Orzeczenie · 2025-09-09

III OSK 1251/22

Sąd
Naczelny Sąd Administracyjny
Data
2025-09-09
NSAAdministracyjneWysokansa
ochrona danych osobowychRODOkara pieniężnaadministrator danychpodmiot przetwarzającyfirma kurierskauzasadnienie decyzjipostępowanie administracyjneNSA

Naczelny Sąd Administracyjny rozpoznał skargę kasacyjną Prezesa Urzędu Ochrony Danych Osobowych (UODO) od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie, który uchylił decyzję Prezesa UODO o nałożeniu na C. S.A. administracyjnej kary pieniężnej w wysokości ponad 1,1 miliona złotych. Kara została nałożona za naruszenie przepisów RODO, w tym art. 32 ust. 1 i 2, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych przetwarzanych we współpracy z firmą kurierską, co skutkowało opóźnioną identyfikacją naruszeń ochrony danych. Sąd I instancji uchylił decyzję organu, wskazując na naruszenie przepisów Kodeksu postępowania administracyjnego (k.p.a.), w tym art. 7, 8, 77, 80, 104, 105, 107, a także art. 10 k.p.a. w związku z niezawiadomieniem firmy kurierskiej jako strony postępowania. Głównym zarzutem WSA było to, że organ nie wyjaśnił w decyzji statusu prawnego firmy kurierskiej (administrator czy procesor) oraz nie uzasadnił wystarczająco kwalifikacji Spółki jako administratora danych. Prezes UODO w skardze kasacyjnej zarzucił Sądowi I instancji naruszenie przepisów postępowania, w tym art. 145 § 1 pkt 1 lit. c) p.p.s.a. w zw. z przepisami k.p.a. oraz art. 133 p.p.s.a. NSA, analizując zarzuty, uznał częściowo za zasadny zarzut dotyczący błędnego wezwania firmy kurierskiej do udziału w postępowaniu, stwierdzając, że firma ta nie miała interesu prawnego w tym konkretnym postępowaniu dotyczącym środków technicznych i organizacyjnych Spółki. Jednakże NSA podzielił stanowisko WSA co do istotnego naruszenia przepisów postępowania przez organ, w szczególności art. 107 § 3 k.p.a. (uzasadnienie decyzji). Sąd podkreślił, że decyzja nakładająca karę pieniężną musi zawierać jasne wyjaśnienie podstawy prawnej, wskazanie podmiotu odpowiedzialnego oraz uzasadnienie jego winy i stopnia naruszenia. Brak takiego uzasadnienia w decyzji Prezesa UODO, zwłaszcza w kontekście wątpliwości co do statusu firmy kurierskiej i Spółki jako administratora danych, stanowiło istotne uchybienie, które mogło mieć wpływ na wynik sprawy. W konsekwencji, NSA oddalił skargę kasacyjną Prezesa UODO, uznając wyrok WSA za prawidłowy, mimo częściowo błędnego uzasadnienia.

Asystent · analiza prawna

Przeanalizuj tę sprawę w pełnym kontekście orzecznictwa.

Analiza orzecznictwa · odpowiedzi na pytania · badanie przepisów · drafting pism.

Wypróbuj Asystenta

Wartość praktyczna

Siła precedensu: Wysoka
Do czego można powołać

Naruszenia przepisów postępowania przez organy administracji, w szczególności wymogi dotyczące uzasadnienia decyzji nakładających kary pieniężne oraz prawidłowe określenie stron postępowania.

Ograniczenia stosowania

Dotyczy specyficznej sytuacji naruszenia przepisów RODO i procedury administracyjnej, ale ogólne zasady dotyczące uzasadnienia decyzji i kręgu stron mają szersze zastosowanie.

Zagadnienia prawne (2)

Czy brak wystarczającego uzasadnienia decyzji Prezesa UODO, w szczególności w zakresie kwalifikacji prawnej podmiotu jako administratora danych i statusu firmy kurierskiej, stanowi naruszenie przepisów postępowania, które może mieć istotny wpływ na wynik sprawy?Ratio decidendi

Odpowiedź sądu

Tak, brak odpowiedniego uzasadnienia decyzji, zwłaszcza w kwestii kwalifikacji podmiotu jako administratora danych i jego odpowiedzialności, stanowi istotne naruszenie przepisów postępowania (art. 107 § 3 k.p.a.), które może mieć wpływ na wynik sprawy.

Uzasadnienie

Decyzja nakładająca karę pieniężną musi zawierać jasne wyjaśnienie podstawy prawnej, wskazanie podmiotu odpowiedzialnego oraz uzasadnienie jego winy i stopnia naruszenia. Brak takiego uzasadnienia, szczególnie w kontekście wątpliwości co do statusu firmy kurierskiej i Spółki jako administratora danych, jest istotnym uchybieniem.

Czy firma kurierska, świadcząca usługi na rzecz administratora danych, powinna być wzywana jako strona w postępowaniu administracyjnym dotyczącym naruszenia przepisów RODO przez administratora w zakresie wdrożonych środków technicznych i organizacyjnych?Ratio decidendi

Odpowiedź sądu

Nie, firma kurierska nie miała interesu prawnego w tym konkretnym postępowaniu, które dotyczyło środków technicznych i organizacyjnych administratora danych (Spółki) we współpracy z podmiotem świadczącym usługi kurierskie, a nie bezpośrednio naruszeń popełnionych przez samą firmę kurierską.

Uzasadnienie

Zakres postępowania administracyjnego dotyczył obowiązków administratora danych (Spółki) w zakresie zapewnienia bezpieczeństwa danych przetwarzanych we współpracy z firmą kurierską. Firma kurierska nie była bezpośrednio adresatem tych obowiązków ani sankcji, a jej status jako podmiotu przetwarzającego nie wymagał jej udziału jako strony w tym konkretnym postępowaniu.

Rozstrzygnięcie
Decyzja
Odrzucono skargę
Oddalono skargę kasacyjną Prezesa Urzędu Ochrony Danych Osobowych od wyroku WSA w Warszawie.

Przepisy (20)

Główne

p.p.s.a. art. 145 § § 1 pkt 1 lit. c

Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi

Sąd uwzględnia skargę w przypadku naruszenia przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy.

RODO art. 32 § ust. 1 i 2

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

Administratorzy i podmioty przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych.

Pomocnicze

k.p.a. art. 7

Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego

Organy administracji stoją na straży praworządności i podejmują kroki niezbędne do dokładnego ustalenia stanu faktycznego oraz do załatwienia sprawy, mając na względzie interes społeczny i słuszny interes obywateli.

k.p.a. art. 8 § § 1

Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego

Organy administracji publicznej są obowiązane do należytego i wyczerpującego zebrania oraz rozpatrzenia całego materiału dowodowego.

k.p.a. art. 10

Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego

Organy administracji publicznej obowiązane są zapewnić stronom czynny udział w każdym stadium postępowania, a przed wydaniem decyzji umożliwić im wypowiedzenie się co do zebranych dowodów i materiałów oraz zgłoszonych żądań.

k.p.a. art. 61 § § 1

Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego

Stroną w postępowaniu administracyjnym jest każdy, czyjego interesu prawnego lub obowiązku dotyczy postępowanie albo kto żąda wszczęcia postępowania lub wnosi o podjęcie czynności.

k.p.a. art. 77 § § 1

Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego

Organ obowiązany jest wyczerpująco zebrać i rozpatrzyć cały materiał dowodowy.

k.p.a. art. 80

Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego

Organ ocenia na podstawie całokształtu materiału dowodowego, czy dana okoliczność została udowodniona.

k.p.a. art. 104 § § 1

Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego

Decyzje rozstrzygają sprawę co do istoty w indywidualnej sprawie danego podmiotu.

k.p.a. art. 107 § § 3

Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego

Uzasadnienie prawne decyzji powinno zawierać wyjaśnienie podstawy prawnej decyzji z przytoczeniem przepisów prawa.

k.p.a. art. 189b

Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego

Określa elementy decyzji administracyjnej pociągającej do odpowiedzialności administracyjnej karnej.

p.p.s.a. art. 183 § § 1

Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi

Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania.

p.p.s.a. art. 204 § pkt 2

Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi

Podstawa do zasądzenia zwrotu kosztów postępowania kasacyjnego.

p.p.s.a. art. 205 § § 2

Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi

Określa zasady zwrotu kosztów postępowania.

u.o.d.o. art. 7 § ust. 1

Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych

Przepisy k.p.a. znajdują bezpośrednie zastosowanie do postępowań administracyjnych przed Prezesem Urzędu Ochrony Danych Osobowych.

RODO art. 24 § ust. 1

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

Administrator jest odpowiedzialny za przestrzeganie przepisów RODO i wykazanie tej zgodności.

RODO art. 83 § ust. 4 lit. a

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

Określa podstawę do nałożenia administracyjnej kary pieniężnej za naruszenie art. 32 RODO.

RODO art. 4 § pkt 8

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

Definicja podmiotu przetwarzającego.

rozporządzenie 611/2013 art. 2 § ust. 1

Rozporządzenie Komisji (UE) Nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej

Obowiązek powiadamiania Prezesa UODO o przypadkach naruszenia danych.

u.p.p. art. 41 § ust. 6

Ustawa z dnia 23 listopada 2012 r. Prawo pocztowe

Kwalifikacja operatorów pocztowych jako administratorów danych.

Argumenty

Skuteczne argumenty

Istotne braki w uzasadnieniu decyzji Prezesa UODO dotyczące kwalifikacji prawnej podmiotów i ich odpowiedzialności za naruszenie ochrony danych osobowych. • Naruszenie przez organ przepisów k.p.a. dotyczących obowiązku wyjaśnienia stanu faktycznego i prawnego sprawy.

Odrzucone argumenty

Zarzuty Prezesa UODO dotyczące naruszenia przez WSA przepisów postępowania, w tym art. 145 § 1 pkt 1 lit. c) p.p.s.a. i przepisów k.p.a. • Zarzut naruszenia art. 133 p.p.s.a. przez WSA (wydanie wyroku bez oparcia się o akta sprawy).

Godne uwagi sformułowania

Decyzja administracyjna pociągająca do odpowiedzialności administracyjnej karnej powinna zawierać następujące elementy: 1) podstawę prawną pociągnięcia do odpowiedzialności administracyjnej karnej (przepis prawa określający delikt); 2) wskazanie formalnej treści oraz oceny wagi naruszonego zakazu lub nakazu administracyjnego; 3) wskazanie czynu naruszającego zakaz lub nakaz (sposobu i natężenia naruszenia powinności administracyjnej); 4) wskazanie podmiotu naruszającego daną powinność administracyjną, wraz ze wskazaniem podstawy prawnej czyniącej go podmiotem obowiązanym do dochowania danego zakazu lub nakazu oraz wskazaniem treści i oceny jego indywidualnego udziału w delikcie administracyjnym; 5) wskazanie ściśle określonej kary administracyjnej dla każdego odpowiedzialnego podmiotu (uzasadnionej odpowiednimi dyrektywami karania). • Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. • W uzasadnieniu decyzji organ powinien m.in. wskazać dowody, na których się oparł oraz przyczyny, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej (art. 107 § 3 k.p.a.). • Firma kurierska nie miała bowiem w przedmiotowym postępowaniu interesu prawnego, co uzasadniałoby koniczność wezwania 'celem weryfikacji jej praw i obowiązków'.

Skład orzekający

Zbigniew Ślusarczyk

przewodniczący sprawozdawca

Artur Kuś

sędzia

Maciej Kobak

sędzia

Informacje dodatkowe

Wartość precedensowa

Siła: Wysoka

Powoływalne dla: "Naruszenia przepisów postępowania przez organy administracji, w szczególności wymogi dotyczące uzasadnienia decyzji nakładających kary pieniężne oraz prawidłowe określenie stron postępowania."

Ograniczenia: Dotyczy specyficznej sytuacji naruszenia przepisów RODO i procedury administracyjnej, ale ogólne zasady dotyczące uzasadnienia decyzji i kręgu stron mają szersze zastosowanie.

Wartość merytoryczna

Ocena: 7/10

Sprawa dotyczy wysokiej kary finansowej za naruszenie ochrony danych osobowych i podkreśla kluczowe znaczenie prawidłowego uzasadnienia decyzji administracyjnych, co jest istotne dla wielu przedsiębiorców i prawników.

Milionowa kara za RODO uchylona przez NSA. Kluczowe znaczenie ma uzasadnienie decyzji organu.

Asystent AI dla prawników

Twój asystent do analizy prawnej.

Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka 1,4 mln orzeczeń i aktualne akty prawne.

  • Analiza orzecznictwa i przepisów
  • Drafting pism i dokumentów
  • Odpowiedzi na pytania prawne
  • Pogłębiona analiza z doktryny
Wypróbuj Asystenta AI za darmo
Powiązane przepisy
Powiązane tematy

Pełny tekst orzeczenia

Oryginalna treść postanowienia (niezmieniona). Otwiera się jako osobna strona.

Przeczytaj pełny tekst