III OSK 2101/24

III OSK 2101/24 - Wyrok NSA
Data orzeczenia
2026-02-27
orzeczenie prawomocne
Data wpływu
2024-08-01
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Mariusz Kotulski
Przemysław Szustakiewicz /przewodniczący sprawozdawca/
Wojciech Jakimowicz
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Inne
Sygn. powiązane
II SA/Wa 1684/23 - Wyrok WSA w Warszawie z 2024-03-27
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę kasacyjną
Powołane przepisy
Dz.U. 2024 poz 935
art. 184
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Przemysław Szustakiewicz (spr.) Sędziowie: Sędzia NSA Wojciech Jakimowicz Sędzia del. WSA Mariusz Kotulski po rozpoznaniu w dniu 27 lutego 2026 r. na posiedzeniu niejawnym w Izbie Ogólnoadministracyjnej skargi kasacyjnej [...] S.A. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 27 marca 2024 r., sygn. akt II SA/Wa 1684/23 w sprawie ze skargi [...] S.A. [...] na punkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia 28 czerwca 2023 r., nr DS.523.3581.2020.PR.MRU w przedmiocie przetwarzania danych osobowych oddala skargę kasacyjną.
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie, wyrokiem z dnia 27 marca 2024 r., sygn. akt II SA/Wa 1684/23, oddalił skargę [...] S.A. [...] na punkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia 28 czerwca 2023 r., nr DS.523.3581.2020.PR.MRU w przedmiocie przetwarzania danych osobowych.
Wyrok został wydany w następującym stanie faktycznym i prawnym spawy:
Prezes Urzędu Ochrony Danych Osobowych, decyzją z dnia 28 czerwca 2023 r., nr DS.523.3581.2020.PR.MRU, na podstawie art. 7 ust. 1 i ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) i art. 5 ust. 1 lit. f, art. 6 ust. 1, art. 28 ust. 1 oraz art. 58 ust. 2 lit. b i c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. L 127 z 23.05.2018, str. 2 ze zm. oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35, dalej "RODO"), w punkcie 1: udzielił [...] S.A. [...] upomnienia za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO, polegające na udostępnieniu danych osobowych Z.W. podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz Spółki. W punkcie 2: odmówił uwzględnienia wniosku w pozostałym zakresie.
W uzasadnieniu decyzji organ wskazał, że do UODO wpłynęła skarga Z.W. na nieprawidłowości w procesie przetwarzania jej danych osobowych przez [...] S.A. [...] polegające na naruszeniu ochrony danych osobowych poprzez ich udostępnienie w zakresie imienia, nazwiska, adresu, numeru telefonu i numeru PESEL podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz Spółki. W toku postępowania Prezes UODO, ustalił, że uczestniczka była klientem Spółki. Ponadto organ ustalił, że w dniu 14 maja 2018 r. Spółka zawarła umowę powierzenia przetwarzania danych z P. sp. z o.o. Na podstawie tej umowy P. sp. z o.o. przetwarza w imieniu Spółki dane osobowe klientów Spółki w celu ich przechowywania wraz z usługami towarzyszącymi, archiwizacji cyfrowej dokumentów oraz skanowania dokumentacji wraz z indeksacją opisową na rzecz Spółki. Następnie organ podał, że Spółka w dniu 18 kwietnia 2020 r. zgłosiła Prezesowi UODO naruszenie bezpieczeństwa danych osobowych, wskazując, że w dniu 16 kwietnia 2020 r. Spółka powzięła informację o możliwym naruszeniu bezpieczeństwa danych osobowych. Spółka ustaliła, że do naruszenia poufności danych osobowych doszło w środowisku informatycznym podmiotu przetwarzającego, tj. P. sp. z o.o. oraz że naruszenie to obejmowało pomocniczą bazę archiwum cyfrowego zawierającą indeksy wyszukiwania. Jeden z portów tej bazy znajdującej się w chmurze nie został zabezpieczony hasłem, co umożliwiało osobom nieupoważnionym dostęp do tej bazy w okresie od 12 do 16 kwietnia 2020 r. Po stwierdzeniu naruszenia bezpieczeństwa danych osobowych dostęp do bazy został zablokowany poprzez wdrożenie zabezpieczeń przez . sp. z o.o. Spółka ustaliła ponadto, że w przypadku wnioskodawczyni doszło do naruszenia poufności danych osobowych w zakresie imienia, nazwiska, numeru PESEL, numeru kontaktowego/adresu e-mail (jeśli podano), danych dotyczących Umowy (numer umowy) oraz numeru punktu poboru. Następnie organ podał, że w postępowaniu prowadzonym pod sygnaturą DKN.5130.2215.2020 ustalono, że w wyniku pozostawienia bazy danych klientów Spółki na niezabezpieczonym serwerze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Pierwsze połączenie nastąpiło dnia 15 kwietnia 2020 r. pomiędzy godz. 19:22 a godz. 20:58. Aktywność ta może wskazywać na skopiowanie danych o rozmiarze ok. 5 MB. Natomiast drugie połączenie trwało od 15 kwietnia 2020 r. godz. 23:00 do 16.04.2020 r. godz. 04:06. W jego wyniku mogło dojść do pobrania danych o wolumenie ok. 11 GB. W tym stanie faktycznym Prezes UODO mając na względzie art. 6 ust. 1 RODO, wskazał, że uczestniczka była klientką Spółki, wobec czego podstawę prawną uprawniającą Spółkę do przetwarzania jej danych osobowych stanowił art. 6 ust. 1 lit. b RODO, jednakże przetwarzanie to nie uprawniało Spółki do przetwarzania danych osobowych wnioskodawczyni w zakresie ich ujawnienia poprzez ich udostępnienie.
Organ podniósł również, że proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO. Do zasad tych zalicza się między innymi zasadę poufności (lit. f). Wspomniana zasada wymaga, aby proces przetwarzania danych osobowych odbywał się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem danych osobowych oraz przypadkową ich utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. W motywie 39 RODO wyjaśniono, że dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym między innymi ochronę przed nieuprawnionym dostępem do nich. W sprawie należało oczekiwać od Spółki określonego działania, tj. odpowiedniego zabezpieczenia danych, co zniwelowałoby ryzyko ich utraty. To jednak brak działania był przyczyną ujawnienia poprzez udostępnienie danych osobowych, prowadząc do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie jej zawartości. Doszło zatem do naruszenia ochrony danych osobowych klientów Spółki, w tym danych osobowych wnioskodawczyni, poprzez ich udostępnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy, tj. P. sp. z o.o., świadczącego usługi cyfrowego archiwum na rzecz Spółki. W wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Organ zwrócił uwagę, że do naruszenia bezpieczeństwa danych osobowych doszło w środowisku informatycznym podmiotu P. sp. z o.o., jednak w procesie przetwarzania danych osobowych działał on jako podmiot przetwarzający, a zatem w imieniu i na rzecz Spółki. W związku z tym, to Spółka ponosi odpowiedzialność za wskazane naruszenie. Udostępnienie danych osobowych wnioskodawczyni podmiotom i osobom do tego nieupoważnionym, odbyło się z naruszeniem przez Spółkę, jako administratora danych, przepisów ochrony danych osobowych (art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO). W związku z powyższym, Prezes UODO udzielił Spółce upomnienia.
Z powyższą decyzją nie zgodziło się [...] S.A., wnosząc skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie.
W odpowiedzi na skargę Prezes UODO wniósł o jej oddalenie.
Powołanym na wstępie wyrokiem, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024 r., poz. 935, dalej "P.p.s.a.") uznał, że skarga nie zasługuje na uwzględnienie.
W uzasadnianiu rozstrzygnięcia Sąd pierwszej instancji wskazał, że istota sprawy sprowadzała się do oceny legalności udostępnienia (ujawnienia) danych osobom nieuprawnionym. W ocenie Sądu, w sprawie jest bezsporne, że doszło do naruszenia poufności danych osobowych uczestniczki postępowania. Słusznie organ podnosi, iż choć do naruszenia bezpieczeństwa danych osobowych doszło w środowisku informatycznym podmiotu P. sp. z o.o., to jednak w procesie przetwarzania danych osobowych działał on jako podmiot przetwarzający, a zatem w imieniu i na rzecz Spółki. W związku z tym, to Spółka ponosi odpowiedzialność za naruszenie. Trafnie też Prezes UODO podniósł, że proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO. Z tych też względów, prawidłowo Prezes UODO zakwalifikował ujawnienie danych osobowych uczestniczki postępowania podmiotom i osobom nieupoważnionym – podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum – jako udostępnienie danych osobowych. Stosownie do art. 4 pkt 2 RODO, przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. WSA w Warszawie wyjaśnił przy tym, że nieuprawnione udostępnienie (ujawnienie) nie odnosi się tylko do udostępnienia danych na rzecz konkretnego innego administratora, czy podmiotu przetwarzającego. Nieuprawnione udostępnienie (ujawnienie) danych dotyczy każdej sytuacji, gdy z danymi miała możliwość zapoznać się jakakolwiek osoba nieuprawniona, co w tej sprawie jest bezsporne (potwierdza to przedłożone przez skarżącą Spółkę postanowienie o umorzeniu dochodzenia). Sąd podkreślił, że istotą sprawy administracyjnej dotyczącej ochrony danych osobowych ze skargi uczestniczki postępowania jest ustalenie kwestii odpowiedzialności administratora za zgodność z RODO przetwarzania danych osobowych. Okoliczność, że to nie Spółka dokonała bezpośrednio udostępnienia danych uczestniczki postępowania, a podmiot przetwarzający, nie wyłącza odpowiedzialności Spółki w zakresie oceny zgodności z prawem tego przetwarzania – udostępnienia danych, zwłaszcza w sytuacji gdy do tego udostępnienia (ujawnienia danych) doszło w wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze. Zgodnie z art. 5 ust. 1 lit. f RODO dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność"). Poufność danych należy rozumieć w ten sposób, że nie będą one udostępniane osobom i podmiotom nieuprawnionym. Dane osobowe powinny być również odpowiednio chronione przed przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (zasada integralności danych). Integralność chroni dane przed ich nieuprawnionym zniszczeniem lub uszkodzeniem. W celu wypełnienia zasady poufności i integralności danych administrator (a także podmiot przetwarzający) wdraża odpowiednie środki techniczne i organizacyjne. Wdrożenie środków technicznych i organizacyjnych nie może mieć charakteru jednorazowego. Środki te powinny podlegać okresowemu przeglądowi i ewentualnej aktualizacji. Art. 5 ust. 2 RODO stanowi, że administrator jest odpowiedzialny za przestrzeganie omówionych powyżej zasad i powinien być w stanie wykazać ich przestrzeganie, co zostało w rozporządzeniu nazwane "rozliczalnością". Powyższe przepisy nakładają zatem na administratora obowiązki w zakresie przestrzegania zasad i obarczają go odpowiedzialnością za ich naruszenie.
W przypadku naruszenia, do którego doszło (jak w niniejszej sprawie), to na administratorze spoczywał obowiązek wykazania, iż zasady określone w RODO były przestrzegane. Okolicznością niesporną w sprawie jest zaś to, że miało miejsce naruszenie ochrony danych osobowych uczestniczki postępowania, poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy, tj. P. sp. z o.o., świadczącego usługi cyfrowego archiwum na rzecz Spółki. W wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze, co umożliwiło dostęp osobom nieupoważnionym. W świetle powyższego nie budzi wątpliwości poprawność konkluzji organu, że Spółka jako administrator danych osobowych nie zastosowała właściwego poziomu bezpieczeństwa, co doprowadziło do nieuprawnionego udostępnienia danych osobowych uczestniczki postępowania i w sytuacji złożenia indywidualnej skargi, skutkuje odpowiedzialnością administratora na gruncie RODO. Okoliczność polegająca na niezabezpieczeniu hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze spowodowała, że dane osobowe uczestniczki postepowania zostały ujawnione podmiotom do tego nieuprawnionym. W sprawie nie doszło do złamania zabezpieczeń technicznych, lecz do ich niezastosowania polegającego na niezabezpieczeniu hasłem dostępu do bazy danych osobowych, tym samym zaś na umożliwieniu dostępu do nich i finalnie ich ujawnieniu, a więc przetworzeniu. WSA w Warszawie wyjaśnił, że ujawnienie danych osobowych, o którym mowa w powołanym wyżej art. art. 4 pkt 2 RODO, nie musi być wynikiem zaplanowanej operacji i nie musi być równoznaczne z działaniem (aktywnością) takim jak zamierzone przesłanie, czy rozpowszechnienie (aktywne dzielenie się danymi). Może ono polegać także na innego rodzaju udostępnieniu poprzez umożliwienie dostępu do danych. Do takiej sytuacji niewątpliwie doszło w realiach rozpoznanej sprawy.
W świetle przepisów RODO przetwarzanie (a zatem także ujawnienie, udostępnienie) danych osobowych uważa się bowiem za legalne, jeśli ich administrator spełni co najmniej jedną z przesłanek wskazanych w art. 6 ust. 1 RODO, a mianowicie: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów, b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Żadna z powyższych przesłanek nie została w sprawie spełniona w odniesieniu do udostępnienia danych osobowych uczestniczki postępowania podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy. Prawidłowo zatem organ uznał, że Spółka dopuściła się naruszenia art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO poprzez ujawnienie danych osobowych uczestniczki postępowania podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum. W związku z powyższym, organ zasadnie udzielił Spółce upomnienia.
Od powyższego wyroku skargę kasacyjną wywiodła [...] S.A., zaskarżając wyrok w całości i domagając się uchylenia w całości zaskarżonego wyroku i rozpoznania skargi, ewentualnie uchylenia zaskarżonego wyroku w całości i przekazania sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie; rozpoznania skargi kasacyjnej na posiedzeniu niejawnym oraz zasądzenia kosztów postępowania, w tym kosztów zastępstwa procesowego według norm prawem przepisanych. Zaskarżonemu wyrokowi zarzucono naruszenie:
1. art. 145 § 1 pkt 1 lit. c) P.p.s.a. w zw. z art. 6, art. 7, art. 8 § 1 i 2, art. 77 § 1, art. 80 oraz art. 107 § 3 k.p.a. w zw. z art. 7 ust. 1 ustawy o ochronie danych osobowych polegające na niezastosowaniu zasad ogólnych postępowania administracyjnego: prawdy obiektywnej, pogłębiania zaufania obywateli do organów administracji publicznej, wyjaśnienia zasadności przesłanek (zasady przekonywania) oraz obowiązku zebrania i rozpatrzenia całego materiału dowodowego w sposób wyczerpujący, co doprowadziło do oddalenia skargi dotyczącej wydania przez organ wadliwej i przedwczesnej decyzji, która nie została oparta na prawidłowo ustalonym stanie faktycznym;
2. art. 6 ust. 1 lit. f w zw. z art. 5 ust. 1 lit. f w zw. z 32 RODO poprzez ich błędne zastosowanie skutkujące przyjęciem, że strona skarżąca przetwarzała dane osobowe uczestniczki postępowania poprzez ich udostępnienie osobom nieupoważnionym, a zatem bez podstawy prawnej, gdy tymczasem strona skarżąca posiadała podstawę prawną do przetwarzania danych osobowych uczestniczki postępowania i nie dokonywała udostępnienia danych osobom nieupoważnionym.
W uzasadnieniu skargi kasacyjnej podniesiono, że organ nie ustalił czy rzeczywiście i w jakim zakresie doszło do naruszenia zasady poufności z art. 5 ust. 1 lit. f RODO. Ponadto organ nie ustalił na czym dokładnie polegało rzekome naruszenie danych osobowych, w tym tego czy jakiekolwiek dane osobowe "wyciekły" z bazy danych, ani jakie to były rzeczywiście dane, co oznacza brak ustaleń co do skutków naruszenia. Dodatkowo podniesiono, że WSA w Warszawie ocenił materiał dowodowy w sposób wadliwy opierając się na stanie faktycznym błędnie ustalonym w decyzji Prezesa UODO w sprawie o sygnaturze DKN.5130.2215.202, która to decyzja została uchylona wyrokiem WSA w Warszawie z dnia 10 października 2022 r., sygn. akt II SA/Wa 567/22. Skarżąca kasacyjnie Spółka podniosła, że posiadała podstawę przetwarzania danych osobowych uczestniczki postępowania w postaci zawartej z nią umowy (art. 6 ust. 1 lit. b RODO), a następnie, podstawę do dalszego przetwarzania danych osobowych uczestniczki postępowania (po rozwiązaniu umowy) stanowił art. 6 ust. 1 lit. c RODO. W niniejszej sprawie celem przetwarzania danych osobowych uczestniczki nigdy nie było ujawnienie jej danych. Osoby lub podmioty, które potencjalnie mogły uzyskać dostęp do danych osobowych klientki administratora nie są w żadnym razie odrębnymi administratorami danych, na rzecz których ujawnienie nastąpiło. Spółka podkreśliła, że przetwarzała dane osobowe uczestniczki wyłącznie na podstawie art. 6 ust. 1 lit. b RODO i nie dokonywała ich ujawnienia innym administratorom.
W odpowiedzi na skargę kasacyjną Prezes UODO wniósł o jej oddalenie jako bezzasadnej.
Pismem z dnia 6 sierpnia 2024 r. skarżąca kasacyjnie Spółka wniosła replikę do odpowiedzi na skargę kasacyjną, podtrzymując stanowisko przedstawione w skardze kasacyjnej.
Naczelny Sąd Administracyjny zważył, co następuje:
Zgodnie z art. 182 § 2 P.p.s.a. Naczelny Sąd Administracyjny rozpoznaje skargę kasacyjną na posiedzeniu niejawnym, gdy strona, która ją wniosła, zrzekła się rozprawy, a pozostałe strony, w terminie czternastu dni od dnia doręczenia skargi kasacyjnej, nie zażądały przeprowadzenia rozprawy. Ponieważ w rozpoznawanej sprawie skarżąca kasacyjnie zrzekła się rozprawy, a pozostałe strony, w ustawowym terminie czternastu dni, nie zażądały jej przeprowadzenia, skarga kasacyjna została rozpoznana na posiedzeniu niejawnym.
Stosownie natomiast do treści art. 183 § 1 P.p.s.a. Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W niniejszej sprawie nie występują przesłanki nieważności postępowania sądowoadministracyjnego enumeratywnie wskazane w art. 183 § 2 P.p.s.a., wobec czego rozpoznanie sprawy nastąpiło w granicach zgłoszonych podstaw i zarzutów skargi kasacyjnej.
W skardze kasacyjnej zarzucono naruszenie prawa materialnego, jak i naruszenie przepisów postępowania. W pierwszej kolejności rozpoznaniu podlegały zarzuty naruszenia przepisów postępowania, ponieważ dopiero po przesądzeniu, że stan faktyczny przyjęty przez Sąd pierwszej instancji w zaskarżonym wyroku jest prawidłowy albo nie został skutecznie podważony, można przejść do skontrolowania procesu subsumcji danego stanu faktycznego pod zastosowany przez ten Sąd przepis prawa materialnego.
Odnosząc się zatem do zarzutu skargi kasacyjnej dotyczącego naruszenia przepisów postępowania, tj. art. 145 § 1 pkt 1 lit. c) P.p.s.a. w zw. z art. 6, art. 7, art. 8 § 1 i 2, art. 77 § 1, art. 80 oraz art. 107 § 3 k.p.a. w zw. z art. 7 ust. 1 ustawy o ochronie danych osobowych, uznać należy, że jest on nieskuteczny.
Zgodnie z brzmieniem art. 145 § 1 pkt 1 lit. c P.p.s.a. Sąd uwzględniając skargę na decyzję lub postanowienie uchyla decyzję lub postanowienie w całości albo w części, jeżeli stwierdzi inne naruszenie przepisów postępowania, jeżeli mogło ono mieć istotny wpływ na wynik sprawy. Tymczasem w niniejszej sprawie Sąd pierwszej instancji oddalił skargę na podstawie art. 151 P.p.s.a., a zatem nie stosował art. 145 § 1 pkt 1 lit. c P.p.s.a., co oznacza, że nie mógł go naruszyć.
Zgodnie z ogólnymi zasadami postępowania administracyjnego, organy administracji stoją na straży praworządności i podejmują kroki niezbędne do dokładnego ustalenia stanu faktycznego oraz do załatwienia sprawy, mając na względzie interes społeczny i słuszny interes obywateli (art. 7 k.p.a.). Organy administracji publicznej prowadzą postępowanie w sposób budzący zaufanie jego uczestników do władzy publicznej, kierując się zasadami proporcjonalności, bezstronności i równego traktowania (art. 8 § 1 k.p.a.). Organy administracji publicznej są również zobowiązane w sposób wyczerpujący zebrać i rozpatrzyć cały materiał dowodowy (art. 77 § 1 k.p.a.) i dopiero na podstawie całokształtu materiału dowodowego ocenić, czy dana okoliczność została udowodniona (art. 80 k.p.a.). Stosownie do przytoczonego w podstawie kasacyjnej art. 77 § 1 k.p.a., na organie administracji publicznej spoczywa obowiązek zebrania w sposób wyczerpujący całego materiału dowodowego sprawy niezbędnego do jej wyjaśnienia. Postępowanie wyjaśniające prowadzone przez organ administracji publicznej powinno być zakończone po zbadaniu wszystkich okoliczności faktycznych istotnych dla danej sprawy, których zakres określają przepisy prawa materialnego mające zastosowanie w sprawie.
Dokonując kontroli legalności zaskarżonej decyzji, poprzez analizę dokumentów zawartych w aktach administracyjnych, WSA w Warszawie zasadnie nie dopatrzył się tego rodzaju uchybień, które musiałyby skutkować wyeliminowaniem z obrotu prawnego kwestionowanej decyzji. Sąd pierwszej instancji zasadnie uznał, że Prezes UODO przeprowadził postępowanie zgodnie z zawartym w art. 7 k.p.a. nakazem dokładnego wyjaśnienia stanu faktycznego sprawy oraz określonym w art. 77 § 1 k.p.a. obowiązkiem zebrania i rozpatrzenia w sposób wyczerpujący materiału dowodowego. Z akt administracyjnych bezspornie wynika bowiem, że doszło do naruszenia bezpieczeństwa danych osobowych przetwarzanych przez skarżącą kasacyjnie Spółkę. Naruszenie to polegało na niezabezpieczeniu hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze co doprowadziło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Incydent ten doprowadził do naruszenia poufności danych osobowych uczestniczki postępowania w zakresie imienia, nazwiska, adresu, numeru PESEL, numeru dowodu osobistego, numeru kontaktowego/adresu e-mail (jeśli podano), danych dotyczących umowy (numer umowy) oraz numeru punktu poboru. Organ ustalił tym samym, że doszło do naruszenia bezpieczeństwa danych osobowych, na czym to naruszenie polegało oraz jakie dane osobowe zostały ujawnione. Sąd pierwszej instancji zasadnie zatem uznał, że organ ustalił wszystkie istotne do załatwienia sprawy okoliczności faktyczne i prawne, a zgromadzony w sprawie materiał dowodowy ma walor kompletności, zaś jego ocena nie nosi znamion dowolności. Na gruncie reguł i norm procesowych wyprowadził logicznie uprawnione i merytorycznie trafne wnioski. Trafnie też ocenił, że zaskarżona decyzja zawiera uzasadnienie faktyczne i prawne wyczerpująco wyjaśniając zasadność przesłanek, którymi kierował się organ przy załatwianiu sprawy. W tych okolicznościach należało zgodzić się z Sądem pierwszej instancji, który w całości podzielił ustalenia organu i wyrażoną przez niego ocenę prawną stanu faktycznego. W konsekwencji powyższego, Sąd pierwszej instancji prawidłowo, na podstawie art. 151 P.p.s.a., oddalił skargę.
Odnosząc się do sformułowanego w uzasadnieniu skargi kasacyjnej zarzutu, że WSA w Warszawie ocenił materiał dowodowy w sposób wadliwy, opierając się na stanie faktycznym błędnie ustalonym w decyzji Prezesa UODO w sprawie o sygnaturze DKN.5130.2215.202, która to decyzja została uchylona wyrokiem WSA w Warszawie z dnia 10 października 2022 r., sygn. akt II SA/Wa 567/22, wskazać informacyjnie należy, że wyrok ten został uchylony wyrokiem Naczelnego Sądu Administracyjnego z dnia 6 lutego 2026 r., sygn. akt III OSK 445/23, a sprawę przekazano do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie. Naczelny Sąd Administracyjny w powyższym orzeczeniu uznał, że wbrew stanowisku Sądu pierwszej instancji wyrażonym w uchylonym wyroku, w sprawie tej wszystkie istotne okoliczności z punktu widzenia przedmiotu postępowania zostały wyjaśnione, a zgromadzony w sprawie obszerny materiał dowodowy został poddany wszechstronnej i odpowiadającej prawu ocenie. Dlatego powoływanie się przez skarżącą kasacyjnie Spółkę na wyrok WSA w Warszawie z dnia 10 października 2022 r., sygn. akt II SA/Wa 567/22, nie mogło odnieść zamierzonego skutku.
Na akceptację nie zasługuje również zarzut naruszenia prawa materialnego polegający na błędnej wykładni art. 6 ust. 1 lit. f w zw. z art. 5 ust. 1 lit. f w zw. z art. 32 RODO, skutkującej przyjęciem, że skarżąca kasacyjnie Spółka przetwarzała dane osobowe uczestniczki poprzez ich ujawnienie osobom nieupoważnionym, a zatem bez podstawy prawnej, gdy tymczasem skarżąca kasacyjnie Spółka posiadała podstawę prawną do przetwarzania danych osobowych uczestniczki.
W związku z atak sformułowanym zarzutem wskazać należy, że naruszenie prawa materialnego może przejawiać się w dwóch postaciach: jako błędna wykładnia albo jako niewłaściwe zastosowanie określonego przepisu prawa. Podnosząc zarzut naruszenia prawa materialnego przez jego błędną wykładnię, skarżący kasacyjnie powinien wykazać, na czym polega błędne rozumienie tych przepisów i jaka, jej zdaniem, powinna być ich prawidłowa wykładnia. Uzasadniając natomiast zarzut niewłaściwego zastosowania przepisu prawa materialnego skarżący kasacyjnie winien wykazać, że Sąd, stosując przepis, popełnił błąd subsumcji, czyli że niewłaściwie uznał, że stan faktyczny przyjęty w sprawie nie odpowiada stanowi faktycznemu zawartemu w hipotezie normy prawnej zawartej w przepisie prawa. W niniejszej sprawie skarżąca kasacyjnie Spółka nie wykazała na czym polega, w jej ocenie, błędne rozumienie art. 6 ust. 1 lit. f w zw. z art. 5 ust. 1 lit. f i art. 32 RODO przez WSA w Warszawie, jak również nie wykazała jaka powinna być ich prawidłowa wykładnia. Treść sformułowanego w skardze kasacyjnej zarzutu wskazuje natomiast, że skarżąca kasacyjnie Spółka za jego pomocą kwestionuje ustalenia i ocenę w zakresie stanu faktycznego sprawy. Dlatego też należy wyjaśnić, że zarzutem naruszenia prawa materialnego nie można zwalczać ustaleń faktycznych przyjętych w sprawie. Niedopuszczalne jest bowiem zastępowanie zarzutu naruszenia przepisów postępowania zarzutem naruszenia prawa materialnego i za jego pomocą kwestionowanie ustaleń faktycznych. Ocena zasadności zarzutu naruszenia prawa materialnego może być dokonana wyłącznie na podstawie ustalonego w sprawie stanu faktycznego, nie zaś na podstawie stanu faktycznego, który strona skarżąca uznaje za prawidłowy (por. wyrok NSA z 13 sierpnia 2013 r. II GSK 717/12, wyrok NSA z 4 lipca 2013 r. I GSK 934/12). Niepodważony stan faktyczny jest w sprawie wiążący i rzutuje na zastosowanie prawa materialnego. Skoro zaś stan faktyczny w niniejszej sprawie nie został skutecznie podważony to należało przyjąć, że okoliczności sprawy kształtują się w ten sposób, jak opisał Sąd pierwszej instancji. W konsekwencji WSA w Warszawie prawidłowo ocenił, że wydane w sprawie decyzje nie naruszają prawa materialnego, tj. art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f w zw. z art. 32 RODO. Podkreślić przy tym należy, że ani organ, ani Sąd pierwszej instancji nie stwierdził, że skarżąca kasacyjnie Spółka nie miała podstawy prawnej do przetwarzania danych osobowych uczestniczki, bowiem taką podstawę prawną Spółka posiadała. Skarżąca kasacyjnie Spółka była zatem uprawniona do przetwarzania danych osobowych uczestniczki, jednakże nie była uprawniona, na podstawie art. 6 ust. 1 lit. f w zw. z art. 5 ust. 1 lit. f w zw. z art. 32 RODO, do przetwarzania danych osobowych uczestniczki poprzez ujawnienie tych danych osobowych podmiotom i osobom nieuprawnionym. Udostępnienie danych osobowych polegające na ich ujawnieniu nieznanemu, nieuprawnionemu odbiorcy, nie znajduje oparcia w żadnej z wymienionych w art. 6 ust. 1 RODO podstaw legalizujących proces przetwarzania danych osobowych. Tym samym doszło do naruszenia przepisów RODO przez operację przetwarzania (udostępnienia) bez podstawy prawnej.
Mając powyższe na uwadze, Naczelny Sąd Administracyjny uznał, że skarga kasacyjna nie ma uzasadnionych podstaw, dlatego w oparciu art. 184 P.p.s.a. oddalił skargę kasacyjną.