III OSK 1394/22
Podsumowanie
Przejdź do pełnego tekstuNaczelny Sąd Administracyjny oddalił skargę kasacyjną Krajowej Szkoły Sądownictwa i Prokuratury (KSSiP) od wyroku WSA w Warszawie, który utrzymał w mocy decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO) o nałożeniu na KSSiP kary pieniężnej w wysokości 100 000 zł. Kara została nałożona za naruszenie przepisów RODO, w tym art. 32 ust. 1 i 2, w związku z migracją danych między platformami szkoleniowymi. KSSiP nie podjęła wystarczających działań weryfikujących bezpieczeństwo środowiska przetwarzania przed i po migracji, co doprowadziło do wycieku danych 50 283 osób, w tym sędziów, prokuratorów i urzędników. Sąd uznał, że KSSiP jako administrator danych ponosi obiektywną odpowiedzialność za zapewnienie bezpieczeństwa, nawet jeśli do naruszenia doszło z winy pracownika podmiotu przetwarzającego. Podkreślono, że korzystanie z usług zewnętrznych nie zwalnia administratora z jego obowiązków, a weryfikacja bezpieczeństwa danych jest kluczowa. NSA odrzucił zarzuty kasacyjne dotyczące naruszenia przepisów postępowania i prawa materialnego, potwierdzając prawidłowość ustaleń WSA i Prezesa UODO.
Przeanalizuj tę sprawę w pełnym kontekście orzecznictwa.
Analiza orzecznictwa · odpowiedzi na pytania · badanie przepisów · drafting pism.
Wartość praktyczna
Siła precedensu: WysokaUstalenie zakresu odpowiedzialności administratora danych osobowych w kontekście RODO, zwłaszcza przy korzystaniu z usług podmiotów przetwarzających oraz ocena zasadności nałożenia kary pieniężnej.
Orzeczenie dotyczy specyficznej sytuacji naruszenia ochrony danych podczas migracji, ale jego zasady dotyczące odpowiedzialności administratora są uniwersalne.
Zagadnienia prawne (3)
Czy administrator danych osobowych ponosi odpowiedzialność za naruszenie ochrony danych, jeśli do wycieku doszło w wyniku błędu pracownika podmiotu przetwarzającego, któremu powierzono przetwarzanie danych?Ratio decidendi
Odpowiedź sądu
Tak, administrator ponosi odpowiedzialność obiektywną za zapewnienie bezpieczeństwa danych, nawet jeśli naruszenie nastąpiło z winy podmiotu przetwarzającego. Administrator ma obowiązek weryfikacji bezpieczeństwa i nie może przenieść całej odpowiedzialności na podmiot zewnętrzny.
Uzasadnienie
Administrator jest inicjatorem działań i decyduje o celach i sposobach przetwarzania. Jego obowiązkiem jest wdrożenie odpowiednich środków technicznych i organizacyjnych oraz weryfikacja ich skuteczności, a także zapewnienie bezpieczeństwa danych przetwarzanych przez podmiot zewnętrzny. Brak takiej weryfikacji stanowi naruszenie przepisów RODO.
Czy umowa powierzenia przetwarzania danych osobowych musi zawierać konkretne postanowienia dotyczące przetwarzania danych wyłącznie na udokumentowane polecenie administratora, aby spełniać wymogi art. 28 ust. 3 RODO?Ratio decidendi
Odpowiedź sądu
Tak, brak takiego zapisu w umowie stanowi naruszenie art. 28 ust. 3 lit. a) RODO.
Uzasadnienie
Przepis art. 28 ust. 3 RODO wymaga, aby umowa powierzenia zawierała m.in. zobowiązanie podmiotu przetwarzającego do przetwarzania danych wyłącznie na udokumentowane polecenie administratora. Brak takiego postanowienia w umowie między KSSiP a podmiotem przetwarzającym był niewystarczający.
Czy kara pieniężna nałożona na administratora danych za naruszenie RODO, wymierzona w maksymalnej dopuszczalnej wysokości, może być uznana za proporcjonalną, jeśli organ uwzględnił okoliczności łagodzące, ale uznał je za skonsumowane przez ustawowe ograniczenie kary?Ratio decidendi
Odpowiedź sądu
Tak, kara w maksymalnej wysokości może być uzasadniona, jeśli waga naruszenia (duża liczba poszkodowanych, wrażliwość danych) przeważa nad okolicznościami łagodzącymi, a ustawowe ograniczenie kary jest korzystniejsze dla administratora niż kara wymierzona bez tego ograniczenia.
Uzasadnienie
Waga naruszenia, liczba poszkodowanych (w tym osób zajmujących wysokie stanowiska) oraz rodzaj przetwarzanych danych (w tym PESEL) uzasadniają nałożenie kary w maksymalnej wysokości. Organ prawidłowo ocenił, że okoliczności łagodzące nie skutkowałyby obniżeniem kary poniżej ustawowego limitu, a sama kara w tej wysokości jest adekwatna do skali naruszenia.
Przepisy (26)
Główne
RODO art. 5 § ust. 1 lit. f)
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Zasada poufności danych osobowych – przetwarzanie powinno zapewniać odpowiednie bezpieczeństwo.
RODO art. 5 § ust. 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Obowiązek administratora wykazania przestrzegania przepisów RODO (zasada rozliczalności).
RODO art. 24 § ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Obowiązek administratora wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania.
RODO art. 25 § ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Zasada ochrony danych w fazie projektowania i domyślna ochrona danych.
RODO art. 28 § ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Obowiązek administratora korzystania z usług podmiotów przetwarzających zapewniających wystarczające gwarancje bezpieczeństwa.
RODO art. 28 § ust. 3
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Szczegółowe wymogi dotyczące umów powierzenia przetwarzania danych, w tym zobowiązanie do przetwarzania na polecenie administratora i określenie kategorii danych.
RODO art. 32 § ust. 1 i 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych poprzez odpowiednie środki techniczne i organizacyjne, uwzględniając ryzyko naruszenia.
Pomocnicze
u.o.d.o. art. 102 § ust. 1 i 3
Ustawa o ochronie danych osobowych
Przepis określający podstawę i warunki nakładania administracyjnych kar pieniężnych przez Prezesa Urzędu.
RODO art. 83 § ust. 2 lit. c, e, f i h
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Okoliczności uwzględniane przy wymiarze administracyjnej kary pieniężnej.
p.p.s.a. art. 133 § § 1
Ustawa - Prawo o postępowaniu przed sądami administracyjnymi
Obowiązek sądu orzekania na podstawie akt sprawy.
p.p.s.a. art. 134 § § 1
Ustawa - Prawo o postępowaniu przed sądami administracyjnymi
Zakres kontroli sądu administracyjnego – niezwiązanie zarzutami i wnioskami skargi.
p.p.s.a. art. 141 § § 4
Ustawa - Prawo o postępowaniu przed sądami administracyjnymi
Wymogi dotyczące uzasadnienia wyroku sądu administracyjnego.
p.p.s.a. art. 145 § § 1 pkt 1 lit. c
Ustawa - Prawo o postępowaniu przed sądami administracyjnymi
Podstawa uwzględnienia skargi w przypadku naruszenia przepisów postępowania przez organ.
p.p.s.a. art. 183 § § 1
Ustawa - Prawo o postępowaniu przed sądami administracyjnymi
Granice rozpoznania sprawy przez NSA – związanie granicami skargi kasacyjnej.
p.p.s.a. art. 184
Ustawa - Prawo o postępowaniu przed sądami administracyjnymi
Podstawa oddalenia skargi kasacyjnej.
p.p.s.a. art. 204 § pkt 1
Ustawa - Prawo o postępowaniu przed sądami administracyjnymi
Podstawa orzeczenia o kosztach postępowania kasacyjnego.
p.p.s.a. art. 205 § § 2
Ustawa - Prawo o postępowaniu przed sądami administracyjnymi
Zasady zwrotu kosztów postępowania kasacyjnego.
k.c. art. 56
Kodeks cywilny
Wykładnia umów – uwzględnienie zgodnego zamiaru stron.
k.c. art. 65 § § 2
Kodeks cywilny
Wykładnia umów – uwzględnienie zgodnego zamiaru stron.
k.p.a. art. 7
Kodeks postępowania administracyjnego
Obowiązek organu działania na podstawie przepisów prawa i prawdy obiektywnej.
k.p.a. art. 77 § § 1
Kodeks postępowania administracyjnego
Obowiązek wyczerpującego zebrania i rozpatrzenia materiału dowodowego.
k.p.a. art. 80
Kodeks postępowania administracyjnego
Obowiązek oceny materiału dowodowego przez organ.
k.p.a. art. 84 § § 1
Kodeks postępowania administracyjnego
Obowiązek organu dopuszczenia dowodu z opinii biegłego.
k.p.a. art. 97 § § 1 pkt 4
Kodeks postępowania administracyjnego
Przesłanki umorzenia postępowania.
k.p.a. art. 105 § § 1
Kodeks postępowania administracyjnego
Przesłanki umorzenia postępowania.
k.p.a. art. 107 § § 3
Kodeks postępowania administracyjnego
Wymogi dotyczące uzasadnienia decyzji administracyjnej.
Argumenty
Skuteczne argumenty
Administrator ponosi obiektywną odpowiedzialność za bezpieczeństwo danych, nawet przy udziale podmiotu przetwarzającego. • Brak weryfikacji bezpieczeństwa środowiska przetwarzania przed i po migracji stanowi naruszenie RODO. • Niewystarczające postanowienia umowy powierzenia przetwarzania danych osobowych naruszają art. 28 ust. 3 RODO. • Kara pieniężna w maksymalnej wysokości jest uzasadniona wagą naruszenia i liczbą poszkodowanych.
Odrzucone argumenty
KSSiP twierdziła, że nie mogła zapobiec naruszeniu z uwagi na charakter błędu pracownika podmiotu przetwarzającego. • KSSiP argumentowała, że wdrożyła środki techniczne adekwatne do stanu wiedzy technicznej. • KSSiP kwestionowała zasadność umorzenia postępowania wobec podmiotu przetwarzającego. • KSSiP zarzucała błędną wykładnię przepisów RODO i ustawy o ochronie danych osobowych.
Godne uwagi sformułowania
administrator ponosi odpowiedzialność także za działanie osób i podmiotów od siebie zależnych • kara pieniężna z tytułu naruszenia art. 32 RODO nie ma charakteru automatycznego, tj. sankcji za nieuprawniony dostęp do danych osobowych na skutek czynu zabronionego popełnionego przez osobę trzecią • kara w maksymalnej wysokości, nałożona w niniejszej sprawie, jest i tak niewspółmiernie niska do skali i wagi naruszenia z perspektywy przepisów RODO
Skład orzekający
Zbigniew Ślusarczyk
przewodniczący sprawozdawca
Olga Żurawska-Matusiak
sędzia
Hanna Knysiak-Sudyka
sędzia del. WSA
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Ustalenie zakresu odpowiedzialności administratora danych osobowych w kontekście RODO, zwłaszcza przy korzystaniu z usług podmiotów przetwarzających oraz ocena zasadności nałożenia kary pieniężnej."
Ograniczenia: Orzeczenie dotyczy specyficznej sytuacji naruszenia ochrony danych podczas migracji, ale jego zasady dotyczące odpowiedzialności administratora są uniwersalne.
Wartość merytoryczna
Ocena: 7/10
Sprawa dotyczy wycieku danych osobowych na dużą skalę, co jest tematem budzącym powszechne zainteresowanie. Pokazuje praktyczne konsekwencje naruszenia RODO dla instytucji publicznych i podkreśla znaczenie bezpieczeństwa danych.
“Wyciek danych 50 tys. osób: KSSiP zapłaci 100 tys. zł kary. Kto odpowiada za błędy w RODO?”
Twój asystent do analizy prawnej.
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka 1,4 mln orzeczeń i aktualne akty prawne.
- Analiza orzecznictwa i przepisów
- Drafting pism i dokumentów
- Odpowiedzi na pytania prawne
- Pogłębiona analiza z doktryny
Pełny tekst orzeczenia
Oryginalna treść postanowienia (niezmieniona). Otwiera się jako osobna strona.