III OSK 1830/22
Podsumowanie
Przejdź do pełnego tekstuNaczelny Sąd Administracyjny rozpoznał skargę kasacyjną Prezesa Urzędu Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie, który uchylił decyzję Prezesa UODO nakładającą karę pieniężną na spółkę za naruszenie przepisów RODO. Spółka naruszyła obowiązek zgłoszenia naruszenia ochrony danych osobowych (niezwłoczne wysłanie wiadomości email z danymi innej osoby do byłego klienta) oraz obowiązek zawiadomienia osoby, której dane dotyczą. WSA uznał, że organ nie wykazał wystarczająco przekonująco, że naruszenie mogło powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, co było podstawą do uchylenia decyzji. NSA, uchylając wyrok WSA, stwierdził, że ujawnienie numeru PESEL w połączeniu z innymi danymi osobowymi, takimi jak imię i nazwisko, stanowi wysokie ryzyko naruszenia praw i wolności, w tym kradzieży tożsamości czy zaciągania zobowiązań na cudze dane. Sąd podkreślił, że ocena ryzyka nie wymaga materializacji szkody, a jedynie pojawienia się wysokiego ryzyka. NSA uznał również, że uzasadnienie decyzji Prezesa UODO było wystarczające i odpowiadało wymogom art. 107 § 3 k.p.a., a WSA błędnie zinterpretował przepisy RODO dotyczące obowiązku zawiadomienia o naruszeniu.
Przeanalizuj tę sprawę w pełnym kontekście orzecznictwa.
Analiza orzecznictwa · odpowiedzi na pytania · badanie przepisów · drafting pism.
Wartość praktyczna
Siła precedensu: WysokaInterpretacja pojęcia 'wysokiego ryzyka' naruszenia ochrony danych osobowych w kontekście ujawnienia PESEL i innych danych, a także wymogów uzasadnienia decyzji administracyjnych w sprawach ochrony danych.
Orzeczenie dotyczy konkretnego stanu faktycznego, ale jego wykładnia przepisów RODO ma szersze zastosowanie.
Zagadnienia prawne (2)
Czy naruszenie ochrony danych osobowych polegające na ujawnieniu numeru PESEL wraz z innymi danymi osobowymi byłemu klientowi, może powodować wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, obligujące administratora do zawiadomienia tej osoby zgodnie z art. 34 ust. 1 RODO?Ratio decidendi
Odpowiedź sądu
Tak, ujawnienie numeru PESEL w połączeniu z innymi danymi osobowymi stanowi wysokie ryzyko naruszenia praw i wolności osoby fizycznej, co nakłada na administratora obowiązek zawiadomienia tej osoby.
Uzasadnienie
NSA uznał, że ujawnienie PESEL wraz z innymi danymi osobowymi, nawet jeśli nie doszło do materializacji szkody, stwarza wysokie ryzyko naruszenia praw i wolności, w tym kradzieży tożsamości i zaciągania zobowiązań na cudze dane, co obliguje administratora do zawiadomienia osoby, której dane dotyczą.
Czy uzasadnienie decyzji Prezesa UODO było wystarczające i zgodne z wymogami art. 107 § 3 k.p.a. w zakresie wyjaśnienia przesłanek uznania wysokiego ryzyka naruszenia praw lub wolności osób fizycznych?Ratio decidendi
Odpowiedź sądu
Tak, uzasadnienie decyzji Prezesa UODO było wystarczające i odpowiadało wymogom art. 107 § 3 k.p.a., ponieważ organ szczegółowo przedstawił stan faktyczny, analizę ryzyka oraz podstawy prawne swojej decyzji.
Uzasadnienie
NSA stwierdził, że WSA błędnie ocenił poprawność uzasadnienia decyzji Prezesa UODO. Organ szczegółowo przedstawił stan faktyczny, analizę ryzyka oraz odniósł się do twierdzeń administratora, wyjaśniając, dlaczego uznał naruszenie art. 34 ust. 1 RODO. Odmienna ocena przesłanki materialnoprawnej przez sąd nie stanowi o naruszeniu art. 107 § 3 k.p.a.
Przepisy (24)
Główne
p.p.s.a. art. 185 § 1
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
RODO art. 33 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 34 § 1, 2 i 4
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Pomocnicze
p.p.s.a. art. 145 § 1 pkt 1 lit. c
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
p.p.s.a. art. 183 § 1
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
p.p.s.a. art. 174
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
p.p.s.a. art. 183 § 2
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
p.p.s.a. art. 203 § 2
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądem administracyjnym
p.p.s.a. art. 205 § 2
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądem administracyjnym
k.p.a. art. 104 § 1
Kodeks postępowania administracyjnego
k.p.a. art. 8 § 1 i 2
Kodeks postępowania administracyjnego
k.p.a. art. 11
Kodeks postępowania administracyjnego
k.p.a. art. 107 § 3
Kodeks postępowania administracyjnego
u.o.d.o. art. 7 § 1
Ustawa o ochronie danych osobowych
u.o.d.o. art. 60
Ustawa o ochronie danych osobowych
u.o.d.o. art. 101
Ustawa o ochronie danych osobowych
u.o.d.o. art. 103
Ustawa o ochronie danych osobowych
RODO art. 57 § 1 lit. a
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 58 § 2 lit. e) oraz i)
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 83 § 1 i 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 83 § 4 lit. a
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 6 § 1 lit. f
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Konstytucja RP art. 51 § 1
Konstytucja Rzeczypospolitej Polskiej
Konstytucja RP art. 45 § 1 i 78
Konstytucja Rzeczypospolitej Polskiej
Argumenty
Skuteczne argumenty
Naruszenie przepisów prawa materialnego przez błędną wykładnię art. 34 ust. 1 RODO w zw. z art. 33 ust. 1 RODO. • Naruszenie przepisów postępowania, tj. art. 145 § 1 pkt 1 lit. c) w zw. z art. 107 § 3 k.p.a. poprzez uznanie, że organ nie wyjaśnił dostatecznie przesłanek uznania wysokiego ryzyka naruszenia praw lub wolności osób fizycznych.
Odrzucone argumenty
Argumenty spółki w odpowiedzi na skargę kasacyjną, wnoszące o jej oddalenie.
Godne uwagi sformułowania
ujawnienie numeru PESEL wiąże się z różnymi ryzykami, które mogą skutkować poważnymi konsekwencjami dla posiadacza tego identyfikatora. • Fakt, iż Sąd pierwszej instancji nie podzielił stanowiska prezentowanego w tej kwestii przez organ w uzasadnieniu zaskarżonej decyzji, nie stanowi o naruszeniu art. 107 § 3 k.p.a. • Ustalenie, że prawdopodobieństwo naruszenia praw lub wolności osoby fizycznej nie jest małe w połączeniu ze wskazaną wyżej wysoką wagą potencjalnego wpływu naruszenia na prawa lub wolności osoby fizycznej przesądza o możliwości wystąpienia wysokiego ryzyka naruszenia praw lub wolności tej osoby.
Skład orzekający
Hanna Knysiak - Sudyka
sprawozdawca
Rafał Stasikowski
członek
Tamara Dziełakowska
przewodniczący
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Interpretacja pojęcia 'wysokiego ryzyka' naruszenia ochrony danych osobowych w kontekście ujawnienia PESEL i innych danych, a także wymogów uzasadnienia decyzji administracyjnych w sprawach ochrony danych."
Ograniczenia: Orzeczenie dotyczy konkretnego stanu faktycznego, ale jego wykładnia przepisów RODO ma szersze zastosowanie.
Wartość merytoryczna
Ocena: 7/10
Sprawa dotyczy powszechnego problemu ochrony danych osobowych i potencjalnych konsekwencji ich wycieku, co jest tematem budzącym duże zainteresowanie.
“Wyciek PESEL to nie tylko problem, to wysokie ryzyko. Czy Twoja firma jest na to gotowa?”
Twój asystent do analizy prawnej.
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka 1,4 mln orzeczeń i aktualne akty prawne.
- Analiza orzecznictwa i przepisów
- Drafting pism i dokumentów
- Odpowiedzi na pytania prawne
- Pogłębiona analiza z doktryny
Pełny tekst orzeczenia
Oryginalna treść postanowienia (niezmieniona). Otwiera się jako osobna strona.