III OSK 1394/22

III OSK 1394/22 - Wyrok NSA
Data orzeczenia
2025-06-12
orzeczenie prawomocne
Data wpływu
2022-06-06
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Hanna Knysiak - Sudyka
Olga Żurawska - Matusiak
Zbigniew Ślusarczyk /przewodniczący sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA/Wa 1384/21 - Wyrok WSA w Warszawie z 2022-01-26
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę kasacyjną
Powołane przepisy
Dz.U. 2019 poz 1781
art. 102 ust. 1 i 3
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (t. j.)
Dz.U.UE.L 2016 nr 119 poz 1 art. 28 ust.3, art.32 ust. 1 i 2 rozp. Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 216/679 z 27.04.2016r. w sprawie ochrony danych osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu  takich danych oraz u
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Zbigniew Ślusarczyk (spr.) Sędziowie: sędzia NSA Olga Żurawska-Matusiak sędzia del. WSA Hanna Knysiak-Sudyka Protokolant: asystent sędziego Przemysław Iżycki po rozpoznaniu w dniu 12 czerwca 2025 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Krajowej Szkoły Sądownictwa i Prokuratury od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 26 stycznia 2022 r. sygn. akt II SA/Wa 1384/21 w sprawie ze skargi Krajowej Szkoły Sądownictwa i Prokuratury na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 11 lutego 2021 r. nr DKN.5130.2024.2020 w przedmiocie nałożenia kary pieniężnej za naruszenie przepisów o ochronie danych osobowych 1. oddala skargę kasacyjną, 2. zasądza od Krajowej Szkoły Sądownictwa i Prokuratury na rzecz Prezesa Urzędu Ochrony Danych Osobowych kwotę 2.700 (słownie: dwa tysiące siedemset) zł tytułem zwrotu kosztów postępowania kasacyjnego.
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 26 stycznia 2022 r. sygn. II SA/Wa 1384/21, na podstawie art. 151 ustawy z 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r. poz. 2325 ze zm., dalej zwanej "p.p.s.a.") oddalił skargę Krajowej Szkoły Sądownictwa i Prokuratury na decyzję Prezesa Urzędu Ochrony Danych Osobowych z 11 lutego 2021 r. nr DKN.5130.2024.2020 w przedmiocie nałożenia kary pieniężnej za naruszenie przepisów o ochronie danych osobowych.
W uzasadnieniu wyroku Sąd I instancji wskazał, że zaskarżoną decyzją Prezes Urzędu Ochrony Danych Osobowych (dalej zwany "Prezesem UODO") stwierdził naruszenie przez Krajową Szkołę Sądownictwa i Prokuratury (dalej zwaną "KSSiP") przepisów art. 5 ust. 1 lit. f), art. 25 ust. 1, art. 28 ust. 3, art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 216/679 z 27 kwietnia 2016 r. w sprawie ochrony danych osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.119 z 4.05.2016, str. 1 ze zm. - dalej jako "RODO") oraz nałożył na KSSiP karę administracyjną w wysokości 100.000 zł (sto tysięcy złotych).
Decyzja ta została wydana w związku ze zgłoszonym 9 kwietnia 2020 r. przez KSSiP naruszeniem ochrony danych osobowych. Organ uznał, że do naruszenia doszło w związku z migracją danych pomiędzy dotychczasową Platformą Szkoleniową KSSiP (szkolenia.kssip.gov.pl) oraz docelową Platformą Szkoleniową e-KSSiP (ekssip.kssip.gov.pl) zlokalizowaną na zasobach informatycznych udostępnianych w ramach umowy hostingowej zawartej pomiędzy Krajową Szkołą Sądownictwa i Prokuratury oraz e. Sp. z o.o. z siedzibą w W. W związku z procedurą przyjętą w celu uruchomienia nowej platformy, jak wskazano w piśmie KSSiP z 27 kwietnia 2020 r., zaplanowano dwa etapy migracji: "testowy" i "produkcyjny". Migracja "testowa" odbyła się w dniach 21 - 23 lutego 2020 r., a "produkcyjna" - w dniach 28 lutego - 1 marca 2020 r.
Organ wskazał, że w dniach 19-21 luty 2020 r., pracownik działu informatycznego KSSiP, A. M. oraz Dyrektor Działu Informatycznego KSSiP, P. T., otrzymali wiadomości od wykonawcy nowej platformy, O. S.A., z harmonogramem jej wdrożenia i zakresem odpowiedzialności za poszczególne obszary (KSSiP/[...]). 21 lutego 2020 r. o godz. 13:15 A. M., skierował do e. wiadomość e-mail z prośbą o "(...) wykonanie kopii bazy danych [...]" oraz J...) spakowanie katalogu [...] z serwera [...]" i przeniesienie powyższych 2 kopii na nowy serwer [...] eKSSiPu". W odpowiedzi pracownik e., K. J., zwrócił się o doprecyzowanie ww. prośby m.in. przez wskazanie adresów IP serwerów oraz pełnych ścieżek do zasobów źródłowych i docelowych, wskazując na nieznajomość wewnętrznych oznaczeń usług i zasobów KSSiP. Po przekazaniu tych informacji przez A. M., tego samego dnia, K. J. w wiadomości e-mail o godz. 18:44 poinformował o zakończeniu "kopiowania". Powyższe wiadomości e-mail stanowią załączniki do pisma e. z 27 lipca 2020 r., które są tożsame z wyjaśnieniami złożonymi w pkt 3 pisma KSSiP z 27 kwietnia 2020 r. 28 lutego 2020 r. o godz. 14:12, z uwagi na wypełnione założenia migracji "testowej", A. M., "[w zw.] związku z przeprowadzaną migracją (...)" zwrócił się o wykonanie czynności analogicznych jak w przypadku czynności wykonanych 21 lutego 2020 r. wskazując od razu adresy IP oraz pełne ścieżki do zasobów źródłowych i docelowych. Powyższe, tego samego dnia, zostało zrealizowane i potwierdzone korespondencją K. J.. Następnie, 2 kwietnia 2020 r. w serwisie [...] nieznana osoba umieściła link do pliku hostowanego na platformie [...], stanowiącego kopię tabeli użytkowników z bazy danych Platformy Szkoleniowej KSSiP.
Prezes UODO wskazał, że liczba osób dotkniętych naruszeniem wynosi 50.283. Ponadto organ wziął pod uwagę, że naruszenie poufności danych dotyczy osób wykonujących zawody i piastujących stanowiska sędziów, asesorów sądowych, prokuratorów i asesorów prokuratury, referendarzy sądowych, asystentów sędziów, asystentów prokuratorów, kuratorów zawodowych oraz urzędników sądów i prokuratury, a także części wykładowców prowadzących szkolenia ustawiczne, nielicznych aplikantów KSSiP oraz osób, których konta aktywowano na podstawie indywidualnych decyzji, w tym pracowników Ministerstwa Sprawiedliwości.
Prezes UODO stwiedził, że zgodnie z brzmieniem art. 24 ust. 1 RODO uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Krajowa Szkoła Sądownictwa i Prokuratury z siedzibą w Krakowie nie podjęła wystarczających działań mających na celu zweryfikowanie bezpieczeństwa środowiska przetwarzania przed rozpoczęciem działań migracyjnych, jak i po ich zakończeniu, w szczególności nie zweryfikowała w okresie 21 luty 2020r. - 7 kwietnia 2020 r., czy we wskazanej przez KSSiP lokalizacji nadal znajduje się kopia bazy danych z 21 lutego 2020 r. Decydując się na nieangażowanie podmiotu przetwarzającego w proces migracji i nieudzielenie pełnych informacji o podejmowanych czynnościach i oczekiwanych rezultatach, administrator nie upewnił się, że przetwarzane dane osobowe są odpowiednio zabezpieczone. Weryfikacji tej administrator podjął się dopiero w dniu stwierdzenia naruszenia. Zdaniem organu stanowi to o rażącym zaniedbaniu obowiązków KSSiP i naruszeniu przepisów art. 32 ust. 1 i ust. 2 RODO.
Organ stwierdził także naruszenie przez KSSiP art. 28 ust. 3 pkt a) RODO, zgodnie z którym to przepisem umowa powierzenia przetwarzania danych stanowi m.in., że podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora. O ile w pewnym stopniu element ten można wyinterpretować z § 3 pkt 3 umowy głównej, zgodnie z którym "zgłoszenia usterek związanych z usługami hostingowymi, w tym ich niedostępność, dokonywane będą pisemnie, faksem lub pocztą elektroniczną" o tyle w ocenie Prezesa UODO wskazane postanowienie umowy jest niewystarczające. KSSiP powierzając przetwarzanie danych osobowych e., nie zawarła w umowie zobowiązania podmiotu przetwarzającego do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora, co stanowi naruszenie art. 28 ust. 3 lit. a) RODO.
Wymierzając administracyjną karę pieniężną organ wziął pod uwagę w szczególności kategorie danych osobowych, których dotyczyło naruszenie ochrony danych osobowych, charakter i wagę naruszenia przy uwzględnieniu liczby poszkodowanych osób, czas trwania naruszenia, nieumyślny charakter naruszenia oraz wysoki stopień odpowiedzialności administratora. Ustalając wysokość administracyjnej kary pieniężnej Prezes UODO uwzględnił również działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą, niemniej uznał, że nałożona w maksymalnej wysokości ustawowej kara pieniężna i tak jest niewspółmiernie niska do skali i wagi naruszenia z perspektywy przepisów RODO.
Oddalając skargę Sąd I instancji uznał, iż zaskarżona decyzja jest prawidłowa. Zdaniem Sądu bezspornie KSSiP, powierzając przetwarzanie danych osobowych e., nie zawarła w umowie powierzenia przetwarzania danych osobowych kategorii osób oraz nie doprecyzowała rodzaju danych osobowych przez wskazanie ich kategorii, co było wymagane na gruncie art. 28 ust. 3 RODO. Ponadto, KSSiP powierzając przetwarzanie danych osobowych e., nie zawarła w umowie zobowiązania podmiotu przetwarzającego do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora, co stanowi naruszenie art. 28 ust. 3 lit. a) RODO.
Przechodząc do oceny naruszenia art. 32 ust. 1 i 2 RODO Sąd I instancji zwrócił uwagę, że KSSiP, zgodnie z przyjętym przez siebie celem i sposobem przetwarzania, zdecydowała, że po zakończeniu procesu migracji żadna kopia bazy danych nie powinna pozostać. Jednakże zarówno przed, jak i po zleceniu czynności 21 lutego 2020 r. oraz 28 lutego 2020 r., administrator nie zweryfikował, czy wspomniana kopia nadal znajduje się na zasobach KSSiP. Sąd podzielił stanowisko organu, iż skoro administrator podjął decyzję, że wspomniana kopia bazy danych powinna zostać usunięta, to jego obowiązkiem była weryfikacja, czy czynność ta została wykonana. Nawet jeśli w wyniku błędu pracownik e. nie usunął wykonanej kopii, to na administratorze nadal ciążył obowiązek weryfikacji, czy wskazana lokalizacja zapewnia bezpieczeństwo przetwarzania. To administrator jest inicjatorem podejmowanych działań jako podmiot decydujący o celach i sposobach przetwarzania. Zgodnie z umową o świadczenie usług, to jemu zostało udostępnione środowisko, w którym tego przetwarzania dokonuje i to on w pierwszej kolejności odpowiada za jego bezpieczeństwo, a jak wynika z umowy o świadczenie usług, w razie konieczności korzysta z pomocy podmiotu przetwarzającego.
Wojewódzki Sąd Administracyjny w Warszawie podzielił także stwierdzenie organu, iż ustalenie, czy "wyciek" danych nastąpił w wyniku błędu pracownika e., czy też na skutek innych czynników, nie było przesądzające ani wymagane do wydania decyzji. Organ dokonał oceny działalności administratora przez pryzmat obowiązujących przepisów. Jakkolwiek ustalony w sprawie stan faktyczny nie daje odpowiedzi na jakim etapie doszło do nieprawidłowości skutkujących bezpośrednio "wyciekiem" danych, to wyraźnie ustalono, jakie procedury zostały złamane i jakie przepisy naruszono. Zdaniem Sądu słusznie organ przyjął, iż w powyższym zakresie odpowiedzialność spoczywa na administratorze danych a nie na podmiocie przetwarzającym. Rolą administratora było bowiem wdrożenie regulacji w takiej formie aby zapewnić bezpieczeństwo w procesie przetwarzania danych osobowych.
Mając powyższe na uwadze, w ocenie Sądu I instancji KSSIP jako administrator danych osobowych w sposób niewystarczający dokonywała oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania tych danych i w ten sposób naruszyła art. 5 ust. 1 lit. e, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 i 3, art. 32 ust. 1 i 2 RODO. Sąd uznał, iż Prezes UODO prawidłowo wymierzył KSSiP administracyjną karę pieniężną i umorzył postępowanie w sprawie naruszenia RODO przez e.
Skargę kasacyjną wniosła Krajowa Szkoła Sądownictwa i Prokuratury, zaskarżając powyższy wyrok w całości. Zarzuciła naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy (pkt I), tj.:
1. art. 134 § 1 w zw. z art. 133 § 1 i art. 141 § 4 p.p.s.a. mające wpływ na rozstrzygnięcie, przez niepełną i błędną analizę stanu faktycznego dokonaną przez Sąd I instancji, co spowodowało, iż przyjął on nieprawidłowo jako podstawę rozstrzygnięcia stan faktyczny ustalony przez Prezesa Urzędu Ochrony Danych Osobowych (zwanego dalej: "organem"), tj. uznał, iż skarżąca w sposób niewystarczający dokonywała oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych, bez uwzględnienia, iż jakakolwiek weryfikacja skarżącej w ww. zakresie - wobec charakteru błędu pracownika e. sp. z o.o. (zwanego dalej także: "podmiotem przetwarzającym") - nie była w stanie zapobiec naruszeniu i uzyskaniu dostępu do bazy danych przez osoby trzecie, bowiem błąd ten polegał na umieszczeniu w publicznej lokalizacji pliku z bazą danych, a następnie jego nieusunięciu, a w konsekwencji brak dokonania ustaleń faktycznych uwzględniających indywidualny charakter sprawy i poprzestanie wyłącznie na ocenie o charakterze abstrakcyjnym, iż skarżąca nie dokonała oceny ryzyka w zakresie możliwości naruszenia zasady poufności danych osobowych, tj. w oderwaniu od realiów niniejszej sprawy,
2. art. 145 § 1 pkt 1 lit. c p.p.s.a. w zw. z art. 7, art. 77 § 1, art. 80, art. 84 § 1, art. 97 § 1 pkt 4 i art. 107 § 3 k.p.a. przez oddalenie skargi, mimo, iż zaskarżona decyzja organu została wydana bez dokładnego wyjaśnienia stanu faktycznego sprawy oraz bez wyczerpującego zebrania i rozpatrzenia materiału dowodowego, w tym w zakresie ustalenia przyczyn wycieku danych osobowych, co skutkowało wadliwym uznaniem, iż skarżąca nie spełniła wymogów określonych w art. 32 ust. 1 i 2 RODO, podczas gdy wszechstronna analiza zgromadzonego materiału dowodowego powinna była doprowadzić Sąd I instancji do ustalenia, iż skarżąca wdrożyła środki techniczne służące ochronie przetwarzanych danych osobowych adekwatne do stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celu przetwarzania, znanych w dniu 21 lutego 2020 r.,
3. art. 145 § 1 pkt 1 lit. c p.p.s.a. w związku z art. 105 § 1 k.p.a. w zw. z art. 7 ust. 1 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) przez błędne przyjęcie, iż organ zasadnie umorzył postępowanie względem podmiotu przetwarzającego z uwagi na brak zaistnienia przesłanek pozwalających stwierdzić naruszenie przez e. obowiązków wynikających z art. 32 ust. 1 i 2 w zw. z art. 28 ust. 3 lit. f RODO w sytuacji, gdy pracownik podmiotu przetwarzającego posiadał informacje niezbędne do prawidłowego przetwarzania danych i winien był pomóc wywiązać się skarżącej z realizacji obowiązków wskazanych w art. 32-36 RODO, czego zaniechał.
Ponadto KSSiP zarzuciła naruszenie przepisów prawa materialnego (pkt II):
1. art. 32 ust. 1 i 2 w zw. z art. 5 ust. 1 lit. f, art. 24 ust. 1 i art. 25 ust. 1 RODO przez błędną wykładnię i przyjęcie, że skarżąca nie dokonała oceny ryzyka w zakresie możliwości naruszenia zasady poufności danych osobowych, wynikającego z zagrożenia jakim jest możliwość eksportowania z systemu danych osobowych na platformę internetową o charakterze ogólnodostępnym w sytuacji, gdy treść zlecenia nie obejmowała przeniesienia bazy danych z wykorzystaniem publicznej sieci internet, a świadczenie usług (w tym przeniesienie bazy danych) zleciła podmiotowi, który w zakresie swej działalności zawodowej trudni się wykonywaniem takich czynności i legitymuje posiadaniem dokumentów potwierdzających znajomość zasad i technik zabezpieczenia informacji w technikach informatycznych,
2. art. 28 ust. 1 RODO przez niewłaściwe zastosowanie i przyjęcie, że skarżąca dopuściła się naruszenia tego przepisu, który nakazuje administratorom danych osobowych korzystanie z usług podmiotów przetwarzających takich, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą, a zatem Sąd I instancji zakwestionował tym samym wybór przez skarżącą podmiotu przetwarzającego, w sytuacji jednoczesnego uznania, iż organ zasadnie umorzył postępowanie wszczęte także względem e. sp. z o.o. wobec braku stwierdzenia jakichkolwiek naruszeń przez ten podmiot przepisów RODO,
3. art. 102 ust. 3 ustawy o ochronie danych osobowych w zw. z art. 83 ust. 2 lit. c, e, f i h RODO przez błędną wykładnię i przyjęcie przez Sąd I instancji, iż organ uwzględnił przy wymiarze kary okoliczności łagodzące mające wpływ na wymiar kary w sytuacji jej wymierzenia w maksymalnej, dopuszczalnej przepisami prawa wysokości tj. 100.000 zł,
4. art. 28 ust. 3 RODO przez jego błędną wykładnię (w ślad za wadliwą oceną dokonaną przez organ) i przyjęcie, wobec braku zawarcia w umowie łączącej skarżącą i podmiot przetwarzający zapisu o zobowiązaniu podmiotu przetwarzającego do przetwarzania danych wyłącznie na udokumentowane polecenie administratora, iż umowa ta narusza powyższy przepis prawa, bez uwzględnienia, iż powierzenie przetwarzania nastąpiło na podstawie umowy podlegającej prawu krajowemu, a zatem zastosowanie znajdują krajowe przepisy dotyczące wykładni i skutków takich umów, a prawidłowe ustalenie skutków prawnych umowy powierzenia przetwarzania danych, stanowiącej załącznik nr 5 do umowy z 16 grudnia 2019 r. nr 2688/2019 w kontekście art. 56 ustawy z 23 kwietnia 1964 r. Kodeks cywilny (zwanej dalej: "k.c.") i uwzględnienie, zgodnie z dyrektywą wynikającą z art. 65 § 2 k.c., nie tyle brzmienia umowy, co zgodnego zamiaru jej stron, powinno prowadzić do wniosku, że umowa ta odpowiadała wymaganiom wynikającym z art. 28 ust. 3 RODO.
W oparciu o tak sformułowane zarzuty KSSiP wniosła o uchylenie zaskarżonego wyroku w całości i przekazanie sprawy do ponownego rozpoznania Sądowi I instancji. Ponadto wniosła o zasądzenie na rzecz Skarżącej kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przepisanych oraz zwrotu wysokości opłaty skarbowej od pełnomocnictwa.
W uzasadnieniu skargi kasacyjnej KSSiP podkreśliła, że Sąd I instancji uznał za zbędne ustalenie przyczyn wycieku danych osobowych, a mimo to obciążył odpowiedzialnością za naruszenie ww. przepisów wyłącznie skarżącą. Zdaniem strony nieuprawnione jest rozumowanie Sądu I instancji, iż administrator danych nie powinien w praktyce posługiwać się firmami zewnętrznymi, a winien rozbudowywać działy informatyczne pond potrzebę. Bez posiadania wysoko kwalifikowanych kadr nie jest w stanie sprawdzać działań firmy zewnętrznej, w tym czy usunęła na swoich serwerach kopie bazy danych, nie posiadała wiedzy o jej utworzeniu i właśnie dlatego zawarła umowę o świadczenie usług z podmiotem zewnętrznym, wybranym w warunkach postępowania o udzielenie zamówienia publicznego, legitymującego się dokumentami potwierdzającymi bezpieczeństwo systemów informatycznych, gdyż nie ma zasobów kadrowych, które mogłyby wykonać migrację bazy danych.
Zdaniem KSSiP wymierzenie kary pieniężnej temu podmiotowi było przedwczesne. Należało dopuścić dowód z opinii biegłego z zakresu informatyki lub innej właściwej dla zdarzenia specjalności, jako że wniosek KSSiP nie zmierzał do "dublowania" uprawnień organów prokuratury czy też sądu karnego, ale był uzasadniony dążeniem do uzyskania materiału dowodowego pozwalającego na poczynienie istotnych ustaleń w sprawie.
W ocenie strony skarżącej Sąd błędnie zaakceptował umorzenie postępowania wobec e. sp. z o.o. Przyjęty, w oparciu o samodzielną decyzję pracownika podmiotu przetwarzającego, sposób przeniesienia bazy danych za pośrednictwem katalogu publicznego był niewłaściwy niezależnie od zawartości bazy danych. Pracownik e.sp. z o.o., aby "ułatwić" sobie kopiowanie bazy, umieścił tymczasową kopię w katalogu publicznym. Błędem zatem w zakresie sztuki zawodowej oraz naruszeniem umowy łączącej strony, a także przepisów RODO był sam sposób kopiowania za pośrednictwem katalogu publicznego. Pracownik podmiotu przetwarzającego, zawodowo trudniący się tego rodzaju działaniami, bez wiedzy i woli skarżącej, utworzył w zabezpieczonej lokalizacji platformy szkoleniowej KSSiP tymczasową kopię bazy danych, przeniósł ją do lokalizacji "publicznie otwartej", a stamtąd zaś przesłał ją siecią publiczną do bezpiecznej lokalizacji w platformie szkoleniowej e-KSSiP. Po wykonaniu powyższej czynności ani nie usunął kopii tymczasowej z lokalizacji "publicznie otwartej", nie zablokował dostępu do tej kopii ani też nie powiadomił nikogo o tym, w jakim sposób zrealizował zlecenie.
Odnosząc się do wysokości nałożonej kary pieniężnej KSSiP wskazała, że podjęła szereg działań w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą. Skoro zatem zarówno organ jak i Sąd I instancji dostrzegł zaistnienie okoliczności łagodzących po stronie skarżącej, to koniecznym było ustalenie wysokości kary z ich uwzględnieniem, czego organ zaniechał, a co zostało zaaprobowane wadliwie przez Sąd I instancji.
W odpowiedzi na skargę kasacyjną Prezes UODO wniósł o oddalenie skargi kasacyjnej.
W uzasadnieniu odpowiedzi na skargę kasacyjną wskazał, że w całości podtrzymuje dotychczasowe stanowisko. Odnosząc się do roli podmiotu przetwarzającego podkreślił, że korzystanie przez KSSiP w procesie przetwarzania danych osobowych ze wsparcia profesjonalnego podmiotu przetwarzającego, określane "transferem ryzyka", nie implikuje wcale stanu "przeniesienia odpowiedzialności" z administratora na podmiot przetwarzający w zakresie obowiązków ciążących na nim na mocy przepisów RODO, a odnosi się do stanu ich kooperacji określonej na gruncie art. 28 ust. 3 lit. c) i f) RODO i ponoszonej na zasadzie wzajemnej odpowiedzialności za bezpieczeństwo procesów przetwarzania danych osobowych. Zatem w świetle normy art. 32 ust. 1 RODO odpowiedzialność administratora za zapewnienie bezpieczeństwa przetwarzania danych osobowych przez powierzenie ich przetwarzania podmiotowi przetwarzającemu nie zostaje wyłączona. Przyjęcie odmiennej interpretacji przepisu prowadziłoby do błędnego wniosku, iż w momencie zawarcia umowy powierzenia danych osobowych, administrator zostaje de facto wyłączony spod przepisów RODO zobowiązujących go do zapewnienia bezpieczeństwa przetwarzanych danych.
Odnosząc się do zakresu przeprowadzonego postępowania dowodowego organ przedstawił, że to administrator (KSSiP) jest odpowiedzialny za przestrzeganie jednej z podstawowych zasad RODO, tj. zasady zapewnienia poufności. Na nim spoczywa też ciężar dowodowy w przypadku wątpliwości na tym tle (obowiązek wykazania ich przestrzegania).
Prezes UODO podkreślił także, że nie jest istotne, czy pracownik podmiotu przetwarzającego popełnił czyn przewidziany w przepisach prawa karnego, gdyż nie uprawnia to do stwierdzenia, że po stronie podmiotu przetwarzającego doszło do naruszenia przepisów prawa materialnego, stanowiących przedmiot postępowania administracyjnego, w ramach którego wydano zaskarżoną decyzję, tj. obowiązków KSSiP jako administratora danych oraz e. Sp. z o.o. jako podmiotu przetwarzającego, wynikających z przepisów RODO.
Naczelny Sąd Administracyjny zważył, co następuje:
Stosownie do art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2024 r., poz. 935) zwanej dalej p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183 § 2 p.p.s.a. i nie zachodzi żadna z przesłanek, o których mowa w art. 189 p.p.s.a., które Naczelny Sąd Administracyjny rozważa z urzędu dokonując kontroli zaskarżonego skargą kasacyjną wyroku. W tych okolicznościach w sprawie badaniu podlegały wyłącznie zarzuty podniesione w skardze kasacyjnej na uzasadnienie przytoczonych podstaw kasacyjnych.
W skardze kasacyjnej zarzucono zarówno naruszenie przepisów postępowania, jak i prawa materialnego. W takim stanie rzeczy Naczelny Sąd Administracyjny w pierwszej kolejności odniesie się do zarzutów naruszenia przepisów postępowania.
Skargę kasacyjną można oprzeć na następujących podstawach:
1) naruszeniu prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie,
2) naruszeniu przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy (art. 174 p.p.s.a.).
Granice skargi kasacyjnej wyznaczają wskazane w niej podstawy. Ze względu na sposób skonstruowania skargi kasacyjnej w niniejszej sprawie, należy przypomnieć, że Naczelny Sąd Administracyjny, ze względu na ograniczenia wynikające ze wskazanych regulacji prawnych, nie może we własnym zakresie konkretyzować zarzutów skargi kasacyjnej, uściślać ich bądź w inny sposób korygować. Związanie Naczelnego Sądu Administracyjnego granicami skargi kasacyjnej oznacza również związanie wskazanymi w niej podstawami zaskarżenia, które determinują zakres kontroli kasacyjnej, jaką Naczelny Sąd Administracyjny sprawuje na podstawie i w granicach prawa (art. 7 Konstytucji RP) - w celu stwierdzenia ewentualnej wadliwości zaskarżonego orzeczenia. Z faktu związania Naczelnego Sądu Administracyjnego granicami skargi kasacyjnej wynika wykluczenie możliwości domniemywania intencji strony składającej ten środek zaskarżenia, konkretyzowania jego zarzutów, czy też uzupełniania występujących w nim braków dotyczących podstaw skargi kasacyjnej i ich uzasadnienia.
Ze względu na wymogi konstrukcyjne skargi kasacyjnej, ich sporządzanie zostało powierzone profesjonalnym podmiotom, których fachowość powinna gwarantować prawidłowe skonstruowanie zarzutów, zgodnie z przepisami p.p.s.a. Do autora skargi kasacyjnej należy zatem wskazanie konkretnych przepisów prawa materialnego lub przepisów postępowania, które w jego ocenie naruszył Sąd I instancji i precyzyjne wyjaśnienie, na czym polegało ich niewłaściwe zastosowanie lub błędna interpretacja, w odniesieniu do prawa materialnego, bądź wykazanie istotnego wpływu naruszenia prawa procesowego na rozstrzygnięcie sprawy przez Sąd I instancji. Podkreślić należy, że zgodnie ze stanowiskiem przyjętym w uchwale pełnego składu NSA z 26 października 2009 r., I OPS 10/09, "Przytoczenie podstaw kasacyjnych, rozumiane jako wskazanie przepisów, które - zdaniem wnoszącego skargę kasacyjną - zostały naruszone przez wojewódzki sąd administracyjny, nakłada na Naczelny Sąd Administracyjny (...) obowiązek odniesienia się do wszystkich zarzutów przytoczonych w podstawach kasacyjnych". Naczelny Sąd Administracyjny tylko wtedy może uczynić zadość temu obowiązkowi, gdy wnoszący skargę kasacyjną poprawnie określi, jakie przepisy jego zdaniem naruszył wojewódzki sąd administracyjny i na czym owo naruszenie polegało.
Skarga kasacyjna w niniejszej sprawie została sporządzona niestarannie, co należy odnieść w szczególności do pierwszego zarzutu naruszenia art. 134 § 1 w zw. z art. 133 § 1 i art. 141 § 4 p.p.s.a, przez niepełną i błędną analizę stanu faktycznego dokonaną przez Sąd I instancji. Odnosząc się do tak sformułowanego zarzutu należy przypomnieć, że dokonując kontroli legalności zaskarżonej decyzji wojewódzki sąd administracyjny nie prowadzi postępowania dowodowego i nie dokonuje oceny materiału dowodowego za organ administracji (art. 80 k.p.a.). Nie można Sądowi I instancji zarzucić błędnej analizy stanu faktycznego w ramach zarzutu naruszenia art. 133 § 1, art. 134 § 1 i art. 141 § 4 p.p.s.a. Z pierwszego z powołanych przepisów wynika, iż "[s]ąd wydaje wyrok po zamknięciu rozprawy na podstawie akt sprawy, chyba że organ nie wykonał obowiązku, o którym mowa w art. 54 § 2. Wyrok może być wydany na posiedzeniu niejawnym w postępowaniu uproszczonym albo jeżeli ustawa tak stanowi". Z powyższego przepisu wynika kierowany do sądu I instancji obowiązek orzekania na podstawie akt sprawy, art. 133 § 1 p.p.s.a. nie stanowi natomiast podstawy oceny materiału dowodowego przez sąd. W orzecznictwie przyjmuje się, że obowiązek wydania wyroku na podstawie akt sprawy oznacza bowiem jedynie zakaz wyjścia poza materiał znajdujący się w aktach sprawy. Natomiast naruszenie określonej w art. 133 § 1 p.p.s.a. zasady orzekania na podstawie akt sprawy mogłoby stanowić skuteczną podstawę kasacyjną, np. w sytuacji oddalenia skargi mimo niekompletnych akt sprawy, pominięcia istotnej części tych akt, czy oparcia orzeczenia na własnych ustaleniach sądu, tzn. dowodach lub faktach nieznajdujących odzwierciedlenia w aktach sprawy. Należy jednak odróżnić poddanie sądowej kontroli działalności administracji publicznej na podstawie innego materiału niż akta sprawy, od wydania wyroku na podstawie akt sprawy, z przyjęciem odmiennej oceny materiału dowodowego zawartego w tych aktach (wyrok Naczelnego Sądu Administracyjnego z 3 kwietnia 2025 r., II OSK 616/24). Podobnie art. 134 § 1 p.p.s.a. statuuje niezwiązanie sądu zarzutami i wnioskami skargi. O naruszeniu normy wynikającej z przepisu art. 134 § 1 p.p.s.a. można byłoby mówić, gdyby sąd wykroczył poza granice sprawy, w której została wniesiona skarga, albo - mimo wynikającego z tego przepisu obowiązku - nie wyszedł poza zarzuty i wnioski skargi, np. nie zauważając naruszeń prawa, które nie były powołane przez skarżącego, a które Sąd I instancji zobowiązany był uwzględnić z urzędu (wyrok Naczelnego Sądu Administracyjnego z 17 stycznia 2025 r., III OSK 2446/23).
Z kolei art. 141 § 4 p.p.s.a. określa wymogi w odniesieniu do uzasadnienia wyroku, które powinno zawierać zwięzłe przedstawienie stanu sprawy, zarzutów podniesionych w skardze, stanowisk pozostałych stron, podstawę prawną rozstrzygnięcia oraz jej wyjaśnienie. Zarzut naruszenia art. 141 § 4 p.p.s.a. może być skutecznie postawiony w dwóch przypadkach: gdy uzasadnienie wyroku nie zawiera wszystkich elementów, wymienionych w tym przepisie i gdy w ramach przedstawienia stanu sprawy, wojewódzki sąd administracyjny nie wskaże, jaki i dlaczego stan faktyczny przyjął za podstawę orzekania. Skoro z treści art. 141 § 4 p.p.s.a. wynika, że uzasadnienie wyroku musi zawierać opis stanu faktycznego sprawy oraz stanowisk stron postępowania, w tym wskazanie zarzutów skargi i argumentację strony przeciwnej oraz stanowisko sądu wraz z właściwie uzasadnioną podstawą prawną, to należy przyjąć, że zamieszczenie w uzasadnieniu tych elementów ma umożliwić odtworzenie sposobu rozumowania sądu, które doprowadziło do danego rozstrzygnięcia. Ponadto wadliwość uzasadnienia orzeczenia może stanowić przedmiot skutecznego zarzutu kasacyjnego z art. 141 § 4 p.p.s.a. w sytuacji, gdy sporządzone jest ono w taki sposób, że niemożliwa jest kontrola instancyjna zaskarżonego wyroku, a dzieje się tak wówczas, gdy nie ma możliwości jednoznacznej rekonstrukcji podstawy rozstrzygnięcia (wyrok Naczelnego Sądu Administracyjnego z 25 kwietnia 2025 r., III OSK 943/24). Sytuacja taka nie miała w niniejszej sprawie miejsca. Zwalczanie ustaleń faktycznych przyjętych przez Sąd I instancji nie może następować za pomocą zarzutu naruszenia art. 141 § 4 p.p.s.a. Jednocześnie zaskarżony wyrok zawiera wszystkie elementy wymagane na mocy ww. przepisu i poddaje się kontroli instancyjnej.
Stosownie do powołanej uchwały pełnego składu NSA z 26 października 2009 r., I OPS 10/09, "należy wyraźnie odróżnić kontrolę administracji publicznej (rozstrzyganie sprawy sądowoadministracyjnej) od wykonywania administracji publicznej (rozstrzygania sprawy administracyjnej). Sąd administracyjny nie jest władny do samodzielnego wydania rozstrzygnięcia w miejsce organu administracji publicznej. W świetle konstytucyjnego modelu sądowej kontroli działalności administracji publicznej - sąd administracyjny pierwszej instancji nie ma, co do zasady, kompetencji do dokonywania ustaleń stanu faktycznego będącego tłem sprawy administracyjnej (por. też art. 133 § 1 p.p.s.a.). Zadanie to należy do organu administracji publicznej. Elementem zaś kontroli legalności działania organu administracji publicznej jest powinność zbadania przez sąd, czy organ dokonując ustalenia stanu faktycznego nie naruszył przepisów proceduralnych pozwalających na urzeczywistnienie zasady prawdy obiektywnej. Naruszenie tego typu regulacji (m.in. art. 7, art. 77 § 1, art. 80 K.p.a.) powoduje nielegalność rozstrzygnięcia organu". Mając powyższe na uwadze, w sytuacji gdy strona przytoczy w petitum skargi kasacyjnej wyłącznie zarzut naruszenia prawa przez WSA, nie powiązawszy go z zarzutem naruszenia prawa przez organ administracji, nie jest możliwe merytoryczne odniesienie się do tak sformułowanego zarzutu. Powyższe ustalenia przesądzają o bezzasadności pierwszego zarzutu naruszenia przepisów postępowania.
Przechodząc do oceny drugiego zarzutu, w sprawie nie doszło do naruszenia art. 145 § 1 pkt 1 lit. c p.p.s.a. w zw. z art. 7, art. 77 § 1, art. 80, art. 84 § 1, art. 97 § 1 pkt 4 i art. 107 § 3 k.p.a. Naruszenia tych przepisów Krajowa Szkoła Sądownictwa i Prokuratury upatruje w oddaleniu skargi, mimo iż - w ocenie strony - zaskarżona decyzja organu została wydana bez dokładnego wyjaśnienia stanu faktycznego sprawy oraz bez wyczerpującego zebrania i rozpatrzenia materiału dowodowego, w tym w zakresie ustalenia przyczyn wycieku danych osobowych, co miało skutkować wadliwym uznaniem, iż KSSiP nie spełniła wymogów określonych w art. 32 ust. 1 i 2 RODO.
Co do zasady, przedmiot i zakres postępowania dowodowego prowadzonego przez organ administracji determinują przepisy administracyjnego prawa materialnego. To one kształtują okoliczności faktyczne relewantne w celu subsumpcji normy prawnej w drodze decyzji administracyjnej. W zaskarżonej decyzji Prezes UODO stwierdził naruszenie przez KSSiP m.in. art. 32 ust. 1 i 2 RODO, które to przepisy określają obowiązki administratora w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych, w celu zapewnienia bezpieczeństwa odpowiadającemu ryzyku naruszenia praw lub wolności osób fizycznych. Jednocześnie zgodnie z art. 32 ust. 2 RODO "[o]ceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych". Naczelny Sąd Administracyjny podziela dotychczasowe stanowisko, iż "odpowiednie na gruncie art. 32 ust. 1 RODO środki techniczne i organizacyjne, to nie środki skuteczne w każdym przypadku, a takie, których dochowanie mogło być w dacie i okolicznościach dostępu do danych osobowych, obiektywnie wymagane od danego podmiotu (administratora albo podmiotu przetwarzającego). (...) kara pieniężna z tytułu naruszenia art. 32 RODO nie ma charakteru automatycznego, tj. sankcji za nieuprawniony dostęp do danych osobowych na skutek czynu zabronionego popełnionego przez osobę trzecią" (wyrok Naczelnego Sądu Administracyjnego z 9 lutego 2023 r., III OSK 3945/21).
W okolicznościach sprawy trafnie uznał Sąd I instancji, że nie doszło do naruszenia przez organ art. 7, art. 77 § 1, art. 80, art. 84 § 1, art. 97 § 1 pkt 4 i art. 107 § 3 k.p.a. Prezes UODO przeprowadził postępowanie dowodowe w zakresie okoliczności faktycznych istotnych w sprawie, z perspektywy zasad odpowiedzialności administratora. Wynik tego postępowania okazał się dla KSSiP negatywny. Skarżąca kasacyjnie nie podważyła ustaleń, wedle których nie podjęła ona wystarczających działań mających na celu zweryfikowanie bezpieczeństwa środowiska przetwarzania przed rozpoczęciem działań migracyjnych, jak i po ich zakończeniu, w szczególności nie zweryfikowała w okresie 21 luty 2020 r. - 7 kwietnia 2020 r., czy we wskazanej przez KSSiP lokalizacji nadal znajduje się kopia bazy danych z 21 lutego 2020 r. Decydując się na nieangażowanie podmiotu przetwarzającego w proces migracji i nieudzielenie pełnych informacji o podejmowanych czynnościach i oczekiwanych rezultatach, administrator nie upewnił się, że przetwarzane dane osobowe są odpowiednio zabezpieczone. Jak przyjął organ i które to ustalenia zasadnie podzielił WSA w Warszawie, weryfikacji tej administrator podjął się dopiero w dniu stwierdzenia naruszenia, co stanowi o naruszeniu przez KSSiP art. 32 ust. 1 i 2 RODO.
Podkreślenia wymaga, iż odpowiedzialność administratora za naruszenie ochrony danych osobowych, jakkolwiek nie ma charakteru odpowiedzialności absolutnej, to jest odpowiedzialnością obiektywną. Z utrwalonego orzecznictwa Trybunału Konstytucyjnego wynika, że administracyjna kara pieniężna "nie jest konsekwencją dopuszczenia się czynu zabronionego, lecz skutkiem zaistnienia stanu niezgodnego z prawem, co sprawia, że ocena stosunku sprawcy do czynu nie mieści się w reżimie odpowiedzialności obiektywnej" (wyrok TK z 21 października 2015 r., P 32/12, zob. także wyrok TK z 31 marca 2008 r., SK 75/06). Tym samym administrator ponosi odpowiedzialność także za działanie osób i podmiotów od siebie zależnych, przy pomocy których przetwarza dane osobowe. W realiach niniejszej sprawy jest to o tyle istotna kwestia, że do wycieku danych osobowych doszło nie na skutek ingerencji osoby trzeciej, a niezastosowania należytych środków technicznych i organizacyjnych przy realizacji procesu migracji danych. Niedopełnienie tych obowiązków skutkowało pobraniem kopii bazy danych z 21 lutego 2020 r. przez nieznane i nieuprawnione osoby, co stanowi o naruszeniu przez KSSiP zasady poufności wyrażonej w art. 5 ust. 1 lit. f) RODO przez przetwarzanie danych osobowych w sposób niezapewniający odpowiedniego bezpieczeństwa danych osobowych.
Nietrafnie tym samym wywodzi skarżąca kasacyjnie, że gdyby organ poczynił ustalenia, co było przyczyną wycieku danych, możliwym byłoby dopiero dokonanie oceny, czy administrator uwzględnił ryzyko naruszenia praw lub wolności osób fizycznych, a zatem czy okoliczności te pozostają w adekwatnym związku przyczynowym i można mu zarzucić naruszenie art. 32 ust. 1 RODO. Jak to prawidłowo wywiódł Sąd I instancji, Prezes UODO słusznie przyjął, iż skoro administrator podjął decyzję, że wspomniana kopia bazy danych powinna zostać usunięta, to jego obowiązkiem była weryfikacja, czy czynność ta została wykonana. Nawet jeśli w wyniku błędu pracownik e. nie usunął wykonanej kopii, to na administratorze nadal ciążył obowiązek weryfikacji, czy wskazana lokalizacja zapewnia bezpieczeństwo przetwarzania. To administrator jest inicjatorem podejmowanych działań jako podmiot decydujący o celach i sposobach przetwarzania. Okoliczność, czy "wyciek" danych nastąpił w wyniku błędu pracownika e., czy też na skutek innych czynników, jest irrelewantna pod kątem odpowiedzialności administratora z art. 32 RODO. Tym samym Prezes UODO prawidłowo przyjął, iż dla organu nie jest to czynnik przesądzający i wymagany do wydania decyzji. Organ dokonuje bowiem oceny działalności administratora przez pryzmat obowiązujących przepisów, a ustalony stan faktyczny pozwalał na przypisanie odpowiedzialności za "wyciek" danych osobowych Krajowej Szkole Sądownictwa i Prokuratury.
Zarzut trzeci naruszenia przepisów postępowania koncentruje się na naruszeniu przez Sąd I instancji art. 145 § 1 pkt 1 lit. c p.p.s.a. w związku z art. 105 § 1 k.p.a. w zw. z art. 7 ust. 1 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) przez błędne przyjęcie, iż organ zasadnie umorzył postępowanie względem podmiotu przetwarzającego z uwagi na brak zaistnienia przesłanek pozwalających stwierdzić naruszenie przez e. obowiązków wynikających z art. 32 ust. 1 i 2 w zw. z art. 28 ust. 3 lit. f RODO w sytuacji, gdy pracownik podmiotu przetwarzającego posiadał informacje niezbędne do prawidłowego przetwarzania danych i winien był pomóc wywiązać się skarżącej z realizacji obowiązków wskazanych w art. 32-36 RODO. Odnosząc się do powyższego, należy zaakcentować iż na gruncie art. 32 i art. 28 RODO skorzystanie przez administratora z usług podmiotu przetwarzającego nie zwalnia administratora z odpowiedzialności za naruszenie ochrony danych osobowych. Na podstawie art. 32 RODO administrator ponosi odpowiedzialność także za wdrożenie odpowiednich środków technicznych i organizacyjnych przez podmiot przetwarzający, a odrębnym obowiązkiem jest regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Administrator decyduje zatem o celach przetwarzania oraz czuwa nad prawidłowością i zabezpieczeniem danych przez podmiot przetwarzający. W doktrynie wskazuje się, że "W przypadku powierzenia przetwarzania danych administrator nadal decyduje o celu i sposobie przetwarzania danych i ponosi odpowiedzialność za spełnienie wymogów określonych przepisami komentowanego rozporządzenia, natomiast podmiot przetwarzający jest uprawniony wyłącznie do dokonania powierzonych (zleconych) czynności przetwarzania, a także ma obowiązek odpowiednio zabezpieczyć przetwarzanie danych, za co jest odpowiedzialny" (P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 28, s. 375).
Słusznie wskazuje Prezes UODO w odpowiedzi na skargę kasacyjną, że korzystanie przez KSSiP w procesie przetwarzania danych osobowych ze wsparcia profesjonalnego podmiotu przetwarzającego, określane "transferem ryzyka", nie implikuje wcale stanu "przeniesienia odpowiedzialności" z administratora na podmiot przetwarzający w zakresie obowiązków ciążących na nim na mocy przepisów RODO, a odnosi się do stanu ich kooperacji określonej na gruncie art. 28 ust. 3 lit. c) i f) RODO i ponoszonej na zasadzie wzajemnej odpowiedzialności za bezpieczeństwo procesów przetwarzania danych osobowych. Zatem wskazać należy, iż w świetle normy art. 32 ust. 1 RODO odpowiedzialność administratora za zapewnienie bezpieczeństwa przetwarzania danych osobowych przez powierzenie ich przetwarzania podmiotowi przetwarzającemu nie zostaje wyłączona. Przyjęcie odmiennej interpretacji przepisu prowadziłoby do błędnego wniosku, iż w momencie zawarcia umowy powierzenia danych osobowych, administrator zostaje de facto wyłączony spod przepisów RODO zobowiązujących go do zapewnienia bezpieczeństwa przetwarzanych danych.
Niezależnie od powyższego, prawidłowo organ umorzył postępowanie względem podmiotu przetwarzającego, tj. e. sp. z o.o. W toku postępowania administracyjnego Prezes UODO nie dopatrzył się bowiem uchybień ze strony tego podmiotu. Ustalony w sprawie stan faktyczny nie daje odpowiedzi na jakim etapie doszło do nieprawidłowości skutkujących bezpośrednio "wyciekiem" danych, natomiast wyraźnie wskazuje jakie procedury zostały złamane i jakie przepisy naruszono. W niniejszej sprawie kluczowe znaczenie należy przypisać ustaleniu, iż do naruszenia ochrony danych doszło wskutek braku zrozumienia przez administratora roli, jaką pełni w relacji z podmiotem przetwarzającym. Podmiot przetwarzający, tj. e., nie był angażowany ani informowany o charakterze podejmowanych czynności, co wielokrotnie podmiot przetwarzający podkreślał w złożonych wyjaśnieniach. Pracownik e., K. J., nie miał żadnych informacji o wprowadzanych przez KSSiP zmianach w procesach przetwarzania danych osobowych zawartych w pliku będącym kopią bazy danych z 21 lutego 2020 r., a czynności realizowane przez ww. pracownika stanowiły realizację zadań wynikających z umowy o świadczenie usług, w ramach wsparcia technicznego KSSiP. Prawidłowo zatem uznał Prezes UODO, że podmiot przetwarzający wypełniał obowiązki wynikające z umowy powierzenia i umowy głównej, a także stosował przyjęte przez siebie środki organizacyjne mające na celu zapewnienie bezpieczeństwa systemów informatycznych. Cel ten jest wskazany m.in. poprzez wsparcie techniczne, o którym mowa w załączniku nr 1 do umowy głównej. Na potwierdzenie tej okoliczności organ wskazał na szereg dowodów, które nie zostały przez skarżącą kasacyjnie skutecznie podważone.
Jednocześnie w świetle art. 5 ust. 2 RODO administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie ("rozliczalność" administratora). NSA podziela stanowisko Prezesa UODO, że to administrator (KSSiP) jest odpowiedzialny za przestrzeganie jednej z podstawowych zasad RODO, tj. zasady zapewnienia poufności. Na nim spoczywa też ciężar dowodowy w przypadku wątpliwości na tym tle (obowiązek wykazania ich przestrzegania). Jak ustalił organ, administrator nie podjął wystarczających działań mających na celu zweryfikowanie bezpieczeństwa środowiska przetwarzania przed rozpoczęciem działań migracyjnych, jak i po ich zakończeniu, w szczególności nie zweryfikował w okresie 21 luty 2020 r. - 7 kwietnia 2020 r., czy we wskazanej przez KSSiP lokalizacji nadal znajduje się kopia bazy danych z 21 lutego 2020 r. Decydując się na nieangażowanie podmiotu przetwarzającego w proces migracji i nieudzielenie pełnych informacji o podejmowanych czynnościach i oczekiwanych rezultatach, administrator nie upewnił się, że przetwarzane dane osobowe są odpowiednio zabezpieczone. Tym samym to administrator ponosi odpowiedzialność za zaistniałe naruszenie.
Mając powyższe na uwadze, bezzasadne okazały się zarzuty naruszenia przepisów postępowania. Prawidłowo przyjął Sąd I instancji za Prezesem UODO, iż w sprawie ustalono istotne z perspektywy przepisów RODO okoliczności faktyczne, które pozwalały na przypisanie odpowiedzialności za naruszenie ochrony danych osobowych wyłącznie Krajowej Szkole Sądownictwa i Prokuratury. Kluczowe dla wyniku sprawy i dla oceny prawidłowości zastosowania przepisów prawa materialnego okazały się ustalenia organu, odwołujące się do braku angażowania ani informowania przez KSSiP podmiotu przetwarzającego, tj. e. sp. z o.o., o charakterze podejmowanych czynności, przez co pracownik e. nie miał żadnych informacji o wprowadzanych przez KSSiP zmianach w procesach przetwarzania danych osobowych zawartych w pliku będącym kopią bazy danych z 21 lutego 2020 r. Naczelny Sąd Administracyjny podkreśla, iż okolicznością irrelewantną z perspektywy sądowej kontroli legalności decyzji Prezesa Urzędu Ochrony Danych Osobowych z 11 lutego 2021 r. nr DKN.5130.2024.2020 była wiedza i osobista odpowiedzialność za naruszenie pracownika e. K. J.. Realizowane przez ww. pracownika czynności stanowiły wyłącznie realizację zadań wsparcia technicznego, wynikających z umowy o świadczenie usług. Zgromadzony materiał dowodowy nakazał uznać, że za całość operacji związanych z wykonaniem kopii bazy danych i przekazaniem jej do serwera docelowego, odpowiedzialna była Krajowa Szkoła Sądownictwa i Prokuratury.
Prawidłowość ustalenia stanu faktycznego pozwala zatem przejść do oceny zasadności zarzutów naruszenia prawa materialnego. W ramach pierwszego zarzutu KSSiP podnosi naruszenie art. 32 ust. 1 i 2 w zw. z art. 5 ust. 1 lit. f, art. 24 ust. 1 i art. 25 ust. 1 RODO przez błędną wykładnię i przyjęcie, że skarżąca nie dokonała oceny ryzyka w zakresie możliwości naruszenia zasady poufności danych osobowych, wynikającego z zagrożenia jakim jest możliwość eksportowania z systemu danych osobowych na platformę internetową o charakterze ogólnodostępnym w sytuacji, gdy treść zlecenia nie obejmowała przeniesienia bazy danych z wykorzystaniem publicznej sieci internet, a świadczenie usług (w tym przeniesienie bazy danych) zleciła podmiotowi, który w zakresie swej działalności zawodowej trudni się wykonywaniem takich czynności i legitymuje posiadaniem dokumentów potwierdzających znajomość zasad i technik zabezpieczenia informacji w technikach informatycznych.
Odnosząc się do tak sformułowanego zarzutu należy przypomnieć, że w ramach zarzutu błędnej wykładni kasator powinien wykazać i uzasadnić, że Wojewódzki Sąd Administracyjny nieprawidłowo odczytał normę prawną wynikającą z treści przepisu prawa materialnego bądź mylnie zrozumiał treść przepisu prawa materialnego. W każdym więc z tych przypadków chodzi o sytuację, gdy wykładnia dokonana przez sąd jest nie do przyjęcia w kontekście logiczno-językowym, pozostałych przepisów prawa lub celu, w jakim został wprowadzony dany przepis. Zarzut naruszenia prawa materialnego nie może opierać się na wadliwym (kwestionowanym przez stronę) ustaleniu faktu. Kwestia ta jest jednolicie ujmowana w orzecznictwie NSA (zob. np. wyrok NSA z 11 kwietnia 2025 r., III OSK 555/24). Powoduje to bezskuteczność zarzutu naruszenia art. 32 ust. 1 i 2 w zw. z art. 5 ust. 1 lit. f, art. 24 ust. 1 i art. 25 ust. 1 RODO, gdyż Sąd I instancji nie naruszył powołanych przepisów przez ich błędną wykładnię.
Podobnie bezskuteczny jest czwarty zarzut naruszenia prawa materialnego, tj. art. 28 ust. 3 RODO, przez jego błędną wykładnię (w ślad za wadliwą oceną dokonaną przez organ) i przyjęcie, wobec braku zawarcia w umowie łączącej skarżącą i podmiot przetwarzający zapisu o zobowiązaniu podmiotu przetwarzającego do przetwarzania danych wyłącznie na udokumentowane polecenie administratora, iż umowa ta narusza powyższy przepis prawa. Art. 28 ust. 3 RODO zawiera dalsze jednostki redakcyjne (litery). Do autora skargi kasacyjnej należy wskazanie konkretnych przepisów prawa materialnego lub przepisów postępowania, które w jego ocenie naruszył Sąd I instancji, a Naczelny Sąd Administracyjny nie jest uprawniony do domyślania się intencji autora skargi kasacyjnej oraz do precyzowania sformułowanych podstaw kasacyjnych.
Z kolei ocenie Naczelnego Sądu Administracyjnego poddaje się zarzut naruszenia art. 28 ust. 1 RODO przez niewłaściwe zastosowanie i przyjęcie, że skarżąca dopuściła się naruszenia tego przepisu, który nakazuje administratorom danych osobowych korzystanie z usług podmiotów przetwarzających takich, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą, a zatem Sąd I instancji zakwestionował tym samym wybór przez skarżącą podmiotu przetwarzającego, w sytuacji jednoczesnego uznania, iż organ zasadnie umorzył postępowanie wszczęte także względem e. sp. z o.o. wobec braku stwierdzenia jakichkolwiek naruszeń przez ten podmiot przepisów RODO.
Z zaskarżonej decyzji (jej rozstrzygnięcia) wynika, iż Prezes UODO stwierdził naruszenie przez KSSiP nie art. 28 ust. 1, a art. 28 ust. 3 RODO, naruszenie to miało miejsce przez powierzenie przetwarzania danych osobowych e. Sp. z o.o., z naruszeniem art. 28 ust. 3 RODO, tj. bez umownego zobowiązania podmiotu przetwarzającego do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora, a także bez określenia w umowie powierzenia przetwarzania danych osobowych kategorii osób oraz bez doprecyzowania rodzaju danych osobowych przez wskazanie ich kategorii (lit. b rozstrzygnięcia decyzji Prezesa UODO). Jednocześnie jak wynika z zaskarżonej decyzji, Prezes UODO umorzył wobec KSSiP postępowanie w zakresie naruszenia art. 28 ust. 1 RODO w kontekście wyboru podmiotu przetwarzającego zapewniającego wystarczające gwarancje dla bezpieczeństwa danych, a naruszenie art. 28 ust. 1 RODO nie stanowiło podstawy wymiaru administracyjnej kary pieniężnej (s. 21 decyzji Prezesa Urzędu Ochrony Danych Osobowych z 11 lutego 2021 r. nr DKN.5130.2024.2020). Zawarte w zaskarżonym wyroku stwierdzenie o naruszeniu przez KSSiP art. 28 ust. 1 RODO należy traktować wyłącznie jako omyłkę pisarską, gdyż Sąd I instancji nie powołuje się na ten przepis w dalszym toku wywodów. Tym samym oczywiście bezzasadny jest zarzut naruszenia art. 28 ust. 1 RODO przez niewłaściwe zastosowanie i przyjęcie, że skarżąca dopuściła się naruszenia tego przepisu.
W ramach kolejnego zarzutu KSSiP podnosi, iż Sąd I instancji naruszył art. 102 ust. 3 ustawy o ochronie danych osobowych w zw. z art. 83 ust. 2 lit. c, e, f i h RODO przez błędną wykładnię i przyjęcie iż organ uwzględnił przy wymiarze kary okoliczności łagodzące mające wpływ na wymiar kary w sytuacji jej wymierzenia w maksymalnej, dopuszczalnej przepisami prawa wysokości tj. 100.000 zł. Odnosząc się do tego zarzutu należy stwierdzić, że faktycznie organ wymierzył skarżącej karę pieniężną w maksymalnej dopuszczalnej wysokości, jednocześnie w uzasadnieniu decyzji stwierdzając, że wziął pod uwagę okoliczności łagodzące odpowiedzialności, w tym działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą. Poinformowanie o naruszeniu doprowadziło do usunięcia pliku z kopią bazy danych, jak i usunięcia linku prowadzącego do pliku. Pomimo to Prezes UODO uznał, iż okoliczności łagodzące nie mają bezpośredniego wpływu na wysokość nałożonej kary z uwagi na fakt, że KSSiP jest podmiotem publicznym, do którego stosuje się art. 102 ust. 1 pkt 1 u.o.d.o. W ocenie organu "kara w maksymalnej wysokości, nałożona w niniejszej sprawie, jest i tak niewspółmiernie niska do skali i wagi naruszenia z perspektywy rozporządzenia 2016/679. Obniżenie kary z uwagi na okoliczności łagodzące, zostało w niniejszej sprawie skonsumowane przez bardziej korzystną dla KSSiP okoliczność, jaką jest ustawowe ograniczenie wysokości kary do 100 000 PLN" (s. 25 zaskarżonej decyzji Prezesa UODO). W ocenie NSA w składzie orzekającym powyższe ustalenie jest prawidłowe, a Sąd I instancji nie naruszył art. 102 ust. 3 ustawy o ochronie danych osobowych w zw. z art. 83 ust. 2 lit. c, e, f i h RODO. Art. 102 ust. 3 u.o.d.o. stanowi, że administracyjne kary pieniężne, o których mowa w ust. 1 i 2, Prezes Urzędu nakłada na podstawie i na warunkach określonych w art. 83 RODO. Odesłanie do przepisów RODO powoduje, iż konieczne jest zachowanie przez organ wymogów skuteczności, proporcjonalności i odstraszającego charakteru sankcji z tytułu naruszenia przepisów RODO. Art. 102 ust. 1 u.o.d.o. powinien być interpretowany wyłącznie jako limitujący górną granicę zagrożenia ustawowego, lecz nie jako dyrektywa wymiaru administracyjnej kary pieniężnej. Te zostały bowiem określone w art. 83 ust. 2 RODO i nakazują wzięcie pod uwagę zarówno okoliczności obciążających, jak i łagodzących odpowiedzialność podmiotu. Co więcej, wynikający z art. 83 ust. 1 RODO wymóg, aby kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające, ma charakter ponadustawowy, w związku z czym nie może on być ograniczony na podstawie art. 102 ust. 1 u.o.d.o., który to przepis określa wyłącznie maksymalną wysokość administracyjnej kary pieniężnej.
Akcentując indywidualny charakter kary pieniężnej należy wskazać, iż nie zawsze zaistnienie okoliczności łagodzących odpowiedzialność będzie skutkować wymierzeniem kary poniżej maksymalnego zagrożenia ustawowego. Słusznie zauważył organ, iż w realiach sprawy ustawowe ograniczenie kary było dla KSSiP korzystną okolicznością, z uwagi na przeważający udział okoliczności obciążających ten podmiot. Należy w tym miejscu zwrócić choćby uwagę na dużą liczbę osób dotkniętych naruszeniem (50.283), wykonujących zawody i piastujących stanowiska określone w art. 2 ust. 1 pkt 2 i 3 ustawy o Krajowej Szkole Sądownictwa i Prokuratury, tj.: sędziów, asesorów sądowych, prokuratorów i asesorów prokuratury, referendarzy sądowych, asystentów sędziów, asystentów prokuratorów, kuratorów zawodowych oraz urzędników sądów i prokuratury. Organ zwrócił uwagę na kategorię danych osobowych, których dotyczyło naruszenie ochrony danych osobowych, tj. w szczególności: imię i nazwisko, adres e-mail, nazwę użytkownika, numer telefonu, jednostkę, wydział, adres jednostki, miejscowość, a w odniesieniu do 44.262 osób także numery PESEL. Te wszystkie okoliczności powodują, iż wymierzenie kary w wysokości niższej niż 100.000 zł mogłoby nie odnieść skutku związanego ze skutecznością czy odstraszającym charakterem kary. Tym samym słusznie wskazał organ w zaskarżonej decyzji, iż kara w maksymalnej wysokości, nałożona w niniejszej sprawie, jest i tak niewspółmiernie niska do skali i wagi naruszenia z perspektywy przepisów RODO.
Podsumowując, nietrafnie zarzucono Sądowi I instancji naruszenie przepisów prawa materialnego. Naczelny Sąd Administracyjny podziela ustalenia poczynione przez Prezesa UODO i zaaprobowane przez Sąd I instancji, uznając iż odpowiedzialność za naruszenie ochrony danych osobowych osób posiadających konto na platformie szkoleniowej KSSiP ponosi Krajowa Szkoła Sądownictwa i Prokuratury. W świetle art. 32 ust. 1 i 2 RODO to na tym podmiocie, jako administratorze decydującym o celu i sposobach przetwarzania danych osobowych, spoczywał obowiązek zastosowania odpowiednich środków technicznych i organizacyjnych, a zaniechanie ich uwzględnienia związane było z brakiem weryfikacji odpowiedniego zabezpieczenia danych osobowych. KSSiP, przez nieangażowanie podmiotu przetwarzającego w proces migracji i nieudzielenie pełnych informacji o podejmowanych czynnościach i oczekiwanych rezultatach, nie upewnił się, że przetwarzane dane osobowe są odpowiednio zabezpieczone, w związku z czym prawidłowo przypisano temu podmiotowi odpowiedzialność za naruszenie ochrony danych osobowych. Tym samym w zaskarżonym wyroku Wojewódzki Sąd Administracyjny w Warszawie dokonał prawidłowej oceny decyzji Prezesa Urzędu Ochrony Danych Osobowych z 11 lutego 2021 r. nr DKN.5130.2024.2020 w przedmiocie nałożenia kary pieniężnej za naruszenie przepisów o ochronie danych osobowych.
Mając na uwadze powyższe wywody, Naczelny Sąd Administracyjny uznał, że skarga kasacyjna nie zawiera usprawiedliwionych podstaw, dlatego na mocy art. 184 p.p.s.a. ją oddalił.
O kosztach postępowania kasacyjnego od Krajowej Szkoły Sądownictwa i Prokuratury na rzecz Prezesa Urzędu Ochrony Danych, ograniczających się do wynagrodzenia radcy prawnego, orzeczono na podstawie art. 204 pkt 1 p.p.s.a. w zw. z art. 205 § 2 p.p.s.a.