez organ. Przedstawienie w treści decyzji hipotetycznej sytuacji kwalifikacji firmy kurierskiej jako administratora danych oraz podstawy prawnej przetwarzania danych osobowych czy też zakresu tych danych, w ocenie Prezesa UODO wykraczałoby poza przedmiot prowadzonego postępowania.
Ponadto, w ocenie organu nie doszło do odejścia w decyzji od utrwalonej praktyki jak wskazuje Sąd I instancji. Zgodnie z przywołaną w uzasadnieniu linią orzeczniczą, operator pocztowy jest administratorem jedynie danych nadawców i adresatów, ale już nie danych zawartych wewnątrz przesyłki. Administratorem danych zawartych w przesyłce pozostaje zatem nadawca, ponieważ to on ma wiedzę co do jej treści i ryzyka naruszenia ochrony danych osobowych. Tak też określiły zakres odpowiedzialności w zakresie ochrony danych strony umowy o świadczenie usług kurierskich w niniejszej sprawie, w tym poprzez umowę powierzenia przetwarzania danych osobowych. Prowadzone postępowanie nie dotyczyło zatem danych, których administratorem jest F., a informacji takich jak PESEL czy seria dowodu abonentów zawartych w treści przesyłek nadawanych przez Spółkę.
Sąd zarzucając pominięcie firmy kurierskiej jako uczestnika przedmiotowego postępowania nie uwzględnił, że organ prowadzi wobec F. odrębne postępowanie w przedmiocie naruszenia art. 33 ust. 2 RODO.
W odpowiedzi na skargę kasacyjną Spółka wniosła o oddalenie skargi kasacyjnej oraz o zasądzenie na rzecz skarżącej kosztów postępowania kasacyjnego. W uzasadnieniu wskazała, że w całości podtrzymuje dotychczasowe stanowisko. Odnosząc się do zarzutów skargi kasacyjnej zgodziła się ze stanowiskiem Sądu I instancji, w szczególności w zakresie pominięcia przez organ w decyzji ustalenia zakresu odpowiedzialności Spółki.
Naczelny Sąd Administracyjny zważył, co następuje:
Stosownie do art. 183 § 1 ustawy z 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2024 r., poz. 935 ze zm.) zwanej dalej p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183 § 2 p.p.s.a. i nie zachodzi żadna z przesłanek, o których mowa w art. 189 p.p.s.a., które Naczelny Sąd Administracyjny rozważa z urzędu dokonując kontroli zaskarżonego skargą kasacyjną wyroku. W tych okolicznościach w sprawie badaniu podlegały wyłącznie zarzuty podniesione w skardze kasacyjnej na uzasadnienie przytoczonej podstawy kasacyjnej.
Skargę kasacyjną można oprzeć na następujących podstawach:
1) naruszeniu prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie,
2) naruszeniu przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy (art. 174 p.p.s.a.).
W skardze kasacyjnej zarzucono wyłącznie naruszenie przepisów postępowania.
Granice skargi kasacyjnej wyznaczają wskazane w niej podstawy. Ze względu na sposób skonstruowania skargi kasacyjnej w niniejszej sprawie, należy przypomnieć, że Naczelny Sąd Administracyjny, ze względu na ograniczenia wynikające ze wskazanych regulacji prawnych, nie może we własnym zakresie konkretyzować zarzutów skargi kasacyjnej, uściślać ich bądź w inny sposób korygować. Związanie Naczelnego Sądu Administracyjnego granicami skargi kasacyjnej oznacza również związanie wskazanymi w niej podstawami zaskarżenia, które determinują zakres kontroli kasacyjnej, jaką Naczelny Sąd Administracyjny sprawuje na podstawie i w granicach prawa (art. 7 Konstytucji RP) - w celu stwierdzenia ewentualnej wadliwości zaskarżonego orzeczenia. Z faktu związania Naczelnego Sądu Administracyjnego granicami skargi kasacyjnej wynika wykluczenie możliwości domniemywania intencji strony składającej ten środek zaskarżenia, konkretyzowania jego zarzutów, czy też uzupełniania występujących w nim braków dotyczących podstaw skargi kasacyjnej i ich uzasadnienia.
Ze względu na wymogi konstrukcyjne skargi kasacyjnej, ich sporządzanie zostało powierzone profesjonalnym podmiotom, których fachowość powinna gwarantować prawidłowe skonstruowanie zarzutów, zgodnie z przepisami p.p.s.a. Do autora skargi kasacyjnej należy zatem wskazanie konkretnych przepisów prawa materialnego lub przepisów postępowania, które w jego ocenie naruszył Sąd I instancji i precyzyjne wyjaśnienie, na czym polegało ich niewłaściwe zastosowanie lub błędna interpretacja, w odniesieniu do prawa materialnego, bądź wykazanie istotnego wpływu naruszenia prawa procesowego na rozstrzygnięcie sprawy przez Sąd I instancji. Podkreślić należy, że zgodnie ze stanowiskiem przyjętym w uchwale pełnego składu NSA z 26 października 2009 r., I OPS 10/09, "Przytoczenie podstaw kasacyjnych, rozumiane jako wskazanie przepisów, które - zdaniem wnoszącego skargę kasacyjną - zostały naruszone przez wojewódzki sąd administracyjny, nakłada na Naczelny Sąd Administracyjny (...) obowiązek odniesienia się do wszystkich zarzutów przytoczonych w podstawach kasacyjnych". Naczelny Sąd Administracyjny tylko wtedy może uczynić zadość temu obowiązkowi, gdy wnoszący skargę kasacyjną poprawnie określi, jakie przepisy jego zdaniem naruszył wojewódzki sąd administracyjny i na czym owo naruszenie polegało.
W zakresie zarzutu naruszenia art. 133 p.p.s.a., po pierwsze, organ nie wskazał konkretnej jednostki redakcyjnej naruszonej przez Sąd I instancji. Sama ta okoliczność świadczy o nieprawidłowym sformułowaniu podstawy kasacyjnej. Nawet gdyby jednak przyjąć, że zarzucono naruszenie art. 133 § 1 p.p.s.a., to z powyższego przepisu wynika kierowany do sądu I instancji obowiązek orzekania na podstawie akt sprawy, przepis ten nie stanowi natomiast podstawy oceny materiału dowodowego przez sąd (por. wyrok NSA z 12 czerwca 2025 r. pod sygn. akt III OSK 1394/22). W orzecznictwie przyjmuje się, że obowiązek wydania wyroku na podstawie akt sprawy oznacza bowiem jedynie zakaz wyjścia poza materiał znajdujący się w aktach sprawy. Natomiast naruszenie określonej w art. 133 § 1 p.p.s.a. zasady orzekania na podstawie akt sprawy mogłoby stanowić skuteczną podstawę kasacyjną, np. w sytuacji oddalenia skargi mimo niekompletnych akt sprawy, pominięcia istotnej części tych akt, czy oparcia orzeczenia na własnych ustaleniach sądu, tzn. dowodach lub faktach nieznajdujących odzwierciedlenia w aktach sprawy. Przez zarzut naruszenia art. 133 § 1 p.p.s.a. organ zmierza w istocie do podważenia oceny stanu faktycznego ustalonego przez Sąd I instancji. Tymczasem kwestionowanie oceny stanu faktycznego przez pryzmat wykładni przepisów k.p.a. poczynionej przez Sąd I instancji nie stanowi o naruszeniu wskazanego tu przepisu. Powyższe ustalenia przesądzają o bezzasadności trzeciego zarzutu naruszenia przepisów postępowania.
Przechodząc do oceny pierwszego zarzutu, w sprawie nie doszło do naruszenia art. 145 § 1 pkt 1 lit. c p.p.s.a. w zw. z art. 7, art. 77 § 1, art. 80, 107 § 3, 107 § 1 pkt 6 k.p.a. Naruszenia tych przepisów organ upatruje w uwzględnieniu skargi przez Sąd I instancji i stwierdzeniu naruszenia przez organ art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a. i art. 107 § 3 k.p.a., art. 107 § 1 pkt 6) w zw. z art. 104 § 1 k.p.a., 105 § 1 k.p.a. oraz art. 8 § 1 k.p.a., art. 10 § 1 k.p.a. i art. 61 § 1 k.p.a. w zw. z art. 24 ust. 1 RODO i art. 32 ust. 1 i 2 RODO, mimo iż - w ocenie strony - zaskarżona decyzja organu została wydana w sposób niewadliwy po dokładnym wyjaśnieniu stanu faktycznego sprawy oraz wyczerpującym zebraniu i rozpatrzeniu materiału dowodowego.
Co do zasady, przedmiot i zakres postępowania dowodowego prowadzonego przez organ administracji determinują przepisy administracyjnego prawa materialnego. To one kształtują okoliczności faktyczne relewantne w celu subsumpcji normy prawnej w drodze decyzji administracyjnej. W zaskarżonej decyzji Prezes UODO stwierdził naruszenie przez Spółkę m.in. art. 32 ust. 1 i 2 RODO, które to przepisy określają obowiązki administratora w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych, w celu zapewnienia bezpieczeństwa odpowiadającemu ryzyku naruszenia praw lub wolności osób fizycznych, a w związku ze stwierdzonym naruszeniem nałożył na spółkę administracyjną karę pieniężną, zgodnie z art. 83 ust. 4 lit. a) RODO.
W ramach kontroli sądowoadministracyjnej Sąd I instancji stwierdził naruszenie sprowadzające się do pominięcia w treści decyzji jakiegokolwiek wyjaśnienia dotyczącego kwalifikacji Spółki jako obowiązanej z art. 32 ust. 1 i 2 RODO.
Zgodnie z art. 107 § 3 k.p.a., uzasadnienie prawne decyzji powinno zawierać wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa. Nie ulega wątpliwości, iż uzasadnienie decyzji nakładającej administracyjną karę pieniężną powinno zawierać wyjaśnienie spełnienia przesłanek nałożenia tej sankcji, w tym wyjaśnienie, czy dany podmiot był w istocie zobligowany do przestrzegania obowiązków, których naruszenie organ zakwalifikował jako delikt administracyjny. Jak wskazuje się w doktrynie (R. Zawłocki, Pojęcie i istota deliktu administracyjnego, M. Praw. 2018/1, s. 21, tak również A. Wróbel (w:) M. Jaśkowska, M. Wilbrandt-Gotowicz, A. Wróbel, Komentarz aktualizowany do Kodeksu postępowania administracyjnego, LEX/el. 2022, art. 189b): "decyzja administracyjna pociągająca do odpowiedzialności administracyjnej karnej powinna zawierać następujące elementy: 1) podstawę prawną pociągnięcia do odpowiedzialności administracyjnej karnej (przepis prawa określający delikt); 2) wskazanie formalnej treści oraz oceny wagi naruszonego zakazu lub nakazu administracyjnego; 3) wskazanie czynu naruszającego zakaz lub nakaz (sposobu i natężenia naruszenia powinności administracyjnej); 4) wskazanie podmiotu naruszającego daną powinność administracyjną, wraz ze wskazaniem podstawy prawnej czyniącej go podmiotem obowiązanym do dochowania danego zakazu lub nakazu oraz wskazaniem treści i oceny jego indywidualnego udziału w delikcie administracyjnym; 5) wskazanie ściśle określonej kary administracyjnej dla każdego odpowiedzialnego podmiotu (uzasadnionej odpowiednimi dyrektywami karania)".
Zgodnie z powyższym, organ w decyzji nakładającej administracyjną karę pieniężną winien każdorazowo poddać analizie przepisy prawa materialnego w zakresie istnienia na danym podmiocie, mającym stać się adresatem sankcji, ciążącego na nim obowiązku czy zakazu, a konkluzję zamieścić w treści decyzji.
W tym zakresie wypowiadał się już NSA, w tym w wyroku NSA z 5 marca 2025 r., sygn. akt III OSK 5519/21: "(...) Z kolei w uzasadnieniu decyzji organ powinien m.in. wskazać dowody, na których się oparł oraz przyczyny, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej (art. 107 § 3 k.p.a.). Zgodnie z ogólnymi zasadami postępowania administracyjnego, organy administracji stoją na straży praworządności i podejmują kroki niezbędne do dokładnego ustalenia stanu faktycznego oraz do załatwienia sprawy, mając na względzie interes społeczny i słuszny interes obywateli (art. 7 k.p.a.). Organy administracji publicznej są również zobowiązane w sposób wyczerpujący zebrać i rozpatrzyć cały materiał dowodowy (art. 77 § 1 k.p.a.) i dopiero na podstawie całokształtu materiału dowodowego ocenić, czy dana okoliczność została udowodniona (art. 80 k.p.a.)"
W ocenie wypełnienia powyższego obowiązku przez organ NSA podziela argumentację Sądu I instancji. W zaskarżonej decyzji, pomimo twierdzeń skargi kasacyjnej, nie znalazła się żadna konstatacja uzasadniająca, czy i dlaczego Spółka jest w zakresie naruszeń wskazanych przez organ administratorem danych osobowych. Przeprowadzenie postępowania administracyjnego wynikało z naruszeń zgłaszanych przez Spółkę jako administratora, powyższe nie zwalnia jednak organu od ustalenia czy przedmiotowy obowiązek w ogóle na Spółce ciąży. Organ podnosząc, iż dokonał przedmiotowej oceny zdaje się jednocześnie zgadzać z twierdzeniem skarżonego wyroku o braku w treści decyzji należytego uzasadnienia, bowiem poza twierdzeniami niepodpartymi wskazaniem jej fragmentu, w której to organ wywiązałby się z ciążącego na nim obowiązku, sam wskazuje, że brak wywodu co do podstaw prawnych kwalifikacji podmiotu postępowania nie oznacza, że organ oceny tej nie dokonał, a ponadto twierdzi, iż obowiązki dowodowe w tym przedmiocie ciążyły również na stronie.
Jednoznacznie należy stwierdzić, że w decyzji Prezesa UODO nie znalazł się żaden, nawet fragmentaryczny wywód co do podstaw kwalifikacji Spółki jako podmiotu obowiązków wskazanych w art. 32 ust. 1 i 2 RODO. Szczególny charakter skarżonej decyzji, a więc nakładającej na podmiot postępowania sankcję, nie pozwala stwierdzić, iż brak wyjaśnienia w decyzji, dlaczego dany podmiot ma zostać ukarany, realizuje obowiązki ciążące bezpośrednio na organach na zasadach ogólnych procedury administracyjnej. Nałożenie administracyjnej kary pieniężnej jako zastosowanie przymusu administracyjnego wymaga szczególnej dokładności w zakresie przedstawienia wszelkich okoliczności sprawy, a tym bardziej kwestii podstawowej, jaką jest uznanie danego podmiotu za adresata sankcji.
Co równie istotne, brak odpowiedniego uzasadnienia decyzji był w niniejszej sprawie uchybieniem istotnym, mogącym mieć wpływ na wynik sprawy. Niezależnie od stanowiska Sądu I instancji, na istotne braki w uzasadnieniu decyzji organu trafnie wskazano również w glosie do zaskarżonej decyzji: P. Litwiński, Naruszenia bezpieczeństwa danych osobowych przez firmy kurierskie, "Gdańskie Studia Prawnicze" 52/2021, s. 188-202. Autor glosy wskazuje, że "część firm kurierskich zastrzega w umowach z klientami, że przejmując od nich przesyłki, działa jako administrator danych, inne firmy z kolei – że jako podmiot przetwarzający. Tymczasem, na gruncie decyzji brak jest jakichkolwiek rozważań na ten temat, a zamiast tego w sposób automatyczny przyjęto, że firma kurierska działa jako przetwarzający dane osobowe na zlecenie ukaranej Spółki, nie uzasadniając tego w żaden sposób, w szczególności nie odnosząc się do tego, jakie usługi świadczone są przez firmę kurierską. Jednocześnie status podmiotów uczestniczących w procesie przetwarzania danych osobowych jest kluczowy z punktu widzenia zakresu ciążących na nich obowiązków, a także – a może przede wszystkim – z perspektywy nałożenia kary za naruszenie tychże. Dość powiedzieć, że jeżeli na gruncie omawianej decyzji status administratora danych przysługiwał firmie kurierskiej, wówczas nałożenie kary pieniężnej na ukaraną Spółkę pozbawione byłoby jakichkolwiek podstaw prawnych – nie można jednak tej tezy zweryfikować ze względu na bardzo istotne braki w zakresie uzasadnienia decyzji, które wynikają, jak się wydaje, z błędów poczynionych na gruncie postępowania dowodowego w sprawie" (tamże, s. 192).
Żadne z powyższych wątpliwości nie zostały wyjaśnione przez organ. Jednocześnie istnienie wątpliwości co do statusu Spółki i jej kwalifikacji jako administratora danych osobowych przesądza, iż naruszenie art. 107 § 3 k.p.a. stanowi uchybienie przepisów postępowania, mogące mieć wpływ na wynik sprawy w rozumieniu art. 145 § 1 pkt 1 lit. c p.p.s.a. Oczywiście, należy się zgodzić z Prezesem UODO, że uzasadnienie decyzji winno być sporządzone w taki sposób, by możliwym było poznanie toku rozumowania organu i kontrola prawidłowości rozstrzygnięcia. Jednak wbrew stanowisku skargi kasacyjnej, stanowisko Sądu I instancji nie sankcjonuje sytuacji, w której strona postępowania niezadowolona z konkretnego rozstrzygnięcia może, powołując się w skardze na decyzję na dowolne okoliczności, które jej zdaniem nie były wystarczająco uzasadnione, doprowadzić do uchylenia decyzji. Rozpatrywane w niniejszej sprawie wątpliwości co do statusu Spółki jako administratora mają charakter istotny, co potwierdza chociażby powoływane przez Spółkę stanowisko organu, który w publikowanych przez siebie wyjaśnieniach wskazuje, że podmiot świadczący usługi kurierskie jest administratorem danych ("Inaczej jest natomiast w przypadku przetwarzania danych osobowych przez operatorów pocztowych. Poczta Polska i inni operatorzy pocztowi w związku z wykonywaniem usług pocztowych są administratorami danych osobowych nadawców i adresatów przesyłek, a jednocześnie odpowiadają za bezpieczeństwo przesyłek (i zawartych w nich danych osobowych) w ramach należytego wykonywania usług pocztowych oraz przestrzegania zasad i obowiązków określonych w Prawie pocztowym (...)." Ustalenie, iż dany podmiot jest jako administrator lub podmiot przetwarzający zobligowany do wdrożenia odpowiednich środków technicznych i organizacyjnych, jest przesłanką odpowiedzialności administracyjnej za naruszenie art. 32 RODO. Wobec tak daleko idących wątpliwości, należy uznać iż Prezes UODO dopuścił się istotnego naruszenia art. 107 § 3 k.p.a.
W ocenie NSA, skarżący kasacyjnie błędnie powołał się na istnienie w tym zakresie obowiązku strony współprzyczynienia się do zapewnienia pełnego i wyczerpującego zebrania i rozpatrzenia materiału dowodowego, ponieważ przedmiotem naruszenia nie jest istota poczynionych ustaleń, co do których mogła się przyczynić strona, a jedynie pominięcie wywodu w tym zakresie w decyzji.
Przechodząc dalej, zarzut drugi naruszenia przepisów postępowania koncentruje się na naruszeniu przez Sąd I instancji art. 145 § 1 pkt 1 lit. c p.p.s.a. w związku z art. 8 § 1, art. 10 § 1 i art. 61 § 1, art. 104 § 1, art. 105 § 1 k.p.a. przez błędne przyjęcie, iż organ powinien był wezwać do udziału w postępowaniu F.. Zarzut ten w ocenie Naczelnego Sądu Administracyjnego jest zasadny. Wbrew uzasadnieniu skarżonego wyroku, firma świadcząca usługi kurierskie nie miała bowiem w przedmiotowym postępowaniu interesu prawnego, co uzasadniałoby koniczność wezwania "celem weryfikacji jej praw i obowiązków".
Zakres postępowania administracyjnego określono w zawiadomieniu o wszczęciu postępowania. Jak wskazano, przedmiotem było wywiązywanie się z obowiązków administratora danych osobowych abonentów przez Spółkę, która dane te wykorzystywała w przesyłkach powierzanych firmie kurierskiej. Postępowanie dotyczyło środków technicznych i organizacyjnych, do których wprowadzenia obowiązana jest Spółka, a odpowiedzialności tej nie narusza współpraca w zakresie przetwarzanych danych z innym podmiotem profesjonalnym. Jak słusznie wywodzi P. Litwiński na podstawie zaskarżonej decyzji, "[...] korzystanie przez administratora danych z usług podmiotu przetwarzającego, także będącego wysokiej klasy profesjonalistą, nie zwalnia tegoż administratora z ciągłego monitorowania przestrzegania przez przetwarzającego przepisów o ochronie danych osobowych i reagowania na stwierdzone nieprawidłowości, z zakończeniem stosunku powierzenia włącznie, jeżeli administrator uzna, że przetwarzający zaprzestał zapewniania gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą." (P. Litwiński, Naruszenia bezpieczeństwa danych..., s. 200). Tego właśnie rodzaju naruszenia dotyczyło niniejsze postępowanie. Powyższe potwierdza również treść decyzji, która stanowi, iż rozpatrywane przez organ naruszenie polegało na "niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych przetwarzanych we współpracy z podmiotem świadczącym usługi kurierskie przez szybką identyfikację naruszeń ochrony danych osobowych".
Błędnie zatem wywiódł Sąd I instancji jakoby przedmiotem postępowania administracyjnego były prawa i obowiązki F.. Nie istnieje w tym postępowaniu interes prawny F. w rozumieniu art. 28 k.p.a. W zakresie art. 28 k.p.a. wskazuje się, że "chodzi tu zatem o interes prawny, a nie faktyczny, przy czym musi występować bezpośredni związek przyczynowy pomiędzy interesem prawnym strony, a wynikiem postępowania administracyjnego. Treścią pojęcia "interes prawny" jest prawo podmiotowe rozumiane jako przyznanie przez przepis prawa konkretnych korzyści, które można realizować w postępowaniu administracyjnym. Cechami tego interesu jest to, że jest on konkretny, indywidualny i aktualny. O istnieniu tego interesu można mówić, gdy istnieje związek o charakterze materialnoprawnym między obowiązującą normą prawa administracyjnego, a sytuacją prawną konkretnego podmiotu prawa, polegającą na tym, że akt stosowania tej normy może mieć wpływ na sytuację tego podmiotu na gruncie administracyjnoprawnym (por. np. wyroki NSA z 20 marca 2008 r., sygn. akt I OSK 2016/06, LEX nr 505371, z 9 marca 2013 r. sygn. akt II GSK 330/12, LEX nr 1329710). Przymiot strony w postępowaniu administracyjnym ma więc osoba, której dotyczy bezpośrednio to postępowanie lub w którym może być wydane orzeczenie godzące w jej prawem chronione interesy poprzez ograniczenie lub uniemożliwienie korzystania z przysługujących jej praw. O tym, czy interes prawny będący treścią żądania określonego podmiotu ma charakter prawny, decyduje treść obowiązujących w zakresie przedmiotu żądania przepisów prawa materialnego" (wyrok Naczelnego Sądu Administracyjnego z 28 maja 2024 r., II OSK 2163/21).
Reasumując, należy zgodzić się z zarzutem organu w zakresie, w jakim Sąd I instancji stwierdził naruszenie art. 10 k.p.a. w zw. z art. 61 § 1 k.p.a. i art. 104 § 1 k.p.a. przez zaniechanie wezwania "podmiotu świadczącego usługi kurierskie", jako strony postępowania administracyjnego celem weryfikacji jej praw i obowiązków podlegających ocenie pod kątem zgodności z przepisami prawa regulującymi ochronę danych osobowych. Trafnie wskazał organ w skardze kasacyjnej, że przedmiotem postępowania prowadzonego wobec Spółki nie było ujęte ogólnie naruszenie ochrony danych osobowych przez wydanie przesyłek osobom nieuprawnionym, a niewdrożenie przez Spółkę jako administratora odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych przetwarzanych we współpracy z podmiotem świadczącym usługi kurierskie przez szybką identyfikację naruszeń ochrony danych osobowych. Nawet gdyby uznać, iż to przewoźnik pocztowy ponosi odpowiedzialność za naruszenie ochrony danych osobowych, to wówczas odpowiedzialność ta związana byłaby z jego własnym działaniem, zatem nie mógłby on ponosić odpowiedzialności za delikt administracyjny określony jako "niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych przetwarzanych we współpracy z podmiotem świadczącym usługi kurierskie przez szybką identyfikację naruszeń ochrony danych osobowych" – za które to naruszenie została ukarana Spółka.
Powyższe uchybienie Sądu I instancji w realiach niniejszej sprawy nie mogło jednak doprowadzić do uchylenia zaskarżonego wyroku, ponieważ z uwagi na wcześniejsze rozważania decyzja Prezesa Urzędu Ochrony Danych Osobowych z 22 kwietnia 2021 r., nr DKN.5130.3114.2020.121220 została wydana z mogącym mieć istotny wpływ na wynik sprawy naruszeniem art. 7, art. 77 § 1, art. 80 k.p.a. oraz art. 107 § 3 k.p.a.
Mając na uwadze powyższe wywody, Naczelny Sąd Administracyjny uznał, że zaskarżone orzeczenie mimo częściowo błędnego uzasadnienia odpowiada prawu, dlatego na mocy art. 184 p.p.s.a. oddalił skargę kasacyjną.
O kosztach postępowania kasacyjnego od Prezesa UODO na rzecz Spółki orzeczono na podstawie art. 204 pkt 2 p.p.s.a. w zw. z art. 205 § 2 p.p.s.a.