III OSK 1927/24

III OSK 1927/24 - Wyrok NSA
Data orzeczenia
2026-02-27
orzeczenie prawomocne
Data wpływu
2024-07-09
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Mariusz Kotulski
Przemysław Szustakiewicz /przewodniczący sprawozdawca/
Wojciech Jakimowicz
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Inne
Sygn. powiązane
II SA/Wa 1459/23 - Wyrok WSA w Warszawie z 2024-03-13
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę kasacyjną
Powołane przepisy
Dz.U. 2024 poz 935
art. 184
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Przemysław Szustakiewicz (spr.) Sędziowie: Sędzia NSA Wojciech Jakimowicz Sędzia del. WSA Mariusz Kotulski po rozpoznaniu w dniu 27 lutego 2026 r. na posiedzeniu niejawnym w Izbie Ogólnoadministracyjnej skargi kasacyjnej [...] S.A. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 13 marca 2024 r., sygn. akt II SA/Wa 1459/23 w sprawie ze skargi [...] S.A. [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 30 maja 2023 r., nr DS.523.2361.2020.PR.PB w przedmiocie przetwarzania danych osobowych oddala skargę kasacyjną.
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie, wyrokiem z dnia 13 marca 2024 r., sygn. akt II SA/Wa 1459/23, oddalił skargę [...] S.A. [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 30 maja 2023 r., nr DS.523.2361.2020.PR.PB w przedmiocie przetwarzania danych osobowych.
Wyrok został wydany w następującym stanie faktycznym i prawnym spawy:
Prezes Urzędu Ochrony Danych Osobowych, decyzją z 30 maja 2023 r., nr DS.523.2361.2020.PR.PB, na podstawie art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), art. 5 ust. 1 lit. f, art. 6 ust. 1, art. 28 ust. 1 oraz art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35, dalej "RODO"), udzielił [...] S.A. [...] upomnienia za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO, polegające na ujawnieniu danych osobowych J.K. w zakresie imienia, nazwiska, adresu, numeru telefonu, numeru PESEL i/lub numeru dowodu osobistego, numeru kontaktowego/adresu emalii (jeśli podano) podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz [...] S.A.
W uzasadnieniu decyzji organ wskazał, że do UODO wpłynęła skarga J.K. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Spółkę, polegające na naruszeniu ochrony jego danych w zakresie imienia, nazwiska, adresu, numeru telefonu, numeru PESEL i/lub numeru dowodu osobistego, poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz Spółki. W toku postępowania Prezes UODO, ustalił, że uczestnik jest klientem Spółki od 19 października 2018 r. Spółka w dniu 14 maja 2018 r. zawarła umowę powierzenia przetwarzania danych z P. sp. z o.o. Na podstawie tej umowy P. sp. z o.o. przetwarza w imieniu Spółki dane osobowe klientów Spółki w celu ich przechowywania wraz z usługami towarzyszącymi, archiwizacji cyfrowej dokumentów oraz skanowania dokumentacji wraz z indeksacją opisową na rzecz Spółki. Następnie organ podał, że Spółka w dniu 18 kwietnia 2020 r. zgłosiła Prezesowi UODO naruszenie bezpieczeństwa danych osobowych, wskazując, że w dniu 16 kwietnia 2020 r. powzięła informację o możliwym naruszeniu bezpieczeństwa danych osobowych. Ustaliła, że do naruszenia poufności danych osobowych doszło w środowisku informatycznym podmiotu przetwarzającego – P. sp. z o.o. oraz ustaliła, że naruszenie to obejmowało pomocniczą bazę archiwum cyfrowego zawierającą indeksy wyszukiwania. Jeden z portów tej bazy znajdującej się w chmurze nie został zabezpieczony hasłem, co umożliwiało osobom nieupoważnionym dostęp do tej bazy w okresie od 12 do 16 kwietnia 2020 r. Po stwierdzeniu naruszenia bezpieczeństwa danych osobowych dostęp do bazy został zablokowany poprzez wdrożenie zabezpieczeń przez P. sp. z o.o. Ponadto Spółka ustaliła, że w przypadku uczestnika doszło do naruszenia poufności danych osobowych w zakresie imienia, nazwiska, adresu, numeru PESEL, numeru dowodu osobistego, numeru kontaktowego/adresu e-mail (jeśli podano) oraz danych dotyczących umowy. Następnie organ podał, że w postępowaniu prowadzonym pod sygnaturą DKN.5130.2215.2020 ustalono, że w wyniku pozostawienia bazy danych klientów Spółki na niezabezpieczonym serwerze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Pierwsze połączenie nastąpiło dnia 15 kwietnia 2020 r. pomiędzy godz. 19:22 a godz. 20:58. Aktywność ta może wskazywać na skopiowanie danych o rozmiarze ok. 5 MB. Natomiast drugie połączenie trwało od 15 kwietnia 2020 r. godz. 23:00 do 16 kwietnia 2020 r. godz. 04:06. W jego wyniku mogło dojść do pobrania danych o wolumenie ok. 11 GB. W tym stanie faktycznym Prezes UODO, mając na względzie art. 6 ust. 1 RODO, wskazał, że uczestnik jest klientem Spółki, wobec czego podstawę prawną uprawniającą Spółkę do przetwarzania jego danych osobowych stanowi art. 6 ust. 1 lit. b RODO. Spółka jest zatem uprawniona do przetwarzania danych osobowych uczestnika, ale nie w zakresie ujawnienia jego danych osobowych poprzez ich udostępnienie. Prezes UODO stwierdził, że co prawda do naruszenia bezpieczeństwa danych osobowych doszło w środowisku informatycznym podmiotu P. sp. z o.o., jednak w procesie przetwarzania danych osobowych działała ona jako podmiot przetwarzający, a zatem w imieniu i na rzecz Spółki. W związku z tym, to Spółka ponosi odpowiedzialność za naruszenie. Ujawnienie danych osobowych uczestnika podmiotom i osobom do tego nieupoważnionym, odbyło się z naruszeniem przez Spółkę, jako administratora danych, przepisów ochrony danych osobowych (art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO). Spółka naruszyła również zasadę poufności poprzez przetwarzanie danych uczestnika w sposób niezapewniający im odpowiedniego bezpieczeństwa. W konkluzji organ stwierdził, że Spółka dopuściła się naruszenia art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO poprzez ujawnienie danych osobowych uczestnika podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum. W związku z powyższym, na podstawie art. 58 ust. 2 lit. b RODO udzielił Spółce upomnienia.
Z powyższą decyzją nie zgodziło się [...] S.A., wnosząc skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie.
W odpowiedzi na skargę Prezes UODO wniósł o jej oddalenie.
Powołanym na wstępie wyrokiem, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024 r., poz. 935, dalej "P.p.s.a.") uznał, że skarga nie zasługuje na uwzględnienie.
W uzasadnianiu rozstrzygnięcia Sąd pierwszej instancji wyjaśnił, że zgodnie z art. 5 ust. 1 lit. f RODO dane osobowe powinny być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem (zasada poufności danych). Poufność danych należy rozumieć w ten sposób, że nie będą one udostępniane osobom i podmiotom nieuprawnionym. Dane osobowe powinny być również odpowiednio chronione przed przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (zasada integralności danych). Integralność chroni dane przed ich nieuprawnionym zniszczeniem lub uszkodzeniem. W celu wypełnienia zasady poufności i integralności danych administrator (a także podmiot przetwarzający) wdraża odpowiednie środki techniczne i organizacyjne. Ustęp 2 komentowanego artykułu stanowi, że administrator jest odpowiedzialny za przestrzeganie omówionych powyżej zasad i powinien być w stanie wykazać ich przestrzeganie. Przepisy nakładają bowiem na administratora obowiązki w zakresie przestrzegania zasad i obarczają go odpowiedzialnością za ich naruszenie.
Stwierdzenie, że administrator powinien być w stanie wykazać przestrzeganie zasad, odczytywać można jako nałożenie na administratora ciężaru dowodowego w zakresie przestrzegania zasad przetwarzania danych. W razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym, administrator powinien być w stanie przedstawić dowody na to, że przestrzega zasad. W przypadku naruszenia, do którego doszło, to na administratorze spoczywa obowiązek wykazania, iż omówione wyżej zasady były przestrzegane. Okolicznością niesporną w sprawie jest zaś to, że miało miejsce naruszenie ochrony danych osobowych klientów Spółki, w tym danych osobowych uczestnika postępowania, poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy, tj. P. sp. z o.o., świadczącego usługi przechowywania danych klientów Spółki wraz z usługami towarzyszącymi cyfrowego archiwum na rzecz Spółki oraz skanowania dokumentacji wraz z indeksacją opisową. Naruszenie obejmowało pomocniczą bazę archiwum cyfrowego zawierającą indeksy wyszukiwania. Poza sporem pozostaje także fakt, że w wyniku niezabezpieczenia hasłem jednego z portów bazy znajdującej się w chmurze doszło do dwóch nieuprawnionych połączeń z bazą co umożliwiło dostęp do pomocniczej bazy archiwum cyfrowego zawierającej indeksy wyszukiwania, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Spółka ustaliła, że w przypadku uczestnika doszło do naruszenia poufności danych osobowych w zakresie imienia, nazwiska, adresu, numeru PESEL, numeru dowodu osobistego, numeru kontaktowego/adresu e-mail (jeśli podano) oraz danych dotyczących umowy (numer umowy oraz numer punktu poboru).
W świetle powyższego nie budzi wątpliwości poprawność konkluzji organu, że administrator danych osobowych i podmiot zewnętrzny, którym posługiwał się przy przetwarzaniu danych, nie wdrożyli należytego zabezpieczenia przetwarzanych danych. Całokształt materiału dowodowego świadczy też o tym, że administrator danych nie wykazał, by w sposób poprawny przeprowadził analizę ryzyka. Do naruszenia bezpieczeństwa danych osobowych doszło w środowisku informatycznym podmiotu P. sp. z o.o., jednak w procesie przetwarzania danych osobowych działał on jako podmiot przetwarzający, a zatem w imieniu i na rzecz Spółki. W związku z tym, to Spółka ponosi odpowiedzialność za naruszenie. Sąd pierwszej instancji mając na uwadze powyższe rozważania uznał, że ujawnienie danych osobowych uczestnika podmiotom i osobom do tego nieupoważnionym, odbyło się z naruszeniem przez Spółkę, jako administratora danych, przepisów ochrony danych osobowych (art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO). Spółka naruszyła również zasadę poufności poprzez przetwarzanie danych uczestnika w sposób niezapewniający im odpowiedniego bezpieczeństwa.
Od powyższego wyroku skargę kasacyjną wywiodła [...] S.A., zaskarżając wyrok w całości i domagając się uchylenia w całości zaskarżonego wyroku i rozpoznania skargi, ewentualnie uchylenia zaskarżonego wyroku w całości i przekazania sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie; rozpoznania skargi kasacyjnej na posiedzeniu niejawnym oraz zasądzenia kosztów postępowania, w tym kosztów zastępstwa procesowego według norm prawem przepisanych. Zaskarżonemu wyrokowi zarzucono naruszenie:
1. art. 145 § 1 pkt 1 lit. c) P.p.s.a. w zw. z art. 6, art. 7, art. 8 § 1 i 2, art. 77 § 1, art. 80 oraz art. 107 § 3 k.p.a. w zw. z art. 7 ust. 1 ustawy o ochronie danych osobowych polegające na niezastosowaniu zasad ogólnych postępowania administracyjnego: prawdy obiektywnej, pogłębiania zaufania obywateli do organów administracji publicznej, wyjaśnienia zasadności przesłanek (zasady przekonywania) oraz obowiązku zebrania i rozpatrzenia całego materiału dowodowego w sposób wyczerpujący, co doprowadziło do oddalenia skargi dotyczącej wydania przez organ wadliwej i przedwczesnej decyzji, która nie została oparta na prawidłowo ustalonym stanie faktycznym;
2. art. 6 ust. 1 lit. f w zw. z art. 5 ust. 1 lit. f w zw. z 32 RODO poprzez ich błędną wykładnię, skutkującą przyjęciem, że strona skarżąca przetwarzała dane osobowe uczestnika postępowania poprzez ich ujawnienie osobom nieupoważnionym, a zatem bez podstawy prawnej, gdy tymczasem strona skarżąca posiadała podstawę prawną do przetwarzania danych osobowych uczestnika postępowania i nie dokonywała ujawnienia danych osobom nieupoważnionym.
W uzasadnieniu skargi kasacyjnej podniesiono, że organ nie ustalił czy rzeczywiście i w jakim zakresie doszło do naruszenia zasady poufności z art. 5 ust. 1 lit. f RODO. Ponadto organ nie ustalił na czym dokładnie polegało rzekome naruszenie danych osobowych, w tym tego czy jakiekolwiek dane osobowe "wyciekły" z bazy danych, ani jakie to były rzeczywiście dane, co oznacza brak ustaleń co do skutków naruszenia. Dodatkowo podniesiono, że WSA w Warszawie ocenił materiał dowodowy w sposób wadliwy opierając się na stanie faktycznym błędnie ustalonym w decyzji Prezesa UODO w sprawie o sygnaturze DKN.5130.2215.202, która to decyzja została uchylona wyrokiem WSA w Warszawie z dnia 10 października 2022 r., sygn. akt II SA/Wa 567/22. Skarżąca kasacyjnie Spółka podniosła, że posiadała podstawę przetwarzania danych osobowych uczestnika postępowania w postaci zawartej z nią umowy (art. 6 ust. 1 lit. b RODO), a następnie, podstawę do dalszego przetwarzania danych osobowych uczestnika postępowania (po rozwiązaniu umowy) stanowił art. 6 ust. 1 lit. c RODO. W niniejszej sprawie celem przetwarzania danych osobowych uczestnika nigdy nie było ujawnienie jej danych. Osoby lub podmioty, które potencjalnie mogły uzyskać dostęp do danych osobowych klientki administratora nie są w żadnym razie odrębnymi administratorami danych, na rzecz których ujawnienie nastąpiło. Spółka podkreśliła, że przetwarzała dane osobowe uczestnika wyłącznie na podstawie art. 6 ust. 1 lit. b RODO i nie dokonywała ich ujawnienia innym administratorom.
W odpowiedzi na skargę kasacyjną Prezes UODO wniósł o jej oddalenie jako bezzasadnej.
Pismem z dnia 18 lipca 2024 r. skarżąca kasacyjnie Spółka wniosła replikę do odpowiedzi na skargę kasacyjną, podtrzymując stanowisko przedstawione w skardze kasacyjnej.
W piśmie z dnia 16 września 2024 r. Prezes UODO podtrzymał swoje stanowisko w sprawie, wnosząc o oddalenie skargi kasacyjnej.
Naczelny Sąd Administracyjny zważył, co następuje:
Zgodnie z art. 182 § 2 P.p.s.a. Naczelny Sąd Administracyjny rozpoznaje skargę kasacyjną na posiedzeniu niejawnym, gdy strona, która ją wniosła, zrzekła się rozprawy, a pozostałe strony, w terminie czternastu dni od dnia doręczenia skargi kasacyjnej, nie zażądały przeprowadzenia rozprawy. Ponieważ w rozpoznawanej sprawie skarżąca kasacyjnie zrzekła się rozprawy, a pozostałe strony, w ustawowym terminie czternastu dni, nie zażądały jej przeprowadzenia, skarga kasacyjna została rozpoznana na posiedzeniu niejawnym.
Stosownie natomiast do treści art. 183 § 1 P.p.s.a. Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W niniejszej sprawie nie występują przesłanki nieważności postępowania sądowoadministracyjnego enumeratywnie wskazane w art. 183 § 2 P.p.s.a., wobec czego rozpoznanie sprawy nastąpiło w granicach zgłoszonych podstaw i zarzutów skargi kasacyjnej.
W skardze kasacyjnej zarzucono naruszenie prawa materialnego, jak i naruszenie przepisów postępowania. W pierwszej kolejności rozpoznaniu podlegały zarzuty naruszenia przepisów postępowania, ponieważ dopiero po przesądzeniu, że stan faktyczny przyjęty przez Sąd pierwszej instancji w zaskarżonym wyroku jest prawidłowy albo nie został skutecznie podważony, można przejść do skontrolowania procesu subsumcji danego stanu faktycznego pod zastosowany przez ten Sąd przepis prawa materialnego.
Odnosząc się zatem do zarzutu skargi kasacyjnej dotyczącego naruszenia przepisów postępowania, tj. art. 145 § 1 pkt 1 lit. c) P.p.s.a. w zw. z art. 6, art. 7, art. 8 § 1 i 2, art. 77 § 1, art. 80 oraz art. 107 § 3 k.p.a. w zw. z art. 7 ust. 1 ustawy o ochronie danych osobowych, uznać należy, że jest on nieskuteczny.
Zgodnie z brzmieniem art. 145 § 1 pkt 1 lit. c P.p.s.a. Sąd uwzględniając skargę na decyzję lub postanowienie uchyla decyzję lub postanowienie w całości albo w części, jeżeli stwierdzi inne naruszenie przepisów postępowania, jeżeli mogło ono mieć istotny wpływ na wynik sprawy. Tymczasem w niniejszej sprawie Sąd pierwszej instancji oddalił skargę na podstawie art. 151 P.p.s.a., a zatem nie stosował art. 145 § 1 pkt 1 lit. c P.p.s.a., co oznacza, że nie mógł go naruszyć.
Zgodnie z ogólnymi zasadami postępowania administracyjnego, organy administracji stoją na straży praworządności i podejmują kroki niezbędne do dokładnego ustalenia stanu faktycznego oraz do załatwienia sprawy, mając na względzie interes społeczny i słuszny interes obywateli (art. 7 k.p.a.). Organy administracji publicznej prowadzą postępowanie w sposób budzący zaufanie jego uczestników do władzy publicznej, kierując się zasadami proporcjonalności, bezstronności i równego traktowania (art. 8 § 1 k.p.a.). Organy administracji publicznej są również zobowiązane w sposób wyczerpujący zebrać i rozpatrzyć cały materiał dowodowy (art. 77 § 1 k.p.a.) i dopiero na podstawie całokształtu materiału dowodowego ocenić, czy dana okoliczność została udowodniona (art. 80 k.p.a.). Stosownie do przytoczonego w podstawie kasacyjnej art. 77 § 1 k.p.a., na organie administracji publicznej spoczywa obowiązek zebrania w sposób wyczerpujący całego materiału dowodowego sprawy niezbędnego do jej wyjaśnienia. Postępowanie wyjaśniające prowadzone przez organ administracji publicznej powinno być zakończone po zbadaniu wszystkich okoliczności faktycznych istotnych dla danej sprawy, których zakres określają przepisy prawa materialnego mające zastosowanie w sprawie.
Dokonując kontroli legalności zaskarżonej decyzji, poprzez analizę dokumentów zawartych w aktach administracyjnych, WSA w Warszawie zasadnie nie dopatrzył się tego rodzaju uchybień, które musiałyby skutkować wyeliminowaniem z obrotu prawnego kwestionowanej decyzji. Sąd pierwszej instancji zasadnie uznał, że Prezes UODO przeprowadził postępowanie zgodnie z zawartym w art. 7 k.p.a. nakazem dokładnego wyjaśnienia stanu faktycznego sprawy oraz określonym w art. 77 § 1 k.p.a. obowiązkiem zebrania i rozpatrzenia w sposób wyczerpujący materiału dowodowego. Z akt administracyjnych bezspornie wynika bowiem, że doszło do naruszenia bezpieczeństwa danych osobowych przetwarzanych przez skarżącą kasacyjnie Spółkę. Naruszenie to polegało na niezabezpieczeniu hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze co doprowadziło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Incydent ten doprowadził do naruszenia poufności danych osobowych uczestnika postępowania w zakresie imienia, nazwiska, adresu, numeru PESEL, numeru dowodu osobistego, numeru kontaktowego/adresu e-mail (jeśli podano), danych dotyczących umowy (numer umowy) oraz numeru punktu poboru. Organ ustalił tym samym, że doszło do naruszenia bezpieczeństwa danych osobowych, na czym to naruszenie polegało oraz jakie dane osobowe zostały ujawnione. Sąd pierwszej instancji zasadnie zatem uznał, że organ ustalił wszystkie istotne do załatwienia sprawy okoliczności faktyczne i prawne, a zgromadzony w sprawie materiał dowodowy ma walor kompletności, zaś jego ocena nie nosi znamion dowolności. Na gruncie reguł i norm procesowych wyprowadził logicznie uprawnione i merytorycznie trafne wnioski. Trafnie też ocenił, że zaskarżona decyzja zawiera uzasadnienie faktyczne i prawne wyczerpująco wyjaśniając zasadność przesłanek, którymi kierował się organ przy załatwianiu sprawy. W tych okolicznościach należało zgodzić się z Sądem pierwszej instancji, który w całości podzielił ustalenia organu i wyrażoną przez niego ocenę prawną stanu faktycznego. W konsekwencji powyższego, Sąd pierwszej instancji prawidłowo, na podstawie art. 151 P.p.s.a., oddalił skargę.
Odnosząc się do sformułowanego w uzasadnieniu skargi kasacyjnej zarzutu, że WSA w Warszawie ocenił materiał dowodowy w sposób wadliwy, opierając się na stanie faktycznym błędnie ustalonym w decyzji Prezesa UODO w sprawie o sygnaturze DKN.5130.2215.202, która to decyzja została uchylona wyrokiem WSA w Warszawie z dnia 10 października 2022 r., sygn. akt II SA/Wa 567/22, wskazać informacyjnie należy, że wyrok ten został uchylony wyrokiem Naczelnego Sądu Administracyjnego z dnia 6 lutego 2026 r., sygn. akt III OSK 445/23, a sprawę przekazano do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie. Naczelny Sąd Administracyjny w powyższym orzeczeniu uznał, że wbrew stanowisku Sądu pierwszej instancji wyrażonym w uchylonym wyroku, w sprawie tej wszystkie istotne okoliczności z punktu widzenia przedmiotu postępowania zostały wyjaśnione, a zgromadzony w sprawie obszerny materiał dowodowy został poddany wszechstronnej i odpowiadającej prawu ocenie. Dlatego powoływanie się przez skarżącą kasacyjnie Spółkę na wyrok WSA w Warszawie z dnia 10 października 2022 r., sygn. akt II SA/Wa 567/22, nie mogło odnieść zamierzonego skutku.
Na akceptację nie zasługuje również zarzut naruszenia prawa materialnego polegający na błędnej wykładni art. 6 ust. 1 lit. f w zw. z art. 5 ust. 1 lit. f w zw. z art. 32 RODO, skutkującej przyjęciem, że skarżąca kasacyjnie Spółka przetwarzała dane osobowe uczestnika poprzez ich ujawnienie osobom nieupoważnionym, a zatem bez podstawy prawnej, gdy tymczasem skarżąca kasacyjnie Spółka posiadała podstawę prawną do przetwarzania danych osobowych uczestnika.
W związku z atak sformułowanym zarzutem wskazać należy, że naruszenie prawa materialnego może przejawiać się w dwóch postaciach: jako błędna wykładnia albo jako niewłaściwe zastosowanie określonego przepisu prawa. Podnosząc zarzut naruszenia prawa materialnego przez jego błędną wykładnię, skarżący kasacyjnie powinien wykazać, na czym polega błędne rozumienie tych przepisów i jaka, jej zdaniem, powinna być ich prawidłowa wykładnia. Uzasadniając natomiast zarzut niewłaściwego zastosowania przepisu prawa materialnego skarżący kasacyjnie winien wykazać, że Sąd, stosując przepis, popełnił błąd subsumcji, czyli że niewłaściwie uznał, że stan faktyczny przyjęty w sprawie nie odpowiada stanowi faktycznemu zawartemu w hipotezie normy prawnej zawartej w przepisie prawa. W niniejszej sprawie skarżąca kasacyjnie Spółka nie wykazała na czym polega, w jej ocenie, błędne rozumienie art. 6 ust. 1 lit. f w zw. z art. 5 ust. 1 lit. f i art. 32 RODO przez WSA w Warszawie, jak również nie wykazała jaka powinna być ich prawidłowa wykładnia. Treść sformułowanego w skardze kasacyjnej zarzutu wskazuje natomiast, że skarżąca kasacyjnie Spółka za jego pomocą kwestionuje ustalenia i ocenę w zakresie stanu faktycznego sprawy. Dlatego też należy wyjaśnić, że zarzutem naruszenia prawa materialnego nie można zwalczać ustaleń faktycznych przyjętych w sprawie. Niedopuszczalne jest bowiem zastępowanie zarzutu naruszenia przepisów postępowania zarzutem naruszenia prawa materialnego i za jego pomocą kwestionowanie ustaleń faktycznych. Ocena zasadności zarzutu naruszenia prawa materialnego może być dokonana wyłącznie na podstawie ustalonego w sprawie stanu faktycznego, nie zaś na podstawie stanu faktycznego, który strona skarżąca uznaje za prawidłowy (por. wyrok NSA z 13 sierpnia 2013 r. II GSK 717/12, wyrok NSA z 4 lipca 2013 r. I GSK 934/12). Niepodważony stan faktyczny jest w sprawie wiążący i rzutuje na zastosowanie prawa materialnego. Skoro zaś stan faktyczny w niniejszej sprawie nie został skutecznie podważony to należało przyjąć, że okoliczności sprawy kształtują się w ten sposób, jak opisał Sąd pierwszej instancji. W konsekwencji WSA w Warszawie prawidłowo ocenił, że wydane w sprawie decyzje nie naruszają prawa materialnego, tj. art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f w zw. z art. 32 RODO. Podkreślić przy tym należy, że ani organ, ani Sąd pierwszej instancji nie stwierdził, że skarżąca kasacyjnie Spółka nie miała podstawy prawnej do przetwarzania danych osobowych uczestnika, bowiem taką podstawę prawną Spółka posiadała. Skarżąca kasacyjnie Spółka była zatem uprawniona do przetwarzania danych osobowych uczestnika, jednakże nie była uprawniona, na podstawie art. 6 ust. 1 lit. f w zw. z art. 5 ust. 1 lit. f w zw. z art. 32 RODO, do przetwarzania danych osobowych uczestnika poprzez ujawnienie jego danych osobowych podmiotom i osobom nieuprawnionym. Udostępnienie danych osobowych polegające na ich ujawnieniu nieznanemu, nieuprawnionemu odbiorcy, nie znajduje oparcia w żadnej z wymienionych w art. 6 ust. 1 RODO podstaw legalizujących proces przetwarzania danych osobowych. Tym samym doszło do naruszenia przepisów RODO przez operację przetwarzania (udostępnienia) bez podstawy prawnej.
Mając powyższe na uwadze, Naczelny Sąd Administracyjny uznał, że skarga kasacyjna nie ma uzasadnionych podstaw, dlatego w oparciu art. 184 P.p.s.a. oddalił skargę kasacyjną.