III OSK 178/23
Podsumowanie
Przejdź do pełnego tekstuSprawa dotyczyła skargi kasacyjnej Banku [...] S.A. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie, który utrzymał w mocy decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO) o udzieleniu bankowi upomnienia. Upomnienie zostało wydane w związku z udostępnieniem przez bank danych osobowych klientki (imię, nazwisko, PESEL, dane dowodu osobistego, adres, numer telefonu) osobie trzeciej, co stanowiło naruszenie ochrony danych osobowych. Bank kwestionował, czy takie zdarzenie, będące skutkiem błędu pracownika, można uznać za 'przetwarzanie danych osobowych' w rozumieniu RODO, które podlegałoby ocenie pod kątem przesłanek legalności (art. 6 ust. 1 RODO). Bank argumentował, że naruszenie ochrony danych jest czymś innym niż operacja przetwarzania i że postępowanie skargowe nie służy ocenie zabezpieczeń. Naczelny Sąd Administracyjny oddalił skargę kasacyjną, podzielając stanowisko WSA i organu nadzorczego. Sąd podkreślił, że definicja 'przetwarzania' danych osobowych w RODO jest bardzo szeroka i obejmuje wszelkie operacje na danych, w tym ujawnienie, niezależnie od tego, czy nastąpiło ono umyślnie, czy w wyniku błędu. Uznano, że udostępnienie danych osobie nieuprawnionej, nawet przypadkowe, jest operacją przetwarzania, która musi mieć podstawę prawną. NSA stwierdził również, że organ nadzorczy prawidłowo rozpatrzył skargę indywidualną, a upomnienie było adekwatnym środkiem naprawczym w tej sytuacji.
Przeanalizuj tę sprawę w pełnym kontekście orzecznictwa.
Analiza orzecznictwa · odpowiedzi na pytania · badanie przepisów · drafting pism.
Wartość praktyczna
Siła precedensu: WysokaPotwierdzenie szerokiej interpretacji pojęcia 'przetwarzania' danych osobowych w RODO, w tym przypadków wynikających z błędów ludzkich, oraz obowiązków organów nadzorczych w rozpatrywaniu skarg indywidualnych.
Orzeczenie dotyczy specyficznej sytuacji udostępnienia danych osobowych osobie nieuprawnionej, ale jego zasady dotyczące definicji przetwarzania i obowiązków organów są szeroko stosowalne w sprawach ochrony danych.
Zagadnienia prawne (2)
Czy incydent kwalifikowany jako naruszenie ochrony danych osobowych (art. 4 pkt 12 RODO) może jednocześnie stanowić przetwarzanie danych osobowych (art. 4 pkt 2 RODO) podlegające ocenie pod kątem przesłanek legalności (art. 6 ust. 1 RODO)?Ratio decidendi
Odpowiedź sądu
Tak, wystąpienie naruszenia ochrony danych osobowych nie wyklucza kwalifikacji czynności skutkującej naruszeniem jako przetwarzania danych. Przetwarzanie, tj. operacja lub zestaw operacji wykonywanych na danych osobowych, jest czynnością faktyczną, która może być podejmowana zarówno umyślnie, jak i nieumyślnie (w ramach błędu lub pomyłki), i musi mieć podstawę prawną.
Uzasadnienie
NSA, opierając się na szerokiej definicji 'przetwarzania' danych w art. 4 pkt 2 RODO oraz orzecznictwie TSUE, uznał, że każda operacja na danych osobowych, w tym ujawnienie ich osobie nieuprawnionej na skutek błędu pracownika, stanowi przetwarzanie. Takie przetwarzanie musi być zgodne z prawem, tj. mieć oparcie w jednej z przesłanek z art. 6 ust. 1 RODO. Naruszenie ochrony danych jest skutkiem takiej operacji, ale nie wyklucza jej kwalifikacji jako przetwarzania.
Czy organ nadzorczy (Prezes UODO) jest zobowiązany do merytorycznego rozpatrzenia skargi indywidualnej dotyczącej naruszenia ochrony danych osobowych, nawet jeśli naruszenie nastąpiło w wyniku błędu i nie jest już kontynuowane?Ratio decidendi
Odpowiedź sądu
Tak, organ nadzorczy jest zobowiązany do rozpatrzenia skargi indywidualnej i wydania merytorycznego orzeczenia, jeśli stwierdzi naruszenie przepisów RODO. Umorzenie postępowania nie jest właściwe, gdy istnieją podstawy do stwierdzenia naruszenia.
Uzasadnienie
NSA podkreślił, że prawo jednostki do wniesienia skargi do organu nadzorczego (art. 77 RODO) koresponduje z obowiązkiem organu do jej załatwienia. Umorzenie postępowania miałoby skutek procesowy, kończąc sprawę bez rozstrzygnięcia co do istoty, co podważałoby skuteczność ochrony prawnej. Upomnienie, jako środek naprawczy, jest właściwe, gdy nie jest możliwe przywrócenie stanu zgodnego z prawem, a kara pieniężna byłaby nieuzasadniona.
Przepisy (22)
Główne
RODO art. 4 § 2
Ogólne rozporządzenie o ochronie danych
Definicja 'przetwarzania' jest szeroka i obejmuje wszelkie operacje na danych osobowych, w tym ujawnienie, niezależnie od tego, czy nastąpiło umyślnie, czy w wyniku błędu.
RODO art. 4 § 12
Ogólne rozporządzenie o ochronie danych
Definicja 'naruszenia ochrony danych osobowych' obejmuje naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych.
RODO art. 5 § 1
Ogólne rozporządzenie o ochronie danych
RODO art. 5 § 1
Ogólne rozporządzenie o ochronie danych
lit. f - dane muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo.
RODO art. 6 § 1
Ogólne rozporządzenie o ochronie danych
Przetwarzanie danych jest zgodne z prawem tylko wtedy, gdy spełniony jest co najmniej jeden z warunków określonych w tym przepisie.
RODO art. 58 § 2
Ogólne rozporządzenie o ochronie danych
RODO art. 58 § 2
Ogólne rozporządzenie o ochronie danych
lit. b - możliwość udzielenia upomnienia jako środka naprawczego.
RODO art. 77 § 1
Ogólne rozporządzenie o ochronie danych
Prawo każdej osoby, której dane dotyczą, do wniesienia skargi do organu nadzorczego.
Pomocnicze
p.p.s.a. art. 183 § 1
Ustawa - Prawo o postępowaniu przed sądami administracyjnymi
p.p.s.a. art. 183 § 2
Ustawa - Prawo o postępowaniu przed sądami administracyjnymi
p.p.s.a. art. 189
Ustawa - Prawo o postępowaniu przed sądami administracyjnymi
p.p.s.a. art. 204 § 1
Ustawa - Prawo o postępowaniu przed sądami administracyjnymi
p.p.s.a. art. 205 § 2
Ustawa - Prawo o postępowaniu przed sądami administracyjnymi
p.p.s.a. art. 184
Ustawa - Prawo o postępowaniu przed sądami administracyjnymi
p.p.s.a. art. 151
Ustawa - Prawo o postępowaniu przed sądami administracyjnymi
k.p.a. art. 104
Kodeks postępowania administracyjnego
k.p.a. art. 105 § 1
Kodeks postępowania administracyjnego
u.o.d.o. art. 7 § 1
Ustawa o ochronie danych osobowych
u.o.d.o. art. 7 § 2
Ustawa o ochronie danych osobowych
RODO art. 4 § 7
Ogólne rozporządzenie o ochronie danych
RODO art. 33 § 1
Ogólne rozporządzenie o ochronie danych
RODO art. 51
Ogólne rozporządzenie o ochronie danych
Konstytucja RP - prawo do ochrony danych osobowych.
Argumenty
Skuteczne argumenty
Udostępnienie danych osobowych osobie nieuprawnionej, nawet w wyniku błędu pracownika, stanowi przetwarzanie danych w rozumieniu RODO. • Przetwarzanie danych musi mieć podstawę prawną zgodną z art. 6 ust. 1 RODO. • Organ nadzorczy ma obowiązek merytorycznego rozpatrzenia skargi indywidualnej. • Upomnienie jest odpowiednim środkiem naprawczym w przypadku naruszenia ochrony danych, gdy nie jest możliwe przywrócenie stanu zgodnego z prawem i nieuzasadnione jest nałożenie kary pieniężnej.
Odrzucone argumenty
Incydent bezpieczeństwa (nieuprawnione ujawnienie danych) nie jest operacją przetwarzania danych w rozumieniu RODO. • Naruszenie ochrony danych osobowych nie podlega ocenie pod kątem przesłanek legalności przetwarzania. • Postępowanie skargowe nie służy ocenie zabezpieczeń stosowanych przez administratora. • Organ nadzorczy powinien umorzyć postępowanie w przypadku skargi indywidualnej, gdy naruszenie nie jest kontynuowane.
Godne uwagi sformułowania
przetwarzanie danych osobowych jest czynnością faktyczną, która może być podejmowana zarówno umyślnie, jak i nieumyślnie • wystąpienie naruszenia ochrony danych osobowych nie wyklucza kwalifikacji czynności skutkującej naruszeniem jako przetwarzania danych • skarga indywidualna nie jest ukierunkowana na pozyskanie informacji na temat stosowanych przez administratora danych zabezpieczeń • upomnienie stanowi odpowiedni, niezbędny i proporcjonalny środek naprawczy
Skład orzekający
Małgorzata Pocztarek
przewodniczący
Zbigniew Ślusarczyk
sprawozdawca
Mariusz Kotulski
członek
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Potwierdzenie szerokiej interpretacji pojęcia 'przetwarzania' danych osobowych w RODO, w tym przypadków wynikających z błędów ludzkich, oraz obowiązków organów nadzorczych w rozpatrywaniu skarg indywidualnych."
Ograniczenia: Orzeczenie dotyczy specyficznej sytuacji udostępnienia danych osobowych osobie nieuprawnionej, ale jego zasady dotyczące definicji przetwarzania i obowiązków organów są szeroko stosowalne w sprawach ochrony danych.
Wartość merytoryczna
Ocena: 7/10
Sprawa wyjaśnia kluczowe kwestie interpretacyjne RODO dotyczące definicji przetwarzania danych i naruszenia ochrony danych, co jest niezwykle istotne dla praktyków ochrony danych i prawników. Pokazuje, że nawet błąd pracownika może mieć poważne konsekwencje prawne.
“Błąd pracownika banku kosztował go proces w NSA: udostępnienie danych to wciąż przetwarzanie!”
Twój asystent do analizy prawnej.
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka 1,4 mln orzeczeń i aktualne akty prawne.
- Analiza orzecznictwa i przepisów
- Drafting pism i dokumentów
- Odpowiedzi na pytania prawne
- Pogłębiona analiza z doktryny
Pełny tekst orzeczenia
Oryginalna treść postanowienia (niezmieniona). Otwiera się jako osobna strona.