III OSK 178/23

III OSK 178/23 - Wyrok NSA
Data orzeczenia
2026-02-19
orzeczenie prawomocne
Data wpływu
2023-01-25
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Małgorzata Pocztarek /przewodniczący/
Mariusz Kotulski
Zbigniew Ślusarczyk /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Sygn. powiązane
II SA/Wa 40/22 - Wyrok WSA w Warszawie z 2022-09-19
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę kasacyjną
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Małgorzata Pocztarek Sędziowie: sędzia NSA Zbigniew Ślusarczyk (sprawozdawca) sędzia del. WSA Mariusz Kotulski Protokolant: asystent sędziego Ewelina Gee-Milan po rozpoznaniu w dniu 19 lutego 2026 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Banku [...] S.A. z/s w W. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 19 września 2022 r. sygn. akt II SA/Wa 40/22 w sprawie ze skargi Banku [...] S.A. z/s w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 27 października 2021 r. nr DS.523.2785.2020.FT.AN w przedmiocie przetwarzania danych osobowych 1. oddala skargę kasacyjną. 2. zasądza od Banku [...] S.A. z/s w W. na rzecz Prezesa Urzędu Ochrony Danych Osobowych kwotę 360 zł (trzysta sześćdziesiąt) tytułem zwrotu kosztów postępowania kasacyjnego.
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 19 września 2022 r. sygn. akt II SA/Wa 40/22, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2022 r., poz. 329) zwanej dalej p.p.s.a., oddalił skargę Banku [...] S.A. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z 27 października 2021 r. nr DS.523.2785.2020.FT.AN w przedmiocie przetwarzania danych osobowych.
W uzasadnieniu wyroku Sąd I instancji wskazał, że zaskarżoną decyzją Prezes Urzędu Ochrony Danych Osobowych (dalej jako "organ"), na podstawie art. 104 k.p.a. w zw. z art. 7 ust. 1 i ust. 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych, art. 5 ust. 1 lit. f, art. 6 ust. 1 oraz art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej "RODO"), po przeprowadzeniu postępowania w sprawie skargi M. K. (dalej "uczestniczka") udzielił Bankowi [...] S.A. z siedzibą w W. (dalej "Bank") upomnienia za nieprawidłowości w procesie przetwarzania danych osobowych uczestniczki, polegające na naruszeniu art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO przez udostępnienie w dniu 4 maja 2020 r. podmiotowi nieuprawnionemu danych osobowych uczestniczki w zakresie: imienia, nazwiska, numeru PSESL, serii i numeru dowodu osobistego, adresu zamieszkania lub pobytu oraz numeru telefonu.
Sąd wyjaśnił, że decyzja została wydana na skutek skargi uczestniczki na nieprawidłowości w procesie przetwarzania jej danych osobowych przez Bank polegające na udostępnieniu jej danych osobowych podmiotom nieuprawnionym. Uczestniczka złożyła w Banku wniosek o konto, zaś dokumenty dotyczące tego konta, zawierające dane osobowe uczestniczki, w tym imię i nazwisko, numer PESEL oraz wniosek o zawarcie umowy, Bank wysłał osobie trzeciej, która o zaistniałej sytuacji poinformowała uczestniczkę. W związku ze skargą uczestniczki Bank wskazał, że doszło do incydentu bezpieczeństwa, o którym zawiadomił organ oraz uczestniczkę.
W takiej sytuacji organ wskazał, że na administratorze danych osobowych, którym w rozumieniu art. 4 pkt 7 RODO jest Bank, ciąży obowiązek prawny przetwarzania danych osobowych zgodnie z obowiązującymi przepisami, a w szczególności obowiązek zapewnienia, by przetwarzanie odbywało się na podstawie co najmniej jednej z przesłanek wymienionych w art. 6 ust. 1 RODO. Organ stwierdził, że w wyniku błędu ludzkiego doszło do udostępnienia danych osobowych uczestniczki w zakresie: imienia, nazwiska, numeru PESEL, serii i numeru dowodu osobistego, adresu zamieszkania lub pobytu, numeru telefonu innemu klientowi Banku bez podstawy prawnej. W ocenie organu udostępnienie danych osobowych nie znajdowało oparcia w żadnej przesłance legalizującej ten proces przetwarzania, a ponadto nastąpiło z naruszeniem zasady poufności danych, co uzasadniało udzielenie Bankowi upomnienia.
Organ dodał, że w postępowaniu zainicjowanym indywidualną skargą mógł dokonać wyłącznie oceny legalności przetwarzania danych. Natomiast ogólne, stosowane przez administratora danych w procesach ich przetwarzania praktyki, w tym sposoby zabezpieczeń, jak również ich adekwatność oraz skuteczność mogą być jedynie przedmiotem postępowania wszczętego przez organ z urzędu. Skarga indywidualna nie służy dokonywaniu kontroli zabezpieczenia danych na wniosek osoby, której dane dotyczą. Jej funkcją jest egzekwowanie przestrzegania przepisów o ochronie danych osobowych w operacjach przetwarzania danych, które bezpośrednio wpływają na osobę, której przetwarzane dane dotyczą. Ocena prawidłowości zabezpieczeń następuje zatem wyłącznie w postępowaniu wszczętym przez organ z urzędu. W ocenie PUODO przyjęcie przeciwnego stanowiska oznaczałoby de facto możliwość zapoznania się przez wnioskodawcę w ramach postępowania przed organem ze sposobem zabezpieczenia danych (w tym danych innych osób) przez administratora danych osobowych, co samo w sobie zmniejsza poziom ochrony danych oraz może zwiększyć ryzyko naruszenia ochrony danych osobowych. Postępowanie prowadzone przez organ nadzorczy nie jest zatem ukierunkowane na pozyskanie informacji na temat stosowanych przez administratora danych zabezpieczeń oraz na przekazanie tychże informacji na rzecz osób fizycznych zainteresowanych sprawą.
Oddalając skargę Sąd I instancji podzielił stanowisko organu o bezprawności udostępnienia przez Bank danych osobowych uczestniczki osobie trzeciej. Odnosząc się do definicji przetwarzania danych Sąd wyjaśnił, że przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z warunków określonych w art. 6 ust. 1 RODO. Bezpodstawne było ujawnienie, na skutek błędu pracownika Banku, danych uczestniczki osobie trzeciej. Udostępnienie to nie znajdowało oparcia w żadnej z wymienionych w art. 6 ust. 1 RODO podstaw legalizujących proces przetwarzania danych osobowych.
W dalszej części rozważań Sąd zwrócił uwagę na prawo osoby, której dane dotyczą, wniesienia skargi do organu nadzorczego oraz na prawo do skutecznego środka ochrony prawnej przed sądem. Uczestniczka miała zatem prawo wystąpić do PUODO z indywidualną skargą, zarzucając niezgodne z przepisami RODO przetwarzanie (ujawnienie podmiotowi nieuprawnionemu) jej danych osobowych przez Bank, a PUODO był zobowiązany do rozpatrzenia tej skargi. Ustalając naruszenie przepisów RODO przez operację przetwarzania, organ prawidłowo ustalił okoliczności sprawy. Podjęcie przez Bank działań zapobiegających podobnym naruszeniom oraz skierowanie przez organ do administratora informacji, że ten podjął działania mające na celu zminimalizowanie ryzyka ponownego naruszenia, nie zwalniało organu z obowiązku rozpatrzenia skargi uczestniczki na przetwarzanie jej danych z naruszeniem przepisów RODO oraz władczego rozstrzygnięcia o tym, czy do zarzucanego naruszenia faktycznie doszło.
Podsumowując, w ocenie Sądu I instancji wzgląd na prawo osoby fizycznej, której dane dotyczą, a która sądzi, że przetwarzanie danych osobowych jej dotyczące narusza RODO, do skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu, przemawia za przyjęciem stanowiska, że osoba ta ma prawo żądania od tego organu podjęcia środków naprawczych przewidzianych w art. 58 ust. 2 RODO.
Sąd nie podzielił stanowiska Banku, iż odstąpieniu przez organ rozpatrujący skargę wniesioną na podstawie art. 77 ust. 1 RODO od nałożenia administracyjnej kary pieniężnej (pomimo stwierdzonego naruszenia RODO) może towarzyszyć niezastosowanie żadnego z przewidzianych przez prawodawcę unijnego środków prawnych służących zapewnieniu skuteczności stosowania przepisów o ochronie danych osobowych. W prawidłowo ustalonym stanie faktycznym był zobowiązany do stwierdzenia naruszenia przepisów RODO. W sytuacji, gdy nie jest możliwe przywrócenie stanu zgodnego z prawem i nieuzasadnione byłoby wymierzenie kary pieniężnej – upomnienie stanowi odpowiedni, niezbędny i proporcjonalny środek naprawczy. Materialnoprawna podstawa udzielenia upomnienia zawarta w art. 58 ust. 2 lit. b RODO nie wymaga, aby stan naruszenia był kontynuowany w dacie rozstrzygnięcia. Aktualizuje się ona "w przypadku naruszenia przepisów (...) rozporządzenia przez operacje przetwarzania". Incydentalność, czy jednorazowość naruszenia nie skutkuje zatem brakiem przedmiotu sprawy, co – w ocenie Banku – uzasadniałoby umorzenie postępowania na podstawie art. 105 § 1 k.p.a.
Skargę kasacyjną wniósł Bank, zaskarżając powyższy wyrok w całości. Zarzucił naruszenie przepisów prawa materialnego, tj.:
a) art. 4 pkt 12 w zw. z art. 4 pkt 2 RODO przez błędną ich wykładnię, polegającą na utożsamieniu zdarzenia stanowiącego skutek naruszenia ochrony danych osobowych (w rozumieniu art. 4 pkt 12 RODO) z operacją przetwarzania danych osobowych (w rozumieniu art. 4 pkt 2 RODO), w sytuacji, gdy ujawnienie podmiotowi nieuprawnionemu danych osobowych stanowi skutek naruszenia, natomiast nie stanowi operacji przetwarzania,
b) art. 6 ust. 1 RODO przez jego niewłaściwe zastosowanie w niniejszej sprawie i ocenę zdarzenia stanowiącego skutek naruszenia ochrony danych osobowych przez pryzmat przesłanek (podstaw prawnych) przetwarzania danych osobowych, w sytuacji, gdy art. 6 ust. 1 RODO odnosić należy wyłącznie do operacji przetwarzania danych osobowych (tym samym nie powinien on znajdować zastosowania w niniejszej sprawie),
c) art. 77 ust. 1 w zw. z art. 58 ust. 2 oraz w zw. z art. 33 RODO przez błędną ich wykładnię, która doprowadziła Sąd do uznania, w następstwie skargi podmiotu danych, wniesionej w związku z wystąpieniem naruszenia ochrony danych osobowych, zgłoszonego organowi w trybie art. 33 RODO, organ jest każdorazowo zobligowany do zastosowania władczego rozstrzygnięcia; w sytuacji, gdy postępowanie administracyjne prowadzone przed organem powinno zostać umorzone.
Na wypadek nieuwzględnienia zarzutów podniesionych w pkt a – c, Bank zarzucił naruszenie prawa materialnego, tj.:
d) art. 58 ust. 2 lit b) RODO w zw. z motywami 129 oraz 148 do RODO, przez ich niewłaściwe zastosowanie i uznanie, że nałożone na Bank upomnienie - w okolicznościach sprawy - stanowi środek naprawczy odpowiedni, niezbędny oraz proporcjonalny, w sytuacji, gdy upomnienie to nie spełnia żadnej z tych przesłanek.
W oparciu o tak sformułowane zarzuty Bank wniósł o uchylenie w całości zaskarżonego wyroku i rozpatrzenie skargi przez uchylenie decyzji w całości w przypadku uznania, że istota sprawy jest dostatecznie wyjaśniona. Ewentualnie wniósł o uchylenie w całości zaskarżonego wyroku i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie. Ponadto wniósł o zasądzenie zwrotu kosztów postępowania sądowoadministracyjnego, w tym kosztów zastępstwa prawnego, wg norm przepisanych.
W uzasadnieniu skargi kasacyjnej Bank rozdzielił pojęcia przetwarzania danych osobowych i naruszenia ochrony danych osobowych. Zdaniem Banku zdarzenie stanowiące naruszenie ochrony danych osobowych ze swej istoty nie znajduje oparcia w przesłankach legalizujących przetwarzanie danych osobowych, w przeciwnym wypadku nie stanowiłoby naruszenia. Dokonana przez Sąd ocena naruszenia ochrony danych, w kontekście przesłanek legalizujących operacje przetwarzania danych osobowych, stanowi działanie nieuprawnione i pozbawione logiki – wynik takiej oceny zawsze będzie negatywny. Zdarzenie polegające na nieuprawnionym ujawnieniu danych stanowi skutek naruszenia, tym samym nie należy takiego zdarzenia kwalifikować jako operacji przetwarzania danych, o których mowa w art. 4 pkt 2 RODO oraz oceniać go w kontekście art. 6 ust. 1 RODO.
Zdaniem Banku pojęcie "przetwarzania" (danych osobowych) zostało użyte w końcowym fragmencie definicji z art. 4 pkt 12 RODO, odnosząc je wyłącznie do operacji na danych osobowych, jakie dokonywane są przez administratora danych przed wystąpieniem naruszenia. Z kolei dla nazwania skutków naruszenia prawodawca unijny posłużył się takimi terminami jak "zniszczenie", "utracenie", "zmodyfikowanie", "nieuprawnione ujawnienie" oraz "nieuprawniony dostęp do danych osobowych"; nie posługując się jednak - co również istotne - w tym fragmencie definicji terminem "przetwarzanie".
Bank dokonał ponadto rozróżnienia pojęcia "naruszenia ochrony danych osobowych" od pojęcia "naruszenia przepisów o ochronie danych". To drugie pojęcie ma znaczenie szerszy zakres i może obejmować naruszenie dowolnego przepisu RODO (np. art. 6 ust. 1 lub art. 13 RODO). Z kolei "naruszenie ochrony danych osobowych" odnosić należy wyłącznie do stanu naruszenia bezpieczeństwa, a nie innych wymogów związanych z przetwarzaniem danych osobowych.
Tym samym, zdaniem Banku Sąd w błędny sposób zinterpretował przepisy art. 4 pkt 2 i pkt 12 RODO, utożsamiając zdarzenie stanowiące skutek naruszenia ochrony danych osobowych z operacją przetwarzania danych osobowych. W tej sprawie Sąd w sposób nieuprawniony zastosował art. 6 ust. 1 RODO, odnosząc ten przepis i ujęte w nim przesłanki przetwarzania danych osobowych do zdarzenia stanowiącego ujawnienie danych osobowych uczestniczki nieuprawnionej osobie.
Zdaniem Banku, Sąd powinien umorzyć postępowanie. RODO w sposób wyraźny odróżnia postępowanie organu w związku ze zgłoszeniem naruszenia danych osobowych (art. 33 RODO) od postępowania wszczynanego na skutek skarg indywidualnych podmiotów (art. 77 ust. 1 RODO) oraz postępowania wszczynanego z urzędu. W postępowaniu zainicjowanym indywidualną skargą organ może dokonać wyłącznie oceny legalności przetwarzania danych. Natomiast ogólne, stosowane przez administratora praktyki, w tym sposoby zabezpieczeń i ich adekwatność, mogą być przedmiotem postępowania wszczętego przez organ z urzędu. Organ przekroczył granice postępowania, badając ww. kwestie w postępowaniu wszczętym na podstawie art. 77 RODO. W ocenie Banku skarga indywidualna wniesiona w tego rodzaju sprawie powinna służyć nadaniu kierunku ewentualnym postępowaniom prowadzonym przez organ z urzędu (np. w przypadku gdy dochodzi do jednego "dużego" naruszenia, dotyczącego wielu osób, które następnie wnoszą skargi indywidualne do organu) czy też wskazaniu na konieczność ewentualnego wszczęcia kontroli u administratora (np. w przypadku składania powtarzających się skarg na jego działania).
W odpowiedzi na skargę kasacyjną organ wniósł o jej oddalenie. W uzasadnieniu podniósł, że podziela stanowisko zajęte przez Sąd I instancji. Pojęcia "przetwarzanie" w kontekście ochrony danych osobowych nie można ograniczyć wyłącznie do proponowanego przez Bank sposobu definiowania ograniczającego się w istocie w jego ocenie tylko do operacji na danych osobowych polegających na aktywnym, zaplanowanym działaniu podmiotu, tj. administratora lub podmiotu przetwarzającego. Nie sposób w świetle ww. definicji przetwarzania dojść do wniosków, do których doszedł Bank, według którego jeżeli udostępnienie następuje przypadkowo, na skutek błędu pracownika i nie stanowi operacji zaplanowanej przez Bank, to nie stanowi przetwarzania danych osobowych. Powyższe nie wynika w żadnym stopniu z ww. definicji przetwarzania, która nie zawiera jakichkolwiek wyłączeń w tym zakresie, ani z pozostałych przepisów RODO. Zdaniem organu, nie można zgodzić się ze stwierdzeniem Banku, że udostępnienie danych będące skutkiem odstępstwa od zasad przetwarzania danych wdrożonych przez Bank i niemieszczące się w ramach standardowych operacji i celów przetwarzania danych, nie może być badane w kontekście zaistnienia co do tego procesu odpowiedniej podstawy prawnej (przesłanki) go legalizującej. Zauważyć należy, że Bank jako administrator ponosi odpowiedzialność za przetwarzanie danych osobowych w sposób zgodny z prawem, a zatem musi zadbać, by każda operacja przetwarzania danych odbywała się w sposób zgodny z prawem, tj. znajdowała oparcie przynajmniej w jednej przesłance legalizującej, spośród wskazanych w art. 6 ust. 1 RODO.
Zdaniem organu, pojęcie "przetwarzania danych osobowych" dotyczy wszelkich operacji, odbywających się na danych osobowych, nie zaś jak twierdzi Bank, tylko tych operacji, które nie następują na skutek naruszenia bezpieczeństwa danych. Jak wskazuje się w doktrynie znaczenie, jakie przepisy RODO nadają pojęciu przetwarzania, jest znacznie szersze od rozumienia potocznego czy też treści, jaką przypisuje się mu w kontekście technicznym. Prawodawca odmiennie ujmuje te kwestie, nakazując uznanie za przetwarzanie różnych operacji na danych osobowych, niezależnie od tego, czy prowadzą one do modyfikacji treści danych, czy też nie. Chodzi o to, aby pojęciem przetwarzania objąć wszelkie operacje na danych, co ma umożliwić zapewnienie ochrony w odniesieniu do różnorodnych działań dokonywanych na danych, począwszy od gromadzenia danych poprzez rozmaite czynności, których przedmiotem są dane osobowe, a na usuwaniu danych skończywszy. Takie podejście prawodawcy motywowane jest praktycznymi doświadczeniami, z których wynika, że niektóre operacje, które potocznie nie są uznawane za przetwarzanie, zgodnie z przepisami RODO nimi są. Okoliczność, że proces przetwarzania danych osobowych odbył się zgodnie z zamiarem czy intencją administratora lub podmiotu przetwarzającego, nie ma znaczenia z perspektywy samego stwierdzenia istnienia procesu przetwarzania danych, np. udostępnienia, które może być procesem zamierzonym bądź niezamierzonym i nastąpić np. w wyniku ich nienależytego zabezpieczenia.
Naczelny Sąd Administracyjny zważył, co następuje:
Stosownie do art. 183 § 1 ustawy z 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2024 r., poz. 935 ze zm.) zwanej dalej p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183 § 2 p.p.s.a. i nie zachodzi żadna z przesłanek, o których mowa w art. 189 p.p.s.a., które Naczelny Sąd Administracyjny rozważa z urzędu dokonując kontroli zaskarżonego skargą kasacyjną wyroku. W tych okolicznościach w sprawie badaniu podlegały wyłącznie zarzuty podniesione w skardze kasacyjnej na uzasadnienie przytoczonej podstawy kasacyjnej.
W skardze kasacyjnej sformułowano wyłącznie zarzuty naruszenia prawa materialnego. Istota sprawy sprowadza się do odpowiedzi na pytanie, czy incydent kwalifikowany jako naruszenie ochrony danych osobowych może równocześnie stanowić przetwarzanie danych osobowych. W okolicznościach tej sprawy zdarzenie stanowiące wspomniane naruszenie polegało na wysłaniu przez Bank, w którym uczestniczka złożyła wniosek o założenie konta bankowego, danych osobowych uczestniczki osobie trzeciej, obejmujących imię i nazwisko, numer PESEL oraz wniosek o zawarcie umowy. Zdaniem Banku, zdarzenie stanowiące naruszenie ochrony danych osobowych ze swej istoty nie znajduje oparcia w przesłankach legalizujących przetwarzanie danych osobowych. W ocenie skarżącego kasacyjnie, zdarzenie polegające na nieuprawnionym ujawnieniu danych stanowi skutek naruszenia, tym samym nie należy takiego zdarzenia kwalifikować jako operacji przetwarzania danych. W konsekwencji, zdaniem Banku w postępowaniu zainicjowanym indywidualną skargą organ może dokonać wyłącznie oceny legalności przetwarzania danych, wobec czego organ nie może prowadzić postępowania na podstawie art. 77 RODO i w postępowaniu tym badać działania niestanowiącego przetwarzania danych osobowych.
Kluczowe znaczenie dla odpowiedzi na powyższe pytanie ma wykładnia, w tym wzajemna relacja pojęć "przetwarzania" danych osobowych z art. 4 pkt 2 i "naruszenia ochrony danych osobowych" z art. 4 pkt 12 RODO. "Przetwarzanie" oznacza "operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie". Przetwarzanie danych osobowych stanowi operację lub zestaw operacji, a więc czynność faktyczną. Prawodawca unijny posługując się w art. 4 pkt 2 RODO pojęciem "taką jak" przyjął założenie otwartego katalogu operacji przetwarzania (podobnie Fajgielski P., Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. III, art. 4, pkt 20-23). Zdaniem P. Fajgielskiego "[c]hodzi o to, aby pojęciem przetwarzania objąć wszelkie operacje na danych, co ma umożliwić zapewnienie ochrony w odniesieniu do różnorodnych działań dokonywanych na danych, począwszy od gromadzenia danych poprzez rozmaite czynności, których przedmiotem są dane osobowe, a na usuwaniu danych skończywszy. Takie podejście prawodawcy motywowane jest praktycznymi doświadczeniami, z których wynika, że niektóre operacje, które potocznie nie są uznawane za przetwarzanie (np. przechowywanie danych), pociągają za sobą poważne ryzyko dla bezpieczeństwa danych" (tamże, pkt 22).
Na szerokie rozumienie pojęcia "przetwarzania’ danych, jako każdej operacji na danych osobowych, zwraca uwagę w swoim orzecznictwie Trybunał Sprawiedliwości Unii Europejskiej. W wyroku z 24 lutego 2022 r., C-175/20, SIA "SS" PRZECIWKO VALSTS IEŅĒMUMU DIENESTS., LEX nr 3307844, pkt 35, TSUE wskazał, że "[z}godnie z art. 4 pkt 2 tego rozporządzenia zbieranie, przeglądanie, ujawnianie poprzez przesłanie lub innego rodzaju udostępnianie danych osobowych stanowią 'przetwarzanie' w rozumieniu wskazanego rozporządzenia. Z brzmienia tego przepisu, a w szczególności z wyrażenia '[każdą] operację', wynika, że prawodawca Unii zamierzał nadać pojęciu 'przetwarzania' szeroki zakres. Taką wykładnię potwierdza niewyczerpujący charakter czynności wymienionych we wspomnianym przepisie, wyrażony poprzez użycie sformułowania 'taką jak'". Podobnie w wyroku z 22 czerwca 2023 r., C-579/21, J.M. PRZECIWKO APULAISTIETOSUOJAVALTUUTETTU I PANKKI S, LEX nr 3572373, pkt 46, TSUE wywiódł, że "[w] drugiej kolejności, co się tyczy pojęcia 'przetwarzania', zdefiniowanego w art. 4 pkt 2 RODO, należy stwierdzić, że poprzez użycie wyrażenia '[każda] operacja' prawodawca Unii zamierzał nadać temu pojęciu szeroki zakres, posługując się niewyczerpującym wyliczeniem operacji dokonywanych na danych osobowych lub zestawach danych osobowych, które obejmują między innymi gromadzenie, utrwalanie, przechowywanie lub przeglądanie".
Podsumowując tę część rozważań, każda operacja wykonywana na danych osobowych stanowi ich przetwarzanie. Odniesienie się do argumentacji Banku wymaga jednak ustalenia, czy błędna wysyłka korespondencji do osoby trzeciej, zakwalifikowana jako naruszenie ochrony danych, może stanowić "operację", czy też – jak argumentuje skarżący kasacyjnie – zdarzenie polegające na nieuprawnionym ujawnieniu danych stanowi wyłącznie skutek naruszenia, tym samym nie należy takiego zdarzenia kwalifikować jako operacji przetwarzania danych.
W myśl art. 4 pkt 12 RODO, "naruszenie ochrony danych osobowych" oznacza "naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych". Bez wątpienia nadanie korespondencji do błędnego adresata, na skutek pomyłki pracownika, przez co doszło do nieuprawnionego ujawnienia danych osobowych uczestnika, stanowi naruszenie bezpieczeństwa i prowadzi do niezgodnego z prawem, nieuprawnionego dostępu do danych. Bank wskazuje, że z istoty rzeczy incydent stanowiący naruszenie ochrony danych podlega negatywnej kwalifikacji prawnej, wobec czego zawsze działanie to będzie miało charakter nielegalny, bez oparcia w przesłankach legalizujących przetwarzanie danych, wskazanych w art. 6 ust. 1 RODO.
Zdaniem Naczelnego Sądu Administracyjnego, wystąpienie naruszenia ochrony danych osobowych nie wyklucza jednak kwalifikacji czynności skutkującej wystąpieniem naruszenia jako przetwarzania danych. Do naruszenia ochrony danych może dojść zarówno na skutek działania osoby trzeciej, która w sposób nieuprawniony pozyskuje dostęp do zgromadzonych danych (np. w razie ataku hackerskiego) lub na skutek błędu czy pomyłki pracownika administratora. W doktrynie wskazuje się, że "Definicja naruszenia ochrony danych osobowych zakłada, że dojść do niego może w wyniku działania administratora lub podmiotu przetwarzającego, polegającego na przypadkowym lub niezgodnym z prawem zniszczeniu, utraceniu, zmodyfikowaniu przetwarzanych danych lub ich nieuprawnionym ujawnieniu. W przypadku daleko idących zaniedbań bezpieczeństwa możliwa jest również sytuacja pojawienia się nieuprawnionego dostępu do danych bez jednoczesnego przełamywania zabezpieczeń (co może skutkować brakiem odpowiedzialności osoby dokonującej takich operacji na danych)." (B. Fischer, M. Górski, A. Nerka, M. Sakowska-Baryła, K. Wygoda [w:] M. Sakowska-Baryła (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, wyd. 1, 2018, artykuł 4). Tym samym kwalifikacja danego incydentu jako operacji przetwarzania danych zależy od tego, czy ze strony administratora lub podmiotu przetwarzającego miało miejsce działanie mogące zostać uznane za przetwarzanie danych (i prowadzące do naruszenia ochrony danych). W niniejszej sprawie operacją na danych uczestniczki postępowania było nadanie przez Bank korespondencji zawierającej dane ww. osoby do nieuprawnionej osoby trzeciej.
Należy mieć na uwadze, że przy przyjęciu szerokiej wykładni "przetwarzania" danych, czynność ta może być oceniona zarówno jako legalna, jak i nielegalna. Skarżący kasacyjnie podnosi, że zdarzenie stanowiące naruszenie ochrony danych osobowych ze swej istoty nie znajduje oparcia w przesłankach legalizujących przetwarzanie danych osobowych. Dokonana ocena naruszenia ochrony danych, w kontekście przesłanek legalizujących operacje przetwarzania danych osobowych, zawsze da wynik negatywny. Przyjęcie wykładni proponowanej przez Bank prowadziłoby jednak do wniosku, że dane działanie administratora (operacja na danych) stanowi przetwarzanie danych wyłącznie, jeśli ma charakter zamierzony. Jeśli zaś stanowi skutek błędu administratora, to w ocenie strony ta sama operacja nie stanowi już przetwarzania danych.
W ocenie Sądu kasacyjnego art. 4 pkt 2 RODO stoi na przeszkodzie takiej wykładni pojęcia "przetwarzania" danych osobowych, aby wymogiem przetwarzania danych była umyślność. Operacja na danych osobowych jest czynnością faktyczną, która może być podejmowana zarówno umyślnie, jak i nieumyślnie – w ramach błędu, pomyłki itp. Co więcej, oceniając umyślność działania administratora należałoby mieć na uwadze stan świadomości w dacie przetwarzania danych. Okoliczność, iż już po nadaniu przesyłki – i skardze uczestniczki – Bank pozyskał informację o bezprawności wysyłki danych osobie trzeciej, nie zmienia faktu, iż samo ujawnienie danych było konsekwencją decyzji podjętej przez działającego w imieniu administratora pracownika. Tym samym, niewątpliwie miała miejsce operacja na danych osobowych, zaś następcza kwalifikacja tej operacji jako naruszenia ochrony danych powyższego ustalenia nie zmienia. NSA podziela stanowisko organu, iż okoliczność, że proces przetwarzania danych osobowych odbył się zgodnie z zamiarem czy intencją administratora lub podmiotu przetwarzającego, nie ma znaczenia z perspektywy samego stwierdzenia istnienia procesu przetwarzania danych, np. udostępnienia, które może być procesem zamierzonym bądź niezamierzonym i nastąpić np. w wyniku ich nienależytego zabezpieczenia.
Ponadto, należy odróżnić pojęcie przetwarzania danych osobowych od pojęcia bezpieczeństwa danych osobowych. Dane muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych (art. 5 ust. 1 lit. f RODO), co nie oznacza, iż operacja na danych podejmowana z naruszeniem powyższego obowiązku traci walor przetwarzania danych. Jak trafnie wskazuje Prezes UODO w odpowiedzi na skargę kasacyjną, nie można zgodzić się ze stwierdzeniem Banku, że udostępnienie danych będące skutkiem odstępstwa od zasad przetwarzania danych wdrożonych przez Bank i niemieszczące się w ramach standardowych operacji i celów przetwarzania danych, nie może być badane w kontekście zaistnienia co do tego procesu odpowiedniej podstawy prawnej (przesłanki) go legalizującej. Zauważyć należy, że Bank jako administrator ponosi odpowiedzialność za przetwarzanie danych osobowych w sposób zgodny z prawem, a zatem musi zadbać, by każda operacja przetwarzania danych odbywała się w sposób zgodny z prawem, tj. znajdowała oparcie przynajmniej w jednej przesłance legalizującej, spośród wskazanych w art. 6 ust. 1 RODO. Przyjęcie argumentacji zawartej w skardze kasacyjnej prowadziłoby do podważenia szerokiego rozumienia pojęcia "przetwarzania" danych i znacząco utrudniłoby egzekwowanie przepisów o ochronie danych osobowych, gdyż każda operacja na danych osobowych podjęta z naruszeniem przyjętych zasad bezpieczeństwa podlegałaby kwalifikacji wyłącznie jako naruszenie ochrony danych, a nie jako ich przetwarzanie.
Podsumowując, wystąpienie naruszenia ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO nie wyklucza kwalifikacji czynności skutkującej naruszeniem jako przetwarzania danych osobowych. Przetwarzaniem, tj. operacją lub zestawem operacji wykonywanych na danych osobowych, jest czynność faktyczna, niezależnie od jej podjęcia na skutek błędu lub pomyłki osoby działającej w imieniu administratora. Przetwarzanie danych osobowych może mieć miejsce w ramach przyjętych przez administratora środków bezpieczeństwa, lub z ich naruszeniem. Sama operacja na danych nie traci charakteru przetwarzania, jeśli czynność administratora jest sprzeczna z przyjętymi przez niego zasadami bezpieczeństwa danych.
Powyższe ustalenia przesądzają o nietrafności zarzutów z lit. a-b, tj. naruszenia art. 4 pkt 12 w zw. z art. 4 pkt 2 RODO oraz art. 6 ust. 1 RODO, gdyż trafnie Sąd I instancji uznał, że w sprawie miało miejsce przetwarzanie danych uczestnika postępowania, przez ujawnienie, na skutek błędu pracownika Banku, danych uczestnika osobie trzeciej. Udostępnienie to nie znajdowało oparcia w żadnej z wymienionych w art. 6 ust. 1 RODO podstaw legalizujących proces przetwarzania danych osobowych.
Odnosząc się do zarzutu naruszenia art. 77 ust. 1 w zw. z art. 58 ust. 2 oraz w zw. z art. 33 RODO należy stwierdzić, że również ten zarzut jest bezzasadny. Konsekwencją przyjętej szerokiej definicji "przetwarzania" danych jest uznanie, iż organ trafnie zastosował art. 77 ust. 1 RODO, wedle którego to przepisu "[b]ez uszczerbku dla innych administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie". Naczelny Sąd Administracyjny nie podziela stanowiska Banku, jakoby postępowanie administracyjne prowadzone przed organem powinno zostać umorzone jako bezprzedmiotowe. Prawo ochrony danych osobowych ma umocowanie konstytucyjne (art. 51 Konstytucji RP) i jego realizacja następuje m.in. w drodze skargi do organu nadzorczego, jakim jest Prezes Urzędu Ochrony Danych Osobowych (art. 77 RODO). Skoro jednostka jest dysponentem prawa do wniesienia skargi do Prezesa UODO, to z uprawnieniem tym koresponduje obowiązek organu do załatwienia sprawy i wydania orzeczenia merytorycznego, w razie stwierdzenia zaistnienia przesłanek określonych w przepisach prawa.
Wykładnia proponowana przez Bank powodowałaby iluzoryczność prawa określonego w art. 77 RODO, gdyż umorzenie postępowania doprowadziłoby do zaniechania wydania orzeczenia potwierdzającego, iż doszło do przetwarzania danych z naruszeniem przepisów rozporządzenia. W orzecznictwie przyjmuje się, że umorzenie postępowania nie niesie żadnych skutków materialnoprawnych dla strony, lecz wywiera inny skutek prawny tj. skutek procesowy - rozstrzygnięcie to kończy postępowanie administracyjne bez rozstrzygnięcia sprawy co do istoty sprawy. Następuje tak, ponieważ organ ustala, że nie ma przesłanek do merytorycznego orzekania i na tym etapie kończy się zawisłość sprawy w danej instancji. Tym samym uznaje się, że ze względu na określone przeszkody, niepozwalające na ukształtowanie stosunku materialnoprawnego, postępowanie stało się bezprzedmiotowe - brak bowiem materialnoprawnych podstaw do dokonania władczego rozstrzygnięcia (zob. wyroki NSA z 13 marca 2025 r., sygn. akt I OSK 550/24 i z 23 września 2025 r., III OSK 2576/22).
W opozycji do powyższego, decyzja, której treścią jest upomnienie Banku, stanowi potwierdzenie naruszenia zasad przetwarzania danych. Jak to trafnie wskazuje organ, skarga indywidualna, o której mowa w art. 77 ust. 1 RODO oraz zawiadomienie organu nadzorczego o stwierdzonym naruszeniu ochrony danych osobowych, o którym mowa w art. 33 ust. 1 RODO, inicjują odmienne postępowania przed organem nadzorczym. Postępowanie prowadzone przez Prezesa Urzędu Ochrony Danych Osobowych w postępowaniu dotyczącym skargi indywidualnej nie jest ukierunkowane na pozyskanie informacji na temat stosowanych przez administratora danych zabezpieczeń oraz na przekazanie tychże informacji na rzecz osób fizycznych, zainteresowanych sprawą, lecz jego celem jest zbadanie legalności przetwarzania danych osobowych konkretnej osoby wnoszącej skargę. Odnosząc się do argumentacji o ryzyku wielokrotnego nakładania upomnień w następstwie jednego (tego samego) naruszenia, co może istotnie wpływać na ocenę zgodności działań administratora z przepisami o ochronie danych osobowych, Naczelny Sąd Administracyjny wyjaśnił już, że jeżeli naruszenie praw wielu osób jest skutkiem jednego naruszenia, to należy przyjąć, że jest to jedna sprawa materialna w rozumieniu Kodeksu postępowania administracyjnego (szerzej zob. wyrok NSA z 18 czerwca 2025 r., III OSK 2496/22). Z inną sytuacją mamy do czynienia w razie prowadzenia postępowania ze skargi indywidualnej (art. 77 RODO) i postępowania wszczynanego przez organ z urzędu. O ile sama informacja o tym, że w związku z przetwarzaniem danych osobowych uczestniczki doszło do naruszenia bezpieczeństwa, związanego ze stosowanymi przez Bank zabezpieczeniami mogła stanowić część ustaleń faktycznych organu w niniejszej sprawie, to ocena prawidłowości zabezpieczeń następuje wyłącznie w postępowaniu wszczętym przez organ z urzędu.
Oceny tej nie zmienia argumentacja powołana w zarzucie naruszenia art. 58 ust 2 lit b) RODO w zw. z motywami 129 oraz 148 do RODO, przez ich niewłaściwe zastosowanie i uznanie, że nałożone na Bank upomnienie - w okolicznościach sprawy - stanowi środek naprawczy odpowiedni, niezbędny oraz proporcjonalny, w sytuacji, gdy upomnienie to nie spełnia żadnej z tych przesłanek. Trafnie Sąd I instancji uznał, że w prawidłowo ustalonym stanie faktycznym był zobowiązany do stwierdzenia naruszenia przepisów RODO. W sytuacji, gdy nie jest możliwe przywrócenie stanu zgodnego z prawem i nieuzasadnione byłoby wymierzenie kary pieniężnej – upomnienie stanowi odpowiedni, niezbędny i proporcjonalny środek naprawczy. Materialnoprawna podstawa udzielenia upomnienia zawarta w art. 58 ust. 2 lit. b RODO nie wymaga, aby stan naruszenia był kontynuowany w dacie rozstrzygnięcia.
O kosztach postepowania kasacyjnego rozstrzygnięto na podstawie art. 204 pkt. 1 w zw. z art. 205 § 2 P.p.s.a.
Mając na uwadze powyższe wywody, Naczelny Sąd Administracyjny uznał, że skarga kasacyjna nie zawiera usprawiedliwionych podstaw, dlatego na mocy art. 184 p.p.s.a. ją oddalił.