III OSK 2101/24
Podsumowanie
Przejdź do pełnego tekstuNaczelny Sąd Administracyjny rozpoznał skargę kasacyjną spółki [...] S.A. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie, który utrzymał w mocy decyzję Prezesa Urzędu Ochrony Danych Osobowych o udzieleniu spółce upomnienia. Spółka została ukarana za naruszenie zasad ochrony danych osobowych (art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO) polegające na udostępnieniu danych osobowych klienta podmiotom nieupoważnionym. Do naruszenia doszło w wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy danych przechowywanej przez zewnętrznego dostawcę usług cyfrowego archiwum. Spółka argumentowała, że posiadała podstawę prawną do przetwarzania danych (umowa z klientem, obowiązek prawny) i nie dokonała ich udostępnienia osobom nieupoważnionym. NSA oddalił skargę kasacyjną, stwierdzając, że spółka jako administrator danych ponosi odpowiedzialność za zapewnienie odpowiedniego poziomu bezpieczeństwa, w tym poufności danych. Nawet jeśli naruszenie nastąpiło w systemie podmiotu przetwarzającego, administrator jest odpowiedzialny za skutki braku odpowiednich zabezpieczeń technicznych i organizacyjnych. Sąd podkreślił, że udostępnienie danych osobowych, rozumiane jako umożliwienie dostępu do nich osobom nieupoważnionym, nie miało podstawy prawnej w RODO i stanowiło naruszenie przepisów.
Przeanalizuj tę sprawę w pełnym kontekście orzecznictwa.
Analiza orzecznictwa · odpowiedzi na pytania · badanie przepisów · drafting pism.
Wartość praktyczna
Siła precedensu: WysokaPotwierdzenie odpowiedzialności administratora danych za naruszenia bezpieczeństwa danych wynikające z działań lub zaniechań podmiotu przetwarzającego, a także interpretacja pojęcia udostępnienia danych w kontekście RODO.
Orzeczenie dotyczy specyficznego stanu faktycznego związanego z niezabezpieczeniem serwera przez podmiot przetwarzający, ale jego zasady są szeroko stosowalne do relacji administrator-podmiot przetwarzający.
Zagadnienia prawne (3)
Czy administrator danych osobowych ponosi odpowiedzialność za naruszenie ochrony danych osobowych, które nastąpiło w środowisku informatycznym podmiotu przetwarzającego, w wyniku braku odpowiednich zabezpieczeń technicznych?Ratio decidendi
Odpowiedź sądu
Tak, administrator ponosi odpowiedzialność za zapewnienie odpowiedniego poziomu bezpieczeństwa danych, w tym poufności, nawet jeśli naruszenie nastąpiło u podmiotu przetwarzającego.
Uzasadnienie
Administrator jest odpowiedzialny za zgodność przetwarzania danych z RODO i musi wykazać przestrzeganie zasad, w tym zasady poufności. Brak odpowiednich zabezpieczeń (np. hasła) przez podmiot przetwarzający, działający w imieniu administratora, prowadzi do naruszenia poufności i odpowiedzialności administratora.
Czy udostępnienie danych osobowych poprzez umożliwienie nieuprawnionego dostępu do bazy danych, bez aktywnego przesyłania czy rozpowszechniania, stanowi naruszenie RODO?Ratio decidendi
Odpowiedź sądu
Tak, udostępnienie danych osobowych, rozumiane jako umożliwienie dostępu do nich osobom nieuprawnionym, stanowi przetwarzanie danych i może być uznane za naruszenie RODO, jeśli nie ma ku temu podstawy prawnej.
Uzasadnienie
Definicja przetwarzania danych w RODO obejmuje operacje takie jak udostępnianie poprzez umożliwienie dostępu. Jeśli takie udostępnienie następuje bez podstawy prawnej (np. zgody, umowy, obowiązku prawnego), jest to naruszenie przepisów.
Czy zarzut naruszenia prawa materialnego może być wykorzystany do kwestionowania ustaleń faktycznych sądu?Ratio decidendi
Odpowiedź sądu
Nie, zarzut naruszenia prawa materialnego nie może być używany do zwalczania ustaleń faktycznych przyjętych w sprawie. Należy go odróżnić od zarzutu naruszenia przepisów postępowania.
Uzasadnienie
Ocena zarzutu naruszenia prawa materialnego opiera się na stanie faktycznym ustalonym w sprawie. Jeśli stan faktyczny nie został skutecznie podważony, jest on wiążący i wpływa na zastosowanie prawa materialnego.
Przepisy (17)
Główne
P.p.s.a. art. 184
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
RODO art. 5 § 1 lit. f
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
RODO art. 6 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
Pomocnicze
P.p.s.a. art. 145 § 1 pkt 1 lit. c
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
P.p.s.a. art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
P.p.s.a. art. 183 § 1
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
P.p.s.a. art. 183 § 2
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
k.p.a. art. 7
Kodeks postępowania administracyjnego
k.p.a. art. 8 § 1 i 2
Kodeks postępowania administracyjnego
k.p.a. art. 77 § 1
Kodeks postępowania administracyjnego
k.p.a. art. 80
Kodeks postępowania administracyjnego
k.p.a. art. 107 § 3
Kodeks postępowania administracyjnego
u.o.d.o. art. 7 § 1 i 2
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
RODO art. 28 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
RODO art. 58 § 2 lit. b i c
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
RODO art. 4 § 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
Przetwarzanie obejmuje operacje takie jak zbieranie, przechowywanie, organizowanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Udostępnienie może polegać na umożliwieniu dostępu do danych.
RODO art. 32
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
Argumenty
Skuteczne argumenty
Administrator ponosi odpowiedzialność za naruszenie poufności danych, nawet jeśli nastąpiło ono w systemie podmiotu przetwarzającego. • Udostępnienie danych poprzez umożliwienie nieuprawnionego dostępu jest przetwarzaniem bez podstawy prawnej, jeśli nie ma ku temu przesłanek z art. 6 RODO. • Zarzut naruszenia prawa materialnego nie może służyć kwestionowaniu ustaleń faktycznych.
Odrzucone argumenty
Spółka posiadała podstawę prawną do przetwarzania danych i nie dokonała ich udostępnienia osobom nieupoważnionym. • WSA ocenił materiał dowodowy wadliwie, opierając się na uchylonej decyzji Prezesa UODO.
Godne uwagi sformułowania
brak działania był przyczyną ujawnienia poprzez udostępnienie danych osobowych • to Spółka ponosi odpowiedzialność za wskazane naruszenie • nieuprawnione udostępnienie (ujawnienie) danych dotyczy każdej sytuacji, gdy z danymi miała możliwość zapoznać się jakakolwiek osoba nieuprawniona • zarzutem naruszenia prawa materialnego nie można zwalczać ustaleń faktycznych przyjętych w sprawie
Skład orzekający
Przemysław Szustakiewicz
przewodniczący sprawozdawca
Wojciech Jakimowicz
sędzia
Mariusz Kotulski
sędzia del. WSA
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Potwierdzenie odpowiedzialności administratora danych za naruszenia bezpieczeństwa danych wynikające z działań lub zaniechań podmiotu przetwarzającego, a także interpretacja pojęcia udostępnienia danych w kontekście RODO."
Ograniczenia: Orzeczenie dotyczy specyficznego stanu faktycznego związanego z niezabezpieczeniem serwera przez podmiot przetwarzający, ale jego zasady są szeroko stosowalne do relacji administrator-podmiot przetwarzający.
Wartość merytoryczna
Ocena: 7/10
Sprawa dotyczy powszechnego problemu wycieku danych i odpowiedzialności firm za bezpieczeństwo informacji, co jest kluczowe dla wielu przedsiębiorców i prawników zajmujących się ochroną danych.
“Wyciek danych przez podwykonawcę? To Twoja wina! NSA potwierdza odpowiedzialność administratora.”
Twój asystent do analizy prawnej.
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka 1,4 mln orzeczeń i aktualne akty prawne.
- Analiza orzecznictwa i przepisów
- Drafting pism i dokumentów
- Odpowiedzi na pytania prawne
- Pogłębiona analiza z doktryny
Pełny tekst orzeczenia
Oryginalna treść postanowienia (niezmieniona). Otwiera się jako osobna strona.