III OSK 1312/24

III OSK 1312/24 - Wyrok NSA
Data orzeczenia
2025-06-26
orzeczenie prawomocne
Data wpływu
2024-04-17
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Maciej Kobak /sprawozdawca/
Sławomir Wojciechowski /przewodniczący/
Zbigniew Ślusarczyk
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Sygn. powiązane
II SA/Wa 552/23 - Wyrok WSA w Warszawie z 2023-11-15
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę kasacyjną
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodnicząca: Sędzia NSA Sławomir Wojciechowski Sędziowie Sędzia NSA Zbigniew Ślusarczyk Sędzia del. WSA Maciej Kobak (spr.) po rozpoznaniu w dniu 26 czerwca 2025 r. na posiedzeniu niejawnym w Izbie Ogólnoadministracyjnej skargi kasacyjnej Sądu Rejonowego (...) od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 15 listopada 2023 r. sygn. akt II SA/Wa 552/23 w sprawie ze skargi Sądu Rejonowego (...) na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 19 stycznia 2023 r., nr DKN.5131.12.2020 w przedmiocie przetwarzania danych osobowych oddala skargę kasacyjną.
Uzasadnienie
Wyrokiem z dnia 15 listopada 2023 r. sygn. akt II SA/Wa 552/23 Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Sądu Rejonowego (...) (dalej: "skarżący") na decyzję Prezesa Urzędu Ochrony Danych Osobowych (dalej: "organ") z dnia 19 stycznia 2023 r. nr DKN.5131.12.2020 w przedmiocie przetwarzania danych osobowych.
Powyższy wyrok został wydany w następujących okolicznościach faktycznych i prawnych sprawy.
W dniu 7 września 2020 r. do Urzędu Ochrony Danych Osobowych skarżący złożył zgłoszenie naruszenia ochrony danych osobowych, polegające na zagubieniu przez sędziego trzech nośników danych typu pendrive (jednego służbowego - szyfrowanego oraz dwóch nieszyfrowanych - prywatnych), zawierających dane osobowe nieustalonej liczby osób. W dniu 21 września 2020 r. wpłynęło zgłoszenie uzupełniające.
W piśmie z 8 października 2020 r., 12 stycznia 2021 r., 5 maja 2021 r. oraz 4 października 2022 r. skarżący udzielił dalszych wyjaśnień w sprawie.
Organ decyzją z 19 stycznia 2023 r. stwierdzając naruszenie przez skarżącego przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 i 2 oraz art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35, dalej: "RODO"), polegające na niewdrożeniu przez skarżącego odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych pamięci, które to środki zapobiegłyby utrwaleniu przez Sędziego Sądu Rejonowego danych osobowych na dwóch prywatnych i niezabezpieczonych nośnikach danych i w konsekwencji pozwoliłyby uniknąć naruszenia ochrony danych osobowych, stanowiącego naruszenie poufności w wyniku zagubienia tych nośników, nałożył na skarżącego, za naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1 i 2 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, administracyjną karę pieniężną w kwocie 30.000 złotych, w pozostałym zakresie umorzył postępowanie.
Skarżący wywiódł na powyższą decyzję skargę do sądu administracyjnego.
W odpowiedzi organ wniósł o jej oddalenie, podtrzymując swoje stanowisko.
Opisanym na wstępie wyrokiem WSA w Warszawie oddalił skargę. W ocenie Sądu pierwszej instancji zastosowana przez organ administracyjna kara pieniężna w ustalonych okolicznościach niniejszej sprawy spełnia funkcje, o których mowa
w art. 83 ust. 1 RODO, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.
Skład orzekający stanął na stanowisku, iż organ uzasadnił nałożenie administracyjnej kary finansowej, wskazując przesłanki, na jakich się oparł, biorąc pod uwagę charakter, wagę i czas trwania naruszenia i okoliczności zarówno obciążające, jak i łagodzące wymiar tej kary.
Odnosząc się do stanowiska skarżącego, że organ nadzorczy powinien poprzestać na upomnieniu oraz nakazaniu administratorowi dostosowania operacji przetwarzania do przepisów RODO, Sąd wskazał, że organ nie ma obowiązku uzasadnienia dlaczego nie zastosował innego środka naprawczego. Ma natomiast obowiązek uzasadnienia nałożenia administracyjnej kary finansowej, co w zaskarżonej decyzji uczynił. W uzasadnieniu zaskarżonej decyzji organ wskazał, na podstawie art. 83 ust. 2 lit. a – k RODO, jakie okoliczności uznał za te, które wpływają na zaostrzenie kary i te, które przemawiają za złagodzeniem wymiaru kary oraz wypowiedział się co do nieumyślności kary (pkt 2). Nie można więc organowi orzekającemu w sprawie skutecznie postawić zarzutu dowolności podjętego rozstrzygnięcia.
Uzasadniając wymierzenie kary pieniężnej organ podniósł, że w analizowanej sprawie doszło do naruszenia więcej niż jednego przepisu RODO, co wpłynęło na wysokość wymierzonej kary finansowej, stosownie do art. 83 ust. 3 RODO, przy czym za najpoważniejsze uznał naruszenie przez skarżącego zasady poufności określonej w art. 5 ust 1 lit. f) , a w konsekwencji zasady rozliczalności określonej art. 5 ust. 2 RODO. Przemawia za tym poważny charakter naruszenia, zakres danych osobowych podlegających naruszeniu oraz krąg osób nim dotkniętych (nieustalona liczba osób, wobec których sporządzane były projekty orzeczeń, uzasadnień i zarządzeń od grudnia 2004 r. do sierpnia 2020 r., danych których administratorem jest skarżący). Co istotne, jak podał organ, w stosunku do tych osób w dalszym ciągu istnieje wysokie ryzyko niezgodnego z prawem posłużenia się ich danymi osobowymi, albowiem nieznany jest cel, dla którego osoba bądź osoby nieuprawnione mogą podjąć działania zmierzające do wykorzystania tych danych.
Powyższy wyrok w całości zakwestionował skarżący zarzucając naruszenie prawa materialnego, poprzez nienależyte zastosowanie art. 83 ust. 1 i art. 83 ust. 2 RODO, a także art. 102 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781, dalej: "u.o.d.o.") oraz niezastosowanie art. 58 ust. 2 lit b RODO, co doprowadziło do nałożenia na skarżącego nieproporcjonalnej kary w stosunku do charakteru i stwierdzonych okoliczności naruszenia przepisów o ochronie danych osobowych, podczas gdy zaistniały przesłanki, co najwyżej do zastosowania 58 ust. 2 lit b rozporządzenia 2016/679 i poprzestaniu na udzieleniu upomnienia skarżącemu w przypadku stwierdzenia naruszenia przepisów rozporządzenia 2016/679.
Na podstawie powyższego zarzutu wniesiono o uchylenie zaskarżonego wyroku Wojewódzkiego Sądu Administracyjnego w Szczecinie i przekazanie sprawy do ponownego rozpoznania temu sądowi, zasądzenie na rzecz skarżącego kosztów postępowania, w procesowego, według norm przepisanych. Skarżący oświadczył o zrzeczeniu się rozprawy.
W odpowiedzi na skargę kasacyjną wniesiono o jej oddalenie.
Naczelny Sąd Administracyjny zważył, co następuje:
Stosownie do art. 183 § 1 p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna
z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183 § 2 p.p.s.a. i nie zachodzi żadna z przesłanek, o których mowa w art. 189 p.p.s.a., które Naczelny Sąd Administracyjny rozważa z urzędu dokonując kontroli zaskarżonego skargą kasacyjną wyroku. W tych okolicznościach w sprawie badaniu podlegały wyłącznie zarzuty podniesione w skardze kasacyjnej na uzasadnienie przytoczonych podstaw kasacyjnych.
Skarga kasacyjna jest niezasadna i jako taka podlega oddaleniu. Wstępnie należy odnotować, że w ramach wyznaczonych zarzutami granic skargi kasacyjnej, nie zakwestionowano podstawy faktycznej wyroku WSA. Tym samym okoliczności faktyczne kształtujące odpowiedzialność skarżącego kasacyjnie organu za naruszenie przepisów RODO pozostają wiążące. Skarżący kasacyjnie nie kwestionuje również aprobatywnej oceny WSA, co do przyjętej przez organ kwalifikacji prawnej naruszenia RODO, polegającego na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych pamięci, które to środki zapobiegłyby utrwaleniu przez Sędziego Sądu Rejonowego danych osobowych na dwóch prywatnych i niezabezpieczonych nośnikach danych i w konsekwencji pozwoliłyby uniknąć naruszenia ochrony danych osobowych, stanowiącego naruszenie poufności w wyniku zagubienia tych nośników.
W ramach podniesionego w skardze kasacyjnej zarzutu podważa się samą zasadność skorzystania przez organ z kompetencji do wymierzenia administracyjnej kary pieniężnej (art. 58 ust. 2 lit. i RODO) argumentując, iż w realiach sprawy wystarczające byłoby udzielenie upomnienia w trybie art. 58 ust. 2 lit. b RODO.
Odnosząc się do prezentowanego w skardze kasacyjnej stanowiska trzeba podać, że stosownie do treści art. 58 ust. 2 lit i RODO organ nadzorczy, oprócz lub obok środków naprawczych przewidzianych w art. 58 ust. 2 RODO, może nałożyć karę pieniężną, o której mowa w art. 83, zależnie od okoliczności konkretnej sprawy. Decyzja o skorzystaniu przez organ nadzorczy z kompetencji do nałożenia kary pieniężnej pozostaje więc wyłącznie w jego gestii. Jeżeli organ nadzorczy oceni, że
w konkretnej sprawie zachodzą podstawy do nałożenia kary pieniężnej, ma obowiązek wykazać okoliczności, które takie rozstrzygnięcie uzasadniają. Jak wynika wprost z motywu 148 RODO, nałożenie administracyjnej kary pieniężnej ma na celu podniesienie skuteczności egzekwowania przepisów RODO. Odstąpienie od jej nałożenia i poprzestanie na upomnieniu, zdaniem prawodawcy unijnego, powinno się ograniczać wyłącznie do takich układów, w których naruszenie jest niewielkie, lub grożąca osobie fizycznej kara pieniężna stanowiłaby dla niej nieproporcjonalne obciążenie. Skarżący kasacyjnie organ nie jest osobą fizyczną, a zatem z założenia poprzestanie na upomnieniu z uwagi na dotkliwość finansową spowodowaną nałożoną karą jest wyłączone. Nie można również przyjąć, że naruszenie przepisów RODO uzasadniające nałożenie kary pieniężnej było "niewielkie" w rozumieniu motywu 148.
Formułując zarzut naruszenia art. 83 ust. 1 i ust. 2 RODO skarżący kasacyjnie zarzuca, że nałożona na niego kara w wysokości 30000 zł jest nieproporcjonalna, albowiem nie uwzględnia wszystkich okoliczności sprawy. W petitum skargi kasacyjnej nie podano jednak konkretnie, których dyrektyw wymienionych w art. 83 ust. 2 lit. a-k RODO nie uwzględniono. Należy wskazać, że tak WSA, jak i organ w swojej decyzji szeroko odniósł się do okoliczności uzasadniających samo nałożenie kary pieniężnej, jak i jej wysokość:
- art. 83 ust. 2 lit a RODO - charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody. Organ zwrócił uwagę, że następstwem naruszenia podstawowych zasad przetwarzania danych osobowych, jakich dopuścił się skarżący kasacyjnie była możliwość uzyskania nieuprawnionego dostępu do przetwarzanych danych przez osobę bądź osoby nieuprawnione, a w konsekwencji możliwość pozyskania danych osobowych osób, wobec których były przygotowywane projekty orzeczeń i wyroków. Naruszenie to ma znaczną wagę i poważny charakter, stwarza bowiem wysokie ryzyko negatywnych skutków prawnych dla nieustalonej, potencjalnie (biorąc pod uwagę, że dokumenty znajdujące się na zagubionych prywatnych nośnikach danych pochodziły z lat 2004 - 2020) dużej liczby osób, do których danych dostęp mogła mieć osoba bądź osoby nieuprawnione. Organ zwrócił uwagę, że szkoda związana z naruszeniem przez administratora przepisów RODO ma charakter potencjalny. Trzeba jednak zwrócić uwagę, że niebezpieczeństwo ujawnienia danych osobowych nie ustało, albowiem dwa niezabezpieczone nośniki, na których się one znajdują nie zostały odnalezione. Organ zwrócił również uwagę na długi czasookres naruszenia zasad przetwarzania danych osobowych, który trwał od 25 maja 2018 r., tj. od rozpoczęcia obowiązywania przepisów RODO do października 2020 r.; do zagubienia nośników doszło najprawdopodobniej w sierpniu 2020 r., niemniej wdrożenie wymaganych przepisami RODO zabezpieczeń powinno mieć moc od 25 maja 2018 r.
- art. 83 ust. 2 lit. b RODO - umyślny lub nieumyślny charakter naruszenia. Organ zasadnie podał, że nieuprawniony dostęp do danych osobowych osób, wobec których były podejmowane działania przez Sąd, stał się możliwy na skutek niedochowania należytej staranności przez Administratora. W ocenie organu stanowi to o nieumyślnym charakterze naruszenia, wynikającym z niedbalstwa. Administrator posiadał wiedzę na temat zagrożeń związanych z użytkowaniem prywatnych nośników pamięci i brakiem zablokowania portów USB, o czym jednoznacznie świadczą zalecenia powstałe po przeprowadzeniu audytów (pierwszy - 25 września 2018 r., drugi - 7 i 31 lipca 2020 r. oraz trzeci - 15 czerwca - 15 września 2020 r.), oraz po przeprowadzonej analizie ryzyka z 20 grudnia 2019 roku. Pomimo tej wiedzy Administrator nie podjął działań mających na celu zapewnienie bezpieczeństwa danych;
- art. 83 ust. 2 lit. g RODO - kategoria danych osobowych, których dotyczyło naruszenie. Nie ma sporu co do tego, że na zagubionych nośnikach znajdowały się projekty orzeczeń, uzasadnień i zarządzeń sporządzone przez Sędziego w okresie od grudnia 2004 r. do sierpnia 2020 r. w związku z prowadzonymi przez niego sprawami z zakresu ubezpieczeń społecznych. Niewątpliwie na nośnikach mogły więc znajdować się dane identyfikujące, jak imię i nazwisko, a także informacje o stanie zdrowia, przebiegu zatrudnienia, o wynagrodzeniach. Administrator nie wykazał dokładnego zakresu zaginionych danych. Jeżeli na nośnikach znajdowały się informacje o stanie zdrowia, to oznacza, że były tam szczególne kategorie danych (art. 9 RODO), które wiążą się z wysokim ryzykiem naruszenia praw lub wolności osób objętych naruszeniem;
- jako okoliczność łagodzącą uznano dobrą współpracę Sądu Rejonowego z organem nadzorczym podjętą i prowadzoną w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) RODO);
- bez wpływu na zastosowanie i wysokość administracyjnej kary pieniężnej pozostawały okoliczności dotyczące działań podjętych przez Sąd Rejonowy w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c) RODO) oraz sposobu w jaki organ nadzorczy dowiedział się o naruszeniu
(art. 83 ust. 2 lit. h) RODO).
Organ podał, że wpływ na wysokość nałożonej kary pieniężnej miał fakt, że wadliwość działania Sądu Rejonowego została zakwalifikowana, jako naruszenie kilku przepisów RODO - zasady poufności danych, wyrażonej w art. 5 ust. 1 lit. f), a odzwierciedlonej w postaci obowiązków określonych w art. 25 ust. 1, art. 32 ust. 1 i RODO, co w konsekwencji oznacza naruszenie zasady rozliczalności, o której mowa w art. 5 ust. 2 RODO. Uwzględniono przy tym, że Sąd jest jednostką sektora finansów publicznych, a zatem stosownie do treści art. 102 ustawy o ochronie danych osobowych maksymalna wysokość nałożonej administracyjnej kary pieniężnej nie może przekraczać 100.000 złotych. Stosownie do art. 83 ust. 3 RODO, za najpoważniejsze naruszenie RODO uznano złamanie zasady poufności określonej w art. 5 ust. 1 lit. f) RODO, a w konsekwencji zasady rozliczalności określonej art. 5 ust. 2 tego rozporządzenia. Zwrócono uwagę, że w chwili wydania decyzji w dalszym ciągu istnieje wysokie ryzyko niezgodnego z prawem posłużenia się danymi osobowymi, albowiem nieznany jest cel, dla którego osoba bądź osoby nieuprawnione mogą podjąć działania zmierzające do wykorzystania tych danych.
Skuteczność nałożonej kary pieniężnej upatrywano w tym, iż od momentu zakończenia postępowania Sąd będzie podejmował działania adekwatne do ryzyk
i tym samym zapewni przetwarzanym danym osobowym ochronę adekwatną do rygorów przewidzianych w przepisach RODO.
Nie można zgodzić się ze skarżącym kasacyjnie, że organ, a za nim WSA, nie uwzględnił, że w następstwie naruszenia RODO nie doszło do powstania szkody. Organ jednoznacznie stwierdza, iż nie ma podstaw do ustalenia, że ktokolwiek poniósł szkodę w następstwie ujawnienia danych osobowych znajdujących się na zagubionych nośnikach. Podkreśla jednak równocześnie, iż ryzyko ujawnienia tych danych nadal występuje, albowiem nośniki nie zostały odnalezione.
Jak wyżej podano, przeanalizowano również fakt, że do naruszenia RODO doszło nieumyślnie, a więc w następstwie niezachowania zasad ostrożności. Administrator danych miał świadomość niebezpieczeństwa naruszenia zasad przetwarzania danych osobowych, albowiem informacje w tym przedmiocie pochodziły z przeprowadzonej analizy ryzyka, oraz trzykrotnych audytów. Środki wprowadzone w reakcji na te informacje były niewystarczające, albowiem ograniczały się do działań normatywnych, polegających na wprowadzeniu regulacji wewnętrznych, bez realnych (technicznych) narzędzi weryfikacji ich przestrzegania. O tym, że działania zabezpieczające przetwarzane w Sądzie Rejonowym dane osobowe mogły mieć szerszy charakter świadczy fakt, iż zostały one podjęte niezwłocznie po wykryciu naruszenia, którego dotyczy niniejsze postępowanie. Jak wynika z akt sprawy, Administrator na długo przed naruszeniem dysponował oprogramowaniem, które pozwalało na wyłączenie możliwości korzystania z nieautoryzowanych, prywatnych nośników na komputerach służbowych.
Wbrew twierdzeniom skargi kasacyjnej w sprawie rozważono fakt szybkiej
i sprawnej współpracy Administratora danych z organem, traktując go jako okoliczność łagodzącą. Wzięto również pod uwagę, że po naruszeniu Administrator danych wdrożył procedury i podjął działania, które w przyszłości zapobiegną podobnym naruszeniom.
Całość naprowadzonych okoliczności nie pozwala zweryfikować administracyjnej kary pieniężnej nałożonej na skarżący kasacyjnie Sąd jako dowolnej. Tak samo nałożenie tej kary, jak i jej wysokość zostały należycie uzasadnione.
Trzeba zwrócić uwagę, że sąd administracyjny jest uprawniony do negatywnej weryfikacji decyzji administracyjnej PUODO nakładającej na podstawie art. 83 ust. 1 ust. 2 RODO administracyjną karę pieniężną jedynie wówczas, gdy jest ona dowolna. W niniejszej sprawie taka sytuacja nie zachodzi. Organ szeroko, przy uwzględnieniu okoliczności indywidualizujących weryfikowane naruszenie, rozważył tak przesłanki przemawiające za nałożeniem kary pieniężnej, jak i te, które kształtują jej wysokość.
Z wyłożonych względów Naczelny Sąd Administracyjny działając na podstawie art. 184 p.p.s.a. oddalił skargę kasacyjną.